>
Получение статуса MS MVP автоматически означает получение вопросов от читателей, знакомых и незнакомых. Я их обычно получаю немного, но все-таки получаю. Последний показался мне достаточно интересным. После прочтения моей статьи о делегировании администрирования DNS один из моих читателей обнаружил, что мое решение не работает в его окружении. Видите ли, у него в рабочей сети все еще используются рабочие станции с Windows XP, в то время, как серверы (или их часть) уже переведены на Windows 2008 R2. В такой конфигурации он получает “access denied”, такое вот:
![image[2] image[2]](https://i2.wp.com/lh6.ggpht.com/_EQLkhWHSQdk/TUpFfTE-3NI/AAAAAAAAAjs/_xZmut0G2cw/image%5B2%5D_thumb.png)
или другие ошибки при попытках подключиться к 2K8R2 DNS серверу с рабочей станции под управлением Windows XP.
Я с такой проблемой не сталкивался: видимо сказывается моя привычка использовать клиентские ОС с их ранних бета-тестирований. Так что поначалу я подумал, что, возможно у “пострадавшего” как-то что-то неправильно настроено. Однако, простейший тест подтвердил наличие проблемы: моя свежеустановленная XP наотрез отказалась подключаться к моим R2 серверам, совершенно свободно подключаясь при этом к любым 2003м. Не растекаясь мыслию по древу скажу коротко: в итоге я нашел статью, которая описывает проблему, на support.microsoft.com: Windows Server 2008 R2 DNS Servers can only be managed by computers running Windows Server 2008 or later.
Причина проблемы кроется, согласно этой статье, в усиленной безопасности для RPC. Решения вполне просты: Вы должны либо
1) управлять своим DNS сервером локально (с консоли или по RDP)
2) или уменьшить уровень безопасности до совместимого с помощью ввода команды dnscmd /config /RpcAuthLevel 0 на каждом сервере, которым Вы собираетесь так управлять.
Первый метод и обсуждать нечего – вполне очевидное решение. Второй существенно менее безобиден. Как минимум, он делает Ваш сервер менее безопасным. Что можно сделать для уменьшения последствий? Ну, например:
-
использовать для такого управления только один сервер. Пусть изменения будут реплицироваться с него с помощью AD или еще каким-нибудь методом
-
изолируйте этот сервер настолько, насколько Вы можете: доступ к нему кроме совсем уж необходимого должны иметь только администраторы, которым Вы делегировали эти права и только с тех компьютеров, с которых Вы это разрешите.
Ну и последний вариант решения проблемы, который мне все-таки нравится больше других: обновите свои рабочие станции до W7. =)