Windows 2003安全性指南之强化域控制器二

核心提示： 导致一种DoS攻击，服务器磁盘空间可能被一个填满虚假记录的巨大区域文件耗尽，Windows 2003安全性指南之强化域控制器二(8)，或者由于增加了大量的记录项目而降低复制速度，使用安全的DDNS更新可以保证：只有当注册请求来自于 Active Directory 森林中的有效客户机时，您

导致一种DoS攻击，服务器磁盘空间可能被一个填满虚假记录的巨大区域文件耗尽，或者由于增加了大量的记录项目而降低复制速度。

使用安全的DDNS更新可以保证：只有当注册请求来自于 Active Directory 森林中的有效客户机时，请求才会获得处理。这大大限制了攻击者破坏DNS服务器完整性的机会。

因此，本指南推荐在其定义的三种环境下，将DNS服务器配置为仅接受安全的动态更新。

限制到授权系统的区域传送

由于区域（zone）在DNS中的重要角色，应当可以从网络中多台DNS服务器中访问它们，以便在解析名称查询时能够提供足够的可用性和容错能力。否则，如果名称查询被发送给区域中仅有的一台服务器并且该服务器没有响应，解析过程将失败。如果希望使用更多的服务器来托管一个区域，需要使用区域传输对配置为该区域宿主的每一台服务器上的区域副本进行复制和同步。

而且，如果没有在DNS服务器上对谁可以请求区域传输进行配置，则很容易将整个DNS区域传输给任何请求者。这一目的可以很容易地通过使用诸如nslookup.exe这样的工具来实现。这些工具可以暴露整个域的DNS数据集，其中包括以下信息：哪些主机被用作域控制器、目录集成的Web服务器、或者Microsoft SQL Server? 2000数据库。

因此，本指南推荐，在其定义的三种环境下，将集成DNS服务器的 Active Directory 配置为允许区域传输，但是将其限制在可以发出传输请求的系统中。

改变事件日志和DNS服务日志的大小

您应该确保环境中有足够的域控制器信息被记录和维护，这对于有效监视DNS服务至关重要。

您可以增大DNS服务日志文件大小的最大值，以便在遭受攻击时，为管理员提供充足的必要信息来完成审核。