在Windows 2000下,動態DNS是與DHCP、WINS及活動目錄(AD)集成在一起的。在Windows 2000的域下有三種實現DNS的方法:與活動目錄集成、與活動目錄集成的主DNS及不與活動目錄集成的輔助DNS、不與活動目錄集成的主DNS及不與活動目錄集成的輔助DNS。當DNS完成集成到活動目錄中后,我們可以利用Windows2000網絡中的三個重要安全特性:安全動態更新、安全區域傳輸、對區域和資源記錄的訪問控制列表。
1.0 安全動態更新
在動態DNS(DDNS)中一個最重要的安全特性就是安全更新。在實現安全更新時一個主要的考慮是DNS項組成的記錄的所有權。所有權是由DHCP的配置及對客戶端的支持來決定的。
與客戶端相關的有兩種DNS記錄:A記錄和PTR記錄,A記錄解析名字到地址,而PTR記錄解析地址到名字。地址是指一個客戶端的IP地址,名字是指一個客戶的完全合格域名,應該是計算機名加上網絡的域名。
在Windows 2000環境中,當客戶端通過DHCP請求一個IP時,客戶端DNS記錄就被注冊。根據設置,客戶端、DHCP服務器或者兩者都可以更新客戶的A記錄和PTR記錄,誰注冊了這個記錄,誰就對記錄擁有所有權。
下面是在Windows2000網絡中定義客戶的A記錄和PTR記錄所有權的可選項。
1.1 Windows2000本機模式
在Windows2000環境下,DHCP服務器和DHCP客戶端都可以通過DNS注冊記錄。當網絡僅由Windows2000的服務器和客戶端組成時,這種Windows2000環境被定義為"本機模式"。
當客戶端是一個Windows2000客戶時,默認配置是當客戶在網絡上注冊時動態更新它自己的A記錄,與此同時,DHCP服務器更新客戶的PTR記錄。因此,A記錄的所有權屬于客戶端,PTR記錄的所有權屬于DHCP服務器。
第二種可能的配置是DHCP服務器更新正向和反向查找,在這種情況下,DHCP服務器同時擁有A記錄和PTR記錄的所有。
第三種可能的配置是DHCP服務器被配置為不執行動態更新,在這種情況下,客戶端將更新A記錄和PTR記錄,同時也就擁有記錄的所有權。
1.2 Windows2000混雜模式
在一個混雜模式的環境下,DHCP客戶端不能在DNS下注冊。所謂混雜模式即網絡除Windows2000服務器、客戶端外同時存在有WindowsNT4.0或Windows98客戶。
先前的客戶端,如WindowsNT4.0和Windows9x不能直接通過DNS注冊。因為只有DHCP服務器可以通過DNS注冊記錄,在混雜環境中唯一的選擇是讓DHCP服務器注冊A記錄和PTR記錄,在這種情況下,服務器擁有正向和反向查找記錄的所有權。
1.3 安全動態更新
在Windows2000網絡中,只有當活動目錄與DNS區域集成時,安全動態更新才可用。安全動態更新意味著什么呢?在Windows2000中,它意味著用活動目錄的ACL制定用戶和組的權限來修改DNS區域和/或它的資源記錄。為允許更新DNS區域和/或它的資源記錄,除ACL外,動態更新也使用安全通道和認證。
[M$]Windows2000支持使用IETF草擬的"GSS Algorithm for TSIG "(GSS-TSIG)算法進行安全動態更新。這個算法使用 Kerberos v5 作為優先的認證協議,GSS-API在RFC2078中有定義。
2.0 區域
2.1 區域的類型
Windows 2000 可以配置 DNS 區域為主要區域、輔助區域或活動目錄集成。
主要和輔助區域的功能與在Unix和NT4.0環境下一樣。另外,DNS數據庫與其它數據庫如WINS和DHCP保持獨立,復制是從其它復制服務中獨立設置。如果網絡中有服務器運行低于8.1.2的BIND版本,則必須使用主要/輔助區域,因為在早先的版本中不支持動態更新。
如果安裝了活動目錄,DNS區域可以成為活動目錄集成區域。這意味著DNS區域數據庫成為活動目錄數據庫的一部分,每條記錄都是活動目錄的對象,每個活動目錄對象擁有它自己的ACL(訪問控制列表)。
2.2 區域傳輸或復制的類型
Windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的區域傳輸,是整個區域數據庫文件的復制。IXFR或增量區域傳輸,僅僅復制區域數據庫的變化。如果區域類型設置為主要/輔助區域,那么可以應用這些區域復制方法。IXFR支持在BIND 8.2.1及以上版本。
當 DNS與活動目錄集成時,所有的區域和資源記錄將成為活動目錄數據庫中的對象。活動目錄的復制是基于多主機模型。
多主機模型的好處之一是沒有單點失敗的問題。這是可能的,因為DNS是活動目錄數據庫的一部分,而活動目錄數據庫被復制到所有的域控制器。
多主機模型的第二個好處是僅需要設置一個復制拓撲。DNS區域數據庫變成活動目錄數據的一部分,因此DNS區域傳輸作為活動目錄復制的一部分完成。
2.3 區域傳輸的安全
如果Windows 2000的DNS配置為主要/輔助區域,是不能使用加密和壓縮的。為了與BIND兼容,Windows 2000支持AXFR,每個消息發送/接受一個或多個資源記錄。在BIND4.9.4以前的版本不支持多條資源記錄由一個消息傳輸。為與BIND8.2.1版本兼容Windows2000支持IXFR,為與BIND8.1.2版本兼容Windows 2000 支持DNS通告。
當Windows 2000的DNS配置為與活動目錄集成時,復制進程成為活動目錄復制的一部分,因此它自動使用加密和壓縮。
在Windows 2000下使用Kerberos v5進行加密。控制器之間的通信通道自動加密,不需要管理員配置。
當活動目錄更新在"橋頭"服務器間傳輸時,自動進行壓縮。橋頭服務器是在本地局域網服務器自動選擇產生的,當活動目錄使用廣域網鏈路進行更新時,每個局域網的橋頭服務器會與其它橋頭服務器通信,這將大大減少通過 WAN 鏈路的流量。在這種情況下,為了節省帶寬會自動壓縮。
3. 活動目錄集成DNS 區域
在 Windows 2000下活動目錄與DDNS集成,因此實現活動目錄安全第一步是實現 DDNS的安全。
3.1 文件系統
使用NTFS。Windows 2000 的版本是 NTFS v5,此版本允許設置文件和文件夾的安全、加密文件系統和審核。NTFS v5 不與先前的NTFS兼容。在安裝了Service Pack 4 或更高版本的NT4.0上只能讀取NTFS v5。
NTFS通過設置文件夾和文件級別訪問權限來限制網絡或本地對文件的訪問。
NTFS和共享權限可以被用來非常精確的控制權限和繼承關系。
3.2 注冊表
使用注冊表編輯器編輯DACL關系到每一個注冊表的配置單元。細節問題可以參考SANS出版的"Windows NT Security, Step-by-Step"。
3.3 Enterprise管理員和Schema管理員組
在Windows2000網絡建立之后,限制訪問這兩個管理員組。這些組出現在根域下并且有最高的權限。根據域的結構,管理可以被委派到域結構,因此管理可以被限制到單個域。
3.4 加密文件系統
Windows2000的NTFS提供了使用加密文件系統的選擇。EFS使用基于公共密鑰的技術來進一步限制文件的未授權訪問。
3.5 活動目錄中的DNS
DNS的安裝將擴展活動目錄的架構,包含了DNSUpdateProxy組。這是一個非常強大的組,它允許創建對象,這是不安全的,當這種情況發生時,任何授權用戶可以獲得這些對象的所有權。
DNS中客戶端的A記錄和PTR記錄會在DHCP處理進程中進行更新,這在上面有詳細地敘述。當客戶和服務器都是Windows2000時,安全動態更新可以通過默認安裝來完成,當有其它的用戶需要支持時,安全動態更新不能完成,除非DHCP服務器被加入到了DNSUpdateProxy組,加入DNSUpdateProxy組后,允許DHCP服務器為早期的客戶端執行動態更新。
如果DHCP服務運行在一個域控制器時,需要特別考慮的是,添加DHCP服務器到DNSUpdateProxy組,將允許所有用戶或計算機完全控制相應域控制器的DNS記錄。
3.6 資源記錄的所有權
DHCP服務器不能在早期的客戶端上執行安全動態更新,這在Windows2000網絡中是非常重要的。如果這種情況發生,會出現不能完全更新活動記錄的情況。例如,一個NT4.0的客戶端通過DHCP服務器在DNS中注冊了一個名字,當這臺機器被升級到Windows2000時,這個名字保持不變。DHCP服務器因其最先注冊了這個名字而擁有這個名字的資源記錄所有權,所以Windows 2000客戶不能更新它自己的名字。
3.7 WINS查找
作為Windows2000最終的告誡,我將翻譯說明為什么WINS將是Windows 2000網絡中最可能需要的部分。為什么呢?對所有非Windows2000客戶,NetBios解析仍是必需的。同樣,所有需要NetBios的程序也將需要WINS來做名字解析。WINS通過兩個特定的資源記錄直接集成到了DNS中:WINS和WINS-R。這分別為WINS做正向和反向記錄查找。
