还剩1页未读,继续阅读
文本内容:
Windows2000动态DNS的平安考虑电脑资料Windows2000域名解析是基于动态DNS,动态DNS的实现是基于RFC2136根底上的,Windows2000动态DNS的平安考虑在Windows2000下,动态DNS是与DHCP、WINS及活动目录(AD)集成在一起的在Windows2000的域下有三种实现DNS的方法与活动目录集成、与活动目录集成的主DNS及不与活动目录集成的辅助DNS、不与活动目录集成的主DNS及不与活动目录集成的辅助DNS当DNS完成集成到活动目录中后,我们可以利用Windows2000网络中的三个重要平安特性平安动态更新、平安区域传输、对区域和资源记录的访问控制列表
一、平安动态更新在动态DNS(DDNS)中一个最重要的平安特性就是平安更新在实现平安更新时一个主要的考虑是DNS项组成的记录的所有权所有权是由DHCP的配置及对客户端的支持来决定的与客户端相关的有两种DNS记录A记录和PTR记录,A记录解析名字到地址,而PTR记录解析地址到名字地址是指一个客户端的IP地址,名字是指一个客户的完全合格域名,应该是计算机名加上网络的域名在Windows2000环境中,当客户端通过DHCP恳求一个IP时,客户端DNS记录就被根据设置,客户端、DHCP效劳器或者两者都可以更新客户的A记录和PTR记录,谁了这个记录,谁就对记录拥有所有权下面是在Windows2000网络中定义客户的A记录和PTR记录所有权的可选项1.Windows2000本机形式在windows2000环境下,dhcp效劳器和dhcp客户端都可以通过dns记录当网络仅由windows2000的效劳器和客户端组成时,这种windows2000环境被定义为本机形式,电脑资料《windows2000动态dns的平安考虑》s://当客户端是一个Windows2000客户时,默认配置是当客户在网络上时动态更新它自己的A记录,与此同时,DHCP效劳器更新客户的PTR记录因此,A记录的所有权属于客户端,PTR记录的所有权属于DHCP效劳器第二种可能的配置是DHCP效劳器更新正向和反向查找,在这种情况下,DHCP效劳器同时拥有A记录和PTR记录的所有第三种可能的配置是DHCP效劳器被配置为不执行动态更新,在这种情况下,客户端将更新A记录和PTR记录,同时也就拥有记录的所有权2.Windows2000混杂形式在一个混杂形式的环境下,DHCP客户端不能在DNS下所谓混杂形式即网络除Windows2000效劳器、客户端外同时存在有WindowsNT
4.0或Windows98客户先前的客户端,如WindowsNT
4.0和Windows9x不能直接通过DNS因为只有DHCP效劳器可以通过DNS记录,在混杂环境中唯一的选择是让DHCP效劳器A记录和PTR记录,在这种情况下,效劳器拥有正向和反向查找记录的所有权3.平安动态更新在Windows2000网络中,只有当活动目录与DNS区域集成时,平安动态更新才可用平安动态更新意味着什么呢?在Windows2000中,它意味着用活动目录的ACL制定用户和组的权限来修改DNS区域和/或它的资源记录为允许更新DNS区域和/或它的资源记录,除ACL外,动态更新也使用平安通道和认证Windows2000支持使用IETF草拟的GSSAlgorithmforTSIG(GSS-TSIG)算法进展平安动态更新这个算法使用Kerberosv5作为优先的认证协议,GSS-API在RFC2078中有定义模板内容仅供参考 。