YOUR LOGO

DNS – Domain Name System

YOUR LOGO

Obsah Prednášky

GPO – pokročilé politiky

DNS

YOUR LOGO

Aktivovanie časti politiky

V politike GPO je vhodné aktivovať len jednú časť, či už Computer Configiration, alebo User Configuration.

Výsledok je zrýchlenie aplikácie

YOUR LOGO

Uplatnenie politik

Politiky sú uložené v zdieľanom adresári SYSVOL

Medzi servrami dochádza k ich replikácií

YOUR LOGO

Security Filtering

Politika je Default uplatnené všetkým Authenticated Users – takže aj Administrátorom, aj počítačom.

YOUR LOGO

Sec. Filtering

Nastavenie uplatnenia vyvolá pridelenie oprávnení Read a Apply GPO v časti Delegation, Advanced

Adminom môžem zvoliť zákazuplatnenia a potom sa im neuplatní

YOUR LOGO

WMI filtering

WMI filter pre uplatnenie GPO na určité počítače.

Nutnosť zadať WMI script

YOUR LOGO

Loopback Policy

Umožní uplatniť užívatelskú časť GPO na základe umiestnenia počítača, nie užívateľa.

Napr. doktorand sa prihlási v učebni tak ma obmedzenia vačšie ako v kancli. Obmedzenia ale nie je možné nastaviť v CC ale len v UC.

Módy Merge a Replace. Replace – zmaže aktuálne užívatelské nastavenia a prepíše ho nastavením CC od počítačového GPO.

Merge – uplatní obe užívatelské nastavenia, u konfliktu je silnejšie nastavenie z počítačovaj GPO.

YOUR LOGO

Loppback policy

YOUR LOGO

Slow link

Niektoré politiky napr distribúcia SW, alebo záplat sa nemusia uplatnť při tzv Slow Link.

Default je 500 Kb/s, môžem ale nastavit

YOUR LOGO

Default DC policy

YOUR LOGO

Default Domain policy

YOUR LOGO

Prehľad uplatnených politík na klientovi

Gpresult s CMD export do text súboru.

Windows Help – Tools – Advanced systém info

YOUR LOGO

Uplatnené politiky

YOUR LOGO

Group policy results

Extra konzola, pripojí sa na existujúci počítač a skontroluje politiku pre konkrétneho užívatela.

YOUR LOGO

Group Policy MOdeling

Modeling namodeluje na neexistujúcej situácii GPO

Nie je nutné pripojenie ani prihlásený účet

YOUR LOGO

MOdeling

Modelujem aj prípadný loopback aj site aj Slow network

Taktiež sa modelujú aj MWI filtre

YOUR LOGO

AD Build in groups

Enterprise Admins – najvyšší admin Forestu, nitná jeho autorizácia pre pridanie novej domény, DHCP servru,...

Schema Administrators – Môžu meniť schému AD

Domain Admins – Admini nad danou doménou, pridávajú a spravujú doménové objekty.

Domain Users – Doménový užívatelia prihlasujú sa na členských počítačoch

Domain Computer, Users – počítače v domény, aj počítače majú učty aj heslo- to nemôžme meniť, automatické.

YOUR LOGO

AD groups types

Security- Iba týmto skupinám je možné nastaviť bezpečnostné oprávnenia.

Distribution- Skupiny určené pre napr. posielanie emailov cez Exchange server. Nie

je možné nastaviť skupinám oprávnenia.

YOUR LOGO

Security Groups

Domain Local - Skupina viditelná iba v rámci domény. Môžem do nej vložiť užívateľov aj

skipiny z iných domén. Určená k priradeniu oprávnení na objekty.

Global- Združuje užívateľov z domény, môžem globálnu vložiť do inej globálnej

a taktiež do DL.

Universal- Neexistuje v móde, ktorý podporuje NT systém. Združuje užívateľov z

celého forestu. Aj GG môžu byť členom UG. UG môže byŤ členom DL skupiny. UG nemôže byť členom GG.

YOUR LOGO

Jmenné služby DNS, WINS

YOUR LOGO

Porovnání jmen

Vlastnost NetBios DNS

Typ uspořádání Plochá Hierarchická

Omezení použitých znaků

Znaky Unicode, čísla, mezery, symboly: ! @ # $ % ^ & ` ( ) . -_ { } ~

Malá a velká písmena, čísla, pomlčka. Tečka má speciální význam oddělovače

Maximální délka 15 znaků 63 byte na jednu část, 255 Byte na celé FQDN

Jmená služba Wins, NETBIOS broadcast, lmhost soubor

DNS, hosts soubor

YOUR LOGO

DNS

Databáze překladu jmen na IP adresy

Hierarchická

Distribuovaná

Dynamic DNS

AD integrated zone

FQDN: fully qualified domain name

Primární DNS přípona

YOUR LOGO

Zóny

Primární – originální data, kompletní popis zóny.Může (měla by) být zálohována na sekundární.

Forward – překlad jmen na IP

Revers – překlad IP na jména. Záznamy jsou pouze ptr, které odkazují na záznam primární zóny.Všechny domény jsou subdomény in-addr.arpa. Subdomény jsou členěny podle bytů IP adresy v opačném pořadí.

Sekundární – je autoritativní zálohou primární nebo jiné sekundární, jde o plnou kopii na jiném serveru.Zone transfer je jediný způsob aktualizace záznamů, protože tato databáze je readonly.

Stub – je kopií zóny obsahující pouze záznamy nutné k identifikování DNS serveru master zóny(SOA, NS a A odkazující na autoritativní server zóny)

YOUR LOGO

Architektura DNS

wis.fit.vutbr.cz.

vutbrczech-tv seznam

cz netnet

fme fit fbm

video1 wis

YOUR LOGO

Reverzní zóna

29.111.168.192.in-addr.arpa.

netcom

in-addr

192172 10

29

111

arpa

168

Reverzní zóny

YOUR LOGO

Top level domény

Root servery pevně dané- DNS server je musí mít ručně zadány

pro vyhledávání

- Ve výchozím nastavení serveru již definovány

YOUR LOGO

Typy DNS dotazů

Iterativní – pošle zpět nejlepší možnou odpověď

Rekurzivní – pošle zpět chybu, nebo přesnou adresu. Takto odpovídá zpravidla resolver

Reverzní – používají PTR záznamy, klient nemusí znát doménu, ve které je IP registrovaná. Nejčastěji se používá k ověření platnosti IP klienta. Např. IP 206.131.234.1 se bude hledatv doméně 1.234.131.206.in-addr.arpa.

YOUR LOGO

pc05.nepal.local.DNS:192.168.255.4

Yetti.nepal.local

192.168.255.4DNS Server

Znáš IP stanicepc10.fit.local.?

Ano, jeho IP:192.168.255.17

Query

Převzato z www.sevecek.com/res

YOUR LOGO

pc05.nepal.local.

nepal.LOCAL.DNS Server

Resolver

Znášwww.centrum.cz?

ROOTDNS server

CZ

DNS server

CENTRUM DNS server

62.84.131.1484.

Server sám nezná

odpověď

Recursive querycz?1.

cz = 192.93.0.4

centrum2.

centrum = 192.93.0.4

www3.

www = 62.84.131.148

Převzato z www.sevecek.com/res

Iterative query

YOUR LOGO

CLIENT

DNS Server

ROOT

CZ

CENTRUM

Forwarding DNS

LAN

Pomalé připojení

Internet

DNS Forwarding

Převzato z www.sevecek.com/res

YOUR LOGO

Typy DNS odpovědí:

Autoritativní: pozitivní odpověď a ve zprávě je nastaven Autority bit. Znamená, že server, který odpověděl je přímou autoritou dotazovaného jména.

Pozitivní: zpráva obsahuje dotazovaný záznam odpovídající požadovanému.

Refferal: zpráva obsahuje záznam a typ, které nebyly specifikovány v dotazu. Používá se k rekurzivnímu dohledávání. Takto odpoví server zpravidla pokud server nepodporuje (nemá nastaveno) rekurzivní dohledávání.

Negativní: buď neexistuje záznam nebo existuje ale je jiného typu, než bylo dotazováno.

YOUR LOGO

CLIENT

SecondaryDNS Server

PrimaryDNS Server

Register: Client A, PTR

OK

PC01

FIT.LOCAL.

Host name

DNS Suffix SOA: fit.local.?

Primary DNS Server

Dynamic DNS Registration

Převzato z www.sevecek.com/res

YOUR LOGO

CLIENTDHCPServer

PrimaryDNS Server

CONFIGURE

Register A

Register PTR

Register A

Dynamic DNS Registration

Převzato z www.sevecek.com/res

YOUR LOGO

35

computer5 10.0.0.2

microsoft.com. ns1.microsoft.com.

microsoft.com. mail.microsoft.com.

microsoft.com. PriDNS: ns1.microsoft.com.

www computer5.microsoft.com.

5.0.0.10.in-addr.arpa computer5.microsoft.com.

Označení typů DNS položek(RFC 1700)

SOA – start of authority

NS – name server

A – host address

CNAME – canonical name(alias)

SRV – service description

MX – mail exchange

PTR – reverse pointer

AAAA – IPv6 address

Převzato z www.sevecek.com/res

YOUR LOGO

Microsoft specifické záznamy

Začínají podtržítkem, není ve standardu => MS

Záznam obsahuje službu, typ (UDP/TCP),doménu, prioritu, váhu, port

_msdcs – doménové kontroléry,globální katalog a PDC emulátory.

_sites – site domény. Každá site má tuto svou subdoménu. Site je skupina propojených podsítí.

_tcp – služby tcp jako kerberos, globální katalog, ldap nebo kpasswd ke změně hesla

_udp – služby udp jako kerberos a kpasswd

YOUR LOGO

Soubory databáze:

Záznamy umístěny v %systemroot%\system32\dnsnebo v AD

Domain name – každá zóna má svůj dns soubor

Reverse lookup – označený opět pro každou zónu zvlášť

cache – obsahuje jména mimo autoritativní doménu. Typicky jména root serverů.

Boot – soubor s instrukcemi, co se má provést při startu DNS. Informace lze získat z AD, BIND souboru nebo dns souboru

YOUR LOGO

Round Robin, netmask ordering

v DNS bude jedno jméno s více IP

Server pak odpoví první adresou v seznamua pošle ji na konec seznamu.Příště odpoví druhou atd.

Netmask ordering – server odpovíIP adresami, které odpovídají podsíti klienta

Pokud není Round robin a/nebo Netmask ordering zapnut, server odpoví první IP,kterou najde v databázi

YOUR LOGO

Časové vlastnosti DNS zóny

Refresh interval:Za jak dlouho v sec. má sekundární server požádat o aktuální záznamy primární. Výchozí hodnota 15 min.

Retry interval:Za jak dlouho v sec. se zkusit další pokud při selhání zone transferu. Výchozí 10 min.

Expire interval:Za jak dlouho v sec. přestane server odpovídat klientům na dotaz, pokud nebyla zóna aktualizována z primárního serveru při selhání. Výchozí 24 hod.

Minimum (default) TTL:Minimální doba platnosti v sec. aplikovaná na záznamy, pokud není uvedena při zadávání. Výchozí 1 hod. TTL cache ovlivňuje, za jak dlouho bude vymazán záznam z cache.

YOUR LOGO

WINS

Pro zpětnou kompatibilitu nebo v sítích kde není DNS

Využívá centralizovanou databázi pro NetBios vyhledávání

Při startu stanice registruje NetBios jméno do databáze serveru

Name query request unicastem serveru, který odpoví IP adresou stanice z databáze

Není omezena hranicemi pro broadcast

YOUR LOGO

Postup při rozlišení Host name – Mixed Mode - default

1. Porovnání s jménem lokálního počítače

2. DNS cache

3. Kontrola místního souboru Hosts

4. Dotaz na DNS server

5. Prohledání místní NetBIOS cache

6. Dotaz na WINS server

7. Vyslání výzvy (broadcast)

8. Kontrola místního souboru Lmhosts

YOUR LOGO

044 DHCP nastavení node type

0x1 Broadcast část (B): překlad jmen plně závisí na NetBiosu. Jestliže host nemůže být nalezen v NBT cache nebo pomocí broadcastu, pak jméno není přeloženo.

0x2 Peer (P): pokud není záznam nalezen v cache, je kontaktován WINS server.

0x4 Mixed (M): Kombinace B a P. Prvně je hledáno v cache, pak broadcast a nakonec WINS server.

0x8 Hybrid (H): Podobně jako mix, ale v opačném pořadí.Toto je výchozí nastavení.

Odpovídající registr: HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType

YOUR LOGO

Příkazové utility pro rozlišení jmen

Arp

nbtstat

ipconfig /flushdns (/registerdns)

nslookup

netsh

YOUR LOGO

Odkazy

Top level domény: http://www.icann.org/tlds

http://www.iana.org/cctld/cctld-whois.htm

seznam IP root serverů: ftp://rs.internic.net/domain/named.cache