為了切實(shí)緩解與因搜索列表導(dǎo)致的域名沖突相關(guān)的問題，用戶和系統(tǒng)都需要更改其使用域名的方式。通過更改通知、認(rèn)知程序和培訓(xùn)的方式，有助于讓用戶提前做好準(zhǔn)備。

　　請注意，如果您已采用集中管理，那么這些操作可能會(huì)比想象中容易。很多經(jīng)常使用搜索列表的人都知道，他們在需要時(shí)還能輸入完整的域名(比如在從組織的專用網(wǎng)絡(luò)以外訪問服務(wù)器時(shí))，與只知道使用簡短非限定域名的人相比，培訓(xùn)這些人將會(huì)輕松一些。

　　監(jiān)控對域名服務(wù)器的請求

　　要緩解搜索列表帶來的問題，您就需要了解請求中使用搜索列表的所有計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備和任何其他系統(tǒng)。所有自動(dòng)使用搜索列表的設(shè)備都需要進(jìn)行更新。

　　有三種常用的方法用來執(zhí)行此系統(tǒng)監(jiān)控和枚舉：

　　·遞歸域名服務(wù)器(如 Active Directory)可能有日志記錄功能，您可以開啟日志記錄功能，以獲取所有使用簡短非限定域名的查詢的詳情。

　　·很多現(xiàn)代防火墻都能配置為檢測和記錄對所有域名的查詢。這可能沒有通過命名系統(tǒng)本身進(jìn)行記錄那樣有效，具體情況取決于您的網(wǎng)絡(luò)拓?fù)�。例如，如果某個(gè)查詢沒有通過防火墻，防火墻就無法檢測到該查詢，因此會(huì)將其遺漏。

　　·如果任何方法都不行，則可以使用數(shù)據(jù)包捕獲程序(如 Wireshark)監(jiān)控域名服務(wù)器。但是，此方法需要使用某種程序?qū)Σ东@到的數(shù)據(jù)進(jìn)行處理，才能發(fā)現(xiàn)對簡短非限定域名的查詢。

　　請注意，此步驟產(chǎn)生的結(jié)果可能會(huì)令人感到困惑。計(jì)算機(jī)和電話等設(shè)備上都有可讓用戶輸入域名的應(yīng)用程序;這些設(shè)備都將作為調(diào)查對象，即便沒有存儲(chǔ)任何簡短非限定域名。對于這一步，只需要知道您網(wǎng)絡(luò)中所有存儲(chǔ)簡短非限定域名的位置以及應(yīng)用程序所使用簡短非限定域名的位置即可。

　　創(chuàng)建自動(dòng)使用簡短非限定域名的各個(gè)系統(tǒng)的清單

　　您需要將在上一步獲得日志匯總。應(yīng)在該匯總文件中列出所有設(shè)備以及所有被查詢的簡短非限定域名，而不是每個(gè)進(jìn)行查詢的設(shè)備實(shí)例。需要列出所有被查詢的域名的原因是，有些設(shè)備包含多個(gè)需要進(jìn)行修復(fù)的應(yīng)用程序。通過此匯總文件可清楚地看到需要更改的設(shè)備。

　　培訓(xùn)用戶和系統(tǒng)管理員使用 FQDN

　　除了更改可在任何配置(系統(tǒng)級(jí)配置或單個(gè)應(yīng)用程序的配置)中輸入簡短非限定域名的系統(tǒng)外，您還需要改變用戶的想法，以便讓他們從使用簡短非限定域名轉(zhuǎn)變?yōu)橥暾�域名。還應(yīng)對會(huì)影響您組織的意外或不良后果進(jìn)行解釋，以便提高意識(shí)并鞏固接受度。

　　將每個(gè)受影響的系統(tǒng)轉(zhuǎn)變?yōu)槭褂?FQDN

　　按系統(tǒng)逐個(gè)使用同等的 FQDN 替換簡短非限定域名。能在系統(tǒng)的所有軟件中找到每個(gè)簡短非限定域名的實(shí)例都需要被完全限定域名替換。

　　之前開始的監(jiān)控在這一步驟中尤其重要。您無法確定所有被更改且內(nèi)嵌有簡短非限定域名的系統(tǒng)的所有應(yīng)用程序。但是，在更改各個(gè)系統(tǒng)后需要查詢監(jiān)控系統(tǒng)，以了解該系統(tǒng)是否還在請求簡短非限定域名。

　　很多系統(tǒng)在首次啟動(dòng)時(shí)都會(huì)運(yùn)行一些初始化應(yīng)用程序。這些應(yīng)用程序可能內(nèi)嵌有依靠搜索列表的系統(tǒng)名稱，發(fā)現(xiàn)所有這些名稱可能很困難。在將系統(tǒng)中的所有域名更改為使用 FQDN 后，即可重啟系統(tǒng)并使用監(jiān)控軟件監(jiān)測域名查找。如果系統(tǒng)正在查找任何簡短非限定域名，您就需要判斷該請求是由哪個(gè)軟件導(dǎo)致的并將其更改為使用 FQDN。此過程可能需要數(shù)次重啟，才能正確地完全配置好一個(gè)系統(tǒng)。

　　關(guān)閉共享域名解析器上的搜索列表

　　本步驟是讓網(wǎng)絡(luò)中的所有系統(tǒng)(個(gè)人計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、打印機(jī)等等)真正實(shí)現(xiàn)從簡短非限定域名遷移到完整域名的關(guān)鍵。搜索列表可以存在于任何能進(jìn)行域名解析或能為其他系統(tǒng)提供配置的系統(tǒng)中，如DHCP 服務(wù)器。這些系統(tǒng)通常為獨(dú)立的域名服務(wù)器，但也可能是防火墻或其他網(wǎng)絡(luò)設(shè)備。不管系統(tǒng)類型如何，都需要關(guān)閉各個(gè)系統(tǒng)的搜索列表，以便防止用戶在給定的命名空間中使用簡短非限定域名。

　　在域名服務(wù)器上開始監(jiān)控簡短非限定域名的使用情況

　　您應(yīng)該對域名服務(wù)器進(jìn)行配置，讓其開始監(jiān)控所有對需要使用搜索列表的域名的請求。如果您提供提前通知和培訓(xùn)，您的用戶就不得使用這些域名，此監(jiān)控步驟創(chuàng)建的日志不會(huì)很大;如果是這樣，您可能需要對您網(wǎng)絡(luò)上的特定系統(tǒng)重復(fù)上述幾個(gè)步驟。

　　在外圍設(shè)立長期監(jiān)控措施監(jiān)測簡短非限定域名

　　在上一步中應(yīng)該找出了絕大多數(shù)使用簡短非限定域名的情況，但是有些(可能是關(guān)鍵)系統(tǒng)可能仍然在使用簡短非限定域名，即便可能只有很少一部分。檢測這些域名查詢的最佳方法是，將規(guī)則添加到您網(wǎng)絡(luò)邊緣的所有防火墻中，以便查找遺漏的任何請求。這些規(guī)則應(yīng)該具有較高的優(yōu)先級(jí)，而且應(yīng)該配置為能夠生成事件通知，以便 IT 工作人員及時(shí)獲知。您也可以選擇在防火墻日志中查找這些事件，但這樣做極有可能造成遺漏。通過發(fā)生請求時(shí)觸發(fā)的警告，工作人員現(xiàn)在即可檢測出這些極少出現(xiàn)的事件。有些防火墻需要支付額外的費(fèi)用添加額外的功能才能支持此類規(guī)則;如果您的防火墻是這樣，那么您就需要評估找到遺漏的請求所獲得的益處是否值得花費(fèi)額外的費(fèi)用。

本文鏈接：http://m.51huadong.com/cloundnews/11000455.html