Win 2K動(dòng)態(tài)DNS的安全考慮_Dns服務(wù)器教程

2024-09-08 23:25:43

字體：大中小

供稿：網(wǎng)友

Windows2000 域名解析是基于動(dòng)態(tài)DNS，動(dòng)態(tài)DNS的實(shí)現(xiàn)是基于RFC 2136基礎(chǔ)上的。在Windows 2000下，動(dòng)態(tài)DNS是與DHCP、WINS及活動(dòng)目錄（AD）集成在一起的。在windows 2000的域下有三種實(shí)現(xiàn)DNS的方法：與活動(dòng)目錄集成、與活動(dòng)目錄集成的主DNS及不與活動(dòng)目錄集成的輔助DNS、不與活動(dòng)目錄集成的主DNS及不與活動(dòng)目錄集成的輔助DNS。當(dāng)DNS完成集成到活動(dòng)目錄中后，我們可以利用Windows2000網(wǎng)絡(luò)中的三個(gè)重要安全特性：安全動(dòng)態(tài)更新、安全區(qū)域傳輸、對(duì)區(qū)域和資源記錄的訪問控制列表。

　　一、安全動(dòng)態(tài)更新

　　在動(dòng)態(tài)DNS（DDNS）中一個(gè)最重要的安全特性就是安全更新。在實(shí)現(xiàn)安全更新時(shí)一個(gè)主要的考慮是DNS項(xiàng)組成的記錄的所有權(quán)。所有權(quán)是由DHCP的配置及對(duì)客戶端的支持來決定的。

　　與客戶端相關(guān)的有兩種DNS記錄：A記錄和PTR記錄，A記錄解析名字到地址，而PTR記錄解析地址到名字。地址是指一個(gè)客戶端的IP地址，名字是指一個(gè)客戶的完全合格域名，應(yīng)該是計(jì)算機(jī)名加上網(wǎng)絡(luò)的域名。

　　在windows 2000環(huán)境中，當(dāng)客戶端通過DHCP請(qǐng)求一個(gè)IP時(shí)，客戶端DNS記錄就被注冊(cè)。根據(jù)設(shè)置，客戶端、DHCP服務(wù)器或者兩者都可以更新客戶的A記錄和PTR記錄，誰注冊(cè)了這個(gè)記錄，誰就對(duì)記錄擁有所有權(quán)。

　　下面是在Windows2000網(wǎng)絡(luò)中定義客戶的A記錄和PTR記錄所有權(quán)的可選項(xiàng)。

　　1．Windows2000本機(jī)模式

　　在Windows2000環(huán)境下，DHCP服務(wù)器和DHCP客戶端都可以通過DNS注冊(cè)記錄。當(dāng)網(wǎng)絡(luò)僅由Windows2000的服務(wù)器和客戶端組成時(shí)，這種Windows2000環(huán)境被定義為"本機(jī)模式"。

　　當(dāng)客戶端是一個(gè)Windows2000客戶時(shí)，默認(rèn)配置是當(dāng)客戶在網(wǎng)絡(luò)上注冊(cè)時(shí)動(dòng)態(tài)更新它自己的A記錄，與此同時(shí)，DHCP服務(wù)器更新客戶的PTR記錄。因此，A記錄的所有權(quán)屬于客戶端，PTR記錄的所有權(quán)屬于DHCP服務(wù)器。

　　第二種可能的配置是DHCP服務(wù)器更新正向和反向查找，在這種情況下，DHCP服務(wù)器同時(shí)擁有A記錄和PTR記錄的所有。

　　第三種可能的配置是DHCP服務(wù)器被配置為不執(zhí)行動(dòng)態(tài)更新，在這種情況下，客戶端將更新A記錄和PTR記錄，同時(shí)也就擁有記錄的所有權(quán)。

　　2．Windows2000混雜模式

　　在一個(gè)混雜模式的環(huán)境下，DHCP客戶端不能在DNS下注冊(cè)。所謂混雜模式即網(wǎng)絡(luò)除Windows2000服務(wù)器、客戶端外同時(shí)存在有WindowsNT4.0或Windows98客戶。

　　先前的客戶端，如WindowsNT4.0和Windows9x不能直接通過DNS注冊(cè)。因?yàn)橹挥蠨HCP服務(wù)器可以通過DNS注冊(cè)記錄，在混雜環(huán)境中唯一的選擇是讓DHCP服務(wù)器注冊(cè)A記錄和PTR記錄，在這種情況下，服務(wù)器擁有正向和反向查找記錄的所有權(quán)。

　　3．安全動(dòng)態(tài)更新

　　在Windows2000網(wǎng)絡(luò)中，只有當(dāng)活動(dòng)目錄與DNS區(qū)域集成時(shí)，安全動(dòng)態(tài)更新才可用。安全動(dòng)態(tài)更新意味著什么呢？在Windows2000中，它意味著用活動(dòng)目錄的ACL制定用戶和組的權(quán)限來修改DNS區(qū)域和/或它的資源記錄。為允許更新DNS區(qū)域和/或它的資源記錄，除ACL外，動(dòng)態(tài)更新也使用安全通道和認(rèn)證。

　　Windows2000支持使用IETF草擬的"GSS Algorithm for TSIG "（GSS-TSIG）算法進(jìn)行安全動(dòng)態(tài)更新。這個(gè)算法使用 Kerberos v5 作為優(yōu)先的認(rèn)證協(xié)議，GSS-API在RFC2078中有定義。

上一篇：構(gòu)建DNS服務(wù)器簡(jiǎn)易指南_Dns服務(wù)器教程

下一篇：全國(guó)主要城市的DNS服務(wù)器列表_Dns服務(wù)器教程