在Win2000下实现动态DNS的安全考虑

核心提示： 第二种可能的配置是DHCP服务器更新正向和反向查找，在这种情况下，在Win2000下实现动态DNS的安全考虑(2)，DHCP服务器同时拥有A记录和PTR记录的所有，第三种可能的配置是DHCP服务器被配置为不执行动态更新，如果网络中有服务器运行低于8.1.2的BIND版本，则必须使用主要/辅

第二种可能的配置是DHCP服务器更新正向和反向查找，在这种情况下，DHCP服务器同时拥有A记录和PTR记录的所有。　

第三种可能的配置是DHCP服务器被配置为不执行动态更新，在这种情况下，客户端将更新A记录和PTR记录，同时也就拥有记录的所有权。　

1.2 Windows2000混杂模式　

在一个混杂模式的环境下，DHCP客户端不能在DNS下注册。所谓混杂模式即网络除Windows2000服务器、客户端外同时存在有WindowsNT4.0或Windows98客户。　

先前的客户端，如WindowsNT4.0和Windows9x不能直接通过DNS注册。因为只有DHCP服务器可以通过DNS注册记录，在混杂环境中唯一的选择是让DHCP服务器注册A记录和PTR记录，在这种情况下，服务器拥有正向和反向查找记录的所有权。　

1.3 安全动态更新　

在Windows2000网络中，只有当活动目录与DNS区域集成时，安全动态更新才可用。安全动态更新意味着什么呢？在Windows2000中，它意味着用活动目录的ACL制定用户和组的权限来修改DNS区域和/或它的资源记录。为允许更新DNS区域和/或它的资源记录，除ACL外，动态更新也使用安全通道和认证。　

[M$]Windows2000支持使用IETF草拟的"GSS Algorithm for TSIG "（GSS-TSIG）算法进行安全动态更新。这个算法使用 Kerberos v5 作为优先的认证协议，GSS-API在RFC2078中有定义。　

2.0 区域　

2.1 区域的类型　

Windows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。　

主要和辅助区域的功能与在Unix和NT4.0环境下一样。另外，DNS数据库与其它数据库如WINS和DHCP保持独立，复制是从其它复制服务中独立设置。如果网络中有服务器运行低于8.1.2的BIND版本，则必须使用主要/辅助区域，因为在早先的版本中不支持动态更新。