Windows 2 - Laboratorium 3a

Nazwa przedmiotu:

Windows 2 laboratorium

Prowadzący:

mgr inŜ. Radosław Michalski (rmichalski@wsiz.wroc.pl)

mgr inŜ. Jerzy śemła (jzemla@wsiz.wroc.pl)

Temat laboratorium:

Zarządzanie i mointorowanie DNS – integracja z AD

Czas trwania:

Uwagi:

Jeden kontroler domeny na dwa komputery, kable krosowane,

ewentualnie jeden na trzy komputery z czego drugi komputer

pełni rolę zapasowego serwera nazw

I Wprowadzenie do zajęć

System DNS (system nazw domenowych, ang. Domain Name System) słuŜy do

rozwiązywania nazw domenowych na adresy sieciowe. Przykładowo, domena

www.wsiz.wroc.pl przez serwery DNS rozwiązywana jest jako adres IP 62.87.130.200.

Proces odwrotny, tj. adres IP -> nazwa domenowa nazywany jest revDNS (reverse DNS) i takŜe naleŜy do zadań serwerów DNS. NaleŜy zwrócić uwagę, Ŝe o ile wiele nazw domenowych moŜe wskazywać na jeden adres IP, to jeden adres IP rozwiązuje się na

tylko jedną nazwę domenową. System DNS ma budowę hierarchiczną, tj. w procesie rozwiązywania nazwy najpierw poszukiwane są serwery DNS obsługującą domenę .pl, następnie .wroc.pl, później wsiz.wroc.pl, a na koniec juŜ www.wsiz.wroc.pl. Konfiguracja DNS dla jednej domeny znajduje się w tzw. pliku strefy, który zawiera informacje istotne dla protokołu DNS oraz wpisy rekordów.

Typowe wpisy w strefie to:

rekord A - przypisanie nazwy do adresu IP (typowe dla większości usług)

(www.wsiz.wroc.pl -> 62.87.130.200)

rekord MX – wskazanie nazw lub adresów IP serwerów pocztowych

obsługujących tę domenę

rekord CNAME – alias (www.wsiz.wroc.pl -> www.wp.pl)

rekord NS – wskazanie, które serwery DNS obsługują tę domenę

Windows 2003 Server integruje usługę DNS w ramach Active Directory, dzięki czemu

hosty sieciowe automatycznie mogą otrzymywać właściwe dla siebie wpisy DNS w strefie domeny AD. NaleŜy pamiętać, Ŝe domena AD ≠ domena DNS!

II Realizowane scenariusze

1. Włączanie usługi DNS na kontrolerach domeny

Na kontrolerze domeny Windows 2003 postaw kontroler domeny (echelon.local),

skonfiguruj usługę DNS („Manage this server” -> DNS) oraz DHCP aby

przydzielała adres IP drugiemu komputerowi z wpisem dot. serwera DNS.

Drugi komputer niech pobierze adres IP dynamicznie, sprawdźcie poprawność

konfiguracji (ping), a następnie dodajcie go do domeny echelon.local.

2. Dodawanie rekordów do plików strefy

Opis sytuacji:

Serwer DNS automatycznie dodaje do konfiguracji strefy wpisy dotyczące

swojej nazwy (serwer.echelon.local) i komputerów w domenie (np.

pc1.echelon.local). Jeśli chcesz dodać inne mapowania, musisz to zrobić

ręcznie. W tym scenariuszu stwórz wpis www.echelon.local wskazujący na

sąsiadujący komputer.

PoŜądany rezultat operacji:

www.echelon.local rozwiązuje się na adres sąsiedniego komputera.

Weryfikacja przy pomocy narzędzia nslookup.

Działania:

1. Uruchom przystawkę DNS

2. Wybierz właściwy plik strefy (echelon.local)

3. Dodaj rekord Hosta (A) www.echelon.local wskazujący na adres IP

sąsiedniego komputera

4. Zweryfikuj czy zmiana ta jest widoczna (nslookup)

3. Zapoznanie się z zabezpieczeniami pliku strefy

Opis sytuacji:

Domyślnie kaŜdy komputer ma prawo odpytywać serwer DNS, kaŜdy dodany

do domeny moŜe dodawać rekordy A, jednak Windows 2003 pozwala na

ograniczanie tej sytuacji. Przyjrzymy się jak to wygląda.

PoŜądany rezultat operacji:

Hosty dodane do domeny nie mogą dodawać wpisu dotyczącego własnego

rekordu hosta do konfiguracji strefy DNS echelon.local.

Działania:

1. Uruchom przystawkę DNS.

2. Przejdź do konfiguracji strefy i jej właściwości, zakładka zabezpieczenia.

3. Zmodyfikuj właściwe prawa dostępu w tej zakładce, aby komputery z

domeny nie mogły edytować wpisów w strefie.

4. Modyfikacja parametrów strefy, hosty które mogą transferować wpisy

oraz forwardery

Opis sytuacji:

Nie jest wskazane, aby kaŜdy host mógł pobrać całą konfigurację strefy, poniewaŜ moŜe ona dać zbyt wiele cennych informacji adwersarzowi. W tym celu ogranicza się listę serwerów DNS upowaŜnionych do transferów. Ta

zmiana nie ma wpływu na udzielanie odpowiedzi na pytania o poszczególne rekordy.

Ponadto w samej konfiguracji strefy moŜna dokonywać zmian dotyczących

parametrów odświeŜania, transferów itp.

Ustawianie forwarderów to wskazywanie serwerowi DNS, do kogo ma

przekazać pytania, na które nie zna odpowiedzi.

PoŜądany rezultat:

Ograniczenie listy hostów, które mogą pobierać cały plik strefy. Modyfikacja

parametrów strefy. Ustawianie forwarderów.

Działania:

1. Uruchom przystawkę MMC DNS

2. Zapoznaj się z moŜliwymi parametrami strefy.

3. Zmodyfikuj listę serwerów nazw, które mogą pobierać plik strefy.

4. Ustaw forwardery dla tego serwera DNS na 194.204.159.1 i

194.204.152.34

III Materiały pomocnicze

1. Wikipedia - DNS

http://pl.wikipedia.org/wiki/DNS

2. Często zadawane pytania dotyczące usługi DNS systemów Windows 2000 i

Windows Server 2003

http://support.microsoft.com/default.aspx?scid=kb%3Bpl%3B291382

3. Wikipedia - Comparison of DNS server software

http://en.wikipedia.org/wiki/Comparison_of_DNS_server_software

4. DNS Poisoning

http://ketil.froyn.name/poison.html

http://cr.yp.to/djbdns/notes.html#poison