返回
在win2000下实现动态dns的安全考虑

在win2000下实现动态dns的安全考虑

ID:21384767

大小:51.50 KB

页数:3页

时间:2018-10-21

在win2000下实现动态dns的安全考虑_第1页
在win2000下实现动态dns的安全考虑_第2页
在win2000下实现动态dns的安全考虑_第3页
资源描述:

《在win2000下实现动态dns的安全考虑》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、在Win2000下实现动态DNS的安全考虑  在WindoforTSIG(GSS-TSIG)算法进行安全动态更新。这个算法使用Kerberosv5作为优先的认证协议,GSS-API在RFC2078中有定义。   2.0区域   2.1区域的类型   Windows2000可以配置DNS区域为主要区域、辅助区域或活动目录集成。   主要和辅助区域的功能与在Unix和NT4.0环境下一样。另外,DNS数据库与其它数据库如WINS和DHCP保持独立,复制是从其它复制服务中独立设置。如果网络中有服务器运行低于8.1.2的BIND版本,则必须使用主要/辅助区域,因为在早先的版本

2、中不支持动态更新。   如果安装了活动目录,DNS区域可以成为活动目录集成区域。这意味着DNS区域数据库成为活动目录数据库的一部分,每条记录都是活动目录的对象,每个活动目录对象拥有它自己的ACL(访问控制列表)。   2.2区域传输或复制的类型   Windows2000下的DNS可以支持AXFR或IXFR。AXFR或所有的区域传输,是整个区域数据库文件的复制。IXFR或增量区域传输,仅仅复制区域数据库的变化。如果区域类型设置为主要/辅助区域,那么可以应用这些区域复制方法。IXFR支持在BIND8.2.1及以上版本。   当DNS与活动目录集成时,所有的区域和资源记录

3、将成为活动目录数据库中的对象。活动目录的复制是基于多主机模型。   多主机模型的好处之一是没有单点失败的问题。这是可能的,因为DNS是活动目录数据库的一部分,而活动目录数据库被复制到所有的域控制器。  多主机模型的第二个好处是仅需要设置一个复制拓扑。DNS区域数据库变成活动目录数据的一部分,因此DNS区域传输作为活动目录复制的一部分完成。   2.3区域传输的安全   如果Windows2000的DNS配置为主要/辅助区域,是不能使用加密和压缩的。为了与BIND兼容,Windows2000支持AXFR,每个消息发送/接受一个或多个资源记录。在BIND4.9.4以前的版

4、本不支持多条资源记录由一个消息传输。为与BIND8.2.1版本兼容Windows2000支持IXFR,为与BIND8.1.2版本兼容Windows2000支持DNS通告。   当Windows2000的DNS配置为与活动目录集成时,复制进程成为活动目录复制的一部分,因此它自动使用加密和压缩。   在Windows2000下使用Kerberosv5进行加密。控制器之间的通信通道自动加密,不需要管理员配置。   当活动目录更新在桥头服务器间传输时,自动进行压缩。桥头服务器是在本地局域网服务器自动选择产生的,当活动目录使用广域网链路进行更新时,每个局域网的桥头服务器会与其它

5、桥头服务器通信,这将大大减少通过WAN链路的流量。在这种情况下,为了节省带宽会自动压缩。  3.活动目录12下一页——感谢阅读这篇文章,..,集成DNS区域   在Windoa管理员组   在Windows2000网络建立之后,限制访问这两个管理员组。这些组出现在根域下并且有最高的权限。根据域的结构,管理可以被委派到域结构,因此管理可以被限制到单个域。   3.4加密文件系统   Windows2000的NTFS提供了使用加密文件系统的选择。EFS使用基于公共密钥的技术来进一步限制文件的未授权访问。   3.5活动目录中的DNS   DNS的安装将扩展活动目录的架构,

6、包含了DNSUpdateProxy组。这是一个非常强大的组,它允许创建对象,这是不安全的,当这种情况发生时,任何授权用户可以获得这些对象的所有权。   DNS中客户端的A记录和PTR记录会在DHCP处理进程中进行更新,这在上面有详细地叙述。当客户和服务器都是Windows2000时,安全动态更新可以通过默认安装来完成,当有其它的用户需要支持时,安全动态更新不能完成,除非DHCP服务器被加入到了DNSUpdateProxy组,加入DNSUpdateProxy组后,允许DHCP服务器为早期的客户端执行动态更新。   如果DHCP服务运行在一个域控制器时,需要特别考虑的是,

7、添加DHCP服务器到DNSUpdateProxy组,将允许所有用户或计算机完全控制相应域控制器的DNS记录。   3.6资源记录的所有权   DHCP服务器不能在早期的客户端上执行安全动态更新,这在Windows2000网络中是非常重要的。如果这种情况发生,会出现不能完全更新活动记录的情况。例如,一个NT4.0的客户端通过DHCP服务器在DNS中注册了一个名字,当这台机器被升级到Windows2000时,这个名字保持不变。DHCP服务器因其最先注册了这个名字而拥有这个名字的资源记录所有权,所以Windows2000客户不能更新它自己的名字。   3.

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。