Параметри конфігурації зони DNS, наведені в наступних розділах, впливають на безпеку як стандартних зон, так і зон, інтегрованих в Active Directory.
Налаштування безпечних динамічних оновлень
За замовчуванням Динамічне оновлення не налаштований на підтримку динамічних оновлень. Це найбезпечніший параметр, так як він перешкоджає оновленню зловмисником зон DNS. Однак цей параметр не дозволяє адміністраторам використовувати адміністративні переваги динамічних оновлень. Щоб налаштувати комп'ютери на більш безпечне оновлення даних DNS, зберігайте зони DNS в доменних службах Active Directory і використовуйте функціональну можливість безпечного динамічного оновлення. Безпечне динамічний відновлення обмежує відновлення зони DNS, роблячи їх доступними тільки для тих комп'ютерів, які пройшли перевірку і є членами домену Active Directory, де знаходиться DNS-сервер, і тільки для певних параметрів безпеки, визначених у списках управління доступом для зони DNS.
Управління списком DACL для зон DNS, що зберігаються в доменних службах Active Directory
Можна використовувати список DACL для управління дозволами для користувачів і груп Active Directory, які можуть управляти зонами DNS.
У цій табличці вказано імена груп або користувачів за замовчуванням для зон DNS, що зберігаються в доменних службах Active Directory.
Групи або користувачі
Обмеження передачі зони
Загальне уявлення про переваги і недоліки делегування зони
При визначенні, чи слід делегувати DNS-імена домену в зони, що знаходяться на окремо адмініструються DNS-серверах, важливо врахувати, як надання кільком особам можливості адміністрування даних DNS в мережі буде впливати на безпеку. Делегування зони DNS ставить перед системним адміністратором завдання вибору переваг і недоліків між двома варіантами: наявністю окремого повноважного DNS-сервера для всіх даних DNS і адміністративними перевагами розподілу відповідальності для простору імен DNS між різними адміністраторами. Це питання дуже важливо враховувати при делегуванні доменів верхнього рівня приватного простору імен DNS, тому що ці домени містять конфіденційні дані DNS.
Відновлення даних зони DNS
Ця операція може бути застосована тільки до стандартних зон, що не зберігаються в доменних службах Active Directory.