設定 DNS 區域的安全性

根據預設，未設定 [動態更新] 設定以允許動態更新。這是最安全的設定，因為它會防止攻擊者更新 DNS 區域。不過，這個設定也會讓您無法使用動態更新提供的系統管理好處。若要設定電腦更安全地更新 DNS 資料，請將 DNS 區域儲存在 Active Directory 網域服務 (AD DS) 中，並使用安全的動態更新功能。安全動態更新限制 DNS 區域更新只有已驗證、已加入 DNS 伺服器所在的 Active Directory 網域的電腦，並限制為在 DNS 區域之存取控制清單 (ACL) 中所定義的特殊安全性設定。

如需相關資訊，請參閱只允許安全的動態更新。

您可以使用判別存取控制清單 (DACL)，控制可以支配 DNS 區域的 Active Directory 使用者與群組權限。

下表列出儲存在 AD DS 中的 DNS 區域預設群組或使用者名稱與權限。

如需相關資訊，請參閱修改目錄整合區域的安全性。

在網域控制站上執行的 DNS 伺服器服務，如果將區域儲存在 AD DS 中，會使用 Active Directory 物件與屬性，將其區域資料儲存在 AD DS 中。在 DNS Active Directory 物件上設定 DACL，與在 DNS 管理員中的 DNS 區域上設定 DACL，具有相同的效果。因此，應該要能夠直接連絡 Active Directory 物件的安全性系統管理員與 DNS 資料的安全性系統管理員，以確保系統管理員不會回復彼此的安全性設定。

下表描述 DNS 區域資料所使用的 Active Directory 物件與屬性。

根據預設，DNS 伺服器服務僅允許將區域資訊轉送到區域的名稱伺服器 (NS) 資源記錄中所列的伺服器。這是一個安全的設定，但是為了提升安全性，這個設定應該變更為允許區域轉送到指定 IP 位址的選項。將這個設定變更為允許區域轉送到任何伺服器，可能會將 DNS 資料暴露給嘗試支配網路的攻擊者。

如需相關資訊，請參閱修改區域轉送設定。

當您決定是否將 DNS 網域名稱委派給分開管理的 DNS 伺服器所裝載的區域時，請務必考量讓多人管理網路 DNS 資料的安全性影響。所有 DNS 資料使用單一授權 DNS 伺服器有安全性的優勢，將 DNS 命名空間的責任分配給不同系統管理員則有系統管理上的好處，所以 DNS 區域委派要在上述兩項好處達成妥協。當您委派私人 DNS 命名空間的頂層網域時，這個問題非常重要，因為這些網域包含非常敏感的 DNS 資料。

如需相關資訊，請參閱了解區域委派。

如果您的 DNS 資料已損毀，可以從備份資料夾 (位於 %systemroot%/DNS/Backup 資料夾) 還原 DNS 區域檔案。第一次建立區域時，會將區域的複本新增至備份資料夾。若要復原區域，請將原始區域檔案從備份資料夾複製到 %systemroot%/DNS 資料夾。當您使用 [新增區域精靈] 建立區域時，請將 %systemroot%/DNS 資料夾中的區域檔案指定為新區域的區域檔案。如需相關資訊，請參閱新增正向對應區域。

這個操作只適用於不是儲存在 AD DS 中的標準區域。

如需相關資訊，請參閱 DNS 的安全性資訊。