Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries组策略在Windows Vista中引入,并阻止子域名后缀的子子域的行为,例如:
ping example将检查example ,但也example.mydnssuffix.local ,但ping example.tld将检查example.tld ,而不是example.tld.mydnssuffix.local 。
因为这是默认禁用的,所以我认为在启用这个function时会涉及到安全隐患。 有谁知道这些安全隐患会是什么?
花费更多时间附加后缀到不明确名称并重试search的DNS客户端在放弃之前需要更长的时间。 这可能会导致执行大量DNS查询的应用程序显着减速。
如果DNS客户端错误地parsing受外部恶意实体控制的名称,也可能会造成安全问题。 追加DNS后缀基本上与权力下放相反,这可能会带来类似的担忧。 我将从Windows IT专业版网站上复制这个例子(主要是关于下放,但也适用于附加后缀):
域join的计算机的主域名后缀是mycompany.fl.us(mycompany位于佛罗里达,因此扩展fl.us)并尝试连接到mailserver1。 在这个例子中,DNS客户端将尝试parsingmailserver1.mycompany.fl.us和mailserver1.fl.us。 该列表中的姓氏mailserver1.fl.us不在我公司的控制范围之内。 如果恶意人员在DNS中注册了mailserver1.fl.us,名称parsing将成功,join域的计算机将尝试连接到该名称,恶意用户可能会欺骗内部服务器。
那你为什么要打开它? 您可能希望为DNS客户端提供增加的灵活性,希望能够解决不明确的名称。 但理论上可能导致安全问题。 所以由pipe理员决定什么更适合他或她的环境。
进一步阅读:
和:
http://windowsitpro.com/networking/whats-dns-name-devolution