Aşağıdaki bölümlerde açıklanan Etki Alanı Adı Sistemi (DNS) bölgesi yapılandırma seçenekleri hem standart hem de Active Directory ile tümleşik DNS bölgeleri için geçerlidir.
Güvenli dinamik güncelleştirmeleri yapılandırma
Varsayılan olarak, Dinamik güncelleştirmeler ayarı dinamik güncelleştirmelere izin verecek biçimde yapılandırılmamıştır. Bir saldırganın DNS bölgelerini güncelleştirmesini engellediğinden, bu en güvenli ayardır. Ancak bu ayar, dinamik güncelleştirmeler tarafından sağlanan yönetimsel avantajlarından yararlanmanızı engeller. Bilgisayarları DNS verilerini daha güvenli biçimde güncelleştirecek şekilde yapılandırmak için, DNS bölgelerini Active Directory Etki Alanı Hizmetleri'nde (AD DS) depolayın ve güvenli dinamik güncelleştirme özelliğini kullanın. Güvenli dinamik güncelleştirme, DNS bölge güncelleştirmelerini yalnızca kimliği doğrulanan ve DNS sunucusunun bulunduğu Active Directory etki alanına katılan bilgisayarlarla ve DNS bölgesinin erişim denetim listelerinde (ACL) tanımlanan özel güvenlik ayarlarıyla sınırlar.
Daha fazla bilgi için bkz. Yalnızca Güvenli Olan Dinamik Güncelleştirmelere İzin Verme.
AD DS'de depolanan DNS bölgelerinde DACL'yi yönetme
DNS bölgelerini denetleyebilecek Active Directory kullanıcıları ve gruplarının izinlerini denetlemek için sınırsız erişim denetimi listesi (DACL) kullanabilirsiniz.
Aşağıdaki tabloda, AD DS'de depolanan DNS bölgelerinin varsayılan grup veya kullanıcı adları ve izinleri listelenmektedir.
| Grup veya kullanıcı adları | İzinler |
|---|---|
|
Yöneticiler |
İzin Ver: Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Özel İzinler |
|
Kimliği Doğrulanmış Kullanıcılar |
İzin Ver: Tüm Bağımlı Nesneleri Oluştur |
|
Oluşturan Sahibi |
Özel İzinler |
|
DnsAdmins |
İzin Ver: Tam Denetim, Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Tüm Bağımlı Nesneleri Sil, Özel İzinler |
|
Etki Alanı Yöneticileri |
İzin Ver: Tam Denetim, Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Tüm Bağımlı Nesneleri Sil |
|
Şirket Yöneticileri |
İzin Ver: Tam Denetim, Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Tüm Bağımlı Nesneleri Sil |
|
Kuruluş Etki Alanı Denetleyicileri |
İzin Ver: Tam Denetim, Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Tüm Bağımlı Nesneleri Sil, Özel İzinler |
|
Herkes |
İzin Ver: Okuma, Özel İzinler |
|
Windows 2000 Öncesi Uyumluluk Erişimi |
İzin Ver: Özel İzinler |
|
Sistem |
İzin Ver: Tam Denetim, Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Tüm Bağımlı Nesneleri Sil |
Daha fazla bilgi için bkz. Dizinle Tümleşik Bölgenin Güvenliğini Değiştirme.
Bölgeleri AD DS'de depolanan bir etki alanı denetleyicisinde çalışan DNS Sunucusu hizmeti, Active Directory nesnelerini ve özniteliklerini kullanarak bölge verilerini AD DS'de depolar. DNS Active Directory nesnelerinde DACL'yi yapılandırmak, DNS Yöneticisi'nde DNS sunucusu için DACL'yi yapılandırmayla aynı etkiye sahiptir. Dolayısıyla, yöneticilerin birbirinin güvenlik ayarlarını etkilememesini sağlamak için, Active Directory nesnelerinin ve DNS verilerinin güvenlik yöneticileri doğrudan iletişim halinde olmalıdır.
Aşağıdaki tabloda DNS bölge verileri tarafından kullanılan Active Directory nesneleri ve öznitelikleri açıklanmaktadır.
| Nesne | Description |
|---|---|
|
DnsZone |
Bu kapsayıcı, bir bölge AD DS'de depolandığında oluşturulur. |
|
DnsNode |
Bu yaprak nesne, bölgedeki bir adı kaynak verileriyle eşlemek ve ilişkilendirmek için kullanılır. |
|
DnsRecord |
dnsNode nesnesinin birden çok değerli bu özniteliği, adlandırılmış düğüm nesnesiyle ilişkili kaynak kayıtlarını depolamak için kullanılır. |
|
DnsProperty |
dnsZone nesnesinin birden çok değerli bu özniteliği, bölge yapılandırma bilgilerini depolamak için kullanılır. |
Bölge aktarmalarını kısıtlama
DNS Sunucusu hizmeti varsayılan olarak bölge bilgilerinin yalnızca bir bölgenin ad sunucusu (NS) kaynak kayıtlarında listelenen sunuculara aktarılmasına izin verir. Bu güvenli bir yapılandırmalıdır, ancak güvenliğin artırılması için bu ayarın belirtilen IP adreslerine bölge aktarmalarına izin verilecek biçimde değiştirilmesi gerekir. Bu ayarın herhangi bir sunucuya bölge aktarmalarına izin verecek biçimde değiştirilmesi, DNS verilerinizin ağınızın parmak izini belirlemeye çalışan bir saldırganın eline geçmesine neden olabilir.
Daha fazla bilgi için bkz. Bölge Aktarma Ayarlarını Değiştirme.
Bölge temsilcisi konusunda yapılması gereken seçini anlama
Ayrı ayrı yönetilen DNS sunucularında barındırılan DNS etki alanı adlarına temsilci atamaya karar verirken, birden çok kişiye ağınızın DNS verilerini yönetme becerisi veren güvenlik uygulamalarından yararlanmak önemlidir. DNS bölge temsilcisi, tüm DNS verileri için tek bir yetkili DNS sunucusu kullanmanın güvenlik avantajlarıyla DNS ad alanlarınızın sorumluluğunu ayrı yöneticilere dağıtmanın yönetimsel ayrıcalıkları arasında bir seçim yapılmasını gerektirir. Bu etki alanları oldukça önemli DNS verileri içerdiğinden, bu sorun özellikle de özel bir DNS ad alanının üst düzey etki alanlarına temsilci atanırken önemlidir.
Daha fazla bilgi için bkz. Bölge Temsilcisini Anlama.
DNS bölge verilerini kurtarma
DNS verileriniz bozulursa, DNS bölge dosyanızı %systemroot%/DNS/Backup klasöründe bulunan yedekleme klasöründen geri yükleyebilirsiniz. Bir bölge ilk oluşturulduğunda, bölgenin bir kopyası yedekleme klasörüne eklenir. Bölgeyi kurtarmak için, özgün bölge dosyasını yedekleme klasöründen %systemroot%/DNS klasörüne kopyalayın. Yeni Bölge Sihirbazı'nı kullanarak bölgeyi oluşturduğunuzda, %systemroot%/DNS klasöründeki bölge dosyasını yeni bölgenin bölge dosyası olarak belirtin. Daha fazla bilgi için bkz. İleriye Doğru Arama Bölgesi Ekleme.
Bu işlem yalnızca AD DS'de depolanmayan standart bölgeler için geçerlidir.
Daha fazla bilgi için bkz. DNS Güvenlik Bilgileri.