Nazwa przedmiotu:

Windows 2 laboratorium

Prowadzący:

mgr inż. Radosław Michalski (rmichalski@wsiz.wroc.pl)

mgr inż. Jerzy śemła (jzemla@wsiz.wroc.pl)

Temat laboratorium:

Zarządzanie i mointorowanie DNS – integracja z AD

Czas trwania:

1h

Uwagi:

Jeden kontroler domeny na dwa komputery, kable krosowane,

ewentualnie jeden na trzy komputery z czego drugi komputer

pełni rolę zapasowego serwera nazw

I Wprowadzenie do zajęć

System DNS (system nazw domenowych, ang. Domain Name System) służy do

rozwiązywania nazw domenowych na adresy sieciowe. Przykładowo, domena

www.wsiz.wroc.pl przez serwery DNS rozwiązywana jest jako adres IP 62.87.130.200.

Proces odwrotny, tj. adres IP -> nazwa domenowa nazywany jest revDNS (reverse DNS) i także należy do zadań serwerów DNS. Należy zwrócić uwagę, że o ile wiele nazw domenowych może wskazywać na jeden adres IP, to jeden adres IP rozwiązuje się na

tylko jedną nazwę domenową. System DNS ma budowę hierarchiczną, tj. w procesie rozwiązywania nazwy najpierw poszukiwane są serwery DNS obsługującą domenę .pl, następnie .wroc.pl, później wsiz.wroc.pl, a na koniec już www.wsiz.wroc.pl. Konfiguracja DNS dla jednej domeny znajduje się w tzw. pliku strefy, który zawiera informacje istotne dla protokołu DNS oraz wpisy rekordów.

Typowe wpisy w strefie to:

rekord A - przypisanie nazwy do adresu IP (typowe dla większości usług)

(www.wsiz.wroc.pl -> 62.87.130.200)

rekord MX – wskazanie nazw lub adresów IP serwerów pocztowych

obsługujących tę domenę

rekord CNAME – alias (www.wsiz.wroc.pl -> www.wp.pl)

rekord NS – wskazanie, które serwery DNS obsługują tę domenę

Windows 2003 Server integruje usługę DNS w ramach Active Directory, dzięki czemu

hosty sieciowe automatycznie mogą otrzymywać właściwe dla siebie wpisy DNS w strefie domeny AD. Należy pamiętać, że domena AD ≠ domena DNS!

II Realizowane scenariusze

1. Włączanie usługi DNS na kontrolerach domeny

Na kontrolerze domeny Windows 2003 postaw kontroler domeny (echelon.local),

skonfiguruj usługę DNS („Manage this server” -> DNS) oraz DHCP aby

przydzielała adres IP drugiemu komputerowi z wpisem dot. serwera DNS.

Drugi komputer niech pobierze adres IP dynamicznie, sprawdźcie poprawność

konfiguracji (ping), a następnie dodajcie go do domeny echelon.local.

2. Dodawanie rekordów do plików strefy

Opis sytuacji:

Serwer DNS automatycznie dodaje do konfiguracji strefy wpisy dotyczące

swojej nazwy (serwer.echelon.local) i komputerów w domenie (np.

pc1.echelon.local). Jeśli chcesz dodać inne mapowania, musisz to zrobić

ręcznie. W tym scenariuszu stwórz wpis www.echelon.local wskazujący na

sąsiadujący komputer.

Pożądany rezultat operacji:

www.echelon.local rozwiązuje się na adres sąsiedniego komputera.

Weryfikacja przy pomocy narzędzia nslookup.

Działania:

1. Uruchom przystawkę DNS

2. Wybierz właściwy plik strefy (echelon.local)

3. Dodaj rekord Hosta (A) www.echelon.local wskazujący na adres IP

sąsiedniego komputera

4. Zweryfikuj czy zmiana ta jest widoczna (nslookup)

3. Zapoznanie się z zabezpieczeniami pliku strefy

Opis sytuacji:

Domyślnie każdy komputer ma prawo odpytywać serwer DNS, każdy dodany

do domeny może dodawać rekordy A, jednak Windows 2003 pozwala na

ograniczanie tej sytuacji. Przyjrzymy się jak to wygląda.

Pożądany rezultat operacji:

Hosty dodane do domeny nie mogą dodawać wpisu dotyczącego własnego

rekordu hosta do konfiguracji strefy DNS echelon.local.

Działania:

1. Uruchom przystawkę DNS.

2. Przejdź do konfiguracji strefy i jej właściwości, zakładka zabezpieczenia.

3. Zmodyfikuj właściwe prawa dostępu w tej zakładce, aby komputery z

domeny nie mogły edytować wpisów w strefie.

4. Modyfikacja parametrów strefy, hosty które mogą transferować wpisy

oraz forwardery

Opis sytuacji:

Nie jest wskazane, aby każdy host mógł pobrać całą konfigurację strefy, ponieważ może ona dać zbyt wiele cennych informacji adwersarzowi. W tym celu ogranicza się listę serwerów DNS upoważnionych do transferów. Ta

zmiana nie ma wpływu na udzielanie odpowiedzi na pytania o poszczególne rekordy.

Ponadto w samej konfiguracji strefy można dokonywać zmian dotyczących

parametrów odświeżania, transferów itp.

Ustawianie forwarderów to wskazywanie serwerowi DNS, do kogo ma

przekazać pytania, na które nie zna odpowiedzi.

Pożądany rezultat:

Ograniczenie listy hostów, które mogą pobierać cały plik strefy. Modyfikacja

parametrów strefy. Ustawianie forwarderów.

Działania:

1. Uruchom przystawkę MMC DNS

2. Zapoznaj się z możliwymi parametrami strefy.

3. Zmodyfikuj listę serwerów nazw, które mogą pobierać plik strefy.

4. Ustaw forwardery dla tego serwera DNS na 194.204.159.1 i

194.204.152.34

III Materiały pomocnicze

1. Wikipedia - DNS

http://pl.wikipedia.org/wiki/DNS

2. Często zadawane pytania dotyczące usługi DNS systemów Windows 2000 i

Windows Server 2003

http://support.microsoft.com/default.aspx?scid=kb%3Bpl%3B291382

3. Wikipedia - Comparison of DNS server software

http://en.wikipedia.org/wiki/Comparison_of_DNS_server_software

4. DNS Poisoning

http://ketil.froyn.name/poison.html

http://cr.yp.to/djbdns/notes.html#poison