Christoph35 10 Geschrieben 14. September 2007 Melden Geschrieben 14. September 2007 Hallo, zusammen, wir haben aktuell ein Problem, dass Clients versuchen, mittels TCP/IP Port 53 ein dynamisches DNS Update durchzuführen. Unserem BIND Server gefällt das nicht wirklich, sondern er stürzt ab. Das Verhalten ist auch unter Document ID 3665923 bei Novell dokumentiert. Siehe hier: Search Results Page Wir haben derartige Versuche jetzt an der FW blockiert, möchten aber auch unseren DNS Server weiter absichern. Deswegen haben wir eine virt. Testumgebung erstellt. Dort können wir das Verhalten aber nicht nachstellen, weil die dyn. DNS Updates per UDP vom XP Client an den Test BIND Server übermittelt werden, womit BIND keine Probleme hat. Kann man für Update Versuche TCP erzwingen und wenn ja, wie? Christoph Zitieren
Christoph35 10 Geschrieben 9. Oktober 2007 Autor Melden Geschrieben 9. Oktober 2007 Muss dieses alte Thema noch mal hervorholen. Wir konnten inzwischen ermitteln, dass der BIND nur dann abstürzt, wenn der Update Request von einem W2K Client kommt. XP oder Server 2003 sind nicht betroffen. Also: was macht W2K beim Dyn. DNS Update anders als XP/2003?! Christoph Zitieren
Daim 12 Geschrieben 9. Oktober 2007 Melden Geschrieben 9. Oktober 2007 Servus, Also: was macht W2K beim Dyn. DNS Update anders als XP/2003?!Christoph wie wär es, wenn du einen Sniffer dazwischen hängst und die versendeten Pakete, einmal vom Windows 2000 und einmal vom XP-Client analysierst? Zitieren
Christoph35 10 Geschrieben 9. Oktober 2007 Autor Melden Geschrieben 9. Oktober 2007 Werd ich mal machen. Ich hatte eben darauf spekuliert/gehofft, dass vielleicht schon jemand die Antwort weiß ;-) Christoph Zitieren
Christoph35 10 Geschrieben 9. Oktober 2007 Autor Melden Geschrieben 9. Oktober 2007 So, im Anhang mal 2 WireShark-Captures, 1x von einem XP-Client aus, 1x von einem W2K-Prof-Client aus. Im letzteren sieht man in einem Paket, dass W2K ein Update mitsamt Kerberos Daten und über TCP schickt, und dieses Paket lässt den Bind abstürzen, wenn er chrooted läuft. XP macht das nicht. Wir haben jetzt mal auf den W2K-Rechnern, die wir "erwischt" haben, dyn. DNS abgeschaltet und lt. Novell Artikel (s. Post #1) den BIND umkonfiguriert. Wenn jemand eine bessere Lösung anzubieten hat: nur her damit :) Christoph dnsupdate_chrooted.zip Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.