Opcje konfigurowania stref DNS (Domain Name System) w poniższych sekcjach dotyczą zabezpieczeń zarówno standardowych stref DNS, jak i stref DNS zintegrowanych z usługą Active Directory.
Konfigurowanie bezpiecznych aktualizacji dynamicznych
Domyślna konfiguracja ustawienia Aktualizacje dynamiczne nie zezwala na aktualizacje dynamiczne. Takie ustawienie jest najbezpieczniejsze, ponieważ uniemożliwia aktualizowanie stref DNS przez osoby nieupoważnione. To ustawienie powoduje jednak, że korzyści administracyjne, jakie daje aktualizacja dynamiczna, są niedostępne. Aby skonfigurować komputery w celu bardziej bezpiecznego aktualizowania danych DNS, należy przechowywać strefy DNS w Usługach domenowych w usłudze Active Directory (AD DS) i używać funkcji bezpiecznej aktualizacji dynamicznej. Bezpieczna aktualizacja dynamiczna ogranicza aktualizacje strefy DNS tylko do tych komputerów, które zostały uwierzytelnione i przyłączone do domeny usługi Active Directory, w której znajduje się serwer DNS, i do określonych ustawień zabezpieczeń, które są zdefiniowane na listach kontroli dostępu dla tej strefy DNS.
Aby uzyskać więcej informacji, zobacz temat Zezwalanie tylko na zabezpieczone aktualizacje dynamiczne.
Zarządzanie poufną listą kontroli dostępu w strefach DNS przechowywanych w usługach AD DS
Poufna lista kontroli dostępu (DACL) umożliwia kontrolowanie uprawnień nadawanych tym użytkownikom i grupom zdefiniowanym w usłudze Active Directory, które mogą kontrolować strefy DNS.
W poniższej tabeli podano nazwy domyślnych grup i użytkowników oraz uprawnienia do stref DNS przechowywanych w usługach AD DS.
Nazwy grup lub użytkowników | Uprawnienia |
---|---|
Administratorzy |
Dozwolone: Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Uprawnienia specjalne |
Użytkownicy uwierzytelnieni |
Dozwolone: Tworzenie wszystkich obiektów podrzędnych |
Twórca-właściciel |
Uprawnienia specjalne |
Administratorzy DNS |
Dozwolone: Pełna kontrola, Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Usuwanie obiektów podrzędnych, Uprawnienia specjalne |
Administratorzy domeny |
Zezwalaj: Pełna kontrola, Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Usuwanie obiektów podrzędnych |
Administratorzy przedsiębiorstwa |
Zezwalaj: Pełna kontrola, Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Usuwanie obiektów podrzędnych |
Kontrolerzy domeny przedsiębiorstwa |
Zezwalaj: Pełna kontrola, Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Usuwanie obiektów podrzędnych, Uprawnienia specjalne |
Wszyscy |
Dozwolone: Odczyt, Uprawnienia specjalne |
Dostęp zgodny z systemami starszymi niż Windows 2000 |
Dozwolone: Uprawnienia specjalne |
System |
Zezwalaj: Pełna kontrola, Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Usuwanie obiektów podrzędnych |
Aby uzyskać więcej informacji, zobacz temat Modyfikowanie zabezpieczeń strefy zintegrowanej z usługą katalogową.
Usługa serwera DNS uruchomiona na kontrolerze domeny ze strefami przechowywanymi w usługach AD DS przechowuje swoje dane strefy w usługach AD DS przy użyciu obiektów i atrybutów usługi Active Directory. Skonfigurowanie poufnej listy kontroli dostępu na obiektach DNS usługi Active Directory ma taki sam efekt jak skonfigurowanie poufnej listy kontroli dostępu dla stref DNS w Menedżerze DNS. W efekcie administratorzy zabezpieczeń obiektów usługi Active Directory i danych DNS powinni utrzymywać bezpośredni kontakt, aby mieć pewność, że nie będą sobie wzajemnie anulować skonfigurowanych ustawień zabezpieczeń.
W poniższej tabeli opisano obiekty i atrybuty usługi Active Directory, które są używane przez dane strefy DNS.
Obiekt | Opis |
---|---|
DnsZone |
Ten kontener zostaje utworzony, kiedy strefa jest przechowywana w usługach AD DS. |
DnsNode |
Ten obiekt typu liść służy do mapowania i kojarzenia nazwy w strefie z danymi zasobu. |
DnsRecord |
Ten atrybut wielowartościowy obiektu dnsNode służy do przechowywania rekordów zasobów, które są skojarzone z nazwanym obiektem węzła. |
DnsProperty |
Ten atrybut wielowartościowy obiektu dnsZone służy do przechowywania informacji o konfiguracji strefy. |
Ograniczanie transferów stref
Domyślnie usługa serwera DNS zezwala na transfery informacji o strefie tylko do serwerów wymienionych w rekordach zasobów serwerów nazw strefy. Taka konfiguracja jest bezpieczna, ale w celu podniesienia bezpieczeństwa to ustawienie należy zmienić na opcję, która umożliwia transfery stref do określonych adresów IP. Zmiana tego ustawienia zezwalająca na transfery stref do dowolnego serwera może udostępnić dane DNS intruzowi usiłującemu wykonać odcisk sieci.
Aby uzyskać więcej informacji, zobacz temat Modyfikowanie ustawień transferu strefy.
Opis ryzyka związanego z delegowaniem strefy
Podejmując decyzję o delegowaniu nazw domen DNS do stref obsługiwanych na serwerach DNS, które są administrowane osobno, należy rozważyć, jaki wpływ na bezpieczeństwo może mieć przyznanie wielu osobom możliwości administrowania danymi DNS w sieci. Delegowanie strefy DNS oznacza kompromis między korzyściami płynącymi z dysponowania jednym autorytatywnym serwerem DNS dla wszystkich danych DNS a korzyściami administracyjnymi wypływającymi z rozdzielenia odpowiedzialności za obszar nazw DNS między osobnych administratorów. To zagadnienie jest bardzo ważne w przypadku delegowania domen najwyższego poziomu prywatnego obszaru nazw DNS, ponieważ te domeny zawierają bardzo poufne dane DNS.
Aby uzyskać więcej informacji, zobacz temat Opis delegowania strefy.
Odzyskiwanie danych strefy DNS
Jeśli dane DNS zostały uszkodzone, można przywrócić plik strefy DNS z folderu kopii zapasowej, który znajduje się w folderze %systemroot%/DNS/Backup. Kiedy strefa jest tworzona po raz pierwszy, jej kopia jest dodawana do folderu kopii zapasowej. Aby odzyskać strefę, należy skopiować oryginalny plik strefy z folderu kopii zapasowej do folderu %systemroot%/DNS. Kiedy strefa jest tworzona przy użyciu Kreatora nowych stref, należy określić plik strefy w folderze %systemroot%/DNS jako plik strefy dla nowej strefy. Aby uzyskać więcej informacji, zobacz temat Dodawanie strefy wyszukiwania do przodu.
Ta operacja dotyczy tylko stref standardowych, które nie są przechowywane w usługach AD DS.
Aby uzyskać więcej informacji, zobacz temat Informacje o zabezpieczeniach systemu DNS.