舟山市机关幼儿园教育集团

Win2000动态DNS的安全应用策略

  Windows2000 域名解析是基于动态DNS,动态DNS的实现是基于RFC 2136基础上的。在Windows 2000下,动态DNS是与DHCP、WINS及活动目录(AD)集成在一起的。在Windows 2000的域下有三种实现DNS的方法:与活动目录集成、与活动目录集成的主DNS及不与活动目录集成的辅助DNS、不与活动目录集成的主DNS及不与活动目录集成的辅助DNS。当DNS完成集成到活动目录中后,我们可以利用Windows2000网络中的三个重要安全特性:安全动态更新、安全区域传输、对区域和资源记录的访问控制列表。

  在动态DNS(DDNS)中一个最重要的安全特性就是安全更新。在实现安全更新时一个主要的考虑是DNS项组成的记录的所有权。所有权是由DHCP的配置及对客户端的支持来决定的。

  与客户端相关的有两种DNS记录:A记录和PTR记录,A记录解析名字到地址,而PTR记录解析地址到名字。地址是指一个客户端的IP地址,名字是指一个客户的完全合格域名,应该是计算机名加上网络的域名。

  在Windows 2000环境中,当客户端通过DHCP请求一个IP时,客户端DNS记录就被注册。根据设置,客户端、DHCP服务器或者两者都可以更新客户的A记录和PTR记录,谁注册了这个记录,谁就对记录拥有所有权。

  当客户端是一个Windows2000客户时,默认配置是当客户在网络上注册时动态更新它自己的A记录,与此同时,DHCP服务器更新客户的PTR记录。因此,A记录的所有权属于客户端,PTR记录的所有权属于DHCP服务器。

  第二种可能的配置是DHCP服务器更新正向和反向查找,在这种情况下,DHCP服务器同时拥有A记录和PTR记录的所有。

  第三种可能的配置是DHCP服务器被配置为不执行动态更新,在这种情况下,客户端将更新A记录和PTR记录,同时也就拥有记录的所有权。

  在一个混杂模式的环境下,DHCP客户端不能在DNS下注册。所谓混杂模式即网络除Windows2000服务器、客户端外同时存在有WindowsNT4.0或Windows98客户。

  先前的客户端,如WindowsNT4.0和Windows9x不能直接通过DNS注册。因为只有DHCP服务器可以通过DNS注册记录,在混杂环境中唯一的选择是让DHCP服务器注册A记录和PTR记录,在这种情况下,服务器拥有正向和反向查找记录的所有权。

  在Windows2000网络中,只有当活动目录与DNS区域集成时,安全动态更新才可用。安全动态更新意味着什么呢?在Windows2000中,它意味着用活动目录的ACL制定用户和组的权限来修改DNS区域和/或它的资源记录。为允许更新DNS区域和/或它的资源记录,除ACL外,动态更新也使用安全通道和认证。

  主要和辅助区域的功能与在Unix和NT4.0环境下一样。另外,DNS数据库与数据库如WINS和DHCP保持独立,复制是从复务中独立设置。如果网络中有服务器运行低于8.1.2的BIND版本,则必须使用主要/辅助区域,因为在早先的版本中不支持动态更新。

  如果安装了活动目录,DNS区域可以成为活动目录集成区域。这意味着DNS区域数据库成为活动目录数据库的一部分,每条记录都是活动目录的对象,每个活动目录对象拥有它自己的ACL(访问控制列表)。

  Windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的区域传输,是整个区域数据库文件的复制。IXFR或增量区域传输,仅仅复制区域数据库的变化。如果区域类型设置为主要/辅助区域,那么可以应用这些区域复制方法。IXFR支持在BIND 8.2.1及以上版本。

  当 DNS与活动目录集成时,所有的区域和资源记录将成为活动目录数据库中的对象。活动目录的复制是基于多主机模型。

  多主机模型的好处之一是没有单点失败的问题。这是可能的,因为DNS是活动目录数据库的一部分,而活动目录数据库被复制到所有的域。

  多主机模型的第二个好处是仅需要设置一个复制拓扑。DNS区域数据库变成活动目录数据的一部分,因此DNS区域传输作为活动目录复制的一部分完成。

  当Windows 2000的DNS配置为与活动目录集成时,复制进程成为活动目录复制的一部分,因此它自动使用加密和压缩。

  在Windows 2000下使用Kerberos v5进行加密。之间的通信通道自动加密,不需要管理员配置。

  当活动目录更新在桥头服务器间传输时,自动进行压缩。桥头服务器是在本地局域网服务器自动选择产生的,当活动目录使用广域网链路进行更新时,每个局域网的桥头服务器会与桥头服务器通信,这将大大减少通过 WAN 链路的流量。在这种情况下,为了节省带宽会自动压缩。

  在 Windows 2000下活动目录与DDNS集成,因此实现活动目录安全第一步是实现 DDNS的安全。

  在Windows2000网络建立之后,限制访问这两个管理员组。这些组出现在根域下并且有最高的权限。根据域的结构,管理可以被委派到域结构,因此管理可以被限制到单个域。

  Windows2000的NTFS提供了使用加密文件系统的选择。EFS使用基于公共密钥的技术来进一步限制文件的未授权访问。

  DNS的安装将扩展活动目录的架构,包含了DNSUpdateProxy组。这是一个非常强大的组,它允许创建对象,这是不安全的,当这种情况发生时,任何授权用户可以获得这些对象的所有权。

  DNS中客户端的A记录和PTR记录会在DHCP处理进程中进行更新,这在上面有详细地叙述。当客户和服务器都是Windows2000时,安全动态更新可以通过默认安装来完成,当有的用户需要支持时,安全动态更新不能完成,除非DHCP服务器被加入到了DNSUpdateProxy组,加入DNSUpdateProxy组后,允许DHCP服务器为早期的客户端执行动态更新。

  如果DHCP服务运行在一个域时,需要特别考虑的是,添加DHCP服务器到DNSUpdateProxy组,将允许所有用户或计算机完全控制相应域的DNS记录。

  DHCP服务器不能在早期的客户端上执行安全动态更新,这在Windows2000网络中是非常重要的。如果这种情况发生,会出现不能完全更新活动记录的情况。例如,一个NT4.0的客户端通过DHCP服务器在DNS中注册了一个名字,当这台机器被升级到Windows2000时,这个名字保持不变。DHCP服务器因其最先注册了这个名字而拥有这个名字的资源记录所有权,所以Windows 2000客户不能更新它自己的名字。

  作为Windows2000最终的告诫,我将翻译说明为什么WINS将是Windows 2000网络中最可能需要的部分。为什么呢?对所有非Windows2000客户,NetBios解析仍是必需的。同样,所有需要NetBios的程序也将需要WINS来做名字解析。WINS通过两个特定的资源记录直接集成到了DNS中:WINS和WINS-R。这分别为WINS做正向和反向记录查找。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。