管理授權的名稱解析

  • 發行項

本頁索引

本文的重點
名稱解析技術
Windows 2000 動態更新、WINS,以及 DHCP
Windows 2000 動態更新的可用性規劃、WINS,以及 DHCP 伺服器
Windows 2000 動態更新的安全性規劃、WINS,以及 DHCP 服務
名稱解析管理最佳實例
參考資料

Microsoft Solutions Framework

企業安全的最佳實例

附註 本白皮書是一系列文件之一。企業安全的最佳實例https://www.Microsoft.com/technet/security/bestprac/bpent/bpentsec.asp) 包含此系列所有文章的完整清單。 另請參閱〈Security Entities Building Block Architecture〉(https://www.microsoft.com/technet/security/bestprac/bpent/sec2/secentbb.mspx)。  

本文的重點

名稱解析元件

在複雜的企業 TCP/IP 環境裡,與名稱解析處理程序有關的元件包括:

  • 動態主機設定通訊協定 (DHCP) 伺服器,它提供動態 IP 位址給要求客戶端,並於支援動態更新的 (DNS) 伺服器內註冊其 A 及 (或) PTR 記錄。
  • 主從架構機制,解析名稱成唯一的 IP 位址,反之亦然。
  • 伺服器,執行名稱解析服務,並提供用戶端名稱解析要求之服務。
  • 伺服器對伺服器複寫,提高名稱解析度服務之可用性。

圖 1 Windows 2000 名稱解析安全性案例

在 Microsoft® Windows® 2000 環境內容中 (參見圖 1), 無論有無用戶端或伺服器的之前版本 (Microsoft Windows NT® 4.x、3.5x、Windows 9x…等等),有關名稱解析處理程序之可用性及安全性的案例如下:

  1. 安全性,用來對付詐騙 IP 位址及竊取名稱的威脅
  2. Windows 2000 動態更新及 DHCP 安全性相關功能
  3. DHCP 伺服器的可用性以及名稱解析 (WINS 及動態更新) 服務
  4. 用戶端伺服器流量的安全性 (就 DHCP、WINS 以及動態更新服務而論)
  5. 伺服器對伺服器複寫的安全性 (DDNS 及 WINS 複寫) 流量

當項目 1 大幅處理三項背景文件 (安全性威脅、安全性策略以及安全性規劃) 時, 本文件針對項目 2–5 有更詳細的資料,且提供最佳實例建議。 另外,必須瞭解的是,本文件並非專論如何設定 DNS/DHCP/WINS 主從架構的詳細手冊,但卻提供廣泛的基本安全性概念建議。

為何要閱讀本文件?

在規劃資訊安全性時,規劃名稱解析安全性、可用性以及可靠性是很有必要的,因為這是資訊存取的基本元件。

駭客攻擊通常會有相當熟悉目標環境 (硬體、軟體以及使用的安全性),或知道如何蒐集這類資訊的人士參與。 進行攻擊的一般程序包含下列各項:

  • 鎖定要偷取的資料或資訊。
  • 探查擁有目標資料或資訊的系統。
  • 識別處理程序所使用的安全性漏洞 (硬體、軟體及/或設定)。
  • 實際發動攻擊並取得所需資料。

程序中的最初兩個步驟取決於名稱及位址解析。此顯示有必要確保下列各項程序的安全:IP 位址配置、 名稱註冊、伺服器之間名稱至 IP 位址傳播,以及名稱解析。

名稱解析管理的目標

在任何指定的組織內,專案及整體作業的 IT 管理的每個層級都要設定目標。 在 IT 高階管理層級、操作管理層級、以及名稱解析處理程序的使用者層級,部份高層級目標綱要如下:

IT 管理目標

  • 使用者可從任何位置登入他們的 Windows 2000 網域,並接收到他們自訂的桌面及使用者設定。
  • 使用者可在網路上找到資源,沒有延遲或問題。
  • 系統設定降低組織擁有權的總成本。

操作管理目標

  • IP 位址管理容易設定及管理。
  • 名稱解析服務 (動態更新及 WINS) 容易設定及管理。

使用者目標

  • 使用者能輕鬆地連接網路 (筆記型電腦及桌上型電腦),並且可以從任何地方登入網路。
  • 使用者可以在網路上輕鬆地存取資源。

回到頁首

名稱解析技術

Windows 2000 的名稱解析與 Windows NT 4.0 的名稱解析有顯著的不同。在 Windows NT 4.0 中,解決器對 NetBIOS 的強調重於 DNS 名稱解析。 不過在 Windows 2000 中,解決器對 DNS 名稱解析的強調超過 NetBIOS。 不同的名稱解析技術及對應的名稱解析服務會在下列章節稍作解釋。

主機名稱解析及 DNS

網路上的 TCP/IP 資源會透過其數值型的 IP 位址來唯一識別。 因為人們發現記憶名稱比較容易,IP 位址與階層式的主機名稱是成對的, 而且是能在 TCP/IP 網路上識別出唯一的主機。 由於電腦使用 IP 位址與目的地裝置溝通,使用主機檔案把主機名稱解析為 IP 位址的程序,是由網域名稱系統 (DNS) 來處理。

DNS 提供一個分散式的、複寫的,以及階層式的命名服務, 且在 TCP/IP 網路內有助於提供「名稱至 IP 位址」的對應。 這些功能提供了高可用性及大延展性,這就是讓 DNS 在通用網路內適合作為主要分散式服務的屬性。

DNS 伺服器使伺服器形成半個 DNS 主從架構機制。 DNS 伺服器將主機名稱對應到 IP 位址的有關資訊儲存在 DNS 資料庫中。 用戶端 DNS 部分 (稱為解決器),建立查詢並將查詢傳送至 DNS 伺服器,以便將主機名稱解析為 IP 位址。

DNS 廣泛應用於整個網際網路的主機名稱解析,並且是一個持續進化的通訊協定。 除了主機名稱解析以外,它還有助於電子郵件路由及其他 TCP/IP 類型的應用程式服務。

NetBIOS 名稱解析及 WINS

在 NetBIOS 網路世界裡 (Windows NT 4.x 及較早版本、Windows 9x、Windows for Workgroups、LAN Manager…等等), 每一個網路裝置只能以一組 NetBIOS 名稱識別 (16 位元長的固定名稱)。

WINS 提供分散式的資料庫,以便在已傳送路由之網際網路環境內的 IP 位址對應中註冊及查詢動態電腦名稱 (與 NetBIOS 名稱相同的)。 WINS 是基於 Requests for Comments (RFC) 1001 (https://www.ietf.org/rfc/rfc1001.txt)、 「Protocol Standard for a NetBIOS Service on a TCP/UDP Transport: Concepts and Methods」, 以及 RFC 1002 (https://www.ietf.org/rfc/rfc1002.txt)、 「Protocol Standard for a NetBIOS Service on a TCP/UDP Transport: Detailed Specifications」。

WINS 主從架構系統是由下列項目所組成:

  • *WINS 伺服器。*從 WINS 用戶端處理名稱註冊要求,並註冊其名稱及 IP 位址。 伺服器還會送回所查詢名稱的 IP 位址 (假定該名稱以 WINS 伺服器註冊),來回應 WINS 用戶端的名稱查詢。
  • *WINS 用戶端。*當它加入或離開網路時,會以 WINS 伺服器註冊或取消註冊其名稱。 向 WINS 伺服器查詢遠端名稱解析、處理瀏覽,以及類似工作。 用戶端軟體可在任何 Microsoft 類型的網路用戶端上執行 (例如,Windows NT Workstation 或 Windows 95)。
  • *(選用) WINS Proxy。*協助不為 WINS 所知的用戶端來使用 WINS 解析名稱。

DHCP 及 IP 位址管理

藉著提供啟動 DHCP 網路用戶端自動化處理程序的標準,「動態主機設定通訊協定 (DHCP)」簡化了 IP 位址設定的管理。

Microsoft Windows 2000 Server 之 DHCP 服務,是以「網際網路工程任務推動小組 (IETF)」標準為基礎。 DHCP 規格定義在 IETF 及其他工作群組所發佈的 RFC 中。 RFC 是網際網路社群所使用的進化中的系列報告、通訊協定提案,以及通訊協定標準。 下列 RFC 指定了 Microsoft 以其 DHCP 服務所支援的核心 DHCP 標準:

回到頁首

Windows 2000 動態更新、WINS,以及 DHCP

本章簡要說明 Windows 2000 實作的部分新功能,其中包括 DNS 動態更新通訊協定、 WINS,以及強化了名稱解析處理程序之可用性及安全性的 DHCP。 後續章節會擴大討論與安全性相關的部分功能;如需所有這些功能的詳細資訊, 請參閱《Windows 2000 Server Resource Kit TCP/IP Core Networking Guide》中的第六章〈Windows 2000 DNS〉。

Windows 2000 動態更新功能

Windows 2000 提供與 DNS 動態更新通訊協定有關的下列功能:

  • 支援 Microsoft Active Directory? 目錄服務作為網域控制站的定位器服務
  • 與 Active Directory 整合
  • 支援記錄的時間增長及清除
  • 支援 Active Directory 中的安全動態更新–已整合的區域
  • 更易於管理
  • 從命令提示字元來管理
  • 強化的名稱解析
  • 強化的快取及負面資料記憶
  • 與其他 DNS 伺服器實作協同運作
  • 與其他網路服務整合
  • 增量區域轉送
  • 支援新增資源記錄類型

動態更新及安全動態更新

Windows 2000 支援兩種動態更新,一種是「網域名稱系統 (DNS UPDATE) 內的動態更新」,定義於 RFC 2136 (https://www.ietf.org/rfc/rfc2136.txt) 之中; 另一種是安全動態更新,定義於 IETF Internet Draft「GSS Algorithm for TSIG (GSS-TSIG)」之中。

利用動態更新,用戶端可以自動傳送更新至名稱伺服器,該伺服器對他們想要變更的記錄擁有權限。 主名稱伺服器接著會檢查,以確定符合某些必要條件。 必要條件是在能夠更新記錄之前,必須存在或不在的資源記錄。 若已符合必要條件,主名稱伺服器就會變更。 變更可以是新增記錄、刪除記錄,或修改記錄。

動態更新提供了下列效益:

  • 啟用用戶端 (包括 DHCP 用戶端) 來以主要伺服器動態註冊 A 及 PTR 資源記錄。 這可降低手動管理那些記錄所需的系統管理資源。
  • 啟用 DHCP 伺服器來代表 DHCP 用戶端註冊 A 及 PTR 資源記錄。 這可降低手動管理那些記錄所需的時間,並為無法執行動態更新的 DHCP 用戶端提供支援。
  • 藉由允許使用 SRV 記錄來動態註冊網域控制站,來簡化 Active Directory 的安裝。

安全動態更新運作時就像動態更新一般,但有下列例外:

主名稱伺服器只接受來自授權的可動態更新 DnsZone 及 DnsNode 物件之用戶端及伺服器的更新。

安全動態更新提供下列效益:

  • 保護區域及資源記錄不會被沒有授權的使用者修改
  • 讓您可以明確指定哪一個使用者及群組可以修改區域及資源記錄

如需新的 Windows 2000 動態更新功能之詳細資訊,請參閱本文件結尾之〈參考資料〉章節。

Windows 2000 WINS 功能

Windows 2000 WINS 的新實作提供下列強化功能:

  • 永久連線。保持 WINS 伺服器之間的永久連線可最佳化複寫。
  • *手動標記。*您可以手動標記最後要刪除記錄。
  • 改善管理公用程式。WINS 主控台是 MMC 類型的主控台,能提供極大的彈性且容易使用。
  • 強化的篩選及記錄搜尋功能。改善的篩選及新增搜尋功能簡化了管理及維護。
  • 動態記錄刪除及多重選取。動態記錄刪除及多重選取有助於 WINS 資料庫的有效管理。
  • 記錄驗證及版本號碼確認。此有助於檢查組織內 WINS 伺服器的一致性, 並藉以強化名稱解析處理程序的可靠性。
  • 匯出功能。協助將 WINS 資料庫匯出至檔案,並匯入至其他應用程式以用於分析及報告。
  • 增加用戶端的容錯。Windows 2000 或 Windows 98 用戶端現在每個介面可指定最多 12 WINS 伺服器 (由最初限制為二向上增加)。
  • 唯讀主控台存取至 WINS 主控台。當 WINS 安裝之後,「WINS 安裝程式」會自動新增特殊目的的本機使用者群組,即「WINS 使用者」群組。 屬於此本機群組的使用者,擁有透過 WINS 主控台唯讀存取本機 WINS 資料庫的權限。

Windows 2000 DHCP 功能

Windows 2000 DHCP 服務提供下列新功能:

  • 強化的效能監視及伺服器報告功能。
  • 擴充支援多點傳送的領域及超級領域。
  • 支援使用者指定及廠商指定的 DHCP 選項。這允許針對具有相似或特殊設定需求的用戶端進行選項分隔與發佈。
  • 以 DNS 整合 DHCP。DHCP 伺服器可在 DNS 名稱空間內, 為任何支援這些更新的 DHCP 用戶端啟用動態更新。
  • 偵測未經授權的 DHCP 伺服器。這可以防止未經授權的 DHCP 伺服器加入部署了 Windows 2000 Server 及 Active Directory 的現有 DHCP 網路。 DHCP 伺服器物件建立在 Active Directory 內,其列出已授權可提供網路 DHCP 服務的伺服器 IP 位址。 當 DHCP 伺服器嘗試在網路上啟動時,會查詢 Active Directory, 而伺服器電腦的 IP 位址也會與已授權的 DHCP 伺服器清單進行比對。 若找到相符資料,會將伺服器電腦授權為 DHCP 伺服器,並允許它完成系統啟動。 若找不到相符資料,會將伺服器識別成未經授權,DHCP 伺服器則會自動關機。
  • 動態支援 BOOTP 用戶端。動態 BOOTP 是 BOOTP 通訊協定的延伸,允許 DHCP 伺服器設定 BOOTP 用戶端, 毋須使用明確的固定位址設定。
  • 唯讀主控台會存取 DHCP 資訊。 安裝 DHCP 之後,「DHCP 安裝程式」會自動新增特殊目的的本機使用者群組,稱作「DHCP 使用者」群組。 屬於此本機群組的使用者,擁有透過 DHCP 主控台唯讀存取本機 DHCP 資料庫及資訊的權限。

預防位址衝突

Windows 2000 的 DHCP 元件擁有伺服器端及用戶端的 IP 位址衝突偵測功能,以防止 IP 位址在網路上重覆。 這可以增加位址配置處理程序的可靠性。

伺服器衝突偵測

DHCP 伺服器會在提供用戶端該位址之前,ping IP 位址來偵測衝突 (若透過 DHCP 伺服器內容表經 DHCP 主控台啟用)。 如果 ping 成功 (從電腦收到回應,表示衝突存在),會登錄衝突,而該位址就不會提供給向伺服器要求租用的用戶端。 該位址在作用中的租用內會標記為 BAD_Address 值。該位址會維持為 BAD_Address, 在衝突解決後可從作用中的租用刪除,或者會保留在租用期間,然後再退回到可用集區。 DHCP 伺服器只會 ping 之前未曾租用的位址。

伺服器測試位址衝突的次數預設值為 0 (停用)。 若要變更此項目的值,請使用 DHCP 主控台。 在伺服器名稱上按一下滑鼠右鍵,按一下 [內容],再按一下 [進階] 索引標籤。 在 [衝突偵測嘗試] 欄內,鍵入大於 0 的數字,然後按一下 [確定]。

用戶端衝突偵測

Windows 2000 或 Windows NT 用戶端電腦,在使用 DHCP 伺服器完成位址設定之前, 或當他們已使用靜態 IP 位址設定時,也會檢查以判斷某個位址是否已被使用。 這會經由使用無償的「位址解析通訊協定 (ARP)」要求來完成。 當 Windows 2000 或 Windows NT 電腦啟動時,封包會在包含該電腦 TCP/IP 位址的網路上廣播,以防止在相同網路上使用重覆的位址。

如果用戶端偵測到衝突,它會拒絕來自 DHCP 伺服器的 DHCP 供應 (傳送 DHCP 拒絕訊息),再度開始租用程序,並提供下一個範圍內可用的位址。 若用戶端使用靜態 IP 位址設定,則介面會停用,並且會在事件日誌中產生事件 (事件 ID 26)。 如需其他詳細資料,請參閱「Microsoft Knowledge Base」 文章 Q199773 (https://support.microsoft.com/default.aspx?scid=kb;en-us;Q199773&sd=tech) 〈Behavior of Gratuitous ARP in Windows NT 4.0〉;及 Knowledge Base 文章 Q219374 (https://support.microsoft.com/default.aspx?scid=kb;en-us;Q219374&sd=tech)〈How to Disable the Gratuitous ARP Function〉;它會說明停用用戶端此項功能的必要步驟。  

回到頁首

Windows 2000 動態更新的可用性規劃、WINS,以及 DHCP 伺服器

DNS 動態更新及 WINS 服務是高度可用的,因為這是伺服器對伺服器的資料複寫。 藉著影響其他次要動態更新伺服器,DNS 動態更新伺服器可變成高度可用 (考量傳統的主/要 DNS 伺服器模型), 或使最佳化網域控制站 (DC) 執行 DNS 服務 (針對整合了 Active Directory 的 DNS), 並策略地放置它們以最佳化查詢流量及負荷。Windows 2000 白皮書對這些觀念有詳細論述; 請參閱 Windows 2000 DNS,網址為:https://www.microsoft.com/WINDOWS2000/techinfo/howitworks/communications/-nameadrmgmt/w2kdns.asp

使用相似技術可讓 WINS 伺服器高度可用—在組織內的網路環境內,策略地放置其他 WINS 伺服器。 其他資訊請參閱〈Microsoft Windows 2000 Server Resource Kit TCP/IP Core Networking Guide〉, 第七章〈Windows Internet Name Service〉。

叢集 DHCP 伺服器

雖然 DNS 動態更新及 WINS 是透過伺服器對伺服器複寫來在通訊協定內建立可用性, 但 RFC 內並沒有指定這類機制在 DHCP 伺服器之間進行複寫工作。 結果,實際上是網路系統管理員在 DHCP 伺服器之間分割 DHCP 範圍的作業; 如果一個伺服器當機,可用 IP 位址的百分比 (視分割百分比而定) 經由第二 DHCP 伺服器,仍維持可用。 一般而言,主要及次要 DHCP 伺服器之間會在指定範圍中遵循 80/20 的比例來分割 IP 位址。 這種做法不可能會發生系統管理員用完位址的情況,因此 DHCP 伺服器的可用性較少。

在 Windows 2000,讓 DHCP 服務變成可識別叢集以提供較高可用性,而毋須分割 IP 位址範圍。 Windows Clustering 允許將兩個伺服器作為單一系統來管理。 「Windows 2000 叢集」服務可用於 DHCP 伺服器以提供更高的可用性、 更容易管理,並具有更大的延展性。

Windows Clustering 可自動偵測應用程式或伺服器的失敗, 並在存活的伺服器上快速重新啟動它, 而使用者只會察覺到服務短暫停頓。  

回到頁首

Windows 2000 動態更新的安全性規劃、WINS,以及 DHCP 服務

Windows 2000 DHCP 安全性

在用戶端對伺服器流量及 DHCP 伺服器自我控制方面,DHCP 名稱解析有安全性風險的弱點。

DHCP 用戶端對伺服器流量安全性

強化 DHCP 用戶端對伺服器流量的安全性,可防止 IP 位址詐騙及其他惡意的中繼站攻擊技術。

    DHCP 用戶端對伺服器或伺服器對用戶端流量目前是純文字形式, 而安全執行仍停留在 IETF 標準群組的討論階段。有提案要執行一種處理程序,讓用戶端、伺服器, 以及轉接代理程式在 DHCP 處理程序內,可透過驗證機制來識別彼此,進而避免 IP 詐騙或中介攻擊。如需相關資訊,請參閱:
**DHCP 伺服器安全性**

Windows 2000 藉著防止未經授權的工作群組 DHCP 伺服器被帶到網路上,並引發 IP 位址配置問題來執行 DHCP 伺服器端安全性的限制形式。 這適用於所有 Windows 2000 DHCP 伺服器,但不適用 Windows NT 伺服器上執行的 DHCP 服務。 DHCP 伺服器授權要求企業系統管理權限,但此權限可委託給其他系統管理員。

  • 如需如何執行此功能的相關資訊, 請參閱〈Microsoft Windows 2000 Server Resource Kit TCP/IP Core Networking Guide〉, 第四章〈動態主機設定通訊協定〉。

  • Windows 2000 DHCP 伺服器授權可透過 DHCP 主控台完成, 只要在主控台內的 DHCP 伺服器上按一下滑鼠右鍵, 再按一下 [授權] 即可自動授權 DHCP 伺服器。

  • 在 Windows 2000 企業內,委派 DHCP 伺服器專用權之處理程序說明, 請參閱 Windows 2000 Server [說明],位置如下:

    網路 / DHCP / 作法 / 管理伺服器存取 / 委託功能以授予非企業系統管理員 DHCP 伺服器權限,或位於 Web https://www.microsoft.com/windows2000/en/server/help/-sag_DHCP_pro_DelegateNonEnterpriseAuthority.htm

Windows 2000 DNS 動態更新安全性

動態地修改 DNS 中的資料之問題就是安全性。 靜態新增區域資料的 DNS 伺服器有隱含式的安全性,因為系統管理員僅有唯一存取以修改區域資料。 由 DNS 用戶端動態修改區域資料,提出了潛在的安全性問題,即判斷 DNS 用戶端是否經過授權可修改資料。 Windows 2000 為 Active Directory 提供了安全更新功能–整合區域。

DNS 動態更新處理程序

在預設狀況下,動態更新用戶端會自動註冊到 DNS 的名稱對 IP 位址對應; 不過,也可以設定用戶端不要在 DNS 註冊其名稱及 IP 位址 (只要在 [控制台] / [網路] / [連線內容] / [TCP/IP 內容] / [進階] / [DNS] 索引標籤內修改連線的 DNS 內容即可),且不讓 Windows 2000 DHCP 伺服器在 DNS 註冊用戶端的資源記錄。 這在較早版本的非動態更新識別用戶端情況非常有用 (Windows 9x、Windows NT)。 註冊 A 及 PTR 資源記錄的責任就是在 DHCP 處理程序期間,交涉 DHCP 用戶端及 DHCP 伺服器。

動態更新可由許多服務傳送,如 DHCP 用戶端、DHCP 伺服器、Netlogon、「叢集服務」等等。 本章節主要是針對由 DHCP 用戶端及伺服器來執行的動態更新。

在 Windows 2000,用戶端可用三種不同類型的網路介面卡來傳送動態 DNS 更新: 分別是 DHCP 介面卡、靜態設定介面卡,以及遠端存取介面卡。 不論使用的介面卡是哪一種,DHCP 用戶端服務都會傳送動態更新至授權的 DNS 伺服器。 DHCP 用戶端服務可以在所有電腦上執行,不論是否有將它們設定為 DHCP 用戶端。

任何主要區域都可設定為動態更新;不過,只有 Active Directory–整合區域可設定為安全動態更新。

在預設狀況下,動態更新用戶端會先嘗試動態更新,如果失敗,就交涉安全動態更新。

設定下列登錄項目可變更此行為:

新增 UpdateSecurityLevel 登錄項目至下列子機碼:

HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Tcpip \Parameters

UpdateSecurityLevel 的值可設定為小數值 0、16 或 256, 其設定安全性如下:

256
 僅指定安全動態更新的使用。
16
 僅指定非安全動態更新的使用。
0
 當非安全動態更新的使用被拒時,指定安全動態更新的使用。 這是預設值。

DNS 安全動態更新處理程序

Windows 2000 支援安全動態更新,是透過 Generic Security Service Application Programming Interface (GSS-API,在 RFC 2078 中指定 (https://www.ietf.org/rfc/rfc2078.txt), 而不是經由 DNS Security Extensions (RFC 2535) 或 Secure DNS Dynamic Update (RFC 2137)。

如需 Windows 2000 DNS 動態更新所支援的 RFC 清單, 請參閱〈Microsoft Windows 2000 Server Resource Kit TCP/IP Core Networking Guide〉, 第五章〈Introduction to DNS〉。

GSS-API 獨立提供低階安全性機制的安全性服務。它會藉由通過安全性記號的方式,來指定建立安全性內容的方式:

  • 用戶端產生起始記號並傳送至伺服器。
  • 伺服器處理該記號,如有必要,回傳連續記號給用戶端。
  • 程序會一直重覆,直到交涉完成且已建立安全性內容為止。 安全性內容使用期限有限,在期限內可用於建立及驗證兩方間之訊息交易簽章。 使用期限視所使用的通訊協定而定;對 Kerberos V5 來說 (用於 Windows 2000), 使用期限相當於最長服務票證使用期限 (任何大於 10 分鐘且小於最長使用者票證使用期限的時間;預設值為 10 小時)。

如需其他資訊, 請參閱 RFC 2078 (https://www.ietf.org/rfc/rfc2078.txt), 〈Generic Security Service Application Program Interface,版本 2〉。

Windows 2000 執行 GSS-API,使用的是 IETF Internet Draft「GSS Algorithm for TSIG (GSS-TSIG)」所指定的演算法。本演算法使用 Kerberos V5 驗證通訊協定作為其低階安全性機制。 該演算法使用下列資源記錄以提供安全性服務:

  • TKEY。IETF Internet Draft「Secret Key Establishment for DNS (TKEY RR)」所指定的資源記錄,如同交通工具在用戶端及伺服器間轉送安全性記號,並建立祕密金鑰以使用 TSIG 資源記錄。
  • TSIG。IETF Internet Draft「Secret Key Transaction Signatures for DNS (TSIG)」所指定的資源記錄,傳送及驗證有簽章保護的訊息。

傳統用戶端的安全動態更新

不支援 FQDN 選項的早期 DHCP 用戶端 (Windows 9x、 Windows NT 3.x及 4.x) 無法動態更新。 因此,如果您想要讓它們的 A 及 PTR 資源記錄在 DNS 中動態地註冊, 可以設定 Windows 2000 類型的 DHCP 伺服器來代替它們執行動態更新。

考量因素

如果 DHCP 伺服器在名稱上執行安全動態更新,則 DHCP 伺服器就成為那個名稱的所有者, 且只有該 DHCP 伺服器可更新名稱。在某些情況下這會引起問題,並要求小心的考量:

  • 例如,假設 DHCP 伺服器 DHCP1 為名稱 client1.microsoft.com 建立一個物件之後就離線, 而備份 DHCP 伺服器 DHCP2 試圖更新該名稱;但 DHCP2 無法更新該名稱,因為它不擁有該名稱。
  • 另一個範例,假設 DHCP1 為名稱 client1.micorsoft.com 新增一個物件, 之後系統管理員升級 client1 為 Windows 2000 類型的電腦;此新的 Windows 2000 類型電腦不能更新自己的名稱, 因為它不是註冊名稱的擁有者。

因此,若您已啟用安全動態更新讓 DHCP 伺服器執行, 建議放置任何將在特殊的 Windows 2000 通用群組 (稱作 DNSUpdateProxy) 內,執行動態更新的 DHCP 伺服器。 DNSUpdateProxy 群組成員建立的物件沒有安全性; 因此,任何已驗證的使用者皆可擁有這些物件。 必須注意的是,如果 DHCP 伺服器正在 DC 上執行, 則任何已驗證的使用者皆可擁有在 DC 上執行之服務所註冊的這些記錄;這不是建議設定。

DNS 用戶端解決器安全性

在預設狀況下,DNS 解決器 (DNS 用戶端/伺服器元件的用戶端比率) 接受來自 DNS 伺服器的回應說它並未查詢解析名稱;此項預設設定可加速效能, 但可能會是安全性風險,因為網路上未經授權的 DNS 伺服器, 會以不正確的解析混淆用戶端及 (或) 危及安全性。

保留名稱

您可以保留完整的網域名稱 (FQDN),這樣只有某些電腦可使用它們。 若要如此做,請在 DNS 主控台內建立 FQDN, 並修改其任意存取控制清單 (DACL),這樣就只有特定電腦或使用者可以變更與 FQDN 相關的記錄集。 當組織內少數重要的伺服器離線時,這將有助於防止其伺服器 DNS 名稱被竊。

解決名稱衝突

如果在動態更新註冊期間, 某用戶端判斷其名稱已使用屬於另一部電腦的 IP 位址在 DNS 中註冊,根據預設值, 該用戶端會嘗試使用新的 IP 位址來取代另一部電腦的 IP 位址註冊。 這表示對於未設定安全動態更新的區域來說, 網路上的任何一個使用者都可以修改任何用戶端電腦的 IP 位址註冊。 不過,對於已設定安全動態更新的區域來說,只有獲得授權的使用者才能修改資源記錄。

您可以變更預設設定,這樣,用戶端會退出註冊程序,並且在「事件檢視器」中記錄錯誤,而非取代 IP 位址。 若要如此做,以 1 (DWORD) 的值, 將 DisableReplaceAddressesInConflicts 項目新增至下列登錄子機碼:

HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Tcpip \Parameters

項目可以是 1 或 0,可指定下列其中之一:

1
 若用戶端試圖建立的名稱已存在,則用戶端不會試圖覆寫它。
0
 若用戶端試圖建立的名稱已存在,則用戶端會試圖覆寫它。這是預設值。

所以,很重要的一點是,要注意在預設狀況下,若未使用安全 DNS 更新,則最後的用戶端更新會成立。 必須留意這種一般情況,也就是,用戶端可以取得新 IP 位址,且想要註冊相同位址。 所以,這可能是潛在的安全性問題,因為這會導致詐騙及其他駭客攻擊。 此即顯示,對於較大的名稱註冊及解析安全性,最好是使用安全 DNS 動態更新。

控制更新存取至區域

使用安全動態更新,只有您在 ACL 指定的電腦和使用者,才能在區域內建立或修改 DnsNode 物件。 在預設狀況下, ACL 提供建立權限給「已驗證使用者」群組的所有成員 (Active Directory 樹系內所有已驗證電腦及使用者之群組)。 此表示任何已驗證的使用者或電腦都可以在區域內建立新物件。

在預設狀況下,建立者也擁有該新增物件及對該物件的完全控制。

您可以在該物件的 [安全性] 索引標籤上,檢視及變更所有 DNS 物件的權限, 從「Active Directory 使用者及電腦」主控台內,或經由 DNS 主控台內的區域及資源記錄內容。

DNS 動態更新伺服器之間的安全化區域轉送流量

因為 Windows 2000 允許與 Active Directory 整合區域的 DNS 物件安全的動態更新, 這種情況下的區域資料複寫,會經由複寫自動發生在網域內所有其他的 DC。 此外,Active Directory 複寫會使用遠端程序呼叫 (RPC) 通訊協定, 且資料使用 56 位元 (國際) 或 128 位元 (北美地區) 機碼加密。 至於 Windows 2000 Active Directory 複寫 (在網域內的 DC 間或網域之間), 驗證是經由 RPC 類型的 Kerberos V5 複寫來完成的。

從 Windows 2000 DNS 伺服器到其他協力廠商 DNS 伺服器, 或 Windows 2000 DNS 伺服器之間無 Active Directory 整合區域的傳統區域轉送是不安全的。  

回到頁首

名稱解析管理最佳實例

DNS 動態更新

  • DNS 名稱空間:您的組織必須要有網際網路命名單位指派的 DNS 名稱,讓貴組織能出現在網際網路上。 考慮到安全性、方便安裝以及管理, 許多組織使用其組織公開網域名稱的子網域作為 Windows 2000 根網域。 例如,如果 microsoft.com 是指派給某公司的根 DNS 名稱, 則他們可使用 corp.microsoft.com 作為 Windows 2000 根網域。 此外,部分組織在公開的網際網路及私人的內部網路,使用個別的名稱空間。 用戶端及伺服器的設定視上述選擇而定;如需進一步資訊, 請參閱〈Microsoft Windows 2000 Server Resource Kit TCP/IP Core Networking Guide〉, 第六章〈Windows 2000 DNS〉。

  • 若您使用的是 Active Directory,請使用目錄 - 整合儲存作為區域。 它提供諸多效益,如安全的動態 DNS 更新、多伺服器更新功能, 以及 Active Directory 類型的安全 DNS 伺服器對伺服器複寫。

  • 考量冗餘及可用性,建議至少有兩部 DNS 伺服器主控每一個區域。 每個伺服器可主控主要及次要區域複本,或每個區域的兩份 Active Directory 類型的複本。 此外,必須瞭解的是,當使用 DNS 區域而沒有 Active Directory 整合時, 指定區域的主要 DNS 伺服器必須可用來供任何動態更新使用。

  • 在只有 Windows 2000 的環境中,建議執行用戶端設定變更,強迫用戶端只嘗試安全動態更新。

  • 建議緊縮 DNS 區域上的安全性,修改任意存取控制清單 (DACL), 與預設 DACL 設定 (提供完整存取給所有已驗證的使用者) 反向操作, 提供權限給真正需要建立或修改專用權的使用者及電腦。

  • 若必須進一步強化安全性,而代價是 Windows 2000 用戶端電腦上低效能點擊率, 則用戶端的 DNS 解決器安全性即可啟用。 這將確保用戶端只接受來自名稱解析期間用戶端查詢的 DNS 伺服器的查詢回應封包。

    IETF 已發佈數個包含 DNS 最佳實例的 RFC,如網際網路 DNS 建築師及規劃者所建議。 您會發現下列 RFC 很有用,特別是當您在規劃大型的 DNS 設計時:

DHCP

  • 考量可用性,建議在主要及次要 DHCP 伺服器之間, 使用 80/20 規則分割 IP 位址範圍 (〈Microsoft Windows 2000 Server Resource Kit TCP/IP Core Networking Guide〉,第四章〈動態主機設定通訊協定〉中有說明)。若可用位址不足, 請考慮在叢集的 Windows 2000 伺服器上執行 DHCP,以強化可用性。
  • 使用至少一方 (伺服器或用戶端) 的 IP 位址衝突偵測機制很有用。 如果您的環境主要由 Windows 2000 Professional 電腦所組成, 則用戶端類型衝突偵測將會有效率;不然,可使用伺服器類型機制。
  • 在由 Windows 2000 及較早版本用戶端 (Windows 9x、Windows NT) 所組成的混合環境裡,若 DHCP 伺服器設定為代註冊用戶端的 DNS 資源記錄,則建議不要在網域內的網域控制站上執行 DHCP 服務。

回到頁首

參考資料

如需執行本書中所討論的特定設定的進一步相關資訊,請參閱下列各項:

Albitz, Paul, and Cricket Liu. DNS and BIND. Sebastopol, CA: O'Reilly & Associates, 1998.

Microsoft Corp. Microsoft Windows 2000 Server Resource Kit Distributed Systems Guide. Redmond, WA: Microsoft Press®, 2000.

Microsoft Corp. Microsoft Windows 2000 Server Resource Kit TCP/IP Core Networking Guide. Redmond, WA: Microsoft Press, 2000.

© 2000 Microsoft Corporation. All rights reserved.

本文件所包含的資訊代表自發行日起,Microsoft Corporation 對於所討論的問題的最新看法。因為 Microsoft 必須對瞬息萬變的市場狀況做出回應,所以不得解釋為 Microsoft 所做的承諾,且在發行日之後 Microsoft 不保證所提出的任何資訊的正確性。

本文件僅供參考。MICROSOFT 在本文件中不做任何明示或默示的保證。

Microsoft、Active Directory、Microsoft Press、Windows 以及 Windows NT 皆為 Microsoft 在美國及/或其他國家的註冊商標或商標。  

回到頁首