為了切實緩解與因搜索列表導(dǎo)致的域名沖突相關(guān)的問題，用戶和系統(tǒng)都需要更改其使用域名的方式。通過更改通知、認(rèn)知程序和培訓(xùn)的方式，有助于讓用戶提前做好準(zhǔn)備。

 

　　請注意，如果您已采用集中管理，那么這些操作可能會比想象中容易。很多經(jīng)常使用搜索列表的人都知道，他們在需要時還能輸入完整的域名(比如在從組織的專用網(wǎng)絡(luò)以外訪問服務(wù)器時)，與只知道使用簡短非限定域名的人相比，培訓(xùn)這些人將會輕松一些。

 

　　監(jiān)控對域名服務(wù)器的請求

　　要緩解搜索列表帶來的問題，您就需要了解請求中使用搜索列表的所有計算機、網(wǎng)絡(luò)設(shè)備和任何其他系統(tǒng)。所有自動使用搜索列表的設(shè)備都需要進(jìn)行更新。

 

　　有三種常用的方法用來執(zhí)行此系統(tǒng)監(jiān)控和枚舉：

 

　　·遞歸域名服務(wù)器(如 Active Directory)可能有日志記錄功能，您可以開啟日志記錄功能，以獲取所有使用簡短非限定域名的查詢的詳情。

 

　　·很多現(xiàn)代防火墻都能配置為檢測和記錄對所有域名的查詢。這可能沒有通過命名系統(tǒng)本身進(jìn)行記錄那樣有效，具體情況取決于您的網(wǎng)絡(luò)拓?fù)�。例如，如果某個查詢沒有通過防火墻，防火墻就無法檢測到該查詢，因此會將其遺漏。

 

　　·如果任何方法都不行，則可以使用數(shù)據(jù)包捕獲程序(如 Wireshark)監(jiān)控域名服務(wù)器。但是，此方法需要使用某種程序?qū)Σ东@到的數(shù)據(jù)進(jìn)行處理，才能發(fā)現(xiàn)對簡短非限定域名的查詢。

 

　　請注意，此步驟產(chǎn)生的結(jié)果可能會令人感到困惑。計算機和電話等設(shè)備上都有可讓用戶輸入域名的應(yīng)用程序;這些設(shè)備都將作為調(diào)查對象，即便沒有存儲任何簡短非限定域名。對于這一步，只需要知道您網(wǎng)絡(luò)中所有存儲簡短非限定域名的位置以及應(yīng)用程序所使用簡短非限定域名的位置即可。

 

　　創(chuàng)建自動使用簡短非限定域名的各個系統(tǒng)的清單

　　您需要將在上一步獲得日志匯總。應(yīng)在該匯總文件中列出所有設(shè)備以及所有被查詢的簡短非限定域名，而不是每個進(jìn)行查詢的設(shè)備實例。需要列出所有被查詢的域名的原因是，有些設(shè)備包含多個需要進(jìn)行修復(fù)的應(yīng)用程序。通過此匯總文件可清楚地看到需要更改的設(shè)備。

 

　　培訓(xùn)用戶和系統(tǒng)管理員使用 FQDN

　　除了更改可在任何配置(系統(tǒng)級配置或單個應(yīng)用程序的配置)中輸入簡短非限定域名的系統(tǒng)外，您還需要改變用戶的想法，以便讓他們從使用簡短非限定域名轉(zhuǎn)變?yōu)橥暾�域名。還應(yīng)對會影響您組織的意外或不良后果進(jìn)行解釋，以便提高意識并鞏固接受度。

 

　　將每個受影響的系統(tǒng)轉(zhuǎn)變?yōu)槭褂?FQDN

　　按系統(tǒng)逐個使用同等的 FQDN 替換簡短非限定域名。能在系統(tǒng)的所有軟件中找到每個簡短非限定域名的實例都需要被完全限定域名替換。

 

　　之前開始的監(jiān)控在這一步驟中尤其重要。您無法確定所有被更改且內(nèi)嵌有簡短非限定域名的系統(tǒng)的所有應(yīng)用程序。但是，在更改各個系統(tǒng)后需要查詢監(jiān)控系統(tǒng)，以了解該系統(tǒng)是否還在請求簡短非限定域名。

 

　　很多系統(tǒng)在首次啟動時都會運行一些初始化應(yīng)用程序。這些應(yīng)用程序可能內(nèi)嵌有依靠搜索列表的系統(tǒng)名稱，發(fā)現(xiàn)所有這些名稱可能很困難。在將系統(tǒng)中的所有域名更改為使用 FQDN 后，即可重啟系統(tǒng)并使用監(jiān)控軟件監(jiān)測域名查找。如果系統(tǒng)正在查找任何簡短非限定域名，您就需要判斷該請求是由哪個軟件導(dǎo)致的并將其更改為使用 FQDN。此過程可能需要數(shù)次重啟，才能正確地完全配置好一個系統(tǒng)。

 

　　關(guān)閉共享域名解析器上的搜索列表

　　本步驟是讓網(wǎng)絡(luò)中的所有系統(tǒng)(個人計算機、網(wǎng)絡(luò)設(shè)備、打印機等等)真正實現(xiàn)從簡短非限定域名遷移到完整域名的關(guān)鍵。搜索列表可以存在于任何能進(jìn)行域名解析或能為其他系統(tǒng)提供配置的系統(tǒng)中，如DHCP 服務(wù)器。這些系統(tǒng)通常為獨立的域名服務(wù)器，但也可能是防火墻或其他網(wǎng)絡(luò)設(shè)備。不管系統(tǒng)類型如何，都需要關(guān)閉各個系統(tǒng)的搜索列表，以便防止用戶在給定的命名空間中使用簡短非限定域名。

 

　　在域名服務(wù)器上開始監(jiān)控簡短非限定域名的使用情況

　　您應(yīng)該對域名服務(wù)器進(jìn)行配置，讓其開始監(jiān)控所有對需要使用搜索列表的域名的請求。如果您提供提前通知和培訓(xùn)，您的用戶就不得使用這些域名，此監(jiān)控步驟創(chuàng)建的日志不會很大;如果是這樣，您可能需要對您網(wǎng)絡(luò)上的特定系統(tǒng)重復(fù)上述幾個步驟。

 

　　在外圍設(shè)立長期監(jiān)控措施監(jiān)測簡短非限定域名

　　在上一步中應(yīng)該找出了絕大多數(shù)使用簡短非限定域名的情況，但是有些(可能是關(guān)鍵)系統(tǒng)可能仍然在使用簡短非限定域名，即便可能只有很少一部分。檢測這些域名查詢的最佳方法是，將規(guī)則添加到您網(wǎng)絡(luò)邊緣的所有防火墻中，以便查找遺漏的任何請求。這些規(guī)則應(yīng)該具有較高的優(yōu)先級，而且應(yīng)該配置為能夠生成事件通知，以便 IT 工作人員及時獲知。您也可以選擇在防火墻日志中查找這些事件，但這樣做極有可能造成遺漏。通過發(fā)生請求時觸發(fā)的警告，工作人員現(xiàn)在即可檢測出這些極少出現(xiàn)的事件。有些防火墻需要支付額外的費用添加額外的功能才能支持此類規(guī)則;如果您的防火墻是這樣，那么您就需要評估找到遺漏的請求所獲得的益處是否值得花費額外的費用。

標(biāo)簽： 域名 域名沖突

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。