为 DirectAccess 设计 DNS 基础结构
Posted lostARK
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了为 DirectAccess 设计 DNS 基础结构相关的知识,希望对你有一定的参考价值。
TechNet 库
Windows Server
Windows Server 2008 R2 und Windows Server 2008
浏览 Windows Server 技术
Networking
DirectAccess
适用于 Windows Server 2008 R2 的 DirectAccess
DirectAccess 设计指南
DirectAccess 部署策略规划
DirectAccess 客户端的可用资源
选择 Intranet IPv6 连接设计
为仅限 IPv4 的 Intranet 资源选择解决方案
选择访问模型
选择配置方法
远程管理设计
设计在用户登录之前 Intranet 服务器可用性
设计用于 DirectAccess 的数据包筛选
选择身份验证和授权方案
为 DirectAccess 服务器设计寻址和路由
设计用于 DirectAccess 的 Active Directory
为 DirectAccess 设计 DNS 基础结构
为 DirectAccess 设计 PKI
为 DirectAccess 设计 Web 服务器
选择 Internet 通信分隔设计
为 DirectAccess 客户端之间的通信设计保护
设计 Intranet 以便进行企业连接检测
选择 DirectAccess 和 VPN 共存设计
使用 DirectAccess 连接助手 (DCA)
展开
为 DirectAccess 设计 DNS 基础结构
更新时间: 2009年10月
应用到: Windows 7, Windows Server 2008 R2
Important重要事项
本主题介绍 Windows Server 2008 R2 中 DirectAccess 的设计注意事项。 有关 Microsoft Forefront Unified Access Gateway (UAG) 中 DirectAccess 设计注意事项的信息,请参见 Forefront UAG DirectAccess 设计指南 (http://go.microsoft.com/fwlink/?LinkId=179988)(可能为英文网页)。
域名系统 (DNS) 基础结构的设计会影响 DirectAccess 的配置方式。 DNS 基础结构设计最重要的方面是您是否使用拆分式 DNS。
拆分式 DNS
拆分式 DNS 指的是对 Internet 和 Intranet 资源使用同一 DNS 域。 例如,Contoso 公司采用的是拆分式 DNS;Intranet 资源和 Internet 资源的域名都是 contoso.com。 Internet 用户使用 http://www.contoso.com 访问 Contoso 的公共网站,而 Contoso Intranet 上的 Contoso 员工也使用 http://www.contoso.com 访问 Contoso 的 Intranet 网站。 如果 Contoso 员工使用非 DirectAccess 客户端的便携式计算机在 Intranet 上访问 http://www.contoso.com,则会显示 Contoso 的 Intranet 网站。 如果他们带着其便携式计算机到当地咖啡店并访问同一 URL,则会显示 Contoso 的公共网站。
当 DirectAccess 客户端位于 Internet 上时,名称解析策略表 (NRPT) 会将对 Intranet 资源的 DNS 名称查询发送至 Intranet DNS 服务器。 DirectAccess 的典型 NRPT 会包含组织的命名空间规则(例如,Contoso 公司的 contoso.com)和 Intranet DNS 服务器的 Internet 协议版本 6 (IPv6) 地址。 正是由于 NRPT 中的此规则,当位于 Internet 上的 DirectAccess 客户端用户尝试访问其网站的统一资源定位器 (URL)(如 http://www.contoso.com)时,系统会显示 Intranet 版本。 因此,他们在位于 Internet 上时永远看不到此 URL 的公共版本。
如果您希望 DirectAccess 客户端上的用户在位于 Internet 上时看到此 URL 的公共版本,则必须将此 URL 的完全限定的域名 (FQDN) 作为免除规则添加到 DirectAccess 客户端的 NRPT 中。 不过,如果添加此免除规则,当 DirectAccess 客户端上的用户位于 Internet 上时,他们永远看不到此 URL 的 Intranet 版本。
对于拆分式 DNS 部署,您必须列出 Internet 和 Intranet 上的重复 FQDN,并确定 DirectAccess 客户端应访问 Intranet 版本还是公共 (Internet) 版本的资源。 对于您希望 DirectAccess 客户端访问的公共版本资源所对应的每个名称,必须将相应 FQDN 作为免除规则添加到 DirectAccess 客户端的 NRPT 中。
在拆分式 DNS 环境中,如果您希望使用两个版本的资源,请使用与 Internet 上使用的名称不重复的替换名称配置 Intranet 资源,并指示用户在位于 Intranet 上时使用此替换名称。 例如,配置并使用替换名称 www.internal.contoso.com 表示 Intranet 名称 www.contoso.com。
在非拆分式 DNS 环境中,Internet 命名空间不同于 Intranet 命名空间。 例如,Contoso 公司在 Internet 上使用 contoso.com,在 Intranet 上使用 corp.contoso.com。 由于所有 Intranet 资源均使用 corp.contoso.com DNS 后缀,因此 corp.contoso.com 的 NRPT 规则会将针对 Intranet 资源的所有 DNS 名称查询都路由到 Intranet DNS 服务器。 带有 contoso.com 后缀的名称的 DNS 名称查询与 NRPT 中的 corp.contoso.com Intranet 命名空间规则不匹配,因此系统会将这些查询发送到 Internet DNS 服务器。
对于非拆分式 DNS 部署,由于 Intranet 和 Internet 资源的 FQDN 互不重复,因此无需对 NRPT 进行其他配置。 DirectAccess 客户端可访问其组织的 Internet 和 Intranet 资源。
note备注
DirectAccess 测试实验室 (http://go.microsoft.com/fwlink/?Linkid=150613) 在模拟 Internet 上使用 contoso.com,在模拟 Intranet 上使用 corp.contoso.com。
ISATAP 的 DNS 服务器要求
如果使用站内自动隧道寻址协议 (ISATAP) 在 Intranet 上建立 IPv6 连接,则对于 DirectAccess 客户端使用的 Intranet DNS 服务器,必须使用以下各项:
运行 Windows Server 2008 R2、装有 Q958194 修补程序 (http://go.microsoft.com/fwlink/?LinkId=159951) 的 Windows Server 2008 或者 Windows Server 2008 SP2 或更高版本的 DNS 服务器。 这些版本的 Windows 中的 DNS 服务器服务支持在 ISATAP 接口上处理 DNS 流量。
能够在 ISATAP 接口上处理 DNS 流量的非 Microsoft DNS 服务器。
默认情况下,Windows Server 2008 及更高版本中的 DNS 服务器服务通过 DNS 全局查询阻止列表来阻止对名称 ISATAP 的名称解析。 若要在 Intranet 上使用 ISATAP,则必须从运行 Windows Server 2008 及更高版本的所有 DNS 服务器的列表中删除 ISATAP 名称。 有关更多信息,请参见 DirectAccess 部署指南中的从 DNS 全局查询阻止列表中删除 ISATAP。
不执行 DNS 动态更新的服务器的 AAAA 记录
对于运行支持 IPv6 的非 Windows 操作系统(不支持 IPv6 地址的 DNS 动态更新)的服务器,请手动添加这些服务器的名称和 IPv6 地址的 AAAA 记录。
DirectAccess 客户端的本地名称解析行为
如果无法使用 DNS 解析名称,则 Windows 7 和 Windows Server 2008 R2 中的 DNS 客户端服务可使用本地名称解析、链路本地多播名称解析 (LLMNR) 和 TCP/IP 上的 NetBios 协议来解析本地子网上的相应名称。
当计算机位于专用网络(如单个子网家庭网络)上时,对等连接通常需要使用本地名称解析。 如果 DNS 客户端服务对 Intranet 服务器名称执行本地名称解析,并且计算机连接到 Internet 上的共享子网,恶意用户则可以捕获 LLMNR 和 TCP/IP 上的 NetBIOS 消息来确定 Intranet 服务器名称。
在 DirectAccess 安装向导的步骤 3 中,您可以根据从 Intranet DNS 服务器接收到的响应类型配置本地名称解析行为。 您具有以下选项:
仅当内部网络 DNS 服务器确定该名称不存在时,才使用本地名称解析
由于 DirectAccess 客户端仅对 Intranet DNS 服务器无法解析的服务器名称执行本地名称解析,因此,此选项的安全性最高。 如果无法访问 Intranet DNS 服务器,则将解析 Intranet 服务器的名称。 如果无法访问 Intranet DNS 服务器或者存在其他类型的 DNS 错误,则不会通过本地名称解析将 Intranet 服务器名称泄漏到子网中。
如果内部网络 DNS 服务器确定该名称不存在,或内部网络 DNS 服务器无法访问并且 DirectAccess 客户端计算机位于专用网络上,则使用本地名称解析
此选项允许在无法访问 Intranet DNS 服务器时在专用网络上使用本地名称解析,因此,此选项的安全性为中等。
无论尝试通过内部网络 DNS 服务器解析名称时返回何种错误,都使用本地名称解析
由于 Intranet 网络服务器的名称可通过本地名称解析泄漏到本地子网,因此,此选项的安全性最低。
选择符合您的安全要求的选项。
NRPT 规则
在 DirectAccess 安装向导的步骤 3 中,您可以配置 NRPT 中的规则,即 DNS 客户端服务用于确定 DNS 名称查询的目标发送位置的内部表。 DirectAccess 安装向导会自动为 DirectAccess 客户端创建两条规则:
DirectAccess 服务器的域名和与 DirectAccess 服务器上配置的 Intranet DNS 服务器相对应的 IPv6 地址的命名空间规则。 例如,如果 DirectAccess 服务器是 corp.contoso.com 域的成员,则 DirectAccess 安装向导会为 .corp.contoso.com DNS 后缀创建命名空间规则。
网络位置服务器的 FQDN 的免除规则。 例如,如果网络位置服务器的 URL 为 https://nls.corp.contoso.com,则 DirectAccess 安装向导会为 FQDN nls.corp.contoso.com 创建免除规则。
在以下情况下,您可能需要在 DirectAccess 安装向导的步骤 3 中配置其他 NRPT 规则:
您需要为 Intranet 命名空间添加更多 DNS 后缀命名空间规则。
如果 Intranet 和 Internet CRL 分发点的 FDQN 基于 Intranet 命名空间,则您必须添加 Internet 和 Intranet CRL 分发点的 FQDN 的免除规则。
如果您拥有拆分式 DNS 环境,则对于希望 Internet 上的 DirectAccess 客户端访问其公共 (Internet) 版本(而非 Intranet 版本)的资源,您必须添加其名称的免除规则。
如果您通过 Intranet Web 代理服务器将通信重定向到只能从 Intranet 访问的外部网站,并且此外部网站使用 Web 代理服务器的地址允许入站请求,则必须添加此外部网站的 FQDN 的免除规则,并指定此规则使用 Intranet Web 代理服务器,而不是 Intranet DNS 服务器的 IPv6 地址。
例如,Contoso 公司正在测试一个名为 test.contoso.com 的外部网站。此名称无法通过 Internet DNS 服务器进行解析,但 Contoso 的 Web 代理服务器知道如何解析此名称以及如何将该网站的请求定向到外部 Web 服务器。 为了防止位于 Contoso Intranet 以外的用户访问该站点,该外部网站仅允许来自 Contoso Web 代理的 Internet 协议版本 4 (IPv4) Internet 地址的请求。 因此,Intranet 用户可以访问该网站,因为他们使用的是 Contoso Web 代理,而 DirectAccess 用户却无法访问该网站,因为他们使用的不是 Contoso Web 代理。 通过为使用 Contoso Web 代理的 test.contoso.com 配置 NRPT 免除规则,test.contoso.com 的网页请求将通过 IPv4 Internet 路由至 Intranet Web 代理服务器。
您还可以从 DirectAccess 客户端的组策略对象中的“计算机配置”\“策略”\“Windows 设置”\“名称解析策略”配置 NRPT 规则。 有关更多信息,请参阅 DirectAccess 部署指南中的使用组策略配置 NRPT。
note备注
NRPT 中的最大规则数为 1000。
如果您要配置命名空间规则且 DNS 服务器位于 Intranet 以外,则应使用 Internet 协议安全 (IPsec) 或 DNS 安全扩展 (DNSSEC) 保护对这些服务器的 DNS 查询。
DirectAccess 测试实验室 (http://go.microsoft.com/fwlink/?Linkid=150613) 中的 DirectAccess 安装向导在 NRPT 中创建以下两条规则:为具有 Intranet DNS 服务器的 IPv6 地址的 corp.contoso.com 创建一条命名空间规则;为 nls.corp.contoso.com 创建一条免除规则。您可以通过在命令提示符下运行 netsh namespace show policy 命令来查看使用 CLIENT1 中的组策略配置的 NRPT 规则。 您可以使用 netsh namespace show effectivepolicy 命令查看有效的 NRPT 规则。
DirectAccess 客户端的 DNS 服务器查询行为
NRPT 中包含活动规则的 DirectAccess 客户端配置有两组 DNS 服务器;NRPT 的命名空间规则中的 DNS 服务器和配置接口的 DNS 服务器。 如果 FQDN 与命名空间规则匹配,则只查询命名空间规则中指定的 DNS 服务器。 即使无法访问匹配命名空间规则中的 DNS 服务器,DirectAccess 客户端也不会查询配置接口的 DNS 服务器。
NRPT 中包含活动规则的 DirectAccess 客户端仅在以下情况下才会查询配置接口的 DNS 服务器:
FQDN 与免除规则匹配。
FQDN 不与任何 NRPT 规则匹配。
非限定的单标签名称和 DNS 搜索后缀
非限定的单标签名称有时用于 Intranet 服务器,以便您可以指定单个名称,例如,http://paycheck。 DNS 客户端服务使用 DNS 后缀搜索列表将这些名称组合在一起,以便创建一系列可使用 DNS 解析的 FQDN。 默认情况下,DNS 后缀搜索列表中会包含计算机的域名,并且可添加其他 DNS 后缀。 例如,当作为 corp.contoso.com 域成员的计算机上的用户在其 Web 浏览器中键入 http://paycheck 时,Windows 可构造 paycheck.corp.contoso.com 名称作为 FQDN。
note备注
使用“计算机配置”/“管理模板”/“网络”/“DNS 客户端”/“DNS 后缀搜索列表”组策略设置可将 DNS 后缀添加到加入到域的客户端计算机的 DNS 后缀搜索列表中。
为了确保非限定的单标签名称能够解析为相同的 Intranet 资源,而无论 DirectAccess 客户端是连接到 Intranet 还是 Internet,DNS 后缀搜索列表应与 NRPT 中的命名空间规则匹配。 一般而言,Intranet 命名空间的每个 DNS 后缀都应与 NRPT 中的命名空间规则相对应。
note备注
如果本地子网上的服务器名称与 Intranet 上的服务器名称重复,则 DirectAccess 客户端会始终连接到 Intranet 资源。 例如,如果家庭网络服务器命名为 Server1,并且存在同名的 Intranet 服务器,则您会始终连接到 Intranet Server1。 若要连接到本地子网资源,请在该服务器名称后附加“.local”。 例如,若要连接到名为 Server1 的本地子网服务器,请使用名称 Server1.local。
外部 DNS
DirectAccess 安装向导使用 6to4 中继的 IPv4 地址配置 DirectAccess 客户端,并使用“计算机配置”\“策略”\“管理模板”\“网络”\“TCPIP 设置”\“IPv6 转换技术”中的组策略设置配置 Teredo 服务器。 对于基于安全超文本传输协议的 Internet 协议 (IP-HTTPS) 服务器的 URL(IP-HTTPS 状态设置),DirectAccess 安装向导会配置 https://主题:443/IPHTTPS,其中主题 表示您在 DirectAccess 安装向导的步骤 2 中指定的 HTTPS 证书的“主题”字段。 如果 IP-HTTPS 证书的“主题”字段为“FQDN”,则您必须确保可使用 Internet DNS 服务器解析该 FQDN。
如果您将 6to4 中继名称或 Teredo 服务器名称组策略设置修改为使用 FQDN(而非 IPv4 地址),则您必须确保可使用 Internet DNS 服务器解析相应 FQDN。
此外,还必须确保可使用 Internet DNS 服务器解析可访问 Internet 的证书吊销列表 (CRL) 分发点的 FQDN。 例如,如果 DirectAccess 服务器的 IP-HTTPS 证书的“CRL 分发点”字段为 URL http://crl.contoso.com/crld/corp-DC1-CA.crl,则您必须确保可使用 Internet DNS 服务器解析 FQDN crl.contoso.com。
社区附加资源
以上是关于为 DirectAccess 设计 DNS 基础结构的主要内容,如果未能解决你的问题,请参考以下文章
Direct Access技术之三:部署与配置DirectAccess
KB2862152 DirectAccess 安全功能绕过漏洞