Postup zakázání vzdálené správy služby Server DNS v systému Windows Server 2003 a Windows 2000 Server

Překlady článku Překlady článku
ID článku: 936263 - Produkty, které se vztahují k tomuto článku.
Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zazálohovat. Seznamte se také s postupem obnovení registru v případě, že nastane problém. Další informace o zálohování, obnovení a úpravě registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Tento článek popisuje postup zakázání vzdálené správy serveru DNS na serveru s jedním z následujících operačních systémů:
  • Microsoft Windows Server 2003,
  • Microsoft Windows 2000 Server.
Pomocí metody uvedené v tomto článku můžete zlepšit zabezpečení počítačů v organizaci, ve kterých je běží služba Server DNS.

Další informace o problému, který má vliv na službu Server DNS v systému Windows Server 2003 a v systému Windows 2000 Server, naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/cze/technet/security/Bulletin/MS07-029.mspx

Další informace

Přehled

Ve výchozím nastavení služba Server DNS umožňuje vzdálenou správu prostřednictvím řady rozhraní. Při spuštění vytvoří služba Server DNS vazbu k dynamickému portu v dočasném rozsahu. Tento port je používán modulem snap-in DNS konzoly MMC a zprostředkovatelem rozhraní WMI DNS. Pomocí následující položky registru lze řídit, zda služba Server DNS umožňuje vzdálenou správu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters


Název hodnoty: RpcProtocol
Typ hodnoty: REG_DWORD
Údaj hodnoty: 0x4
Pro položku registru RpcProtocol jsou k dispozici následující hodnoty:
  • 0x1
    Tato hodnota odpovídá nastavení DNS_RPC_USE_TCPIP.
  • 0x2
    Tato hodnota odpovídá nastavení DNS_RPC_USE_NAMED_PIPE.
  • 0x4
    Tato hodnota odpovídá nastavení DNS_RPC_USE_LPC.
Poznámka: Hodnota 0x4 omezuje rozhraní RPC služby DNS pouze na místní volání procedur. To umožňuje pouze místní správu.

Účinky zakázání vzdálené správy

Nastavením položky registru RpcProtocol na hodnotu 0x4 zakážete vzdálenou správu služby Server DNS. Z tohoto důvodu není možné ke správě serveru DNS použít rozhraní WMI (Windows Management Instrumentation) ani službu RPC. V takové situaci nebudou nástroje pro správu serveru DNS fungovat ze vzdáleného umístění. Stále je však možné spravovat server DNS pomocí místních nástrojů pro správu a je možná i vzdálená správa prostřednictvím připojení Terminálové služby.

Nastavení položky registru RpcProtocol na hodnotu 0x4 neovlivňuje dotazy DNS, dynamické aktualizace DNS, přenosy zón DNS atd.

Poznámka: Místní správa služby Server DNS a a její konfigurace nemusejí fungovat v případě splnění následujících podmínek:
  • Název hostitele serveru, který chcete spravovat, obsahuje 15 znaků.
  • Vybíráte server pomocí názvu hostitele.
Tento problém vyřešíte tak, že při správě prostřednictvím nástrojů pro správu serveru DNS zadáte plně kvalifikovaný název domény (FQDN) počítače.

Postup zakázání služby serveru DNS

Upozornění: Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

Chcete-li zakázat funkci vzdálené správy prostřednictvím služby RPC v počítači, ve kterém běží služba Server DNS, postupujte podle následujících kroků:
  1. V nabídce Start klepněte na příkaz Spustit, zadejte příkaz regedit a potom klepněte na tlačítko OK.
  2. Vyhledejte následující podklíč registru a klepněte na něj:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  3. V nabídce Úpravy přejděte na příkaz Nový a potom klepněte na příkaz Hodnota DWORD.
  4. Do pole Nová hodnota #1 zadejte řetězec RpcProtocol a stiskněte klávesu ENTER.
  5. Klepněte pravým tlačítkem myši na položku RpcProtocol a potom klepněte na příkaz Změnit.
  6. Do pole Údaj hodnoty zadejte hodnotu 4 a klepněte na tlačítko OK.
  7. Ukončete program Editor registru a restartujte službu Server DNS. Službu Server DNS restartujete následujícím způsobem:
    1. Klepněte na tlačítko Start a na příkaz Spustit, zadejte příkaz cmd a potom klepněte na tlačítko OK.
    2. Na příkazovém řádku zadejte následující příkaz a potom stiskněte klávesu ENTER:
      net stop dns && net start dns

Postup nasazení hodnoty registru RpcProtocol do více počítačů

Hodnotu registru RpcProtocol lze nasadit pomocí skriptu. To umožní snadněji zakázat vzdálenou správu služby Server DNS ve více počítačích. Postupujte následujícím způsobem:
  1. Přihlaste se k doméně pomocí účtu, který má práva upravovat servery DNS. Přihlaste se například jako správce domény.
  2. Vytvořte seznam všech serverů DNS. Na příkazovém řádku zadejte následující příkaz:
    dsquery * -filter "(servicePrincipalName=DNS*)" -attr dNSHostName -l > dns_servers.txt
    V případě potřeby ručně upravte soubor dns_servers.txt, do kterého příkaz zapíše všechny severy DNS. Například tento příkaz zaznamená pouze řadiče domén nakonfigurované jako servery DNS. Je tedy třeba ručně přidat servery DNS, které jsou nakonfigurované jako členské servery.

    Poznámka: Názvy serverů DNS, které chcete přidat do tohoto seznamu, můžete určit pomocí karty Názvové servery v dialogovém okně Zóna DNS – vlastnosti pro každou zónu v modulu snap-in DNS.
  3. V případě potřeby použijte na příkazovém řádku příkaz cd, pomocí kterého přejdete do adresáře, do kterého jste uložili soubor dns_servers.txt.
  4. Zadejte následující příkaz a pak stiskněte klávesu ENTER:
    for /f %i in (dns_servers.txt) do reg add \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /t REG_DWORD /d 4 /f
    Tento příkaz přidá položku registru RpcProtocol spolu s nastavenou hodnotou 0x4.
  5. Zastavte službu Server DNS ve všech počítačích. Chcete-li toto provést, zadejte následující příkaz a stiskněte klávesu ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  6. Spusťte službu Server DNS ve všech počítačích. Chcete-li toto provést, zadejte následující příkaz a stiskněte klávesu ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i start DNS

Postup ověření nastavení položky registru RpcProtocol ve více počítačích

Chcete-li dotazováním serverů ověřit, zda je nastavená položka registru RpcProtocol, postupujte takto:
  1. Přihlaste se k serveru DNS, na kterém je nastavená položka registru RpcProtocol.
  2. Zkopírujte následující skript do textového souboru a pak tento soubor nazvěte Dnsquery.cmd:
    Echo Comparing registry value for: > dns_errors.txt echo HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters >> dns_errors.txt 
    echo Data Value for "RpcProtocol" >> dns_errors.txt echo. >> dns_errors.txt echo. >> dns_errors.txt
    Echo Errorlevel 1 - Failed to compare registry values >> dns_errors.txt
    Echo Errorlevel 2 - Reg values compared are different >> dns_errors.txt echo. >> dns_errors.txt 
    echo. >> dns_errors.txt echo ===================================================== >> dns_errors.txt 
    set _MachineName=
    for /f %%i in (dns_servers.txt) do ( call :TEST %%i )
    :TEST
    Set _MachineName=%1
    echo %_MachineName%
    reg.exe compare "HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" "\\%_MachineName%\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v RpcProtocol
    if %_MachineName% == "" echo 0 > nul
    if %errorlevel% == 0 echo 0 > nul
    if %errorlevel% == 1 Echo Computername: %_MachineName% Errorlevel returned: 1 - Failed >> dns_errors.txt
    if %errorlevel% == 2 Echo Computername: %_MachineName% Errorlevel returned: 2 - Different >> dns_errors.txt
    :End
    rem exit
    Poznámka: Tento skript porovnává podklíč registru Parameters ve vzdálených počítačích s podklíčem v počítači, ve kterém je skript spuštěn.

    Důležité: Skript nesmí obsahovat žádné mezery na konci.
  3. Poklepáním spusťte soubor Dnsquery.cmd.

Postup odstranění hodnoty registru RpcProtocol z více počítačů

Chcete-li vrátit zpět operaci, která nastavuje hodnotu registru RpcProtocol, postupujte podle následujících kroků:
  1. Přihlaste se k doméně pomocí účtu, který má práva upravovat servery DNS. Přihlaste se například jako správce domény.
  2. Spusťte příkazový řádek a pomocí příkazu cd přejděte do adresáře s uloženým souborem Dns_servers.txt file.
  3. Zadejte následující příkaz a pak stiskněte klávesu ENTER:
    for /f %i in (dns_servers.txt) do reg delete \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /f
  4. Zastavte službu Server DNS ve všech počítačích. Chcete-li toto provést, zadejte následující příkaz a stiskněte klávesu ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  5. Spusťte službu Server DNS ve všech počítačích. Chcete-li toto provést, zadejte následující příkaz a stiskněte klávesu ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i start DNS

Vlastnosti

ID článku: 936263 - Poslední aktualizace: 13. května 2007 - Revize: 2.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Klíčová slova: 
kberrmsg kbhowto kbinfo kbtshoot kbregistry KB936263

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com