欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

以小见大:探寻DNS在企业域环境中的安全运用

程序员文章站 2022-07-05 22:40:28
DNS在企业内部的应用几乎是无处不在的,只要我们不想去记忆那些纯粹的IP地址信息,那 么就需要借助于DNS来给我们提供简单的名称记忆,例如把一个IP地址:192.168.10.1 映射 为...
DNS在企业内部的应用几乎是无处不在的,只要我们不想去记忆那些纯粹的IP地址信息,那

么就需要借助于DNS来给我们提供简单的名称记忆,例如把一个IP地址:192.168.10.1 映射

为one,这个就变得很好记忆了,而且对于应用系统的部署来说,DNS的存在是必须的,因为

要用到SRV记录,这是服务记录,比如exchange的自动登录,还有lync的自动发现也是如

此,事实上SRV也是为了方便用户登录,有了它可以直接输入账户与密码,由客户端自动通

DNS的SRV去搜索可用的登录服务器,透明化用户登录过程,用户只需要记住自己的账户即

可。而这些都是借助于DNS来完成的,那么这边就来说说DNS在Active Directory是如何协作

的。

一、环境信息


1.1 设备信息

以小见大:探寻DNS在企业域环境中的安全运用

二、案例流程


2.1 初始信息


默认情况下,域中DNS与AD是集成安装的
 

以小见大:探寻DNS在企业域环境中的安全运用

 

企业内部设备众多,手工分配IP是费事费力的,那么如何去做呢?

DHCP,这是一个省时省力的有效途径,那么就带个我们一个话题:DHCP与DNS的关系是什么?

简单说分部分:

2.2 DHCP与RTP记录之间的关系

 

以小见大:探寻DNS在企业域环境中的安全运用

 

 

2.3 RTP与A记录之间的关系


PTR记录是与A记录同时创建的。
 

 

以小见大:探寻DNS在企业域环境中的安全运用

当然,要实现DHCP过程中能在DNS上注册自己的IP地址,需要开启TCP/IP协议属性中的“注

册此连接的地址在DNS”复选框的设置。

2.4 动态更新的流程

Dynamic update
 

 什么情况下,才能触发动态更新呢?

1.IP地址变化

2.IP决策和IP释放操作(ipconfig /renew 或 ipconfig /release)

3.手动ipconfig 、registerdns

4.关闭计算机

5.pc初始化加入新域时

下面是图示客户端请求DHCP时,与DNS产生记录的流程

 

以小见大:探寻DNS在企业域环境中的安全运用

 

 

 

以小见大:探寻DNS在企业域环境中的安全运用

 2.5 案例说明


公司有一台PC,前一位职员离职后,现在需要重置系统交付新职员使用,之前的计算机名如下:

 

以小见大:探寻DNS在企业域环境中的安全运用

现在更新PC名称

 

以小见大:探寻DNS在企业域环境中的安全运用

 更新后重启

 

以小见大:探寻DNS在企业域环境中的安全运用

 

以小见大:探寻DNS在企业域环境中的安全运用

重启系统后,DNS自动更新A记录

 

以小见大:探寻DNS在企业域环境中的安全运用

 

 2.6 强化DNS安全

 以上是一个DNS应用的典型案例,一台PC从DHCP获取IP地址,同时生成A记录与PTR记录,当注册的PC主机名称更新时或者IP地址更新时,将会触发DNS对相应条目的更新。

可是随着时间的推移,DNS中会拥有越来越多的记录,那么该怎么办?

这边就要控制记录的更新。

 

以小见大:探寻DNS在企业域环境中的安全运用

在主机A记录的条目属性页面,可以看到有两个重要的属性:

记录时间戳:A记录生成的原始时间(更新时间)

生存时间:条目的老化时间

 

配置DNS服务器的老化属性

以小见大:探寻DNS在企业域环境中的安全运用

 

 开启清楚过期的资源记录

刷新时间

最后删除时间

以小见大:探寻DNS在企业域环境中的安全运用

 为所有区域设置老化/清理:当域中存在多个区域的DNS时,可以使用此选项,一并处理

 

以小见大:探寻DNS在企业域环境中的安全运用

清楚过时资源记录:清楚过期的数据记录,包括A记录、SRV记录

 

以小见大:探寻DNS在企业域环境中的安全运用

ok,到这边就基本上说了相关的DNS在域中资源的使用以及管理DNS记录的方法,还有一些安全操作,比如安全区域,DNS安全复制等等,可以看出DNS在域环境还是很重要的