Sunday, April 18, 2010

5 maj i DNSSEC.

Piątego maja na serwerach root zostanie dokonana zmiana protokołu DNS na DNSSec [Źródło]. Jeśli ktoś posiada w swojej infrastrukturze Windows Server 2003, to rezultat testów obsługi pakietów większych niż 512 bajtów (nslookup -q=txt rs.dns-oarc.net.) może wyglądać  tak:



Włączenie wsparcia większych pakietów jest dość proste i odbywa się za pomocą komendy:


dnscmd NazwaServera /config /EnableEdnsProbes 1


Po odświeżeniu konfiguracji serwera DNS, około 30-40 sec, powinniśmy dostać lepsze wyniki:



Jeśli mimo zmian w konfiguracji usługi DNS nadal otrzymujemy pakiety nie większe niż 512 bajtów, to należy sprawdzić czy nasza zapora nie odcina większych pakietów.

Friday, April 9, 2010

DHCP – Wykluczyć cały zakres?

Sytuacja dość prosta i czasem spotykana w różnych organizacjach.

  • Mamy sobie sieć:10.10.0.0/16.
  • Tworzymy na serwerze DHCP zakres dystrybucji adresów (Scope) 10.10.1.0-10.10.3.254.
  • Na ten zakres narzucamy wykluczenie 10.10.1.0-10.10.3.254.
  • Do bazy DHCP dodajemy kolejne rezerwacje dla odpowiednich hostów.
  • I mamy usługę, która rozdaje adresy tylko dla osób z odpowiednim adresem MAC.

 

Aby rozwiać wątpliwości niektórych osób, rezerwacje są ważniejsze od wykluczeń. Informacje o tym fakcie można znaleźć w KB196066. Tak, wiem parę osób zaraz zarzuci mi informacją, że przecież w Windows Server 2008 R2 nie można dodawać rezerwacji spoza zakresu KB2005980. Na szczęście dodawanie rezerwacji z poza zakresu nie oznacza dodawania rezerwacji z przestrzeni, która została wycięta poprzez wykluczenie.

W skrócie, od Windows Server 2008 R2 nie można dodać rezerwacji adresu 10.10.0.10 do bazy serwera DHCP, jednak dodanie rezerwacji dla 10.10.2.100 jest możliwe.