Deaktivere ekstern administrasjon av DNS-servertjenesten i Windows Server 2003 og i Windows 2000 Server

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 936263 - Vis produkter som denne artikkelen gjelder for.
Viktig!  Denne artikkelen inneholder informasjon om hvordan du endrer registret. Husk å ta sikkerhetskopi av registret før du foretar endringer i det. Kontroller at du vet hvordan du gjenoppretter registret i tilfelle det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer, gjenoppretter og endrer registret, kan du klikke følgende artikkel i Microsoft Knowledge Base:
256986 Beskrivelse av Microsoft Windows-registret (denne artikkelen kan være på engelsk)
Vis alt | Skjul alt

På denne siden

INNLEDNING

Denne artikkelen beskriver hvordan du deaktiverer ekstern administrasjon av en DNS-server som kjører et av følgende operativsystemer:
  • Microsoft Windows Server 2003
  • Microsoft Windows 2000 Server
Du kan bruke metoden som beskrives i denne artikkelen, til å forbedre sikkerheten for datamaskinene som kjører DNS-servertjenesten i en organisasjon.

Hvis du vil ha mer informasjon om et problem som berører DNS-servertjenesten i Windows Server 2003 og i Windows 2000 Server, kan du gå til følgende Microsoft-webområde:
http://www.microsoft.com/technet/security/bulletin/MS03-029.mspx

Mer informasjon

Oversikt

Som standard tillates ekstern administrasjon av DNS-servertjenesten ved hjelp av mange forskjellige grensesnitt. Når DNS-servertjenesten starter, binder den seg til en dynamisk port i området med midlertidige porter. Denne porten brukes av snapin-modulen Microsoft Management Console (MMC) for DNS og av WMI-leverandøren (Windows Management Instrumentation) for DNS. Du kan bruke følgende registeroppføring til å angi om ekstern administrasjon av DNS-servertjenesten skal være tillatt eller ikke:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters


Verdinavn: RpcProtocol
Verditype: REG_DWORD
Verdidata: 0x4
Følgende verdier er tilgjengelig for registeroppføringen RpcProtocol:
  • 0x1
    Denne verdien tilsvarer innstillingen DNS_RPC_USE_TCPIP
  • 0x2
    Denne verdien tilsvarer innstillingen DNS_RPC_USE_NAMED_PIPE
  • 0x4
    Denne verdien tilsvarer innstillingen DNS_RPC_USE_LPC
Obs!  Verdien 0x4 begrenser RPC-grensesnittet for DNS til å gjelde bare lokale prosedyrekall. Dette betyr at bare lokal administrasjon er mulig.

Virkningen av å deaktivere ekstern administrasjon

Når du setter registeroppføringen for RpcProtocol til 0x4, vil ekstern administrasjon av DNS-servertjenesten være deaktivert. Derfor vil du ikke kunne bruke RPC eller WMI (Windows Management Instrumentation) til å administrere DNS-serveren. I dette scenariet vil behandlingsverktøy for DNS-servere ikke lenger fungere fra en ekstern plassering. Imidlertid vil du fortsatt kunne bruke lokale behandlingsverktøy til å administrere DNS-serveren, og du vil fortsatt kunne utføre ekstern administrasjon av DNS-serveren ved å bruke en tilkobling via Terminal Services.

Hvis innstillingen for RpcProtocol settes til 0x4, vil dette ikke påvirke DNS-spørringer, dynamiske DNS-oppdateringer, DNS-soneoverføringer og så videre.

Obs!  Det er ikke sikkert at lokal administrasjon og konfigurasjon av DNS-servertjenesten vil fungere under følgende forhold:
  • Serveren du vil administrere, har et vertsnavn som inneholder 15 tegn.
  • Du velger serveren ved hjelp av dens vertsnavn.
Du kan løse dette problemet ved å angi datamaskinens fullstendige domenenavn (FQDN) når du administrerer den ved hjelp av behandlingsverktøy for DNS-server.

Deaktivere ekstern administrasjon av DNS-servertjenesten

Advarsel!  Det kan oppstå alvorlige problemer hvis du endrer registret på feil måte ved hjelp av Registerredigering eller en annen metode. Disse problemene kan føre til at du må installere operativsystemet på nytt. Microsoft garanterer ikke at disse problemene kan løses. Endring av registret skjer på eget ansvar.

Følg disse trinnene for å deaktivere ekstern administrasjon av en datamaskin som kjører DNS-servertjenesten, ved hjelp av RPC-funksjonaliteten:
  1. Klikk Start, Kjør, skriv inn regedit og klikk deretter OK.
  2. Finn og klikk følgende registerundernøkkel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  3. Klikk NyRediger-menyen, og klikk deretter DWORD-verdi.
  4. Skriv inn RpcProtocol i boksen Ny verdi nr. 1, og trykk deretter ENTER.
  5. Høyreklikk RpcProtocol, og klikk deretter Endre.
  6. I Verdidata-boksen skriver du inn 4, og deretter klikker du OK.
  7. Avslutt Registerredigering og start DNS-servertjenesten på nytt. Følg disse trinnene for å starte DNS-servertjenesten på nytt:
    1. Klikk Start, Kjør, skriv inn cmd, og klikk deretter OK.
    2. Skriv inn følgende kommando ved ledeteksten, og trykk deretter ENTER:
      net stop dns && net start dns

Distribuere registerverdien for RpcProtocol til mange datamaskiner

Du kan bruke et skript til å distribuere registerverdien for RpcProtocol. På denne måten kan du enkelt deaktivere ekstern administrasjon av DNS-servertjenesten på mange datamaskiner. Slik gjør du dette:
  1. Logg deg på domenet ved hjelp av en konto som gir rettigheter til å endre DNS-serverne. For eksempel kan du logge deg på som domeneadministrator.
  2. Opprett en liste over alle DNS-serverne. Du kan oppnå dette ved å kjøre følgende kommando ved en ledetekst:
    dsquery * -filter "(servicePrincipalName=DNS*)" -attr dNSHostName -l > dns_servers.txt
    Hvis det er nødvendig, kan du redigere filen dns_servers.txt, som ble opprettet ved hjelp av kommandoen over, for å angi alle DNS-serverne. For eksempel vil denne kommandoen bare registrere domenekontrollere som er konfigurert som DNS-servere. Derfor må du legge til DNS-servere som er konfigurert som medlemsservere, manuelt.

    Obs!  Du kan bruke kategorien Navneservere i dialogboksen Egenskaper for DNS-sone for hver sone i snapin-modulen for DNS, til å finne navnene på DNS-serverne du ønsker å legge til i denne listen.
  3. Hvis det er nødvendig, kan du bruke cd-kommandoen ved ledeteksten til å gå til katalogen der filen dns_servers.txt er lagret.
  4. Skriv inn følgende kommando, og trykk deretter ENTER:
    for /f %i in (dns_servers.txt) do reg add \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /t REG_DWORD /d 4 /f
    Denne kommandoen legger til registeroppføringen RpcProtocol, og gir den verdien 0x4.
  5. Stopp DNS-servertjenesten på alle datamaskinene. Dette gjør du ved å skrive inn følgende kommando og deretter trykke ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  6. Start DNS-servertjenesten på alle datamaskinene. Dette gjør du ved å skrive inn følgende kommando og deretter trykke ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i start DNS

Kontrollere at registeroppføringen for RpcProtocol er satt på mange datamaskiner

Følg disse trinnene for å kjøre en spørring mot serverne, og kontrollere at registeroppføringen for RpcProtocol er satt:
  1. Logg deg på en DNS-server der registeroppføringen for RpcProtocol er satt.
  2. Kopier følgende skript til en tekstfil, og gi denne filen navnet Dnsquery.cmd:
    Echo Comparing registry value for: > dns_errors.txt echo HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters >> dns_errors.txt 
    echo Data Value for "RpcProtocol" >> dns_errors.txt echo. >> dns_errors.txt echo. >> dns_errors.txt 
    Echo Errorlevel 1 - Failed to compare registry values >> dns_errors.txt  
    Echo Errorlevel 2 - Reg values compared are different >> dns_errors.txt echo. >> dns_errors.txt 
    echo. >> dns_errors.txt echo ===================================================== >> dns_errors.txt 
    set _MachineName= 
    for /f %%i in (dns_servers.txt) do ( call :TEST %%i )
    :TEST
    Set _MachineName=%1
    echo %_MachineName%
    reg.exe compare "HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" "\\%_MachineName%\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v RpcProtocol
    if %_MachineName% == "" echo 0 > nul
    if %errorlevel% == 0 echo 0 > nul
    if %errorlevel% == 1 Echo Computername: %_MachineName% Errorlevel returned: 1 - Failed >> dns_errors.txt
    if %errorlevel% == 2 Echo Computername: %_MachineName% Errorlevel returned: 2 - Different >> dns_errors.txt
    :End
    rem exit
    Obs!  Dette skriptet sammenligner registerundernøkkelen Parameters på de eksterne datamaskinene, med den tilsvarende registerundernøkkelen på datamaskinen skriptet kjøres fra.

    Viktig!  Det må ikke finnes linjer med etterfølgende mellomrom i dette skriptet.
  3. Dobbeltklikk filen Dnsquery.cmd for å kjøre den.

Fjerne registerverdien for RpcProtocol fra mange datamaskiner

Du kan gjøre om operasjonen som setter registerverdien for RpcProtocol, ved å følge denne fremgangsmåten:
  1. Logg deg på domenet ved hjelp av en konto som gir rettigheter til å endre DNS-serverne. For eksempel kan du logge deg på som domeneadministrator.
  2. Start en ledetekst, og bruk deretter cd-kommandoen til å gå til katalogen der filen dns_servers.txt er lagret.
  3. Skriv inn følgende kommando, og trykk deretter ENTER:
    for /f %i in (dns_servers.txt) do reg delete \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /f
  4. Stopp DNS-servertjenesten på alle datamaskinene. Dette gjør du ved å skrive inn følgende kommando og deretter trykke ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  5. Start DNS-servertjenesten på alle datamaskinene. Dette gjør du ved å skrive inn følgende kommando og deretter trykke ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i start DNS

Egenskaper

Artikkel-ID: 936263 - Forrige gjennomgang: 15. mai 2007 - Gjennomgang: 2.1
Informasjonen i denne artikkelen gjelder:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Nøkkelord: 
kberrmsg kbhowto kbinfo kbtshoot kbregistry KB936263

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com