对于网络管理人员来说，确保Windows Server 2003域上的域名解析系统(domain name system，简称DNS)安全，是非常基本的一个要求。

       活动目录(Active Directory，简称AD)使用DNS来定位域控制器以及其他域服务所需的资源(比如文件，打印机，邮件等等)。由于DNS是活动目录域体系不可或缺的一部分，所以从一开始就应当确保它的安全。

　　在Windows Server 2003上安装DNS时，不要修改“活动目录集成DNS”的默认设置。微软在2000中开始提供这种设定。

　　这意味着系统仅仅在DNS服务器上保存DNS数据，而不会保存或复制域控制器和全局目录服务器上的相关信息。这样不仅可以提升运行速度，而且还提升了三种服务器的运作效率。

　　对DNS服务器和客户端(或其他服务器)之间的数据传输进行加密也是至关重要的。DNS使用TCP/UDP的53端口;通过在你的安全界线上不同的点对这个端口进行过滤，你可以确保DNS服务器只接受认证过的连接。

另外，这也是一个部署IPSec的好时机，来对DNS客户端和服务器之间的数据传输进行加密。开启IPSec可以确保所有客户端和服务器之间的通讯得到确认和加密。这意味着你的客户端仅仅和认证过的服务器通讯，并有助于阻止请求欺骗或损害。

　　配置完毕DNS服务器之后，继续监视连接，就像你留意企业中其他高价值目标一样。DNS服务器需要可用的带宽以服务客户的请求。

[1] [2]  下一页