Windows2000 域名解析是基于動態(tài)DNS，動態(tài)DNS的實現(xiàn)是基于RFC 2136基礎(chǔ)上的。在Windows 2000下，動態(tài)DNS是與DHCP、WINS及活動目錄（AD）集成在一起的。在windows 2000的域下有三種實現(xiàn)DNS的方法：與活動目錄集成、與活動目錄集成的主DNS及不與活動目錄集成的輔助DNS、不與活動目錄集成的主DNS及不與活動目錄集成的輔助DNS。當DNS完成集成到活動目錄中后，我們可以利用Windows2000網(wǎng)絡(luò)中的三個重要安全特性：安全動態(tài)更新、安全區(qū)域傳輸、對區(qū)域和資源記錄的訪問控制列表。

　　一、安全動態(tài)更新

　　在動態(tài)DNS（DDNS）中一個最重要的安全特性就是安全更新。在實現(xiàn)安全更新時一個主要的考慮是DNS項組成的記錄的所有權(quán)。所有權(quán)是由DHCP的配置及對客戶端的支持來決定的。

　　與客戶端相關(guān)的有兩種DNS記錄：A記錄和PTR記錄，A記錄解析名字到地址，而PTR記錄解析地址到名字。地址是指一個客戶端的IP地址，名字是指一個客戶的完全合格域名，應(yīng)該是計算機名加上網(wǎng)絡(luò)的域名。

　　在windows 2000環(huán)境中，當客戶端通過DHCP請求一個IP時，客戶端DNS記錄就被注冊。根據(jù)設(shè)置，客戶端、DHCP服務(wù)器或者兩者都可以更新客戶的A記錄和PTR記錄，誰注冊了這個記錄，誰就對記錄擁有所有權(quán)。

　　下面是在Windows2000網(wǎng)絡(luò)中定義客戶的A記錄和PTR記錄所有權(quán)的可選項。

　　1．Windows2000本機模式

　　在Windows2000環(huán)境下，DHCP服務(wù)器和DHCP客戶端都可以通過DNS注冊記錄。當網(wǎng)絡(luò)僅由Windows2000的服務(wù)器和客戶端組成時，這種Windows2000環(huán)境被定義為"本機模式"。

　　當客戶端是一個Windows2000客戶時，默認配置是當客戶在網(wǎng)絡(luò)上注冊時動態(tài)更新它自己的A記錄，與此同時，DHCP服務(wù)器更新客戶的PTR記錄。因此，A記錄的所有權(quán)屬于客戶端，PTR記錄的所有權(quán)屬于DHCP服務(wù)器。

　　第二種可能的配置是DHCP服務(wù)器更新正向和反向查找，在這種情況下，DHCP服務(wù)器同時擁有A記錄和PTR記錄的所有。

　　第三種可能的配置是DHCP服務(wù)器被配置為不執(zhí)行動態(tài)更新，在這種情況下，客戶端將更新A記錄和PTR記錄，同時也就擁有記錄的所有權(quán)。

　　2．Windows2000混雜模式

　　在一個混雜模式的環(huán)境下，DHCP客戶端不能在DNS下注冊。所謂混雜模式即網(wǎng)絡(luò)除Windows2000服務(wù)器、客戶端外同時存在有WindowsNT4.0或Windows98客戶。

　　先前的客戶端，如WindowsNT4.0和Windows9x不能直接通過DNS注冊。因為只有DHCP服務(wù)器可以通過DNS注冊記錄，在混雜環(huán)境中唯一的選擇是讓DHCP服務(wù)器注冊A記錄和PTR記錄，在這種情況下，服務(wù)器擁有正向和反向查找記錄的所有權(quán)。

　　3．安全動態(tài)更新

　　在Windows2000網(wǎng)絡(luò)中，只有當活動目錄與DNS區(qū)域集成時，安全動態(tài)更新才可用。安全動態(tài)更新意味著什么呢？在Windows2000中，它意味著用活動目錄的ACL制定用戶和組的權(quán)限來修改DNS區(qū)域和/或它的資源記錄。為允許更新DNS區(qū)域和/或它的資源記錄，除ACL外，動態(tài)更新也使用安全通道和認證。

　　Windows2000支持使用IETF草擬的"GSS Algorithm for TSIG "（GSS-TSIG）算法進行安全動態(tài)更新。這個算法使用 Kerberos v5 作為優(yōu)先的認證協(xié)議，GSS-API在RFC2078中有定義。