一台DNS服务器上的abc.com区域中,手工为内网的Web服务器建立了A记录,可是此记录会被来自域中同名的客户机以自动注册的方式覆盖,导致内网对该服务器的解析失败. 当DNS区域启用了允许非安全动态更新的选项时(区域的属性/常规选项中),即使先手工建立了静态记录,当客户机自动注册时发现重名,此静态记录也会被当成是最新记录,从而被动态注册覆盖掉。
要解决此问题,我提供如下解决方案:
方案一:
更改客户机的计算机名。从网络设计的角度出发,网络中的计算名应该统一规划,而且不允许随意更改。
方案二:
若服务器不使用动态IP,可以将客户机和服务器的DNS名称空间分离,分为两个区域存放,比如:服务器使用abc.com,客户机使用desktop.abc.com;然后停止abc.com区域上的非安全更新选项,仅在desktop.abc.com上启用允许更新,从安全角度出发,也应如此。
方案三(推荐):
如果DNS和DC装在同一台服务器或者允许将DNS迁移到DC上,请将abc.com的区域类型设置成为活动目录集成区域,并且在区域属性/常规中,将更新方式设置为“仅安全更新”。经过此配置后,手工建立的记录不会被客户机覆盖掉。
- 上一篇:盛大拟收购合适景区进军旅游业 正全国考察
- 下一篇:DNS安全形势非常严峻