Loại bỏ huyền thoại rằng Active Directory yêu cầu Microsoft DNS

Tác Giả: Louise Ward
Ngày Sáng TạO: 5 Tháng 2 2021
CậP NhậT Ngày Tháng: 1 Tháng Sáu 2024
Anonim
Loại bỏ huyền thoại rằng Active Directory yêu cầu Microsoft DNS - Công Nghệ
Loại bỏ huyền thoại rằng Active Directory yêu cầu Microsoft DNS - Công Nghệ

NộI Dung


Nguồn: Madmaxer / Dreamstime.com

Lấy đi:

Các tổ chức CNTT đang tự giới hạn Microsoft là giải pháp DNS duy nhất của họ và do đó bỏ lỡ nhiều tính năng bảo mật cũng như các chức năng giá trị gia tăng khác.

Cho dù đó là Internet trên mạng lớn hay mạng dựa trên dịch vụ thư mục của bạn, DNS là chất kết dính tất cả lại với nhau. Một lỗi DNS đơn giản có thể chuyển thành lỗi mạng hoàn toàn và vì mạng của bạn là doanh nghiệp của bạn, điều đó cũng chuyển thành một lỗi kinh doanh. Sự phụ thuộc của dịch vụ mạng quan trọng này kết hợp với sự giàu có của thông tin mạng được lưu trữ trên một DNS điển hình sẽ mở ra mạng của bạn trước sự tổn thương từ các cuộc tấn công bên ngoài. DNS hiện được gắn với HTTP là dịch vụ nhắm mục tiêu hàng đầu của các cuộc tấn công ứng dụng như DNS DDOS, NXDOMAIN và chiếm quyền điều khiển DNS.


Chính vì những lý do này mà tổ chức của bạn nhiều khả năng sử dụng một giải pháp bên cạnh Microsoft cho dịch vụ DNS bên ngoài của bạn. Nếu vậy, bạn chỉ có một mình. Phần lớn các tổ chức ngày nay không sử dụng Microsoft cho các dịch vụ DNS bên ngoài của họ. Điều này là do:

  • Có một nhu cầu cố hữu để sử dụng Microsoft DNS.
  • Quản trị viên CNTT muốn các tính năng bảo mật nâng cao và các dịch vụ giá trị gia tăng khi xem xét vị trí DNS dễ bị tấn công công khai.

Nói một cách đơn giản, các tổ chức yêu cầu giải pháp tốt nhất cho DNS bên ngoài của họ bị phơi bày trước các cuộc tấn công internet. Các giải pháp DNS của bên thứ ba có sẵn trên thị trường được thiết kế và xây dựng từ đầu với sự an toàn. Mặc dù vậy, sự thật là cấu trúc DNS nội bộ của tổ chức cũng mở ra đối với các mối đe dọa độc hại có thể bắt nguồn từ phần mềm độc hại đã tải xuống, lừa đảo và backtime. Ngoài ra, nhu cầu về các dịch vụ thông minh bổ sung như kiểm soát lưu lượng dựa trên DNS tích hợp, cân bằng tải mạng và giám sát dịch vụ tăng thêm giá trị cho một tổ chức. Thật không may, nhiều tổ chức chọn giải pháp DNS nội bộ của họ với sự xem xét kỹ lưỡng hơn rất nhiều. (Để biết thêm về các vấn đề lớn nhất của AD, hãy xem Năm điểm đau quản lý thư mục hoạt động hàng đầu.)


Huyền thoại Microsoft

Trong trường hợp mạng miền Windows điển hình của bạn, nhiều người quản lý CNTT có điều kiện chỉ coi dịch vụ DNS của Microsoft là một giải pháp nội bộ. Nhiều lần điều này là do:

  • Nó rất thuận tiện để sử dụng giải pháp trong hộp.
  • Các huyền thoại Active Directory yêu cầu Microsoft DNS hoạt động đúng.

Tuy nhiên, huyền thoại này chỉ đơn giản là thật. Trên thực tế, Microsoft thậm chí đã xuất bản một bài viết KB đề cập đến khái niệm sai lệch này nhiều năm trước. Bạn có thể đọc bài viết KB đầy đủ ở đây.

Active Directory phải được DNS hỗ trợ để hoạt động đúng, nhưng việc triển khai Dịch vụ Active Directory thì không không phải yêu cầu cài đặt Microsoft DNS. DNS BIND hoặc DNS của bên thứ ba khác sẽ hỗ trợ đầy đủ tên miền Windows. Trên thực tế, ngay cả khi bạn đang tạo một rừng AD lần đầu tiên, trình hướng dẫn Quảng cáo DC không yêu cầu bạn chọn DNS. Lưu ý cách trình hướng dẫn sẽ cho phép bạn

DNS tích hợp thư mục hoạt động

Có một số lợi thế của việc sử dụng DNS tích hợp Active Directory cho vùng DNS của bạn bên cạnh sự tiện lợi của trình hướng dẫn trong hộp. Những lợi ích chính là:

Không lỗi, không căng thẳng - Hướng dẫn từng bước của bạn để tạo ra phần mềm thay đổi cuộc sống mà không phá hủy cuộc sống của bạn

Bạn không thể cải thiện kỹ năng lập trình của mình khi không ai quan tâm đến chất lượng phần mềm.

  • Sao chép AD sẽ tự động sao chép vùng DNS.
  • Tất cả các máy chủ DNS đều có thể ghi.

Điều này làm giảm sự cần thiết phải định cấu hình và phân bổ cho lưu lượng chuyển vùng DNS riêng biệt. Các lợi ích khác bao gồm cập nhật an toàn và tích hợp DHCP, nhưng các tính năng này cũng có sẵn trong các giải pháp của bên thứ ba.

Thực tế là DNS tích hợp AD là một tùy chọn, nhưng không bắt buộc. Trên thực tế, ngay cả khi bạn hiện đang sử dụng DNS tích hợp AD, Microsoft cung cấp cho bạn tùy chọn thêm DNS phụ hoặc thay đổi cấu trúc thành một trong các loại vùng DNS truyền thống như được hiển thị trong ảnh chụp màn hình bên dưới:

Tính năng tích hợp này là để Windows DNS có thể tích hợp với một máy chủ DNS thay thế như BIND. Trong thực tế, bạn có thể cấu hình:

  • Tất cả các máy chủ DNS của bạn được định cấu hình với các vùng tích hợp AD
  • Tất cả các máy chủ DNS của bạn được định cấu hình với vùng chính / phụ truyền thống
  • Kết hợp cả vùng tích hợp AD và vùng thứ cấp

Như đã đề cập, DNS tích hợp AD tích hợp sao chép DNS vào cơ sở hạ tầng sao chép AD hiện có, loại bỏ nhu cầu cấu hình thủ công các đối tác sao chép. Nhiệm vụ này được thực hiện dễ dàng, tuy nhiên, bằng cách nhập bất kỳ máy chủ DNS thứ cấp nào như được hiển thị bên dưới. Lưu ý rằng bạn có thể chỉ định các đối tác khu vực theo địa chỉ IP hoặc chỉ đơn giản giới hạn nó cho tất cả các máy chủ tên tiểu bang.

DNS hỗ trợ nhiều loại bản ghi bên cạnh các bản ghi HOST, CNAME, MX và NS đơn giản. Nó cũng hỗ trợ một loại hồ sơ SRV. Một miền Windows dựa trên các bản ghi SRV được chọn để phù hợp với các chức năng AD như đăng nhập mạng và tham gia miền. Microsoft Exchange cũng phụ thuộc vào một số bản ghi tương tự, chẳng hạn như bản ghi danh mục toàn cầu. Danh sách các hồ sơ SRV cần thiết được hiển thị dưới đây.

Trông giống như thế này trên máy chủ Microsoft DNS:

Như được hiển thị trong ảnh chụp màn hình ở trên, các bản ghi SRV này nằm trong các vùng bắt buộc sau:

  • _udp.Tên miền DNS
  • _tcp.Tên miền DNS
  • _sites.Tên miền DNS
  • _msdcs.Tên miền DNS

Các bản ghi cần thiết này được đăng ký tự động bởi bộ điều khiển miền trong DNS Windows, mặc dù cũng có các giải pháp DNS của bên thứ ba hỗ trợ đăng ký động. Tuy nhiên, ngay cả khi không được hỗ trợ, những bản ghi này hiếm khi được sửa đổi nên chúng chỉ cần được cấu hình thủ công một lần. (Để tìm hiểu về các loại bản ghi DNS khác nhau, hãy xem 12 Bản ghi DNS được giải thích.)

Di chuyển dễ dàng

Ngay cả khi người ta không thoải mái khi tạo các bản ghi và vùng này theo cách thủ công hoặc họ đã có cơ sở hạ tầng DNS tích hợp Windows AD hiện tại, người ta có thể làm theo các bước sau để dễ dàng di chuyển sang giải pháp DNS của bên thứ ba:

  1. Nếu tạo một rừng hoặc miền Windows mới, hãy chọn khả năng DNS của Microsoft để tất cả các bản ghi SRV cần thiết được tạo tự động.
  2. Thêm DNS của bên thứ ba vào mạng và cho phép chuyển vùng diễn ra với nó.
  3. Nếu cần, hãy chuyển đổi cấu trúc DNS tích hợp AD của bạn sang cấu trúc vùng tiêu chuẩn.
  4. Chỉ định DNS của bên thứ ba mới được tích hợp làm chính.
  5. Gỡ cài đặt dịch vụ DNS khỏi tất cả các bộ điều khiển miền hoặc máy chủ thành viên Windows.

Như chúng tôi đã trình bày rõ ràng, Active Directory không yêu cầu Microsoft DNS. Vì vậy, khuyến khích để không sử dụng sự tiện lợi của việc sử dụng độc quyền các máy chủ DNS của Microsoft là gì? Dưới đây là danh sách một số tính năng giá trị gia tăng được cung cấp bởi các giải pháp DNS của bên thứ ba có sẵn ngày hôm nay:

  • Chủ động bảo vệ hành vi thích ứng tự động khỏi các cuộc tấn công DNS, phần mềm độc hại và lọc dữ liệu thông qua bảo mật tường lửa DNS tùy chỉnh
  • Sử dụng các tính năng DNS và DHCP không có sẵn từ các giải pháp trong hộp của Microsoft như Bản đồ nhận dạng (liên kết địa chỉ IP với người dùng)
  • Giải quyết thông minh các truy vấn và lưu lượng truy cập trực tiếp theo vị trí địa lý
  • Gia tăng đăng nhập để giúp xác định nơi các vấn đề và các cuộc tấn công bắt nguồn
  • Sử dụng một giải pháp duy nhất cho DNS bên ngoài và bên trong (hay còn gọi là Chế độ xem đơn lẻ)
  • Cách quản lý hệ thống không thể tin được để quản lý DNS
  • Tăng cường bảo mật bằng cách giảm sử dụng đặc quyền quản trị viên

Bất cứ ai đã quản lý một miền Windows đều nhận thức được những hạn chế rõ ràng của việc ghi nhật ký và kiểm toán trong hộp. Cố gắng phân biệt DC mà một thiết bị đã đăng nhập, không đề cập đến địa chỉ IP được chỉ định của nó, là vấn đề tốt nhất và cồng kềnh. Mức độ kiểm toán và ghi nhật ký có sẵn trong các sản phẩm của bên thứ ba là mẫu mực. Hãy tưởng tượng bạn có thể truy cập các chi tiết của một thiết bị được thuê địa chỉ DHCP hơn một năm trước!

Microsoft luôn thừa nhận rằng mọi giải pháp DNS tuân thủ sẽ hoạt động cùng với Active Directory. Nói tóm lại, không bắt buộc phải sử dụng Microsoft DNS với Active Directory ngoài sự tiện lợi và thực tế là nó chỉ luôn được thực hiện theo cách đó trước đây, điều này không bao giờ là lý do chính đáng để làm bất cứ điều gì.