Sådan deaktiveres fjernadministration af DNS-servertjenesten i Windows Server 2003 og i Windows 2000 Server

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 936263 - Få vist de produkter, som denne artikel refererer til.
Vigtigt! Denne artikel indeholder oplysninger om redigering af registreringsdatabasen. Husk at tage en sikkerhedskopi af registreringsdatabasen, før du ændrer den. Sørg for, at du ved, hvordan registreringsdatabasen gendannes, hvis der opstår et problem. Du kan finde flere oplysninger om, hvordan du sikkerhedskopierer, gendanner og redigerer registreringsdatabasen, ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
256986 Beskrivelse af Microsoft Windows-registreringsdatabasen
Udvid alle | Skjul alle

På denne side

INTRODUKTION

I denne artikel beskrives, hvordan du deaktiverer DNS-fjernadministration af en DNS-server, der kører på et af følgende operativsystemer:
  • Microsoft Windows Server 2003
  • Microsoft Windows 2000 Server
Du kan bruge den metode, der er nævnt i denne artikel, til at forbedre sikkerheden på de computere, der kører DNS-servertjenesten i en virksomhed.

Du kan få flere oplysninger om et problem, der berører DNS-servertjenesten i Windows Server 2003 og i Windows 2000 Server, ved at besøge følgende Microsoft-websted:
http://www.microsoft.com/danmark/technet/sikkerhed/bulletin/2007/ms07-may.mspx

Yderligere Information

Oversigt

DNS-servertjenesten gør som standard fjernadministration muligt ved hjælp af mange grænseflader. Når DNS-servertjenesten starter, bindes den til en dynamisk port i det forbigående område. Denne port bruges af DNS MMC-snap-innen (Microsoft Management Console) og af DNS WMI-udbyderen (Windows Management Instrumentation). Du kan bruge følgende post i registreringsdatabasen for at kontrollere, om DNS-servertjenesten tillader fjernadministration:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters


Værdinavn: RpcProtocol
Værditype: REG_DWORD
Værdidata: 0x4
Følgende værdier er tilgængelige i RpcProtocol-posten i registreringsdatabasen:
  • 0x1
    Denne værdi svarer til en indstilling af DNS_RPC_USE_TCPIP
  • 0x2
    Denne værdi svarer til en indstilling af DNS_RPC_USE_NAMED_PIPE
  • 0x4
    Denne værdi svarer til en indstilling af DNS_RPC_USE_LPC
Bemærk! En værdi på 0x4 begrænser kun DNS RPC-grænsefladen til LPC-kald. Dette gør kun lokal administration mulig.

Virkningen af deaktivering af fjernadministration

Når du angiver RpcProtocol-posten i registreringsdatabasen til 0x4, deaktiveres fjernadministration af DNS-servertjenesten. Du kan derfor ikke bruge RPC eller WMI (Windows Management Instrumentation) til at administrere DNS-serveren. I dette scenario fungerer administrationsværktøjet til DNS-server ikke længere fra en fjernplacering. Du kan dog stadigvæk bruge lokale administrationsværktøjer til at administrere DNS-serveren, og du kan stadigvæk udføre fjernadministration af DNS-serveren ved hjælp af en Terminal Services-forbindelse.

Hvis du angiver RpcProtocol til 0x4, påvirkes DNS-forespørgsler, dynamiske DNS-opdateringer, DNS-zoneoverførsler osv. ikke.

Bemærk! Administration og konfiguration af DNS-servertjenesten fungerer muligvis ikke, hvis følgende forhold er gældende:
  • Den server, du vil administrere, har et værtsnavn på 15 tegn.
  • Du vælger serveren ved at bruge dets værtsnavn.
Du kan løse dette problem ved at angive computerens fulde domænenavn (FQDN), når du administrer det ved hjælp af administrationsværktøjerne til DNS-serveren.

Sådan deaktiverer du fjernadministration af DNS-servertjenesten

Advarsel!Der kan opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt ved hjælp af Registreringseditor eller andre metoder. Disse problemer kan bevirke, at du skal geninstallere operativsystemet. Microsoft kan ikke garantere, at sådanne problemer kan løses. Ændring af registreringsdatabasen sker på egen risiko.

Du kan deaktivere fjernadministration over RPC-funktionaliteten på en computer, der kører DNS-servertjenesten, ved at følge disse trin:
  1. Klik på Start, klik på Kør, skriv regedit, og klik derefter på OK.
  2. Find følgende undernøgle i registreringsdatabasen, og klik på den:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  3. Peg på Ny i menuen Rediger, og klik derefter på DWORD-værdi.
  4. Skriv RpcProtocol i feltet Ny værdi nr. 1, og tryk derefter på ENTER.
  5. Højreklik på RpcProtocol, og klik derefter på Rediger.
  6. Skriv 4 i feltet Værdidata, og klik derefter på OK.
  7. Luk Registreringseditor, og genstart DNS-servertjenesten. Du kan genstarte DNS-servertjenesten ved at følge disse trin:
    1. Klik på Start, klik på Kør, skriv cmd, og klik derefter på OK.
    2. Skriv følgende kommando ud for kommandoprompten, og tryk derefter på ENTER:
      net stop dns && net start dns

Sådan implementeres RpcProtocol-værdien i registreringsdatabasen i mange computere

Du kan bruge et script til at implementere RpcProtocol-værdien i registreringsdatabasen. Det gør det nemmere at deaktivere fjernadministration af DNS-servertjenesten på mange computere. Det kan du gøre ved at benytte følgende fremgangsmåde:
  1. Log på domænet ved hjælp af en konto, der har rettighed til at ændre DNS-servere. Log f.eks. på som en domæneadministrator.
  2. Opret en liste over alle DNS-servere. Du kan gøre dette ved at skrive følgende kommando ved en kommandoprompt:
    dsquery * -filter "(servicePrincipalName=DNS*)" -attr dNSHostName -l > dns_servers.txt
    Hvis det er nødvendigt, skal du manuelt redigere filen dns_servers.txt, der er oprettet for at angive alle DNS-serverne. Denne kommando opfanger f.eks. domænecontrollere, der er konfigureret som DNS-servere. Du skal derfor manuelt tilføje DNS-servere, der er konfigureret som medlemsservere.

    Bemærk! Du kan bruge fanen Navneservere i dialogboksen Egenskaber for DNS-zone for hver zone i DNS-snap-innen til at bestemme navnene på de DNS-servere, du vil føje til listen.
  3. Hvis det er nødvendigt, skal du bruge kommandoen cd efter kommandoprompten for at skifte til den mappe, hvor filen dns_servers.txt er gemt.
  4. Skriv følgende kommando, og tryk derefter på ENTER:
    for /f %i in (dns_servers.txt) do reg add \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /t REG_DWORD /d 4 /f
    Denne kommando tilføjer RpcProtocol-posten i registreringsdatabasen sammen med en værdi på 0x4.
  5. Stop DNS-servertjenesten på alle computerne. Det gør du ved at skrive følgende kommando og derefter trykke på ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  6. Start DNS-servertjenesten på alle computerne. Det gør du ved at skrive følgende kommando og derefter trykke på ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i start DNS

Sådan kontrolleres det, at RpcProtocol-posten i registreringsdatabasen er angivet på mange computere

Hvis du vil forespørge serverne og kontrollere, at RpcProtocol-posten i registreringsdatabasen er angivet, skal du følge disse trin:
  1. Log på en DNS-server, hvor RpcProtocol-posten i registreringsdatabasen er angivet.
  2. Kopier følgende script til en tekstfil, og navngiv derefter filen Dnsquery.cmd:
    Echo Comparing registry value for: > dns_errors.txt echo HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters >> dns_errors.txt 
    echo Data Value for "RpcProtocol" >> dns_errors.txt echo. >> dns_errors.txt echo. >> dns_errors.txt  
    Echo Errorlevel 1 - Failed to compare registry values >> dns_errors.txt  
    Echo Errorlevel 2 - Reg values compared are different >> dns_errors.txt echo. >> dns_errors.txt 
    echo. >> dns_errors.txt echo ===================================================== >> dns_errors.txt 
    set _MachineName= 
    for /f %%i in (dns_servers.txt) do ( call :TEST %%i )
    :TEST
    Set _MachineName=%1
    echo %_MachineName%
    reg.exe compare "HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" "\\%_MachineName%\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v RpcProtocol
    if %_MachineName% == "" echo 0 > nul
    if %errorlevel% == 0 echo 0 > nul
    if %errorlevel% == 1 Echo Computername: %_MachineName% Errorlevel returned: 1 - Failed >> dns_errors.txt
    if %errorlevel% == 2 Echo Computername: %_MachineName% Errorlevel returned: 2 - Different >> dns_errors.txt
    :End
    rem exit
    Bemærk! Dette script sammenligner undernøglen Parametre i registreringsdatabasen på fjerncomputere med den, der findes på den computer, hvor du kører scriptet.

    Vigtigt! Der må ingen efterfølgende mellemrum være i dette script.
  3. Dobbeltklik på filen Dnsquery.cmd for at køre den.

Sådan fjernes RpcProtocol-værdien i registreringsdatabasen fra mange computere

Du kan fortryde den handling, der angiver RpcProtocol-værdien i registreringsdatabasen, ved at følge disse trin:
  1. Log på domænet ved hjælp af en konto, der har rettighed til at ændre DNS-servere. Log f.eks. på som en domæneadministrator.
  2. Start en kommandoprompt, og brug derefter kommandoen cd for at skifte til den mappe, hvor filen dns_servers.txt er gemt.
  3. Skriv følgende kommando, og tryk derefter på ENTER:
    for /f %i in (dns_servers.txt) do reg delete \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /f
  4. Stop DNS-servertjenesten på alle computerne. Det gør du ved at skrive følgende kommando og derefter trykke på ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  5. Start DNS-servertjenesten på alle computerne. Det gør du ved at skrive følgende kommando og derefter trykke på ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i start DNS

Egenskaber

Artikel-id: 936263 - Seneste redigering: 16. maj 2007 - Redigering: 2.1
Oplysningerne i denne artikel gælder:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Nøgleord: 
kberrmsg kbhowto kbinfo kbtshoot kbregistry KB936263

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com