Показаны сообщения с ярлыком DNS. Показать все сообщения
Показаны сообщения с ярлыком DNS. Показать все сообщения

понедельник, 30 мая 2011 г.

VMM и не то чтобы disjointed namespace

imageПытался я давеча подключить к своему VMM несколько узлов с Hyper-V в удаленном домене. Нажал, как водится, “Add host”, прошелся по мастеру, нашел нужные мне серверы, попробовал добавить их в мастер и… 

 

image

То, что я закрасил, это NetBIOS имя узла. Чтобы не растекаться мыслию по древу, скажу, что в тот день мне не удалось решить проблему, добил ее мой колега: всего-то нужно было добавить DNS-суффикс этого “другого” домена в настройку “append these DNS suffixes (in order)” на интерфейсе Вашего VMM сервера:

image

Кстати, та же конфигурация рекомендована в статье Planning for a Disjointed Namespace, однако никаким disjointed namespace у меня и не пахнет, так что я докусентирую это для себя в блоге на будущее.

З.Ы. Если это описано в документации, ткните меня носом, чтобы мне было стыдно Winking smile

четверг, 3 февраля 2011 г.

Управление DNS сервером на базе Windows Server 2008 R2 с рабочей станции под управлением Windows XP

Получение статуса MS MVP автоматически означает получение вопросов от читателей, знакомых и незнакомых. Я их обычно получаю немного, но все-таки получаю. Последний показался мне достаточно интересным. После прочтения моей статьи о делегировании администрирования DNS один из моих читателей обнаружил, что мое решение не работает в его окружении. Видите ли, у него в рабочей сети все еще используются рабочие станции с Windows XP, в то время, как серверы (или их часть) уже переведены на Windows 2008 R2. В такой конфигурации он получает “access denied”, такое вот:

image[2]

или другие ошибки при попытках подключиться к 2K8R2 DNS серверу с рабочей станции под управлением Windows XP.

Я с такой проблемой не сталкивался: видимо сказывается моя привычка использовать клиентские ОС с их ранних бета-тестирований. Так что поначалу я подумал, что, возможно у “пострадавшего” как-то что-то неправильно настроено. Однако, простейший тест подтвердил наличие проблемы: моя свежеустановленная XP наотрез отказалась подключаться к моим R2 серверам, совершенно свободно подключаясь при этом к любым 2003м. Не растекаясь мыслию по древу скажу коротко: в итоге я нашел статью, которая описывает проблему, на support.microsoft.com: Windows Server 2008 R2 DNS Servers can only be managed by computers running Windows Server 2008 or later.

Причина проблемы кроется, согласно этой статье, в усиленной безопасности для RPC. Решения вполне просты: Вы должны либо

1) управлять своим DNS сервером локально (с консоли или по RDP)

2) или уменьшить уровень безопасности до совместимого с помощью ввода команды dnscmd /config /RpcAuthLevel 0 на каждом сервере, которым Вы собираетесь так управлять.

Первый метод и обсуждать нечего – вполне очевидное решение. Второй существенно менее безобиден. Как минимум, он делает Ваш сервер менее безопасным. Что можно сделать для уменьшения последствий? Ну, например:

  • использовать для такого управления только один сервер. Пусть изменения будут реплицироваться с него с помощью AD или еще каким-нибудь методом
  • изолируйте этот сервер настолько, насколько Вы можете: доступ к нему кроме совсем уж необходимого должны иметь только администраторы, которым Вы делегировали эти права и только с тех компьютеров, с которых Вы это разрешите.

Ну и последний вариант решения проблемы, который мне все-таки нравится больше других: обновите свои рабочие станции до W7. =)