, het netwerk, de ruggengraat van de DNS is communicatie.Je zal moeten leren je niet DNS netwerk van alle klanten en het IP - adres van de server.Dat is wat je kan doen in 1985 ding, maar het is niet realistisch, omdat we in de 21e eeuw tien jaar een tweede.DNS is belangrijker is dat we langzaam uit de IPv4 naar IPv6.En een getalenteerde beheerder kan herinneren met adressen van tientallen of zelfs honderden servers, dat zal niet gebeuren met het IP - adres van IPv6; op nummer 128 bit.IPv6 is je bewustzijn DNS terug naar de grens.,, omdat de DNS zal nog belangrijker is, je moet er voor zorgen dat je de DNS server oplossing is veilig.Historisch gezien, heeft een groot aantal DNS inzet van volledig vertrouwen.Hier is een stilzwijgend vertrouwen, DNS cliënt kan vertrouwen DNS server en een absoluut vertrouwen, registratie van de cliënt terug DNS server DNS geldig is.En deze "gentlemen 's Agreement" goed en in de afgelopen decennia, is de tijd, we moeten ervoor zorgen dat de informatie verstrekt door de DNS server beschikbaar is, een client /server - DNS communicatie is veilig.,, en daar ben ik Windows server 2008 R2 DNS server denken.Windows server in 2008 R2 DNS server van een nieuwe functie, kan je het gebruiken om je de DNS - infrastructuur van de algemene veiligheid.Deze maatregelen omvatten:,, de uitbreiding, de DNS (dnssec), in de akte van overdracht van controle - en DNS cache - DNS, kom het zwembad,,, in dit verslag, en ik zal je voorzien van al deze functies in het kort en hoe ze te gebruiken om te komen tot een meer veiligheid van De DNS - netwerk.De uitbreiding, veiligheid, DNS (dnssec),,, dnssec is een groep van door de Internet engineering Task Force (DNS) specificaties voor de gegevens niet zijn gecertificeerd en de integriteit van de gegevens (,, de vertrouwelijkheid van de gegevens).De doelstelling is te voorkomen dat er vervalste dnssec DNS informatie (bijvoorbeeld DNS cache.), het gebruik van de digitale signatures.dnssec is eigenlijk een groep nieuwe elementen toegevoegd aan de klant /server DNS, bijdraagt tot de verbetering van de veiligheid van de DNS - overeenkomst.De belangrijkste functie: aangewezen in dnssec, 4033, met RFC 4034, RFC 4035,,, de invoering van een nieuwe manier van de terminologie en de technologie, van de cliënt en de server.Bijvoorbeeld, dnssec voegt vier nieuwe DNS middelen opnemen:,,, DNSKEY, rrsig nanoseconde ds,,, Windows server 2008 R2 te bereiken,,, Windows server 2008 R2 en Windows 7 is de eerste steun dnssec besturingssysteem van Microsoft.Je kan nu ondertekend en de ontvangende regio dnssec ondertekend tot verhoging van de infrastructuur op het niveau van de veiligheid.De volgende in Windows server 2008 R2 dnssec relevante kenmerken:,, het tekenen van een regio, de capaciteit (d.w.z. met digitale handtekeningen), voorgezeten door de ondertekening van de overeenkomst voor het vermogen van regio 's en dnssec nieuwe steun voor de DNSKEY, nieuwe steun rrsig nanoseconde, en ds, middelen, en dnssec kan opnemen. De autoriteit toe te voegen aan de bron (erkenning en DNS informatie aan de cliënt van de verificatie van de DNS), de integriteit van de gegevens (om ervoor te zorgen dat de gegevens niet worden gewijzigd), en de certificering van ontkenning van DNS (ondertekend op bevestigen de gegevens niet bestaan).,, Windows 7 en de server 2008 R2 DNS cliënt, de verbetering van de,, behalve in Windows server 2008 R2 DNS server bijgewerkt in Windows 7 DNS cliënt een verbetering (met inbegrip van Windows server in 2008 R2 in de DNS - service aan de klant):,,, mededeling van de Commissie in de DNS dnssec bewustzijn (dit is als je besluit om gebruik te maken van de ondertekening van de behandeling), DNSKEY eisen, rrsig nanoseconde, capaciteit, en ds middelen opnemen.En als het vermogen om DNS server en een onderzoek om na te gaan of de cliënt DNS.,,,,, en nrpt dnssec, als je met je vertrouwd te maken met de technologie, kan in feite de naam strategie dnssec (tabel geïnteresseerd nrpt).In verband met het gedrag van de cliënt is door de DNS dnssec nrpt.De nrpt maakt je tot een beleid op basis van de vraag van de route.Bijvoorbeeld, je kunt ophouden nrpt DNS server zendt de verzoeken, de contoso. COM, 1, en alle andere gebieden van de vraag naar het adres van de klant van de toewijzing van de DNS server netwerk interface.Je nrpt in de groep van de configuratie.De definitie van de nrpt ook worden gebruikt om de namespace dnssec, zoals uit de volgende grafiek 1 zien.,,,,,,, figuur 1, hoe begrijpelijk dnssec werkt,,, een van de belangrijkste kenmerken van het geheel is, kan je het tekenen van een DNS - betekent dit dat alle regio 's van De opname, district hebben ondertekend de klant kan. Door het gebruik van een digitale handtekening toegevoegd aan de middelen om te bevestigen dat ze geldig is geregistreerd.Dit is een typisch voorbeeld van wat je ziet in andere plaatsen, heb je de inzet van diensten afhankelijk zijn van de PKi -.De cliënt kan controleren of de reactie geen gebruik maken van de openbare /particuliere sleutel voor de verandering.Om dit te bereiken, moet de cliënt is ingericht voor het vertrouwen van de handtekening van de handtekening in.,, nieuwe Windows server 2008 R2 dnssec steun zodat je handtekening op basis van activiteiten en de catalogus van geïntegreerde regionale - door middel van off - line - handtekening instrumenten.Ik weet dat er een grafische gebruikersinterface is makkelijk, maar ik denk dat Microsoft geen tijd meer, of dat er niet voldoende mensen zijn echt gebruik maken van de functie, de inspanningen om het de moeite waard is, voor het creëren van een geschikte grafische interface, de ondertekening van een regio.Bij de ondertekening van het proces zijn off - line.In de regio is ondertekend, ook door andere DNS server van het gebruik van de methode van indiening van typische regionale voorgezeten.,, bij de toewijzing van een anker, vertrouwen, DNS server kunnen controleren of de dnssec reactie namens de cliënt ontvangt.Echter, om te bewijzen dat een DNS antwoord is goed, je moet weten dat ten minste een sleutel of van andere gegevens dan de DNS ds is de juiste.Het uitgangspunt van het vertrouwen van deze bekend als anker.,, in Windows 7 en Windows server 2008 R2 DNS cliënt een andere verandering is dat het als een gevoel van veiligheid. De kaartjes.Dit betekent dat de klant, laat de DNS server voor de verificatie van de veiligheid van het verbruik, maar zal dat de resultaten van de uitvoering van het werk door de DNS server.DNS cliënt gebruik om te bepalen wanneer de resultaten van de verificatie van de nrpt controleren.Na de bevestiging van de reactie van het geldig is, zal de vraag naar de resultaten van de toepassing van de vraag, waardoor de.,, gebruik en dnssec ipsec, en, in het algemeen, het gebruik van de machine) om ervoor te zorgen dat alle betrokken bij je voor het beheer van het netwerk, de communicatie tussen een goed idee is.Dit is een van de redenen is, het is heel gemakkelijk de indringer van netwerk van software, in uw netwerk en het onderscheppen van en het lezen van een niet - de versleuteling van de inhoud van de draad.Maar als je je moet aandacht worden besteed aan de volgende dnssec, als je je ipsec strategie:,, de veiligheid, het gebruik van de cliënt en dnssec DNS server met elkaar zijn verbonden.Heeft twee voordelen: ten eerste, het gebruik van de cliënt en de encryptie - DNS server DNS - tussen en ten tweede, is het mogelijk dat de cliënt of de identiteit van de DNS server, dit helpt ervoor te zorgen dat de DNS server is een geloofwaardige machine in plaats van een gangster.Je moet afzien van TCP 53 van haven - en UDP Port 53 van uw domein van de strategie.Dat is omdat het domein ipsec strategie gebruikt op basis van certificering en dnssec niet zal uitvoeren.Het uiteindelijke resultaat is, zal de klant niet 埃库 verificatie en uiteindelijk de DNS server niet vertrouwen, DNS, decentralisatie, de controle, de decentralisatie, DNS kunnen al in de ramen DNS cliënt al een lange tijd.Nee, dat betekent niet dat het systeem van de evolutie.Decentralisatie van de macht, die uw cliënt computer is een van de middelen die de toegang tot het gebied waarin de vader niet nodig om de middelen van de lidstaten een.,, als, bijvoorbeeld, de cliënt gebruikt de belangrijkste DNS, corp.contoso.com, de decentralisatie is een decentralisatie van de toepassing van de twee procedures op het niveau van De gastheer, willen vragen: de server, zal proberen op te lossen.,,,,,, server1.corp.contoso.com, server1. Corp.com,,,, dat we niveau vastgesteld voor twee, wanneer er sprake is van een domeinnaam twee etiket decentralisatieproces stoppen (in dit geval, corp.com), en nu, als die drie is de decentralisatie, de decentralisatie zal het proces stoppen server1.corp.contoso.com, met ingang van 1. Contoso. C.Om alleen in het domein van twee tabletten (contoso. COM.), echter op de opening van de overdracht van niet - gebied actief:,,, dit is een lijst van de door de groep van de verdeling van het suffix zoeken.De cliënt geen extra suffix, moeder van de primaire DNS vakje selectie geavanceerde TCP /IP instellingen voor DNS - etiket van IPv4 en IPv6 Internet Protocol (TCP /IP) cliënt Computer netwerk verbonden kenmerken, zoals aangegeven in figuur 2.Door de decentralisatie is de moedermaatschappij van het suffix.,,,,,,,, 2, de vorige versies van de ramen van een doeltreffende decentralisatie van de twee niveaus.Wat is de nieuwe Windows server 2008 R2 is kan je nu eigen definitie van decentralisatie, zodat je in die Gids van de grenzen van de regio meer controle, als domeinnaam klanten proberen op te lossen.Je kan het gebruik van de groep van instellingen gedecentraliseerd niveau, zoals in figuur 3 (zie hieronder, de toewijzing van het beheer van het netwerk en de computer model, en beleid en DNS cliënt),,,,,,,, figuur 3, DNS cache, zijn afgesloten, sluit in Windows server 2008 kan worden gecontroleerd, met inbegrip van de R2 voor DNS cache het vermogen van de informatie.Als de DNS cache - DNS server zijn geregistreerd, mogen niet onder de overlevingstijd (TTL) waarde van de duur.Dit draagt bij tot de bescherming van uw DNS cache vergiftiging.Je kan ook pas voor het corrigeren van de sloten, als DNS server. De voor de uitvoering van het verzoek ontvangen de Bug, DNS cache van de resultaten van onderzoek naar de informatie voor het verzenden van verzoeken van machines.Zoals alle cache oplossing, en het doel is om de DNS server en de follow - up van het verstrekken van informatie op verzoek van zijn, zodat het niet de tijd om te vragen.DNS server informatie om voor een bepaalde door de middelen van de DNS server records zijn ttl definitie van de tijd.Echter, de voorraad is voor informatie van de middelen van de DNS server opgenomen als nieuwe informatie is ontvangen, is het mogelijk.Dit is een plaats delict, als de aanvaller probeerde te vergiftigen, kan je de DNS cache.Als de dader duwde terug kunnen keren, giftige valse informatie stuurt klanten zijn klanten de aanvaller DNS server, die zijn afgesloten, voor. Het percentage van de toewijzing van de ttl.Bijvoorbeeld, als zijn gesloten voor een waarde van 25, zo DNS server niet voor een voorraad aan middelen opgenomen definitie van de ttl 25% van zijn tijd is voorbij.De standaard is 100, wat betekent dat de hele ttl moet in zijn gegevens kunnen worden bijgewerkt.- sluit de waarde is opgeslagen in een register, cachelockingpercent.Als de sleutel er niet is, dan de DNS server gebruik zal maken van de standaard - sluit de waarde van 100.Toewijzing van geld - waarde is de eerste keus voor de door de Dnscmd commando - instrument.In figuur 4, kunnen zien hoe de toewijzing van geld op het monster.% van de waarde van 0 tot 100.,,,,,,, figuur 4, zwemmen in Windows server 2008 R2 DNS, kom het zwembad, oké, dus je kan niet in een kom het zwembad zwemmen.Maar wat je kunt doen met Windows server 2008 R2 DNS kom het zwembad DNS server gebruikt als bron van een haven: DNS.Waarom zou je dat doen?Omdat de bron van de haven van randomisatie voor bepaalde soorten cache vergiftiging aanvallen te beschermen, zoals de hier beschreven.De eerste, herstel, met inbegrip van een standaard, maar in Windows server 2008 R2 kan aanpassen, kom het zwembad wordt voorkomen, de bron van de haven. De randomisatie DNS cache. Aanvallen.De bron van de haven van gerandomiseerde, DNS server worden willekeurig gekozen uit een bron van de haven van beschikbare slots in het zwembad, het opent de dienst beginnen.Dit helpt om te voorkomen dat de verificatie van de identiteit van de dader niet op afstand gestuurd op verzoek om speciale DNS vergiftiging DNS cache en de toezending van de plaats van de aanvaller is onder de controle van de ramen,., DNS server versie vóór gebruik wordt gemaakt van een voorspelbare bron van een verzameling van de haven DNS vraag.Met de nieuwe DNS kom het zwembad, DNS server zal gebruik maken van een willekeurig gekozen haven, kom het zwembad uit.Dit maakt de aanvaller denk dat de bron de DNS - vraag is veel moeilijker.Met het oog op de verdere om te voorkomen dat de aanvaller, een willekeurige handel logo worden toegevoegd aan de gemengde, waardoor het nog moeilijk uit te voeren zijn vergiftiging aanvallen.Maar als je wil dat dingen moeilijker kan je de aanvaller, verbetering van de waarde van het is 10.000.In het zwembad meer zit, het is moeilijker om te raden welke stopcontact gebruikt zal worden, zodat de cache. De aanvaller was.Aan de andere kant, je kunt ophouden zwembad waarde nul is.In dat geval, heb je een stopcontact kan worden gebruikt voor de waarde van DNS, dat wil je echt niet doen.Je kan zelfs de toekenning van bepaalde havens in de tank wordt uitgesloten, zoals de DNS cache.,, kom het zwembad gebruiken. Dnscmd, gereedschap.De grafiek toont aan dat je een voorbeeld van het gebruik van standaardwaarden.,,,,,,, figuur 5, geeft een overzicht van de in dit artikel in, we gaan een aantal nieuwe elementen, met inbegrip van Windows server in 2008 R2 en Windows 7 DNS server en de verbetering van de veiligheid van je cliënt van De prestaties van de DNS - infrastructuur.De combinatie van de overdracht in het geheel, de verbetering van de controle, en het verbeteren van de veiligheid van de DNS cache DNS, kom het zwembad zijn die een dwingende reden om je DNS server Windows server 2008 R.,