Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft.
-
Upload
natale-ferro -
Category
Documents
-
view
215 -
download
0
Transcript of Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft.
Windows Server 2003 Windows Server 2003 Integrazione di DNS in Strutture Integrazione di DNS in Strutture
EsistentiEsistenti
PierGiorgio Malusardi – MicrosoftPierGiorgio Malusardi – Microsoft
Cosa vedremoCosa vedremo
Ripresa dei Concetti di BaseRipresa dei Concetti di Base DNS e Active DirectoryDNS e Active Directory Architetture DNS Architetture DNS Uso di DNS non-Microsoft Uso di DNS non-Microsoft Messa in Sicurezza del DNSMessa in Sicurezza del DNS
Concetti di base DNSConcetti di base DNS
Protocollo di Risoluzione dei Nomi per Protocollo di Risoluzione dei Nomi per Reti TCP/IPReti TCP/IP
Database Gerarchico e DistribuitoDatabase Gerarchico e Distribuito
Forward Lookup ZoneForward Lookup Zone Reverse Lookup ZoneReverse Lookup Zone
Chi è NY-CERT-01?Chi è NY-CERT-01? Chi è 192.168.80.9?Chi è 192.168.80.9?
NY-CERT-01 = NY-CERT-01 = 192.168.80.6192.168.80.6
192.168.80.9 =192.168.80.9 =NY-WXP-01NY-WXP-01
TCP/IP
Concetti di base DNS Concetti di base DNS Gerarchia delloGerarchia dello Spazio dei Nomi PubblicoSpazio dei Nomi Pubblico
.
com
gov
research.Contoso.com
us.Contoso.comIRS.gov
Contoso.com
Internet Root
Sotto domini
Domini Secondo Livello
Domini Top-Level
Concetti di base DNS Concetti di base DNS Gerarchia delloGerarchia dello Spazio dei Nomi LocaleSpazio dei Nomi Locale
research.Contoso.local
us.Contoso.local
Contoso.local
Concetti di base DNS Concetti di base DNS Query InterneQuery Interne
NY-WXP-01.contoso.com
NY-WEB-01.contoso.com
NY-DNS-01.contoso.com
Concetti di base DNS Concetti di base DNS Query InterneQuery Interne
NY-WXP-01.contoso.com
NY-WEB-01.contoso.com
NY-DNS-01.contoso.com
ww
w.contoso.com
?
Concetti di base DNS Concetti di base DNS Query InterneQuery Interne
NY-WXP-01.contoso.com
NY-WEB-01.contoso.com
NY-DNS-01.contoso.com
NY-DNS-01 A 192.168.80.1
NY-WEB-01 A 192.168.80.5
NY-WXP-01 A 192.168.80.6
www CNAME NY-WEB-01.contoso.com
ww
w.contoso.com
?
contoso.com
Concetti di base DNS Concetti di base DNS Query InterneQuery Interne
NY-WXP-01.contoso.com
NY-WEB-01.contoso.com
NY-DNS-01.contoso.com
NY-DNS-01 A 192.168.80.1
NY-WEB-01 A 192.168.80.5
NY-WXP-01 A 192.168.80.6
www CNAME NY-WEB-01.contoso.com
Query: w
ww
.contoso.com
contoso.com
Concetti di base DNS Concetti di base DNS Query InterneQuery Interne
NY-WXP-01.contoso.com
NY-WEB-01.contoso.com
NY-DNS-01.contoso.com
NY-DNS-01 A 192.168.80.1
NY-WEB-01 A 192.168.80.5
NY-WXP-01 A 192.168.80.6
www CNAME NY-WEB-01.contoso.com
ww
w.contoso.com
?
contoso.com
192.168.80.5
Concetti di base DNS Concetti di base DNS Query InterneQuery Interne
NY-WXP-01.contoso.com
NY-WEB-01.contoso.com
NY-DNS-01.contoso.com
NY-DNS-01 A 192.168.80.1
NY-WEB-01 A 192.168.80.5
NY-WXP-01 A 192.168.80.6
www CNAME NY-WEB-01.contoso.com
ww
w.contoso.com
?
contoso.com
192.168.80.5
TCP/IP
Concetti di base DNS Concetti di base DNS Query EsterneQuery Esterne
WideWorldImporters.com
Concetti di base DNS Concetti di base DNS Query EsterneQuery Esterne
WideWorldImporters.comw
ww
.contoso.com?
Concetti di base DNS Concetti di base DNS Query EsterneQuery Esterne
WideWorldImporters.comw
ww
.contoso.com?
Concetti di base DNS Concetti di base DNS Query EsterneQuery Esterne
WideWorldImporters.com
a.root-server.net
ww
w.contoso.com
?
192.168.80.5
www.contoso.com?
contoso.com = 192.169.80.1
Concetti di base DNS Concetti di base DNS Query EsterneQuery Esterne
WideWorldImporters.com
NY-DNS-01.contoso.com
NY-WEB-01.contoso.com
a.root-server.net
ww
w.contoso.com
?
www.contoso.com?
contoso.com = 192.169.80.1
www.contoso.com?192.168.80.5
Concetti di base DNS Concetti di base DNS Query EsterneQuery Esterne
WideWorldImporters.com
NY-DNS-01.contoso.com
NY-WEB-01.contoso.com
a.root-server.net
ww
w.contoso.com
?
192.168.80.5
www.contoso.com?
contoso.com = 192.169.80.1
www.contoso.com?192.168.80.5
Concetti di base DNS Concetti di base DNS Query EsterneQuery Esterne
WideWorldImporters.com
NY-DNS-01.contoso.com
NY-WEB-01.contoso.com
a.root-server.net
TCP/IP
Cosa vedremoCosa vedremo
Ripresa dei Concetti di BaseRipresa dei Concetti di Base DNS e Active DirectoryDNS e Active Directory Architetture DNS Architetture DNS Uso di DNS non-Microsoft Uso di DNS non-Microsoft Messa in Sicurezza del DNSMessa in Sicurezza del DNS
Active Directory e DNS Active Directory e DNS Registrazione dei Service Locator RecordRegistrazione dei Service Locator Record
AD usa il DNS per registrare i serviziAD usa il DNS per registrare i servizi I record SRV sono registrati all’avvioI record SRV sono registrati all’avvio
NY-DC-01.contoso.com NY-NS-01.contoso.com
LDAP
Kerberos
Kerberos Password
Global Catalog
Active Directory e DNS Active Directory e DNS Registrazione dei Service Locator RecordRegistrazione dei Service Locator Record
Il file NETLOGON.dns elenca i record SRVIl file NETLOGON.dns elenca i record SRV
Active Directory e DNS Active Directory e DNS Registrazione dei Service Locator RecordRegistrazione dei Service Locator Record
Service Locator Record: descritti da RFC 2782Service Locator Record: descritti da RFC 2782 Proprietà dei Record SRVProprietà dei Record SRV
_ldap._tcp _ldap._tcp 600600 SRVSRV 00 100100 389389 NY-DC-01.contoso.com.NY-DC-01.contoso.com.
_kerberos._tcp_kerberos._tcp 600600 SRVSRV 00 100100 8888 NY-DC-01.contoso.com.NY-DC-01.contoso.com.
_gc._tcp_gc._tcp 600 SRV600 SRV 00 100100 32683268 NY-DC-01.contoso.com.NY-DC-01.contoso.com.
_kpasswd._tcp_kpasswd._tcp 600600 SRVSRV 00 100100 464464 NY-DC-01.contoso.com.NY-DC-01.contoso.com.
Service
Protocol
Site TTL Priority Weight Port Host
Active Directory e DNS Active Directory e DNS Localizzazione dei ServiziLocalizzazione dei Servizi
Tilbury Site
London SiteNew York Site
NY-DC-01 LON-DC-01
TIL-DNS-01
Dov’è la più vicina stampante di rete?
Active Directory e DNS Active Directory e DNS Localizzazione dei ServiziLocalizzazione dei Servizi
Tilbury Site
London SiteNew York Site
NY-DC-01 LON-DC-01
TIL-DNS-01
Dov’è la più vicina stampante di rete?
Global Catalog?
Active Directory e DNS Active Directory e DNS Localizzazione dei ServiziLocalizzazione dei Servizi
Tilbury Site
London SiteNew York Site
Site Link Cost 25
Site Link Cost 25
Site Link Cost 50
NY-DC-01 LON-DC-01
TIL-DNS-01
Dov’è la più vicina stampante di rete?
NY-DC-01 e LON-DC-01 sono Global
CatalogGlobal Catalog?
Active Directory e DNS Active Directory e DNS Localizzazione dei ServiziLocalizzazione dei Servizi
Tilbury Site
London SiteNew York Site
Site Link Cost 25
Site Link Cost 25
Site Link Cost 50
NY-DC-01 LON-DC-01
TIL-DNS-01
Qual’è la più vicina stampante di rete?
NY-DC-01 e LON-DC-01 sono Global
CatalogGlobal Catalog?
NY-DC-01 e LON-DC-01
Ricerca della stampante sul GC
Active Directory e DNS Active Directory e DNS Modifica Dinamica dei RecordModifica Dinamica dei Record
È definta da RFC 2136È definta da RFC 2136
Server DNS
DHCP ServerRichiesta di IP
IP in Affitto
Window 2000, XP, 2003
Active Directory e DNS Active Directory e DNS Modifica Dinamica dei RecordModifica Dinamica dei Record
DNS Server
DHCP ServerRichiesta di IP
IP in Affitto
DNS Dynamic update del nome Host (A).
Window 2000, XP, 2003
DNS Dynamic update del Pointer (PTR).
Cosa vedremoCosa vedremo
Ripresa dei Concetti di BaseRipresa dei Concetti di Base DNS e Active DirectoryDNS e Active Directory Architetture DNSArchitetture DNS Uso di DNS non-Microsoft Uso di DNS non-Microsoft Messa in Sicurezza del DNSMessa in Sicurezza del DNS
Spazio dei Nomi UnicoSpazio dei Nomi Unico
contoso.com contoso.com
Internet Rete Interna
NY-WEB-01
NY-SMTP-01
NY-NS-01 NY-NS-02
NY-DC-01
NY-WXP-01
@ NS NY-NS-01.contoso.com
NY-NS-01 A 39.168.80.1
NY-WEB-01 A 39.168.80.5
NY-SMTP-01 A 39.168.80.6
www CNAME NY-WEB-01.contoso.com
smtp CNAME NY-SMTP-01.contoso.com
@ NS NY-NS-02.contoso.com
NY-NS-02 A 192.168.80.1
NY-WEB-01 A 39.168.80.5
NY-SMTP-01 A 39.168.80.6
www CNAME NY-WEB-01.contoso.com
NY-WXP-01 A 192.168.80.6
NY-DC-01 A 192.168.80.200
Spazio dei Nomi DelegatoSpazio dei Nomi Delegato
contoso.com
corp.contoso.com
NY-NS-01NY-NS-02
NY-DC-01
NY-WXP-01
@ NS NY-NS-01.contoso.com
Corp NS NY-NS-02.corp.contoso.com
NY-NS-02.corp A 192.168.70.1
NY-NS-01 A 192.168.80.1
NY-WEB-01 A 192.168.80.5
NY-SMTP-01 A 192.168.80.6
www CNAME NY-WEB-01.contoso.com
smtp CNAME NY-SMTP-01.contoso.com
@ NS NY-NS-02.corp.contoso.com
NY-NS-02 A 192.168.70.1
NY-WXP-01 A 192.168.70.6
NY-DC-01 A 192.168.70.200
Spazio dei Nomi DelegatoSpazio dei Nomi Delegato
contoso.com corp.contoso.com
Internet Rete Interna
NY-WEB-01
NY-SMTP-01
NY-NS-01NY-NS-02
NY-DC-01
NY-WXP-01
@ NS NY-NS-01.contoso.com
NY-NS-01 A 39.168.80.1
NY-WEB-01 A 39.168.80.5
NY-SMTP-01 A 39.168.80.6
www CNAME NY-WEB-01.contoso.com
smtp CNAME NY-SMTP-01.contoso.com
@ NS NY-NS-02.corp.contoso.com
NY-NS-02 A 192.168.80.1
NY-WEB-01 A 39.168.80.5
NY-SMTP-01 A 39.168.80.6
www CNAME NY-WEB-01.contoso.com
NY-WXP-01 A 192.168.80.6
NY-DC-01 A 192.168.80.200
Spazio dei Nomi UnivocoSpazio dei Nomi Univoco
contoso.com contoso.local
Internet Rete Interna
NY-WEB-01
NY-SMTP-01
NY-NS-01 NY-NS-02
NY-DC-01
NY-WXP-01
@ NS NY-NS-01.contoso.com
NY-NS-01 A 39.168.80.1
NY-WEB-01 A 39.168.80.5
NY-SMTP-01 A 39.168.80.6
www CNAME NY-WEB-01.contoso.com
smtp CNAME NY-SMTP-01.contoso.com
@ NS NY-NS-02.contoso.local
NY-NS-02 A 192.168.80.1
NY-WXP-01 A 192.168.80.6
NY-DC-01 A 192.168.80.200
Pianificazione dei Nomi DNSPianificazione dei Nomi DNSBuone PraticheBuone Pratiche
Usare nomi distintiUsare nomi distinti
Creare uno spazio dei nomi compatibile con ADCreare uno spazio dei nomi compatibile con AD
Separa lo spazio dei nomi interno da quello esternoSepara lo spazio dei nomi interno da quello esterno
Pianificazione dei Nomi DNSPianificazione dei Nomi DNSLinee GuidaLinee Guida
Selezionare lo spazio dei nomi DNS per il dominioSelezionare lo spazio dei nomi DNS per il dominio
Mantenere la separazione tra gli spazi dei nomi interno ed esternoMantenere la separazione tra gli spazi dei nomi interno ed esterno
Usare spazi dei nomi differenti per Internet e IntranetUsare spazi dei nomi differenti per Internet e Intranet
Cosa vedremoCosa vedremo
Ripresa dei Concetti di BaseRipresa dei Concetti di Base DNS e Active DirectoryDNS e Active Directory Architetture DNS Architetture DNS Uso di DNS non MicrosoftUso di DNS non Microsoft Messa in Sicurezza del DNSMessa in Sicurezza del DNS
Interoperabilità con BINDInteroperabilità con BIND
Se esistono dei NS BIND, e si vuole mantenerli nell’infrastruttura di supporto ad AD, scegliere una delle seguenti strategie:
Se esistono dei NS BIND, e si vuole mantenerli nell’infrastruttura di supporto ad AD, scegliere una delle seguenti strategie:
Usare BIND per Internet e DNS di Windows Server 2003 per la rete internaUsare BIND per Internet e DNS di Windows Server 2003 per la rete interna
Usare BIND sia per Internet sia per la intranetUsare BIND sia per Internet sia per la intranet
Usere BIND sia per Internet sia per la intranet, ma mettere i domini AD in Zone delegate su DNS Windows Server 2003
Usere BIND sia per Internet sia per la intranet, ma mettere i domini AD in Zone delegate su DNS Windows Server 2003
Usare i DNS Windows Server 2003 DNS sia per Internet sia per la intranetUsare i DNS Windows Server 2003 DNS sia per Internet sia per la intranet
Uso di DNS non-MicrosoftUso di DNS non-Microsoft È possibile usare per AD anche DNS non-È possibile usare per AD anche DNS non-
MicrosoftMicrosoft Devono Supportare i Record SRVDevono Supportare i Record SRV È meglio se supportano anche l’Update È meglio se supportano anche l’Update
Dinamico dei RecordDinamico dei Record È meglio che venga assegnata ad AD una È meglio che venga assegnata ad AD una
sub-zone separatasub-zone separata
Esempio di named.confEsempio di named.conf//BIND Configuration File
options {
directory "/usr/local/named";
notify yes;
};
zone "corp.contoso.com" in {
type master;
file "db.corp.contoso";
check-names ignore;
allow-transfer { 192.168.80.7; };
allow-update { 192.168.80.5; 192.168.80.6; 192.168.80.100;};
};
zone "80.168.192.in-addr.arpa" in {
type master;
file "db.192.168.80";
allow-transfer { 192.168.80.7; };
allow-update { 192.168.80.5; 192.168.80.6; 192.168.80.100;};
};
zone "0.0.127.in-addr.arpa" in {
type master;
file "db.127.0.0";
zone "." in {
type hint;
file "db.cache";
};
Significato delle opzioni in named.confSignificato delle opzioni in named.conf notify yesnotify yes
Istruisce il DNS Primario a mandare modifiche immediatamente ai DNS Secondari Istruisce il DNS Primario a mandare modifiche immediatamente ai DNS Secondari quando ci sono delle modifiche alla Zonaquando ci sono delle modifiche alla Zona
check-names ignorecheck-names ignorePer default, BIND controlla tutti i record per verificare che siano usati solo nomi di Per default, BIND controlla tutti i record per verificare che siano usati solo nomi di host standard per evitare problemi di interoperabilità.. Windows 2000 usa una sub-host standard per evitare problemi di interoperabilità.. Windows 2000 usa una sub-zone chiamata "_msdcs" per mantenere i dati di Active Directory. Questa zona non zone chiamata "_msdcs" per mantenere i dati di Active Directory. Questa zona non può entrare in conflitto con un nome di host (_ non ammesso per questi), ma può entrare in conflitto con un nome di host (_ non ammesso per questi), ma rende anche impossibile mettere nomi di host in questa zona (BIND li vede come rende anche impossibile mettere nomi di host in questa zona (BIND li vede come illegali).illegali).Active Directory cerca di inserire i GC in _msdcs, ma questa operazione viene Active Directory cerca di inserire i GC in _msdcs, ma questa operazione viene vietata per default da BIND. Per evitare questi problemi, Microsoft raccomanda che vietata per default da BIND. Per evitare questi problemi, Microsoft raccomanda che AD sia piazzata in una sub-zone per la quale disabilitare il controllo dei nomi host.AD sia piazzata in una sub-zone per la quale disabilitare il controllo dei nomi host.
allow transferallow transferIndica quali host (NS) possono iniziare un trasferimento di zona.Indica quali host (NS) possono iniziare un trasferimento di zona.
allow allow updateupdatePer motivi di sicurezza è meglio consentire solo ai DC e ai DHCP la modifica dei Per motivi di sicurezza è meglio consentire solo ai DC e ai DHCP la modifica dei record in DNS.record in DNS.
Cosa vedremoCosa vedremo
Ripresa dei Concetti di BaseRipresa dei Concetti di Base DNS e Active DirectoryDNS e Active Directory Architetture DNS Architetture DNS Uso di DNS non-Microsoft Uso di DNS non-Microsoft Messa in Sicurezza del DNSMessa in Sicurezza del DNS
Messa in Sicurezza del DNSMessa in Sicurezza del DNS
L’approccio corretto alla risoluzione dei nomi deve: L’approccio corretto alla risoluzione dei nomi deve:
Esporre solo la parte pubblica dello spazio dei nomiEsporre solo la parte pubblica dello spazio dei nomi
Abilitare tutti i client AD per la risoluzione di tutti i nomi aziendali, interni ed esterniAbilitare tutti i client AD per la risoluzione di tutti i nomi aziendali, interni ed esterni
Abilitare la risoluzione dei nomi Internet, su InternetAbilitare la risoluzione dei nomi Internet, su Internet
Limitare il numero di record nel DNS esternoLimitare il numero di record nel DNS esterno
Messa in Sicurezza del DNSMessa in Sicurezza del DNS
Usare pochi Record Alias (CNAME)Usare pochi Record Alias (CNAME) Adottare Pratiche Standard per i DNSAdottare Pratiche Standard per i DNS Integrare le Zone in Active DirectoryIntegrare le Zone in Active Directory Considerare la Possibilità di usare Zone Considerare la Possibilità di usare Zone
SecondarieSecondarie Rivedere gli RFCRivedere gli RFC
http://www.rfc-editor.orghttp://www.rfc-editor.org http://www.ietf.org/html.charters/dnsext-charter.htmlhttp://www.ietf.org/html.charters/dnsext-charter.html http://www.ietf.org/html.charters/dnsop-charter.htmlhttp://www.ietf.org/html.charters/dnsop-charter.html
Inserire le Informazioni per Contattare l’Admin Inserire le Informazioni per Contattare l’Admin di Zonadi Zona [email protected] = [email protected] = admin.contoso.com
Messa in Sicurezza del DNSMessa in Sicurezza del DNS
Usare i Forwarder per le Zone su InternetUsare i Forwarder per le Zone su Internet Filtrare il Traffico DNS sui FirewallFiltrare il Traffico DNS sui Firewall Restringere il Traffico DNS in base agli IPRestringere il Traffico DNS in base agli IP Usare la Ricorsione ogni volta che è possibileUsare la Ricorsione ogni volta che è possibile Cancellare i Root Hint sui server che non Cancellare i Root Hint sui server che non
devono comunicare con i DNS servers devono comunicare con i DNS servers autoritativi per i root domainautoritativi per i root domain
Modificare i Root Hint se il Root Domain è Modificare i Root Hint se il Root Domain è internointerno
Modificare i Root Hints quando cambia il NS Modificare i Root Hints quando cambia il NS autoritativo per il Root Domainautoritativo per il Root Domain
Messa in Sicurezza del DNSMessa in Sicurezza del DNS
Consentire la Replica solo per i NS Consentire la Replica solo per i NS SpecificatiSpecificati
Mettere in Sicurezza il Servizio DNS Mettere in Sicurezza il Servizio DNS usando le ACLusando le ACL
Per le Zone Standard modificare i Per le Zone Standard modificare i Permessi sui File di ZonaPermessi sui File di Zona <%systemroot%>\System32\DNS<%systemroot%>\System32\DNS
Mettere in Sicurezza le Chiavi di Mettere in Sicurezza le Chiavi di Registry del DNSRegistry del DNS HKLM\System\CurrentControlSet\Services\DNSHKLM\System\CurrentControlSet\Services\DNS
© 2003-2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.