以小见大:探寻DNS在企业域环境中的安全运用
么就需要借助于DNS来给我们提供简单的名称记忆,例如把一个IP地址:192.168.10.1 映射
为one,这个就变得很好记忆了,而且对于应用系统的部署来说,DNS的存在是必须的,因为
要用到SRV记录,这是服务记录,比如exchange的自动登录,还有lync的自动发现也是如
此,事实上SRV也是为了方便用户登录,有了它可以直接输入账户与密码,由客户端自动通
DNS的SRV去搜索可用的登录服务器,透明化用户登录过程,用户只需要记住自己的账户即
可。而这些都是借助于DNS来完成的,那么这边就来说说DNS在Active Directory是如何协作
的。
一、环境信息
1.1 设备信息
二、案例流程
2.1 初始信息
默认情况下,域中DNS与AD是集成安装的
企业内部设备众多,手工分配IP是费事费力的,那么如何去做呢?
DHCP,这是一个省时省力的有效途径,那么就带个我们一个话题:DHCP与DNS的关系是什么?
简单说分部分:
2.2 DHCP与RTP记录之间的关系
2.3 RTP与A记录之间的关系
PTR记录是与A记录同时创建的。
当然,要实现DHCP过程中能在DNS上注册自己的IP地址,需要开启TCP/IP协议属性中的“注
册此连接的地址在DNS”复选框的设置。
2.4 动态更新的流程
Dynamic update
什么情况下,才能触发动态更新呢?
1.IP地址变化
2.IP决策和IP释放操作(ipconfig /renew 或 ipconfig /release)
3.手动ipconfig 、registerdns
4.关闭计算机
5.pc初始化加入新域时
下面是图示客户端请求DHCP时,与DNS产生记录的流程
2.5 案例说明
公司有一台PC,前一位职员离职后,现在需要重置系统交付新职员使用,之前的计算机名如下:
现在更新PC名称
更新后重启
重启系统后,DNS自动更新A记录
2.6 强化DNS安全
以上是一个DNS应用的典型案例,一台PC从DHCP获取IP地址,同时生成A记录与PTR记录,当注册的PC主机名称更新时或者IP地址更新时,将会触发DNS对相应条目的更新。
可是随着时间的推移,DNS中会拥有越来越多的记录,那么该怎么办?
这边就要控制记录的更新。
在主机A记录的条目属性页面,可以看到有两个重要的属性:
记录时间戳:A记录生成的原始时间(更新时间)
生存时间:条目的老化时间
配置DNS服务器的老化属性
开启清楚过期的资源记录
刷新时间
最后删除时间
为所有区域设置老化/清理:当域中存在多个区域的DNS时,可以使用此选项,一并处理
清楚过时资源记录:清楚过期的数据记录,包括A记录、SRV记录
ok,到这边就基本上说了相关的DNS在域中资源的使用以及管理DNS记录的方法,还有一些安全操作,比如安全区域,DNS安全复制等等,可以看出DNS在域环境还是很重要的
上一篇: 飞塔防火墙查看用户实时流量和访问记录