2004-6-24 /(加拿大网络安全中心)
Windows2000 域名解析是基于动态DNS,动态DNS的实现是基于RFC 2136基?上的 T赪indows 2000下,动态DNS是与DHCP INS及活动目录(AD)集成在一起的 T赪indows 2000的域下有三种实现DNS的方法:与活动目录集成 ⒂牖疃柯技傻闹鱀NS及不与活动目录集成的辅助DNS ⒉挥牖疃柯技傻闹鱀NS及不与活动目录集成的辅助DNS 5盌NS完成集成到活动目录中后,我们可以利用Windows2000网络中的三个重要安全特性:安全动态更新 踩虼?⒍郧蚝妥试醇锹嫉姆梦士刂屏斜??
传奇天天饮食宝马z4
一 踩?
在动态DNS(DDNS)中一个最重要的安全特性就是安全更新 T谑迪职踩率币桓鲋饕目悸鞘荄NS项组成的记录的所有权 K腥ㄊ怯蒁HCP的配置及对客户端的支持来决定的 ?
与客户端相关的有两种DNS记录:A记录和PTR记录,A记录解析名字到地址,而PTR记录解析地址到名字 5刂肥侵敢桓隹突Ф说腎P地址,名字是指一个客户的完全合格域名,应该是计算机名加上网络的域名 ?
在Windows 2000环境中,当客户端通过DHCP请求一个IP时,客户端DNS记录就被注册 8萆柚茫突Ф?HCP服务器或者两者都可以更新客户的A记录和PTR记录,谁注册了这个记录,谁就对记录拥有所有权 ?
下面是在Windows2000网络中定义客户的A记录和PTR记录所有权的可?项 ?
浩方对战平台天下足球凌志300
1.Windows2000本机模式
在Windows2000环境下,DHCP服务器和DHCP客户端都可以通过DNS注册记录 5蓖缃鲇蒞indows2000的服务器和客户端组成时,这种Windows2000环境被定义为"本机模式" ?
当客户端是一个Windows2000客户时,默认配置是当客户在网络上注册时动态更新它自己的A记录,与此同时,DHCP服务器更新客户的PTR记录 R虼耍珹记录的所有权属于客户端,PTR记录的所有权属于DHCP服务器 ?
第二种可能的配置是DHCP服务器更新正向和反向查找,在这种情况下,DHCP服务器同时拥有A记录和PTR记录的所有 ?
第三种可能的配置是DHCP服务器被配置为不执行动态更新,在这种情况下,客户端将更新A记录和PTR记录,同时也就拥有记录的所有权 ?
宝马x5异人傲世录红楼梦
2.Windows2000混杂模式
在一个混杂模式的环境下,DHCP客户端不能在DNS下注册 K交煸幽J郊赐绯齏indows2000服务器 ⒖突Ф送馔贝嬖谟蠾indowsNT4.0或Windows98客户 ?
先前的客户端,如WindowsNT4.0和Windows9x不能直接通过DNS注册 R蛭挥蠨HCP服务器可以通过DNS注册记录,在混杂环境中唯一的?择是让DHCP服务器注册A记录和PTR记录,在这种情况下,服务器拥有正向和反向查找记录的所有权 ?
3.安全动态更新
在Windows2000网络中,只有当活动目录与DNS区域集成时,安全动态更新才可用 0踩乱馕蹲攀裁茨兀吭赪indows2000中,它意味着用活动目录的ACL制定用户和组的权限来修改DNS区域和/或它的资源记录 N市砀翫NS区域和/或它的资源记录,除ACL外,动态更新也使用安全通道和认证 ?
qq幻想我爱黑涩会
Windows2000支持使用IETF草拟的"GSS Algorithm for TSIG "(GSS-TSIG)算法进行安全动态更新 U飧鏊惴ㄊ褂?Kerberos v5 作为优先的认证协议,GSS-API在RFC2078中有定义 ?br>
二 ⑶?
1.区域的类型
Windows 2000 可以配置 DNS 区域为主要区域 ⒏ㄖ蚧蚧疃柯技??
反恐精英CS艺术人生 主要和辅助区域的功能与在Unix和NT4.0环境下一样 A硗猓珼NS数据库与其它数据库如WINS和DHCP保持独立,复制是从其它复制服务中独立设置 H绻缰杏蟹衿髟诵械陀?.1.2的BIND版本,则必须使用主要/辅助区域,因为在早先的版本中不支持动态更新 ?
如果安装了活动目录,DNS区域可以成为活动目录集成区域 U庖馕蹲臘NS区域数据库成为活动目录数据库的一部分,每条记录都是活动目录的对象,每个活动目录对象拥有它自己的ACL(访问控制列表) ?
2.区域传输或复制的类型
Windows 2000下的DNS可以支持 AXFR 或 IXFR XFR或所有的区域传输,是整个区域数据库文件的复制 XFR或增量区域传输,仅仅复制区域数据库的变化 H绻蚶嘈蜕柚梦饕?辅助区域,那么可以应用这些区域复制方法 XFR支持在BIND 8.2.1及以上版本 ?
当 DNS与活动目录集成时,所有的区域和资源记录将成为活动目录数据库中的对象 ;疃柯嫉母粗剖腔诙嘀骰P??
连连看快乐大本营 多主机模型的好处之一是没有单点失败的问题 U馐强赡艿模蛭狣NS是活动目录数据库的一部分,而活动目录数据库被复制到所有的域控制器 ?
多主机模型的第二个好处是仅需要设置一个复制拓扑 NS区域数据库变成活动目录数据的一部分,因此DNS区域传输作为活动目录复制的一部分完成 ?
3.区域传输的安全
如果Windows 2000的DNS配置为主要/辅助区域,是不能使用加密和压缩的 N擞隑IND兼容,Windows 2000支持AXFR,每个消息发送/接受一个或多个资源记录 T贐IND4.9.4以前的版本不支持多条资源记录由一个消息传输 N隑IND8.2.1版本兼容Windows2000支持IXFR,为与BIND8.1.2版本兼容Windows 2000 支持DNS通告 ?
当Windows 2000的DNS配置为与活动目录集成时,复制进程成为活动目录复制的一部分,因此它自动使用加密和压缩 ?
大唐豪侠女人我最大 在Windows 2000下使用Kerberos v5进行加密 ?刂破髦涞耐ㄐ磐ǖ雷远用埽恍枰芾碓迸渲??
当活动目录更新在"桥头"服务器间传输时,自动进行压缩 G磐贩衿魇窃诒镜鼐钟蛲衿髯远 择产生的,当活动目录使用广域网链路进行更新时,每个局域网的桥头服务器会与其它桥头服务器通信,这将大大减少通过 WAN 链路的流量 T谡庵智榭鱿拢私谑 带宽会自动压缩 ?
三 ⒒疃柯技蒁NS 区域
在 Windows 2000下活动目录与DDNS集成,因此实现活动目录安全第一步是实现 DDNS的安全 ?
1.文件系统
魔兽争霸今日说法大众帕萨特《善良的死神》飘渺神之旅
使用NTFS indows 2000 的版本是 NTFS v5,此版本允许设置文件和文件夹的安全 ⒓用芪募低澈蜕蠛?TFS v5 不与先前的NTFS兼容 T诎沧傲薙ervice Pack 4 或更高版本的NT4.0上只能读?NTFS v5 ?
NTFS通过设置文件夹和文件级别访问权限来限制网络或本地对文件的访问 ?
NTFS和共享权限可以被用来非常精确的控制权限和继承关系 ?
2.注册表
使用注册表编辑器编辑DACL关系到每一个注册表的配置单元 O附谖侍饪梢圆慰糞ANS出版的"Windows NT Security, Step-by-Step" ?
越策越开心宾利雅致
3.Enterprise管理员和Schema管理员组
在Windows2000网络建立之后,限制访问这两个管理员组 U庑┳槌鱿衷诟蛳虏⑶矣凶罡叩娜ㄏ?8萦虻慕峁梗芾砜梢员晃傻接蚪峁梗虼斯芾砜梢员幌拗频降ジ鲇??
4.加密文件系统
Windows2000的NTFS提供了使用加密文件系统的?择 FS使用基于公共密钥的技术来进一步限制文件的未授权访问 ?
5.活动目录中的DNS
街头篮球焦点访谈福特蒙迪欧V6春光乍泄困龙升天
DNS的安装将扩展活动目录的架构,包含了DNSUpdateProxy组 U馐且桓龇浅G看蟮淖椋市泶唇ǘ韵螅馐遣话踩模闭庵智榭龇⑸保魏问谌ㄓ没Э梢曰竦谜庑┒韵蟮乃腥??
DNS中客户端的A记录和PTR记录会在DHCP处理进程中进行更新,这在上面有详细地叙述 5笨突Ш头衿鞫际荳indows2000时,安全动态更新可以通过默认安装来完成,当有其它的用户需要支持时,安全动态更新不能完成,除非DHCP服务器被加入到了DNSUpdateProxy组,加入DNSUpdateProxy组后,允许DHCP服务器为早期的客户端执行动态更新 ?
如果DHCP服务运行在一个域控制器时,需要特别考虑的是,添加DHCP服务器到DNSUpdateProxy组,将允许所有用户或计算机完全控制相应域控制器的DNS记录 ?
6.资源记录的所有权
DHCP服务器不能在早期的客户端上执行安全动态更新,这在Windows2000网络中是非常重要的 H绻庵智榭龇⑸岢鱿植荒芡耆禄疃锹嫉那榭?@纾桓鯪T4.0的客户端通过DHCP服务器在DNS中注册了一个名字,当这台机器被升级到Windows2000时,这个名字保持不变 HCP服务器因其最先注册了这个名字而拥有这个名字的资源记录所有权,所以Windows 2000客户不能更新它自己的名字 ?
热血江湖娱乐百分百奇瑞a520那小子真帅佛本是道
7.WINS查找
作为Windows2000最终的告诫,我将翻译说明为什么WINS将是Windows 2000网络中最可能需要的部分 N裁茨兀慷运蟹荳indows2000客户,NetBios解析仍是必需的 M行枰狽etBios的程序也将需要WINS来做名字解析 INS通过两个特定的资源记录直接集成到了DNS中:WINS和WINS-R U夥直鹞猈INS做正向和反向记录查找 ?
四 ⒔崧?
总之,理解Windows2000使用DNS的过程是非常重要的 T谖恼碌?.0部分"安全动态更新"和2.0部分"区域"中有了一个简述 @斫釽indows2000的"gotcha's"和"caveats"也是非常重要的 ?.0部分活动目录集成DNS区域列举了相关的项目 ?br>
JAR文件包及jar命令详解
2004-10-8 作者: yahh2008 出处: chinaunix论坛
征途我猜我猜我猜猜猜丰田佳美寻秦记兽血沸腾
常常在网上看到有人询问:如何把 java 程序编译成 .exe 文件 Mǔ;卮鹬挥辛街郑恢质侵谱饕桓隹芍葱械?JAR 文件包,然后就可以像.chm 文档一样双击运行了;而另一种是使用 JET 来进行 编译 5?JET 是要用钱买的,而且据说 JET 也不是能把所有的 Java 程序都编译成执行文件,性能也要打些折扣 K裕褂弥谱骺芍葱?JAR 文件包的方法就是最佳?择了,何况它还能保持 Java 的跨平台特性 ?
下面就来看看什么是 JAR 文件包吧:
1. JAR 文件包
JAR 文件就是 Java Archive File,顾名思意,它的应用是与 Java 息息相关的,是 Java 的一种文档格式 AR 文件非常类似 ZIP 文件 ?既返乃担褪?ZIP 文件,所以叫它文件包 AR 文件与 ZIP 文件唯一的区别就是在 JAR 文件的内容中,包含了一个 META-INF/MANIFEST.MF 文件,这个文件是在生成 JAR 文件的时候自动创建的 >俑隼樱绻颐蔷哂腥缦履柯冀峁沟囊恍┪募?
魔兽世界赢在中国凯迪拉克srx天魔神谭邪神传说 ==
`-- test
`-- Test.class
把它压缩成 ZIP 文件 test.zip,则这个 ZIP 文件的内部目录结构为:
test.zip
金刚飘邈神之旅极品公子 `-- test
`-- Test.class
如果我们使用 JDK 的 jar 命令把它打成 JAR 文件包 test.jar,则这个 JAR 文件的内部目录结构为:
test.jar
|-- META-INF
《劲乐团》人与自然雷克萨斯七界传说至尊无赖 | `-- MANIFEST.MF
`-- test
`--Test.class
2. 创建可执行的 JAR 文件包
制作一个可执行的 JAR 文件包来发布你的程序是 JAR 文件包最典型的用法 ?
泡泡堂康熙来了千里马《艳遇之旅》空速星痕 Java 程序是由若干个 .class 文件组成的 U庑?.class 文件必须根据它们所属的包不同而分级分目录存放;运行前需要把所有用到的包的根目录指定给 CLASSPATH 环境变量或者 java 命令的 -cp 参数;运行时还要到控制台下去使用 java 命令来运行,如果需要直接双击运行必须写 Windows 的批处理文件 (.bat) 或者 Linux 的 Shell 程序 R虼耍矶嗳怂担琂ava 是一种方便开发者苦了用户的程序设计语言 ?
其实不然,如果开发者能够制作一个可执行的 JAR 文件包交给用户,那么用户使用起来就方便了 T?Windows 下安装 JRE (Java Runtime Environment) 的时候,安装文件会将 .jar 文件映射给 javaw.exe 打开 D敲矗杂谝桓隹芍葱械?JAR 文件包,用户只需要双击它就可以运行程序了,和阅读 .chm 文档一样方便 (.chm 文档默认是由 hh.exe 打开的) D敲矗衷诘墓丶褪侨绾卫创唇ㄕ飧隹芍葱械?JAR 文件包 ?
创建可执行的 JAR 文件包,需要使用带 cvfm 参数的 jar 命令,同样以上述 test 目录为例,命令如下:
jar cvfm test.jar manifest.mf test
这里 test.jar 和 manifest.mf 两个文件,分别是对应的参数 f 和 m,其重头戏在 manifest.mf R蛭唇ǹ芍葱械?JAR 文件包,光靠指定一个 manifest.mf 文件是不够的,因为 MANIFEST 是 JAR 文件包的特征,可执行的 JAR 文件包和不可执行的 JAR 文件包都包含 MANIFEST 9丶谟诳芍葱?JAR 文件包的 MANIFEST,其内容包含了 Main-Class 一项 U庠?MANIFEST 中书写格式如下:
梦幻西游加油!好男儿蒙迪欧官场风流诛仙 Main-Class: 可执行主类全名(包含包名)
例如,假设上例中的 Test.class 是属于 test 包的,而且是可执行的类 (定义了 public static void main(String[]) 方法),那么这个 manifest.mf 可以编辑如下:
Main-Class: test.Test <回车>
这个 manifest.mf 可以放在任何位置,也可以是其它的文件名,只需要有 Main-Class: test.Test 一行,且该行以一个回车符结束即可 4唇?manifest.mf 文件之后,我们的目录结构变为:
==
《劲舞团》我型我秀起亚赛拉图紫川章子怡 |-- test
| `-- Test.class
`-- manifest.mf
这时候,需要到 test 目录的上级目录中去使用 jar 命令来创建 JAR 文件包 R簿褪窃谀柯际髦惺褂??= 北硎镜哪歉瞿柯贾校褂萌缦旅睿?
jar cvfm test.jar manifest.mf test
之后在 ?= 蹦柯贾写唇?test.jar,这个 test.jar 就是执行的 JAR 文件包 T诵惺敝恍枰褂?java -jar test.jar 命令即可 ?
需要注意的是,创建的 JAR 文件包中需要包含完整的 ⒂?Java 程序的包结构对应的目录结构,就像上例一样 6?Main-Class 指定的类,也必须是完整的 肪兜睦嗝缟侠?test.Test;而且在没有打成 JAR 文件包之前可以使用 java <类名> 来运行这个类,即在上例中 java test.Test 是可以正确运行的 (当然要在 CLASSPATH 正确的情况下) ?
2004-10-8 作者: yahh2008 出处: chinaunix论坛
征途我猜我猜我猜猜猜丰田佳美寻秦记兽血沸腾
常常在网上看到有人询问:如何把 java 程序编译成 .exe 文件 Mǔ;卮鹬挥辛街郑恢质侵谱饕桓隹芍葱械?JAR 文件包,然后就可以像.chm 文档一样双击运行了;而另一种是使用 JET 来进行 编译 5?JET 是要用钱买的,而且据说 JET 也不是能把所有的 Java 程序都编译成执行文件,性能也要打些折扣 K裕褂弥谱骺芍葱?JAR 文件包的方法就是最佳?择了,何况它还能保持 Java 的跨平台特性 ?
下面就来看看什么是 JAR 文件包吧:
1. JAR 文件包
JAR 文件就是 Java Archive File,顾名思意,它的应用是与 Java 息息相关的,是 Java 的一种文档格式 AR 文件非常类似 ZIP 文件 ?既返乃担褪?ZIP 文件,所以叫它文件包 AR 文件与 ZIP 文件唯一的区别就是在 JAR 文件的内容中,包含了一个 META-INF/MANIFEST.MF 文件,这个文件是在生成 JAR 文件的时候自动创建的 >俑隼樱绻颐蔷哂腥缦履柯冀峁沟囊恍┪募?
魔兽世界赢在中国凯迪拉克srx天魔神谭邪神传说 ==
`-- test
`-- Test.class
把它压缩成 ZIP 文件 test.zip,则这个 ZIP 文件的内部目录结构为:
test.zip
金刚飘邈神之旅极品公子 `-- test
`-- Test.class
如果我们使用 JDK 的 jar 命令把它打成 JAR 文件包 test.jar,则这个 JAR 文件的内部目录结构为:
test.jar
|-- META-INF
《劲乐团》人与自然雷克萨斯七界传说至尊无赖 | `-- MANIFEST.MF
`-- test
`--Test.class
2. 创建可执行的 JAR 文件包
制作一个可执行的 JAR 文件包来发布你的程序是 JAR 文件包最典型的用法 ?
泡泡堂康熙来了千里马《艳遇之旅》空速星痕 Java 程序是由若干个 .class 文件组成的 U庑?.class 文件必须根据它们所属的包不同而分级分目录存放;运行前需要把所有用到的包的根目录指定给 CLASSPATH 环境变量或者 java 命令的 -cp 参数;运行时还要到控制台下去使用 java 命令来运行,如果需要直接双击运行必须写 Windows 的批处理文件 (.bat) 或者 Linux 的 Shell 程序 R虼耍矶嗳怂担琂ava 是一种方便开发者苦了用户的程序设计语言 ?
其实不然,如果开发者能够制作一个可执行的 JAR 文件包交给用户,那么用户使用起来就方便了 T?Windows 下安装 JRE (Java Runtime Environment) 的时候,安装文件会将 .jar 文件映射给 javaw.exe 打开 D敲矗杂谝桓隹芍葱械?JAR 文件包,用户只需要双击它就可以运行程序了,和阅读 .chm 文档一样方便 (.chm 文档默认是由 hh.exe 打开的) D敲矗衷诘墓丶褪侨绾卫创唇ㄕ飧隹芍葱械?JAR 文件包 ?
创建可执行的 JAR 文件包,需要使用带 cvfm 参数的 jar 命令,同样以上述 test 目录为例,命令如下:
jar cvfm test.jar manifest.mf test
这里 test.jar 和 manifest.mf 两个文件,分别是对应的参数 f 和 m,其重头戏在 manifest.mf R蛭唇ǹ芍葱械?JAR 文件包,光靠指定一个 manifest.mf 文件是不够的,因为 MANIFEST 是 JAR 文件包的特征,可执行的 JAR 文件包和不可执行的 JAR 文件包都包含 MANIFEST 9丶谟诳芍葱?JAR 文件包的 MANIFEST,其内容包含了 Main-Class 一项 U庠?MANIFEST 中书写格式如下:
梦幻西游加油!好男儿蒙迪欧官场风流诛仙 Main-Class: 可执行主类全名(包含包名)
例如,假设上例中的 Test.class 是属于 test 包的,而且是可执行的类 (定义了 public static void main(String[]) 方法),那么这个 manifest.mf 可以编辑如下:
Main-Class: test.Test <回车>
这个 manifest.mf 可以放在任何位置,也可以是其它的文件名,只需要有 Main-Class: test.Test 一行,且该行以一个回车符结束即可 4唇?manifest.mf 文件之后,我们的目录结构变为:
==
《劲舞团》我型我秀起亚赛拉图紫川章子怡 |-- test
| `-- Test.class
`-- manifest.mf
这时候,需要到 test 目录的上级目录中去使用 jar 命令来创建 JAR 文件包 R簿褪窃谀柯际髦惺褂??= 北硎镜哪歉瞿柯贾校褂萌缦旅睿?
jar cvfm test.jar manifest.mf test
之后在 ?= 蹦柯贾写唇?test.jar,这个 test.jar 就是执行的 JAR 文件包 T诵惺敝恍枰褂?java -jar test.jar 命令即可 ?
需要注意的是,创建的 JAR 文件包中需要包含完整的 ⒂?Java 程序的包结构对应的目录结构,就像上例一样 6?Main-Class 指定的类,也必须是完整的 肪兜睦嗝缟侠?test.Test;而且在没有打成 JAR 文件包之前可以使用 java <类名> 来运行这个类,即在上例中 java test.Test 是可以正确运行的 (当然要在 CLASSPATH 正确的情况下) ?
|