缓解与搜索列表相关的域名冲突的步骤

2019-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

  为了切实缓解与因搜索列表导致的域名冲突相关的问题,用户和系统都需要更改其使用域名的方式。通过更改通知、认知程序和培训的方式,有助于让用户提前做好准备。

 

  请注意,如果您已采用集中管理,那么这些操作可能会比想象中容易。很多经常使用搜索列表的人都知道,他们在需要时还能输入完整的域名(比如在从组织的专用网络以外访问服务器时),与只知道使用简短非限定域名的人相比,培训这些人将会轻松一些。

 

  监控对域名服务器的请求

  要缓解搜索列表带来的问题,您就需要了解请求中使用搜索列表的所有计算机、网络设备和任何其他系统。所有自动使用搜索列表的设备都需要进行更新。

 

  有三种常用的方法用来执行此系统监控和枚举:

 

  ·递归域名服务器(如 Active Directory)可能有日志记录功能,您可以开启日志记录功能,以获取所有使用简短非限定域名的查询的详情。

 

  ·很多现代防火墙都能配置为检测和记录对所有域名的查询。这可能没有通过命名系统本身进行记录那样有效,具体情况取决于您的网络拓扑。例如,如果某个查询没有通过防火墙,防火墙就无法检测到该查询,因此会将其遗漏。

 

  ·如果任何方法都不行,则可以使用数据包捕获程序(如 Wireshark)监控域名服务器。但是,此方法需要使用某种程序对捕获到的数据进行处理,才能发现对简短非限定域名的查询。

 

  请注意,此步骤产生的结果可能会令人感到困惑。计算机和电话等设备上都有可让用户输入域名的应用程序;这些设备都将作为调查对象,即便没有存储任何简短非限定域名。对于这一步,只需要知道您网络中所有存储简短非限定域名的位置以及应用程序所使用简短非限定域名的位置即可。

 

  创建自动使用简短非限定域名的各个系统的清单

  您需要将在上一步获得日志汇总。应在该汇总文件中列出所有设备以及所有被查询的简短非限定域名,而不是每个进行查询的设备实例。需要列出所有被查询的域名的原因是,有些设备包含多个需要进行修复的应用程序。通过此汇总文件可清楚地看到需要更改的设备。

 

  培训用户和系统管理员使用 FQDN

  除了更改可在任何配置(系统级配置或单个应用程序的配置)中输入简短非限定域名的系统外,您还需要改变用户的想法,以便让他们从使用简短非限定域名转变为完整域名。还应对会影响您组织的意外或不良后果进行解释,以便提高意识并巩固接受度。

 

  将每个受影响的系统转变为使用 FQDN

  按系统逐个使用同等的 FQDN 替换简短非限定域名。能在系统的所有软件中找到每个简短非限定域名的实例都需要被完全限定域名替换。

 

  之前开始的监控在这一步骤中尤其重要。您无法确定所有被更改且内嵌有简短非限定域名的系统的所有应用程序。但是,在更改各个系统后需要查询监控系统,以了解该系统是否还在请求简短非限定域名。

 

  很多系统在首次启动时都会运行一些初始化应用程序。这些应用程序可能内嵌有依靠搜索列表的系统名称,发现所有这些名称可能很困难。在将系统中的所有域名更改为使用 FQDN 后,即可重启系统并使用监控软件监测域名查找。如果系统正在查找任何简短非限定域名,您就需要判断该请求是由哪个软件导致的并将其更改为使用 FQDN。此过程可能需要数次重启,才能正确地完全配置好一个系统。

 

  关闭共享域名解析器上的搜索列表

  本步骤是让网络中的所有系统(个人计算机、网络设备、打印机等等)真正实现从简短非限定域名迁移到完整域名的关键。搜索列表可以存在于任何能进行域名解析或能为其他系统提供配置的系统中,如DHCP 服务器。这些系统通常为独立的域名服务器,但也可能是防火墙或其他网络设备。不管系统类型如何,都需要关闭各个系统的搜索列表,以便防止用户在给定的命名空间中使用简短非限定域名。

 

  在域名服务器上开始监控简短非限定域名的使用情况

  您应该对域名服务器进行配置,让其开始监控所有对需要使用搜索列表的域名的请求。如果您提供提前通知和培训,您的用户就不得使用这些域名,此监控步骤创建的日志不会很大;如果是这样,您可能需要对您网络上的特定系统重复上述几个步骤。

 

  在外围设立长期监控措施监测简短非限定域名

  在上一步中应该找出了绝大多数使用简短非限定域名的情况,但是有些(可能是关键)系统可能仍然在使用简短非限定域名,即便可能只有很少一部分。检测这些域名查询的最佳方法是,将规则添加到您网络边缘的所有防火墙中,以便查找遗漏的任何请求。这些规则应该具有较高的优先级,而且应该配置为能够生成事件通知,以便 IT 工作人员及时获知。您也可以选择在防火墙日志中查找这些事件,但这样做极有可能造成遗漏。通过发生请求时触发的警告,工作人员现在即可检测出这些极少出现的事件。有些防火墙需要支付额外的费用添加额外的功能才能支持此类规则;如果您的防火墙是这样,那么您就需要评估找到遗漏的请求所获得的益处是否值得花费额外的费用。

标签: 域名 域名冲突

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:虚拟主机如何实现泛域名解析

下一篇:何时需要缓解域名冲突