Win 2K動態DNS的安全考慮_Dns服務器教程

2024-09-08 23:25:43

字體：大中小

來源：轉載

供稿：網友

Windows2000 域名解析是基于動態DNS，動態DNS的實現是基于RFC 2136基礎上的。在Windows 2000下，動態DNS是與DHCP、WINS及活動目錄（AD）集成在一起的。在windows 2000的域下有三種實現DNS的方法：與活動目錄集成、與活動目錄集成的主DNS及不與活動目錄集成的輔助DNS、不與活動目錄集成的主DNS及不與活動目錄集成的輔助DNS。當DNS完成集成到活動目錄中后，我們可以利用Windows2000網絡中的三個重要安全特性：安全動態更新、安全區域傳輸、對區域和資源記錄的訪問控制列表。

　　一、安全動態更新

　　在動態DNS（DDNS）中一個最重要的安全特性就是安全更新。在實現安全更新時一個主要的考慮是DNS項組成的記錄的所有權。所有權是由DHCP的配置及對客戶端的支持來決定的。

　　與客戶端相關的有兩種DNS記錄：A記錄和PTR記錄，A記錄解析名字到地址，而PTR記錄解析地址到名字。地址是指一個客戶端的IP地址，名字是指一個客戶的完全合格域名，應該是計算機名加上網絡的域名。

　　在windows 2000環境中，當客戶端通過DHCP請求一個IP時，客戶端DNS記錄就被注冊。根據設置，客戶端、DHCP服務器或者兩者都可以更新客戶的A記錄和PTR記錄，誰注冊了這個記錄，誰就對記錄擁有所有權。

　　下面是在Windows2000網絡中定義客戶的A記錄和PTR記錄所有權的可選項。

　　1．Windows2000本機模式

　　在Windows2000環境下，DHCP服務器和DHCP客戶端都可以通過DNS注冊記錄。當網絡僅由Windows2000的服務器和客戶端組成時，這種Windows2000環境被定義為"本機模式"。

　　當客戶端是一個Windows2000客戶時，默認配置是當客戶在網絡上注冊時動態更新它自己的A記錄，與此同時，DHCP服務器更新客戶的PTR記錄。因此，A記錄的所有權屬于客戶端，PTR記錄的所有權屬于DHCP服務器。

　　第二種可能的配置是DHCP服務器更新正向和反向查找，在這種情況下，DHCP服務器同時擁有A記錄和PTR記錄的所有。

　　第三種可能的配置是DHCP服務器被配置為不執行動態更新，在這種情況下，客戶端將更新A記錄和PTR記錄，同時也就擁有記錄的所有權。

　　2．Windows2000混雜模式

　　在一個混雜模式的環境下，DHCP客戶端不能在DNS下注冊。所謂混雜模式即網絡除Windows2000服務器、客戶端外同時存在有WindowsNT4.0或Windows98客戶。

　　先前的客戶端，如WindowsNT4.0和Windows9x不能直接通過DNS注冊。因為只有DHCP服務器可以通過DNS注冊記錄，在混雜環境中唯一的選擇是讓DHCP服務器注冊A記錄和PTR記錄，在這種情況下，服務器擁有正向和反向查找記錄的所有權。

　　3．安全動態更新

　　在Windows2000網絡中，只有當活動目錄與DNS區域集成時，安全動態更新才可用。安全動態更新意味著什么呢？在Windows2000中，它意味著用活動目錄的ACL制定用戶和組的權限來修改DNS區域和/或它的資源記錄。為允許更新DNS區域和/或它的資源記錄，除ACL外，動態更新也使用安全通道和認證。

　　Windows2000支持使用IETF草擬的"GSS Algorithm for TSIG "（GSS-TSIG）算法進行安全動態更新。這個算法使用 Kerberos v5 作為優先的認證協議，GSS-API在RFC2078中有定義。

上一篇：構建DNS服務器簡易指南_Dns服務器教程

下一篇：全國主要城市的DNS服務器列表_Dns服務器教程