DNS – Domain Name System

1. DNS – Domain Name System

2. ObsahPrednášky GPO – pokročilé politiky DNS

3. Aktivovanie časti politiky V politike GPO je vhodné aktivovať len jednú časť, či už Computer Configiration, alebo User Configuration. Výsledok je zrýchlenie aplikácie

4. Uplatnenie politik Politiky sú uložené v zdieľanom adresári SYSVOL Medzi servrami dochádza k ich replikácií

5. SecurityFiltering Politika je Default uplatnené všetkým Authenticated Users – takže aj Administrátorom, aj počítačom.

6. Sec. Filtering Nastavenie uplatnenia vyvolá pridelenie oprávnení Read a Apply GPO v časti Delegation, Advanced Adminom môžem zvoliť zákazuplatnenia a potom sa im neuplatní 

7. WMI filtering WMI filter pre uplatnenie GPO na určité počítače. Nutnosť zadať WMI script

8. LoopbackPolicy Umožní uplatniť užívatelskú časť GPO na základe umiestnenia počítača, nie užívateľa. Napr. doktorand sa prihlási v učebni tak ma obmedzenia vačšie ako v kancli. Obmedzenia ale nie je možné nastaviť v CC ale len v UC. Módy Merge a Replace. Replace – zmaže aktuálne užívatelské nastavenia a prepíše ho nastavením CC od počítačového GPO. Merge – uplatní obe užívatelské nastavenia, u konfliktu je silnejšie nastavenie z počítačovaj GPO.

9. Loppbackpolicy

10. Slow link Niektoré politiky napr distribúcia SW, alebo záplat sa nemusia uplatnť při tzv Slow Link. Default je 500 Kb/s, môžem ale nastavit

11. Default DC policy

12. Default Domainpolicy

13. Prehľaduplatnenýchpolitík na klientovi Gpresult s CMD export do text súboru. Windows Help – Tools – Advanced systém info

14. Uplatnené politiky

15. Grouppolicyresults Extra konzola, pripojí sa na existujúci počítač a skontroluje politiku pre konkrétneho užívatela.

16. GroupPolicyMOdeling Modeling namodeluje na neexistujúcej situácii GPO Nie je nutné pripojenie ani prihlásený účet

17. MOdeling Modelujem aj prípadný loopback aj site aj Slow network Taktiež sa modelujú aj MWI filtre

18. AD Build in groups Enterprise Admins – najvyšší admin Forestu, nitná jeho autorizácia pre pridanie novej domény, DHCP servru,... Schema Administrators – Môžu meniť schému AD Domain Admins – Admini nad danou doménou, pridávajú a spravujú doménové objekty. Domain Users – Doménový užívatelia prihlasujú sa na členských počítačoch Domain Computer, Users – počítače v domény, aj počítače majú učty aj heslo- to nemôžme meniť, automatické.

19. AD groupstypes • Security • Iba týmto skupinám je možné nastaviť bezpečnostné oprávnenia. • Distribution • Skupiny určené pre napr. posielanie emailov cez Exchange server. Nie je možné nastaviť skupinám oprávnenia.

20. SecurityGroups • Domain Local • Skupina viditelná iba v rámci domény. Môžem do nej vložiť užívateľov aj skipiny z iných domén. Určená k priradeniu oprávnení na objekty. • Global • Združuje užívateľov z domény, môžem globálnu vložiť do inej globálnej a taktiež do DL. • Universal • Neexistuje v móde, ktorý podporuje NT systém. Združuje užívateľov z celého forestu. Aj GG môžu byť členom UG. UG môže byŤ členom DL skupiny. UG nemôže byť členom GG.

21. Jmenné služby DNS, WINS

22. Porovnání jmen

23. DNS Databáze překladu jmen na IP adresy Hierarchická Distribuovaná Dynamic DNS AD integrated zone FQDN: fully qualified domain name Primární DNS přípona

24. Zóny Primární – originální data, kompletní popis zóny.Může (měla by) být zálohována na sekundární. Forward – překlad jmen na IP Revers – překlad IP na jména. Záznamy jsou pouze ptr, které odkazují na záznam primární zóny.Všechny domény jsou subdomény in-addr.arpa. Subdomény jsou členěny podle bytů IP adresy v opačném pořadí. Sekundární – je autoritativní zálohou primární nebo jiné sekundární, jde o plnou kopii na jiném serveru.Zone transfer je jediný způsob aktualizace záznamů, protože tato databáze je readonly. Stub – je kopií zóny obsahující pouze záznamy nutné k identifikování DNS serveru master zóny(SOA, NS a A odkazující na autoritativní server zóny)

25. Architektura DNS cz net net czech-tv vutbr seznam fme fit fbm video1 wis wis.fit.vutbr.cz.

26. Reverzní zóna arpa com net in-addr Reverzní zóny 10 172 192 168 111 29 29.111.168.192.in-addr.arpa.

27. Top level domény • Root servery pevně dané • DNS server je musí mít ručně zadánypro vyhledávání • Ve výchozím nastavení serveru již definovány

28. Typy DNS dotazů Iterativní – pošle zpět nejlepší možnou odpověď Rekurzivní – pošle zpět chybu, nebo přesnou adresu. Takto odpovídá zpravidla resolver Reverzní – používají PTR záznamy, klient nemusí znát doménu, ve které je IP registrovaná. Nejčastěji se používá k ověření platnosti IP klienta. Např. IP 206.131.234.1 se bude hledatv doméně 1.234.131.206.in-addr.arpa.

29. Query Znáš IP stanice pc10.fit.local.? Yetti.nepal.local 192.168.255.4DNS Server pc05.nepal.local. DNS:192.168.255.4 Ano, jeho IP: 192.168.255.17 Převzato z www.sevecek.com/res

30. Recursive query 1. cz? Znášwww.centrum.cz? cz = 192.93.0.4 2. centrum centrum = 192.93.0.4 4. 62.84.131.148 3. www Server sám nezná odpověď www = 62.84.131.148 Iterativequery ROOTDNS server CZ DNS server nepal.LOCAL.DNS ServerResolver pc05.nepal.local. CENTRUM DNS server Převzato z www.sevecek.com/res

31. DNS Forwarding ROOT Internet CLIENT Forwarding DNS LAN CZ Pomalé připojení DNS Server CENTRUM Převzato z www.sevecek.com/res

32. Typy DNS odpovědí: Autoritativní: pozitivní odpověď a ve zprávě je nastaven Autority bit. Znamená, že server, který odpověděl je přímou autoritou dotazovaného jména. Pozitivní: zpráva obsahuje dotazovaný záznam odpovídající požadovanému. Refferal: zpráva obsahuje záznam a typ, které nebyly specifikovány v dotazu. Používá se k rekurzivnímu dohledávání. Takto odpoví server zpravidla pokud server nepodporuje (nemá nastaveno) rekurzivní dohledávání. Negativní: buď neexistuje záznam nebo existuje ale je jiného typu, než bylo dotazováno.

33. Dynamic DNS Registration Host name PC01 DNS Suffix FIT.LOCAL. ? SOA: fit.local. SecondaryDNS Server CLIENT Primary DNS Server Register: Client A, PTR PrimaryDNS Server OK Převzato z www.sevecek.com/res

34. Dynamic DNS Registration DHCPServer CLIENT CONFIGURE Register A PrimaryDNS Server Register PTR Register A Převzato z www.sevecek.com/res

35. Označení typů DNS položek(RFC 1700) SOA – start of authority NS – name server A – host address CNAME – canonical name(alias) SRV – service description MX – mail exchange PTR – reverse pointer AAAA – IPv6 address microsoft.com. PriDNS: ns1.microsoft.com. microsoft.com. ns1.microsoft.com. computer5 10.0.0.2 www computer5.microsoft.com. microsoft.com. mail.microsoft.com. 35 5.0.0.10.in-addr.arpa computer5.microsoft.com. Převzato z www.sevecek.com/res

36. Microsoft specifické záznamy Začínají podtržítkem, není ve standardu => MS Záznam obsahuje službu, typ (UDP/TCP),doménu, prioritu, váhu, port _msdcs – doménové kontroléry,globální katalog a PDC emulátory. _sites – site domény. Každá site má tuto svou subdoménu. Site je skupina propojených podsítí. _tcp – služby tcp jako kerberos, globální katalog, ldap nebo kpasswd ke změně hesla _udp – služby udp jako kerberos a kpasswd

37. Soubory databáze: Záznamy umístěny v %systemroot%\system32\dnsnebo v AD Domain name – každá zóna má svůj dns soubor Reverse lookup – označený opět pro každou zónu zvlášť cache – obsahuje jména mimo autoritativní doménu. Typicky jména root serverů. Boot – soubor s instrukcemi, co se má provést při startu DNS. Informace lze získat z AD, BIND souboru nebo dns souboru

38. Round Robin, netmask ordering v DNS bude jedno jméno s více IP Server pak odpoví první adresou v seznamua pošle ji na konec seznamu.Příště odpoví druhou atd. Netmask ordering – server odpovíIP adresami, které odpovídají podsíti klienta Pokud není Round robin a/nebo Netmask ordering zapnut, server odpoví první IP,kterou najde v databázi

39. Časové vlastnosti DNS zóny Refresh interval:Za jak dlouho v sec. má sekundární server požádat o aktuální záznamy primární. Výchozí hodnota 15 min. Retry interval:Za jak dlouho v sec. se zkusit další pokud při selhání zone transferu. Výchozí 10 min. Expire interval:Za jak dlouho v sec. přestane server odpovídat klientům na dotaz, pokud nebyla zóna aktualizována z primárního serveru při selhání. Výchozí 24 hod. Minimum (default) TTL:Minimální doba platnosti v sec. aplikovaná na záznamy, pokud není uvedena při zadávání. Výchozí 1 hod. TTL cache ovlivňuje, za jak dlouho bude vymazán záznam z cache.

40. WINS Pro zpětnou kompatibilitu nebo v sítích kde není DNS Využívá centralizovanou databázi pro NetBios vyhledávání Při startu stanice registruje NetBios jméno do databáze serveru Name query request unicastem serveru, který odpoví IP adresou stanice z databáze Není omezena hranicemi pro broadcast

41. Postup při rozlišení Host name – Mixed Mode - default • Porovnání s jménem lokálního počítače • DNS cache • Kontrola místního souboru Hosts • Dotaz na DNS server • Prohledání místní NetBIOS cache • Dotaz na WINS server • Vyslání výzvy (broadcast) • Kontrola místního souboru Lmhosts

42. 044 DHCP nastavení node type 0x1 Broadcast část (B): překlad jmen plně závisí na NetBiosu. Jestliže host nemůže být nalezen v NBT cache nebo pomocí broadcastu, pak jméno není přeloženo. 0x2 Peer (P): pokud není záznam nalezen v cache, je kontaktován WINS server. 0x4 Mixed (M): Kombinace B a P. Prvně je hledáno v cache, pak broadcast a nakonec WINS server. 0x8 Hybrid (H): Podobně jako mix, ale v opačném pořadí.Toto je výchozí nastavení. Odpovídající registr: HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType

43. Příkazové utility pro rozlišení jmen Arp nbtstat ipconfig /flushdns (/registerdns) nslookup netsh

44. Odkazy Top level domény: http://www.icann.org/tlds http://www.iana.org/cctld/cctld-whois.htm seznam IP root serverů: ftp://rs.internic.net/domain/named.cache