DNS – Domain Name System
description
Transcript of DNS – Domain Name System
YOUR LOGO
DNS – Domain Name System
YOUR LOGO
Obsah Prednášky
GPO – pokročilé politiky
DNS
YOUR LOGO
Aktivovanie časti politiky
V politike GPO je vhodné aktivovať len jednú časť, či už Computer Configiration, alebo User Configuration.
Výsledok je zrýchlenie aplikácie
YOUR LOGO
Uplatnenie politik
Politiky sú uložené v zdieľanom adresári SYSVOL
Medzi servrami dochádza k ich replikácií
YOUR LOGO
Security Filtering
Politika je Default uplatnené všetkým Authenticated Users – takže aj Administrátorom, aj počítačom.
YOUR LOGO
Sec. Filtering
Nastavenie uplatnenia vyvolá pridelenie oprávnení Read a Apply GPO v časti Delegation, Advanced
Adminom môžem zvoliť zákazuplatnenia a potom sa im neuplatní
YOUR LOGO
WMI filtering
WMI filter pre uplatnenie GPO na určité počítače.
Nutnosť zadať WMI script
YOUR LOGO
Loopback Policy
Umožní uplatniť užívatelskú časť GPO na základe umiestnenia počítača, nie užívateľa.
Napr. doktorand sa prihlási v učebni tak ma obmedzenia vačšie ako v kancli. Obmedzenia ale nie je možné nastaviť v CC ale len v UC.
Módy Merge a Replace. Replace – zmaže aktuálne užívatelské nastavenia a prepíše ho nastavením CC od počítačového GPO.
Merge – uplatní obe užívatelské nastavenia, u konfliktu je silnejšie nastavenie z počítačovaj GPO.
YOUR LOGO
Loppback policy
YOUR LOGO
Slow link
Niektoré politiky napr distribúcia SW, alebo záplat sa nemusia uplatnť při tzv Slow Link.
Default je 500 Kb/s, môžem ale nastavit
YOUR LOGO
Default DC policy
YOUR LOGO
Default Domain policy
YOUR LOGO
Prehľad uplatnených politík na klientovi
Gpresult s CMD export do text súboru.
Windows Help – Tools – Advanced systém info
YOUR LOGO
Uplatnené politiky
YOUR LOGO
Group policy results
Extra konzola, pripojí sa na existujúci počítač a skontroluje politiku pre konkrétneho užívatela.
YOUR LOGO
Group Policy MOdeling
Modeling namodeluje na neexistujúcej situácii GPO
Nie je nutné pripojenie ani prihlásený účet
YOUR LOGO
MOdeling
Modelujem aj prípadný loopback aj site aj Slow network
Taktiež sa modelujú aj MWI filtre
YOUR LOGO
AD Build in groups
Enterprise Admins – najvyšší admin Forestu, nitná jeho autorizácia pre pridanie novej domény, DHCP servru,...
Schema Administrators – Môžu meniť schému AD
Domain Admins – Admini nad danou doménou, pridávajú a spravujú doménové objekty.
Domain Users – Doménový užívatelia prihlasujú sa na členských počítačoch
Domain Computer, Users – počítače v domény, aj počítače majú učty aj heslo- to nemôžme meniť, automatické.
YOUR LOGO
AD groups types
Security- Iba týmto skupinám je možné nastaviť bezpečnostné oprávnenia.
Distribution- Skupiny určené pre napr. posielanie emailov cez Exchange server. Nie
je možné nastaviť skupinám oprávnenia.
YOUR LOGO
Security Groups
Domain Local - Skupina viditelná iba v rámci domény. Môžem do nej vložiť užívateľov aj
skipiny z iných domén. Určená k priradeniu oprávnení na objekty.
Global- Združuje užívateľov z domény, môžem globálnu vložiť do inej globálnej
a taktiež do DL.
Universal- Neexistuje v móde, ktorý podporuje NT systém. Združuje užívateľov z
celého forestu. Aj GG môžu byť členom UG. UG môže byŤ členom DL skupiny. UG nemôže byť členom GG.
YOUR LOGO
Jmenné služby DNS, WINS
YOUR LOGO
Porovnání jmen
Vlastnost NetBios DNS
Typ uspořádání Plochá Hierarchická
Omezení použitých znaků
Znaky Unicode, čísla, mezery, symboly: ! @ # $ % ^ & ` ( ) . -_ { } ~
Malá a velká písmena, čísla, pomlčka. Tečka má speciální význam oddělovače
Maximální délka 15 znaků 63 byte na jednu část, 255 Byte na celé FQDN
Jmená služba Wins, NETBIOS broadcast, lmhost soubor
DNS, hosts soubor
YOUR LOGO
DNS
Databáze překladu jmen na IP adresy
Hierarchická
Distribuovaná
Dynamic DNS
AD integrated zone
FQDN: fully qualified domain name
Primární DNS přípona
YOUR LOGO
Zóny
Primární – originální data, kompletní popis zóny.Může (měla by) být zálohována na sekundární.
Forward – překlad jmen na IP
Revers – překlad IP na jména. Záznamy jsou pouze ptr, které odkazují na záznam primární zóny.Všechny domény jsou subdomény in-addr.arpa. Subdomény jsou členěny podle bytů IP adresy v opačném pořadí.
Sekundární – je autoritativní zálohou primární nebo jiné sekundární, jde o plnou kopii na jiném serveru.Zone transfer je jediný způsob aktualizace záznamů, protože tato databáze je readonly.
Stub – je kopií zóny obsahující pouze záznamy nutné k identifikování DNS serveru master zóny(SOA, NS a A odkazující na autoritativní server zóny)
YOUR LOGO
Architektura DNS
wis.fit.vutbr.cz.
vutbrczech-tv seznam
cz netnet
fme fit fbm
video1 wis
YOUR LOGO
Reverzní zóna
29.111.168.192.in-addr.arpa.
netcom
in-addr
192172 10
29
111
arpa
168
Reverzní zóny
YOUR LOGO
Top level domény
Root servery pevně dané- DNS server je musí mít ručně zadány
pro vyhledávání
- Ve výchozím nastavení serveru již definovány
YOUR LOGO
Typy DNS dotazů
Iterativní – pošle zpět nejlepší možnou odpověď
Rekurzivní – pošle zpět chybu, nebo přesnou adresu. Takto odpovídá zpravidla resolver
Reverzní – používají PTR záznamy, klient nemusí znát doménu, ve které je IP registrovaná. Nejčastěji se používá k ověření platnosti IP klienta. Např. IP 206.131.234.1 se bude hledatv doméně 1.234.131.206.in-addr.arpa.
YOUR LOGO
pc05.nepal.local.DNS:192.168.255.4
Yetti.nepal.local
192.168.255.4DNS Server
Znáš IP stanicepc10.fit.local.?
Ano, jeho IP:192.168.255.17
Query
Převzato z www.sevecek.com/res
YOUR LOGO
pc05.nepal.local.
nepal.LOCAL.DNS Server
Resolver
Znášwww.centrum.cz?
ROOTDNS server
CZ
DNS server
CENTRUM DNS server
62.84.131.1484.
Server sám nezná
odpověď
Recursive querycz?1.
cz = 192.93.0.4
centrum2.
centrum = 192.93.0.4
www3.
www = 62.84.131.148
Převzato z www.sevecek.com/res
Iterative query
YOUR LOGO
CLIENT
DNS Server
ROOT
CZ
CENTRUM
Forwarding DNS
LAN
Pomalé připojení
Internet
DNS Forwarding
Převzato z www.sevecek.com/res
YOUR LOGO
Typy DNS odpovědí:
Autoritativní: pozitivní odpověď a ve zprávě je nastaven Autority bit. Znamená, že server, který odpověděl je přímou autoritou dotazovaného jména.
Pozitivní: zpráva obsahuje dotazovaný záznam odpovídající požadovanému.
Refferal: zpráva obsahuje záznam a typ, které nebyly specifikovány v dotazu. Používá se k rekurzivnímu dohledávání. Takto odpoví server zpravidla pokud server nepodporuje (nemá nastaveno) rekurzivní dohledávání.
Negativní: buď neexistuje záznam nebo existuje ale je jiného typu, než bylo dotazováno.
YOUR LOGO
CLIENT
SecondaryDNS Server
PrimaryDNS Server
Register: Client A, PTR
OK
PC01
FIT.LOCAL.
Host name
DNS Suffix SOA: fit.local.?
Primary DNS Server
Dynamic DNS Registration
Převzato z www.sevecek.com/res
YOUR LOGO
CLIENTDHCPServer
PrimaryDNS Server
CONFIGURE
Register A
Register PTR
Register A
Dynamic DNS Registration
Převzato z www.sevecek.com/res
YOUR LOGO
35
computer5 10.0.0.2
microsoft.com. ns1.microsoft.com.
microsoft.com. mail.microsoft.com.
microsoft.com. PriDNS: ns1.microsoft.com.
www computer5.microsoft.com.
5.0.0.10.in-addr.arpa computer5.microsoft.com.
Označení typů DNS položek(RFC 1700)
SOA – start of authority
NS – name server
A – host address
CNAME – canonical name(alias)
SRV – service description
MX – mail exchange
PTR – reverse pointer
AAAA – IPv6 address
Převzato z www.sevecek.com/res
YOUR LOGO
Microsoft specifické záznamy
Začínají podtržítkem, není ve standardu => MS
Záznam obsahuje službu, typ (UDP/TCP),doménu, prioritu, váhu, port
_msdcs – doménové kontroléry,globální katalog a PDC emulátory.
_sites – site domény. Každá site má tuto svou subdoménu. Site je skupina propojených podsítí.
_tcp – služby tcp jako kerberos, globální katalog, ldap nebo kpasswd ke změně hesla
_udp – služby udp jako kerberos a kpasswd
YOUR LOGO
Soubory databáze:
Záznamy umístěny v %systemroot%\system32\dnsnebo v AD
Domain name – každá zóna má svůj dns soubor
Reverse lookup – označený opět pro každou zónu zvlášť
cache – obsahuje jména mimo autoritativní doménu. Typicky jména root serverů.
Boot – soubor s instrukcemi, co se má provést při startu DNS. Informace lze získat z AD, BIND souboru nebo dns souboru
YOUR LOGO
Round Robin, netmask ordering
v DNS bude jedno jméno s více IP
Server pak odpoví první adresou v seznamua pošle ji na konec seznamu.Příště odpoví druhou atd.
Netmask ordering – server odpovíIP adresami, které odpovídají podsíti klienta
Pokud není Round robin a/nebo Netmask ordering zapnut, server odpoví první IP,kterou najde v databázi
YOUR LOGO
Časové vlastnosti DNS zóny
Refresh interval:Za jak dlouho v sec. má sekundární server požádat o aktuální záznamy primární. Výchozí hodnota 15 min.
Retry interval:Za jak dlouho v sec. se zkusit další pokud při selhání zone transferu. Výchozí 10 min.
Expire interval:Za jak dlouho v sec. přestane server odpovídat klientům na dotaz, pokud nebyla zóna aktualizována z primárního serveru při selhání. Výchozí 24 hod.
Minimum (default) TTL:Minimální doba platnosti v sec. aplikovaná na záznamy, pokud není uvedena při zadávání. Výchozí 1 hod. TTL cache ovlivňuje, za jak dlouho bude vymazán záznam z cache.
YOUR LOGO
WINS
Pro zpětnou kompatibilitu nebo v sítích kde není DNS
Využívá centralizovanou databázi pro NetBios vyhledávání
Při startu stanice registruje NetBios jméno do databáze serveru
Name query request unicastem serveru, který odpoví IP adresou stanice z databáze
Není omezena hranicemi pro broadcast
YOUR LOGO
Postup při rozlišení Host name – Mixed Mode - default
1. Porovnání s jménem lokálního počítače
2. DNS cache
3. Kontrola místního souboru Hosts
4. Dotaz na DNS server
5. Prohledání místní NetBIOS cache
6. Dotaz na WINS server
7. Vyslání výzvy (broadcast)
8. Kontrola místního souboru Lmhosts
YOUR LOGO
044 DHCP nastavení node type
0x1 Broadcast část (B): překlad jmen plně závisí na NetBiosu. Jestliže host nemůže být nalezen v NBT cache nebo pomocí broadcastu, pak jméno není přeloženo.
0x2 Peer (P): pokud není záznam nalezen v cache, je kontaktován WINS server.
0x4 Mixed (M): Kombinace B a P. Prvně je hledáno v cache, pak broadcast a nakonec WINS server.
0x8 Hybrid (H): Podobně jako mix, ale v opačném pořadí.Toto je výchozí nastavení.
Odpovídající registr: HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType
YOUR LOGO
Příkazové utility pro rozlišení jmen
Arp
nbtstat
ipconfig /flushdns (/registerdns)
nslookup
netsh
YOUR LOGO
Odkazy
Top level domény: http://www.icann.org/tlds
http://www.iana.org/cctld/cctld-whois.htm
seznam IP root serverů: ftp://rs.internic.net/domain/named.cache