共用方式為

纜線的 Scripting Guy:Windows 7 和 Windows Server 2008 R2 中 DNS 用戶端服務的變更

  • 發行項

Joseph Davies

網域名稱系統 (DNS) 的用戶端服務,Windows 7 和 Windows Server 2008 R2 中有幾個新的關鍵因素:

  • 名稱 devolution 行為的變更
  • 名稱解析原則資料表 (NRPT)
  • DNS 安全性 (DNSSEC)

瀏覽每一種詳細資料中,可以幫助您更有效率且有效率地使用 DNS。

名稱 Devolution 表現方式的變更

名稱 devolution 是的 DNS 用戶端服務,可讓指定單一標籤]、 [不合格的名稱,而非其完整格式的網域名稱 (FQDN) 的資源的 Active Directory 網域服務 (AD DS) 使用者的 Windows 中的行為。 在啟用名稱 devolution Windows 電腦 ’s 主要網域尾碼的部份會附加至單一標籤名稱,以及針對產生的 FQDN 傳送個別的 DNS 查詢。

就例如 corp.contoso.com 網域成員的電腦上的使用者可以使用名稱 server1 和名稱 devolution 自動查詢 server1.corp.contoso.com 和使用者 ’s 代表 server1.contoso.com。

只為主要網域尾碼,就會發生名稱 devolution。 它不會發生時的連線特定的 DNS 尾碼,或您設定全域尾碼搜尋清單沒有主要的網域尾碼。

在 Windows 之前,Windows 7 和 Windows Server 2008 R2 的版本名稱 devolution 會繼續第二層網域名稱,主要的網域尾碼。 就例如如果電腦是 wcoast.corp.contoso.com 網域的成員,且您在命令提示字元中輸入 ping server1 DNS 用戶端服務會將傳送 server1.wcoast.corp.contoso.com、 server1.corp.contoso.com,和 server1.contoso.com 個別的 DNS 查詢。

devolution 層級是名稱 devolution 的停止的主網域尾碼的標籤數目。 Windows 之前,Windows 7 和 Windows Server 2008 R2 的版本,而不需 Microsoft 安全性諮詢 971888:DNS Devolution 安裝,名稱 devolution 層級的更新是 2,和您 can’t 設定該層級。 而這就是問題所在,

Devolution 層級 2 的安全性問題

層級 2 的 devolution 網際網路名稱的新的型別會導致已加入網域的電腦與網際網路上的惡意電腦連接。 就例如如果電腦 ’s 主要網域尾碼是 westcoast.corp.contoso.co.us,且使用者嘗試連線到 server1 DNS 名稱 devolution 至層級 2 將會嘗試下列名稱:

  • server1.westcoast.corp.contoso.co.us
  • server1.corp.contoso.co.us
  • server1.contoso.co.us
  • server1.co.us

嘗試姓氏,server1.co.us,超出 Contoso 公司的控制項中。 如果有人已經登錄 server1.co.us,DNS 名稱解析會成功,而且電腦會嘗試連線。 如果 server1.co.us 伺服器的擁有者是惡意的他可以嘗試欺騙內部網路伺服器。

新的名稱 Devolution 表現方式

新的預設行為,如 DNS devolution 封鎖的可能性。 這裡 ’s 與執行 Windows 7、 Windows Server 2008 或先前的 Windows 版本的電腦的運作方式 Microsoft 安全性諮詢 971888:DNS Devolution 安裝更新:

  1. 如果在 AD DS 樹系根網域中的標籤數目是其中一個,或主要 DNS 尾碼並不會結束與樹系根網域 devolution 將會停用。
  2. 如果主要 DNS 尾碼會結束與樹系根網域,devolution 層級是樹系根網域中設定標籤的數字。

就例如如果電腦是 westcoast.corp.contoso.co.us 網域的成員,而且樹系根網域名稱是 corp.contoso.co.us devolution 層級也會是 4 (corp.contoso.co.us 的標籤數目)。 如果電腦是在 westcoast.corp.contoso.com 的成員,而且樹系根網域名稱是 corp.contoso.co.us devolution 已停用 (westcoast.corp.contoso.com 並不會結束與 corp.contoso.co.us)。 這項預設行為可確保 devolution 層級不會導致以嘗試解決的組織控制項以外的名稱。

以手動方式也可以 devolution 層級設定主要 DNS 尾碼 Devolution 層級群組原則設定。 如果您以手動方式指定 devolution 等級,不過,請注意這個 devolution 層級值所做的變更可能會影響您的用戶端電腦能夠解析網域中的資源名稱。 如果您設定太高的 devolution 等級,名稱 devolution 可以損傷。

就例如如果電腦是 wcoast.corp.contoso.com 的成員,而當使用者嘗試連線到 server1,4,設定 devolution 層級再 server1.wcoast.corp.contoso.com 是嘗試唯一的 FQDN。 如果 server1 伺服器的 FQDN server1.corp.contoso.com 使用者必須使用 server1.corp.contoso.com FQDN,而非 server1。

設定名稱 Devolution 表現方式

您可以啟用名稱 devolution 從 DNS 索引標籤的 TCP/IPv4 或 TCP/IPv6 通訊協定的進階屬性。 [圖 1] 為範例。

Figure 1 DNS devolution settings on the DNS tab

圖 1 DNS devolution [DNS] 索引標籤上的設定

當您按一下 附加主要及連線特定的 DNS 尾碼 ,並選取 附加主要 DNS 尾碼的父系尾碼 名稱 devolution 如此。

您也可以設定名稱 devolution 與電腦 Configuration\Policies\Administrative Templates\Network\DNS 用戶端在下列的 [群組原則] 設定:

  • 主要 DNS 尾碼 Devolution 層級

未設定 ,但層級 2 的預設設定。 您也可以設定這個設定,以 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\UseDomainNameDevolution (REG_DWORD) 登錄值 (1 啟用,0 停用)。

  • 主要 DNS 尾碼 Devolution

未設定 預設設定。 您也可以設定這個設定,以 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DomainNameDevolutionLevel (REG_DWORD) 登錄值。

如果已設定 [群組原則] 設定,本機登錄設定值會被忽略。 主要 DNS 尾碼 Devolution 層級和主要 DNS 尾碼 Devolution 設定套用到 與電腦的 Windows 來 Windows 7 或 Windows Server 2008 R2 之前的版本 Microsoft 安全性諮詢 971888:DNS Devolution 安裝的更新。

名稱解析原則表格

對於需要特殊處理的特定部分的 DNS 命名空間的名稱查詢的技術 Windows 7 和 Windows Server 2008 R2 包括名稱解析原則表格 (NRPT)]。 DirectAccess 和 DNSSEC 使用 [NRPT,如下列:

  • 在 [網際網路,DirectAccess 用戶端會將內部網路名稱的 DNS 查詢透過加密連線到 DirectAccess 伺服器傳送到內部網路的 DNS 伺服器。 在 [NRPT 規則指定命名空間的內部網路和內部網路的 DNS 伺服器的設定。
  • Windows 7 電腦驗證 DNS 伺服器,並確保 DNSSEC 驗證已執行驗證的 DNS 解析程式所指定的命名空間中,傳送 DNSSEC 為基礎的 DNS 查詢的名稱。 在 [NRPT 規則指定 DNSSEC 為基礎的查詢,以及是否需要 DNSSEC 驗證的命名空間。

NRPT 包含規則名稱或命名空間及所需的特殊處理的設定。 執行 DNS 名稱解析,DNS 用戶端服務會檢查之前傳送 DNS 名稱查詢和處理回應 [NRPT。 查詢和回應符合 NRPT 項目中取得指定套用的特殊處理。 通常會處理查詢和 NRPT 項目不符的回應。

您可以設定使用 [群組原則] (在 [電腦 Configuration\Policies\Windows Settings\Name 解析原則),NRPT,透過 Windows] 登錄或 DirectAccess 為基礎的項目使用 DirectAccess 安裝精靈。 群組原則 DNSSEC 為基礎的項目是設定的慣用的方法。 DirectAccess 為基礎的項目 DirectAccess 安裝精靈會設定的慣用的方法。

圖 2 顯示的 [NRPT 群組原則的設定。

Figure 2 Group Policy-based configuration of the NRPT

圖 2 群組原則設定的 NRPT。

如需詳細的資訊請參閱 名稱解析原則資料表 2 月 2010 Scripting 「 的纜線 Guy 」。

DNS 安全性

DNS 通訊協定 wasn’t 設計用來提供驗證或真實名稱解析回應的驗證。 在過去,各種類型的攻擊嘗試欺騙網際網路資源有利用這個缺乏安全性。

DNSSEC 是一套提供 DNS 資料傳送為網路流量,或快取下列的網際網路工程任務推動小組 (IETF) 標準 ([RFC] 4033,[4034 和 4035]):

  • **原點驗證:**確認為網路流量傳送回應來自預期的 DNS 伺服器。
  • **已驗證的拒絕存在:**回應找不到的名稱,這經過授權的 DNS 伺服器。
  • **資料完整性:**在轉送的過程中,未修改回應。

DNSSEC 使用公用金鑰密碼編譯,以提供這些安全性服務。 DNS 用戶端會傳送 DNSSEC 特定 DNS 名稱查詢,回應會包含隨附的數位簽章。 驗證的 DNS 解析程式 — 基於 Windows Server 2008 R2 的 DNS 伺服器,驗證簽章使用預先設定的信任錨定至授權的 DNS 伺服器的驗證鏈結中有起始的公用金鑰的電腦。

若要請 DNSSEC 如何運作的詳細資訊,請參閱 附錄 a:檢閱關鍵 DNSSEC 概念

關於部署 DNSSEC 執行 Windows Server 2008 R2 的 DNS 伺服器上的 [資訊,請參閱 的 安全的 DNS 部署指南 》

設定 DNS 用戶端服務,以使用 DNSSEC

您可以在 Windows 7 和 Windows Server 2008 R2 與 [NRPT 設定 DNS 用戶端服務的 DNSSEC 行為。 NRPT 區段,在這份文件,如需詳細資訊,請參閱。

圖 3 顯示 DNSSEC NRPT 規則中組態設定的值。

Figure 3 Enabling DNSSEC in an NRPT rule

圖 3 **啟用 DNSSEC] 中 NRPT 規則。  **

指定部分 NRPT 規則所定義的 DNS 名稱區,啟用 DNSSEC 的 啟用 DNSSEC] 在此規則中 使用。 然後,您可以要求以 的 需要 DNS 用戶端檢查名稱和地址的資料都經過驗證 的驗證。

您也可以指定 DNS 用戶端保護本身和 DNS 用戶端與 DNS 伺服器之間的通訊的 UseIPsec 與 DNS 伺服器之間的資料傳輸,然後再指定的保護類型。 您也可以指定憑證授權單位 (CA) 的 DNS 用戶端將會接受憑證 的 憑證授權單位 中執行 IPsec 驗證時 (請參閱 的 圖 2)。

Joseph Davies 網路書寫小組在 Microsoft Windows 上的主要技術作家。 他 ’s 作者和 coauthor 數由 Microsoft 請按包括 「 Windows Server 2008 網路及網路存取保護 (NAP),」 發行的活頁簿的 「 了解 IPv6、 第二版 」 和 「 Windows Server 2008 的 TCP/IP 通訊協定和服務 」

相關的內容