The Cable Guy: Modifiche al servizio client DNS in Windows 7 e Windows Server 2008 R2

  • Articolo

Joseph Davies

Esistono diversi fattori critici, di nuovi nel servizio client DNS (Domain Name System) di Windows 7 e Windows Server 2008 R2:

  • Modifiche al comportamento di devoluzione del nome
  • La tabella criteri di risoluzione nome (NRPT)
  • Protezione DNS (DNSSEC)

Esplorazione di ciascuno di questi dettagli consentono di lavorare con il DNS in modo più efficace ed efficiente.

Modifiche apportate alle funzionalità di devoluzione del nome

Devoluzione del nome è un comportamento del servizio DNS client di Windows che consente a un utente di servizi di dominio Active Directory (AD DS) di specificare un nome non qualificato con etichetta singola per una risorsa anziché il nome di dominio completo (FQDN). Quando è attivata la devoluzione del nome, Windows parti del suffisso di dominio primario del computer viene aggiunto al nome con etichetta singola e invia query DNS separata per i nomi FQDN risultante.

Ad esempio, un utente in un computer che è membro del dominio corp.contoso.com può utilizzare server1 nome e devoluzione del nome query automaticamente server1.corp.contoso.com e server1.contoso.com per conto dell'utente.

Devoluzione del nome viene generato solo per il suffisso di dominio primario. Non si verifica quando non vi è alcun suffisso di dominio primario di suffissi DNS specifici della connessione o aver configurato un elenco di ricerca suffissi globale.

Nelle versioni di Windows precedenti a Windows 7 e Windows Server 2008 R2, devoluzione del nome continua a essere il nome di dominio di secondo livello per il suffisso di dominio primario. Ad esempio, se il computer è un membro del dominio wcoast.corp.contoso.com e si digita ping server1 un prompt dei comandi, il servizio DNS client invia query DNS separata per server1.wcoast.corp.contoso.com server1.corp.contoso.com e server1.contoso.com.

Il livello di devoluzione è il numero di etichette nel suffisso di dominio primario in cui interrompe la devoluzione del nome. Per le versioni di Windows precedenti a Windows 7 e Windows Server 2008 R2 senza 971888 advisory sulla sicurezza Microsoft: Aggiornamento di devoluzione DNS installato, il devoluzione del nome livello 2 e non è possibile configurare tale livello. Questo è un problema.

Problemi di protezione con livello di devoluzione 2

Devoluzione al livello 2 e nuovi tipi di nomi Internet possono comportare un computer appartenente al dominio la connessione con il computer potenzialmente dannosi su Internet. Ad esempio, se suffisso di dominio primario del computer è westcoast.corp.contoso.co.us e l'utente tenta di connettersi a server1, devoluzione del nome DNS al livello 2 tenta i seguenti nomi:

  • Server1.westcoast.corp.contoso.co.us
  • Server1.corp.contoso.co.us
  • Server1.contoso.co.us
  • Server1.co.us

Il nome dell'ultimo tentativo, server1.co.us, è all'esterno del controllo di Contoso Corporation. Se qualcuno ha registrato server1.co.us, la risoluzione dei nomi DNS ha esito positivo e il computer tenterà una connessione. Se il proprietario del server server1.co.us è dannoso, è possibile provare lo spoofing di un server intranet.

Il nuovo comportamento di devoluzione Name

Il nuovo comportamento predefinito per la devoluzione DNS blocca tale possibilità. Ecco come funziona per i computer che eseguono Windows 7, Windows Server 2008 o una versione precedente di Windows con 971888 advisory sulla sicurezza Microsoft: Aggiornamento per devoluzione DNS installati:

  1. Se il numero di etichette nel dominio radice della foresta Active Directory è uno o al suffisso DNS primario non termina con il dominio principale dell'insieme di strutture, verrà disabilitata la devoluzione.
  2. Se il suffisso DNS primario termina con il dominio radice della foresta, livello di devoluzione è impostato per il numero di etichette nel dominio radice della foresta.

Ad esempio, se il computer è un membro del dominio westcoast.corp.contoso.co.us e il nome del dominio principale dell'insieme di strutture è corp.contoso.co.us, il livello di devoluzione è 4 (il numero di etichette in corp.contoso.co.us). Se il computer è membro di westcoast.corp.contoso.com e il nome del dominio principale dell'insieme di strutture è corp.contoso.co.us, viene disattivata la devoluzione (westcoast.corp.contoso.com non termina con corp.contoso.co.us). Questo comportamento assicura che il livello di devoluzione non portare a un tentativo di risolvere un nome all'esterno del controllo di un'organizzazione.

È possibile impostare il livello di devoluzione anche manualmente con il Primary DNS suffix devoluzione livello impostazione. Se si specifica manualmente un livello di devoluzione, tuttavia, tenere presente che le modifiche apportate a questo valore del livello di devoluzione possono influenzare la capacità dei computer client di risolvere i nomi di risorsa in un dominio. Se si imposta il livello di devoluzione troppo elevato, devoluzione del nome può essere compromesse.

Ad esempio, se un computer è membro di wcoast.corp.contoso.com e si imposta il livello di devoluzione 4, quando un utente tenta di connettersi a server1, server1.wcoast.corp.contoso.com è completo solo di tentativi. Se il FQDN del server server1 server1.corp.contoso.com, l'utente deve utilizzare server1.corp.contoso.com FQDN, anziché server1.

Configurazione del comportamento di devoluzione del nome

È possibile attivare la devoluzione del nome della scheda di DNS per le proprietà avanzate del TCP/IPv4 o i protocolli TCP/IPv6. Nella Figura 1 viene illustrato un esempio.

Figure 1 DNS devolution settings on the DNS tab

Figura 1 Impostazioni devoluzione DNS della scheda DNS

Quando si sceglie primario Append e suffissi DNS specifici per la connessione e selezionare Aggiungi suffissi principali del suffisso DNS primario , consente di devoluzione del nome.

È inoltre possibile configurare la devoluzione del nome con le seguenti impostazioni di criteri di gruppo nel Computer Configuration\Policies\Administrative Templates\Network\DNS Client:

  • Livello di devoluzione del suffisso DNS primario

Impostare non configurato , ma con un valore predefinito di livello 2. È inoltre possibile configurare questa impostazione con il valore di registro HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient\UseDomainNameDevolution (REG_DWORD) (1 abilitato, 0 per disattivata).

  • Primaria devoluzione del suffisso DNS

Non configurato per impostazione predefinita. È inoltre possibile configurare questa impostazione con il valore di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DomainNameDevolutionLevel (REG_DWORD).

Se sono configurate impostazioni, impostazioni del Registro di sistema locale verranno ignorate. Per le versioni di Windows precedenti a Windows 7 o Windows Server 2008 R2, livello di devoluzione suffisso DNS primario e Primary DNS suffix devoluzione applicate a computer con 971888 advisory sulla sicurezza Microsoft: Aggiornamento per devoluzione DNS installati.

Tabella criteri di risoluzione nome

Per le tecnologie che richiedono una gestione speciale per le query dei nomi delle parti specifiche di spazio dei nomi DNS, Windows 7 e Windows Server 2008 R2 includono NRPT (Name Resolution criteri Table). DirectAccess e DNSSEC utilizzano il NRPT quanto segue:

  • Quando su Internet, i client DirectAccess inviare query DNS riguardanti nomi intranet ai server DNS di rete intranet attraverso la connessione crittografata al server DirectAccess. Regole di NRPT specificano lo spazio dei nomi della rete intranet e il gruppo dei server DNS di rete intranet.
  • Computer Windows 7 invia query DNS basato su DNSSEC per i nomi degli spazi dei nomi specificati per autenticare il server DNS e assicurarsi che sia stato eseguito DNSSEC convalida dal resolver DNS convalida. Regole di NRPT specificano lo spazio dei nomi per le query basate su DNSSEC e se richiedere la convalida di DNSSEC.

Il NRPT contiene le regole per i nomi o spazi dei nomi e le impostazioni per la gestione speciale richiesto. Quando si esegue una risoluzione dei nomi DNS, il servizio DNS client controlla il NRPT prima di inviare una query di nomi DNS e l'elaborazione della risposta. Le query e le risposte che corrispondono a una voce NRPT ottengono la gestione speciale specificata applicata. Le query e le risposte che non corrispondono a una voce NRPT elaborate normalmente.

È possibile configurare NRPT con criteri di gruppo (in Configuration\Policies\Windows Settings\Name risoluzione dei criteri del computer) tramite il Registro di sistema di Windows o per le voci di DirectAccess, utilizzando la procedura guidata installazione DirectAccess. Per le voci di DNSSEC, criteri di gruppo è il metodo preferito di configurazione. Per le voci di DirectAccess, DirectAccess installazione guidata è il metodo preferito di configurazione.

Figura 2 è illustrata la configurazione basata su criteri di gruppo della NRPT.

Figure 2 Group Policy-based configuration of the NRPT

Figura 2 configurazione basata su criteri di gruppo del NRPT.

Per ulteriori informazioni, vedere di Tabella criteri di The Name Resolution, in 2010 febbraio “ The Cable Guy. ”

Protezione DNS

Il protocollo DNS non è stato progettato per fornire l'autenticazione o la verifica delle risposte di risoluzione nomi autentici. Vari tipi di attacchi si tenta di eseguire lo spoofing di una risorsa Internet hanno sfruttato questa mancanza di protezione in passato.

DNSSEC è una famiglia di standard Internet Engineering Task Force (IETF) (RFC 4033, 4034 e 4035) forniscono i seguenti dati DNS inviate come il traffico di rete o nella cache:

  • **Autenticazione dell'origine:**Conferma che la risposta inviata come traffico di rete proviene dal server DNS previsto.
  • **Autenticato denial of esistenza:**La risposta del nome non trovato e ciò è stato autenticato dal server DNS di fiducia.
  • **Integrità dei dati:**La risposta non è stata modificata durante il transito.

DNSSEC utilizza la crittografia a chiave pubblica per fornire i servizi di protezione. Quando un client DNS invia una query di nomi DNS specifici di DNSSEC, la risposta contiene una firma digitale associata. Convalida resolver DNS, un server DNS basato su Windows Server 2008 R2, convalida la firma utilizzando un ancoraggio di trust preconfigurato, un computer che dispone della chiave pubblica iniziale in una sequenza di autenticazione per il server DNS di fiducia.

Per ulteriori informazioni sull'utilizzo di DNSSEC, vedere Appendice A: Di DNSSEC concetti principali sulla revisione.

Per informazioni sulla distribuzione di DNSSEC sui server DNS che esegue Windows Server 2008 R2, vedere la Guida alla distribuzione di DNS Secure .

Configurazione del servizio client DNS per l'utilizzo di DNSSEC

È possibile configurare il comportamento DNSSEC per il servizio DNS client in Windows 7 e Windows Server 2008 R2 con il NRPT. Vedere la sezione NRPT in questo articolo per ulteriori informazioni.

Figura 3 Mostra le impostazioni di configurazione per DNSSEC una regola NRPT.

Figure 3 Enabling DNSSEC in an NRPT rule

Figura 3 **DNSSEC attivazione nella regola NRPT.  **

Per la parte specificata di spazio dei nomi DNS definito dalla regola NRPT, abilitare DNSSEC di DNSSEC attiva in questa regola. È quindi possibile richiedere la convalida con di client DNS richiede per verificare che il nome e indirizzo dei dati sono stati convalidati.

È inoltre possibile specificare che il client DNS proteggere il traffico tra se stesso e il server DNS con di UseIPsec nelle comunicazioni tra il client e il server DNS e quindi specificare il tipo di protezione. È inoltre possibile specificare l'autorità di certificazione (CA) da cui il client DNS accetterà i certificati quando si esegue l'autenticazione IPsec in di Autorità di certificazione (vedere di Figura 2).

Joseph Davies is a principal technical writer on the Windows networking writing team at Microsoft. He’s the author and coauthor of a number of books published by Microsoft Press, including “Windows Server 2008 Networking and Network Access Protection (NAP),” “Understanding IPv6, Second Edition” and “Windows Server 2008 TCP/IP Protocols and Services.”

Contenuto correlato