История изменений
Исправление Pinkbyte, (текущая версия) :
Там в настройках можно ему выставить адрес DNS сервера? И он будет приходить туда по kerberos?
Кому «ему»? Контроллеры домена шлют апдейты на адреса DNS-серверов, прописанных на сетевых интерфейсах(если это корневой домен), ну или выясняют у этих DNS-ов адреса серверов леса(если дочерний домен) и шлют апдейты туда.
Клиентским компьютерам DDNS мне без надобности - у нас там жёсткая политика на этот счёт, но при желании можно было и его настроить. Поэтому ACL-ями(в терминах bind это update-policy, а не acl, но не суть) разрешено только определенным Kerberos-клиентам обновлять относящиеся к Active Directory зоны(_msdcs и прочие).
P.S. Маленькое уточнение к статье - форсировать DES абсолютно НЕ НУЖНО. Что 2003 R2, что более новые сервера прекрасно могут использовать более новое и более безопасное шифрование. Более того - новый mit-krb5 по умолчанию не разрешает DES, считая его небезопасным(что логично)
Исправление Pinkbyte, :
Там в настройках можно ему выставить адрес DNS сервера? И он будет приходить туда по kerberos?
Кому «ему»? Контроллеры домена шлют апдейты на адреса DNS-серверов, прописанных на сетевых интерфейсах(если это корневой домен), ну или выясняют у этих DNS-ов адреса серверов леса(если дочерний домен) и шлют апдейты туда.
Клиентским компьютерам DDNS мне без надобности - у нас там жёсткая политика на этот счёт, но при желании можно было и его настроить. Поэтому ACL-ями(в терминах bind это update-policy, а не acl, но не суть) разрешено только определенным Kerberos-клиентам обновлять относящиеся к Active Directory зоны(_msdcs и прочие).
P.S. Маленькое уточнение - форсировать DES абсолютно НЕ НУЖНО. Что 2003 R2, что более новые сервера прекрасно могут использовать более новое и более безопасное шифрование
Исправление Pinkbyte, :
Там в настройках можно ему выставить адрес DNS сервера? И он будет приходить туда по kerberos?
Кому «ему»? Контроллеры домена шлют апдейты на адреса DNS-серверов, прописанных на сетевых интерфейсах(если это корневой домен), ну или выясняют у этих DNS-ов адреса серверов леса(если дочерний домен) и шлют апдейты туда.
Клиентским компьютерам DDNS мне без надобности - у нас там жёсткая политика на этот счёт, но при желании можно было и его настроить. Поэтому ACL-ями(в терминах bind это update-policy, а не acl, но не суть) разрешено только определенным Kerberos-клиентам обновлять относящиеся к Active Directory зоны(_msdcs и прочие).
Исходная версия Pinkbyte, :
Там в настройках можно ему выставить адрес DNS сервера? И он будет приходить туда по kerberos?
Кому «ему»? Контроллеры домена шлют апдейты на адреса DNS-серверов, прописанных на сетевых интерфейсах(если это корневой домен), ну или выясняют у этих DNS-ов адреса серверов леса(если дочерний домен) и шлют апдейты туда.
Клиентским компьютерам DDNS мне без надобности - у нас там жёсткая политика на этот счёт, но при желании можно было и его настроить. Поэтому ACL-ями(в терминах bind это update-policy, а не acl, но не суть) разрешено только определенным Kerberos-клиентам обновлять относящиеся к Active Directory зоны(_msdcs и прочие).