[SLU]
Sveriges Lantbruksuniversitet
IT-byrån


Dynamisk DNS i Windows 2000 utmanar vår infrastruktur i SUNET/Internet

Prefekter:

Innan den skarpa versionen av Windows 2000 har släppts, har IT-byrån tillsammans med bl a Uppsala universitet, börjat titta på några mekanismer i det nya operativsystemet, som kan ställa till det för alla som är beroende av ett robust och väl fungerande Internet, dvs vår datorkommunikation.

DNS (Domain Name Service) är Internets grundläggande namngivningstjänst och en förutsättning för att Internet skall fungera som vi vant oss. I Windows 2000 har man, genom att införa dynamisk DNS, rubbat själva grundvalen för ett driftsäkert och hanterbart Internet.

IT-byrån återkommer med ytterligare rekommendationer beträffande Windows 2000. Till dess skall Dynamisk DNS inte användas inom SLU.

IT-samordnare:

DNS (Domain Name Service) är Internets fundamentala namngivningstjänst och en av de viktigaste komponenterna för att saker ska fungera på det sätt som vi är vana vid. Synsättet på hur DNS ska se ut är dock inte homogent och i Windows 2000 har man ändrat på förutsättningarna rejält, genom att införa Dynamisk DNS.

Windows 2000 i sig är en fortsättning på NT-konceptet och påminner väldigt mycket om det tidigare NT4.0, med vissa kosmetiska ändringar och en del nya tjänster och applikationer som ingår. En av dessa nya tjänster är Active Directory. AD som sådant verkar vara en sund idé, men tyvärr har implementationen av det gjort att man för full funktionalitet kräver att organisationen som helhet har stöd för s k Dynamisk DNS (DDNS). Det skulle ha gått att lösa på annat sätt, t ex genom multicast som det faktiskt finns stöd för i Windows 2000, men som inte används till fullo.

DDNS går i korthet ut på att DNS-servrarna tillåter att klienter kan göra uppdateringar/ändringar av DNS-databasen. Vid uppstart av ett Windows2000-system försöker maskinen uppdatera sitt namn och IP-nummer i DNS-servern. Om maskinen dessutom har någon form av tjänster att erbjuda försöker den uppdatera DNS-databasen med information om dessa tjänster. AD använder DDNS för att kunna bygga upp en distribuerad databas och hålla koll på vad de andra systemen i Windows2000-familjen har att erbjuda.

På grund av fundamentala svagheter i hur DDNS fungerar och de praktiska problemen som ett införande av DDNS skulle innebära med ändringar i vår grundläggande infrastruktur, ställer vi oss mycket tveksamma till det och ser inte att vi kommer att införa det inom de närmaste åren, om alls. DDNS kräver av säkerhetsskäl extra funktioner ovanpå för att garantera äktheten/korrektheten hos data och för att minimera risken för medvetet eller omedvetet sabotage mot DNS. Dessa säkerhetsfunktioner är administrativt sett betungande och ökar komplexiteten ytterligare några grader. Det ställs bl a krav på Kerberos och distribution av hemliga nycklar som används vid signering av DNS-data.

För att långsiktigt kunna erbjuda en vettig och väl fungerande infrastruktur - inte bara för universitetet utan även som vägledande exempel mot omvärlden och det samhälle som i slutändan bekostar vår verksamhet, måste vi undvika att bygga in oss i hörn som vi inte kan ta oss ut ur. Att vara kritiskt granskande och se efter vad nymodigheter egentligen betyder för oss, är mycket viktigt.

En del resultat från mätningar som gjorts på DDNS-trafik, funderingar kring problematiken och de RFC:er och andra dokument som i detalj beskriver vad Dynamisk DNS är, finns att beskåda på:

http://www.data.slu.se/win2k/

För att undvika att datorer med Windows 2000 installerat (för det har redan börjat dyka upp en del sådana, trots att OS:et inte släppts ännu) försöker uppdatera våra DNS-servrar och belastar dessa med onödig trafik, har vi som krav att om Windows 2000 installeras ska DDNS-uppdateringar stängas av på vartenda av dessa system. Det görs enligt följande:

  1. Gå till "Control Panel".
  2. Gå in under "Network and Dial-up Connections"
  3. Om nätverkskortet är installerat och konfigurerat ska det finnas en ikon med "Local Area Connection". Välj den.
  4. I fönstret som öppnas, välj "Properties".
  5. Gå ner i listan över protokoll och markera "Internet Protocol (TCP/IP)".
  6. Välj därefter "Properties" (för just TCP/IP).
  7. Gå in under valet "Advanced".
  8. Välj fliken för "DNS".
  9. Avmarkera "Register this connection's addresses in DNS".
  10. Stäng fönstren i tur och ordning genom att trycka på OK (för att ändringen ska gälla).


Carl-Erik Lundgren
IT-chef SLU
2000-01-26