Отмена удаленного администрирования службы сервера DNS в Windows Server 2003 и в Windows 2000 Server

Переводы статьи Переводы статьи
Код статьи: 936263 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание! Статья содержит сведения о внесении изменений в системный реестр. Перед внесением изменений рекомендуется создать резервную копию системного реестра. и изучить процедуру его восстановления. Для получения дополнительных сведений о создании резервной копии, восстановлении и изменении реестра щелкните следующий номер статьи базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Введение

В этой статье описывается отключение удаленного управления DNS-сервера под управлением одной из следующих операционных систем.
  • Microsoft Windows Server 2003;
  • Microsoft Windows 2000 Server
Можно использовать метод, описанный в этой статье, чтобы лучшить безопасность компьютеров организации под управлением службы сервера DNS.

Для получения дополнительных сведений о проблемах, которые оказывают влияние на службу сервера DNS в Windows Server 2003 и в Windows 2000 Server, обратитесь к следующему веб-узлу корпорации Майкрософт:
http://www.microsoft.com/rus/technet/security/bulletin/ms07-029.mspx

Дополнительная информация

Обзор

По умолчанию служба сервера DNS позволяет удаленное управление с использованием многих интерфейсов. При запуске службы сервера DNS она связывается с динамическим портом, входящим в диапазон временных портов. Этот порт использовался оснасткой DNS в консоли управления MMC и поставщиком DNS в инструментарии управления Windows (WMI). Слудующую запись реестра можно использовать для того, чтобы позволить или запретить удаленное управление службой сервера DNS:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters


Имя параметра: RpcProtocol
Тип параметра: REG_DWORD
Значение: 0x4
Для записи реестра RpcProtocol доступны следующие значения:
  • 0x1
    Данное значение соответствует значению DNS_RPC_USE_TCPIP
  • 0x2
    Данное значение соответствует значению DNS_RPC_USE_NAMED_PIPE
  • 0x4
    Данное значение соответствует значению DNS_RPC_USE_LPC
Примечание. Значение 0x4 ограничивает только вызовы LPC в интерфейсе DNS RPC. Это позволяет только локальное управление.

Эффект отключения удаленного управления

При задании значения записи реестра RpcProtocol равным 0x4 удаленное управление службы сервера DNS отключается. Таким образом для управления сервером DNS невозможно использовать службу удаленного вызова процедур (RPC) или инструментарий управления Windows (WMI). В этом сценарии средства управления сервером DNS перестают работать на удаленном компьютере. Тем не менее, сохраняется возможность использования локальных средств управления для управления сервером DNS, а также возможность осуществления удаленного управления сервером DNS с помощью подключения служб терминалов.

Установка значения RpcProtocol равным 0x4 не влияет на запросы DNS, динамические обновления DNS, перенос зон DNS и так далее.

Примечание. Локальное администрирование и конфигурация службы сервера DNS могут не работать при наличии следующих условий:
  • Имя управляемого сервера состоит из 15 символов.
  • Сервер выбирается с использованием его имени узла.
Для решения этой проблемы определите полное доменное имя (FQDN) компьютера с помощью средств администрирования сервера DNS.

Отключение удаленного управления службой сервера DNS

Внимание! Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к серьезным неполадкам и к необходимости переустановки операционной системы. Корпорация Майкрософт не гарантирует устранения этих неполадок. Ответственность за изменение реестра несет пользователь.

Чтобы отключить удаленное управление посредством службы удаленного вызова процедур (RPC) компьютера, работающего под управлением службы сервера DNS, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите команду Выполнить, введите в командную строку regedit и нажмите кнопку ОК.
  2. Найдите и выделите раздел
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  3. В меню Правка выберите пункт Создать, а затем – Параметр DWORD.
  4. В поле Новый параметр #1 введите RpcProtocol и нажмите клавишу ВВОД.
  5. Щелкните правой кнопкой мыши параметр RpcProtocol и выберите команду Изменить.
  6. В поле Значение введите 4 и нажмите кнопку ОК.
  7. Закройте редактор реестра и перезапустите службу сервера DNS. Чтобы перезапустить службу сервера DNS, выполните следующие действия:
    1. Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.
    2. Введите в командной строке следующую команду и нажмите клавишу ВВОД:
      net stop dns && net start dns

Развертывание значения реестра RpcProtocol на несколько компьютеров

Для развертывания значения реестра RpcProtocol можно использовать сценарий. Это позволит упростить процедуру отключения удаленного управления службой сервера DNS на нескольких компьютерах. Для этого выполните следующие действия.
  1. Войдите в домен с помощью учетной записи, имеющей разрешения для изменения серверов DNS. Например, войдите с учетной записью администратора домена.
  2. Создайте список всех серверов DNS. Для этого введите и запустите в командной строке следующую команду:
    dsquery * -filter "(servicePrincipalName=DNS*)" -attr dNSHostName -l > dns_servers.txt
    Если потребуется, вручную измените файл dns_servers.txt file, созданный для определения всех серверов DNS. Напрмер, эта команда только собирает контроллеры домена, настроенные в качестве серверов DNS. Таким образом, необходимо вручную добавить сервера DNS, настроенные в качестве рядовых серверов.

    Примечание. Можно использовать вкладку Имена серверов в зоне DNS диалогового окна Свойства для каждой зоны в оснастке DNS, чтобы определить имена серверов DNS, которые нужно добавить в список.
  3. При необходимости используйте команду cd для того, чтобы изменить каталог, в который сохраняется файл dns_servers.txt.
  4. Введите следующую команду и нажмите клавишу ВВОД:
    for /f %i in (dns_servers.txt) do reg add \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /t REG_DWORD /d 4 /f
    Эта команда добавляет запись реестра RpcProtocol со значением 0x4.
  5. Остановите службу сервера DNS на всех компьютерах. Для этого введите следующую команду и нажмите клавишу ВВОД:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  6. Запустите службу сервера DNS на всех компьютерах. Для этого введите следующую команду и нажмите клавишу ВВОД:
    for /f %i in (dns_servers.txt) do sc \\%i start DNS

Проверка того, что запись реестра RpcProtocol установлена на нескольких компьютерах

Чтобы запросить серверы и проверить, что запись реестра RpcProtocol установлена, выполните следующие действия.
  1. Войдите на сервер DNS, на котором установлена запись реестра RpcProtocol.
  2. Скопируйте приведенный ниже сценарий в текстовый файл и назовите его Dnsquery.cmd:
    Echo Comparing registry value for: > dns_errors.txt echo HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters >> dns_errors.txt 
    echo Data Value for "RpcProtocol" >> dns_errors.txt echo. >> dns_errors.txt echo. >> dns_errors.txt 
    Echo Errorlevel 1 - Failed to compare registry values >> dns_errors.txt 
    Echo Errorlevel 2 - Reg values compared are different >> dns_errors.txt echo. >> dns_errors.txt 
    echo. >> dns_errors.txt echo ===================================================== >> dns_errors.txt 
    set _MachineName= 
    for /f %%i in (dns_servers.txt) do ( call :TEST %%i )
    :TEST
    Set _MachineName=%1
    echo %_MachineName%
    reg.exe compare "HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" "\\%_MachineName%\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v RpcProtocol
    if %_MachineName% == "" echo 0 > nul
    if %errorlevel% == 0 echo 0 > nul
    if %errorlevel% == 1 Echo Computername: %_MachineName% Errorlevel returned: 1 - Failed >> dns_errors.txt
    if %errorlevel% == 2 Echo Computername: %_MachineName% Errorlevel returned: 2 - Different >> dns_errors.txt
    :End
    rem exit
    Примечение. Этот сценарий сравнивает раздел реестра Parameters на удаленных компьютерах с разделом реестра на компьютере, на котором запущен сценарий.

    Внимание! В этом сценарии не должно быть замыкающего пробела.
  3. Запустите файл Dnsquery.cmd, щелкнув его дважды.

Удаление значения реестра RpcProtocol на нескольких компьютерах

Чтобы отменить операцию установки значения реестра RpcProtocol, выполните следующие действия:
  1. Войдите в домен с помощью учетной записи, имеющей разрешения для изменения серверов DNS. Например, войдите с учетной записью администратора домена.
  2. Запустите командную строку и используйте команду cd для того, чтобы изменить каталог, в который сохраняется файл Dns_servers.txt.
  3. Введите следующую команду и нажмите клавишу ВВОД:
    for /f %i in (dns_servers.txt) do reg delete \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /f
  4. Остановите службу сервера DNS на всех компьютерах. Для этого введите следующую команду и нажмите клавишу ВВОД:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  5. Запустите службу сервера DNS на всех компьютерах. Для этого введите следующую команду и нажмите клавишу ВВОД:
    for /f %i in (dns_servers.txt) do sc \\%i start DNS

Свойства

Код статьи: 936263 - Последний отзыв: 15 мая 2007 г. - Revision: 2.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Ключевые слова: 
kberrmsg kbhowto kbinfo kbtshoot kbregistry KB936263

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com