Použijte PowerShell k omezení registrace DNS zdrojů

Začnu s tím PowerShell.

Vlastně, v písemné podobě, uvědomuji si, že jsem ne začalo s PowerShell!

#Execute na řadiči domény být "skrytý"

$ DataValue = "Ldap", "Gc", "DcByGuid", "Kdc", "Dc", "Rfc1510Kdc", "GenericGc", "Rfc1510UdpKdc", "Rfc1510Kpwd", "Rfc1510UdpKpwd"

Nová položka Vlastnost-Cesta "HKLM: SYSTEMCurrentControlSetServicesNetlogonParameters" -Name DnsAvoidRegisterRecords -Value $ DataValue -PropertyType Multistring

Restart-Service -Name Netlogon

Mám to? Dobrý. Nepotřebuji, abych jel dál! Co? Jo, dobře ...

Některý kontext: Minimalizace rizika během inovace služby Active Directory

O pár let zpátky se ozval kolega Glenn LeCheminant publikoval skvělý blogový příspěvek o tom, jak provádět nové výrobní testování nového řadiče domény s novějším operačním systémem. To bylo obzvláště důležité v té době kvůli počtu změn konfigurace zabezpečení zavedených s Windows Server 2008 R2. Post doporučuje odpojit nový DC v "skrytém" místě. Toho bylo dosaženo kontrolou záznamů SRV registrovaných DC: záznamy o doméně nejsou registrovány; jsou uchovávány pouze záznamy specifické pro daný web a záznamy potřebné pro replikaci a normální funkce DNS. To vytváří operační hranici - místo. Pouze klienti umístění na webu mohou použít DC.

Phew!

Shrnutí kroků:

  • vytvořte nový web
  • použijte PowerShell výše, abyste zabránili tomu, aby se brzy zaregistrovaly určité záznamy SRV
  • propagovat nový server DC na nové místo (předpokládá již provedenou rozšíření schématu)
  • přidání klienta na web - použije nový DC
  • proveďte testování

Samozřejmě, omezování registrace záznamu o prostředku DNS není jen pro testování upgradu domény. Mohli byste ji použít ke skrytí místa pro obnovu po havárii, nebo ... dobře, svět Active Directory je vaše přísloví ústřice!

Některé další souvislosti: čtení na pozadí

Omezit záznamy o prostředcích DNS, které jsou aktualizovány systémem Netlogon

Dostatok kontextu: omezit!

V následujícím příkladu se ujistím, že pouze klienti ve stejném webu jako můj test DC, HALODC02, mají přístup k DC, tj. Budou existovat pouze záznamy o zdrojích specifických pro daný web registrované DC.
Následující příklad ukazuje umístění různých záznamů specifických pro DC, které mají být odstraněny z DNS:

Zde je příklad stávajícího záznamu SRV pro cíl DC:

Zde je to, co získáme, když vyhledáme záznamy SRV specifické pro doménu s PowerShell (dvě vrácené položky):
Vyřešit-DnsName -Name _ldap._tcp.dc._msdcs.halo.net -Type SRV -Server halodc01.halo.net

Nyní proveďte změnu pomocí funkce PowerShell:

$ DataValue = "Ldap", "Gc", "DcByGuid", "Kdc", "Dc", "Rfc1510Kdc", "GenericGc", "Rfc1510UdpKdc", "Rfc1510Kpwd", "Rfc1510UdpKpwd"

Nová položka Vlastnost-Cesta "HKLM: SYSTEMCurrentControlSetServicesNetlogonParameters" -Name DnsAvoidRegisterRecords -Value $ DataValue -PropertyType Multistring

Zde je grafické znázornění toho, co PowerShell dělá. Nejprve je zde cesta ke klíči v registru na disku DC, který má být skryt:

Zde je hodnota více řetězců přidána do registru:

Zde jsou hodnoty pro přidání:

Nyní restartujte službu Netlogon na daném DC (nebo počkejte až na 15 minut pro automatické obnovení funkce Netlogon):

Restart-Service -Name Netlogon

Vzorek záznamu SRV z dřívějšího času již zmizel:

Zde je to, co získáme, když provádíme vyhledávání DCLocator, SRV záznamů specifických pro doménu s PowerShell (pouze jedna vracená položka):

Vyřešit-DnsName -Name _ldap._tcp.dc._msdcs.halo.net -Type SRV -Server halodc01.halo.net

Konečně je tady něco trochu realnějšího světa:

# Zkontrolujte, zda již existuje položka registru

Get-ItemProperty-Cesta "HKLM: SYSTEMCurrentControlSetServicesNetlogonParameters" -Name DnsAvoidRegisterRecords -ErrorAction SilentlyContinue

# Zrušte záznam, pokud již existuje

pokud ($?) {

Remove -Property -Path "HKLM: SYSTEMCurrentControlSetServicesNetlogonParameters" -Name DnsAvoidRegisterRecords

}

# Vytvořte hodnotu klíče registru

$ DataValue = "Ldap", "Gc", "DcByGuid", "Kdc", "Dc", "Rfc1510Kdc", "GenericGc", "Rfc1510UdpKdc", "Rfc1510Kpwd", "Rfc1510UdpKpwd"

# Nastavte nový klíč registru

Nová položka Vlastnost-Cesta "HKLM: SYSTEMCurrentControlSetServicesNetlogonParameters" -Name DnsAvoidRegisterRecords -Value $ DataValue -PropertyType MultiString

#Restartujte službu netlogon

Restart-Service -Name Netlogon

#Test DNS

Vyřešit-DnsName -Name _ldap._tcp.dc._msdcs.halo.net -Type SRV -Server halodc01.halo.net

Myslím, že bych měl nyní vytvořit pokročilou funkci nebo něco takového ...

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.