Resource: Windows 2000 Server Resource kit TCP/IP Core Networking Guide  

DNS > DNS Console Properties For Active Directory Integrated Zone - Zone Transfer Tab

 DNS Console Properties For Active Directory Integrated Zone - Zone Transfer Tab
 

در این قسمت برای مشخص کردن  IP Address سرور هایSecondary موجود در Network و  فرستادن یک کپی از Zone موجود در

ADS برای آنها استفاده می شود .

 Figure 1: Zone Transfer

 Figure 1: Zone Transfer

Allow zone transfer

اگر این گزینه فعال باشد سرور می تواند عمل Transfer را با Secondary Server ها انجام دهد .

 
NSLOOKUP

استفاده از این دستور می تواند دلایل زیادی داشته باشد اما موردی که در این بخش به آن پرداخته می شود   استفاده از دستور ls در این ابزار می باشد.

دستور NSLOOKUP بر روی کلیه Client ها و سرورهای یک Network در دسترس می باشد . و یک Admin و یا یک User معمولی می تواند از آن استفاده کند .

 

ls

این دستور یک سری مزایا دارد اما می تواند برای Attacker ها نیز اطلاعات مفیدی تهیه کند.مهمترین اطاعاتی که می تواند یک شخص

از طریق این دستور بدست آورد لیست

کلیه Host های درون یک Zone در DNS می باشد یا همان A resource Record ها و ... برنامه هایی وجود دارند که مثلا

یک Range IP را Ping می کنند تا نام Host ها را بدست آورند

و یا از طریق Broadcast کردن و ... اگر شما یک Admin محتاط می باشید و دوست ندارید که User ها بتوانند به Zone های DNS دسترسی

داشته باشند چند کار باید انجام دهید که یکی

از این روش ها را در این بخش شرح می دهیم .دستور ls در Nslookup از Transfer کردن اطلاعات یک Zone استفاده می کند و Query مبنی بر انجام این

عمل برای DNS Zone ارسال می کند.

پس اگر بتوان این Query  را قانونمند کرد برای یک Zone مشکلات تا حد زیادی حل می شود .

همانند شکل 1 در بخش  Zone Transfer مشاهده می کنید که سه گزینه وجود دارد.

که Default همیشه To any Server می باشد .در این حالت کلیه Query هایی که از طرف Client ها نیز ارسال می شود جواب داده می شود همانند شکل 2 در زیر .

 Figure 2: NSLOOKUP - ls Command  (Query from Network Clients)

 Figure 2: NSLOOKUP - ls Command  (Query from Network Clients - to - DNS Zone "Enterprise.com")

هر سیستمی در شبکه با هر User می تواند این لیست را از DNS Zone ها بگیرد و خوب این برای یک شبکه نمی تواند جالب باشد .

اگر در Tab مربوطه در DNS  که Zone Transfer می باشد شما Only to the following Servers را انتخاب کنید می توانید

بگویید که کدام سرورها و کدام Client ها اجازه دارند از

این خاصیت استفاده کنند . نام سروهای مهم که از این گزینه استفاده می کنند باید حتما وارد شود البته اگر از این روش

در شبکه استفاده می شود و نیز IP مربوط به Client هایی که

می خواهند از این دستور استفاده کنند نیز باید وارد شود که معمولا IP Address مربوط به Client Admin می باشد .

 

زمانی که یک Client که دارای IP Address می باشد که در لیست بالا تعریف نشده یک Query توسط دستور ls در Nslookup ارسال کند

همانند شکل 3 جواب Query Refused در یافت میکند.

 Figure 3: Query Refused

 Figure 3: Query Refused (Network Client)

 

Last Updated: October 01, 2006

Winteacher.com
DNS > DNS Console Properties For Active Directory Integrated Zone - Zone Transfer Tab

 © 2003-2006 Winteacher.com . All rights reserved