确保Windows Server 2003域上的域名解析系统(domain name system，简称DNS)安全，是非常基础的一个请求。运动目录(Active Directory，简称AD)应用DNS来定位域把持器以及其他域服务所需的资源(比如文件，打印机，邮件等等)。由于DNS是运动目录域系统不可或缺的一部分，所以从一开端就应当确保它的安全。

　　在Windows Server 2003上安装DNS时，不要修正“运动目录集成DNS”的默认设置。微软在2000中开端供给这种设定。

　　这意味着系统仅仅在Dns服务器上保存DNS数据，而不会保存或复制域把持器和全局目录服务器上的相干信息。这样不仅可以提升运行速度，而且还提升了三种服务器的运作效率。

　　对DNS服务器和客户端(或其他服务器)之间的数据传输进行加密也是至关重要的。DNS应用TCP/UDP的53端口;通过在你的安全界限上不同的点对这个端口进行过滤，你可以确保Dns服务器只接收认证过的连接。另外，这也是一个安排IPSec的好机会，来对DNS客户端和服务器之间的数据传输进行加密。开启IPSec可以确保所有客户端和服务器之间的通信得到确认和加密。这意味着你的客户端仅仅和认证过的服务器通信，并有助于禁止恳求欺骗或侵害。

　　配置完毕DNS服务器之后，持续监督连接，就像你留心企业中其他高价值目标一样。Dns服务器需要可用的带宽以服务客户的恳求。

　　如果你看到某个源机器上朝着DNS服务器发出了大批的网络通信，你可能是遭遇了“拒绝服务攻击”(denial-of-service，简称DoS)。直接从源头切断连接，或者断掉服务器的网络连接，直到你调查明白问题之后再说。记住，一次成功的对Dns服务器的DoS攻击会直接导致运动目录瘫痪。

　　应用默认的设置(动态安全更新)，只有认证过的客户端才可以注册并更新服务器上的入口信息。这可以禁止攻击者修正你的DNS入口信息，从而误导客户到精心捏造的网站上以窃取财务材料等重要信息。