我刚刚接受了一份工作,担任当地一家小企业的新系统管理员。他们有一个非常老旧的 DNS 服务器(已有 8 年历史),运行 Windows Server 2000。该服务器为大约 20 到 30 个客户端提供访问。我们想升级到新服务器,但在此之前,我想了解一下如何更换旧的 DNS 服务器,因为这是我第一次这样做。显然,安全性是必须的,我熟悉使用 Active Directory,但从未从头开始设置过。
我具体要寻找的是:
- 哪些安全漏洞常被忽视
- 关于要做什么的基本概述(或在哪里可以找到概述)
- 初始设置的最佳做法
答案1
由于那是 2000 年,因此 AD 树本身的正向查找域很可能是一个集成区域。将其添加到新服务器就像 DCPromo 一样简单,只需设置一个新的域控制器、添加 DNS 服务并将其带过来。然后就是更新每个人的 DNS 设置(DHCP!)的乐趣。
安全方面,有几个方面:
- 限制区域传输。您希望将区域传输限制到仅需要它的机器。如果您仅使用 AD 集成服务器来提供 DNS 服务,则无需这样做根本。我们有 BIND 服务器,我们将其用作 AD 域 DNS 的辅助服务器,因此它们在我们的区域传输列表中。您可能没有。
- 限制动态 DNS。开箱即用,AD 允许(或者在 2000 年允许)未经身份验证的动态 DNS 更新。这是最兼容的选项,但它确实存在一个重大的安全漏洞。强烈建议将其设置为“仅安全更新”。
- 验证 DNS 更新权限。检查您区域的“安全”选项卡,确保权限设置正确。谁知道 8 年前设置的内容是否仍然有效。