確保Windows Server 2003域上的域名解析系統(tǒng)(domain name system，簡稱DNS)安全，是非常基本的一個要求。活動目錄(Active Directory，簡稱AD)使用DNS來定位域控制器以及其他域服務(wù)所需的資源(比如文件，打印機，郵件等等)。由于DNS是活動目錄域體系不可或缺的一部分，所以從一開始就應(yīng)當(dāng)確保它的安全。 
　　在Windows Server 2003上安裝DNS時，不要修改“活動目錄集成DNS”的默認(rèn)設(shè)置。微軟在2000中開始提供這種設(shè)定。 
　　這意味著系統(tǒng)僅僅在DNS服務(wù)器上保存DNS數(shù)據(jù)，而不會保存或復(fù)制域控制器和全局目錄服務(wù)器上的相關(guān)信息。這樣不僅可以提升運行速度，而且還提升了三種服務(wù)器的運作效率。 
　　對DNS服務(wù)器和客戶端(或其他服務(wù)器)之間的數(shù)據(jù)傳輸進行加密也是至關(guān)重要的。DNS使用TCP/UDP的53端口;通過在你的安全界線上不同的點對這個端口進行過濾，你可以確保DNS服務(wù)器只接受認(rèn)證過的連接。 
　　另外，這也是一個部署IPSec的好時機，來對DNS客戶端和服務(wù)器之間的數(shù)據(jù)傳輸進行加密。開啟IPSec可以確保所有客戶端和服務(wù)器之間的通訊得到確認(rèn)和加密。這意味著你的客戶端僅僅和認(rèn)證過的服務(wù)器通訊，并有助于阻止請求欺騙或損害。 
　　配置完畢DNS服務(wù)器之后，繼續(xù)監(jiān)視連接，就像你留意企業(yè)中其他高價值目標(biāo)一樣。DNS服務(wù)器需要可用的帶寬以服務(wù)客戶的請求。 
　　如果你看到某個源機器上朝著DNS服務(wù)器發(fā)出了大量的網(wǎng)絡(luò)通訊，你可能是遭受了“拒絕服務(wù)攻擊”(denial-of-service，簡稱DoS)。直接從源頭切斷連接，或者斷掉服務(wù)器的網(wǎng)絡(luò)連接，直到你調(diào)查清楚問題之后再說。記住，一次成功的對DNS服務(wù)器的DoS攻擊會直接導(dǎo)致活動目錄癱瘓。 
　　使用默認(rèn)的設(shè)置(動態(tài)安全更新)，只有認(rèn)證過的客戶端才可以注冊并更新服務(wù)器上的入口信息。這可以阻止攻擊者修改你的DNS入口信息，從而誤導(dǎo)客戶到精心偽造的網(wǎng)站上以竊取財務(wù)資料等重要信息。 
　　你同樣可以使用配額以阻止客戶端對DNS的洪水攻擊。客戶端通常只能注冊10個記錄。通過限制單個客戶可注冊的目標(biāo)數(shù)目，你可以阻止一個客戶端對它自己的DNS服務(wù)器進行DoS攻擊。 
　　注意:確定你對DHCP服務(wù)器，域控制器，以及多宿主服務(wù)器(multi-homed)使用了不同的定額。這些服務(wù)器依據(jù)他們提供的功能不同，可能需要注冊上百個目標(biāo)或用戶。 
　　DNS服務(wù)器將對一個授權(quán)區(qū)域內(nèi)的任何查詢請求作出響應(yīng)。要想對外部世界隱藏你的內(nèi)部網(wǎng)絡(luò)架構(gòu)，通常需要設(shè)置一個分隔的姓名空間，這一般意味著一臺DNS服務(wù)器負(fù)責(zé)你的內(nèi)部DNS架構(gòu)，另一臺DNS服務(wù)器則負(fù)責(zé)外部以及Internet的DNS架構(gòu)。通過阻止外部用戶訪問內(nèi)部DNS服務(wù)器，你可以防止內(nèi)部非開放資源的泄露。 
　　最后 
　　不管你是運行一個Windows網(wǎng)絡(luò)，或者是UNIX和Windows的混合體，DNS的安全都應(yīng)該是你網(wǎng)絡(luò)的核心。采取措施以保護DNS免受外部和內(nèi)部的攻擊。