<div dir="ltr">Signed updates, that is...<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Mar 16, 2014 at 5:32 AM, Bob McDonald <span dir="ltr"><<a href="mailto:bmcdonaldjr@gmail.com" target="_blank">bmcdonaldjr@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>Ok so it's not painless.  Do the updates still get forwarded to the master by the slaves or do I need to have all Windows devices needing update capability to point at the master?<br>
<br></div>
TIA,<br><br></div>Bob<br><br></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Mar 14, 2014 at 7:36 PM, Chris Buxton <span dir="ltr"><<a href="mailto:clists@buxtonfamily.us" target="_blank">clists@buxtonfamily.us</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>On Mar 14, 2014, at 10:50 AM, Bob McDonald <<a href="mailto:bmcdonaldjr@gmail.com" target="_blank">bmcdonaldjr@gmail.com</a>> wrote:<br>


<br>
> I agree that TSIG or SIG(0) signed updates are certainly a more desirable approach than allowing updates via address.  My DHCP server is setup to sign all of it's updates this way.  However, I have AD domain controllers in the environment that don't currently use signed updates.  Is there a fairly painless way to convert all the AD machines to signed updates?<br>


<br>
</div>You would need to set up GSS-TSIG, which is not painless. (It's certainly doable, but there are plenty of pitfalls to overcome.) Windows doesn't support TSIG, just GSS-TSIG.<br>
<br>
AFAIK, use of GSS-TSIG requires update-policy instead of allow-update on the master.<br>
<br>
Regards,<br>
Chris Buxton.</blockquote></div><br></div>
</div></div></blockquote></div><br></div>