Zakázání vzdálené správy služby DNS Server v systému Windows Server 2003 a Windows 2000 Server

ÚVOD

Tento článek popisuje postup zakázání vzdálené správy serveru DNS, který je spuštěn některý z následujících operačních systémů:
  • Microsoft Windows Server 2003
  • Microsoft Windows 2000 Server
Můžete použít metodu, která je uvedena v tomto článku můžete zlepšit zabezpečení počítačů, které běží služba DNS Server v organizaci.

Další informace o problému, který má vliv na službu serveru DNS v systému Windows Server 2003 a Windows 2000 Server naleznete na následujícím webu společnosti Microsoft:

Další informace

Přehled

Ve výchozím nastavení služba DNS Server umožňuje vzdálenou správu prostřednictvím řady rozhraní. Při spuštění služby serveru DNS vytvoří vazbu se dynamických portů v rozsahu dočasných. Tento port je používán modulem snap-in DNS konzoly konzola Microsoft Management Console (MMC) a poskytovatelem služby DNS systému Windows Management Instrumentation (WMI). Můžete použít následující položky registru lze řídit, zda služba DNS Server umožňuje vzdálenou správu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Název hodnoty: RpcProtocol
Typ hodnoty: REG_DWORD
Údaj hodnoty: 0x4
K dispozici pro položku registru RpcProtocol jsou následující hodnoty:
  • 0x1
    Tato hodnota odpovídá nastavení DNS_RPC_USE_TCPIP.
  • 0x2
    Tato hodnota odpovídá nastavení DNS_RPC_USE_NAMED_PIPE.
  • 0x4
    Tato hodnota odpovídá nastavení DNS_RPC_USE_LPC.
Poznámka: Hodnota 0x4 omezuje rozhraní RPC služby DNS pouze volání místní procedury. To umožňuje pouze místní správu.

Za následek zakázání vzdálené správy

Pokud nastavíte položku registru RpcProtocol na hodnotu 0x4, je zakázáno vzdálenou správu služby DNS Server. Proto nelze použít RPC nebo Windows Management Instrumentation (WMI) ke správě serveru DNS. V tomto scénáři nástroje pro správu serveru DNS fungovat ze vzdáleného umístění. Však můžete stále použít nástroje správy místní ke správě serveru DNS a může i nadále provádět vzdálené správy serveru DNS prostřednictvím připojení Terminálové služby.

Nastavení položky registru RpcProtocol na hodnotu 0x4 neovlivňuje dotazy DNS, dynamická aktualizace DNS, DNS, přenos zón atd.

Poznámka: Místní Správa služby DNS Server a konfigurace nemusí fungovat, pokud jsou splněny následující podmínky:
  • Server, který chcete spravovat, má název hostitele, který obsahuje 15 znaků.
  • Vyberte server pomocí názvu hostitele.
Chcete-li tento problém vyřešit, zadejte úplný doménový název (FQDN) počítače při správě pomocí nástroje pro správu serveru DNS.

Chcete-li zakázat vzdálenou správu služby DNS Server

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows


Chcete-li zakázat funkci vzdálené správy prostřednictvím funkce RPC počítači je spuštěna služba DNS Server, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.
  2. Vyhledejte a vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  3. V nabídce Úpravy přejděte na příkaz Nový a klepněte na příkaz Hodnota DWORD.
  4. Do pole Nová hodnota #1 zadejte RpcProtocola stiskněte klávesu ENTER.
  5. RpcProtocolklepněte pravým tlačítkem myši a potom klepněte na příkaz změnit.
  6. V poli Údaj hodnoty zadejte 4a potom klepněte na tlačítko OK.
  7. Ukončete Editor registru a restartujte službu serveru DNS. Chcete-li restartovat službu serveru DNS, postupujte takto:
    1. Klepněte na tlačítko Start, na příkaz Spustit, zadejte příkaz cmd a klepněte na tlačítko OK.
    2. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
      net stop dns & & net start dns

Chcete-li nasadit hodnotu registru RpcProtocol do mnoha počítačů

Skript můžete použít k nasazení hodnotu registru RpcProtocol. To umožňuje snadněji zakázat vzdálenou správu služby DNS Server ve více počítačích. Chcete-li to provést, postupujte takto:
  1. Přihlaste se k doméně pomocí účtu, který má práva k úpravám servery DNS. Přihlaste se například jako správce domény.
  2. Vytvoření seznamu všech serverů DNS. Chcete-li to provést, spusťte následující příkaz na příkazovém řádku:
    dsquery *-filtr "(servicePrincipalName = DNS *)" - attr dNSHostName -l > dns_servers.txt
    V případě potřeby ručně upravte soubor dns_servers.txt, vytvořený k určení všech serverů DNS. Tento příkaz například zaznamená pouze řadiče domény, které jsou nakonfigurovány jako servery DNS. Proto je třeba ručně přidat servery DNS, které jsou nakonfigurovány jako členské servery.

    Poznámka: Na kartě Názvové servery v dialogovém okně Vlastnosti zóny DNS můžete použít pro každou zónu v modulu snap-in DNS k určení názvů serverů DNS, které chcete přidat do tohoto seznamu.
  3. V případě potřeby pomocí příkazu cd na příkazovém řádku přejděte do adresáře, do kterého jste uložili soubor dns_servers.txt.
  4. Zadejte následující příkaz a stiskněte klávesu ENTER:
    pro /f %i in (dns_servers.txt) reg přidáte \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /t REG_DWORD /d 4 /f
    Tento příkaz přidá položku registru RpcProtocol spolu s hodnotou 0x4.
  5. Zastavte službu DNS Server ve všech počítačích. Chcete-li to provést, zadejte následující příkaz a stiskněte klávesu ENTER:
    pro /f %i in (dns_servers.txt) proveďte sc \\%i zastavte DNS
  6. Spusťte službu DNS Server ve všech počítačích. Chcete-li to provést, zadejte následující příkaz a stiskněte klávesu ENTER:
    pro /f %i in (dns_servers.txt) proveďte sc \\%i spuštění služby DNS

Chcete-li ověřit, že je nastavena položka registru RpcProtocol ve více počítačích

Dotazy servery a zkontrolujte, zda je nastavena položka registru RpcProtocol, postupujte takto:
  1. Přihlaste se k serveru DNS, který má nastavit položku registru RpcProtocol.
  2. Zkopírujte následující skript do textového souboru a potom tento soubor nazvěte Dnsquery.cmd:
    Echo Comparing registry value for: > dns_errors.txt echo HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters >> dns_errors.txt echo Data Value for "RpcProtocol" >> dns_errors.txt echo. >> dns_errors.txt echo. >> dns_errors.txt 
    Echo Errorlevel 1 - Failed to compare registry values >> dns_errors.txt
    Echo Errorlevel 2 - Reg values compared are different >> dns_errors.txt echo. >> dns_errors.txt
    echo. >> dns_errors.txt echo ===================================================== >> dns_errors.txt
    set _MachineName=
    for /f %%i in (dns_servers.txt) do ( call :TEST %%i )
    :TEST
    Set _MachineName=%1
    echo %_MachineName%
    reg.exe compare "HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" "\\%_MachineName%\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v RpcProtocol
    if %_MachineName% == "" echo 0 > nul
    if %errorlevel% == 0 echo 0 > nul
    if %errorlevel% == 1 Echo Computername: %_MachineName% Errorlevel returned: 1 - Failed >> dns_errors.txt
    if %errorlevel% == 2 Echo Computername: %_MachineName% Errorlevel returned: 2 - Different >> dns_errors.txt
    :End
    rem exit
    Poznámka: Tento skript porovnává podklíč registru Parameters ve vzdálených počítačích, chcete-li v počítači, kde spustíte skript.

    Důležité: Tento skript musí být znaky bez mezer.
  3. Poklepáním spusťte soubor Dnsquery.cmd.

Chcete-li odstranit hodnotu registru RpcProtocol z více počítačů

Chcete-li zrušit operaci, která nastaví hodnotu registru RpcProtocol, postupujte takto:
  1. Přihlaste se k doméně pomocí účtu, který má práva k úpravám servery DNS. Přihlaste se například jako správce domény.
  2. Spusťte příkazový řádek a pomocí příkazu cd přejděte do adresáře, do kterého jste uložili soubor Dns_servers.txt.
  3. Zadejte následující příkaz a stiskněte klávesu ENTER:
    for /f %i in (dns_servers.txt) reg delete \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /f
  4. Zastavte službu DNS Server ve všech počítačích. Chcete-li to provést, zadejte následující příkaz a stiskněte klávesu ENTER:
    pro /f %i in (dns_servers.txt) proveďte sc \\%i zastavte DNS
  5. Spusťte službu DNS Server ve všech počítačích. Chcete-li to provést, zadejte následující příkaz a stiskněte klávesu ENTER:
    pro /f %i in (dns_servers.txt) proveďte sc \\%i spuštění služby DNS
Vlastnosti

ID článku: 936263 - Poslední kontrola: 14. 1. 2017 - Revize: 2

Váš názor