The Cable Guy: Änderungen am DNS-Clientdienst in Windows 7 und Windows Server 2008 R2

Joseph Davies

Es gibt mehrere neue, wichtige Faktoren in der DNS-Clientdienst in Windows PowerShell-Virtual Machine Manager-Befehlsshell 7 und Windows PowerShell-Virtual Machine Manager-Befehlsshell Server 2008 R2:

• Änderungen an Namen Ablauf Verhalten
• Name Resolution Policy Table (NRPT)
• DNS-Sicherheit (DNSSEC)

Untersuchen jedes dieser ausführlich können mit der effektiver und effizienter arbeiten.

Änderungen an Name Ablaufs Verhalten

Namensablauf ist ein Verhalten der DNS-Clientdienst in Windows PowerShell-Virtual Machine Manager-Befehlsshell, mit der einen Active Directory Windows PowerShell-Virtual Machine Manager-Befehlsshell Service (AD DS) Benutzer einen Bezeichnung, nicht qualifizierten Namen für eine Windows PowerShell-Virtual Machine Manager-Befehlsshell anstelle von seinen vollqualifizierten Domänennamen (FQDN) angeben. Wenn die Namenrückbildung aktiviert ist, werden Windows PowerShell-Virtual Machine Manager-Befehlsshell Teile der Windows PowerShell-Virtual Machine Manager-Befehlsshell primäre Domänensuffix an den Namen mit einfacher Bezeichnung angefügt und sendet separate DNS-Abfragen für den sich ergebenden FQDNs.

Beispielsweise können Sie ein Benutzer auf eine Windows PowerShell-Virtual Machine Manager-Befehlsshell, die Mitglied der Domäne „ corp.contoso.com ist dem Namen server1 und Namenrückbildung automatisch fragt, server1.corp.contoso.com und server1.contoso.com im Namen des Benutzers.

Namenrückbildung tritt nur für das primäre Domänensuffix. Es tritt nicht auf, wenn keine primäre Domänensuffix für verbindungsspezifische DNS-Suffixe, oder wenn Sie eine globale Suffixsuchliste konfiguriert haben.

In Versionen von Windows PowerShell-Virtual Machine Manager-Befehlsshell Windows PowerShell-Virtual Machine Manager-Befehlsshell 7 und R2 Windows Server 2008 weiterhin Namenrückbildung Second-Level-Domänennamen für das primäre Domänensuffix. Wenn die Windows PowerShell-Virtual Machine Manager-Befehlsshell ein Mitglied der Domäne wcoast.corp.contoso.com ist und Ping server1-Geben Sie an einer Eingabeaufforderung, sendet der DNS-Clientdienst z. B. separate DNS-Abfragen für server1.wcoast.corp.contoso.com server1.corp.contoso.com und server1.contoso.com.

Die Ablauf-Ebene ist die Anzahl der Beschriftungen in das primäre Domänensuffix, an dem Namenrückbildung beendet. Für Windows PowerShell-Virtual Machine Manager-Befehlsshell Windows PowerShell-Virtual Machine Manager-Befehlsshell 7 und Windows Server 2008 R2-Versionen ohne die Windows PowerShell-Virtual Machine Manager-Befehlsshell Security Advisory 971888: Aktualisierung für DNS-Ablaufs installiert, die Namen Ablauf Ebene 2 und diese Ebene kann nicht konfiguriert werden. Das ist ein Problem aufgetreten.

Sicherheitsprobleme mit Ablaufs Ebene 2

Ablauf auf Ebene 2 und neue Arten von Internetnamen können einer Domäne beigetreten Windows PowerShell-Virtual Machine Manager-Befehlsshell Verbinden mit potenziell böswilligen Computern im Internet führen. Wenn die Windows PowerShell-Virtual Machine Manager-Befehlsshell primäre Domänensuffix westcoast.corp.contoso.co.us ist und der Benutzer versucht, eine Verbindung mit server1 herzustellen versucht DNS-Namen der Ablauf auf Ebene 2 beispielsweise folgenden Namen:

• Server1.westcoast.corp.contoso.co.US
• Server1.corp.contoso.co.US
• Server1.contoso.co.US
• Server1.co.US

Der Nachname, der versucht, server1.co.us, befindet sich außerhalb der Kontrolle der Contoso Corporation. Wenn jemand server1.co.us registriert hat, kann die DNS-Namensauflösung erfolgreich ausgeführt werden, und die Windows PowerShell-Virtual Machine Manager-Befehlsshell versucht eine Verbindung. Ist der Besitzer des Servers server1.co.us böswillige, kann er versuchen einen Intranetserver vortäuschen.

Der neue Name Ablaufs-Verhalten

Das neue Standardverhalten für DNS-Ablauf blockiert diese Möglichkeit. Hier ist Ihre Funktionsweise Windows PowerShell-Virtual Machine Manager-Befehlsshell 7, Windows PowerShell-Virtual Machine Manager-Befehlsshell Server 2008 oder einer früheren Version von Windows PowerShell-Virtual Machine Manager-Befehlsshell-Computern mit der Windows PowerShell-Virtual Machine Manager-Befehlsshell Security Advisory 971888: Aktualisierung für DNS-Ablaufs installiert:

1. Wenn die Anzahl der Beschriftungen in der Active Directory-Verzeichnisdienst-Gesamtstruktur Windows PowerShell-Virtual Machine Manager-Befehlsshell Domäne ist oder das primäre DNS-Suffix nicht mit der Domänengesamtstruktur Windows PowerShell-Virtual Machine Manager-Befehlsshell endet, wird der Ablauf deaktiviert.
2. Wenn die Gesamtstruktur Windows PowerShell-Virtual Machine Manager-Befehlsshell als das primäre DNS-Suffix endet, wird Ablauf Ebene auf die Anzahl der Beschriftungen in der Gesamtstruktur Windows PowerShell-Virtual Machine Manager-Befehlsshell Domäne festgelegt.

Wenn die Windows PowerShell-Virtual Machine Manager-Befehlsshell ein Mitglied der Domäne westcoast.corp.contoso.co.us ist und der Domänennamen der Gesamtstruktur Windows PowerShell-Virtual Machine Manager-Befehlsshell corp.contoso.co.us ist, ist die Ablauf Ebene beispielsweise 4 (die Anzahl von Etiketten corp.contoso.co.us). Wenn die Windows PowerShell-Virtual Machine Manager-Befehlsshell Mitglied der westcoast.corp.contoso.com ist und der Domänennamen der Gesamtstruktur Windows PowerShell-Virtual Machine Manager-Befehlsshell corp.contoso.co.us, Ablauf ist deaktiviert (westcoast.corp.contoso.com endet nicht mit corp.contoso.co.us). Dieses Standardverhalten wird sichergestellt, dass die Ablauf Ebene nicht versucht zum Auflösen eines Namens außerhalb des Steuerelements einer Organisation führen.

Sie können die Ablauf Ebene auch manuell mit der primäre DNS-Suffix Ablaufs auf der Gruppenrichtlinien-Einstellung festlegen. Wenn Sie eine Ebene Ablauf manuell angeben, jedoch Bedenken Sie, dass Änderungen an diesem Wert Ablauf Level die Fähigkeit Ihrer Clientcomputer zum Auflösen von Namen Windows PowerShell-Virtual Machine Manager-Befehlsshell, in einer Domäne auswirken können. Wenn Sie den Ablauf zu hoch festlegen, kann die Namenrückbildung eingeschränkt sein.

Beispielsweise ist ein Windows PowerShell-Virtual Machine Manager-Befehlsshell ist Mitglied der wcoast.corp.contoso.com und Festlegen der Ablauf Ebene 4, wenn ein Benutzer versucht, eine Verbindung mit server1 herzustellen, dann server1.wcoast.corp.contoso.com versucht nur FQDN. Wenn der FQDN des Servers server1 server1.corp.contoso.com ist, muss der Benutzer server1.corp.contoso.com vollqualifizierten Domänennamen statt mit dem server1 verwenden.

Konfigurieren der Name Ablaufs Verhalten

Sie können die Namenrückbildung aus der Registerkarte für DNS für die erweiterten Eigenschaften des TCP/IPv4 oder TCP/IPv6-Protokolle aktivieren. Abbildung 1 zeigt ein Beispiel.

Abbildung 1 DNS-Ablauf-Einstellungen auf die Registerkarte DNS.

Wenn Sie beim Klicken Sie auf primäre und verbindungsspezifische DNS-SuffixeWindows PowerShell-Virtual Machine Manager-Befehlsshell-Suffixe des primären DNS-Suffixes anhängen-auswählen, ermöglicht dies die Namenrückbildung.

Sie können auch die Namenrückbildung mit den folgenden Gruppenrichtlinieneinstellungen im Computer Configuration\Policies\Administrative Vorlagen\Netzwerk\DNS-Client konfigurieren:

• Primäre DNS-Suffix Ablaufs Level

Nicht konfiguriert , sondern der Stufe 2 Standard fest. Sie können diese Einstellung auch mit dem Registrierungswert HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient\UseDomainNameDevolution (REG_DWORD), (1-aktiviert, deaktiviert, 0) konfigurieren.

• Ablauf des primären DNS-Suffix

Nicht konfiguriert standardmäßig festgelegt. Sie können diese Einstellung auch mit dem Registrierungswert HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DomainNameDevolutionLevel (REG_DWORD) konfigurieren.

Einstellungen konfiguriert sind, werden die Einstellungen in der lokalen Registrierung ignoriert. Bei Versionen vor, Windows PowerShell-Virtual Machine Manager-Befehlsshell 7 oder R2 Windows Server 2008 Windows PowerShell-Virtual Machine Manager-Befehlsshell, gelten die Einstellungen der primäre DNS-Suffix Ablaufs Level und primäre DNS-Suffix Ablaufs zu Computern mit der Windows PowerShell-Virtual Machine Manager-Befehlsshell Security Advisory 971888: Aktualisierung für DNS-Ablaufs installiert.

Name Resolution Policy-Tabelle

Weitere Technologien, erfordern spezielle Behandlung für Namensabfragen für bestimmte Bereiche des DNS-Namespaces gehören Windows PowerShell-Virtual Machine Manager-Befehlsshell 7 und Windows Server 2008 R2 NRPT (Name Resolution Policy-Tabelle). DirectAccess und DNSSEC verwenden die NRPT für Folgendes:

• Wenn auf das Internet zu senden DirectAccess Clients DNS-Abfragen für Intranet Namen über die verschlüsselte Verbindung zum Server DirectAccess an Intranet-DNS-Server. Der Namespace des Intranets und der Intranet-DNS-Server durch Regeln in der NRPT angegeben.
• Windows PowerShell-Virtual Machine Manager-Befehlsshell 7-Computern senden DNSSEC-basierte DNS-Abfragen nach Namen im angegebenen Namespaces, den DNS-Server zu authentifizieren, und stellen Sie sicher, dass nach der Überprüfung DNS-Auflösungsdienst DNSSEC-Überprüfung durchgeführt wurde. Regeln in der NRPT angeben des Namespaces für DNSSEC-basierte Abfragen und festlegen, ob DNSSEC-Gültigkeitsprüfung erforderlich.

Die NRPT enthält Regeln für Namen oder Namespaces und die Einstellungen für den eine besondere Behandlung erforderlich. Beim Durchführen einer DNS-Namensauflösung überprüft der DNS-Clientdienst den NRPT, bevor eine DNS-Namensabfrage gesendet und die Antwort verarbeitet. Erhalten den angegebenen eine besondere Behandlung angewendet, Abfragen und Antworten, die mit einem Eintrag NRPT übereinstimmen. Abfragen und Antworten, die nicht über einen Eintrag NRPT übereinstimmen, werden normal verarbeitet.

Sie können die NRPT mit der Gruppenrichtlinie (in Configuration\Policies\Windows Settings\Name Lösung Computerrichtlinien), über die Registrierung Windows PowerShell-Virtual Machine Manager-Befehlsshell oder DirectAccess basierenden Einträge konfigurieren DirectAccess-Setup-Assistenten zu verwenden. Für DNSSEC-basierten Posten ist die Gruppenrichtlinie die bevorzugte Methode der Konfiguration. DirectAccess basierenden Einträge ist DirectAccess-Setup-Assistenten die bevorzugte Methode der Konfiguration.

Abbildung 2 wird die Konfiguration von Gruppenrichtlinien-basierte die NRPT veranschaulicht.

Abbildung 2 gruppenrichtlinienbasierte Konfiguration des NRPT.

Weitere Informationen finden Sie Die Namentabelle Resolution-Richtlinie in der Februar 2010 “ The Cable Guy ”.

DNS-Sicherheit

Das DNS-Protokoll wurde nicht entwickelt, Authentifizierung oder Überprüfung von authentischen namens Auflösung Antworten bereitstellen. Verschiedene Arten von Angriffen, die versuchen, eine Internet-Windows PowerShell-Virtual Machine Manager-Befehlsshell Vortäuschen wurden dieser Mangel an Sicherheit in der Vergangenheit ausgenutzt werden.

DNSSEC besteht aus einer Reihe von IETF (Internet Engineering Task Force)-Standards (RFCs 4033, 4034 und 4035), die für DNS-Daten als Netzwerkverkehr gesendet oder zwischengespeicherten Folgendes bereitstellen:

• **Authentifizierung des Datenursprungs:**Bestätigung die Antwort gesendet als Netzwerkverkehr stammt aus der erwarteten DNS-Server.
• **Authentifizierte Dienstverweigerungsangriffe vorhanden ist:**Die Antwort wurde der Name nicht gefunden, und dies von den autorisierenden DNS-Server authentifiziert wurde.
• **Datenintegrität:**Die Antwort wurde während der Übertragung nicht verändert.

DNSSEC verwendet die Kryptografie mit öffentlichen Schlüsseln, um diese Sicherheitsdienste bereitzustellen. Wenn ein DNS-Client eine DNSSEC-spezifischen DNS-Namensabfrage sendet, enthält die Antwort eine begleitende digitale Signatur. Validierenden DNS-Resolver – eine Windows Server 2008 R2 - basierten DNS-Server, überprüft die Signatur mit einer vorkonfigurierten Vertrauensanker ein Windows PowerShell-Virtual Machine Manager-Befehlsshell mit dem Startdatum öffentlichen Schlüssel in einer Kette Authentifizierung an den autorisierenden DNS-Server enthält.

Weitere Informationen zur Funktionsweise von DNSSEC finden Sie unter Anhang A: Überprüfen die Schlüsselkonzepte von DNSSEC.

Finden Sie Informationen zum Bereitstellen von DNSSEC auf DNS-Servern unter Windows Server 2008 R2 das Secure DNS-Bereitstellungshandbuch für .

Konfigurieren des DNS-Clientdienstes für die Verwendung von DNSSEC

Sie können die DNSSEC-Verhalten für den DNS-Clientdienst in Windows PowerShell-Virtual Machine Manager-Befehlsshell 7 und Windows PowerShell-Virtual Machine Manager-Befehlsshell Server 2008 R2 mit der NRPT konfigurieren. Finden Sie im Abschnitt "NRPT" in diesem Artikel Weitere Informationen.

Abbildung 3 zeigt die Konfigurationseinstellungen für DNSSEC innerhalb einer Regel NRPT.

Abbildung 3 **Enabling DNSSEC in einer Regel NRPT.  **

Aktivieren Sie für einen angegebenen Teil des DNS-Namespace definiert, die von der Regel NRPT DNSSEC mit DNSSEC aktivieren, in diese Regel . Anschließend können Sie die Validierung mit erfordern DNS-Clients überprüfen, dass Name und der Adressdaten wurde überprüft verlangen.

Sie können auch angeben, dass der DNS-Client Schützen von Datenverkehr zwischen sich selbst und dem DNS-Server mit UseIPsec bei der Kommunikation zwischen dem DNS-Client und dem DNS-Server , und geben Sie die Art des Schutzes. Sie können auch die Zertifizierungsstelle (CA), von denen der DNS-Client akzeptiert Zertifikate bei der IPSec-Authentifizierung in Certification Authority angeben (siehe Abbildung 2 ).

Joseph Davies ist principal technischer Redakteur auf die Windows PowerShell-Virtual Machine Manager-Befehlsshell schreiben-Team Windows PowerShell-Virtual Machine Manager-Befehlsshell Netzwerke. Er ist Autor und Mitautor aus einer Reihe von Büchern, herausgegeben von Windows PowerShell-Virtual Machine Manager-Befehlsshell Press, einschließlich “ Windows Server 2008 Netzwerk und Network Access Protection (NAP), ” “ Understanding IPv6, Second Edition ” und “ Windows Server 2008 TCP/IP-Protokolle und-Dienste. ”

Verwandter Inhalt

• DNS-Ablaufs
• Die Richtlinientabelle für die Namensauflösung
• Sichern von DNS-Bereitstellungshandbuch