Server系列13:以小见大:探寻DNS在企业域环境中的安全运用

以小见大:探寻DNS在企业域环境中的安全运用

 

DNS在企业内部的应用几乎是无处不在的,只要我们不想去记忆那些纯粹的IP地址信息,那

么就需要借助于DNS来给我们提供简单的名称记忆,例如把一个IP地址:192.168.10.1 映射

为one,这个就变得很好记忆了,而且对于应用系统的部署来说,DNS的存在是必须的,因为

要用到SRV记录,这是服务记录,比如exchange的自动登录,还有lync的自动发现也是如

此,事实上SRV也是为了方便用户登录,有了它可以直接输入账户与密码,由客户端自动通

DNS的SRV去搜索可用的登录服务器,透明化用户登录过程,用户只需要记住自己的账户即

可。而这些都是借助于DNS来完成的,那么这边就来说说DNS在Active Directory是如何协作

的。

一、环境信息


1.1 设备信息

二、案例流程


2.1 初始信息


默认情况下,域中DNS与AD是集成安装的

 

企业内部设备众多,手工分配IP是费事费力的,那么如何去做呢?

DHCP,这是一个省时省力的有效途径,那么就带个我们一个话题:DHCP与DNS的关系是什么?

简单说分部分:

2.2 DHCP与RTP记录之间的关系

 

 

 

2.3 RTP与A记录之间的关系


PTR记录是与A记录同时创建的。

 

当然,要实现DHCP过程中能在DNS上注册自己的IP地址,需要开启TCP/IP协议属性中的“注

册此连接的地址在DNS”复选框的设置。

2.4 动态更新的流程

Dynamic update

 什么情况下,才能触发动态更新呢?

1.IP地址变化

2.IP决策和IP释放操作(ipconfig /renew 或 ipconfig /release)

3.手动ipconfig 、registerdns

4.关闭计算机

5.pc初始化加入新域时

下面是图示客户端请求DHCP时,与DNS产生记录的流程

 

 

 

 

 2.5 案例说明


公司有一台PC,前一位职员离职后,现在需要重置系统交付新职员使用,之前的计算机名如下:

 

现在更新PC名称

 

 更新后重启

 

 

重启系统后,DNS自动更新A记录

 

 

 2.6 强化DNS安全

 以上是一个DNS应用的典型案例,一台PC从DHCP获取IP地址,同时生成A记录与PTR记录,当注册的PC主机名称更新时或者IP地址更新时,将会触发DNS对相应条目的更新。

可是随着时间的推移,DNS中会拥有越来越多的记录,那么该怎么办?

这边就要控制记录的更新。

 

在主机A记录的条目属性页面,可以看到有两个重要的属性:

记录时间戳:A记录生成的原始时间(更新时间)

生存时间:条目的老化时间

 

配置DNS服务器的老化属性

 

 开启清楚过期的资源记录

刷新时间

最后删除时间

 为所有区域设置老化/清理:当域中存在多个区域的DNS时,可以使用此选项,一并处理

 

清楚过时资源记录:清楚过期的数据记录,包括A记录、SRV记录

 

ok,到这边就基本上说了相关的DNS在域中资源的使用以及管理DNS记录的方法,还有一些安全操作,比如安全区域,DNS安全复制等等,可以看出DNS在域环境还是很重要的。 

本文出自 “server & security” 博客,转载请与作者联系!

你可能感兴趣的:(IP,domain,dns)