การปิดตำนานที่ Active Directory ต้องการ Microsoft DNS

ผู้เขียน: Louise Ward
วันที่สร้าง: 5 กุมภาพันธ์ 2021
วันที่อัปเดต: 17 พฤษภาคม 2024
Anonim
DNS and Active Directory
วิดีโอ: DNS and Active Directory

เนื้อหา


ที่มา: Madmaxer / Dreamstime.com

Takeaway:

องค์กรด้านไอทีกำลัง จำกัด ตัวเองให้ไมโครซอฟท์เป็นโซลูชั่น DNS เพียงตัวเดียวดังนั้นจึงขาดคุณสมบัติด้านความปลอดภัยมากมายรวมถึงฟังก์ชั่นเสริมอื่น ๆ

ไม่ว่าจะเป็นอินเทอร์เน็ตที่มีขนาดใหญ่หรือเครือข่ายที่ใช้บริการไดเรกทอรีของคุณ DNS เป็นสิ่งที่รวมเข้าด้วยกัน ความล้มเหลว DNS แบบง่ายสามารถแปลความล้มเหลวของเครือข่ายทั้งหมดและเนื่องจากเครือข่ายของคุณเป็นธุรกิจของคุณนั่นแปลว่าธุรกิจล้มเหลวเช่นกัน การพึ่งพาบริการเครือข่ายที่สำคัญนี้รวมกับความมั่งคั่งของข้อมูลเครือข่ายที่โฮสต์บน DNS ทั่วไปทำให้เครือข่ายของคุณมีช่องโหว่จากการถูกโจมตีจากภายนอก ตอนนี้ DNS เชื่อมโยงกับ HTTP เป็นบริการที่เป็นเป้าหมายสูงสุดของการโจมตีแอปพลิเคชันเช่น DNS DDOS, NXDOMAIN และ DNS hijacking

ด้วยเหตุผลเหล่านี้ว่าองค์กรของคุณใช้ประโยชน์จากโซลูชันนอกเหนือจาก Microsoft สำหรับบริการ DNS ภายนอกของคุณ ถ้าเป็นเช่นนั้นคุณไม่ได้อยู่คนเดียว องค์กรส่วนใหญ่ในปัจจุบันไม่ใช้ Microsoft สำหรับบริการ DNS ภายนอก นี้เป็นเพราะ:

  • ไม่จำเป็นต้องใช้ DNS ของ Microsoft
  • ผู้ดูแลระบบไอทีต้องการคุณลักษณะด้านความปลอดภัยที่ปรับปรุงแล้วและบริการที่มีมูลค่าเพิ่มเมื่อพิจารณาตำแหน่ง DNS ที่เสี่ยงต่อการถูกโจมตีจากสาธารณะ

องค์กรต้องการวิธีแก้ปัญหาที่ดีที่สุดสำหรับ DNS ภายนอกที่ถูกเปิดเผยจากการโจมตีทางอินเทอร์เน็ต โซลูชัน DNS ของบุคคลที่สามนั้นมีอยู่ในตลาดซึ่งได้รับการออกแบบและสร้างจากพื้นฐานโดยคำนึงถึงความปลอดภัยเป็นหลัก อย่างไรก็ตามความจริงก็คือว่าโครงสร้าง DNS ภายในขององค์กรนั้นเปิดกว้างพอ ๆ กับการคุกคามที่เป็นอันตรายซึ่งสามารถเกิดจากมัลแวร์ที่ดาวน์โหลดฟิชชิ่งและแบ็คดอร์ภายนอก นอกจากนี้ความจำเป็นในการเพิ่มบริการอัจฉริยะเช่นการควบคุมปริมาณการใช้งาน DNS แบบรวมการปรับสมดุลภาระเครือข่ายและการตรวจสอบการบริการเพิ่มคุณค่าที่ยอดเยี่ยมให้กับองค์กร น่าเสียดายที่หลาย ๆ องค์กรเลือกโซลูชัน DNS ภายในด้วยการตรวจสอบที่น้อยลง (สำหรับข้อมูลเพิ่มเติมเกี่ยวกับปัญหาที่ใหญ่ที่สุดของ ADS ดูจุดปวดการจัดการไดเรกทอรีที่ใช้งานสูงสุดห้าอันดับแรก)


ตำนานของ Microsoft

ในกรณีของเครือข่ายโดเมน Windows ของคุณผู้จัดการฝ่ายไอทีหลายคนมีเงื่อนไขที่จะพิจารณาบริการ Microsoft DNS เป็นโซลูชันภายในเท่านั้น หลายครั้งนี้เป็นเพราะ:

  • สะดวกในการใช้โซลูชันในกล่อง
  • ตำนาน Active Directory นั้นต้องการ Microsoft DNS ให้ทำงานได้อย่างถูกต้อง

อย่างไรก็ตามตำนานนี้ก็ไม่จริง ในความเป็นจริง Microsoft ยังเผยแพร่บทความ KB ที่กล่าวถึงแนวคิดที่เข้าใจผิดนี้เมื่อหลายปีก่อน คุณสามารถอ่านบทความ KB ฉบับสมบูรณ์ได้ที่นี่

Active Directory จะต้องได้รับการสนับสนุนจาก DNS เพื่อให้สามารถทำงานได้อย่างถูกต้อง แต่การใช้งาน Active Directory Services จะทำได้ ไม่ ต้องมีการติดตั้ง Microsoft DNS BIND DNS หรือ DNS บุคคลที่สามอื่น ๆ จะสนับสนุนโดเมน Windows อย่างสมบูรณ์ ในความเป็นจริงแม้ว่าคุณกำลังสร้างฟอเรสต์ AD เป็นครั้งแรกตัวช่วยสร้าง DC Promo ไม่ต้องการให้คุณเลือก DNS ขอให้สังเกตว่าตัวช่วยสร้างจะช่วยให้คุณ

DNS รวมไดเรกทอรีที่ใช้งานอยู่


มีข้อดีบางประการของการใช้ Active Directory-Integrated DNS สำหรับโซน DNS ของคุณนอกเหนือจากความสะดวกสบายของตัวช่วยสร้างในกล่อง ประโยชน์หลักคือ:

ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ

คุณไม่สามารถพัฒนาทักษะการเขียนโปรแกรมของคุณเมื่อไม่มีใครใส่ใจคุณภาพของซอฟต์แวร์

  • การจำลองแบบโฆษณาจะดูแลการจำลองแบบ DNS โซนโดยอัตโนมัติ
  • เซิร์ฟเวอร์ DNS ทั้งหมดสามารถเขียนได้

สิ่งนี้จะช่วยลดความจำเป็นในการกำหนดค่าและจัดสรรสำหรับการถ่ายโอนการถ่ายโอนโซน DNS แยกต่างหาก สิทธิประโยชน์อื่น ๆ ได้แก่ การอัปเดตที่ปลอดภัยและการรวม DHCP แต่ฟีเจอร์เหล่านี้มีอยู่ในโซลูชันของบุคคลที่สามเช่นกัน

ความจริงก็คือ AD-Integrated DNS เป็นตัวเลือก แต่ไม่จำเป็น ในความเป็นจริงแม้ว่าคุณจะใช้ AD-Integrated DNS อยู่ในขณะนี้ Microsoft ก็มีตัวเลือกให้คุณเพิ่ม DNS รองหรือเปลี่ยนโครงสร้างเป็นหนึ่งในประเภทโซน DNS ดั้งเดิมตามที่แสดงในภาพหน้าจอด้านล่าง:

ฟีเจอร์ในตัวนี้มีเพื่อให้ Windows DNS สามารถทำงานร่วมกับเซิร์ฟเวอร์ DNS อื่นเช่น BIND ในความเป็นจริงคุณสามารถกำหนดค่า:

  • เซิร์ฟเวอร์ DNS ทั้งหมดของคุณกำหนดค่าด้วยโซน AD-Integrated
  • เซิร์ฟเวอร์ DNS ทั้งหมดของคุณกำหนดค่าด้วยโซนหลัก / รองแบบดั้งเดิม
  • ไฮบริดของทั้งโซน AD-Integrated และโซนที่สอง

ดังกล่าว AD-Integrated DNS รวมการจำลองแบบ DNS ในโครงสร้างพื้นฐานการจำลองแบบโฆษณาที่มีอยู่ไม่จำเป็นต้องกำหนดค่าพันธมิตรการจำลองแบบด้วยตนเอง อย่างไรก็ตามงานนี้สามารถทำได้ง่ายโดยการป้อนเซิร์ฟเวอร์ DNS รองใด ๆ ดังที่แสดงด้านล่าง แจ้งให้ทราบล่วงหน้าคุณสามารถกำหนดโซนพันธมิตรตามที่อยู่ IP หรือเพียงแค่ จำกัด ให้เซิร์ฟเวอร์ชื่อรัฐทั้งหมด

DNS รองรับหลากหลายระเบียนนอกเหนือจากระเบียน HOST, CNAME, MX และ NS นอกจากนี้ยังสนับสนุนการบันทึก SRV หลายประเภท โดเมน Windows จะใช้เรคคอร์ด SRV ที่เลือกเพื่อรองรับฟังก์ชั่นโฆษณาเช่นการเข้าสู่ระบบเน็ตและการเข้าร่วมโดเมน Microsoft Exchange ยังขึ้นอยู่กับระเบียนเดียวกันบางรายการเช่นระเบียนแค็ตตาล็อกส่วนกลาง รายการเรคคอร์ด SRV ที่ต้องการแสดงอยู่ด้านล่าง

ซึ่งมีลักษณะเช่นนี้บนเซิร์ฟเวอร์ Microsoft DNS:

ดังที่แสดงในภาพหน้าจอด้านบนเรคคอร์ด SRV เหล่านี้อยู่ในโซนที่ต้องการดังต่อไปนี้:

  • _udpDNSDomainName
  • _tcpDNSDomainName
  • _sitesDNSDomainName
  • _msdcsDNSDomainName

ระเบียนที่ต้องการเหล่านี้ถูกลงทะเบียนโดยอัตโนมัติโดยตัวควบคุมโดเมนภายใน Windows DNS แม้ว่าจะมีโซลูชัน DNS ของ บริษัท อื่นที่รองรับการลงทะเบียนแบบไดนามิกเช่นกัน แม้ว่าจะไม่ได้รับการสนับสนุน แต่บันทึกเหล่านี้ไม่ค่อยได้รับการแก้ไขดังนั้นจึงจำเป็นต้องกำหนดค่าด้วยตนเองเพียงครั้งเดียว (หากต้องการเรียนรู้เกี่ยวกับระเบียน DNS ประเภทต่างๆให้ดูที่ 12 ระเบียน DNS อธิบาย)

โยกย้ายง่าย

แม้ว่าจะไม่สะดวกในการสร้างระเบียนและโซนเหล่านี้ด้วยตนเองหรือมีโครงสร้างพื้นฐาน DNS AD-Integrated DNS ที่มีอยู่แล้ว แต่ก็สามารถทำตามขั้นตอนต่อไปนี้เพื่อโยกย้ายไปยังโซลูชัน DNS ของ บริษัท อื่นได้อย่างง่ายดาย:

  1. หากสร้างฟอเรสต์ Windows หรือโดเมนใหม่ให้เลือกความสามารถของ Microsoft DNS เพื่อให้ระเบียน SRV ที่จำเป็นทั้งหมดถูกสร้างขึ้นโดยอัตโนมัติ
  2. เพิ่ม DNS บุคคลที่สามไปยังเครือข่ายและอนุญาตให้มีการถ่ายโอนโซนด้วย
  3. หากจำเป็นให้แปลงโครงสร้าง DNS แบบรวมโฆษณาของคุณเป็นโครงสร้างโซนมาตรฐาน
  4. กำหนด DNS บุคคลที่สามที่รวมใหม่เป็นหลัก
  5. ถอนการติดตั้งบริการ DNS จากตัวควบคุมโดเมนทั้งหมดหรือเซิร์ฟเวอร์สมาชิก Windows

อย่างที่เราได้แสดงไว้อย่างชัดเจน Active Directory ไม่จำเป็นต้องใช้ Microsoft DNS แล้วอะไรคือแรงจูงใจที่จะไม่ใช้ความสะดวกในการใช้เซิร์ฟเวอร์ Microsoft DNS โดยเฉพาะ ด้านล่างเป็นรายการคุณลักษณะบางอย่างที่มีมูลค่าเพิ่มที่เสนอโดยโซลูชัน DNS ของบุคคลที่สามที่มีอยู่ในปัจจุบัน:

  • การป้องกันพฤติกรรมการปรับตัวอัตโนมัติเชิงรุกจากการโจมตี DNS, มัลแวร์และการกรองข้อมูลผ่านการรักษาความปลอดภัยไฟร์วอลล์ DNS ที่กำหนดเอง
  • ใช้ประโยชน์จากคุณสมบัติ DNS และ DHCP ที่ไม่พร้อมใช้งานจากโซลูชันในกล่องของ Microsoft เช่น Identity Mapping (การเชื่อมโยงที่อยู่ IP กับผู้ใช้)
  • แก้ไขการสืบค้นและการเข้าชมโดยตรงอย่างชาญฉลาดตามที่ตั้งทางภูมิศาสตร์
  • เพิ่มการบันทึกเพื่อช่วยในการพิจารณาว่าปัญหาและการโจมตีเกิดขึ้นที่ใด
  • ใช้ประโยชน์จากโซลูชันเดียวสำหรับ DNS ภายนอกและภายใน (aka“ Single View”)
  • ระบบปฏิบัติการที่ไม่เชื่อเรื่องพระเจ้าเพื่อจัดการ DNS
  • เพิ่มความปลอดภัยโดยลดการใช้สิทธิ์ผู้ดูแลระบบ

ทุกคนที่มีการจัดการโดเมน Windows จะตระหนักถึงข้อ จำกัด ทั้งหมดของการบันทึกและการตรวจสอบในกล่อง พยายามที่จะแยกแยะว่าอุปกรณ์ DC ใดที่เข้าสู่ระบบไม่ต้องพูดถึงที่อยู่ IP ที่ได้รับมอบหมายนั้นเป็นปัญหาและยุ่งยากที่สุด ระดับของการตรวจสอบและการบันทึกที่มีอยู่ในผลิตภัณฑ์ของบุคคลที่สามเป็นแบบอย่าง ลองนึกภาพความสามารถในการเข้าถึงรายละเอียดของอุปกรณ์ที่เช่า DHCP ในช่วงหนึ่งปีที่ผ่านมา!

Microsoft ยอมรับเสมอว่าโซลูชัน DNS ที่เข้ากันได้จะทำงานร่วมกับ Active Directory กล่าวโดยสังเขปไม่มีความจำเป็นที่จะต้องใช้ Microsoft DNS กับ Active Directory นอกเหนือจากความสะดวกสบายและความจริงที่ว่ามันเคยทำมาก่อนหน้านี้ซึ่งไม่เคยมีเหตุผลที่ดีเลยที่จะทำอะไร