亚洲韩日午夜视频,欧美日韩在线精品一区二区三区,韩国超清无码一区二区三区,亚洲国产成人影院播放,久草新在线,在线看片AV色

您好,歡迎來到思海網絡,我們將竭誠為您提供優質的服務! 誠征網絡推廣 | 網站備案 | 幫助中心 | 軟件下載 | 購買流程 | 付款方式 | 聯系我們 [ 會員登錄/注冊 ]
促銷推廣
客服中心
業務咨詢
有事點擊這里…  531199185
有事點擊這里…  61352289
點擊這里給我發消息  81721488
有事點擊這里…  376585780
有事點擊這里…  872642803
有事點擊這里…  459248018
有事點擊這里…  61352288
有事點擊這里…  380791050
技術支持
有事點擊這里…  714236853
有事點擊這里…  719304487
有事點擊這里…  1208894568
有事點擊這里…  61352289
在線客服
有事點擊這里…  531199185
有事點擊這里…  61352288
有事點擊這里…  983054746
有事點擊這里…  893984210
當前位置:首頁 >> 技術文章 >> 文章瀏覽
技術文章

在 Windows2000 環境下實現動態 DNS 的安全考慮

添加時間:2010-11-7  添加: admin 
    Windows2000 域名解析是基于動態DNS(Dynamic DNS)的。微軟是基于RFC 2136實現動態DNS的。這關系到 BIND v8 和 v9。BIND v9 在由O’Reilly出版的Paul Albitz 和 Cricket Liu 撰寫的第四版《DNS and BIND》里面有所闡述。

    在 Windows 2000 里,動態 DNS 是與 DHCP, WINS 和動態目錄(Active Directory) 集成并且相關的。在 Windows 2000的域中有三種方法實現 DNS:動態目錄集成、動態目錄的主要DNS和非動態目錄的輔助DNS、非動態目錄的主DNS和非動態目錄的輔助DNS。當 DNS 完全集成到動態目錄中時,我們可以在一個 Windows 2000 網絡中利用三種安全特性:安全動態更新、安全區域傳輸和對區域與資源記錄的訪問控制列表。

    1.0 安全動態更新

    在動態DNS(DDNS)中最重要的安全特性之一就是安全更新特性。在實現安全更新特性中需主要考慮的,是由DNS條目組成記錄的所有權。DHCP是如何配置的和支持哪個客戶端決定了所有權。

    兩種DNS資源記錄關系到每一個客戶端:A記錄和PTR記錄。A記錄負責從名字解析到地址,而PTR記錄解析地址到名字。地址是指一個客戶端的IP地址。名字是指一個客戶機完整的、有資格的域名。這應該是計算機名加上網絡的域名。

    在Windows 2000環境中,當客戶端通過DHCP請求一個IP時,客戶端DNS記錄就被注冊。根據設置,客戶端、DHCP服務器或者這兩者都可以更新A和PTR記錄來關聯到客戶端。這些記錄的所有權依據誰注冊了這個記錄。

    這就是在Windows 2000網絡中定義 A 和 PTR 記錄所有權的選擇。

    1.1 Windows 2000 本機模式(Native Mode)

    在Windows 2000環境下,DHCP 服務器和 DHCP 客戶端都可以通過 DNS 注冊記錄。當網絡單純由 Windows 2000 的服務器和客戶端組成時,這種 Windows 2000 環境稱之為"本機模式"(Native Mode)。

    當客戶端是一個 Windows 2000 客戶端,這個客戶端的默認配置是在注冊到網絡過程中動態更新它自己的 A 記錄。與此同時,DHCP 服務器更新客戶端的 PTR 記錄。所以,A 記錄的所有權屬于這個客戶端,PTR 記錄的所有權屬于 DHCP 服務器。

    第二種可能的配置是 DHCP 服務器總是更新正向和反向的查找。在這種情況下,DHCP 服務器分別擁有A和PTR記錄。

    第三種可能的配置是 DHCP 服務器被配置為不能執行動態更新。在這種情況下,客戶端將會更新 A 記錄和 PTR 記錄,因此擁有這些記錄。

    1.2 Windows 2000 混雜模式(Mixed Mode)

    在混雜的環境下,DHCP 客戶端不能通過 DNS 注冊。當網絡由 Windows 2000 服務器、客戶端除了 Windows 2000 之外還由 Windows NT 4.0 或 Windows 98 組成時,這種混雜環境被稱為"混雜模式"。

    以前的客戶端,像 Windows NT 4.0 和 Windows 9x,不能直接通過 DNS 注冊。因為只有 DHCP 服務器可以通過 DNS 注冊記錄,再混雜環境中唯一的選擇是讓 DHCP 注冊 A 和 PTR 記錄。在這種情況下,這個服務器擁有正向和反向查找的記錄。

    1.3 安全動態更新

    在 Windows 2000 網絡中,安全動態更新是唯一可以用于與動態目錄集成的 DNS 區域。所以安全動態更新意味著什么?在 Windows 2000 中,它意味著是用動態目錄 ACL 制定用戶和組的權限來修改 DNS 區域和/或它的資源記錄。除了使用 ACL 外,安全更新為了允許更新 DNS 區域和/或它的資源記錄,也使用安全通道和認證。

    微軟 Windows 2000 支持使用在 IETF Internet-Draft "GSS Algorithm for TSIG (GSS-TSIG) 中定義的運算法則進行安全動態更新。這個算法使用 Kerberos v5 作為優先的認證協議。GSS-API 在 RFC 2078 中有定義。

    2.0 區域

    2.1 區域的類型

    Windows 2000 可以配置 DNS 區域為主要區域、輔助區域或活動目錄集成。

    主要和輔助區域象在 Unix 環境和 NT 4.0 環境一樣運作。另外數據庫保持與其它數據庫象 WINS 和 DHCP 數據庫分開,并且復制也是分別從其它復制服務中設置。如果網絡中任何服務器運行著一個 BIND 版本低于 8.1.2,則必須使用主要/輔助區域,因為在早先的版本中不支持動態更新。

    如果安裝了活動目錄,DNS 區域可以成為活動目錄集成區域。這意味著 DNS 區域數據庫成為活動目錄數據庫的一部分。每一個記錄成為活動目錄對象。每一個活動目錄對象擁有它自己的ACL(訪問控制列表)。

    2.2 區域傳輸或復制的類型

&nb
分享到:

頂部 】 【 關閉
版權所有:佛山思海電腦網絡有限公司 ©1998-2024 All Rights Reserved.
聯系電話:(0757)22630313、22633833
中華人民共和國增值電信業務經營許可證: 粵B1.B2-20030321 備案號:粵B2-20030321-1
網站公安備案編號:44060602000007 交互式欄目專項備案編號:200303DD003  
察察 工商 網安 舉報有獎  警警  手機打開網站