Win2K动态DNS的安全应用策略 (2)
添加时间: 2005-6-6 5:33:23 作者: 组网教程 阅读次数:40 来源: www.d9soft.com
二、区域
1.区域的类型
Windows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。
主要和辅助区域的功能与在Unix和NT4.0环境下一样。另外,DNS数据库与其它数据库如WINS和DHCP保持独立,复制是从其它复制服务中独立设置。如果网络中有服务器运行低于
8.1.2的BIND版本,则必须使用主要/辅助区域,因为在早先的版本中不支持动态更新。
如果安装了活动目录,DNS区域可以成为活动目录集成区域。这意味着DNS区域数据库成为活动目录数据库的一部分,每条记录都是活动目录的对象,每个活动目录对象拥有它自己的ACL(访问控制列表)。
2.区域传输或复制的类型
Windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的区域传输,是整个区域数据库文件的复制。IXFR或增量区域传输,仅仅复制区域数据库的变化。如果区域类型设置为主要/辅助区域,那么可以应用这些区域复制方法。IXFR支持在BIND 8.2.1及以上版本。
当 DNS与活动目录集成时,所有的区域和资源记录将成为活动目录数据库中的对象。活动目录的复制是基于多主机模型。
多主机模型的好处之一是没有单点失败的问题。这是可能的,因为DNS是活动目录数据库的一部分,而活动目录数据库被复制到所有的域控制器。
多主机模型的第二个好处是仅需要设置一个复制拓扑。DNS区域数据库变成活动目录数据的一部分,因此DNS区域传输作为活动目录复制的一部分完成。
3.区域传输的安全
如果Windows 2000的DNS配置为主要/辅助区域,是不能使用加密和压缩的。为了与BIND兼容,Windows 2000支持AXFR,每个消息发送/接受一个或多个资源记录。在BIND4.9.4以前的版本不支持多条资源记录由一个消息传输。为与BIND8.2.1版本兼容Windows2000支持IXFR,为与BIND8.1.2版本兼容Windows 2000 支持DNS通告。
当Windows 2000的DNS配置为与活动目录集成时,复制进程成为活动目录复制的一部分,因此它自动使用加密和压缩。
在Windows 2000下使用Kerberos v5进行加密。控制器之间的通信通道自动加密,不需要管理员配置。
当活动目录更新在"桥头"服务器间传输时,自动进行压缩。桥头服务器是在本地局域网服务器自动选择产生的,当活动目录使用广域网链路进行更新时,每个局域网的桥头服务器会与其它桥头服务器通信,这将大大减少通过 WAN 链路的流量。在这种情况下,为了节省带宽会自动压缩。
上一篇文章: Win 2K动态DNS的安全应用策略 (1) 下一篇文章: Win2K动态DNS的安全应用策略 (3)
相关文章: