Windows2000 域名解析是基于動(dòng)態(tài)DNS，動(dòng)態(tài)DNS的實(shí)現(xiàn)是基于RFC 2136基礎(chǔ)上的。在Windows 2000下，動(dòng)態(tài)DNS是與DHCP、WINS及活動(dòng)目錄（AD）集成在一起的。在Windows 2000的域下有三種實(shí)現(xiàn)DNS的方法：與活動(dòng)目錄集成、與活動(dòng)目錄集成的主DNS及不與活動(dòng)目錄集成的輔助DNS、不與活動(dòng)目錄集成的主DNS及不與活動(dòng)目錄集成的輔助DNS。當(dāng)DNS完成集成到活動(dòng)目錄中后，我們可以利用Windows2000網(wǎng)絡(luò)中的三個(gè)重要安全特性：安全動(dòng)態(tài)更新、安全區(qū)域傳輸、對(duì)區(qū)域和資源記錄的訪問控制列表。

一、安全動(dòng)態(tài)更新

在動(dòng)態(tài)DNS（DDNS）中一個(gè)最重要的安全特性就是安全更新。在實(shí)現(xiàn)安全更新時(shí)一個(gè)主要的考慮是DNS項(xiàng)組成的記錄的所有權(quán)。所有權(quán)是由DHCP的配置及對(duì)客戶端的支持來決定的。

與客戶端相關(guān)的有兩種DNS記錄：A記錄和PTR記錄，A記錄解析名字到地址，而PTR記錄解析地址到名字。地址是指一個(gè)客戶端的IP地址，名字是指一個(gè)客戶的完全合格域名，應(yīng)該是計(jì)算機(jī)名加上網(wǎng)絡(luò)的域名。

在Windows 2000環(huán)境中，當(dāng)客戶端通過DHCP請(qǐng)求一個(gè)IP時(shí)，客戶端DNS記錄就被注冊(cè)。根據(jù)設(shè)置，客戶端、DHCP服務(wù)器或者兩者都可以更新客戶的A記錄和PTR記錄，誰注冊(cè)了這個(gè)記錄，誰就對(duì)記錄擁有所有權(quán)。

下面是在Windows2000網(wǎng)絡(luò)中定義客戶的A記錄和PTR記錄所有權(quán)的可選項(xiàng)。

1．Windows2000本機(jī)模式

在Windows2000環(huán)境下，DHCP服務(wù)器和DHCP客戶端都可以通過DNS注冊(cè)記錄。當(dāng)網(wǎng)絡(luò)僅由Windows2000的服務(wù)器和客戶端組成時(shí)，這種Windows2000環(huán)境被定義為"本機(jī)模式"。

當(dāng)客戶端是一個(gè)Windows2000客戶時(shí)，默認(rèn)配置是當(dāng)客戶在網(wǎng)絡(luò)上注冊(cè)時(shí)動(dòng)態(tài)更新它自己的A記錄，與此同時(shí)，DHCP服務(wù)器更新客戶的PTR記錄。因此，A記錄的所有權(quán)屬于客戶端，PTR記錄的所有權(quán)屬于DHCP服務(wù)器。

第二種可能的配置是DHCP服務(wù)器更新正向和反向查找，在這種情況下，DHCP服務(wù)器同時(shí)擁有A記錄和PTR記錄的所有。

第三種可能的配置是DHCP服務(wù)器被配置為不執(zhí)行動(dòng)態(tài)更新，在這種情況下，客戶端將更新A記錄和PTR記錄，同時(shí)也就擁有記錄的所有權(quán)。

2．Windows2000混雜模式

在一個(gè)混雜模式的環(huán)境下，DHCP客戶端不能在DNS下注冊(cè)。所謂混雜模式即網(wǎng)絡(luò)除Windows2000服務(wù)器、客戶端外同時(shí)存在有WindowsNT4.0或Windows98客戶。

先前的客戶端，如WindowsNT4.0和Windows9x不能直接通過DNS注冊(cè)。因?yàn)橹挥蠨HCP服務(wù)器可以通過DNS注冊(cè)記錄，在混雜環(huán)境中唯一的選擇是讓DHCP服務(wù)器注冊(cè)A記錄和PTR記錄，在這種情況下，服務(wù)器擁有正向和反向查找記錄的所有權(quán)。

3．安全動(dòng)態(tài)更新

在Windows2000網(wǎng)絡(luò)中，只有當(dāng)活動(dòng)目錄與DNS區(qū)域集成時(shí)，安全動(dòng)態(tài)更新才可用。安全動(dòng)態(tài)更新意味著什么呢？在Windows2000中，它意味著用活動(dòng)目錄的ACL制定用戶和組的權(quán)限來修改DNS區(qū)域和/或它的資源記錄。為允許更新DNS區(qū)域和/或它的資源記錄，除ACL外，動(dòng)態(tài)更新也使用安全通道和認(rèn)證。

Windows2000支持使用IETF草擬的"GSS Algorithm for TSIG "（GSS-TSIG）算法進(jìn)行安全動(dòng)態(tài)更新。這個(gè)算法使用 Kerberos v5 作為優(yōu)先的認(rèn)證協(xié)議，GSS-API在RFC2078中有定義。

二、區(qū)域

1．區(qū)域的類型

Windows 2000 可以配置 DNS 區(qū)域?yàn)橹饕獏^(qū)域、輔助區(qū)域或活動(dòng)目錄集成。

主要和輔助區(qū)域的功能與在Unix和NT4.0環(huán)境下一樣。另外，DNS數(shù)據(jù)庫與其它數(shù)據(jù)庫如WINS和DHCP保持獨(dú)立，復(fù)制是從其它復(fù)制服務(wù)中獨(dú)立設(shè)置。如果網(wǎng)絡(luò)中有服務(wù)器運(yùn)行低于

8.1.2的BIND版本，則必須使用主要/輔助區(qū)域，因?yàn)樵谠缦鹊陌姹局胁恢С謩?dòng)態(tài)更新。

如果安裝了活動(dòng)目錄，DNS區(qū)域可以成為活動(dòng)目錄集成區(qū)域。這意味著DNS區(qū)域數(shù)據(jù)庫成為活動(dòng)目錄數(shù)據(jù)庫的一部分，每條記錄都是活動(dòng)目錄的對(duì)象，每個(gè)活動(dòng)目錄對(duì)象擁有它自己的ACL（訪問控制列表）。

2．區(qū)域傳輸或復(fù)制的類型

Windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的區(qū)域傳輸，是整個(gè)區(qū)域數(shù)據(jù)庫文件的復(fù)制。IXFR或增量區(qū)域傳輸，僅僅復(fù)制區(qū)域數(shù)據(jù)庫的變化。如果區(qū)域類型設(shè)置為主要/輔助區(qū)域，那么可以應(yīng)用這些區(qū)域復(fù)制方法。IXFR支持在BIND 8.2.1及以上版本。

當(dāng) DNS與活動(dòng)目錄集成時(shí)，所有的區(qū)域和資源記錄將成為活動(dòng)目錄數(shù)據(jù)庫中的對(duì)象。活動(dòng)目錄的復(fù)制是基于多主機(jī)模型。

多主機(jī)模型的好處之一是沒有單點(diǎn)失敗的問題。這是可能的，因?yàn)镈NS是活動(dòng)目錄數(shù)據(jù)庫的一部分，而活動(dòng)目錄數(shù)據(jù)庫被復(fù)制到所有的域控制器。

多主機(jī)模型的第二個(gè)好處是僅需要設(shè)置一個(gè)復(fù)制拓?fù)洹NS區(qū)域數(shù)據(jù)庫變成活動(dòng)目錄數(shù)據(jù)的一部分，因此DNS區(qū)域傳輸作為活動(dòng)目錄復(fù)制的一部分完成。

3．區(qū)域傳輸?shù)陌踩?/STRONG>

如果Windows 2000的DNS配置為主要/輔助區(qū)域，是不能使用加密和壓縮的。為了與BIND兼容，Windows 2000支持AXFR，每個(gè)消息發(fā)送/接受一個(gè)或多個(gè)資源記錄。在BIND4.9.4以前的版本不支持多條資源記錄由一個(gè)消息傳輸。為與BIND8.2.1版本兼容Windows2000支持IXFR，為與BIND8.1.2版本兼容Windows 2000 支持DNS通告。

當(dāng)Windows 2000的DNS配置為與活動(dòng)目錄集成時(shí)，復(fù)制進(jìn)程成為活動(dòng)目錄復(fù)制的一部分，因此它自動(dòng)使用加密和壓縮。

在Windows 2000下使用Kerberos v5進(jìn)行加密。控制器之間的通信通道自動(dòng)加密，不需要管理員配置。

當(dāng)活動(dòng)目錄更新在"橋頭"服務(wù)器間傳輸時(shí)，自動(dòng)進(jìn)行壓縮。橋頭服務(wù)器是在本地局域網(wǎng)服務(wù)器自動(dòng)選擇產(chǎn)生的，當(dāng)活動(dòng)目錄使用廣域網(wǎng)鏈路進(jìn)行更新時(shí)，每個(gè)局域網(wǎng)的橋頭服務(wù)器會(huì)與其它橋頭服務(wù)器通信，這將大大減少通過 WAN 鏈路的流量。在這種情況下，為了節(jié)省帶寬會(huì)自動(dòng)壓縮。

三、活動(dòng)目錄集成DNS 區(qū)域

在 Windows 2000下活動(dòng)目錄與DDNS集成，因此實(shí)現(xiàn)活動(dòng)目錄安全第一步是實(shí)現(xiàn) DDNS的安全。

1．文件系統(tǒng)

使用NTFS。Windows 2000 的版本是 NTFS v5，此版本允許設(shè)置文件和文件夾的安全、加密文件系統(tǒng)和審核。NTFS v5 不與先

前的NTFS兼容。在安裝了Service Pack 4 或更高版本的NT4.0上只能讀取NTFS v5。

NTFS通過設(shè)置文件夾和文件級(jí)別訪問權(quán)限來限制網(wǎng)絡(luò)或本地對(duì)文件的訪問。

NTFS和共享權(quán)限可以被用來非常精確的控制權(quán)限和繼承關(guān)系。

2．注冊(cè)表

使用注冊(cè)表編輯器編輯DACL關(guān)系到每一個(gè)注冊(cè)表的配置單元。細(xì)節(jié)問題可以參考SANS出版的"Windows NT Security, Step-by-Step"。

3．Enterprise管理員和Schema管理員組

在Windows2000網(wǎng)絡(luò)建立之后，限制訪問這兩個(gè)管理員組。這些組出現(xiàn)在根域下并且有最高的權(quán)限。根據(jù)域的結(jié)構(gòu)，管理可以被委派到域結(jié)構(gòu)，因此管理可以被限制到單個(gè)域。

4．加密文件系統(tǒng)

Windows2000的NTFS提供了使用加密文件系統(tǒng)的選擇。EFS使用基于公共密鑰的技術(shù)來進(jìn)一步限制文件的未授權(quán)訪問。

5．活動(dòng)目錄中的DNS

DNS的安裝將擴(kuò)展活動(dòng)目錄的架構(gòu)，包含了DNSUpdateProxy組。這是一個(gè)非常強(qiáng)大的組，它允許創(chuàng)建對(duì)象，這是不安全的，當(dāng)這種情況發(fā)生時(shí)，任何授權(quán)用戶可以獲得這些對(duì)象的所有權(quán)。

DNS中客戶端的A記錄和PTR記錄會(huì)在DHCP處理進(jìn)程中進(jìn)行更新，這在上面有詳細(xì)地?cái)⑹觥．?dāng)客戶和服務(wù)器都是Windows2000時(shí)，安全動(dòng)態(tài)更新可以通過默認(rèn)安裝來完成，當(dāng)有其它的用戶需要支持時(shí)，安全動(dòng)態(tài)更新不能完成，除非DHCP服務(wù)器被加入到了DNSUpdateProxy組，加入DNSUpdateProxy組后，允許DHCP服務(wù)器為早期的客戶端執(zhí)行動(dòng)態(tài)更新。

如果DHCP服務(wù)運(yùn)行在一個(gè)域控制器時(shí)，需要特別考慮的是，添加DHCP服務(wù)器到DNSUpdateProxy組，將允許所有用戶或計(jì)算機(jī)完全控制相應(yīng)域控制器的DNS記錄。

6．資源記錄的所有權(quán)

DHCP服務(wù)器不能在早期的客戶端上執(zhí)行安全動(dòng)態(tài)更新，這在Windows2000網(wǎng)絡(luò)中是非常重要的。如果這種情況發(fā)生，會(huì)出現(xiàn)不能完全更新活動(dòng)記錄的情況。例如，一個(gè)NT4.0的客戶端通過DHCP服務(wù)器在DNS中注冊(cè)了一個(gè)名字，當(dāng)這臺(tái)機(jī)器被升級(jí)到Windows2000時(shí)，這個(gè)名字保持不變。DHCP服務(wù)器因其最先注冊(cè)了這個(gè)名字而擁有這個(gè)名字的資源記錄所有權(quán)，所以Windows 2000客戶不能更新它自己的名字。

7．WINS查找

作為Windows2000最終的告誡，我將翻譯說明為什么WINS將是Windows 2000網(wǎng)絡(luò)中最可能需要的部分。為什么呢？對(duì)所有非Windows2000客戶，NetBios解析仍是必需的。同樣，所有需要NetBios的程序也將需要WINS來做名字解析。WINS通過兩個(gè)特定的資源記錄直接集成到了DNS中：WINS和WINS-R。這分別為WINS做正向和反向記錄查找。

四、結(jié)論

總之，理解Windows2000使用DNS的過程是非常重要的。在文章的1.0部分"安全動(dòng)態(tài)更新"和2.0部分"區(qū)域"中有了一個(gè)簡述。理解Windows2000的"gotchas"和"caveats"也是非常重要的。3.0部分活動(dòng)目錄集成DNS區(qū)域列舉了相關(guān)的項(xiàng)目。