Opcje konfigurowania stref DNS (Domain Name System) w poniższych sekcjach dotyczą zabezpieczeń zarówno standardowych stref DNS, jak i stref DNS zintegrowanych z usługą Active Directory.

Konfigurowanie bezpiecznych aktualizacji dynamicznych

Domyślna konfiguracja ustawienia Aktualizacje dynamiczne nie zezwala na aktualizacje dynamiczne. Takie ustawienie jest najbezpieczniejsze, ponieważ uniemożliwia aktualizowanie stref DNS przez osoby nieupoważnione. To ustawienie powoduje jednak, że korzyści administracyjne, jakie daje aktualizacja dynamiczna, są niedostępne. Aby skonfigurować komputery w celu bardziej bezpiecznego aktualizowania danych DNS, należy przechowywać strefy DNS w Usługach domenowych w usłudze Active Directory (AD DS) i używać funkcji bezpiecznej aktualizacji dynamicznej. Bezpieczna aktualizacja dynamiczna ogranicza aktualizacje strefy DNS tylko do tych komputerów, które zostały uwierzytelnione i przyłączone do domeny usługi Active Directory, w której znajduje się serwer DNS, i do określonych ustawień zabezpieczeń, które są zdefiniowane na listach kontroli dostępu dla tej strefy DNS.

Aby uzyskać więcej informacji, zobacz temat Zezwalanie tylko na zabezpieczone aktualizacje dynamiczne.

Zarządzanie poufną listą kontroli dostępu w strefach DNS przechowywanych w usługach AD DS

Poufna lista kontroli dostępu (DACL) umożliwia kontrolowanie uprawnień nadawanych tym użytkownikom i grupom zdefiniowanym w usłudze Active Directory, które mogą kontrolować strefy DNS.

W poniższej tabeli podano nazwy domyślnych grup i użytkowników oraz uprawnienia do stref DNS przechowywanych w usługach AD DS.

Nazwy grup lub użytkowników Uprawnienia

Administratorzy

Dozwolone: Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Uprawnienia specjalne

Użytkownicy uwierzytelnieni

Dozwolone: Tworzenie wszystkich obiektów podrzędnych

Twórca-właściciel

Uprawnienia specjalne

Administratorzy DNS

Dozwolone: Pełna kontrola, Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Usuwanie obiektów podrzędnych, Uprawnienia specjalne

Administratorzy domeny

Zezwalaj: Pełna kontrola, Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Usuwanie obiektów podrzędnych

Administratorzy przedsiębiorstwa

Zezwalaj: Pełna kontrola, Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Usuwanie obiektów podrzędnych

Kontrolerzy domeny przedsiębiorstwa

Zezwalaj: Pełna kontrola, Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Usuwanie obiektów podrzędnych, Uprawnienia specjalne

Wszyscy

Dozwolone: Odczyt, Uprawnienia specjalne

Dostęp zgodny z systemami starszymi niż Windows 2000

Dozwolone: Uprawnienia specjalne

System

Zezwalaj: Pełna kontrola, Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Usuwanie obiektów podrzędnych

Aby uzyskać więcej informacji, zobacz temat Modyfikowanie zabezpieczeń strefy zintegrowanej z usługą katalogową.

Usługa serwera DNS uruchomiona na kontrolerze domeny ze strefami przechowywanymi w usługach AD DS przechowuje swoje dane strefy w usługach AD DS przy użyciu obiektów i atrybutów usługi Active Directory. Skonfigurowanie poufnej listy kontroli dostępu na obiektach DNS usługi Active Directory ma taki sam efekt jak skonfigurowanie poufnej listy kontroli dostępu dla stref DNS w Menedżerze DNS. W efekcie administratorzy zabezpieczeń obiektów usługi Active Directory i danych DNS powinni utrzymywać bezpośredni kontakt, aby mieć pewność, że nie będą sobie wzajemnie anulować skonfigurowanych ustawień zabezpieczeń.

W poniższej tabeli opisano obiekty i atrybuty usługi Active Directory, które są używane przez dane strefy DNS.

Obiekt Opis

DnsZone

Ten kontener zostaje utworzony, kiedy strefa jest przechowywana w usługach AD DS.

DnsNode

Ten obiekt typu liść służy do mapowania i kojarzenia nazwy w strefie z danymi zasobu.

DnsRecord

Ten atrybut wielowartościowy obiektu dnsNode służy do przechowywania rekordów zasobów, które są skojarzone z nazwanym obiektem węzła.

DnsProperty

Ten atrybut wielowartościowy obiektu dnsZone służy do przechowywania informacji o konfiguracji strefy.

Ograniczanie transferów stref

Domyślnie usługa serwera DNS zezwala na transfery informacji o strefie tylko do serwerów wymienionych w rekordach zasobów serwerów nazw strefy. Taka konfiguracja jest bezpieczna, ale w celu podniesienia bezpieczeństwa to ustawienie należy zmienić na opcję, która umożliwia transfery stref do określonych adresów IP. Zmiana tego ustawienia zezwalająca na transfery stref do dowolnego serwera może udostępnić dane DNS intruzowi usiłującemu wykonać odcisk sieci.

Aby uzyskać więcej informacji, zobacz temat Modyfikowanie ustawień transferu strefy.

Opis ryzyka związanego z delegowaniem strefy

Podejmując decyzję o delegowaniu nazw domen DNS do stref obsługiwanych na serwerach DNS, które są administrowane osobno, należy rozważyć, jaki wpływ na bezpieczeństwo może mieć przyznanie wielu osobom możliwości administrowania danymi DNS w sieci. Delegowanie strefy DNS oznacza kompromis między korzyściami płynącymi z dysponowania jednym autorytatywnym serwerem DNS dla wszystkich danych DNS a korzyściami administracyjnymi wypływającymi z rozdzielenia odpowiedzialności za obszar nazw DNS między osobnych administratorów. To zagadnienie jest bardzo ważne w przypadku delegowania domen najwyższego poziomu prywatnego obszaru nazw DNS, ponieważ te domeny zawierają bardzo poufne dane DNS.

Aby uzyskać więcej informacji, zobacz temat Opis delegowania strefy.

Odzyskiwanie danych strefy DNS

Jeśli dane DNS zostały uszkodzone, można przywrócić plik strefy DNS z folderu kopii zapasowej, który znajduje się w folderze %systemroot%/DNS/Backup. Kiedy strefa jest tworzona po raz pierwszy, jej kopia jest dodawana do folderu kopii zapasowej. Aby odzyskać strefę, należy skopiować oryginalny plik strefy z folderu kopii zapasowej do folderu %systemroot%/DNS. Kiedy strefa jest tworzona przy użyciu Kreatora nowych stref, należy określić plik strefy w folderze %systemroot%/DNS jako plik strefy dla nowej strefy. Aby uzyskać więcej informacji, zobacz temat Dodawanie strefy wyszukiwania do przodu.

Ta operacja dotyczy tylko stref standardowych, które nie są przechowywane w usługach AD DS.

Aby uzyskać więcej informacji, zobacz temat Informacje o zabezpieczeniach systemu DNS.


Spis treści