客服中心
业务咨询
技术支持
在线客服
在 Windows2000 环境下实现动态 DNS 的安全考虑
添加时间:2010-11-7
添加:
admin
Windows2000 域名解析是基于动态DNS(Dynamic DNS)的。微软是基于RFC 2136实现动态DNS的。这关系到 BIND v8 和 v9。BIND v9 在由O’Reilly出版的Paul Albitz 和 Cricket Liu 撰写的第四版《DNS and BIND》里面有所阐述。
在 Windows 2000 里,动态 DNS 是与 DHCP, WINS 和动态目录(Active Directory) 集成并且相关的。在 Windows 2000的域中有三种方法实现 DNS:动态目录集成、动态目录的主要DNS和非动态目录的辅助DNS、非动态目录的主DNS和非动态目录的辅助DNS。当 DNS 完全集成到动态目录中时,我们可以在一个 Windows 2000 网络中利用三种安全特性:安全动态更新、安全区域传输和对区域与资源记录的访问控制列表。
1.0 安全动态更新
在动态DNS(DDNS)中最重要的安全特性之一就是安全更新特性。在实现安全更新特性中需主要考虑的,是由DNS条目组成记录的所有权。DHCP是如何配置的和支持哪个客户端决定了所有权。
两种DNS资源记录关系到每一个客户端:A记录和PTR记录。A记录负责从名字解析到地址,而PTR记录解析地址到名字。地址是指一个客户端的IP地址。名字是指一个客户机完整的、有资格的域名。这应该是计算机名加上网络的域名。
在Windows 2000环境中,当客户端通过DHCP请求一个IP时,客户端DNS记录就被注册。根据设置,客户端、DHCP服务器或者这两者都可以更新A和PTR记录来关联到客户端。这些记录的所有权依据谁注册了这个记录。
这就是在Windows 2000网络中定义 A 和 PTR 记录所有权的选择。
1.1 Windows 2000 本机模式(Native Mode)
在Windows 2000环境下,DHCP 服务器和 DHCP 客户端都可以通过 DNS 注册记录。当网络单纯由 Windows 2000 的服务器和客户端组成时,这种 Windows 2000 环境称之为"本机模式"(Native Mode)。
当客户端是一个 Windows 2000 客户端,这个客户端的默认配置是在注册到网络过程中动态更新它自己的 A 记录。与此同时,DHCP 服务器更新客户端的 PTR 记录。所以,A 记录的所有权属于这个客户端,PTR 记录的所有权属于 DHCP 服务器。
第二种可能的配置是 DHCP 服务器总是更新正向和反向的查找。在这种情况下,DHCP 服务器分别拥有A和PTR记录。
第三种可能的配置是 DHCP 服务器被配置为不能执行动态更新。在这种情况下,客户端将会更新 A 记录和 PTR 记录,因此拥有这些记录。
1.2 Windows 2000 混杂模式(Mixed Mode)
在混杂的环境下,DHCP 客户端不能通过 DNS 注册。当网络由 Windows 2000 服务器、客户端除了 Windows 2000 之外还由 Windows NT 4.0 或 Windows 98 组成时,这种混杂环境被称为"混杂模式"。
以前的客户端,像 Windows NT 4.0 和 Windows 9x,不能直接通过 DNS 注册。因为只有 DHCP 服务器可以通过 DNS 注册记录,再混杂环境中唯一的选择是让 DHCP 注册 A 和 PTR 记录。在这种情况下,这个服务器拥有正向和反向查找的记录。
1.3 安全动态更新
在 Windows 2000 网络中,安全动态更新是唯一可以用于与动态目录集成的 DNS 区域。所以安全动态更新意味着什么?在 Windows 2000 中,它意味着是用动态目录 ACL 制定用户和组的权限来修改 DNS 区域和/或它的资源记录。除了使用 ACL 外,安全更新为了允许更新 DNS 区域和/或它的资源记录,也使用安全通道和认证。
微软 Windows 2000 支持使用在 IETF Internet-Draft "GSS Algorithm for TSIG (GSS-TSIG) 中定义的运算法则进行安全动态更新。这个算法使用 Kerberos v5 作为优先的认证协议。GSS-API 在 RFC 2078 中有定义。
2.0 区域
2.1 区域的类型
Windows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。
主要和辅助区域象在 Unix 环境和 NT 4.0 环境一样运作。另外数据库保持与其它数据库象 WINS 和 DHCP 数据库分开,并且复制也是分别从其它复制服务中设置。如果网络中任何服务器运行着一个 BIND 版本低于 8.1.2,则必须使用主要/辅助区域,因为在早先的版本中不支持动态更新。
如果安装了活动目录,DNS 区域可以成为活动目录集成区域。这意味着 DNS 区域数据库成为活动目录数据库的一部分。每一个记录成为活动目录对象。每一个活动目录对象拥有它自己的ACL(访问控制列表)。
2.2 区域传输或复制的类型
&nb
在 Windows 2000 里,动态 DNS 是与 DHCP, WINS 和动态目录(Active Directory) 集成并且相关的。在 Windows 2000的域中有三种方法实现 DNS:动态目录集成、动态目录的主要DNS和非动态目录的辅助DNS、非动态目录的主DNS和非动态目录的辅助DNS。当 DNS 完全集成到动态目录中时,我们可以在一个 Windows 2000 网络中利用三种安全特性:安全动态更新、安全区域传输和对区域与资源记录的访问控制列表。
1.0 安全动态更新
在动态DNS(DDNS)中最重要的安全特性之一就是安全更新特性。在实现安全更新特性中需主要考虑的,是由DNS条目组成记录的所有权。DHCP是如何配置的和支持哪个客户端决定了所有权。
两种DNS资源记录关系到每一个客户端:A记录和PTR记录。A记录负责从名字解析到地址,而PTR记录解析地址到名字。地址是指一个客户端的IP地址。名字是指一个客户机完整的、有资格的域名。这应该是计算机名加上网络的域名。
在Windows 2000环境中,当客户端通过DHCP请求一个IP时,客户端DNS记录就被注册。根据设置,客户端、DHCP服务器或者这两者都可以更新A和PTR记录来关联到客户端。这些记录的所有权依据谁注册了这个记录。
这就是在Windows 2000网络中定义 A 和 PTR 记录所有权的选择。
1.1 Windows 2000 本机模式(Native Mode)
在Windows 2000环境下,DHCP 服务器和 DHCP 客户端都可以通过 DNS 注册记录。当网络单纯由 Windows 2000 的服务器和客户端组成时,这种 Windows 2000 环境称之为"本机模式"(Native Mode)。
当客户端是一个 Windows 2000 客户端,这个客户端的默认配置是在注册到网络过程中动态更新它自己的 A 记录。与此同时,DHCP 服务器更新客户端的 PTR 记录。所以,A 记录的所有权属于这个客户端,PTR 记录的所有权属于 DHCP 服务器。
第二种可能的配置是 DHCP 服务器总是更新正向和反向的查找。在这种情况下,DHCP 服务器分别拥有A和PTR记录。
第三种可能的配置是 DHCP 服务器被配置为不能执行动态更新。在这种情况下,客户端将会更新 A 记录和 PTR 记录,因此拥有这些记录。
1.2 Windows 2000 混杂模式(Mixed Mode)
在混杂的环境下,DHCP 客户端不能通过 DNS 注册。当网络由 Windows 2000 服务器、客户端除了 Windows 2000 之外还由 Windows NT 4.0 或 Windows 98 组成时,这种混杂环境被称为"混杂模式"。
以前的客户端,像 Windows NT 4.0 和 Windows 9x,不能直接通过 DNS 注册。因为只有 DHCP 服务器可以通过 DNS 注册记录,再混杂环境中唯一的选择是让 DHCP 注册 A 和 PTR 记录。在这种情况下,这个服务器拥有正向和反向查找的记录。
1.3 安全动态更新
在 Windows 2000 网络中,安全动态更新是唯一可以用于与动态目录集成的 DNS 区域。所以安全动态更新意味着什么?在 Windows 2000 中,它意味着是用动态目录 ACL 制定用户和组的权限来修改 DNS 区域和/或它的资源记录。除了使用 ACL 外,安全更新为了允许更新 DNS 区域和/或它的资源记录,也使用安全通道和认证。
微软 Windows 2000 支持使用在 IETF Internet-Draft "GSS Algorithm for TSIG (GSS-TSIG) 中定义的运算法则进行安全动态更新。这个算法使用 Kerberos v5 作为优先的认证协议。GSS-API 在 RFC 2078 中有定义。
2.0 区域
2.1 区域的类型
Windows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。
主要和辅助区域象在 Unix 环境和 NT 4.0 环境一样运作。另外数据库保持与其它数据库象 WINS 和 DHCP 数据库分开,并且复制也是分别从其它复制服务中设置。如果网络中任何服务器运行着一个 BIND 版本低于 8.1.2,则必须使用主要/辅助区域,因为在早先的版本中不支持动态更新。
如果安装了活动目录,DNS 区域可以成为活动目录集成区域。这意味着 DNS 区域数据库成为活动目录数据库的一部分。每一个记录成为活动目录对象。每一个活动目录对象拥有它自己的ACL(访问控制列表)。
2.2 区域传输或复制的类型
&nb
新文章:
- CentOS7下图形配置网络的方法
- CentOS 7如何添加删除用户
- 如何解决centos7双系统后丢失windows启动项
- CentOS单网卡如何批量添加不同IP段
- CentOS下iconv命令的介绍
- Centos7 SSH密钥登陆及密码密钥双重验证详解
- CentOS 7.1添加删除用户的方法
- CentOS查找/扫描局域网打印机IP讲解
- CentOS7使用hostapd实现无AP模式的详解
- su命令不能切换root的解决方法
- 解决VMware下CentOS7网络重启出错
- 解决Centos7双系统后丢失windows启动项
- CentOS下如何避免文件覆盖
- CentOS7和CentOS6系统有什么不同呢
- Centos 6.6默认iptable规则详解
