Hi,
noch ein kleiner Nachtrag zu Disskussion DHCP+DNS Clientname bekanntmachen
ich konnte jetzt noch nicht entdecken wie derDHCP-Client dem DHCP-Server seinen Clientnamen mitteilt.
ich meinte das der Client es dem DNS selber sagt (nennt sich DNS-Update) --> ohne irgendwelche Einschränkung darf, wenn DNS-Update geht, jeder Rechner bei DNS-Server die Einträge verändern
Andreas
Hi,
Grimnin Fridyson wrote:
Hi,
noch ein kleiner Nachtrag zu Disskussion DHCP+DNS Clientname bekanntmachen
ich konnte jetzt noch nicht entdecken wie derDHCP-Client dem DHCP-Server seinen Clientnamen mitteilt.
Im DHCP-Request wird ein optionales Feld mit dem Namen des DHCP-Client-Systems belegt. Der DHCP-Server macht dann das DNS-Update, falls er entsprechend konfiguriert ist.
ich meinte das der Client es dem DNS selber sagt (nennt sich DNS-Update) --> ohne irgendwelche Einschränkung darf, wenn DNS-Update geht, jeder Rechner bei DNS-Server die Einträge verändern
Das will man eigentlich nicht, dass einem *alle* Maschinen im Netz im DNS rumpfuschen. Deswegen erlaubt man das normalerweise auch nicht. Stattdessen erlaubt man normalerweise DNS-Updates nur von einer begrenzten Anzahl von Maschinen aus - oder sowieso nur nach erfolgter Authentifizierung. Die erlaubten Maschinen sind dann zum Beispiel die DHCP-Server, die vom DHCP Client einen Namensvorschlag erhalten haben und diesen gegebenenfalls im DNS vermerken - oder eben auch nicht und einen eigenen, generierten Namen verwenden, in dem zum Beispiel die MAC-Adresse des Clients vermerkt wird.
Andreas
Ciao, Thomas
Thomas Köhler jean-luc@picard.franken.de (Do 28 Okt 2010 08:54:01 CEST):
Im DHCP-Request wird ein optionales Feld mit dem Namen des DHCP-Client-Systems belegt. Der DHCP-Server macht dann das DNS-Update, falls er entsprechend konfiguriert ist.
ich meinte das der Client es dem DNS selber sagt (nennt sich DNS-Update) --> ohne irgendwelche Einschränkung darf, wenn DNS-Update geht, jeder Rechner bei DNS-Server die Einträge verändern
Das will man eigentlich nicht, dass einem *alle* Maschinen im Netz im DNS rumpfuschen. Deswegen erlaubt man das normalerweise auch nicht. Stattdessen erlaubt man normalerweise DNS-Updates nur von einer begrenzten Anzahl von Maschinen aus - oder sowieso nur nach erfolgter Authentifizierung. Die erlaubten Maschinen sind dann zum Beispiel die DHCP-Server, die vom DHCP Client einen Namensvorschlag erhalten haben und diesen gegebenenfalls im DNS vermerken - oder eben auch nicht und einen eigenen, generierten Namen verwenden, in dem zum Beispiel die MAC-Adresse des Clients vermerkt wird.
In den neueren(?) Bind9 gibt es da recht trickreiche ACL, die die Update-Möglichkeiten gut einschränken können, ich denke(!), die kann man dann soweit hinbiegen, daß es auch nicht mehr gefährlich ist, wenn der Client selbst das Update macht.
Wenn es jemanden interessiert, würde ich das mal näher untersuchen.
Am Donnerstag, 28. Oktober 2010, 09:07:22 schrieb Heiko Schlittermann: ...
In den neueren(?) Bind9 gibt es da recht trickreiche ACL, die die Update-Möglichkeiten gut einschränken können, ich denke(!), die kann man dann soweit hinbiegen, daß es auch nicht mehr gefährlich ist, wenn der Client selbst das Update macht.
Wenn es jemanden interessiert, würde ich das mal näher untersuchen.
Heiko, ja Interesse besteht.
Die Diskussion ging gestern darum, daß zunehmend "mobile" Geräte eingesetzt werden, von denen nur der Besitzer den Namen kennt | kennen soll. Und unter dem will er das Teil nach Möglichkeit auch wiederfinden. Unabhängig von konkreter IP und Domain.
Weiterhin: Was hat IPV6 für solche Probleme "im Angebot"? (Konrad wollte sich auch kundig machen.)
Bernhard
Bernhard Schiffner bernhard@schiffner-limbach.de (Do 28 Okt 2010 09:55:52 CEST):
Am Donnerstag, 28. Oktober 2010, 09:07:22 schrieb Heiko Schlittermann: ...
In den neueren(?) Bind9 gibt es da recht trickreiche ACL, die die Update-Möglichkeiten gut einschränken können, ich denke(!), die kann man dann soweit hinbiegen, daß es auch nicht mehr gefährlich ist, wenn der Client selbst das Update macht.
Wenn es jemanden interessiert, würde ich das mal näher untersuchen.
Heiko, ja Interesse besteht.
Die Diskussion ging gestern darum, daß zunehmend "mobile" Geräte eingesetzt werden, von denen nur der Besitzer den Namen kennt | kennen soll. Und unter dem will er das Teil nach Möglichkeit auch wiederfinden. Unabhängig von konkreter IP und Domain.
Du könntest auch Multicast-DNS machen, wenn Du im selben Netzsegment sitzt.
Allerdings sehe ich für Deine Forderung keinen Unterschied, ob nun der Client den Namen im DNS einträgt, oder der Server. Er steht anschließend im DNS.
Auch wenn der DHCP-Server den Namen einträgt, ist ja letztendlich das i.d.R. der Name, den der Client sich im DHCP-Request gewünscht hatte (bzw. als seinen eigenen Hostnamen mitschickte).
Hallo,
Bernhard Schiffner wrote:
Am Donnerstag, 28. Oktober 2010, 09:07:22 schrieb Heiko Schlittermann: ...
In den neueren(?) Bind9 gibt es da recht trickreiche ACL, die die Update-Möglichkeiten gut einschränken können, ich denke(!), die kann man dann soweit hinbiegen, daß es auch nicht mehr gefährlich ist, wenn der Client selbst das Update macht.
Wenn es jemanden interessiert, würde ich das mal näher untersuchen.
Heiko, ja Interesse besteht.
Die Diskussion ging gestern darum, daß zunehmend "mobile" Geräte eingesetzt werden, von denen nur der Besitzer den Namen kennt | kennen soll.
Hm, wenn nur der Besitzer den Namen kennt - OK, wie der Name im DNS landet, ist erst mal egal...
Wenn nur der Besitzer den Namen kennen soll - naja, da darf eben kein Zone-Transfer erlaubt sein, sonst kommt einer einfach auf die Idee, sich vom DNS die Zone zu holen und mal zu schauen, was so für geheime Namen da sind ;)
Und unter dem will er das Teil nach Möglichkeit auch wiederfinden. Unabhängig von konkreter IP und Domain.
Die viel interessantere Frage ist ja, ob es Sinn macht, x (mobile) Endgeräte so zu konfigurieren, dass sie nach einem DHCP-Reply vom Server von da den DNS-Server lesen und dann an den auch noch ein DNS-Update schicken, oder ob es in der Summe nicht deutlich weniger Aufwand macht, nur auf dem DHCP-Server einzuschalten, dass er DNS-Updates macht, vielleicht noch in eine eigene Subzone a la clients.irgendeinedomain :) Und dann stellt sich noch die Frage, ob alle mobilen Endgeräte auch DNS-Updates unterstützen (naja, vielleicht gibt's für manche ja ne App dafür...).
Bernhard
Ciao, Thomas
Die viel interessantere Frage ist ja, ob es Sinn macht, x (mobile) Endgeräte so zu konfigurieren, dass sie nach einem DHCP-Reply vom Server von da den DNS-Server lesen und dann an den auch noch ein DNS-Update schicken, oder ob es in der Summe nicht deutlich weniger Aufwand macht, nur auf dem DHCP-Server einzuschalten, dass er DNS-Updates macht, vielleicht noch in eine eigene Subzone a la clients.irgendeinedomain :),
wahrscheinlich geht man irgendwann mehre wege damit es geht(weil irgendwas kommt ja immer)
wenn die mobile geräte wie etwa bei uns in der firma nur konfiguriert raus gegeben werden, ist der aufwand eine option mehr oder weniger am gerät einzustellen echt zu vernachlässigen (die optionen zu ändern ist schon ein deutlischer aufwand)
es gibt ja so einige optionen die man noch hat
man könnte ja dann auch noch mit 802.1 etwas bastel
Und dann stellt sich noch die Frage, ob alle mobilen Endgeräte auch DNS-Updates unterstützen (naja, vielleicht gibt's für manche ja ne App dafür...).
ob die mobilen dhcp-clients alle optionen mitbringen ist dann die nächste frage
(der dhcp-client eines fast bekannten bs herstellers ist in einiges optionen auch beschnitten)
Bernhard
Ciao, Thomas
--
andreas
Am Donnerstag, 28. Oktober 2010, 11:59:24 schrieb Thomas Köhler:
Hallo,
Bernhard Schiffner wrote:
Am Donnerstag, 28. Oktober 2010, 09:07:22 schrieb Heiko Schlittermann: ...
In den neueren(?) Bind9 gibt es da recht trickreiche ACL, die die Update-Möglichkeiten gut einschränken können, ich denke(!), die kann man dann soweit hinbiegen, daß es auch nicht mehr gefährlich ist, wenn der Client selbst das Update macht.
Wenn es jemanden interessiert, würde ich das mal näher untersuchen.
Heiko, ja Interesse besteht.
Die Diskussion ging gestern darum, daß zunehmend "mobile" Geräte eingesetzt werden, von denen nur der Besitzer den Namen kennt | kennen soll.
Hm, wenn nur der Besitzer den Namen kennt - OK, wie der Name im DNS landet, ist erst mal egal...
Wenn nur der Besitzer den Namen kennen soll - naja, da darf eben kein Zone-Transfer erlaubt sein, sonst kommt einer einfach auf die Idee, sich vom DNS die Zone zu holen und mal zu schauen, was so für geheime Namen da sind ;)
Kleines Mißverständnis: Der Name ist (fast) nur für den Besitzer _interessant_. Speziell, wenn er an anderen Rechnern arbeitet und "mal schnell" was auf seinem Spezi sucht bzw. tun muß.
Bernhard
Hi,
On Thursday 28 October 2010 09:55:52 Bernhard Schiffner wrote:
Weiterhin: Was hat IPV6 für solche Probleme "im Angebot"? (Konrad wollte sich auch kundig machen.)
http://tools.ietf.org/html/rfc4704
Gefunden! Der Client sendet den gewünschten FQDN oder Hostname an den DHCP Server und der trägt ihn ein oder auch nicht...
Konrad
Am Donnerstag, 28. Oktober 2010, 13:43:28 schrieb Konrad Rosenbaum:
Hi,
On Thursday 28 October 2010 09:55:52 Bernhard Schiffner wrote:
Weiterhin: Was hat IPV6 für solche Probleme "im Angebot"? (Konrad wollte sich auch kundig machen.)
http://tools.ietf.org/html/rfc4704
Gefunden! Der Client sendet den gewünschten FQDN oder Hostname an den DHCP Server und der trägt ihn ein oder auch nicht...
Konrad
Gut gefunden! (Das macht ja sogar Spaß beim lesen!)
Ich hatte in anderne Quellen nur allg. Hinweise gefunden, daß es "weitgehend analog" zu IPV4 wäre.
Das mit den meheren Möglichkeiten zum DNS-Update war mir vor der ganzen Diskussion hier auch nicht so klar.
Danke!
Bernhard
lug-dd@mailman.schlittermann.de
-
Bernhard Schiffner -
Grimnin Fridyson -
Heiko Schlittermann -
Konrad Rosenbaum -
Thomas Köhler