440 likes | 590 Views
DNS – Domain Name System. Obsah Predn ášky. GPO – pokročilé politiky DNS. Aktivovanie časti politiky. V politike GPO je vhodné aktivovať len jednú časť, či už Computer Configiration, alebo User Configuration. Výsledok je zrýchlenie aplikácie. Uplatnenie politik.
E N D
ObsahPrednášky GPO – pokročilé politiky DNS
Aktivovanie časti politiky V politike GPO je vhodné aktivovať len jednú časť, či už Computer Configiration, alebo User Configuration. Výsledok je zrýchlenie aplikácie
Uplatnenie politik Politiky sú uložené v zdieľanom adresári SYSVOL Medzi servrami dochádza k ich replikácií
SecurityFiltering Politika je Default uplatnené všetkým Authenticated Users – takže aj Administrátorom, aj počítačom.
Sec. Filtering Nastavenie uplatnenia vyvolá pridelenie oprávnení Read a Apply GPO v časti Delegation, Advanced Adminom môžem zvoliť zákazuplatnenia a potom sa im neuplatní
WMI filtering WMI filter pre uplatnenie GPO na určité počítače. Nutnosť zadať WMI script
LoopbackPolicy Umožní uplatniť užívatelskú časť GPO na základe umiestnenia počítača, nie užívateľa. Napr. doktorand sa prihlási v učebni tak ma obmedzenia vačšie ako v kancli. Obmedzenia ale nie je možné nastaviť v CC ale len v UC. Módy Merge a Replace. Replace – zmaže aktuálne užívatelské nastavenia a prepíše ho nastavením CC od počítačového GPO. Merge – uplatní obe užívatelské nastavenia, u konfliktu je silnejšie nastavenie z počítačovaj GPO.
Slow link Niektoré politiky napr distribúcia SW, alebo záplat sa nemusia uplatnť při tzv Slow Link. Default je 500 Kb/s, môžem ale nastavit
Prehľaduplatnenýchpolitík na klientovi Gpresult s CMD export do text súboru. Windows Help – Tools – Advanced systém info
Grouppolicyresults Extra konzola, pripojí sa na existujúci počítač a skontroluje politiku pre konkrétneho užívatela.
GroupPolicyMOdeling Modeling namodeluje na neexistujúcej situácii GPO Nie je nutné pripojenie ani prihlásený účet
MOdeling Modelujem aj prípadný loopback aj site aj Slow network Taktiež sa modelujú aj MWI filtre
AD Build in groups Enterprise Admins – najvyšší admin Forestu, nitná jeho autorizácia pre pridanie novej domény, DHCP servru,... Schema Administrators – Môžu meniť schému AD Domain Admins – Admini nad danou doménou, pridávajú a spravujú doménové objekty. Domain Users – Doménový užívatelia prihlasujú sa na členských počítačoch Domain Computer, Users – počítače v domény, aj počítače majú učty aj heslo- to nemôžme meniť, automatické.
AD groupstypes • Security • Iba týmto skupinám je možné nastaviť bezpečnostné oprávnenia. • Distribution • Skupiny určené pre napr. posielanie emailov cez Exchange server. Nie je možné nastaviť skupinám oprávnenia.
SecurityGroups • Domain Local • Skupina viditelná iba v rámci domény. Môžem do nej vložiť užívateľov aj skipiny z iných domén. Určená k priradeniu oprávnení na objekty. • Global • Združuje užívateľov z domény, môžem globálnu vložiť do inej globálnej a taktiež do DL. • Universal • Neexistuje v móde, ktorý podporuje NT systém. Združuje užívateľov z celého forestu. Aj GG môžu byť členom UG. UG môže byŤ členom DL skupiny. UG nemôže byť členom GG.
DNS Databáze překladu jmen na IP adresy Hierarchická Distribuovaná Dynamic DNS AD integrated zone FQDN: fully qualified domain name Primární DNS přípona
Zóny Primární – originální data, kompletní popis zóny.Může (měla by) být zálohována na sekundární. Forward – překlad jmen na IP Revers – překlad IP na jména. Záznamy jsou pouze ptr, které odkazují na záznam primární zóny.Všechny domény jsou subdomény in-addr.arpa. Subdomény jsou členěny podle bytů IP adresy v opačném pořadí. Sekundární – je autoritativní zálohou primární nebo jiné sekundární, jde o plnou kopii na jiném serveru.Zone transfer je jediný způsob aktualizace záznamů, protože tato databáze je readonly. Stub – je kopií zóny obsahující pouze záznamy nutné k identifikování DNS serveru master zóny(SOA, NS a A odkazující na autoritativní server zóny)
Architektura DNS cz net net czech-tv vutbr seznam fme fit fbm video1 wis wis.fit.vutbr.cz.
Reverzní zóna arpa com net in-addr Reverzní zóny 10 172 192 168 111 29 29.111.168.192.in-addr.arpa.
Top level domény • Root servery pevně dané • DNS server je musí mít ručně zadánypro vyhledávání • Ve výchozím nastavení serveru již definovány
Typy DNS dotazů Iterativní – pošle zpět nejlepší možnou odpověď Rekurzivní – pošle zpět chybu, nebo přesnou adresu. Takto odpovídá zpravidla resolver Reverzní – používají PTR záznamy, klient nemusí znát doménu, ve které je IP registrovaná. Nejčastěji se používá k ověření platnosti IP klienta. Např. IP 206.131.234.1 se bude hledatv doméně 1.234.131.206.in-addr.arpa.
Query Znáš IP stanice pc10.fit.local.? Yetti.nepal.local 192.168.255.4DNS Server pc05.nepal.local. DNS:192.168.255.4 Ano, jeho IP: 192.168.255.17 Převzato z www.sevecek.com/res
Recursive query 1. cz? Znášwww.centrum.cz? cz = 192.93.0.4 2. centrum centrum = 192.93.0.4 4. 62.84.131.148 3. www Server sám nezná odpověď www = 62.84.131.148 Iterativequery ROOTDNS server CZ DNS server nepal.LOCAL.DNS ServerResolver pc05.nepal.local. CENTRUM DNS server Převzato z www.sevecek.com/res
DNS Forwarding ROOT Internet CLIENT Forwarding DNS LAN CZ Pomalé připojení DNS Server CENTRUM Převzato z www.sevecek.com/res
Typy DNS odpovědí: Autoritativní: pozitivní odpověď a ve zprávě je nastaven Autority bit. Znamená, že server, který odpověděl je přímou autoritou dotazovaného jména. Pozitivní: zpráva obsahuje dotazovaný záznam odpovídající požadovanému. Refferal: zpráva obsahuje záznam a typ, které nebyly specifikovány v dotazu. Používá se k rekurzivnímu dohledávání. Takto odpoví server zpravidla pokud server nepodporuje (nemá nastaveno) rekurzivní dohledávání. Negativní: buď neexistuje záznam nebo existuje ale je jiného typu, než bylo dotazováno.
Dynamic DNS Registration Host name PC01 DNS Suffix FIT.LOCAL. ? SOA: fit.local. SecondaryDNS Server CLIENT Primary DNS Server Register: Client A, PTR PrimaryDNS Server OK Převzato z www.sevecek.com/res
Dynamic DNS Registration DHCPServer CLIENT CONFIGURE Register A PrimaryDNS Server Register PTR Register A Převzato z www.sevecek.com/res
Označení typů DNS položek(RFC 1700) SOA – start of authority NS – name server A – host address CNAME – canonical name(alias) SRV – service description MX – mail exchange PTR – reverse pointer AAAA – IPv6 address microsoft.com. PriDNS: ns1.microsoft.com. microsoft.com. ns1.microsoft.com. computer5 10.0.0.2 www computer5.microsoft.com. microsoft.com. mail.microsoft.com. 35 5.0.0.10.in-addr.arpa computer5.microsoft.com. Převzato z www.sevecek.com/res
Microsoft specifické záznamy Začínají podtržítkem, není ve standardu => MS Záznam obsahuje službu, typ (UDP/TCP),doménu, prioritu, váhu, port _msdcs – doménové kontroléry,globální katalog a PDC emulátory. _sites – site domény. Každá site má tuto svou subdoménu. Site je skupina propojených podsítí. _tcp – služby tcp jako kerberos, globální katalog, ldap nebo kpasswd ke změně hesla _udp – služby udp jako kerberos a kpasswd
Soubory databáze: Záznamy umístěny v %systemroot%\system32\dnsnebo v AD Domain name – každá zóna má svůj dns soubor Reverse lookup – označený opět pro každou zónu zvlášť cache – obsahuje jména mimo autoritativní doménu. Typicky jména root serverů. Boot – soubor s instrukcemi, co se má provést při startu DNS. Informace lze získat z AD, BIND souboru nebo dns souboru
Round Robin, netmask ordering v DNS bude jedno jméno s více IP Server pak odpoví první adresou v seznamua pošle ji na konec seznamu.Příště odpoví druhou atd. Netmask ordering – server odpovíIP adresami, které odpovídají podsíti klienta Pokud není Round robin a/nebo Netmask ordering zapnut, server odpoví první IP,kterou najde v databázi
Časové vlastnosti DNS zóny Refresh interval:Za jak dlouho v sec. má sekundární server požádat o aktuální záznamy primární. Výchozí hodnota 15 min. Retry interval:Za jak dlouho v sec. se zkusit další pokud při selhání zone transferu. Výchozí 10 min. Expire interval:Za jak dlouho v sec. přestane server odpovídat klientům na dotaz, pokud nebyla zóna aktualizována z primárního serveru při selhání. Výchozí 24 hod. Minimum (default) TTL:Minimální doba platnosti v sec. aplikovaná na záznamy, pokud není uvedena při zadávání. Výchozí 1 hod. TTL cache ovlivňuje, za jak dlouho bude vymazán záznam z cache.
WINS Pro zpětnou kompatibilitu nebo v sítích kde není DNS Využívá centralizovanou databázi pro NetBios vyhledávání Při startu stanice registruje NetBios jméno do databáze serveru Name query request unicastem serveru, který odpoví IP adresou stanice z databáze Není omezena hranicemi pro broadcast
Postup při rozlišení Host name – Mixed Mode - default • Porovnání s jménem lokálního počítače • DNS cache • Kontrola místního souboru Hosts • Dotaz na DNS server • Prohledání místní NetBIOS cache • Dotaz na WINS server • Vyslání výzvy (broadcast) • Kontrola místního souboru Lmhosts
044 DHCP nastavení node type 0x1 Broadcast část (B): překlad jmen plně závisí na NetBiosu. Jestliže host nemůže být nalezen v NBT cache nebo pomocí broadcastu, pak jméno není přeloženo. 0x2 Peer (P): pokud není záznam nalezen v cache, je kontaktován WINS server. 0x4 Mixed (M): Kombinace B a P. Prvně je hledáno v cache, pak broadcast a nakonec WINS server. 0x8 Hybrid (H): Podobně jako mix, ale v opačném pořadí.Toto je výchozí nastavení. Odpovídající registr: HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType
Příkazové utility pro rozlišení jmen Arp nbtstat ipconfig /flushdns (/registerdns) nslookup netsh
Odkazy Top level domény: http://www.icann.org/tlds http://www.iana.org/cctld/cctld-whois.htm seznam IP root serverů: ftp://rs.internic.net/domain/named.cache