Windows_Server_2008_R2_网络架构-第04部分_DNSSEC、RRAS、DirectAccess配置和排错-精品.pptVIP

DNS及DNSSEC DNSSEC、DirectAccess配置和排错 域名介绍 DNS 的查询过程 安装“DNS server”服务 为客户机配置名称解析功能 创建区域，配置区域 区域委派 配置动态更新 对DNS 服务器进行维护和排故 域名称空间是一个命名方案，它为 DNS 数据库提供分层结构。DNS 名称空间的基本结构单元是域，每个域由若干主机构成。 根目录域位于 DNS 层次结构的顶部，它表示未命名的等级。 它有时显示为两个空引号 (“”)，以表示空值。在 DNS 域名中使用时，它由尾部句点 (.) 表示，以指定该名称位于域层次结构的最高层或根。 在这种情况下，DNS 域名被认为是完整名称并指向名称树中的确切位置。以这种方式表示的名称称作完全限定的域名 (FQDN)。 根目录域是顶级 DNS 域的授权机构。 FQDN 右边的第一个单词是顶级域名。 最初的 7 个顶级域和它们表示的资源如下： com 商业机构 edu 北美 4 年制授予学位的教育机构 gov 美国政府机构 int 根据国际条约建立的机构 mil 美国军事机构 net 网络机构 org 非商业机构 世界上大多数国家/地区用两个字母的顶级域名表示。如 cn 代表中国，de 代表德国 (Deutschland) 。 二级域是 FQDN 右边的第二个单词，表示属于特定个人、企业或其它机构的网络。 举例： 向 Internet 注册员注册了二级域名后，就可以在域中自由创建子域和主机了。 主机名是指在 Internet 或私有网络中特定的计算机或其它 TCP/IP 设备。 主机名是 FQDN 最左边的单词，它描述了主机在域的分层结构中的确切位置。 举例： 下列是一个有效DNS名称使用的字符: A-Z a-z 0-9 Hyphen (-) 静态的主机名解析是一种传统主机名解析方式，它将大量主机名与IP地址的对应关系存放在一个特定的静态数据库中，任何更新都需要管理员手工输入。 动态主机名解析会根据IP地址或主机名的变化，自动在对应的数据库作出更改，从而减少了管理负担 区域 区域文件 资源记录 活动目录集成区域的数据存储在 区域数据作为活动目录对象存储。 区域数据作为区域复制过程的组成部分被复制。 权威DNS服务器 指DNS服务器对一个DNS区域文件或区域文件副本具有权威控制权,也就是说对一个区域有权威的服务器 有权利对某个查询的结果说yes或no 非权威DNS服务器 不存储查询区域的区域文件 创建子域是为了更好的管理你公司的名字空间 通过授权，你可以进行下述工作 在一个机构内，将对DNS域的数据管理委托给若干各部门 委派在维护一个大型DNS数据库时发生的日常管理任务。 你可以指派不同的管理员管理子域中的DNS服务器。 动态更新的概述 配置动态更新 保护动态更新 DNS 动态更新协议允许客户机自动更新DNS服务器 转发器 缓存服务器 DNS名称解析常见的问题之一是客户端不能分辨合法和非法的DNS信息，这种漏洞被称作欺骗和中间人攻击。 DNSSECWindows Server 2008 R2和Windows 7之间，允许DNS服务器核查DNS记录是否来自单一的区域，并允许客户端和DNS服务器之间建立一种信任关系。 在受保护的DNS区域中的DNS记录包含了一组公共密钥，像DNS资源记录一样，从Windows Server?2008 R2的DNS服务器发送到Windows 7客户端上。 使用这种预配置信任关系，DNS服务器可以获取密钥对中的公共密钥，用于签名区域并验证从区域获取的数据。这种方法可以有效的防止对DNS查询的窃听，对不受信任的DNS服务器返回非法的DNS相应。 要部署DNSSEC的，需要按照以下步骤进行： 了解DNSSEC的重要概念 将DNS服务器升级到Windows Server 2008 R2 审查区域签名要求，选择密钥滚动机制，并确定计算机和DNSSEC保护区域的安全性 生成和备份为区域签名的密钥，确保DNS仍在运行，并在签名区域后回答查询请求 将信任锚分发到使用DNSSEC执行DNS验证的非授权服务器 为DNS服务器部署证书和Ipsec政策 配置NRPT设置，并向客户端计算机部署Ipsec政策 实验4-1 Windows Server 2008 中的 DNS 增强功能 RRAS基本功能 DNSSEC、DirectAccess配置和排错 Windows Server?2008 中的“路由和远程访问”服务提供： 远程访问 路由 Windows?Server??2008 操作系统中的路由和远程访问服务使远程用户可以通过虚拟专用网络 (VPN) 或拨号连接访问专用网络上的资源。 配置了“路由和远程访问”服务