DNS – Domain Name System

Obsah Prednášky GPO – pokročilé politiky DNS

Aktivovanie časti politiky V politike GPO je vhodné aktivovať len jednú časť, či už Computer Configiration, alebo User Configuration. Výsledok je zrýchlenie aplikácie

Uplatnenie politik Politiky sú uložené v zdieľanom adresári SYSVOL Medzi servrami dochádza k ich replikácií

Security Filtering Politika je Default uplatnené všetkým Authenticated Users – takže aj Administrátorom, aj počítačom.

Sec. Filtering Nastavenie uplatnenia vyvolá pridelenie oprávnení Read a Apply GPO v časti Delegation, Advanced Adminom môžem zvoliť zákaz uplatnenia a potom sa im neuplatní 

WMI filtering WMI filter pre uplatnenie GPO na určité počítače. Nutnosť zadať WMI script

Loopback Policy Umožní uplatniť užívatelskú časť GPO na základe umiestnenia počítača, nie užívateľa. Napr. doktorand sa prihlási v učebni tak ma obmedzenia vačšie ako v kancli. Obmedzenia ale nie je možné nastaviť v CC ale len v UC. Módy Merge a Replace. Replace – zmaže aktuálne užívatelské nastavenia a prepíše ho nastavením CC od počítačového GPO. Merge – uplatní obe užívatelské nastavenia, u konfliktu je silnejšie nastavenie z počítačovaj GPO.

Loppback policy

Slow link Niektoré politiky napr distribúcia SW, alebo záplat sa nemusia uplatnť při tzv Slow Link. Default je 500 Kb/s, môžem ale nastavit

Default DC policy

Default Domain policy

Prehľad uplatnených politík na klientovi Gpresult s CMD export do text súboru. Windows Help – Tools – Advanced systém info

Uplatnené politiky

Group policy results Extra konzola, pripojí sa na existujúci počítač a skontroluje politiku pre konkrétneho užívatela.

Group Policy MOdeling Modeling namodeluje na neexistujúcej situácii GPO Nie je nutné pripojenie ani prihlásený účet

MOdeling Modelujem aj prípadný loopback aj site aj Slow network Taktiež sa modelujú aj MWI filtre

AD Build in groups Enterprise Admins – najvyšší admin Forestu, nitná jeho autorizácia pre pridanie novej domény, DHCP servru,... Schema Administrators – Môžu meniť schému AD Domain Admins – Admini nad danou doménou, pridávajú a spravujú doménové objekty. Domain Users – Doménový užívatelia prihlasujú sa na členských počítačoch Domain Computer, Users – počítače v domény, aj počítače majú učty aj heslo- to nemôžme meniť, automatické.

AD groups types Security Distribution Iba týmto skupinám je možné nastaviť bezpečnostné oprávnenia. Distribution Skupiny určené pre napr. posielanie emailov cez Exchange server. Nie je možné nastaviť skupinám oprávnenia.

Security Groups Domain Local Global Universal Skupina viditelná iba v rámci domény. Môžem do nej vložiť užívateľov aj skipiny z iných domén. Určená k priradeniu oprávnení na objekty. Global Združuje užívateľov z domény, môžem globálnu vložiť do inej globálnej a taktiež do DL. Universal Neexistuje v móde, ktorý podporuje NT systém. Združuje užívateľov z celého forestu. Aj GG môžu byť členom UG. UG môže byŤ členom DL skupiny. UG nemôže byť členom GG.

Jmenné služby DNS, WINS

Porovnání jmen Vlastnost NetBios DNS Typ uspořádání Plochá Hierarchická Omezení použitých znaků Znaky Unicode, čísla, mezery, symboly: ! @ # $ % ^ & ` ( ) . -_ { } ~ Malá a velká písmena, čísla, pomlčka. Tečka má speciální význam oddělovače Maximální délka 15 znaků 63 byte na jednu část, 255 Byte na celé FQDN Jmená služba Wins, NETBIOS broadcast, lmhost soubor DNS, hosts soubor

DNS Databáze překladu jmen na IP adresy Hierarchická Distribuovaná Dynamic DNS AD integrated zone FQDN: fully qualified domain name Primární DNS přípona

Zóny Primární – originální data, kompletní popis zóny. Může (měla by) být zálohována na sekundární. Forward – překlad jmen na IP Revers – překlad IP na jména. Záznamy jsou pouze ptr, které odkazují na záznam primární zóny. Všechny domény jsou subdomény in-addr.arpa. Subdomény jsou členěny podle bytů IP adresy v opačném pořadí. Sekundární – je autoritativní zálohou primární nebo jiné sekundární, jde o plnou kopii na jiném serveru. Zone transfer je jediný způsob aktualizace záznamů, protože tato databáze je readonly. Stub – je kopií zóny obsahující pouze záznamy nutné k identifikování DNS serveru master zóny (SOA, NS a A odkazující na autoritativní server zóny)

cz net net czech-tv vutbr seznam fme fit fbm video1 wis Architektura DNS wis.fit.vutbr.cz. cz net net czech-tv vutbr seznam fme fit fbm video1 wis

arpa com net in-addr 10 172 192 168 111 29 Reverzní zóna 29.111.168.192.in-addr.arpa. arpa com net in-addr Reverzní zóny 10 172 192 168 111 29

Root servery pevně dané Top level domény Root servery pevně dané DNS server je musí mít ručně zadány pro vyhledávání Ve výchozím nastavení serveru již definovány

Iterativní – pošle zpět nejlepší možnou odpověď Typy DNS dotazů Iterativní – pošle zpět nejlepší možnou odpověď Rekurzivní – pošle zpět chybu, nebo přesnou adresu. Takto odpovídá zpravidla resolver Reverzní – používají PTR záznamy, klient nemusí znát doménu, ve které je IP registrovaná. Nejčastěji se používá k ověření platnosti IP klienta. Např. IP 206.131.234.1 se bude hledat v doméně 1.234.131.206.in-addr.arpa.

Query Znáš IP stanice pc10.fit.local.? Yetti.nepal.local 192.168.255.4 DNS Server pc05.nepal.local. DNS:192.168.255.4 Ano, jeho IP: 192.168.255.17 Převzato z www.sevecek.com/res

nepal.LOCAL. DNS Server Resolver Iterative query ROOT DNS server Recursive query cz? 1. cz = 192.93.0.4 Znáš www.centrum.cz? CZ DNS server nepal.LOCAL. DNS Server Resolver centrum 2. pc05.nepal.local. centrum = 192.93.0.4 62.84.131.148 4. www = 62.84.131.148 www 3. Server sám nezná odpověď CENTRUM DNS server Převzato z www.sevecek.com/res

Převzato z www.sevecek.com/res DNS Forwarding ROOT Internet CLIENT Forwarding DNS LAN CZ Pomalé připojení DNS Server CENTRUM Převzato z www.sevecek.com/res

Typy DNS odpovědí: Autoritativní: pozitivní odpověď a ve zprávě je nastaven Autority bit. Znamená, že server, který odpověděl je přímou autoritou dotazovaného jména. Pozitivní: zpráva obsahuje dotazovaný záznam odpovídající požadovanému. Refferal: zpráva obsahuje záznam a typ, které nebyly specifikovány v dotazu. Používá se k rekurzivnímu dohledávání. Takto odpoví server zpravidla pokud server nepodporuje (nemá nastaveno) rekurzivní dohledávání. Negativní: buď neexistuje záznam nebo existuje ale je jiného typu, než bylo dotazováno.

Dynamic DNS Registration Host name PC01 DNS Suffix FIT.LOCAL. ? SOA: fit.local. Secondary DNS Server CLIENT Primary DNS Server Register: Client A, PTR Primary DNS Server OK Převzato z www.sevecek.com/res

Dynamic DNS Registration DHCP Server CLIENT CONFIGURE Register A Primary DNS Server Register PTR Register A Převzato z www.sevecek.com/res

Označení typů DNS položek (RFC 1700) SOA – start of authority NS – name server A – host address CNAME – canonical name (alias) SRV – service description MX – mail exchange PTR – reverse pointer AAAA – IPv6 address microsoft.com. PriDNS: ns1.microsoft.com. microsoft.com. ns1.microsoft.com. computer5 10.0.0.2 www computer5.microsoft.com. microsoft.com. mail.microsoft.com. 35 5.0.0.10.in-addr.arpa computer5.microsoft.com. Převzato z www.sevecek.com/res

Microsoft specifické záznamy Začínají podtržítkem, není ve standardu => MS Záznam obsahuje službu, typ (UDP/TCP), doménu, prioritu, váhu, port _msdcs – doménové kontroléry, globální katalog a PDC emulátory. _sites – site domény. Každá site má tuto svou subdoménu. Site je skupina propojených podsítí. _tcp – služby tcp jako kerberos, globální katalog, ldap nebo kpasswd ke změně hesla _udp – služby udp jako kerberos a kpasswd

Záznamy umístěny v %systemroot%\system32\dns nebo v AD Soubory databáze: Záznamy umístěny v %systemroot%\system32\dns nebo v AD Domain name – každá zóna má svůj dns soubor Reverse lookup – označený opět pro každou zónu zvlášť cache – obsahuje jména mimo autoritativní doménu. Typicky jména root serverů. Boot – soubor s instrukcemi, co se má provést při startu DNS. Informace lze získat z AD, BIND souboru nebo dns souboru

Round Robin, netmask ordering v DNS bude jedno jméno s více IP Server pak odpoví první adresou v seznamu a pošle ji na konec seznamu. Příště odpoví druhou atd. Netmask ordering – server odpoví IP adresami, které odpovídají podsíti klienta Pokud není Round robin a/nebo Netmask ordering zapnut, server odpoví první IP, kterou najde v databázi

Časové vlastnosti DNS zóny Refresh interval: Za jak dlouho v sec. má sekundární server požádat o aktuální záznamy primární. Výchozí hodnota 15 min. Retry interval: Za jak dlouho v sec. se zkusit další pokud při selhání zone transferu. Výchozí 10 min. Expire interval: Za jak dlouho v sec. přestane server odpovídat klientům na dotaz, pokud nebyla zóna aktualizována z primárního serveru při selhání. Výchozí 24 hod. Minimum (default) TTL: Minimální doba platnosti v sec. aplikovaná na záznamy, pokud není uvedena při zadávání. Výchozí 1 hod. TTL cache ovlivňuje, za jak dlouho bude vymazán záznam z cache.

WINS Pro zpětnou kompatibilitu nebo v sítích kde není DNS Využívá centralizovanou databázi pro NetBios vyhledávání Při startu stanice registruje NetBios jméno do databáze serveru Name query request unicastem serveru, který odpoví IP adresou stanice z databáze Není omezena hranicemi pro broadcast

Postup při rozlišení Host name – Mixed Mode - default Porovnání s jménem lokálního počítače DNS cache Kontrola místního souboru Hosts Dotaz na DNS server Prohledání místní NetBIOS cache Dotaz na WINS server Vyslání výzvy (broadcast) Kontrola místního souboru Lmhosts

044 DHCP nastavení node type 0x1 Broadcast část (B): překlad jmen plně závisí na NetBiosu. Jestliže host nemůže být nalezen v NBT cache nebo pomocí broadcastu, pak jméno není přeloženo. 0x2 Peer (P): pokud není záznam nalezen v cache, je kontaktován WINS server. 0x4 Mixed (M): Kombinace B a P. Prvně je hledáno v cache, pak broadcast a nakonec WINS server. 0x8 Hybrid (H): Podobně jako mix, ale v opačném pořadí.Toto je výchozí nastavení. Odpovídající registr: HKLM\SYSTEM\CurrentControlSet\Services\NetBT\P arameters\NodeType

Příkazové utility pro rozlišení jmen Arp nbtstat ipconfig /flushdns (/registerdns) nslookup netsh

Odkazy Top level domény: http://www.icann.org/tlds http://www.iana.org/cctld/cctld-whois.htm seznam IP root serverů: ftp://rs.internic.net/domain/named.cache