Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

YOUR LOGO DNS – Domain Name System. YOUR LOGO Obsah Prednášky  GPO – pokročilé politiky  DNS.

Podobné prezentace


Prezentace na téma: "YOUR LOGO DNS – Domain Name System. YOUR LOGO Obsah Prednášky  GPO – pokročilé politiky  DNS."— Transkript prezentace:

1 YOUR LOGO DNS – Domain Name System

2 YOUR LOGO Obsah Prednášky  GPO – pokročilé politiky  DNS

3 YOUR LOGO Aktivovanie časti politiky  V politike GPO je vhodné aktivovať len jednú časť, či už Computer Configiration, alebo User Configuration.  Výsledok je zrýchlenie aplikácie

4 YOUR LOGO Uplatnenie politik  Politiky sú uložené v zdieľanom adresári SYSVOL  Medzi servrami dochádza k ich replikácií

5 YOUR LOGO Security Filtering  Politika je Default uplatnené všetkým Authenticated Users – takže aj Administrátorom, aj počítačom.

6 YOUR LOGO Sec. Filtering  Nastavenie uplatnenia vyvolá pridelenie oprávnení Read a Apply GPO v časti Delegation, Advanced  Adminom môžem zvoliť zákaz uplatnenia a potom sa im neuplatní

7 YOUR LOGO WMI filtering  WMI filter pre uplatnenie GPO na určité počítače.  Nutnosť zadať WMI script

8 YOUR LOGO Loopback Policy  Umožní uplatniť užívatelskú časť GPO na základe umiestnenia počítača, nie užívateľa.  Napr. doktorand sa prihlási v učebni tak ma obmedzenia vačšie ako v kancli. Obmedzenia ale nie je možné nastaviť v CC ale len v UC.  Módy Merge a Replace. Replace – zmaže aktuálne užívatelské nastavenia a prepíše ho nastavením CC od počítačového GPO.  Merge – uplatní obe užívatelské nastavenia, u konfliktu je silnejšie nastavenie z počítačovaj GPO.

9 YOUR LOGO Loppback policy

10 YOUR LOGO Slow link  Niektoré politiky napr distribúcia SW, alebo záplat sa nemusia uplatnť při tzv Slow Link.  Default je 500 Kb/s, môžem ale nastavit

11 YOUR LOGO Default DC policy

12 YOUR LOGO Default Domain policy

13 YOUR LOGO Prehľad uplatnených politík na klientovi  Gpresult s CMD export do text súboru.  Windows Help – Tools – Advanced systém info

14 YOUR LOGO Uplatnené politiky

15 YOUR LOGO Group policy results  Extra konzola, pripojí sa na existujúci počítač a skontroluje politiku pre konkrétneho užívatela.

16 YOUR LOGO Group Policy MOdeling  Modeling namodeluje na neexistujúcej situácii GPO  Nie je nutné pripojenie ani prihlásený účet

17 YOUR LOGO MOdeling  Modelujem aj prípadný loopback aj site aj Slow network  Taktiež sa modelujú aj MWI filtre

18 YOUR LOGO AD Build in groups  Enterprise Admins – najvyšší admin Forestu, nitná jeho autorizácia pre pridanie novej domény, DHCP servru,...  Schema Administrators – Môžu meniť schému AD  Domain Admins – Admini nad danou doménou, pridávajú a spravujú doménové objekty.  Domain Users – Doménový užívatelia prihlasujú sa na členských počítačoch  Domain Computer, Users – počítače v domény, aj počítače majú učty aj heslo- to nemôžme meniť, automatické.

19 YOUR LOGO AD groups types  Security -Iba týmto skupinám je možné nastaviť bezpečnostné oprávnenia.  Distribution -Skupiny určené pre napr. posielanie ov cez Exchange server. Nie je možné nastaviť skupinám oprávnenia.

20 YOUR LOGO Security Groups  Domain Local -Skupina viditelná iba v rámci domény. Môžem do nej vložiť užívateľov aj skipiny z iných domén. Určená k priradeniu oprávnení na objekty.  Global -Združuje užívateľov z domény, môžem globálnu vložiť do inej globálnej a taktiež do DL.  Universal -Neexistuje v móde, ktorý podporuje NT systém. Združuje užívateľov z celého forestu. Aj GG môžu byť členom UG. UG môže byŤ členom DL skupiny. UG nemôže byť členom GG.

21 YOUR LOGO Jmenné služby DNS, WINS

22 YOUR LOGO Porovnání jmen VlastnostNetBiosDNS Typ uspořádáníPlocháHierarchická Omezení použitých znaků Znaky Unicode, čísla, mezery, symboly: # $ % ^ & ` ( ). -_ { } ~ Malá a velká písmena, čísla, pomlčka. Tečka má speciální význam oddělovače Maximální délka15 znaků63 byte na jednu část, 255 Byte na celé FQDN Jmená službaWins, NETBIOS broadcast, lmhost soubor DNS, hosts soubor

23 YOUR LOGO DNS  Databáze překladu jmen na IP adresy  Hierarchická  Distribuovaná  Dynamic DNS  AD integrated zone  FQDN: fully qualified domain name  Primární DNS přípona

24 YOUR LOGO Zóny  Primární – originální data, kompletní popis zóny. Může (měla by) být zálohována na sekundární.  Forward – překlad jmen na IP  Revers – překlad IP na jména. Záznamy jsou pouze ptr, které odkazují na záznam primární zóny. Všechny domény jsou subdomény in-addr.arpa. Subdomény jsou členěny podle bytů IP adresy v opačném pořadí.  Sekundární – je autoritativní zálohou primární nebo jiné sekundární, jde o plnou kopii na jiném serveru. Zone transfer je jediný způsob aktualizace záznamů, protože tato databáze je readonly.  Stub – je kopií zóny obsahující pouze záznamy nutné k identifikování DNS serveru master zóny (SOA, NS a A odkazující na autoritativní server zóny)

25 YOUR LOGO Architektura DNS  wis.fit.vutbr.cz. vutbrczech-tvseznam cznet fmefitfbm video1wis

26 YOUR LOGO Reverzní zóna  in-addr.arpa. netcom in-addr arpa 168 Reverzní zóny

27 YOUR LOGO Top level domény  Root servery pevně dané -DNS server je musí mít ručně zadány pro vyhledávání -Ve výchozím nastavení serveru již definovány

28 YOUR LOGO Typy DNS dotazů  Iterativní – pošle zpět nejlepší možnou odpověď  Rekurzivní – pošle zpět chybu, nebo přesnou adresu. Takto odpovídá zpravidla resolver  Reverzní – používají PTR záznamy, klient nemusí znát doménu, ve které je IP registrovaná. Nejčastěji se používá k ověření platnosti IP klienta. Např. IP se bude hledat v doméně in-addr.arpa.

29 YOUR LOGO pc05.nepal.local. DNS: Yetti.nepal.local DNS Server Znáš IP stanice pc10.fit.local.? Ano, jeho IP: Query Převzato z

30 YOUR LOGO pc05.nepal.local. nepal.LOCAL. DNS Server Resolver Znáš ROOT DNS server CZ DNS server CENTRUM DNS server Server sám nezná odpověď Recursive query cz?1. cz = centrum2. centrum = www3. www = Převzato z Iterative query

31 YOUR LOGO CLIENT DNS Server ROOT CZ CENTRUM Forwarding DNS LAN Pomalé připojení Internet DNS Forwarding Převzato z

32 YOUR LOGO Typy DNS odpovědí:  Autoritativní: pozitivní odpověď a ve zprávě je nastaven Autority bit. Znamená, že server, který odpověděl je přímou autoritou dotazovaného jména.  Pozitivní: zpráva obsahuje dotazovaný záznam odpovídající požadovanému.  Refferal: zpráva obsahuje záznam a typ, které nebyly specifikovány v dotazu. Používá se k rekurzivnímu dohledávání. Takto odpoví server zpravidla pokud server nepodporuje (nemá nastaveno) rekurzivní dohledávání.  Negativní: buď neexistuje záznam nebo existuje ale je jiného typu, než bylo dotazováno.

33 YOUR LOGO CLIENT Secondary DNS Server Primary DNS Server Register: Client A, PTR OK PC01 FIT.LOCAL. Host name DNS Suffix SOA: fit.local.? Primary DNS Server Dynamic DNS Registration Převzato z

34 YOUR LOGO CLIENT DHCP Server Primary DNS Server CONFIGURE Register A Register PTR Register A Dynamic DNS Registration Převzato z

35 YOUR LOGO 35 computer microsoft.com.ns1.microsoft.com. microsoft.com.mail.microsoft.com. microsoft.com. PriDNS: ns1.microsoft.com. wwwcomputer5.microsoft.com in-addr.arpacomputer5.microsoft.com. Označení typů DNS položek (RFC 1700)  SOA – start of authority  NS – name server  A – host address  CNAME – canonical name (alias)  SRV – service description  MX – mail exchange  PTR – reverse pointer  AAAA – IPv6 address Převzato z

36 YOUR LOGO Microsoft specifické záznamy  Začínají podtržítkem, není ve standardu => MS  Záznam obsahuje službu, typ (UDP/TCP), doménu, prioritu, váhu, port  _msdcs – doménové kontroléry, globální katalog a PDC emulátory.  _sites – site domény. Každá site má tuto svou subdoménu. Site je skupina propojených podsítí.  _tcp – služby tcp jako kerberos, globální katalog, ldap nebo kpasswd ke změně hesla  _udp – služby udp jako kerberos a kpasswd

37 YOUR LOGO Soubory databáze:  Záznamy umístěny v %systemroot%\system32\dns nebo v AD  Domain name – každá zóna má svůj dns soubor  Reverse lookup – označený opět pro každou zónu zvlášť  cache – obsahuje jména mimo autoritativní doménu. Typicky jména root serverů.  Boot – soubor s instrukcemi, co se má provést při startu DNS. Informace lze získat z AD, BIND souboru nebo dns souboru

38 YOUR LOGO Round Robin, netmask ordering  v DNS bude jedno jméno s více IP  Server pak odpoví první adresou v seznamu a pošle ji na konec seznamu. Příště odpoví druhou atd.  Netmask ordering – server odpoví IP adresami, které odpovídají podsíti klienta  Pokud není Round robin a/nebo Netmask ordering zapnut, server odpoví první IP, kterou najde v databázi

39 YOUR LOGO Časové vlastnosti DNS zóny  Refresh interval: Za jak dlouho v sec. má sekundární server požádat o aktuální záznamy primární. Výchozí hodnota 15 min.  Retry interval: Za jak dlouho v sec. se zkusit další pokud při selhání zone transferu. Výchozí 10 min.  Expire interval: Za jak dlouho v sec. přestane server odpovídat klientům na dotaz, pokud nebyla zóna aktualizována z primárního serveru při selhání. Výchozí 24 hod.  Minimum (default) TTL: Minimální doba platnosti v sec. aplikovaná na záznamy, pokud není uvedena při zadávání. Výchozí 1 hod. TTL cache ovlivňuje, za jak dlouho bude vymazán záznam z cache.

40 YOUR LOGO WINS  Pro zpětnou kompatibilitu nebo v sítích kde není DNS  Využívá centralizovanou databázi pro NetBios vyhledávání  Při startu stanice registruje NetBios jméno do databáze serveru  Name query request unicastem serveru, který odpoví IP adresou stanice z databáze  Není omezena hranicemi pro broadcast

41 YOUR LOGO Postup při rozlišení Host name – Mixed Mode - default 1.Porovnání s jménem lokálního počítače 2.DNS cache 3.Kontrola místního souboru Hosts 4.Dotaz na DNS server 5.Prohledání místní NetBIOS cache 6.Dotaz na WINS server 7.Vyslání výzvy (broadcast) 8.Kontrola místního souboru Lmhosts

42 YOUR LOGO 044 DHCP nastavení node type  0x1 Broadcast část (B): překlad jmen plně závisí na NetBiosu. Jestliže host nemůže být nalezen v NBT cache nebo pomocí broadcastu, pak jméno není přeloženo.  0x2 Peer (P): pokud není záznam nalezen v cache, je kontaktován WINS server.  0x4 Mixed (M): Kombinace B a P. Prvně je hledáno v cache, pak broadcast a nakonec WINS server.  0x8 Hybrid (H): Podobně jako mix, ale v opačném pořadí.Toto je výchozí nastavení.  Odpovídající registr: HKLM\SYSTEM\CurrentControlSet\Services\NetBT\P arameters\NodeType

43 YOUR LOGO Příkazové utility pro rozlišení jmen  Arp  nbtstat  ipconfig /flushdns (/registerdns)  nslookup  netsh

44 YOUR LOGO Odkazy  Top level domény:   seznam IP root serverů: ftp://rs.internic.net/domain/named.cache


Stáhnout ppt "YOUR LOGO DNS – Domain Name System. YOUR LOGO Obsah Prednášky  GPO – pokročilé politiky  DNS."

Podobné prezentace


Reklamy Google