четверг, 3 февраля 2011 г.

Управление DNS сервером на базе Windows Server 2008 R2 с рабочей станции под управлением Windows XP

Получение статуса MS MVP автоматически означает получение вопросов от читателей, знакомых и незнакомых. Я их обычно получаю немного, но все-таки получаю. Последний показался мне достаточно интересным. После прочтения моей статьи о делегировании администрирования DNS один из моих читателей обнаружил, что мое решение не работает в его окружении. Видите ли, у него в рабочей сети все еще используются рабочие станции с Windows XP, в то время, как серверы (или их часть) уже переведены на Windows 2008 R2. В такой конфигурации он получает “access denied”, такое вот:

image[2]

или другие ошибки при попытках подключиться к 2K8R2 DNS серверу с рабочей станции под управлением Windows XP.

Я с такой проблемой не сталкивался: видимо сказывается моя привычка использовать клиентские ОС с их ранних бета-тестирований. Так что поначалу я подумал, что, возможно у “пострадавшего” как-то что-то неправильно настроено. Однако, простейший тест подтвердил наличие проблемы: моя свежеустановленная XP наотрез отказалась подключаться к моим R2 серверам, совершенно свободно подключаясь при этом к любым 2003м. Не растекаясь мыслию по древу скажу коротко: в итоге я нашел статью, которая описывает проблему, на support.microsoft.com: Windows Server 2008 R2 DNS Servers can only be managed by computers running Windows Server 2008 or later.

Причина проблемы кроется, согласно этой статье, в усиленной безопасности для RPC. Решения вполне просты: Вы должны либо

1) управлять своим DNS сервером локально (с консоли или по RDP)

2) или уменьшить уровень безопасности до совместимого с помощью ввода команды dnscmd /config /RpcAuthLevel 0 на каждом сервере, которым Вы собираетесь так управлять.

Первый метод и обсуждать нечего – вполне очевидное решение. Второй существенно менее безобиден. Как минимум, он делает Ваш сервер менее безопасным. Что можно сделать для уменьшения последствий? Ну, например:

  • использовать для такого управления только один сервер. Пусть изменения будут реплицироваться с него с помощью AD или еще каким-нибудь методом
  • изолируйте этот сервер настолько, насколько Вы можете: доступ к нему кроме совсем уж необходимого должны иметь только администраторы, которым Вы делегировали эти права и только с тех компьютеров, с которых Вы это разрешите.

Ну и последний вариант решения проблемы, который мне все-таки нравится больше других: обновите свои рабочие станции до W7. =)

Комментариев нет: