Server系列13：以小見大：探尋DNS在企業域環境中的安全運用

以小見大：探尋DNS在企業域環境中的安全運用

 

DNS在企業內部的應用幾乎是無處不在的，只要咱們不想去記憶那些純粹的IP地址信息，那

麼就須要藉助於DNS來給咱們提供簡單的名稱記憶，例如把一個IP地址：192.168.10.1 映射

爲one，這個就變得很好記憶了，並且對於應用系統的部署來講，DNS的存在是必須的，由於

要用到SRV記錄，這是服務記錄，好比exchange的自動登陸，還有lync的自動發現也是如

此，事實上SRV也是爲了方便用戶登陸，有了它能夠直接輸入帳戶與密碼，由客戶端自動通

DNS的SRV去搜索可用的登陸服務器,透明化用戶登陸過程，用戶只須要記住本身的帳戶即

可。而這些都是藉助於DNS來完成的，那麼這邊就來講說DNS在Active Directory是如何協做

的。

1、環境信息

1.1 設備信息

2、案例流程

2.1 初始信息

默認狀況下，域中DNS與AD是集成安裝的

 

企業內部設備衆多，手工分配IP是費事費力的，那麼如何去作呢？

DHCP，這是一個省時省力的有效途徑，那麼就帶個咱們一個話題：DHCP與DNS的關係是什麼？

簡單說分部分：

2.2 DHCP與RTP記錄之間的關係

 

 

 

2.3 RTP與A記錄之間的關係

PTR記錄是與A記錄同時建立的。

 

固然，要實現DHCP過程當中能在DNS上註冊本身的IP地址，須要開啓TCP/IP協議屬性中的「注

冊此鏈接的地址在DNS」複選框的設置。

2.4 動態更新的流程

Dynamic update

 什麼狀況下，才能觸發動態更新呢？

1.IP地址變化

2.IP決策和IP釋放操做（ipconfig /renew 或 ipconfig /release）

3.手動ipconfig 、registerdns

4.關閉計算機

5.pc初始化加入新域時

下面是圖示客戶端請求DHCP時，與DNS產生記錄的流程

 

 

 

 

 2.5 案例說明

公司有一臺PC，前一位職員離職後，如今須要重置系統交付新職員使用，以前的計算機名以下：

 

如今更新PC名稱

 

 更新後重啓

 

 

重啓系統後，DNS自動更新A記錄

 

 

 2.6 強化DNS安全

 以上是一個DNS應用的典型案例，一臺PC從DHCP獲取IP地址,同時生成A記錄與PTR記錄，當註冊的PC主機名稱更新時或者IP地址更新時，將會觸發DNS對相應條目的更新。

但是隨着時間的推移，DNS中會擁有愈來愈多的記錄，那麼該怎麼辦？

這邊就要控制記錄的更新。

 

在主機A記錄的條目屬性頁面，能夠看到有兩個重要的屬性：

記錄時間戳：A記錄生成的原始時間（更新時間）

生存時間：條目的老化時間

 

配置DNS服務器的老化屬性

 

 開啓清楚過時的資源記錄

刷新時間

最後刪除時間

 爲全部區域設置老化/清理：當域中存在多個區域的DNS時，可使用此選項，一併處理

 

清楚過期資源記錄：清楚過時的數據記錄，包括A記錄、SRV記錄

 

ok，到這邊就基本上說了相關的DNS在域中資源的使用以及管理DNS記錄的方法，還有一些安全操做，好比安全區域，DNS安全複製等等，能夠看出DNS在域環境仍是很重要的。