none
KMSサーバーのSRVレコードを削除 RRS feed

  • 質問

  • どなたかご知見がある方がいらっしゃいましたらご教示ください。

    オンプレミスで、Windows10やOffice等をKMSサーバーで認証する環境を運用しています。
    クライアントはドメインのメンバーであり、ドメインコントローラーをDNSサーバーとして参照しています。
    クライアントは認証を行うために、DNSサーバーのSRVレコードを参照し、KMSサーバーを特定しています。

    上記のような環境で、DNSサーバーからKMSサーバーのSRVレコードを削除した場合
    DNSクエリは該当ゾーンのDNSフォワーダーによりフォワーディングされる動作に遷移しますでしょうか。
    それとも、DNSクエリは失敗してしまうのでしょうか。

    2020年8月5日 9:00

回答

すべての返信

  • KMS サーバーのエントリ自体が無くなる(A や AAAA も含めて)訳でなければ、SRV レコードはオプションですからフォワーディングはされないでしょうね。エントリを無くしてもそのゾーンの権威DNSが自身だったらフォワーディングはしないですし。


    Hebikuzure aka Murachi Akira

    2020年8月5日 10:45
  • ご回答ありがとうございます。
    フォワーディングされない旨承知しました。
    ということはDNSクエリは失敗してしまうということですね。

    そもそもの理解が至っておらず恐縮ですが、KMSクライアントは自身に設定された
    DNSサフィックスに基づきSRVレコードに対するDNSクエリを発行するのでしょうか。

    #上記であれば、新KMSサーバーのSRVレコードを擁するゾーンの名前を
     DNSサフィックスに登録しておけば、DNSサーバーがフォワーディングする動きに
     遷移すると推量しています。
    2020年8月6日 0:18
  • https://docs.microsoft.com/ja-jp/office/troubleshoot/activation/discover-remove-unauthorized-office-windows-kms-hosts#discover-office-and-windows-kms-hosts-through-dns

    この辺りの記述だと、そのような動作(DNS サフィックスを補って検出する)のようですね(パケットキャプチャで確認したわけではないので資料ベースの話ですが)。


    Hebikuzure aka Murachi Akira

    • 回答としてマーク ayuzer 2020年8月6日 9:09
    2020年8月6日 1:39
  • ご回答ありがとうございます。
    nslookupから得られる結果がFQDNで返ってきているところから判断できるのでしょうか。
    ともあれ、理解できる動作なのでサフィックスによる補完が効くものとして検証を進めてみたいと思います。
    大変助かりました。
    2020年8月6日 9:09