Windows Server 2003ドメインでドメインネームシステム(DNS)のセキュリティを確保することは、非常に基本的な要件です。 Active Directory(AD)はDNSを使用して、ドメインコントローラやその他のドメインサービス(ファイル、プリンタ、メールなど)に必要なリソースを探します。 DNSはActive Directoryドメインシステムの不可欠な部分であるため、最初から安全である必要があります。
Windows Server 2003にDNSをインストールするときは、Active Directory統合DNSのデフォルト設定を変更しないでください。マイクロソフトは2000年にこの設定を提供し始めました。
これは、システムがDNSデータをDNSサーバーに保存するだけで、ドメインコントローラとグローバルディレクトリサーバーに関する情報を保存またはコピーしないことを意味します。これにより、動作速度が向上するだけでなく、3台のサーバーの運用効率も向上します。
DNSサーバーとクライアント(または他のサーバー)間のデータ転送を暗号化することも重要です。 DNSはTCP /UDPポート53を使用します;セキュリティ境界上の異なるポイントでこのポートをフィルタリングすることで、DNSサーバーは認証された接続のみを受け付けるようになります。
また、これは、DNSクライアントとサーバー間のデータ転送を暗号化するためにIPSecを展開するための良い機会でもあります。 IPSecをオンにすると、すべてのクライアントとサーバー間の通信が確認および暗号化されます。これは、クライアントが認証されたサーバーとのみ通信することを意味し、リクエストが偽造または侵害されるのを防ぐのに役立ちます。
DNSサーバーを設定したら、企業内の他の価値の高いターゲットに注意を払うのと同じように、接続の監視を続けます。 DNSサーバーは、顧客の要求に応えるために利用可能な帯域幅を必要とします。
ソースマシンでDNSサーバーへのネットワークトラフィックが大量に発生している場合は、 "サービス拒否"(DoS)が発生している可能性があります。ソースから直接接続を切断するか、問題を調査するまでサーバーのネットワーク接続を切断します。 DNSサーバーへのDoS攻撃が成功すると、Active Directoryが直接クラッシュすることを忘れないでください。
デフォルト設定(動的セキュリティ更新)では、認証されたクライアントのみがサーバー上のポータル情報を登録および更新できます。これは攻撃者があなたのDNSポータル情報を変更することを防ぎ、それによって顧客を注意深く作られたウェブサイトに誘導して財務情報のような重要な情報を盗むのを防ぐことができます。
クォータを使用して、DNSに対するクライアントのフラッド攻撃を防ぐこともできます。クライアントは通常10レコードしか登録できません。 1人の顧客が登録できるターゲットの数を制限することで、クライアントが自分のDNSサーバーに対してDoS攻撃を仕掛けるのを防ぐことができます。
注:DHCPサーバー、ドメインコントローラー、およびマルチホームサーバーには、必ず異なるクォータを使用してください。これらのサーバーは、提供する機能に応じて何百ものターゲットまたはユーザーを登録する必要があります。
DNSサーバーは、承認されたゾーン内のクエリリクエストに応答します。内部ネットワークアーキテクチャを外部から隠すには、通常は別のネームスペースを設定する必要があります。つまり、一般に、一方のDNSサーバーが内部DNSアーキテクチャを担当し、もう一方のDNSサーバーが外部およびインターネットDNSアーキテクチャを担当します。外部ユーザーが内部DNSサーバーにアクセスできないようにすることで、内部の非オープンリソースの漏洩を防ぐことができます。
最後に
Windowsネットワークを実行しているか、UnixとWindowsが混在しているかにかかわらず、DNSセキュリティはネットワークの中心にあるべきです。外部および内部の攻撃からDNSを保護するための対策を講じる。
zh-CN"],null,[1],zh-TW"]]]
に移行する方法まず、既存の環境 まず、Windows 2008サーバーを元のWindows 2003ドメイン環境に追加してください。 元のActive Directoryの役割は、現在Window
ドメインユーザーの開設について前の記事(メンバサーバーをドメインコントローラに昇格する方法(a)、(b))が含まれていたため、ここでユーザーを開設する方法は繰り返されませんこの記事では、主にユーザープ
Windows Server 2008では、他のシステムを備えた通常のワークステーションに自由にアクセスできるように、LAN上に独自のサーバーを簡単に構築できます。 Windows Server 20
Win2000 /XPの 管理ツールはシステムに付属している非常に便利なシステムツールで、ハードディスクのパーティション、パスワード、プロセス、データそして一連のシステムで動作します。重要なパラメータ
Windows XPでフォントソリューションをインストールできない
Win7のソフトウェアとシステムの非互換性を解決するにはどうすればいいですか?
Win7システムフォルダグラフィックの説明を隠す方法win7隠しフォルダ
Windows XPのシステムパスワードを忘れて元に戻す方法
Win10システムはどのようにMicrosoftアカウントバインディングを解放しますか? Win10のMicrosoftアカウント解放方法
MicrosoftのSteve Ballmer:本土でのWindows 7の販売は意外にも予想外
シングルイベントギフトスペシャルケアシングルシングルダイレクトギフトパッケージ
Win7ネットワーク診断ツールでは、ワイヤレスネットワーク接続の問題を解決するのに6ステップしかかかりませんが、ワイヤレスネットワークが