Параметры конфигурации зоны DNS, приведенные в следующих разделах, влияют на безопасность как стандартных зон, так и зон, интегрированных в Active Directory.
Настройка безопасных динамических обновлений
По умолчанию параметр Динамическое обновление не настроен на поддержку динамических обновлений. Это самый безопасный параметр, так как он препятствует обновлению злоумышленником зон DNS. Однако этот параметр не позволяет администраторам использовать административные преимущества динамических обновлений. Чтобы настроить компьютеры на более безопасное обновление данных DNS, сохраняйте зоны DNS в доменных службах Active Directory и используйте функциональную возможность безопасного динамического обновления. Безопасное динамическое обновление ограничивает обновления зоны DNS, делая их доступными только для тех компьютеров, которые прошли проверку и являются членами домена Active Directory, где находится DNS-сервер, и только для определенных параметров безопасности, определенных в списках управления доступом для зоны DNS.
Дополнительные сведения см. в разделе Разрешение только безопасных динамических обновлений.
Управление списком DACL для зон DNS, хранящихся в доменных службах Active Directory
Можно использовать список DACL для управления разрешениями для пользователей и групп Active Directory, которые могут управлять зонами DNS.
В следующей таблице показаны имена групп или пользователей по умолчанию для зон DNS, хранящихся в доменных службах Active Directory.
| Группы или пользователи | Разрешения |
|---|---|
|
Администраторы |
Разрешить: чтение, запись, создание всех дочерних объектов, особые разрешения |
|
Пользователи, прошедшие проверку |
Разрешить: создание всех дочерних объектов |
|
Создатель-владелец |
особые разрешения |
|
DnsAdmins |
Разрешить: полный доступ, чтение, запись, создание всех дочерних объектов, удаление дочерних объектов, особые разрешения |
|
Администраторы домена |
Разрешить: полный доступ, чтение, запись, создание всех дочерних объектов, удаление дочерних объектов |
|
Администраторы предприятия |
Разрешить: полный доступ, чтение, запись, создание всех дочерних объектов, удаление дочерних объектов |
|
Контроллеры домена предприятия |
Разрешить: полный доступ, чтение, запись, создание всех дочерних объектов, удаление дочерних объектов, особые разрешения |
|
Все |
Разрешить: чтение, особые разрешения |
|
Пред-Windows 2000 доступ |
Разрешить: особые разрешения |
|
Системный |
Разрешить: полный доступ, чтение, запись, создание всех дочерних объектов, удаление дочерних объектов |
Дополнительные сведения см. в разделе Изменение уровня безопасности для зоны, интегрированной в Active Directory.
Служба DNS-сервера, работающая на контроллере домена, на котором зоны хранятся в доменных службах Active Directory, сохраняет свои данные зоны в доменных службах, используя объекты и атрибуты Active Directory. Настройка списка DACL в объектах DNS Active Directory имеет такое же действие, что и настройка списка DACL для зон DNS в диспетчере DNS. Следовательно, администраторы безопасности объектов Active Directory и администраторы безопасности данных DNS должны работать вместе, чтобы не отменять настройки безопасности, сделанные другими администраторами.
В следующей таблице описаны объекты и атрибуты Active Directory, которые используются данными зоны DNS.
| Объект | Описание |
|---|---|
|
DnsZone |
Этот контейнер создается при создании зоны в доменных службах Active Directory. |
|
DnsNode |
Этот оконечный листовой объект используется для сопоставления имени в зоне данным ресурса. |
|
DnsRecord |
Этот многозначный атрибут объекта dnsNode используется для хранения записей ресурсов, связанных с объектом именованного узла. |
|
DnsProperty |
Этот многозначный атрибут объекта dnsZone используется для хранения сведений конфигурации зоны. |
Ограничение передачи зоны
По умолчанию служба DNS-сервера позволяет передавать данные зоны только на серверы, которые указаны в записях ресурсов сервера имен (NS) для зоны. Это безопасная конфигурация, но для увеличения безопасности этот параметр следует изменить на разрешение передачи зон только на определенные IP-адреса. Изменение этого параметра для разрешения передач зон на любой сервер, может сделать данные доступными для злоумышленника, пытающегося сделать отпечаток сети.
Дополнительные сведения см. в разделе Изменение параметров передачи зоны.
Общее представление о преимуществах и недостатках делегирования зоны
При определении, следует ли делегировать DNS-имена домена в зоны, находящиеся на раздельно администрируемых DNS-серверах, важно учесть, как предоставление нескольким лицам возможности администрирования данных DNS в сети будет влиять на безопасность. Делегирование зоны DNS ставит перед системным администратором задачу выбора преимуществ и недостатков между двумя вариантами: наличием отдельного полномочного DNS-сервера для всех данных DNS и административными преимуществами распределения ответственности для пространства имен DNS между разными администраторами. Этот вопрос очень важно учитывать при делегировании доменов верхнего уровня частного пространства имен DNS, потому что эти домены содержат конфиденциальные данные DNS.
Дополнительные сведения см. в разделе Общее представление о делегировании зоны.
Восстановление данных зоны DNS
Если данные DNS повреждены, можно восстановить файл зоны DNS из папки резервного копирования %systemroot%/DNS/Backup. При первом создании зоны ее копия добавляется в папку резервного копирования. Чтобы восстановить зону, скопируйте исходный файл зоны из папки резервного копирования в папку %systemroot%/DNS. При использовании мастера создания зоны укажите файл зоны в папке %systemroot%/DNS, который будет использоваться как файл для новой зоны. Дополнительные сведения см. в разделе Добавление зоны прямого просмотра.
Эта операция применима только к стандартным зонам, которые не хранятся в доменных службах Active Directory.
Дополнительные сведения см. в разделе Сведения о безопасности для DNS.