为 DirectAccess 设计 DNS 基础结构
TechNet 库
Windows Server
Windows Server 2008 R2 und Windows Server 2008
浏览 Windows Server 技术
Networking
DirectAccess
适用于 Windows Server 2008 R2 的 DirectAccess
DirectAccess 设计指南
DirectAccess 部署策略规划
DirectAccess 客户端的可用资源
选择 Intranet IPv6 连接设计
为仅限 IPv4 的 Intranet 资源选择解决方案
选择访问模型
选择配置方法
远程管理设计
设计在用户登录之前 Intranet 服务器可用性
设计用于 DirectAccess 的数据包筛选
选择身份验证和授权方案
为 DirectAccess 服务器设计寻址和路由
设计用于 DirectAccess 的 Active Directory
为 DirectAccess 设计 DNS 基础结构
为 DirectAccess 设计 PKI
为 DirectAccess 设计 Web 服务器
选择 Internet 通信分隔设计
为 DirectAccess 客户端之间的通信设计保护
设计 Intranet 以便进行企业连接检测
选择 DirectAccess 和 VPN 共存设计
使用 DirectAccess 连接助手 (DCA)
展开
为 DirectAccess 设计 DNS 基础结构
更新时间: 2009年10月
应用到: Windows 7, Windows Server 2008 R2
Important重要事项
本主题介绍 Windows Server 2008 R2 中 DirectAccess 的设计注意事项。 有关 Microsoft Forefront Unified Access Gateway (UAG) 中 DirectAccess 设计注意事项的信息,请参见 Forefront UAG DirectAccess 设计指南 (http://go.microsoft.com/fwlink/?LinkId=179988)(可能为英文网页)。
域名系统 (DNS) 基础结构的设计会影响 DirectAccess 的配置方式。 DNS 基础结构设计最重要的方面是您是否使用拆分式 DNS。
拆分式 DNS
拆分式 DNS 指的是对 Internet 和 Intranet 资源使用同一 DNS 域。 例如,Contoso 公司采用的是拆分式 DNS;Intranet 资源和 Internet 资源的域名都是 contoso.com。 Internet 用户使用 http://www.contoso.com 访问 Contoso 的公共网站,而 Contoso Intranet 上的 Contoso 员工也使用 http://www.contoso.com 访问 Contoso 的 Intranet 网站。 如果 Contoso 员工使用非 DirectAccess 客户端的便携式计算机在 Intranet 上访问 http://www.contoso.com,则会显示 Contoso 的 Intranet 网站。 如果他们带着其便携式计算机到当地咖啡店并访问同一 URL,则会显示 Contoso 的公共网站。
当 DirectAccess 客户端位于 Internet 上时,名称解析策略表 (NRPT) 会将对 Intranet 资源的 DNS 名称查询发送至 Intranet DNS 服务器。 DirectAccess 的典型 NRPT 会包含组织的命名空间规则(例如,Contoso 公司的 contoso.com)和 Intranet DNS 服务器的 Internet 协议版本 6 (IPv6) 地址。 正是由于 NRPT 中的此规则,当位于 Internet 上的 DirectAccess 客户端用户尝试访问其网站的统一资源定位器 (URL)(如 http://www.contoso.com)时,系统会显示 Intranet 版本。 因此,他们在位于 Internet 上时永远看不到此 URL 的公共版本。
如果您希望 DirectAccess 客户端上的用户在位于 Internet 上时看到此 URL 的公共版本,则必须将此 URL 的完全限定的域名 (FQDN) 作为免除规则添加到 DirectAccess 客户端的 NRPT 中。 不过,如果添加此免除规则,当 DirectAccess 客户端上的用户位于 Internet 上时,他们永远看不到此 URL 的 Intranet 版本。
对于拆分式 DNS 部署,您必须列出 Internet 和 Intranet 上的重复 FQDN,并确定 DirectAccess 客户端应访问 Intranet 版本还是公共 (Internet) 版本的资源。 对于您希望 DirectAccess 客户端访问的公共版本资源所对应的每个名称,必须将相应 FQDN 作为免除规则添加到 DirectAccess 客户端的 NRPT 中。
在拆分式 DNS 环境中,如果您希望使用两个版本的资源,请使用与 Internet 上使用的名称不重复的替换名称配置 Intranet 资源,并指示用户在位于 Intranet 上时使用此替换名称。 例如,配置并使用替换名称 www.internal.contoso.com 表示 Intranet 名称 www.contoso.com。
在非拆分式 DNS 环境中,Internet 命名空间不同于 Intranet 命名空间。 例如,Contoso 公司在 Internet 上使用 contoso.com,在 Intranet 上使用 corp.contoso.com。 由于所有 Intranet 资源均使用 corp.contoso.com DNS 后缀,因此 corp.contoso.com 的 NRPT 规则会将针对 Intranet 资源的所有 DNS 名称查询都路由到 Intranet DNS 服务器。 带有 contoso.com 后缀的名称的 DNS 名称查询与 NRPT 中的 corp.contoso.com Intranet 命名空间规则不匹配,因此系统会将这些查询发送到 Internet DNS 服务器。
对于非拆分式 DNS 部署,由于 Intranet 和 Internet 资源的 FQDN 互不重复,因此无需对 NRPT 进行其他配置。 DirectAccess 客户端可访问其组织的 Internet 和 Intranet 资源。
note备注
DirectAccess 测试实验室 (http://go.microsoft.com/fwlink/?Linkid=150613) 在模拟 Internet 上使用 contoso.com,在模拟 Intranet 上使用 corp.contoso.com。
ISATAP 的 DNS 服务器要求
如果使用站内自动隧道寻址协议 (ISATAP) 在 Intranet 上建立 IPv6 连接,则对于 DirectAccess 客户端使用的 Intranet DNS 服务器,必须使用以下各项:
运行 Windows Server 2008 R2、装有 Q958194 修补程序 (http://go.microsoft.com/fwlink/?LinkId=159951) 的 Windows Server 2008 或者 Windows Server 2008 SP2 或更高版本的 DNS 服务器。 这些版本的 Windows 中的 DNS 服务器服务支持在 ISATAP 接口上处理 DNS 流量。
能够在 ISATAP 接口上处理 DNS 流量的非 Microsoft DNS 服务器。
默认情况下,Windows Server 2008 及更高版本中的 DNS 服务器服务通过 DNS 全局查询阻止列表来阻止对名称 ISATAP 的名称解析。 若要在 Intranet 上使用 ISATAP,则必须从运行 Windows Server 2008 及更高版本的所有 DNS 服务器的列表中删除 ISATAP 名称。 有关更多信息,请参见 DirectAccess 部署指南中的从 DNS 全局查询阻止列表中删除 ISATAP。
不执行 DNS 动态更新的服务器的 AAAA 记录
对于运行支持 IPv6 的非 Windows 操作系统(不支持 IPv6 地址的 DNS 动态更新)的服务器,请手动添加这些服务器的名称和 IPv6 地址的 AAAA 记录。
DirectAccess 客户端的本地名称解析行为
如果无法使用 DNS 解析名称,则 Windows 7 和 Windows Server 2008 R2 中的 DNS 客户端服务可使用本地名称解析、链路本地多播名称解析 (LLMNR) 和 TCP/IP 上的 NetBIOS 协议来解析本地子网上的相应名称。
当计算机位于专用网络(如单个子网家庭网络)上时,对等连接通常需要使用本地名称解析。 如果 DNS 客户端服务对 Intranet 服务器名称执行本地名称解析,并且计算机连接到 Internet 上的共享子网,恶意用户则可以捕获 LLMNR 和 TCP/IP 上的 NetBIOS 消息来确定 Intranet 服务器名称。
在 DirectAccess 安装向导的步骤 3 中,您可以根据从 Intranet DNS 服务器接收到的响应类型配置本地名称解析行为。 您具有以下选项:
仅当内部网络 DNS 服务器确定该名称不存在时,才使用本地名称解析
由于 DirectAccess 客户端仅对 Intranet DNS 服务器无法解析的服务器名称执行本地名称解析,因此,此选项的安全性最高。 如果无法访问 Intranet DNS 服务器,则将解析 Intranet 服务器的名称。 如果无法访问 Intranet DNS 服务器或者存在其他类型的 DNS 错误,则不会通过本地名称解析将 Intranet 服务器名称泄漏到子网中。
如果内部网络 DNS 服务器确定该名称不存在,或内部网络 DNS 服务器无法访问并且 DirectAccess 客户端计算机位于专用网络上,则使用本地名称解析
此选项允许在无法访问 Intranet DNS 服务器时在专用网络上使用本地名称解析,因此,此选项的安全性为中等。
无论尝试通过内部网络 DNS 服务器解析名称时返回何种错误,都使用本地名称解析
由于 Intranet 网络服务器的名称可通过本地名称解析泄漏到本地子网,因此,此选项的安全性最低。
选择符合您的安全要求的选项。
NRPT 规则
在 DirectAccess 安装向导的步骤 3 中,您可以配置 NRPT 中的规则,即 DNS 客户端服务用于确定 DNS 名称查询的目标发送位置的内部表。 DirectAccess 安装向导会自动为 DirectAccess 客户端创建两条规则:
DirectAccess 服务器的域名和与 DirectAccess 服务器上配置的 Intranet DNS 服务器相对应的 IPv6 地址的命名空间规则。 例如,如果 DirectAccess 服务器是 corp.contoso.com 域的成员,则 DirectAccess 安装向导会为 .corp.contoso.com DNS 后缀创建命名空间规则。
网络位置服务器的 FQDN 的免除规则。 例如,如果网络位置服务器的 URL 为 https://nls.corp.contoso.com,则 DirectAccess 安装向导会为 FQDN nls.corp.contoso.com 创建免除规则。
在以下情况下,您可能需要在 DirectAccess 安装向导的步骤 3 中配置其他 NRPT 规则:
您需要为 Intranet 命名空间添加更多 DNS 后缀命名空间规则。
如果 Intranet 和 Internet CRL 分发点的 FDQN 基于 Intranet 命名空间,则您必须添加 Internet 和 Intranet CRL 分发点的 FQDN 的免除规则。
如果您拥有拆分式 DNS 环境,则对于希望 Internet 上的 DirectAccess 客户端访问其公共 (Internet) 版本(而非 Intranet 版本)的资源,您必须添加其名称的免除规则。
如果您通过 Intranet Web 代理服务器将通信重定向到只能从 Intranet 访问的外部网站,并且此外部网站使用 Web 代理服务器的地址允许入站请求,则必须添加此外部网站的 FQDN 的免除规则,并指定此规则使用 Intranet Web 代理服务器,而不是 Intranet DNS 服务器的 IPv6 地址。
例如,Contoso 公司正在测试一个名为 test.contoso.com 的外部网站。此名称无法通过 Internet DNS 服务器进行解析,但 Contoso 的 Web 代理服务器知道如何解析此名称以及如何将该网站的请求定向到外部 Web 服务器。 为了防止位于 Contoso Intranet 以外的用户访问该站点,该外部网站仅允许来自 Contoso Web 代理的 Internet 协议版本 4 (IPv4) Internet 地址的请求。 因此,Intranet 用户可以访问该网站,因为他们使用的是 Contoso Web 代理,而 DirectAccess 用户却无法访问该网站,因为他们使用的不是 Contoso Web 代理。 通过为使用 Contoso Web 代理的 test.contoso.com 配置 NRPT 免除规则,test.contoso.com 的网页请求将通过 IPv4 Internet 路由至 Intranet Web 代理服务器。
您还可以从 DirectAccess 客户端的组策略对象中的“计算机配置”\“策略”\“Windows 设置”\“名称解析策略”配置 NRPT 规则。 有关更多信息,请参阅 DirectAccess 部署指南中的使用组策略配置 NRPT。
note备注
NRPT 中的最大规则数为 1000。
如果您要配置命名空间规则且 DNS 服务器位于 Intranet 以外,则应使用 Internet 协议安全 (IPsec) 或 DNS 安全扩展 (DNSSEC) 保护对这些服务器的 DNS 查询。
DirectAccess 测试实验室 (http://go.microsoft.com/fwlink/?Linkid=150613) 中的 DirectAccess 安装向导在 NRPT 中创建以下两条规则:为具有 Intranet DNS 服务器的 IPv6 地址的 corp.contoso.com 创建一条命名空间规则;为 nls.corp.contoso.com 创建一条免除规则。您可以通过在命令提示符下运行 netsh namespace show policy 命令来查看使用 CLIENT1 中的组策略配置的 NRPT 规则。 您可以使用 netsh namespace show effectivepolicy 命令查看有效的 NRPT 规则。
DirectAccess 客户端的 DNS 服务器查询行为
NRPT 中包含活动规则的 DirectAccess 客户端配置有两组 DNS 服务器;NRPT 的命名空间规则中的 DNS 服务器和配置接口的 DNS 服务器。 如果 FQDN 与命名空间规则匹配,则只查询命名空间规则中指定的 DNS 服务器。 即使无法访问匹配命名空间规则中的 DNS 服务器,DirectAccess 客户端也不会查询配置接口的 DNS 服务器。
NRPT 中包含活动规则的 DirectAccess 客户端仅在以下情况下才会查询配置接口的 DNS 服务器:
FQDN 与免除规则匹配。
FQDN 不与任何 NRPT 规则匹配。
非限定的单标签名称和 DNS 搜索后缀
非限定的单标签名称有时用于 Intranet 服务器,以便您可以指定单个名称,例如,http://paycheck。 DNS 客户端服务使用 DNS 后缀搜索列表将这些名称组合在一起,以便创建一系列可使用 DNS 解析的 FQDN。 默认情况下,DNS 后缀搜索列表中会包含计算机的域名,并且可添加其他 DNS 后缀。 例如,当作为 corp.contoso.com 域成员的计算机上的用户在其 Web 浏览器中键入 http://paycheck 时,Windows 可构造 paycheck.corp.contoso.com 名称作为 FQDN。
note备注
使用“计算机配置”/“管理模板”/“网络”/“DNS 客户端”/“DNS 后缀搜索列表”组策略设置可将 DNS 后缀添加到加入到域的客户端计算机的 DNS 后缀搜索列表中。
为了确保非限定的单标签名称能够解析为相同的 Intranet 资源,而无论 DirectAccess 客户端是连接到 Intranet 还是 Internet,DNS 后缀搜索列表应与 NRPT 中的命名空间规则匹配。 一般而言,Intranet 命名空间的每个 DNS 后缀都应与 NRPT 中的命名空间规则相对应。
note备注
如果本地子网上的服务器名称与 Intranet 上的服务器名称重复,则 DirectAccess 客户端会始终连接到 Intranet 资源。 例如,如果家庭网络服务器命名为 Server1,并且存在同名的 Intranet 服务器,则您会始终连接到 Intranet Server1。 若要连接到本地子网资源,请在该服务器名称后附加“.local”。 例如,若要连接到名为 Server1 的本地子网服务器,请使用名称 Server1.local。
外部 DNS
DirectAccess 安装向导使用 6to4 中继的 IPv4 地址配置 DirectAccess 客户端,并使用“计算机配置”\“策略”\“管理模板”\“网络”\“TCPIP 设置”\“IPv6 转换技术”中的组策略设置配置 Teredo 服务器。 对于基于安全超文本传输协议的 Internet 协议 (IP-HTTPS) 服务器的 URL(IP-HTTPS 状态设置),DirectAccess 安装向导会配置 https://主题:443/IPHTTPS,其中主题 表示您在 DirectAccess 安装向导的步骤 2 中指定的 HTTPS 证书的“主题”字段。 如果 IP-HTTPS 证书的“主题”字段为“FQDN”,则您必须确保可使用 Internet DNS 服务器解析该 FQDN。
如果您将 6to4 中继名称或 Teredo 服务器名称组策略设置修改为使用 FQDN(而非 IPv4 地址),则您必须确保可使用 Internet DNS 服务器解析相应 FQDN。
此外,还必须确保可使用 Internet DNS 服务器解析可访问 Internet 的证书吊销列表 (CRL) 分发点的 FQDN。 例如,如果 DirectAccess 服务器的 IP-HTTPS 证书的“CRL 分发点”字段为 URL http://crl.contoso.com/crld/corp-DC1-CA.crl,则您必须确保可使用 Internet DNS 服务器解析 FQDN crl.contoso.com。
社区附加资源
为 DirectAccess 设计 DNS 基础结构的更多相关文章
- dns 监控系统 设计 dns安全威胁的可视化。
基于DNS大数据分析实现宽带共享监控系统.实现对宽带用户进行有效管理. 本系统基于DNS大数据分析实现宽带共享监控系统,包括以下方面. 1)数据采集:数据采集过程是通过探针采集的方式,从各地市的DNS ...
- dns安全可视化 设计
这么设计 dns 常见的 安全分类.显示出来. dns 的安全数据,显示出来. 各种相关数据. 展示方式, 图标,饼图,柱状图等等,多屏拼接. 前端的可视化展示 方式 由 文慧 提供 或者实现. 相关 ...
- 什么是DNS?
什么是DNS域名系统(DNS)是因特网的电话簿.人类通过域名在线访问信息,如nytimes.com或espn.com.Web浏览器通过Internet协议(IP)地址进行交互.DNS将域名转换为IP地 ...
- 软件架构自学笔记-- 转载“虎牙在全球 DNS 秒级生效上的实践”
虎牙在全球 DNS 秒级生效上的实践 这次分享的是全球 DNS 秒级生效在虎牙的实践,以及由此产生的一些思考,整体上,分为以下 5 各部分: 背景介绍: 方案设计和对比: 高可用: 具体实践和落地: ...
- 虎牙在全球 DNS 秒级生效上的实践
本文整理自虎牙中间件团队在 Nacos Meetup 的现场分享,阿里巴巴中间件受权发布. 这次分享的是全球 DNS 秒级生效在虎牙的实践,以及由此产生的一些思考,整体上,分为以下5各部分: 背景介绍 ...
- 郭盛华:DNS新漏洞可使黑客可以发起大规模DDoS攻击
近日,知名网络黑客安全专家.东方联盟创始人郭盛华微博披露了有关影响DNS协议的新缺陷的详细信息,该缺陷可被利用来发起放大的大规模分布式拒绝服务(DDoS)攻击,以击倒目标网站.该漏洞称为NXNSAtt ...
- Windows Azure 安全最佳实践 - 第 1 部分:深度解析挑战防御对策
我每次与开发人员讨论将应用程序迁移到云时都围绕着两个主要问题. 1. 首先是业务.将应用程序迁移到云可以带来怎样的规模经济? 2. 其次是安全问题."云的安全性如何,尤其是Windows A ...
- Exchange2003/2010共存模式环境迁移
一.我司的exchange2010架构设计基于中心的模式进行.而且基于exchange2010sp3进行. 基于dag三台架构设计进行,截止到5月14日,北京局基于2台dag进行,大连局基于excha ...
- Windows Server 2012 虚拟化实战:域
在Windows Server系统中,一些服务必需要构建在域的环境中,这不仅是为了统一验证和资源共享,同时也是为了网络安全.为构建虚拟化测试,我们需要先搭建域环境.之前先来大概了解一下域. 在使用工作 ...
随机推荐
- Linux命令之查看日志等实时文件命令(less 、tail)使用
一.less的使用 1)less 文件名,即可快速打开文件 2)相关查看搜索 3)利用键盘向上向下箭头键盘上的向上和向下箭头,点击一次向下简单,文件内容往下读取一行:点击一次向上箭头,文件内容,往上 ...
- user(),current_user()函数的区别
user() 表示当前的登录用户 current_user() 表示对应于mysql.user表里对应的账号.
- 【BZOJ4025】二分图(LCT动态维护图连通性)
点此看题面 大致题意: 给你一张图以及每条边的出现时间和消失时间,让你求每个时间段这张图是否是二分图. 二分图性质 二分图有一个比较简单的性质,即二分图中不存在奇环. 于是题目就变成了:让你求每个时间 ...
- 最小堆的维护,POJ(2051)
题目链接:http://poj.org/problem?id=2051 ///维持最小堆(优先队列)POJ2051 #include <iostream> #include <str ...
- 关于IDataReader.GetSchemaTable的一些事情
http://stackoverflow.com/questions/1574492/how-does-getschematable-work The implementation of IDataR ...
- No such file or directory 8356:error:02001003:system library:fopen:No such process:crypto\bio\bss_file.c:7 4:fopen
使用OpenSSL生成证书,构建根证书前,需要构建随机数文件(.rand),命令如下: openssl rand - 报错如下: OpenSSL> rand - Can't open priva ...
- django模板层(templates)
1.基础部分 通过使用模板,就可以在URL中直接调用HTML,它还是松耦合的,灵活性强,而且更容易维护 而且可以将变量通过一定的方式嵌入到HTML中,最终渲染到页面,总的来说基于模板完成了数据与用户之 ...
- android动画解析(初级)
效果图: ObjectAnimator继承自ValueAnimator的,底层的动画实现机制也是基于ValueAnimator来完成的,因此ValueAnimator仍然是整个属性动画当中最核心的一个 ...
- Delphi7程序调用C#写的DLL解决办法(转)
近来,因工作需要,必须解决Delphi7写的主程序调用C#写的dll的问题.在网上一番搜索,又经过种种试验,最终证明有以下两种方法可行: 编写C#dll的方法都一样,首先在vs2005中创建一个 ...
- 【shell脚本学习-1】
Shell学习笔记 简介: Shell 是一个用C语言编写的程序,它是用户使用Linux的桥梁.Shell既是一种命令语言,又是一种程序设计语言. Shell 是指一种应用程序,这个应用程序提供了一个 ...