TL; DR-我想添加一个DNS服务logging到我们的母公司在我们的本地DNS服务器pipe理的区域,因为母公司将不会帮助但不想维护他们的主要区域的整个副本它。
全文
我pipe理一个小型的远程办公室(我们的公司刚刚被一家大公司收购),拥有20个人和大量本地服务器,用于工程和testing目的。 我有一个运行DNS的Windows Server 2008计算机安装程序,可以parsing所有本地名称,然后通过服务器级转发将所有其他未知名称转发给megacorp的内部DNS服务器。 到目前为止,这工作很好。
然而,我们在这里minicorp最近切换到megacorp的Exchange服务器。 当我们configuration我们的Outlook客户端连接到Exchange服务器,我们可以连接起来,但是我们得到臭名昭着的“安全证书上的名字无效或不匹配”的警告。 这是因为megacorp使用的证书中的域名与Outlook自动发现机制中使用的域名不匹配。 对于大部分用户来说,这不是一个问题,因为他们在活动目录中,通过SCP推出正确的自动发现URL。 因为我们在这里minicorp将不会join公元一段时间,我们一直在这个问题上。
微软介绍了一些方法来解决它在这里: https : //support.microsoft.com/en-us/kb/2772058
Megacorp的IT人员被更高优先级的问题所困扰(说这些问题对于这个问题毫无帮助,所以我需要找出一种方法来解决这个问题,而不需要他们做出改变。
根据微软文章,处理这个问题的“正确”方法是通过SCP,但由于AD不是一种select,所以我们不能走这条路。 因此,Outlook下降到#3选项,它尝试autodiscover.megacorp.com的URL工作,但导致证书警告。 此外,为了做到这一点,我必须添加一个autodiscover.megacorp.com区域到我的本地DNS服务器,因为这个名字在megacorp的DNS服务器中由于某种原因不能parsing。
根据该文章的下一个选项是使用DNS服务logging来提供与SSL证书中的名称相匹配的适当的自动发现URL。 问题是,我不pipe理megacorp的域的主要区域,最终导致我的问题…我可以创build一个服务的DNSlogging,我不pipe理的区域? 类似于我创build的“autodiscover.megacorp.com”区域,该区域只包含该名称的正确IP地址,但是在megacorp.com域名下的所有其他名称请求都被转发到megacorp的DNS服务器,我可以做类似的事情,但是服务logging? 就好像我想“子类”megacorp的DNS,所以我可以扩展它提供我自己的logging。
这样的事情存在吗?还是我走错了方向? 也许有不同的方式来解决这个证书错误? 我意识到正确的方法来处理这是为megacorp IT正确实施,但…是啊…
感谢您通过这个问题与我同在; 它比我想要的要多得多。
你的想法会奏效。 只要你控制你需要操作的客户端使用的DNS服务器,就不会阻止你拦截查询并回复你喜欢的东西。
这个答案有三个注意事项:
blah.example.com ,你截获了blah 左侧的所有查询,而不仅仅是blah 。 您正在控制整个子域,而不仅仅是特定的名称+loggingtypes组合。 最后,这里有一个特定于Windows的警告:DNSpipe理单元不能用于创buildapex SRVlogging。 您可以使用它来创build区域,但是logging本身必须使用命令行填充。
考虑到这一点:
_service._proto.example.com的SRVlogging,则可以创build一个名为_service._proto.example.com的区域。 遵循规则#3,避免_proto.example.com和example.com 。 这样做最终会拦截比你想捕捉的stream量更多的东西。 SRVlogging: dnscmd /recordadd _autodiscover._tcp.example.com @ SRV 0 0 443 mail.example.com.
我认为,如果这是可能的,这将是一个DNS的巨大的安全漏洞 – 你可以把一些静态的东西,如果它是一个小型的办公室文件或压制警告。
https://support.microsoft.com/en-us/kb/2783881
方法4:configurationOutlook以允许连接到不匹配的域名
重要说明此部分,方法或任务包含说明如何修改registry的步骤。 但是,如果您不正确地修改registry,则可能会出现严重问题。 因此,请确保您认真执行这些步骤。 为了增加保护,请在修改registry之前备份registry。 然后,如果发生问题,您可以还原registry。 有关如何备份和还原registry的更多信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:322756(http://support.microsoft.com/kb/322756/)如何在Windows中备份和还原registry要将Outlookconfiguration为忽略名称不匹配并连接到一个特定的HTTP端点,您可以设置或部署一个registry值。 要这样做,请按照下列步骤操作:closuresOutlook。 启动registry编辑器 为此,请根据您的Windows版本使用以下过程之一。 Windows 10和Windows 8:按Windows键+ R打开一个运行对话框。 键入regedit.exe,然后按确定。 Windows 7:单击开始,在search框中键入regedit.exe,然后按Enter键。 find并单击以选中以下registry子项:HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ xx.0 \ Outlook \ AutoDiscover \ RedirectServers注意您还可以使用以下registry子项:HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Office \ xx。 0 \ Outlook \ AutoDiscover \ RedirectServers其中xx对于Outlook 2007为12.0,对于Outlook 2010为14.0,对于Outlook 2013为15.0,对于Outlook 2016为16.0单击编辑菜单,指向新build,然后单击string值。 input自动发现可连接到的HTTPS服务器的名称,而不会警告用户,然后按Enter。 例如,要允许连接到https://contoso.com ,第一个string值(REG_SZ)名称将如下所示:
contoso.com您不必向“数值”数据框中添加文本。 对于您创build的string值,数据列应保持为空。 要添加更多可以自动发现的HTTPS服务器,而不显示警告,请对每台服务器重复步骤4和5。 在文件菜单上,单击退出以退出registry编辑器。