Win 2K動(dòng)態(tài)DNS的安全考慮(2)_Windows教程

二、區(qū)域

　　1．區(qū)域的類型

　　windows 2000 可以配置 DNS 區(qū)域?yàn)橹饕獏^(qū)域、輔助區(qū)域或活動(dòng)目錄集成。

　　主要和輔助區(qū)域的功能與在Unix和NT4.0環(huán)境下一樣。另外，DNS數(shù)據(jù)庫與其它數(shù)據(jù)庫如WINS和DHCP保持獨(dú)立，復(fù)制是從其它復(fù)制服務(wù)中獨(dú)立設(shè)置。如果網(wǎng)絡(luò)中有服務(wù)器運(yùn)行低于8.1.2的BIND版本，則必須使用主要/輔助區(qū)域，因?yàn)樵谠缦鹊陌姹局胁恢С謩?dòng)態(tài)更新。

　　如果安裝了活動(dòng)目錄，DNS區(qū)域可以成為活動(dòng)目錄集成區(qū)域。這意味著DNS區(qū)域數(shù)據(jù)庫成為活動(dòng)目錄數(shù)據(jù)庫的一部分，每條記錄都是活動(dòng)目錄的對(duì)象，每個(gè)活動(dòng)目錄對(duì)象擁有它自己的ACL（訪問控制列表）。

　　2．區(qū)域傳輸或復(fù)制的類型

　　windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的區(qū)域傳輸，是整個(gè)區(qū)域數(shù)據(jù)庫文件的復(fù)制。IXFR或增量區(qū)域傳輸，僅僅復(fù)制區(qū)域數(shù)據(jù)庫的變化。如果區(qū)域類型設(shè)置為主要/輔助區(qū)域，那么可以應(yīng)用這些區(qū)域復(fù)制方法。IXFR支持在BIND 8.2.1及以上版本。

　　當(dāng) DNS與活動(dòng)目錄集成時(shí)，所有的區(qū)域和資源記錄將成為活動(dòng)目錄數(shù)據(jù)庫中的對(duì)象。活動(dòng)目錄的復(fù)制是基于多主機(jī)模型。

　　多主機(jī)模型的好處之一是沒有單點(diǎn)失敗的問題。這是可能的，因?yàn)镈NS是活動(dòng)目錄數(shù)據(jù)庫的一部分，而活動(dòng)目錄數(shù)據(jù)庫被復(fù)制到所有的域控制器。

　　多主機(jī)模型的第二個(gè)好處是僅需要設(shè)置一個(gè)復(fù)制拓?fù)洹�DNS區(qū)域數(shù)據(jù)庫變成活動(dòng)目錄數(shù)據(jù)的一部分，因此DNS區(qū)域傳輸作為活動(dòng)目錄復(fù)制的一部分完成。

　　3．區(qū)域傳輸?shù)陌踩?

　　如果Windows 2000的DNS配置為主要/輔助區(qū)域，是不能使用加密和壓縮的。為了與BIND兼容，Windows 2000支持AXFR，每個(gè)消息發(fā)送/接受一個(gè)或多個(gè)資源記錄。在BIND4.9.4以前的版本不支持多條資源記錄由一個(gè)消息傳輸。為與BIND8.2.1版本兼容Windows2000支持IXFR，為與BIND8.1.2版本兼容windows 2000 支持DNS通告。

　　當(dāng)windows 2000的DNS配置為與活動(dòng)目錄集成時(shí)，復(fù)制進(jìn)程成為活動(dòng)目錄復(fù)制的一部分，因此它自動(dòng)使用加密和壓縮。

　　在windows 2000下使用Kerberos v5進(jìn)行加密。控制器之間的通信通道自動(dòng)加密，不需要管理員配置。

　　當(dāng)活動(dòng)目錄更新在"橋頭"服務(wù)器間傳輸時(shí)，自動(dòng)進(jìn)行壓縮。橋頭服務(wù)器是在本地局域網(wǎng)服務(wù)器自動(dòng)選擇產(chǎn)生的，當(dāng)活動(dòng)目錄使用廣域網(wǎng)鏈路進(jìn)行更新時(shí)，每個(gè)局域網(wǎng)的橋頭服務(wù)器會(huì)與其它橋頭服務(wù)器通信，這將大大減少通過 WAN 鏈路的流量。在這種情況下，為了節(jié)省帶寬會(huì)自動(dòng)壓縮。