Server系列13：以小见大：探寻DNS在企业域环境中的安全运用

以小见大：探寻DNS在企业域环境中的安全运用

 

DNS在企业内部的应用几乎是无处不在的，只要咱们不想去记忆那些纯粹的IP地址信息，那

么就须要借助于DNS来给咱们提供简单的名称记忆，例如把一个IP地址：192.168.10.1 映射

为one，这个就变得很好记忆了，并且对于应用系统的部署来讲，DNS的存在是必须的，由于

要用到SRV记录，这是服务记录，好比exchange的自动登陆，还有lync的自动发现也是如

此，事实上SRV也是为了方便用户登陆，有了它能够直接输入帐户与密码，由客户端自动通

DNS的SRV去搜索可用的登陆服务器,透明化用户登陆过程，用户只须要记住本身的帐户即

可。而这些都是借助于DNS来完成的，那么这边就来讲说DNS在Active Directory是如何协做

的。

1、环境信息

1.1 设备信息

2、案例流程

2.1 初始信息

默认状况下，域中DNS与AD是集成安装的

 

企业内部设备众多，手工分配IP是费事费力的，那么如何去作呢？

DHCP，这是一个省时省力的有效途径，那么就带个咱们一个话题：DHCP与DNS的关系是什么？

简单说分部分：

2.2 DHCP与RTP记录之间的关系

 

 

 

2.3 RTP与A记录之间的关系

PTR记录是与A记录同时建立的。

 

固然，要实现DHCP过程当中能在DNS上注册本身的IP地址，须要开启TCP/IP协议属性中的“注

册此链接的地址在DNS”复选框的设置。

2.4 动态更新的流程

Dynamic update

 什么状况下，才能触发动态更新呢？

1.IP地址变化

2.IP决策和IP释放操做（ipconfig /renew 或 ipconfig /release）

3.手动ipconfig 、registerdns

4.关闭计算机

5.pc初始化加入新域时

下面是图示客户端请求DHCP时，与DNS产生记录的流程

 

 

 

 

 2.5 案例说明

公司有一台PC，前一位职员离职后，如今须要重置系统交付新职员使用，以前的计算机名以下：

 

如今更新PC名称

 

 更新后重启

 

 

重启系统后，DNS自动更新A记录

 

 

 2.6 强化DNS安全

 以上是一个DNS应用的典型案例，一台PC从DHCP获取IP地址,同时生成A记录与PTR记录，当注册的PC主机名称更新时或者IP地址更新时，将会触发DNS对相应条目的更新。

但是随着时间的推移，DNS中会拥有愈来愈多的记录，那么该怎么办？

这边就要控制记录的更新。

 

在主机A记录的条目属性页面，能够看到有两个重要的属性：

记录时间戳：A记录生成的原始时间（更新时间）

生存时间：条目的老化时间

 

配置DNS服务器的老化属性

 

 开启清楚过时的资源记录

刷新时间

最后删除时间

 为全部区域设置老化/清理：当域中存在多个区域的DNS时，可使用此选项，一并处理

 

清楚过期资源记录：清楚过时的数据记录，包括A记录、SRV记录

 

ok，到这边就基本上说了相关的DNS在域中资源的使用以及管理DNS记录的方法，还有一些安全操做，好比安全区域，DNS安全复制等等，能够看出DNS在域环境仍是很重要的。