URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91770
[ Назад ]

Исходное сообщение
"BIND не регистрирует клиентов"
Отправлено Tigooor , 16-Июн-11 12:11

В сети развернут AD на win2003 + DNS и DHCP на федоре. Клиенты
Лог с бинда:
15-Jun-2011 16:03:37.856 update-security: error: client 172.17.104.244#63666: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:03:37.955 update-security: error: client 172.17.104.244#62031: update '17.172.in-addr.arpa/IN' denied
15-Jun-2011 16:03:47.420 update-security: error: client 172.24.3.192#51024: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:04:09.284 update-security: error: client 172.17.112.161#58566: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:04:34.949 xfer-out: info: client 172.17.5.5#3577: transfer of 'xxx.xxx-xxx.ru/IN': AXFR started
15-Jun-2011 16:04:34.952 xfer-out: info: client 172.17.5.5#3577: transfer of 'xxx.xxx-xxx.ru/IN': AXFR ended
15-Jun-2011 16:04:50.804 update-security: error: client 172.17.1.160#59985: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:06:25.046 update-security: error: client 172.17.113.128#64121: update '17.172.in-addr.arpa/IN' denied
15-Jun-2011 16:06:29.924 update-security: error: client 172.17.1.22#63336: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:06:30.041 update-security: error: client 172.17.1.22#59911: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:06:34.949 xfer-out: info: client 172.17.5.5#3586: transfer of 'xxx.xxx-xxx.ru/IN': AXFR started
15-Jun-2011 16:06:34.952 xfer-out: info: client 172.17.5.5#3586: transfer of 'xxx.xxx-xxx.ru/IN': AXFR ended
15-Jun-2011 16:06:58.988 update-security: error: client 172.17.77.30#56902: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:07:30.316 update-security: error: client 172.17.1.153#56586: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:07:59.996 update-security: error: client 172.17.1.18#51082: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:08:34.951 xfer-out: info: client 172.17.5.5#3590: transfer of 'xxx.xxx-xxx.ru/IN': AXFR started
15-Jun-2011 16:08:34.954 xfer-out: info: client 172.17.5.5#3590: transfer of 'xxx.xxx-xxx.ru/IN': AXFR ended
15-Jun-2011 16:10:19.001 update-security: info: client 127.0.0.1#51806: signer "rndckey" approved
15-Jun-2011 16:10:19.131 update-security: info: client 127.0.0.1#48766: signer "rndckey" approved
15-Jun-2011 16:10:19.405 update-security: info: client 127.0.0.1#49377: signer "rndckey" approved
Лог с клиента XP:
Event ID: 40961
Системе безопасности не удалось установить безопасное подключение к серверу DNS/sip1.xxx.xxx-xxx.ru. Отсутствуют доступные протоколы проверки подлинности.
Спасибо )

Содержание

BIND не регистрирует клиентов,erera22, 12:42 , 16-Июн-11
- BIND не регистрирует клиентов,Tigooor, 13:39 , 16-Июн-11
  - BIND не регистрирует клиентов,rr, 13:47 , 16-Июн-11
    - BIND не регистрирует клиентов,Tigooor, 13:51 , 16-Июн-11
      - BIND не регистрирует клиентов,erera22, 14:05 , 16-Июн-11
  - BIND не регистрирует клиентов,Vladimir, 14:17 , 16-Июн-11
    - BIND не регистрирует клиентов,Tigooor, 14:49 , 16-Июн-11
      - BIND не регистрирует клиентов,reader, 15:24 , 16-Июн-11
        
        BIND не регистрирует клиентов,Tigooor, 15:42 , 16-Июн-11
        
        BIND не регистрирует клиентов,reader, 15:54 , 16-Июн-11
        
        BIND не регистрирует клиентов,Tigooor, 15:58 , 16-Июн-11
        
        BIND не регистрирует клиентов,reader, 16:03 , 16-Июн-11
        
        BIND не регистрирует клиентов,Tigooor, 16:38 , 16-Июн-11
        
        BIND не регистрирует клиентов,reader, 16:42 , 16-Июн-11
        
        BIND не регистрирует клиентов,Tigooor, 16:46 , 16-Июн-11
        
        BIND не регистрирует клиентов,Vladimir, 21:43 , 16-Июн-11
        BIND не регистрирует клиентов,Сергей, 10:18 , 17-Июн-11
        
        BIND не регистрирует клиентов,rr, 10:32 , 17-Июн-11

Сообщения в этом обсуждении

"BIND не регистрирует клиентов"
Отправлено erera22 , 16-Июн-11 12:42

Покажите в конфиге allow-update

"BIND не регистрирует клиентов"
Отправлено Tigooor , 16-Июн-11 13:39

> Покажите в конфиге allow-update
zone "xxx.xxx-xxx.ru" in {
    type master;
    file "xxx.xxx-xxx.ru";
    allow-transfer { 172.17.5.15; 172.17.5.5; };
    allow-update {key rndckey; dc; key xxx.xxx-xxx.ru;};
    check-names ignore;
};
zone "17.172.in-addr.arpa" in {
    type master;
    file "172.17.rev";
    allow-transfer { 172.17.5.15; 172.17.5.5; };
    allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
};

"BIND не регистрирует клиентов"
Отправлено rr , 16-Июн-11 13:47

>[оверквотинг удален]
>     allow-transfer { 172.17.5.15; 172.17.5.5; };
>     allow-update {key rndckey; dc; key xxx.xxx-xxx.ru;};
>     check-names ignore;
> };
> zone "17.172.in-addr.arpa" in {
>     type master;
>     file "172.17.rev";
>     allow-transfer { 172.17.5.15; 172.17.5.5; };
>     allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
> };
А что DNS DHCP не на Windows? Вроде как AD требует установки DNS, нет?

"BIND не регистрирует клиентов"
Отправлено Tigooor , 16-Июн-11 13:51

>[оверквотинг удален]
>>     check-names ignore;
>> };
>> zone "17.172.in-addr.arpa" in {
>>     type master;
>>     file "172.17.rev";
>>     allow-transfer { 172.17.5.15; 172.17.5.5; };
>>     allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
>> };
> А что DNS DHCP не на Windows? Вроде как AD требует установки
> DNS, нет?
Можно и сторонний ДНС использовать.

"BIND не регистрирует клиентов"
Отправлено erera22 , 16-Июн-11 14:05

Может что-то, вроде: http://social.technet.microsoft.com/forums/ru-RU/windowsserv...

"BIND не регистрирует клиентов"
Отправлено Vladimir , 16-Июн-11 14:17

> allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
Попробуйте без ключа.

"BIND не регистрирует клиентов"
Отправлено Tigooor , 16-Июн-11 14:49

>> allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
> Попробуйте без ключа
убрать только key xxx.xxx-xxx.ru ?

"BIND не регистрирует клиентов"
Отправлено reader , 16-Июн-11 15:24

>>> allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
>> Попробуйте без ключа
> убрать только key xxx.xxx-xxx.ru ?
для попробовать в скобках перечислите только подсети, а остальное уберите

"BIND не регистрирует клиентов"
Отправлено Tigooor , 16-Июн-11 15:42

>>>> allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
>>> Попробуйте без ключа
>> убрать только key xxx.xxx-xxx.ru ?
> для попробовать в скобках перечислите только подсети, а остальное уберите
убрал ключи, ошибочные логи сыпаться перестали...

"BIND не регистрирует клиентов"
Отправлено reader , 16-Июн-11 15:54

>>>>> allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
>>>> Попробуйте без ключа
>>> убрать только key xxx.xxx-xxx.ru ?
>> для попробовать в скобках перечислите только подсети, а остальное уберите
> убрал ключи, ошибочные логи сыпаться перестали...
а что прописали?
записи о машинах добавляются?
если да, то можно конечно оставить с указанием подсетей, хотя в плане безопасности это не лучший способ

"BIND не регистрирует клиентов"
Отправлено Tigooor , 16-Июн-11 15:58

>>>>>> allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
>>>>> Попробуйте без ключа
>>>> убрать только key xxx.xxx-xxx.ru ?
>>> для попробовать в скобках перечислите только подсети, а остальное уберите
>> убрал ключи, ошибочные логи сыпаться перестали...
> а что прописали?
> записи о машинах добавляются?
> если да, то можно конечно оставить с указанием подсетей, хотя в плане
> безопасности это не лучший способ
только подсети и прописал )) машины были добавлены, но записи о них начали обнавляться...

"BIND не регистрирует клиентов"
Отправлено reader , 16-Июн-11 16:03

>[оверквотинг удален]
>>>>>> Попробуйте без ключа
>>>>> убрать только key xxx.xxx-xxx.ru ?
>>>> для попробовать в скобках перечислите только подсети, а остальное уберите
>>> убрал ключи, ошибочные логи сыпаться перестали...
>> а что прописали?
>> записи о машинах добавляются?
>> если да, то можно конечно оставить с указанием подсетей, хотя в плане
>> безопасности это не лучший способ
> только подсети и прописал )) машины были добавлены, но записи о них
> начали обнавляться...
так и должно быть

"BIND не регистрирует клиентов"
Отправлено Tigooor , 16-Июн-11 16:38

>[оверквотинг удален]
>>>>>> убрать только key xxx.xxx-xxx.ru ?
>>>>> для попробовать в скобках перечислите только подсети, а остальное уберите
>>>> убрал ключи, ошибочные логи сыпаться перестали...
>>> а что прописали?
>>> записи о машинах добавляются?
>>> если да, то можно конечно оставить с указанием подсетей, хотя в плане
>>> безопасности это не лучший способ
>> только подсети и прописал )) машины были добавлены, но записи о них
>> начали обнавляться...
> так и должно быть
а как с ключами быть?

"BIND не регистрирует клиентов"
Отправлено reader , 16-Июн-11 16:42

>[оверквотинг удален]
>>>>>> для попробовать в скобках перечислите только подсети, а остальное уберите
>>>>> убрал ключи, ошибочные логи сыпаться перестали...
>>>> а что прописали?
>>>> записи о машинах добавляются?
>>>> если да, то можно конечно оставить с указанием подсетей, хотя в плане
>>>> безопасности это не лучший способ
>>> только подсети и прописал )) машины были добавлены, но записи о них
>>> начали обнавляться...
>> так и должно быть
> а как с ключами быть?
я не знаю, может кто подскажет

"BIND не регистрирует клиентов"
Отправлено Tigooor , 16-Июн-11 16:46

>[оверквотинг удален]
>>>>>> убрал ключи, ошибочные логи сыпаться перестали...
>>>>> а что прописали?
>>>>> записи о машинах добавляются?
>>>>> если да, то можно конечно оставить с указанием подсетей, хотя в плане
>>>>> безопасности это не лучший способ
>>>> только подсети и прописал )) машины были добавлены, но записи о них
>>>> начали обнавляться...
>>> так и должно быть
>> а как с ключами быть?
> я не знаю, может кто подскажет
Буду дальше копать. Пока без ключей поработает.
Спасибо!

"BIND не регистрирует клиентов"
Отправлено Vladimir , 16-Июн-11 21:43

>[оверквотинг удален]
>>>>>> записи о машинах добавляются?
>>>>>> если да, то можно конечно оставить с указанием подсетей, хотя в плане
>>>>>> безопасности это не лучший способ
>>>>> только подсети и прописал )) машины были добавлены, но записи о них
>>>>> начали обнавляться...
>>>> так и должно быть
>>> а как с ключами быть?
>> я не знаю, может кто подскажет
> Буду дальше копать. Пока без ключей поработает.
> Спасибо!
А с ключами скорее всего никак.
У системы уиндоус свои понятия о ключах.

"BIND не регистрирует клиентов"
Отправлено Сергей , 17-Июн-11 10:18

>>[оверквотинг удален]
>>> а как с ключами быть?
>> я не знаю, может кто подскажет
> Буду дальше копать. Пока без ключей поработает.
Про ключи для винды забудь, винды dns обновляют по своему проприетарному протоколу, а вообще, у тебя же адреса выдаются через DHCP, вот и заставь его вносить соответствующие записи в DNS, а у станций вообще вырубить возможность автоматического обновления, а вот для виндовых серверов надо оставить возможность динамического обновления зон...

"BIND не регистрирует клиентов"
Отправлено rr , 17-Июн-11 10:32

>>>[оверквотинг удален]
>>>> а как с ключами быть?
>>> я не знаю, может кто подскажет
>> Буду дальше копать. Пока без ключей поработает.
>   Про ключи для винды забудь, винды dns обновляют по своему
> проприетарному протоколу,  а вообще, у тебя же адреса выдаются через
> DHCP, вот и заставь его вносить соответствующие записи в DNS, а
> у станций вообще вырубить возможность автоматического обновления, а вот для виндовых
> серверов надо оставить возможность динамического обновления зон...
я полагала, что  DHCPD обновляет DNS
named.conf
        zone   "t.ru" {
               type    master;
               file    "internal/db.t.ru";
               notify no;
               allow-update {
               key rndckey;
               };
        };

dhcpd.conf
key rndckey {
        algorithm       HMAC-MD5;
        secret          "t/NwiiNLmmiY=";
}

И где написано, что опция Windows
"Зарегистрировать адреса данного подключения в DNS"
должна работать с Bind ?