以小见大：探寻DNS在企业域环境中的安全运用

么就需要借助于DNS来给我们提供简单的名称记忆，例如把一个IP地址：192.168.10.1 映射

为one，这个就变得很好记忆了，而且对于应用系统的部署来说，DNS的存在是必须的，因为

要用到SRV记录，这是服务记录，比如exchange的自动登录，还有lync的自动发现也是如

此，事实上SRV也是为了方便用户登录，有了它可以直接输入账户与密码，由客户端自动通

DNS的SRV去搜索可用的登录服务器,透明化用户登录过程，用户只需要记住自己的账户即

可。而这些都是借助于DNS来完成的，那么这边就来说说DNS在Active Directory是如何协作

的。

一、环境信息

1.1 设备信息

二、案例流程

2.1 初始信息

默认情况下，域中DNS与AD是集成安装的
 

企业内部设备众多，手工分配IP是费事费力的，那么如何去做呢？

DHCP，这是一个省时省力的有效途径，那么就带个我们一个话题：DHCP与DNS的关系是什么？

简单说分部分：

2.2 DHCP与RTP记录之间的关系

2.3 RTP与A记录之间的关系

PTR记录是与A记录同时创建的。
 

当然，要实现DHCP过程中能在DNS上注册自己的IP地址，需要开启TCP/IP协议属性中的“注

册此连接的地址在DNS”复选框的设置。

2.4 动态更新的流程

Dynamic update
 

 什么情况下，才能触发动态更新呢？

1.IP地址变化

2.IP决策和IP释放操作（ipconfig /renew 或 ipconfig /release）

3.手动ipconfig 、registerdns

4.关闭计算机

5.pc初始化加入新域时

下面是图示客户端请求DHCP时，与DNS产生记录的流程

 2.5 案例说明

公司有一台PC，前一位职员离职后，现在需要重置系统交付新职员使用，之前的计算机名如下：

现在更新PC名称

 更新后重启

重启系统后，DNS自动更新A记录

 2.6 强化DNS安全

 以上是一个DNS应用的典型案例，一台PC从DHCP获取IP地址,同时生成A记录与PTR记录，当注册的PC主机名称更新时或者IP地址更新时，将会触发DNS对相应条目的更新。

可是随着时间的推移，DNS中会拥有越来越多的记录，那么该怎么办？

这边就要控制记录的更新。

在主机A记录的条目属性页面，可以看到有两个重要的属性：

记录时间戳：A记录生成的原始时间（更新时间）

生存时间：条目的老化时间

配置DNS服务器的老化属性

 开启清楚过期的资源记录

刷新时间

最后删除时间

 为所有区域设置老化/清理：当域中存在多个区域的DNS时，可以使用此选项，一并处理

清楚过时资源记录：清楚过期的数据记录，包括A记录、SRV记录

ok，到这边就基本上说了相关的DNS在域中资源的使用以及管理DNS记录的方法，还有一些安全操作，比如安全区域，DNS安全复制等等，可以看出DNS在域环境还是很重要的