Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft.

Windows Server 2003 Windows Server 2003 Integrazione di DNS in Strutture Integrazione di DNS in Strutture

EsistentiEsistenti

PierGiorgio Malusardi – MicrosoftPierGiorgio Malusardi – Microsoft

Cosa vedremoCosa vedremo

Ripresa dei Concetti di BaseRipresa dei Concetti di Base DNS e Active DirectoryDNS e Active Directory Architetture DNS Architetture DNS Uso di DNS non-Microsoft Uso di DNS non-Microsoft Messa in Sicurezza del DNSMessa in Sicurezza del DNS

Concetti di base DNSConcetti di base DNS

Protocollo di Risoluzione dei Nomi per Protocollo di Risoluzione dei Nomi per Reti TCP/IPReti TCP/IP

Database Gerarchico e DistribuitoDatabase Gerarchico e Distribuito

Forward Lookup ZoneForward Lookup Zone Reverse Lookup ZoneReverse Lookup Zone

Chi è NY-CERT-01?Chi è NY-CERT-01? Chi è 192.168.80.9?Chi è 192.168.80.9?

NY-CERT-01 = NY-CERT-01 = 192.168.80.6192.168.80.6

192.168.80.9 =192.168.80.9 =NY-WXP-01NY-WXP-01

TCP/IP

Concetti di base DNS Concetti di base DNS Gerarchia delloGerarchia dello Spazio dei Nomi PubblicoSpazio dei Nomi Pubblico

.

com

gov

research.Contoso.com

us.Contoso.comIRS.gov

Contoso.com

Internet Root

Sotto domini

Domini Secondo Livello

Domini Top-Level

Concetti di base DNS Concetti di base DNS Gerarchia delloGerarchia dello Spazio dei Nomi LocaleSpazio dei Nomi Locale

research.Contoso.local

us.Contoso.local

Contoso.local

Concetti di base DNS Concetti di base DNS Query InterneQuery Interne

NY-WXP-01.contoso.com

NY-WEB-01.contoso.com

NY-DNS-01.contoso.com





ww

w.contoso.com

?





NY-DNS-01 A 192.168.80.1

NY-WEB-01 A 192.168.80.5

NY-WXP-01 A 192.168.80.6

www CNAME NY-WEB-01.contoso.com

ww

w.contoso.com

?

contoso.com





NY-DNS-01 A 192.168.80.1

NY-WEB-01 A 192.168.80.5

NY-WXP-01 A 192.168.80.6


Query: w

ww

.contoso.com

contoso.com





NY-DNS-01 A 192.168.80.1

NY-WEB-01 A 192.168.80.5

NY-WXP-01 A 192.168.80.6


ww

w.contoso.com

?

contoso.com

192.168.80.5





NY-DNS-01 A 192.168.80.1

NY-WEB-01 A 192.168.80.5

NY-WXP-01 A 192.168.80.6


ww

w.contoso.com

?

contoso.com

192.168.80.5

TCP/IP

Concetti di base DNS Concetti di base DNS Query EsterneQuery Esterne

WideWorldImporters.com


WideWorldImporters.comw

ww

.contoso.com?



a.root-server.net

ww

w.contoso.com

?

192.168.80.5

www.contoso.com?

contoso.com = 192.169.80.1





a.root-server.net

ww

w.contoso.com

?

www.contoso.com?

contoso.com = 192.169.80.1

www.contoso.com?192.168.80.5





a.root-server.net

ww

w.contoso.com

?

192.168.80.5

www.contoso.com?

contoso.com = 192.169.80.1

www.contoso.com?192.168.80.5





a.root-server.net

TCP/IP

Active Directory e DNS Active Directory e DNS Registrazione dei Service Locator RecordRegistrazione dei Service Locator Record

AD usa il DNS per registrare i serviziAD usa il DNS per registrare i servizi I record SRV sono registrati all’avvioI record SRV sono registrati all’avvio

NY-DC-01.contoso.com NY-NS-01.contoso.com

LDAP

Kerberos

Kerberos Password

Global Catalog


Il file NETLOGON.dns elenca i record SRVIl file NETLOGON.dns elenca i record SRV


Service Locator Record: descritti da RFC 2782Service Locator Record: descritti da RFC 2782 Proprietà dei Record SRVProprietà dei Record SRV

_ldap._tcp _ldap._tcp 600600 SRVSRV 00 100100 389389 NY-DC-01.contoso.com.NY-DC-01.contoso.com.

_kerberos._tcp_kerberos._tcp 600600 SRVSRV 00 100100 8888 NY-DC-01.contoso.com.NY-DC-01.contoso.com.

_gc._tcp_gc._tcp 600 SRV600 SRV 00 100100 32683268 NY-DC-01.contoso.com.NY-DC-01.contoso.com.

_kpasswd._tcp_kpasswd._tcp 600600 SRVSRV 00 100100 464464 NY-DC-01.contoso.com.NY-DC-01.contoso.com.

Service

Protocol

Site TTL Priority Weight Port Host

Active Directory e DNS Active Directory e DNS Localizzazione dei ServiziLocalizzazione dei Servizi

Tilbury Site

London SiteNew York Site

NY-DC-01 LON-DC-01

TIL-DNS-01

Dov’è la più vicina stampante di rete?


Tilbury Site


NY-DC-01 LON-DC-01

TIL-DNS-01


Global Catalog?


Tilbury Site


Site Link Cost 25

Site Link Cost 25

Site Link Cost 50

NY-DC-01 LON-DC-01

TIL-DNS-01


NY-DC-01 e LON-DC-01 sono Global

CatalogGlobal Catalog?


Tilbury Site


Site Link Cost 25

Site Link Cost 25

Site Link Cost 50

NY-DC-01 LON-DC-01

TIL-DNS-01

Qual’è la più vicina stampante di rete?

NY-DC-01 e LON-DC-01 sono Global

CatalogGlobal Catalog?

NY-DC-01 e LON-DC-01

Ricerca della stampante sul GC

Active Directory e DNS Active Directory e DNS Modifica Dinamica dei RecordModifica Dinamica dei Record

È definta da RFC 2136È definta da RFC 2136

Server DNS

DHCP ServerRichiesta di IP

IP in Affitto

Window 2000, XP, 2003

Active Directory e DNS Active Directory e DNS Modifica Dinamica dei RecordModifica Dinamica dei Record

DNS Server

DHCP ServerRichiesta di IP

IP in Affitto

DNS Dynamic update del nome Host (A).

Window 2000, XP, 2003

DNS Dynamic update del Pointer (PTR).


Ripresa dei Concetti di BaseRipresa dei Concetti di Base DNS e Active DirectoryDNS e Active Directory Architetture DNSArchitetture DNS Uso di DNS non-Microsoft Uso di DNS non-Microsoft Messa in Sicurezza del DNSMessa in Sicurezza del DNS

Spazio dei Nomi UnicoSpazio dei Nomi Unico

contoso.com contoso.com

Internet Rete Interna

NY-WEB-01

NY-SMTP-01

NY-NS-01 NY-NS-02

NY-DC-01

NY-WXP-01

@ NS NY-NS-01.contoso.com

NY-NS-01 A 39.168.80.1

NY-WEB-01 A 39.168.80.5

NY-SMTP-01 A 39.168.80.6


smtp CNAME NY-SMTP-01.contoso.com


NY-NS-02 A 192.168.80.1

NY-WEB-01 A 39.168.80.5

NY-SMTP-01 A 39.168.80.6


NY-WXP-01 A 192.168.80.6

NY-DC-01 A 192.168.80.200

Spazio dei Nomi DelegatoSpazio dei Nomi Delegato

contoso.com

corp.contoso.com

NY-NS-01NY-NS-02

NY-DC-01

NY-WXP-01


Corp NS NY-NS-02.corp.contoso.com

NY-NS-02.corp A 192.168.70.1

NY-NS-01 A 192.168.80.1

NY-WEB-01 A 192.168.80.5

NY-SMTP-01 A 192.168.80.6



@ NS NY-NS-02.corp.contoso.com

NY-NS-02 A 192.168.70.1

NY-WXP-01 A 192.168.70.6

NY-DC-01 A 192.168.70.200

Spazio dei Nomi DelegatoSpazio dei Nomi Delegato

contoso.com corp.contoso.com


NY-WEB-01

NY-SMTP-01

NY-NS-01NY-NS-02

NY-DC-01

NY-WXP-01


NY-NS-01 A 39.168.80.1

NY-WEB-01 A 39.168.80.5

NY-SMTP-01 A 39.168.80.6



@ NS NY-NS-02.corp.contoso.com

NY-NS-02 A 192.168.80.1

NY-WEB-01 A 39.168.80.5

NY-SMTP-01 A 39.168.80.6


NY-WXP-01 A 192.168.80.6

NY-DC-01 A 192.168.80.200

Spazio dei Nomi UnivocoSpazio dei Nomi Univoco

contoso.com contoso.local


NY-WEB-01

NY-SMTP-01

NY-NS-01 NY-NS-02

NY-DC-01

NY-WXP-01


NY-NS-01 A 39.168.80.1

NY-WEB-01 A 39.168.80.5

NY-SMTP-01 A 39.168.80.6



@ NS NY-NS-02.contoso.local

NY-NS-02 A 192.168.80.1

NY-WXP-01 A 192.168.80.6

NY-DC-01 A 192.168.80.200

Pianificazione dei Nomi DNSPianificazione dei Nomi DNSBuone PraticheBuone Pratiche

Usare nomi distintiUsare nomi distinti

Creare uno spazio dei nomi compatibile con ADCreare uno spazio dei nomi compatibile con AD

Separa lo spazio dei nomi interno da quello esternoSepara lo spazio dei nomi interno da quello esterno

Pianificazione dei Nomi DNSPianificazione dei Nomi DNSLinee GuidaLinee Guida

Selezionare lo spazio dei nomi DNS per il dominioSelezionare lo spazio dei nomi DNS per il dominio

Mantenere la separazione tra gli spazi dei nomi interno ed esternoMantenere la separazione tra gli spazi dei nomi interno ed esterno

Usare spazi dei nomi differenti per Internet e IntranetUsare spazi dei nomi differenti per Internet e Intranet


Ripresa dei Concetti di BaseRipresa dei Concetti di Base DNS e Active DirectoryDNS e Active Directory Architetture DNS Architetture DNS Uso di DNS non MicrosoftUso di DNS non Microsoft Messa in Sicurezza del DNSMessa in Sicurezza del DNS

Interoperabilità con BINDInteroperabilità con BIND

Se esistono dei NS BIND, e si vuole mantenerli nell’infrastruttura di supporto ad AD, scegliere una delle seguenti strategie:

Se esistono dei NS BIND, e si vuole mantenerli nell’infrastruttura di supporto ad AD, scegliere una delle seguenti strategie:

Usare BIND per Internet e DNS di Windows Server 2003 per la rete internaUsare BIND per Internet e DNS di Windows Server 2003 per la rete interna

Usare BIND sia per Internet sia per la intranetUsare BIND sia per Internet sia per la intranet

Usere BIND sia per Internet sia per la intranet, ma mettere i domini AD in Zone delegate su DNS Windows Server 2003

Usere BIND sia per Internet sia per la intranet, ma mettere i domini AD in Zone delegate su DNS Windows Server 2003

Usare i DNS Windows Server 2003 DNS sia per Internet sia per la intranetUsare i DNS Windows Server 2003 DNS sia per Internet sia per la intranet

Uso di DNS non-MicrosoftUso di DNS non-Microsoft È possibile usare per AD anche DNS non-È possibile usare per AD anche DNS non-

MicrosoftMicrosoft Devono Supportare i Record SRVDevono Supportare i Record SRV È meglio se supportano anche l’Update È meglio se supportano anche l’Update

Dinamico dei RecordDinamico dei Record È meglio che venga assegnata ad AD una È meglio che venga assegnata ad AD una

sub-zone separatasub-zone separata

Esempio di named.confEsempio di named.conf//BIND Configuration File

options {

directory "/usr/local/named";

notify yes;

};

zone "corp.contoso.com" in {

type master;

file "db.corp.contoso";

check-names ignore;

allow-transfer { 192.168.80.7; };

allow-update { 192.168.80.5; 192.168.80.6; 192.168.80.100;};

};

zone "80.168.192.in-addr.arpa" in {

type master;

file "db.192.168.80";

allow-transfer { 192.168.80.7; };

allow-update { 192.168.80.5; 192.168.80.6; 192.168.80.100;};

};

zone "0.0.127.in-addr.arpa" in {

type master;

file "db.127.0.0";

zone "." in {

type hint;

file "db.cache";

};

Significato delle opzioni in named.confSignificato delle opzioni in named.conf notify yesnotify yes

Istruisce il DNS Primario a mandare modifiche immediatamente ai DNS Secondari Istruisce il DNS Primario a mandare modifiche immediatamente ai DNS Secondari quando ci sono delle modifiche alla Zonaquando ci sono delle modifiche alla Zona

check-names ignorecheck-names ignorePer default, BIND controlla tutti i record per verificare che siano usati solo nomi di Per default, BIND controlla tutti i record per verificare che siano usati solo nomi di host standard per evitare problemi di interoperabilità.. Windows 2000 usa una sub-host standard per evitare problemi di interoperabilità.. Windows 2000 usa una sub-zone chiamata "_msdcs" per mantenere i dati di Active Directory. Questa zona non zone chiamata "_msdcs" per mantenere i dati di Active Directory. Questa zona non può entrare in conflitto con un nome di host (_ non ammesso per questi), ma può entrare in conflitto con un nome di host (_ non ammesso per questi), ma rende anche impossibile mettere nomi di host in questa zona (BIND li vede come rende anche impossibile mettere nomi di host in questa zona (BIND li vede come illegali).illegali).Active Directory cerca di inserire i GC in _msdcs, ma questa operazione viene Active Directory cerca di inserire i GC in _msdcs, ma questa operazione viene vietata per default da BIND. Per evitare questi problemi, Microsoft raccomanda che vietata per default da BIND. Per evitare questi problemi, Microsoft raccomanda che AD sia piazzata in una sub-zone per la quale disabilitare il controllo dei nomi host.AD sia piazzata in una sub-zone per la quale disabilitare il controllo dei nomi host.

allow transferallow transferIndica quali host (NS) possono iniziare un trasferimento di zona.Indica quali host (NS) possono iniziare un trasferimento di zona.

allow allow updateupdatePer motivi di sicurezza è meglio consentire solo ai DC e ai DHCP la modifica dei Per motivi di sicurezza è meglio consentire solo ai DC e ai DHCP la modifica dei record in DNS.record in DNS.

Messa in Sicurezza del DNSMessa in Sicurezza del DNS

L’approccio corretto alla risoluzione dei nomi deve: L’approccio corretto alla risoluzione dei nomi deve:

Esporre solo la parte pubblica dello spazio dei nomiEsporre solo la parte pubblica dello spazio dei nomi

Abilitare tutti i client AD per la risoluzione di tutti i nomi aziendali, interni ed esterniAbilitare tutti i client AD per la risoluzione di tutti i nomi aziendali, interni ed esterni

Abilitare la risoluzione dei nomi Internet, su InternetAbilitare la risoluzione dei nomi Internet, su Internet

Limitare il numero di record nel DNS esternoLimitare il numero di record nel DNS esterno


Usare pochi Record Alias (CNAME)Usare pochi Record Alias (CNAME) Adottare Pratiche Standard per i DNSAdottare Pratiche Standard per i DNS Integrare le Zone in Active DirectoryIntegrare le Zone in Active Directory Considerare la Possibilità di usare Zone Considerare la Possibilità di usare Zone

SecondarieSecondarie Rivedere gli RFCRivedere gli RFC

http://www.rfc-editor.orghttp://www.rfc-editor.org http://www.ietf.org/html.charters/dnsext-charter.htmlhttp://www.ietf.org/html.charters/dnsext-charter.html http://www.ietf.org/html.charters/dnsop-charter.htmlhttp://www.ietf.org/html.charters/dnsop-charter.html

Inserire le Informazioni per Contattare l’Admin Inserire le Informazioni per Contattare l’Admin di Zonadi Zona [email protected] = [email protected] = admin.contoso.com


Usare i Forwarder per le Zone su InternetUsare i Forwarder per le Zone su Internet Filtrare il Traffico DNS sui FirewallFiltrare il Traffico DNS sui Firewall Restringere il Traffico DNS in base agli IPRestringere il Traffico DNS in base agli IP Usare la Ricorsione ogni volta che è possibileUsare la Ricorsione ogni volta che è possibile Cancellare i Root Hint sui server che non Cancellare i Root Hint sui server che non

devono comunicare con i DNS servers devono comunicare con i DNS servers autoritativi per i root domainautoritativi per i root domain

Modificare i Root Hint se il Root Domain è Modificare i Root Hint se il Root Domain è internointerno

Modificare i Root Hints quando cambia il NS Modificare i Root Hints quando cambia il NS autoritativo per il Root Domainautoritativo per il Root Domain


Consentire la Replica solo per i NS Consentire la Replica solo per i NS SpecificatiSpecificati

Mettere in Sicurezza il Servizio DNS Mettere in Sicurezza il Servizio DNS usando le ACLusando le ACL

Per le Zone Standard modificare i Per le Zone Standard modificare i Permessi sui File di ZonaPermessi sui File di Zona <%systemroot%>\System32\DNS<%systemroot%>\System32\DNS

Mettere in Sicurezza le Chiavi di Mettere in Sicurezza le Chiavi di Registry del DNSRegistry del DNS HKLM\System\CurrentControlSet\Services\DNSHKLM\System\CurrentControlSet\Services\DNS

Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft.

Documents

Transcript of Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft.