1. Location:
  2. / Computer learning >> Computer læring >> system >> windows server >> Windows Server 2008 >>

ved at få de windows server - 2008 r2 navn resolution policy tabel (nrpt)

, indledningen, ville det ikke være rart at have en metode, som de kan bruge til at kontrollere det, dns - server er anvendt af dns kunde baseret på fqdn eller andre kriterier, der inden for gruppen politik?sådanne træk vil udvide deres client-side navn resolution muligheder ved at tillade, at kunden til at anvende dns servere konfigureres på systemer "nic (s), eller bruger forskellige dns - servere, der er baseret på fqdn, dns suffiks, dns præfiks ipv4 net id, ipv6 - netværket id eller noget andet.du kan gøre det på en begrænset række scenarier, ved at udnytte de navn resolution policy tabellen med windows server - 2008 r2.,, nrpt definerer dns klient adfærd baseret på spørgsmål, der er stillet af dns klient.hvis kunden er et spørgsmål af en fqdn, denne forespørgsel vil blive sendt til dns - server forefindes på kundens nic.hvis kunden er et spørgsmål af en anden fqdn, denne forespørgsel vil blive sendt til et andet dns - server, ikke forefindes på kundens nic, men på grundlag af en indgang i nrpt.faktisk, windows 7 og windows server - 2008 r2 benytte sig af denne mulighed for at kontrollere, hvad dns servere anvendes, og hvilke dns klient adfærd bør være baseret på forespørgslen om i deres gennemførelse af dnssec og directaccess.,, før dns klient spørgsmål en dns spørgsmål, det vil kontrollere med den nrpt for at se, om den bør fastsætte et flag på anmodning.efter at have modtaget et svar fra dns - server, dns klient vil tjekke igen for at se, om der er andre krav vedrørende forarbejdning, inden vi går videre.hvis der ikke er nrpt konfigureret til kunden, så kunden vil bruge dns - server om tænkte på dens nic til at sende dns forespørgsler, og der er ingen særlig behandling af dns, enten før eller efter forespørgslen er sendt, for at få en bedre idé om, hvad du kan gøre i nrpt, lad os tage et kig på den nrpt indstillinger i active directory - koncernens politik.du kan finde dem ved åbning af gruppens politiske redaktør og navigation, computersystem. politikker. vinduer indstillinger. navn resolution politik, som vist i nedenstående figur.,,,,, figur 1,,, i den rigtige side af panelet vil du se nrpt konfiguration grænseflade, som det fremgår af figur nedenfor.,,,,, figur 2, lad os nu undersøge de muligheder og se, hvordan de er vant til at få en nrpt indrejse., i, at der er en del af namespace er denne regel?- du beslutte, om du vil have den regel, der gælder for et suffiks,,,,, fqdn præfikset,,,, undernet (ipv4), et undernet (ipv6), eller noget.hvis du vælger "nogen", så alle forespørgsler vil blive kontrolleret af den politik, som de, der er fastsat for denne nrpt indrejse.i dette eksempel, vi har valgt, suffix mulighed og ind i en dns suffiks, ipadsux. org.,, det næste valg er, certificeringsmyndighed (fakultativ), hvori der.det er der, når du bruger nrpt for en dnssec indsættelse.dnssec er en metode, som de kan bruge til at sikre, at dns forespørgsler og svar er gjort på en sikker måde, og at dns kunder kan autentificere dns servere til spørgsmål, der er stillet for værter i specifikke områder.kan du klikke, browse knap for at finde en ca - certifikat, at du vil have det dns klient til at stole på, når bekræftelse af dns - server i en dnssec deployering.,, der er to tabletter, som du kan bruge til at skabe denne regel for nrpt:, dnssec, tab og, dns indstillinger til directaccess,.når vi skaber den regel, kun bruge én af disse tekniske vurderingsorganer på et tidspunkt.i almindelighed er det bedre at bryde reglerne, at dnssec regler fra directaccess regler; dette gør det lettere at holde styr på og klar uafhængigt, hvis du har brug for at gøre det, om, dnssec, tab, som vist i nedenstående figur, du har følgende muligheder:,,,,, at dnssec i denne regel, når dette er aktiveret, forespørgsler, for fqdn angivet ovenfor, vil kræve anvendelse af dnssec., kræver dns kunder for at kontrollere, at navn og adresse data er blevet valideret af dns - server:, at denne værdi kontrollerer, hvordan dns klient processer dns forespørgsler; det lægger ikke eksportkontrol på dns - server opførsel eller konfiguration af et "stol på anchor" (anvendes ved dnssec at sikre zoner) om dns - server.hvad det gør, er at fortælle dns kunder for at kontrollere "bekræftet data" i dns svar tilbage af dns - server for dns forespørgsel udstedt af kunden.hvis "bekræftet data" er ikke fastlagt (hvilket bekræfter, at respons er ikke valideret) dns klient vil falde på og overveje de spørgsmål, som mislykkedes.,, anvendelse ipsec i kommunikationen mellem dns klient og dns - server,: denne valgmulighed fortæller klienten, om der bør etableres en ipsec forbindelse mellem sig selv og dns - server før udstedelse af dns forespørgsel og modtager dns søge svar.hvis du vælger at ipsec at sikre kommunikation mellem dns klient og serveren, så har du flere valgmuligheder med hensyn til, hvordan vi skal sikre sammenhæng: uden kryptering (integritet), lav: 3des aes (128, 192, 256), medium: aes (128 192256), eller højt: aes (192256).den "kryptering" mulighed omfatter maskine, autentificering og dns forespørgsel trafik vil gå i orden.hvis du vælger en kryptering mulighed, ipsec forbindelse vil både blive bekræftet og krypteret ved hjælp af niveauet af kryptering, du vælger, og det støttes af kunden og server.,,,,,,,,,,, figur 3, efter at deres dnssec konfiguration, udvælgelse, kan man se den, ajourføre, knap, - - og så se nrpt indrejse i, navn resolution policy tabel som vist i nedenstående figur.bemærker, at der er to knapper i tabellen:, slette artikel og redigere regel.disse knapper anføres, når du klikker på linjen på bordet i reglen af interesse.hvis du ønsker at ændre den regel, tryk, redigere regel, button.hvis du ønsker at slette den regel, tryk, slette artikel, button.det er ret nemt.figur 4,,,,,,,, så lad os undersøge mulighederne for og dns indstillinger til directaccess,.bemærker, at der er en mindre stavefejl i denne gruppe policy object konfiguration side.directaccess bør være et ord, men som er opført som to ord, udtryk, flere gange i denne konfiguration grænseflade.jeg fortalte tom om det, og nu er det hans problem:), bemærker, at hvis man ønsker at skabe en ny regel, bør de tryk, klar, knap og konfiguration i fra, som en del af namespace er denne regel, afsnit og, certificeringsmyndighed, afsnit.så kan du klikke, skabe, knap til at skabe denne nye bestemmelse og anvendelse, redigere regel, knap til at foretage ændringer, hvis du vil.,, de muligheder, du har her, omfatter:,,,,, at dns indstillinger til direkte adgang (sic) i denne artikel,: denne valgmulighed tænder dns indstillinger konfigureret til directaccess kunder.,, web fuldmagt (valgfrit): dette er en interessant mulighed, som kan have forskellige betydninger.dette synes dog ikke dokumenteres, så anbefaler jeg, at du undgår denne mulighed, indtil denne dokumentation er til rådighed.,, ipsec: anvendelse ipsec i kommunikationen mellem dns klient og dns - server: denne mulighed giver de samme muligheder, som ipsec valg set tidligere.du har de samme muligheder, som omfatter ingen kryptering, lav, middel og højt.,,,,,, fig. 5,,, der er en mere dialog kasse, der er af interesse, hvis de anvender en vinduer directaccess løsning.klik, avancerede globale politiske indstillinger, knap til at afsløre denne dialog kasse, som vist i nedenstående figur.,,,,, figur 6, denne dialog rubrik afslører tre dele:,,,, netværk, hvor afhængighed,,, søge i fiasko,,, søge i resolution,,,,,,,, - netværket placering afhængighed, valgmulighed giver dem mulighed for at forme roaming muligheder.den misligholdelse, lad net - id (nid) bestemme, hvornår direkte adgang (sic), der skal anvendes.det er en udokumenterede løsning, men jeg mener, at det er forbundet med, hvorvidt kunden er i stand til at forbinde en vis indtægt på corpnet at afgøre, hvilke dns indstillinger til anvendelse, når kunden handler som en directaccess klient.hvis kunden opdager, at det er på nettet, det vil anvende dns indstillinger forefindes på sin nic.hvis directaccess klient er ikke i stand til at forbinde en ressource, som er beliggende på corpnet, så directaccess klient forudsætter, at det er af net og vil bruge directaccess indstillinger til navn beslutning.det er imidlertid et gæt, eftersom disse miljøer er udokumenterede på dette tidspunkt.,,, du ikke, alternativ definerer, hvordan navn beslutning skal behandles, hvis der er dns navn forespørgsel fiasko.hvis du vælger det, få spørgsmål, manglende muligheder, afkrydsningsfelt, standardindstillingen er altid tilbage til at forbinde de lokale multicast navn beslutning (llmnr) og netbios, hvis navn ikke findes i dns, eller hvis dns servere er væk, når en privat net (moderat sikre).det tillader brug af lokale navn beslutning om et privat net, når de corpnet dns servere er utilgængelig for den directaccess klient.,,, søge i resolution, del er også interessant.igen, hele denne dialog rubrik ikke er dokumenteret, men jeg tror, at vi kan finde ud af det.når du vælger det, få spørgsmål beslutning muligheder, afkrydsningsfelt, du har to muligheder:, kun løse ipv6 adresse for navne (anbefales), og løse begge ipv4 og ipv6 - adresser for navne.det er interessant, fordi directaccess klient forbindes til ressourcer på corpnet over en directaccess forbindelse benytter kun, ipv6 - adresser, som alle meddelelser fra directaccess klient til corpnet er ipv6 kommunikation – ipv4, er aldrig bruges, når directaccess klient forbindes med corpnet.måske er det derfor, den er anbefalet.,,, løse begge ipv4 og ipv6 - adresser for navne, virker ikke til at give mening i forbindelse med de facts directaccess klient som anført ovenfor.men det betyder, at man kan anvende ipv4 for lokale navn beslutning eller navne, der ikke behandles af nrpt?jeg tror, vi bliver nødt til at vente på microsoft at skabe en dokumentation af denne konfiguration side, før vi træffer hårde og hurtige beslutninger om nytten af disse indstillinger.,, alt dette kan være et ubetydeligt spørgsmål, men som tom siger, at når der uag for din directaccess løsning, uag håndtag konfigurationen af den nrpt og leverer de rigtige indstillinger til directaccess klienter, der bruger en gpo er det kun anvendes til directaccess klient computere, som er medlemmer af en sikkerhed, som gruppen til posthuset er anvendt.så, når vi arbejder med uag directaccess, behøver du ikke at beskæftige sig med denne dialog.men det ville være rart at få lidt dokumentation for manglende indstillinger.,,,,, i denne artikel, du blev indført for at navnet resolution policy tabel (nrpt) og nogle af de muligheder, der findes i de nrpt konfiguration.den nrpt gør dig i stand til at vælge navn resolution opførsel på dns klienter, afhængigt af indstillingerne i tabellen.de to primære scenarier, hvor nrpt anvendes omfatter miljøer er konfigureret til at støtte dnssec og directaccess.dnssec er en metode, som de kan bruge til at få dit navn resolution infrastruktur, og directaccess er en ny fjernbetjening teknologi, som gør det muligt for computere, tilslutning til den corpnet fra steder uden en vpn - forbindelse.vi vil følge op på denne artikel ved at gå i yderligere detaljer om dnssec, og hvordan man kan bruge og konfigurere dnssec til jeres firma resolution infrastruktur i en kommende artikel.se dig senere!– deb.,









Previous:
Next Page: