J'ai plusieurs systèmes Windows dans un réseau Linux avec BIND9 DNS ainsi qu'un domaine Active Directory. Nous n'utilisons pas les contrôleurs de domaine Windows pour le DNS. Afin de garantir que tous les systèmes sont enregistrés dans le DNS, j'ai déployé un script sur chaque système qui utilise le binaire nsupdate de Windows pour enregistrer les systèmes Windows dans BIND. Cela fonctionne bien pour les ordinateurs de bureau et les ordinateurs portables et se déclenche sur le changement d'état du réseau.
Le souci ici est que si la clé TSIG est compromise sur ces postes de travail, tout enregistrement interne pourrait être mis à jour ou supprimé. J'ai atténué ce problème en configurant le script et les fichiers clés pour qu'ils soient lisibles uniquement par le compte SYSTEM et les systèmes sont tous FDE avec une broche de démarrage.
Les noms d'hôtes de l'organisation suivent une convention répétitive, et les postes de travail commencent toujours par W. Existe-t-il un moyen de restreindre la clé d'hôte dans BIND9 pour qu'elle ne mette à jour ou n'ajoute que des hôtes avec ce préfixe ?
Je voudrais éviter de créer une autre zone pour isoler les clés tsig des postes de travail du reste des services du compte, mais ce sera ma prochaine option.
0 votes
github.com/ACiDGRiM/UsefulScripts/blob/master/Update-DNS.ps1