---

Hej gruppe.
Jeg vil gerne forhindre vores brugere i at bruge Windowsupdate. Jeg kunne
selvfølgelig bare lukke i firewallen, men jeg vil hellere informere dem om
hvorfor de ikke skal opdatere maskinerne selv. Jeg havde så tænkt mig bare
at ændre i vores navneserver, men er det korrekt antaget at jeg er nødt til
at oprette en zone for windowsupdate.microsoft.com, for at det virker? Kan
jeg ikke på nogen måde slippe med kun at opfange den ene host
"windowsupdate.microsoft.com"? Jeg er jo på denne måde nødt til selv at
vedligeholde DNS for alle hosts under windowsupdate.microsoft.com, eks. v3,
v4 etc.
Takker
Keller

---

Carsten Keller skrev:

> Kan jeg ikke på nogen måde slippe med kun at opfange den ene host
> "windowsupdate.microsoft.com"?

Hvis resolveren er DJB's dnscache er det let at tilføje et antal host-
navne for hvilke man angiver en anden nameserver end den man havde
fundet hvis man havde slået NS'en op på normal vis.

Jeg har fx sat en lokal tinydns op som kører på IP-adressen 127.53.0.4,
og som besvarer forspørgsler på *.doubleclick.net, *.adsmart.net og
en række andre irriterende størrelser, som jeg ikke gider at snakke med.
Dernæst har jeg sat dnscache til at spørge på 127.53.0.4 for de på-
gældende hostnavne. Det fungerer fortrinligt. Man kan helt sikkert
bruge samme metode til windowsupdate.microsoft.com.

De nyeste versioner af BIND indeholder en patch der tillader en at omgås
VeriSigns "Site Finder". Måske kan den feature osse bruges til det for-
mål du nævner?


// Klaus

--
><>    unselfish actions pay back better

---

"Klaus Alexander Seistrup" <spam@magnetic-ink.dk> wrote in message
news:3f741098-ec527255-2517-4f10-a6b7-8ac5d7ad4df8@news.szn.dk...
> Carsten Keller skrev:
>
> > Kan jeg ikke på nogen måde slippe med kun at opfange den ene host
> > "windowsupdate.microsoft.com"?
>
> Hvis resolveren er DJB's dnscache er det let at tilføje et antal host-
> navne for hvilke man angiver en anden nameserver end den man havde
> fundet hvis man havde slået NS'en op på normal vis.

Begge vores navneservere kører ISC BIND. Jeg kan ikke lige gennemskue
hvordan jeg tvinger en enkelt host ned i dens cache, så den overlever en
genstart.

> Jeg har fx sat en lokal tinydns op som kører på IP-adressen 127.53.0.4,
> og som besvarer forspørgsler på *.doubleclick.net, *.adsmart.net og
> en række andre irriterende størrelser, som jeg ikke gider at snakke med.
> Dernæst har jeg sat dnscache til at spørge på 127.53.0.4 for de på-
> gældende hostnavne. Det fungerer fortrinligt. Man kan helt sikkert
> bruge samme metode til windowsupdate.microsoft.com.

Det har jeg sådan set også gjort. Jeg ville bare synes bedre om hvis jeg
kunne nøjes med at svare for windowsupdate.microsoft.com, og så lade alle
forespørgsler til *.windowsupdate.microsoft.com gå videre til Microsofts
navneservere


> De nyeste versioner af BIND indeholder en patch der tillader en at omgås
> VeriSigns "Site Finder". Måske kan den feature osse bruges til det for-
> mål du nævner?

Jeg har ikke rigtig kunnet finde noget info om hvordan jeg skulle kunne
rette den til at kunne dette, men ideen er da interessant...

Takker
Keller

---

Carsten Keller skrev:

> Jeg ville bare synes bedre om hvis jeg kunne nøjes med at svare
> for windowsupdate.microsoft.com, og så lade alle forespørgsler
> til *.windowsupdate.microsoft.com gå videre til Microsofts
> navneservere

Det forstår jeg godt.

>> De nyeste versioner af BIND indeholder en patch der tillader en
>> at omgås VeriSigns "Site Finder". Måske kan den feature osse
>> bruges til det formål du nævner?
>
> Jeg har ikke rigtig kunnet finde noget info om hvordan jeg skulle
> kunne rette den til at kunne dette, men ideen er da interessant...

Måske kunne det hjælpe at spørge i <news:comp.protocols.dns.bind>
eller på BIND{,9}-user-mailinglisten¹.


// Klaus

¹) <http://news.gmane.org/gmane.network.dns.bind.user>
<http://news.gmane.org/gmane.network.dns.bind9.user>
--
><>    unselfish actions pay back better

---

Carsten Keller wrote:

> Jeg vil gerne forhindre vores brugere i at bruge Windowsupdate.


Bruger de RedHat eller Solaris ?

Jørn

---

"Jørn Hundebøll" <news2@dblue.dk> wrote in message
news:0dVcb.186$yL3.16@news.get2net.dk...
> Carsten Keller wrote:
>
> > Jeg vil gerne forhindre vores brugere i at bruge Windowsupdate.
>
>
> Bruger de RedHat eller Solaris ?

Niks, det er vist ikke realistisk at får dem skubbet over på et af de
systemer i nær fremtid