/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Redirecte en enkelt host via named
Fra : Carsten Keller


Dato : 26-09-03 10:55

Hej gruppe.
Jeg vil gerne forhindre vores brugere i at bruge Windowsupdate. Jeg kunne
selvfølgelig bare lukke i firewallen, men jeg vil hellere informere dem om
hvorfor de ikke skal opdatere maskinerne selv. Jeg havde så tænkt mig bare
at ændre i vores navneserver, men er det korrekt antaget at jeg er nødt til
at oprette en zone for windowsupdate.microsoft.com, for at det virker? Kan
jeg ikke på nogen måde slippe med kun at opfange den ene host
"windowsupdate.microsoft.com"? Jeg er jo på denne måde nødt til selv at
vedligeholde DNS for alle hosts under windowsupdate.microsoft.com, eks. v3,
v4 etc.
Takker
Keller



 
 
Klaus Alexander Seis~ (26-09-2003)
Kommentar
Fra : Klaus Alexander Seis~


Dato : 26-09-03 11:11

Carsten Keller skrev:

> Kan jeg ikke på nogen måde slippe med kun at opfange den ene host
> "windowsupdate.microsoft.com"?

Hvis resolveren er DJB's dnscache er det let at tilføje et antal host-
navne for hvilke man angiver en anden nameserver end den man havde
fundet hvis man havde slået NS'en op på normal vis.

Jeg har fx sat en lokal tinydns op som kører på IP-adressen 127.53.0.4,
og som besvarer forspørgsler på *.doubleclick.net, *.adsmart.net og
en række andre irriterende størrelser, som jeg ikke gider at snakke med.
Dernæst har jeg sat dnscache til at spørge på 127.53.0.4 for de på-
gældende hostnavne. Det fungerer fortrinligt. Man kan helt sikkert
bruge samme metode til windowsupdate.microsoft.com.

De nyeste versioner af BIND indeholder en patch der tillader en at omgås
VeriSigns "Site Finder". Måske kan den feature osse bruges til det for-
mål du nævner?


// Klaus

--
><>    unselfish actions pay back better

Carsten Keller (29-09-2003)
Kommentar
Fra : Carsten Keller


Dato : 29-09-03 09:37


"Klaus Alexander Seistrup" <spam@magnetic-ink.dk> wrote in message
news:3f741098-ec527255-2517-4f10-a6b7-8ac5d7ad4df8@news.szn.dk...
> Carsten Keller skrev:
>
> > Kan jeg ikke på nogen måde slippe med kun at opfange den ene host
> > "windowsupdate.microsoft.com"?
>
> Hvis resolveren er DJB's dnscache er det let at tilføje et antal host-
> navne for hvilke man angiver en anden nameserver end den man havde
> fundet hvis man havde slået NS'en op på normal vis.

Begge vores navneservere kører ISC BIND. Jeg kan ikke lige gennemskue
hvordan jeg tvinger en enkelt host ned i dens cache, så den overlever en
genstart.

> Jeg har fx sat en lokal tinydns op som kører på IP-adressen 127.53.0.4,
> og som besvarer forspørgsler på *.doubleclick.net, *.adsmart.net og
> en række andre irriterende størrelser, som jeg ikke gider at snakke med.
> Dernæst har jeg sat dnscache til at spørge på 127.53.0.4 for de på-
> gældende hostnavne. Det fungerer fortrinligt. Man kan helt sikkert
> bruge samme metode til windowsupdate.microsoft.com.

Det har jeg sådan set også gjort. Jeg ville bare synes bedre om hvis jeg
kunne nøjes med at svare for windowsupdate.microsoft.com, og så lade alle
forespørgsler til *.windowsupdate.microsoft.com gå videre til Microsofts
navneservere


> De nyeste versioner af BIND indeholder en patch der tillader en at omgås
> VeriSigns "Site Finder". Måske kan den feature osse bruges til det for-
> mål du nævner?

Jeg har ikke rigtig kunnet finde noget info om hvordan jeg skulle kunne
rette den til at kunne dette, men ideen er da interessant...

Takker
Keller



Klaus Alexander Seis~ (29-09-2003)
Kommentar
Fra : Klaus Alexander Seis~


Dato : 29-09-03 13:35

Carsten Keller skrev:

> Jeg ville bare synes bedre om hvis jeg kunne nøjes med at svare
> for windowsupdate.microsoft.com, og så lade alle forespørgsler
> til *.windowsupdate.microsoft.com gå videre til Microsofts
> navneservere

Det forstår jeg godt.

>> De nyeste versioner af BIND indeholder en patch der tillader en
>> at omgås VeriSigns "Site Finder". Måske kan den feature osse
>> bruges til det formål du nævner?
>
> Jeg har ikke rigtig kunnet finde noget info om hvordan jeg skulle
> kunne rette den til at kunne dette, men ideen er da interessant...

Måske kunne det hjælpe at spørge i <news:comp.protocols.dns.bind>
eller på BIND{,9}-user-mailinglisten¹.


// Klaus

¹) <http://news.gmane.org/gmane.network.dns.bind.user>
<http://news.gmane.org/gmane.network.dns.bind9.user>
--
><>    unselfish actions pay back better

Jørn Hundebøll (26-09-2003)
Kommentar
Fra : Jørn Hundebøll


Dato : 26-09-03 12:15

Carsten Keller wrote:

> Jeg vil gerne forhindre vores brugere i at bruge Windowsupdate.


Bruger de RedHat eller Solaris ?

Jørn


Carsten Keller (29-09-2003)
Kommentar
Fra : Carsten Keller


Dato : 29-09-03 09:37


"Jørn Hundebøll" <news2@dblue.dk> wrote in message
news:0dVcb.186$yL3.16@news.get2net.dk...
> Carsten Keller wrote:
>
> > Jeg vil gerne forhindre vores brugere i at bruge Windowsupdate.
>
>
> Bruger de RedHat eller Solaris ?

Niks, det er vist ikke realistisk at får dem skubbet over på et af de
systemer i nær fremtid




Søg
Reklame
Statistik
Spørgsmål : 177554
Tips : 31968
Nyheder : 719565
Indlæg : 6408852
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste