Windows Server 2003
Integrazione di DNS in Strutture
Esistenti
PierGiorgio Malusardi – Microsoft
Cosa vedremo





Ripresa dei Concetti di Base
DNS e Active Directory
Architetture DNS
Uso di DNS non-Microsoft
Messa in Sicurezza del DNS
Concetti di base DNS


Protocollo di Risoluzione dei Nomi per
Reti TCP/IP
Database Gerarchico e Distribuito
Forward Lookup Zone
Chi è NY-CERT-01?
NY-CERT-01 =
192.168.80.6
Reverse Lookup Zone
Chi è 192.168.80.9?
192.168.80.9 =
NY-WXP-01
Concetti di base DNS
Gerarchia dello Spazio dei Nomi Pubblico
Internet Root
.
Domini Top-Level
com
gov
Domini Secondo Livello
Contoso.com
Sotto domini
us.Contoso.com
research.Contoso.com
IRS.gov
Concetti di base DNS
Gerarchia dello Spazio dei Nomi Locale
Contoso.local
us.Contoso.local
research.Contoso.local
Concetti di base DNS
Query Interne
NY-DNS-01.contoso.com
NY-WEB-01.contoso.com
NY-WXP-01.contoso.com
Concetti di base DNS
Query Interne
NY-DNS-01.contoso.com
NY-WEB-01.contoso.com
NY-WXP-01.contoso.com
Concetti di base DNS
Query Interne
contoso.com
NY-DNS-01.contoso.com
NY-DNS-01
A
192.168.80.1
NY-WEB-01
A
192.168.80.5
NY-WXP-01
A
192.168.80.6
www
CNAME
NY-WEB-01.contoso.com
NY-WEB-01.contoso.com
NY-WXP-01.contoso.com
Concetti di base DNS
Query Interne
contoso.com
NY-DNS-01.contoso.com
NY-DNS-01
A
192.168.80.1
NY-WEB-01
A
192.168.80.5
NY-WXP-01
A
192.168.80.6
www
CNAME
NY-WEB-01.contoso.com
NY-WEB-01.contoso.com
NY-WXP-01.contoso.com
Concetti di base DNS
Query Interne
contoso.com
NY-DNS-01.contoso.com
NY-DNS-01
A
192.168.80.1
NY-WEB-01
A
192.168.80.5
NY-WXP-01
A
192.168.80.6
www
CNAME
NY-WEB-01.contoso.com
NY-WEB-01.contoso.com
NY-WXP-01.contoso.com
Concetti di base DNS
Query Interne
contoso.com
NY-DNS-01.contoso.com
NY-DNS-01
A
192.168.80.1
NY-WEB-01
A
192.168.80.5
NY-WXP-01
A
192.168.80.6
www
CNAME
NY-WEB-01.contoso.com
NY-WEB-01.contoso.com
NY-WXP-01.contoso.com
Concetti di base DNS
Query Esterne
WideWorldImporters.com
Concetti di base DNS
Query Esterne
WideWorldImporters.com
Concetti di base DNS
Query Esterne
WideWorldImporters.com
Concetti di base DNS
Query Esterne
a.root-server.net
WideWorldImporters.com
Concetti di base DNS
Query Esterne
a.root-server.net
NY-DNS-01.contoso.com
NY-WEB-01.contoso.com
WideWorldImporters.com
Concetti di base DNS
Query Esterne
a.root-server.net
NY-DNS-01.contoso.com
NY-WEB-01.contoso.com
WideWorldImporters.com
Concetti di base DNS
Query Esterne
a.root-server.net
NY-DNS-01.contoso.com
TCP/IP
NY-WEB-01.contoso.com
WideWorldImporters.com
Cosa vedremo





Ripresa dei Concetti di Base
DNS e Active Directory
Architetture DNS
Uso di DNS non-Microsoft
Messa in Sicurezza del DNS
Active Directory e DNS
Registrazione dei Service Locator Record


AD usa il DNS per registrare i servizi
I record SRV sono registrati all’avvio
LDAP
Kerberos
Kerberos Password
Global Catalog
NY-DC-01.contoso.com
NY-NS-01.contoso.com
Active Directory e DNS
Registrazione dei Service Locator Record

Il file NETLOGON.dns elenca i record SRV
Active Directory e DNS
Registrazione dei Service Locator Record


Service Locator Record: descritti da RFC 2782
Proprietà dei Record SRV
Service
Protocol
Site
TTL
_ldap._tcp
600
_kerberos._tcp
Priority
Weight
Port
Host
SRV
0
100
389
NY-DC-01.contoso.com.
600
SRV
0
100
88
NY-DC-01.contoso.com.
_kpasswd._tcp
600
SRV
0
100
464
NY-DC-01.contoso.com.
_gc._tcp
600
SRV
0
100
3268
NY-DC-01.contoso.com.
Active Directory e DNS
Localizzazione dei Servizi
Dov’è la più
vicina
stampante di
rete?
TIL-DNS-01
Tilbury Site
NY-DC-01
New York Site
LON-DC-01
London Site
Active Directory e DNS
Localizzazione dei Servizi
Dov’è la più
vicina
stampante di
rete?
Global Catalog?
TIL-DNS-01
Tilbury Site
NY-DC-01
New York Site
LON-DC-01
London Site
Active Directory e DNS
Localizzazione dei Servizi
Dov’è la più
vicina
stampante di
rete?
NY-DC-01 e
LON-DC-01
sono Global
Catalog
Global Catalog?
TIL-DNS-01
Tilbury Site
Site Link
Cost 50
NY-DC-01
New York Site
Site Link
Cost 25
LON-DC-01
London Site
Site Link
Cost 25
Active Directory e DNS
Localizzazione dei Servizi
Qual’è la più
vicina
stampante di
rete?
NY-DC-01 e
LON-DC-01
sono Global
Catalog
Global Catalog?
NY-DC-01 e LON-DC-01
TIL-DNS-01
Tilbury Site
Site Link
Cost 50
Site Link
Cost 25
Ricerca
della
stampante
sul GC
NY-DC-01
New York Site
LON-DC-01
London Site
Site Link
Cost 25
Active Directory e DNS
Modifica Dinamica dei Record

È definta da RFC 2136
Richiesta di IP
DHCP Server
IP in Affitto
Window 2000, XP, 2003
Server DNS
Active Directory e DNS
Modifica Dinamica dei Record
Richiesta di IP
DHCP Server
DNS Dynamic update del
Pointer (PTR).
IP in Affitto
DNS Dynamic update del
nome Host (A).
Window 2000, XP, 2003
DNS Server
Cosa vedremo





Ripresa dei Concetti di Base
DNS e Active Directory
Architetture DNS
Uso di DNS non-Microsoft
Messa in Sicurezza del DNS
Spazio dei Nomi Unico
Internet
NY-NS-01
Rete Interna
@
NS
NY-NS-01.contoso.com
NY-NS-01
A
39.168.80.1
NY-WEB-01
A
39.168.80.5
NY-SMTP-01
A
39.168.80.6
www
CNAME NY-WEB-01.contoso.com
smtp
CNAME NY-SMTP-01.contoso.com
NY-WEB-01
NY-NS-02
@
NS
NY-NS-02.contoso.com
NY-NS-02
A
192.168.80.1
NY-WEB-01
A
39.168.80.5
NY-SMTP-01
A
39.168.80.6
www
CNAME NY-WEB-01.contoso.com
NY-WXP-01
A
192.168.80.6
NY-DC-01
A
192.168.80.200
NY-DC-01
NY-SMTP-01
contoso.com
NY-WXP-01
contoso.com
Spazio dei Nomi Delegato
NY-NS-01
contoso.com
@
NS
NY-NS-01.contoso.com
Corp
NS
NY-NS-02.corp.contoso.com
NY-NS-02.corp A
192.168.70.1
NY-NS-01
A
192.168.80.1
NY-WEB-01
A
192.168.80.5
NY-SMTP-01
A
192.168.80.6
NY-NS-02
@
NS
NY-NS-02.corp.contoso.com
NY-NS-02
A
192.168.70.1
NY-WXP-01
A
192.168.70.6
NY-DC-01
A
192.168.70.200
www CNAME NY-WEB-01.contoso.com
smtp CNAME NY-SMTP-01.contoso.com
NY-DC-01
NY-WXP-01
corp.contoso.com
Spazio dei Nomi Delegato
Internet
Rete Interna
@
@
NY-NS-01
NS
NY-NS-01.contoso.com
NY-NS-01
A
39.168.80.1
NY-WEB-01
A
39.168.80.5
NY-SMTP-01
A
39.168.80.6
www
CNAME NY-WEB-01.contoso.com
smtp
CNAME NY-SMTP-01.contoso.com
NY-WEB-01
NY-NS-02
NS
NY-NS-02
A
192.168.80.1
NY-WEB-01
A
39.168.80.5
NY-SMTP-01
A
39.168.80.6
www
CNAME NY-WEB-01.contoso.com
NY-WXP-01
A
192.168.80.6
NY-DC-01
A
192.168.80.200
NY-DC-01
NY-SMTP-01
contoso.com
NY-NS-02.corp.contoso.com
NY-WXP-01
corp.contoso.com
Spazio dei Nomi Univoco
Internet
NY-NS-01
Rete Interna
@
NS
NY-NS-01.contoso.com
NY-NS-01
A
39.168.80.1
NY-WEB-01
A
39.168.80.5
NY-SMTP-01
A
39.168.80.6
www
CNAME NY-WEB-01.contoso.com
smtp
CNAME NY-SMTP-01.contoso.com
NY-WEB-01
NY-NS-02
@
NS
NY-NS-02.contoso.local
NY-NS-02
A
192.168.80.1
NY-WXP-01
A
192.168.80.6
NY-DC-01
A
192.168.80.200
NY-DC-01
NY-SMTP-01
contoso.com
NY-WXP-01
contoso.local
Pianificazione dei Nomi DNS
Buone Pratiche
Usare nomi distinti
Separa lo spazio dei nomi interno da quello esterno
Creare uno spazio dei nomi compatibile con AD
Pianificazione dei Nomi DNS
Linee Guida
Selezionare lo spazio dei nomi DNS per il dominio
Usare spazi dei nomi differenti per Internet e Intranet
Mantenere la separazione tra gli spazi dei nomi interno
ed esterno
Cosa vedremo





Ripresa dei Concetti di Base
DNS e Active Directory
Architetture DNS
Uso di DNS non Microsoft
Messa in Sicurezza del DNS
Interoperabilità con BIND
Se esistono dei NS BIND, e si vuole mantenerli
nell’infrastruttura di supporto ad AD, scegliere una
delle seguenti strategie:
Usare BIND per Internet e DNS di Windows Server 2003
per la rete interna
Usare BIND sia per Internet sia per la intranet
Usere BIND sia per Internet sia per la intranet, ma
mettere i domini AD in Zone delegate su DNS Windows
Server 2003
Usare i DNS Windows Server 2003 DNS sia per Internet
sia per la intranet
Uso di DNS non-Microsoft




È possibile usare per AD anche DNS nonMicrosoft
Devono Supportare i Record SRV
È meglio se supportano anche l’Update
Dinamico dei Record
È meglio che venga assegnata ad AD una
sub-zone separata
Esempio di named.conf
//BIND Configuration File
options {
directory "/usr/local/named";
notify yes;
};
zone "corp.contoso.com" in {
type master;
file "db.corp.contoso";
check-names ignore;
allow-transfer { 192.168.80.7; };
allow-update { 192.168.80.5; 192.168.80.6; 192.168.80.100;};
};
zone "80.168.192.in-addr.arpa" in {
type master;
file "db.192.168.80";
allow-transfer { 192.168.80.7; };
allow-update { 192.168.80.5; 192.168.80.6; 192.168.80.100;};
};
zone "0.0.127.in-addr.arpa" in {
type master;
file "db.127.0.0";
zone "." in {
type hint;
file "db.cache";
};
Significato delle opzioni in named.conf

notify yes
Istruisce il DNS Primario a mandare modifiche immediatamente ai DNS Secondari
quando ci sono delle modifiche alla Zona

check-names ignore
Per default, BIND controlla tutti i record per verificare che siano usati solo nomi di
host standard per evitare problemi di interoperabilità.. Windows 2000 usa una subzone chiamata "_msdcs" per mantenere i dati di Active Directory. Questa zona non
può entrare in conflitto con un nome di host (_ non ammesso per questi), ma
rende anche impossibile mettere nomi di host in questa zona (BIND li vede come
illegali).
Active Directory cerca di inserire i GC in _msdcs, ma questa operazione viene
vietata per default da BIND. Per evitare questi problemi, Microsoft raccomanda
che AD sia piazzata in una sub-zone per la quale disabilitare il controllo dei nomi
host.

allow transfer
Indica quali host (NS) possono iniziare un trasferimento di zona.

allow update
Per motivi di sicurezza è meglio consentire solo ai DC e ai DHCP la modifica dei
record in DNS.
Cosa vedremo





Ripresa dei Concetti di Base
DNS e Active Directory
Architetture DNS
Uso di DNS non-Microsoft
Messa in Sicurezza del DNS
Messa in Sicurezza del DNS
L’approccio corretto alla risoluzione dei nomi deve:
Esporre solo la parte pubblica dello spazio dei nomi
Abilitare tutti i client AD per la risoluzione di tutti i nomi
aziendali, interni ed esterni
Abilitare la risoluzione dei nomi Internet, su Internet
Limitare il numero di record nel DNS esterno
Messa in Sicurezza del DNS





Usare pochi Record Alias (CNAME)
Adottare Pratiche Standard per i DNS
Integrare le Zone in Active Directory
Considerare la Possibilità di usare Zone
Secondarie
Rivedere gli RFC




http://www.rfc-editor.org
http://www.ietf.org/html.charters/dnsext-charter.html
http://www.ietf.org/html.charters/dnsop-charter.html
Inserire le Informazioni per Contattare l’Admin
di Zona

[email protected] = admin.contoso.com
Messa in Sicurezza del DNS







Usare i Forwarder per le Zone su Internet
Filtrare il Traffico DNS sui Firewall
Restringere il Traffico DNS in base agli IP
Usare la Ricorsione ogni volta che è possibile
Cancellare i Root Hint sui server che non
devono comunicare con i DNS servers
autoritativi per i root domain
Modificare i Root Hint se il Root Domain è
interno
Modificare i Root Hints quando cambia il NS
autoritativo per il Root Domain
Messa in Sicurezza del DNS



Consentire la Replica solo per i NS
Specificati
Mettere in Sicurezza il Servizio DNS
usando le ACL
Per le Zone Standard modificare i
Permessi sui File di Zona


<%systemroot%>\System32\DNS
Mettere in Sicurezza le Chiavi di
Registry del DNS

HKLM\System\CurrentControlSet\Services\DNS
© 2003-2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Scarica
Windows Server 2003 DNS Integration with Active Directory

Windows Server 2003 DNS Integration with Active Directory

DSAdd – La sintassi
