Christoph35 10 Geschrieben 14. September 2007 Melden Teilen Geschrieben 14. September 2007 Hallo, zusammen, wir haben aktuell ein Problem, dass Clients versuchen, mittels TCP/IP Port 53 ein dynamisches DNS Update durchzuführen. Unserem BIND Server gefällt das nicht wirklich, sondern er stürzt ab. Das Verhalten ist auch unter Document ID 3665923 bei Novell dokumentiert. Siehe hier: Search Results Page Wir haben derartige Versuche jetzt an der FW blockiert, möchten aber auch unseren DNS Server weiter absichern. Deswegen haben wir eine virt. Testumgebung erstellt. Dort können wir das Verhalten aber nicht nachstellen, weil die dyn. DNS Updates per UDP vom XP Client an den Test BIND Server übermittelt werden, womit BIND keine Probleme hat. Kann man für Update Versuche TCP erzwingen und wenn ja, wie? Christoph Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 9. Oktober 2007 Autor Melden Teilen Geschrieben 9. Oktober 2007 Muss dieses alte Thema noch mal hervorholen. Wir konnten inzwischen ermitteln, dass der BIND nur dann abstürzt, wenn der Update Request von einem W2K Client kommt. XP oder Server 2003 sind nicht betroffen. Also: was macht W2K beim Dyn. DNS Update anders als XP/2003?! Christoph Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 9. Oktober 2007 Melden Teilen Geschrieben 9. Oktober 2007 Servus, Also: was macht W2K beim Dyn. DNS Update anders als XP/2003?!Christoph wie wär es, wenn du einen Sniffer dazwischen hängst und die versendeten Pakete, einmal vom Windows 2000 und einmal vom XP-Client analysierst? Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 9. Oktober 2007 Autor Melden Teilen Geschrieben 9. Oktober 2007 Werd ich mal machen. Ich hatte eben darauf spekuliert/gehofft, dass vielleicht schon jemand die Antwort weiß ;-) Christoph Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 9. Oktober 2007 Autor Melden Teilen Geschrieben 9. Oktober 2007 So, im Anhang mal 2 WireShark-Captures, 1x von einem XP-Client aus, 1x von einem W2K-Prof-Client aus. Im letzteren sieht man in einem Paket, dass W2K ein Update mitsamt Kerberos Daten und über TCP schickt, und dieses Paket lässt den Bind abstürzen, wenn er chrooted läuft. XP macht das nicht. Wir haben jetzt mal auf den W2K-Rechnern, die wir "erwischt" haben, dyn. DNS abgeschaltet und lt. Novell Artikel (s. Post #1) den BIND umkonfiguriert. Wenn jemand eine bessere Lösung anzubieten hat: nur her damit :) Christoph dnsupdate_chrooted.zip Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.