在 Windows2000 環境下實現動態 DNS 的安全考慮
添加時間:2010-11-7
添加:
admin
Windows2000 域名解析是基于動態DNS(Dynamic DNS)的。微軟是基于RFC 2136實現動態DNS的。這關系到 BIND v8 和 v9。BIND v9 在由O’Reilly出版的Paul Albitz 和 Cricket Liu 撰寫的第四版《DNS and BIND》里面有所闡述。
在 Windows 2000 里,動態 DNS 是與 DHCP, WINS 和動態目錄(Active Directory) 集成并且相關的。在 Windows 2000的域中有三種方法實現 DNS:動態目錄集成、動態目錄的主要DNS和非動態目錄的輔助DNS、非動態目錄的主DNS和非動態目錄的輔助DNS。當 DNS 完全集成到動態目錄中時,我們可以在一個 Windows 2000 網絡中利用三種安全特性:安全動態更新、安全區域傳輸和對區域與資源記錄的訪問控制列表。
1.0 安全動態更新
在動態DNS(DDNS)中最重要的安全特性之一就是安全更新特性。在實現安全更新特性中需主要考慮的,是由DNS條目組成記錄的所有權。DHCP是如何配置的和支持哪個客戶端決定了所有權。
兩種DNS資源記錄關系到每一個客戶端:A記錄和PTR記錄。A記錄負責從名字解析到地址,而PTR記錄解析地址到名字。地址是指一個客戶端的IP地址。名字是指一個客戶機完整的、有資格的域名。這應該是計算機名加上網絡的域名。
在Windows 2000環境中,當客戶端通過DHCP請求一個IP時,客戶端DNS記錄就被注冊。根據設置,客戶端、DHCP服務器或者這兩者都可以更新A和PTR記錄來關聯到客戶端。這些記錄的所有權依據誰注冊了這個記錄。
這就是在Windows 2000網絡中定義 A 和 PTR 記錄所有權的選擇。
1.1 Windows 2000 本機模式(Native Mode)
在Windows 2000環境下,DHCP 服務器和 DHCP 客戶端都可以通過 DNS 注冊記錄。當網絡單純由 Windows 2000 的服務器和客戶端組成時,這種 Windows 2000 環境稱之為"本機模式"(Native Mode)。
當客戶端是一個 Windows 2000 客戶端,這個客戶端的默認配置是在注冊到網絡過程中動態更新它自己的 A 記錄。與此同時,DHCP 服務器更新客戶端的 PTR 記錄。所以,A 記錄的所有權屬于這個客戶端,PTR 記錄的所有權屬于 DHCP 服務器。
第二種可能的配置是 DHCP 服務器總是更新正向和反向的查找。在這種情況下,DHCP 服務器分別擁有A和PTR記錄。
第三種可能的配置是 DHCP 服務器被配置為不能執行動態更新。在這種情況下,客戶端將會更新 A 記錄和 PTR 記錄,因此擁有這些記錄。
1.2 Windows 2000 混雜模式(Mixed Mode)
在混雜的環境下,DHCP 客戶端不能通過 DNS 注冊。當網絡由 Windows 2000 服務器、客戶端除了 Windows 2000 之外還由 Windows NT 4.0 或 Windows 98 組成時,這種混雜環境被稱為"混雜模式"。
以前的客戶端,像 Windows NT 4.0 和 Windows 9x,不能直接通過 DNS 注冊。因為只有 DHCP 服務器可以通過 DNS 注冊記錄,再混雜環境中唯一的選擇是讓 DHCP 注冊 A 和 PTR 記錄。在這種情況下,這個服務器擁有正向和反向查找的記錄。
1.3 安全動態更新
在 Windows 2000 網絡中,安全動態更新是唯一可以用于與動態目錄集成的 DNS 區域。所以安全動態更新意味著什么?在 Windows 2000 中,它意味著是用動態目錄 ACL 制定用戶和組的權限來修改 DNS 區域和/或它的資源記錄。除了使用 ACL 外,安全更新為了允許更新 DNS 區域和/或它的資源記錄,也使用安全通道和認證。
微軟 Windows 2000 支持使用在 IETF Internet-Draft "GSS Algorithm for TSIG (GSS-TSIG) 中定義的運算法則進行安全動態更新。這個算法使用 Kerberos v5 作為優先的認證協議。GSS-API 在 RFC 2078 中有定義。
2.0 區域
2.1 區域的類型
Windows 2000 可以配置 DNS 區域為主要區域、輔助區域或活動目錄集成。
主要和輔助區域象在 Unix 環境和 NT 4.0 環境一樣運作。另外數據庫保持與其它數據庫象 WINS 和 DHCP 數據庫分開,并且復制也是分別從其它復制服務中設置。如果網絡中任何服務器運行著一個 BIND 版本低于 8.1.2,則必須使用主要/輔助區域,因為在早先的版本中不支持動態更新。
如果安裝了活動目錄,DNS 區域可以成為活動目錄集成區域。這意味著 DNS 區域數據庫成為活動目錄數據庫的一部分。每一個記錄成為活動目錄對象。每一個活動目錄對象擁有它自己的ACL(訪問控制列表)。
2.2 區域傳輸或復制的類型
&nb
在 Windows 2000 里,動態 DNS 是與 DHCP, WINS 和動態目錄(Active Directory) 集成并且相關的。在 Windows 2000的域中有三種方法實現 DNS:動態目錄集成、動態目錄的主要DNS和非動態目錄的輔助DNS、非動態目錄的主DNS和非動態目錄的輔助DNS。當 DNS 完全集成到動態目錄中時,我們可以在一個 Windows 2000 網絡中利用三種安全特性:安全動態更新、安全區域傳輸和對區域與資源記錄的訪問控制列表。
1.0 安全動態更新
在動態DNS(DDNS)中最重要的安全特性之一就是安全更新特性。在實現安全更新特性中需主要考慮的,是由DNS條目組成記錄的所有權。DHCP是如何配置的和支持哪個客戶端決定了所有權。
兩種DNS資源記錄關系到每一個客戶端:A記錄和PTR記錄。A記錄負責從名字解析到地址,而PTR記錄解析地址到名字。地址是指一個客戶端的IP地址。名字是指一個客戶機完整的、有資格的域名。這應該是計算機名加上網絡的域名。
在Windows 2000環境中,當客戶端通過DHCP請求一個IP時,客戶端DNS記錄就被注冊。根據設置,客戶端、DHCP服務器或者這兩者都可以更新A和PTR記錄來關聯到客戶端。這些記錄的所有權依據誰注冊了這個記錄。
這就是在Windows 2000網絡中定義 A 和 PTR 記錄所有權的選擇。
1.1 Windows 2000 本機模式(Native Mode)
在Windows 2000環境下,DHCP 服務器和 DHCP 客戶端都可以通過 DNS 注冊記錄。當網絡單純由 Windows 2000 的服務器和客戶端組成時,這種 Windows 2000 環境稱之為"本機模式"(Native Mode)。
當客戶端是一個 Windows 2000 客戶端,這個客戶端的默認配置是在注冊到網絡過程中動態更新它自己的 A 記錄。與此同時,DHCP 服務器更新客戶端的 PTR 記錄。所以,A 記錄的所有權屬于這個客戶端,PTR 記錄的所有權屬于 DHCP 服務器。
第二種可能的配置是 DHCP 服務器總是更新正向和反向的查找。在這種情況下,DHCP 服務器分別擁有A和PTR記錄。
第三種可能的配置是 DHCP 服務器被配置為不能執行動態更新。在這種情況下,客戶端將會更新 A 記錄和 PTR 記錄,因此擁有這些記錄。
1.2 Windows 2000 混雜模式(Mixed Mode)
在混雜的環境下,DHCP 客戶端不能通過 DNS 注冊。當網絡由 Windows 2000 服務器、客戶端除了 Windows 2000 之外還由 Windows NT 4.0 或 Windows 98 組成時,這種混雜環境被稱為"混雜模式"。
以前的客戶端,像 Windows NT 4.0 和 Windows 9x,不能直接通過 DNS 注冊。因為只有 DHCP 服務器可以通過 DNS 注冊記錄,再混雜環境中唯一的選擇是讓 DHCP 注冊 A 和 PTR 記錄。在這種情況下,這個服務器擁有正向和反向查找的記錄。
1.3 安全動態更新
在 Windows 2000 網絡中,安全動態更新是唯一可以用于與動態目錄集成的 DNS 區域。所以安全動態更新意味著什么?在 Windows 2000 中,它意味著是用動態目錄 ACL 制定用戶和組的權限來修改 DNS 區域和/或它的資源記錄。除了使用 ACL 外,安全更新為了允許更新 DNS 區域和/或它的資源記錄,也使用安全通道和認證。
微軟 Windows 2000 支持使用在 IETF Internet-Draft "GSS Algorithm for TSIG (GSS-TSIG) 中定義的運算法則進行安全動態更新。這個算法使用 Kerberos v5 作為優先的認證協議。GSS-API 在 RFC 2078 中有定義。
2.0 區域
2.1 區域的類型
Windows 2000 可以配置 DNS 區域為主要區域、輔助區域或活動目錄集成。
主要和輔助區域象在 Unix 環境和 NT 4.0 環境一樣運作。另外數據庫保持與其它數據庫象 WINS 和 DHCP 數據庫分開,并且復制也是分別從其它復制服務中設置。如果網絡中任何服務器運行著一個 BIND 版本低于 8.1.2,則必須使用主要/輔助區域,因為在早先的版本中不支持動態更新。
如果安裝了活動目錄,DNS 區域可以成為活動目錄集成區域。這意味著 DNS 區域數據庫成為活動目錄數據庫的一部分。每一個記錄成為活動目錄對象。每一個活動目錄對象擁有它自己的ACL(訪問控制列表)。
2.2 區域傳輸或復制的類型
&nb
新文章:
- CentOS7下圖形配置網絡的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統后丟失windows啟動項
- CentOS單網卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網打印機IP講解
- CentOS7使用hostapd實現無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網絡重啟出錯
- 解決Centos7雙系統后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統有什么不同呢
- Centos 6.6默認iptable規則詳解