Windows2000 域名解析是基于動(dòng)態(tài)DNS(Dynamic DNS)的。微軟是基于RFC 2136實(shí)現(xiàn)動(dòng)態(tài)DNS的。這關(guān)系到 BIND v8 和 v9。BIND v9 在由O’Reilly出版的Paul Albitz 和 Cricket Liu 撰寫的第四版《DNS and BIND》里面有所闡述。

    在 Windows 2000 里，動(dòng)態(tài) DNS 是與 DHCP, WINS 和動(dòng)態(tài)目錄(Active Directory) 集成并且相關(guān)的。在 Windows 2000的域中有三種方法實(shí)現(xiàn) DNS：動(dòng)態(tài)目錄集成、動(dòng)態(tài)目錄的主要DNS和非動(dòng)態(tài)目錄的輔助DNS、非動(dòng)態(tài)目錄的主DNS和非動(dòng)態(tài)目錄的輔助DNS。當(dāng) DNS 完全集成到動(dòng)態(tài)目錄中時(shí)，我們可以在一個(gè) Windows 2000 網(wǎng)絡(luò)中利用三種安全特性：安全動(dòng)態(tài)更新、安全區(qū)域傳輸和對區(qū)域與資源記錄的訪問控制列表。

    1.0 安全動(dòng)態(tài)更新

    在動(dòng)態(tài)DNS(DDNS)中最重要的安全特性之一就是安全更新特性。在實(shí)現(xiàn)安全更新特性中需主要考慮的，是由DNS條目組成記錄的所有權(quán)。DHCP是如何配置的和支持哪個(gè)客戶端決定了所有權(quán)。

    兩種DNS資源記錄關(guān)系到每一個(gè)客戶端：A記錄和PTR記錄。A記錄負(fù)責(zé)從名字解析到地址，而PTR記錄解析地址到名字。地址是指一個(gè)客戶端的IP地址。名字是指一個(gè)客戶機(jī)完整的、有資格的域名。這應(yīng)該是計(jì)算機(jī)名加上網(wǎng)絡(luò)的域名。

    在Windows 2000環(huán)境中，當(dāng)客戶端通過DHCP請求一個(gè)IP時(shí)，客戶端DNS記錄就被注冊。根據(jù)設(shè)置，客戶端、DHCP服務(wù)器或者這兩者都可以更新A和PTR記錄來關(guān)聯(lián)到客戶端。這些記錄的所有權(quán)依據(jù)誰注冊了這個(gè)記錄。

    這就是在Windows 2000網(wǎng)絡(luò)中定義 A 和 PTR 記錄所有權(quán)的選擇。

    1.1 Windows 2000 本機(jī)模式(Native Mode)

    在Windows 2000環(huán)境下，DHCP 服務(wù)器和 DHCP 客戶端都可以通過 DNS 注冊記錄。當(dāng)網(wǎng)絡(luò)單純由 Windows 2000 的服務(wù)器和客戶端組成時(shí)，這種 Windows 2000 環(huán)境稱之為"本機(jī)模式"(Native Mode)。

    當(dāng)客戶端是一個(gè) Windows 2000 客戶端，這個(gè)客戶端的默認(rèn)配置是在注冊到網(wǎng)絡(luò)過程中動(dòng)態(tài)更新它自己的 A 記錄。與此同時(shí)，DHCP 服務(wù)器更新客戶端的 PTR 記錄。所以，A 記錄的所有權(quán)屬于這個(gè)客戶端，PTR 記錄的所有權(quán)屬于 DHCP 服務(wù)器。

    第二種可能的配置是 DHCP 服務(wù)器總是更新正向和反向的查找。在這種情況下，DHCP 服務(wù)器分別擁有A和PTR記錄。

    第三種可能的配置是 DHCP 服務(wù)器被配置為不能執(zhí)行動(dòng)態(tài)更新。在這種情況下，客戶端將會(huì)更新 A 記錄和 PTR 記錄，因此擁有這些記錄。

    1.2 Windows 2000 混雜模式(Mixed Mode)

    在混雜的環(huán)境下，DHCP 客戶端不能通過 DNS 注冊。當(dāng)網(wǎng)絡(luò)由 Windows 2000 服務(wù)器、客戶端除了 Windows 2000 之外還由 Windows NT 4.0 或 Windows 98 組成時(shí)，這種混雜環(huán)境被稱為"混雜模式"。

    以前的客戶端，像 Windows NT 4.0 和 Windows 9x，不能直接通過 DNS 注冊。因?yàn)橹挥?DHCP 服務(wù)器可以通過 DNS 注冊記錄，再混雜環(huán)境中唯一的選擇是讓 DHCP 注冊 A 和 PTR 記錄。在這種情況下，這個(gè)服務(wù)器擁有正向和反向查找的記錄。

    1.3 安全動(dòng)態(tài)更新

    在 Windows 2000 網(wǎng)絡(luò)中，安全動(dòng)態(tài)更新是唯一可以用于與動(dòng)態(tài)目錄集成的 DNS 區(qū)域。所以安全動(dòng)態(tài)更新意味著什么？在 Windows 2000 中，它意味著是用動(dòng)態(tài)目錄 ACL 制定用戶和組的權(quán)限來修改 DNS 區(qū)域和/或它的資源記錄。除了使用 ACL 外，安全更新為了允許更新 DNS 區(qū)域和/或它的資源記錄，也使用安全通道和認(rèn)證。

    微軟 Windows 2000 支持使用在 IETF Internet-Draft "GSS Algorithm for TSIG (GSS-TSIG) 中定義的運(yùn)算法則進(jìn)行安全動(dòng)態(tài)更新。這個(gè)算法使用 Kerberos v5 作為優(yōu)先的認(rèn)證協(xié)議。GSS-API 在 RFC 2078 中有定義。

    2.0 區(qū)域

    2.1 區(qū)域的類型

    Windows 2000 可以配置 DNS 區(qū)域?yàn)橹饕獏^(qū)域、輔助區(qū)域或活動(dòng)目錄集成。

    主要和輔助區(qū)域象在 Unix 環(huán)境和 NT 4.0 環(huán)境一樣運(yùn)作。另外數(shù)據(jù)庫保持與其它數(shù)據(jù)庫象 WINS 和 DHCP 數(shù)據(jù)庫分開，并且復(fù)制也是分別從其它復(fù)制服務(wù)中設(shè)置。如果網(wǎng)絡(luò)中任何服務(wù)器運(yùn)行著一個(gè) BIND 版本低于 8.1.2，則必須使用主要/輔助區(qū)域，因?yàn)樵谠缦鹊陌姹局胁恢С謩?dòng)態(tài)更新。

    如果安裝了活動(dòng)目錄，DNS 區(qū)域可以成為活動(dòng)目錄集成區(qū)域。這意味著 DNS 區(qū)域數(shù)據(jù)庫成為活動(dòng)目錄數(shù)據(jù)庫的一部分。每一個(gè)記錄成為活動(dòng)目錄對象。每一個(gè)活動(dòng)目錄對象擁有它自己的ACL(訪問控制列表)。

    2.2 區(qū)域傳輸或復(fù)制的類型

&nb

【 頂部 】 【 關(guān)閉 】