Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft.

Slides:

Advertisements

Presentazioni simili

Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (

Advertisements

Accesso ai dati su Relational Database Management Systems LSA - Laboratorio di Sistemi Informativi Economico-Aziendali Salvatore Ruggieri Dipartimento.

Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.

ISA Server 2004 Configurazione di Accessi via VPN

ASP .NET & Web Service: Introduzione

Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.

Introduzione ad Active Directory

Consumare Web Service Andrea Saltarello

Progettazione di Active Directory

Training Microsoft Visio Marzo, 2006

Sharepoint Gabriele Castellani

| | Microsoft Certificate Lifecycle Manager.

Branch office update – SP2. Agenda Messa in esercizio degli uffici remoti Compressione HTTP Differentiated Services Cache di BITS.

Infrastuttura di base Piergiorgio Malusardi IT Pro Evangelist

Come gestire AD con successo Tips And Tricks. Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service.

Windows Server 2003 Service Pack 1 Anteprima Tecnica.

INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)

Asso Dschola e UT1 Navigazione protetta con Asso.Dschola e la blacklist dell’Università di Tolosa.

IL NOSTRO LABORATORIO. Di INFORMATICA.. Presentazione: Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:

IL NOSTRO LABORATORIO. Di INFORMATICA..

Installazione di Active Directory

Introduzione ad Active Directory

Organizzazione di una rete Windows 2003

ING. CARLO MANFUCCI COMUNE DI GROSSETO

Installazione di Active Directory

Active Directory.

DNS: Il Servizio Directory di Internet

2-1 Trasferimento di file: ftp Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.

Come programmare servizi di rete?

INTERNET e i suoi Servizi Docente Esperto: Simona Riolo Docente Tutor: Alfio Messina Lezione #1/ I.C.S. G. Verga - Viagrande (CT)

Architettura del World Wide Web

Il Client Windows98 Client nel dominio Windows 2000.

06/01/04 1 Microsoft Management Console E un programma fondamentale che fornisce uninterfaccia comune per una vasta serie di strumenti di amministrazione.

RETI E INTERNET.

AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.

IL LIVELLO APPLICAZIONI:

Posta elettronica : per iniziare : per iniziare Primi passi con la posta elettronica Primi passi con la posta elettronica

4 Cosa è una rete? ã Punto di vista logico: sistema di dati ed utenti distribuito ã Punto di vista fisico: insieme di hardware, collegamenti, e protocolli.

Corso di Informatica per Giurisprudenza Lezione 7

Guida IIS 6 A cura di Nicola Del Re.

Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2 PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia.

Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività

Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.

Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.

1 Ripassino Reti di Computer Carasco 19/02/ Che cosa è una rete informatica? Una rete informatica è un insieme di computer connessi tra di loro.

Microsoft Office System Introduzione a XML in Office 2003.

Evento per il lancio di Windows 2000 Milano febbraio 2000 Studio 90, Via Mecenate 84 Technet Workshop Milano 02 marzo 2000 Quark Hotel.

Il World Wide Web Lidea innovativa del WWW è che esso combina tre importanti e ben definite tecnologie informatiche: Documenti di tipo Ipertesto. Sono.

Sistemi di elaborazione dellinformazione Modulo 3 -Protocolli applicativi Unità didattica 1 - Domain Name System Ernesto Damiani Lezione 4 – Risoluzione.

Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Project Work Realizzato da: Vittorio Randazzo Angelo Ligorio Giuseppe ContinoGianluca Bellu.

Configurazione di una rete Windows

Amministrazione della rete: web server Apache

Creato da Riccardo Nuzzone

Directory Directory cos’e’? Directory qual’e’ il suo scopo?

Certificati e VPN.

Sistemi di elaborazione dell’informazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 4 -Gestione degli indirizzi Ernesto Damiani Lezione 2 – DHCP.

Extension pack per IIS7 Piergiorgio Malusardi IT Pro Evangelist

Sistemi di elaborazione dell’informazione Modulo 3 - Protocolli applicativi Unità didattica 1 - Domain Name System Ernesto Damiani Lezione 2 – Caratteristiche.

Sistemi di elaborazione dell’informazione Modulo 3 -Protocolli applicativi Unità didattica 1 -Domain Name System Ernesto Damiani Lezione 3 – Complementi.

Servizi Internet Claudia Raibulet

Active Directory. Cos’è Active Directory (AD)  Un “directory service”  Un contenitore di oggetti  Un insieme di servizi di accesso  Un “namespace”

Il DNS e la gestione degli indirizzi IP Appunti di Sistemi per la IV D A cura del prof. ing. Mario Catalano.

INTERNET E INTRANET Classe VA SIA. La Storia di INTERNET ’ – ARPANET 1969 – anno di nascita università Michigan - Wayne 1970 – – INTERNET.

DNSSEC Sicurezza & Windows Frascati Febbraio 2012 Fulvia Costa Infn Padova.

La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.

Transcript della presentazione:

Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft

Cosa vedremo  Ripresa dei Concetti di Base  DNS e Active Directory  Architetture DNS  Uso di DNS non-Microsoft  Messa in Sicurezza del DNS

Concetti di base DNS  Protocollo di Risoluzione dei Nomi per Reti TCP/IP  Database Gerarchico e Distribuito Forward Lookup Zone Reverse Lookup Zone Chi è NY-CERT-01? Chi è ? NY-CERT-01 = = NY-WXP-01 TCP/IP

Concetti di base DNS Gerarchia dello Spazio dei Nomi Pubblico. com gov research.Contoso.com us.Contoso.com IRS.gov Contoso.com Internet Root Sotto domini Domini Secondo Livello Domini Top-Level

Concetti di base DNS Gerarchia dello Spazio dei Nomi Locale research.Contoso.local us.Contoso.local Contoso.local

Concetti di base DNS Query Interne NY-WXP-01.contoso.com NY-WEB-01.contoso.com NY-DNS-01.contoso.com

Concetti di base DNS Query Interne NY-WXP-01.contoso.com NY-WEB-01.contoso.com NY-DNS-01.contoso.com

Concetti di base DNS Query Interne NY-WXP-01.contoso.com NY-WEB-01.contoso.com NY-DNS-01.contoso.com NY-DNS-01 A NY-WEB-01 A NY-WXP-01 A www CNAMENY-WEB-01.contoso.com contoso.com

Concetti di base DNS Query Interne NY-WXP-01.contoso.com NY-WEB-01.contoso.com NY-DNS-01.contoso.com NY-DNS-01 A NY-WEB-01 A NY-WXP-01 A www CNAMENY-WEB-01.contoso.com Query: contoso.com

Concetti di base DNS Query Interne NY-WXP-01.contoso.com NY-WEB-01.contoso.com NY-DNS-01.contoso.com NY-DNS-01 A NY-WEB-01 A NY-WXP-01 A www CNAMENY-WEB-01.contoso.com contoso.com

Concetti di base DNS Query Interne NY-WXP-01.contoso.com NY-WEB-01.contoso.com NY-DNS-01.contoso.com NY-DNS-01 A NY-WEB-01 A NY-WXP-01 A www CNAMENY-WEB-01.contoso.com contoso.com TCP/IP

Concetti di base DNS Query Esterne WideWorldImporters.com

Concetti di base DNS Query Esterne WideWorldImporters.com

Concetti di base DNS Query Esterne WideWorldImporters.com

Concetti di base DNS Query Esterne WideWorldImporters.com a.root-server.net contoso.com =

Concetti di base DNS Query Esterne WideWorldImporters.com NY-DNS-01.contoso.com NY-WEB-01.contoso.com a.root-server.net contoso.com =

Concetti di base DNS Query Esterne WideWorldImporters.com NY-DNS-01.contoso.com NY-WEB-01.contoso.com a.root-server.net contoso.com =

Concetti di base DNS Query Esterne WideWorldImporters.com NY-DNS-01.contoso.com NY-WEB-01.contoso.com a.root-server.net TCP/IP

Cosa vedremo  Ripresa dei Concetti di Base  DNS e Active Directory  Architetture DNS  Uso di DNS non-Microsoft  Messa in Sicurezza del DNS

Active Directory e DNS Registrazione dei Service Locator Record  AD usa il DNS per registrare i servizi  I record SRV sono registrati all’avvio NY-DC-01.contoso.com NY-NS-01.contoso.com LDAP Kerberos Kerberos Password Global Catalog

Active Directory e DNS Registrazione dei Service Locator Record  Il file NETLOGON.dns elenca i record SRV

Active Directory e DNS Registrazione dei Service Locator Record  Service Locator Record: descritti da RFC 2782  Proprietà dei Record SRV _ldap._tcp 600SRV NY-DC-01.contoso.com. _kerberos._tcp600SRV010088NY-DC-01.contoso.com. _gc._tcp600 SRV NY-DC-01.contoso.com. _kpasswd._tcp600SRV NY-DC-01.contoso.com. Service Protocol Site TTL PriorityWeightPortHost

Active Directory e DNS Localizzazione dei Servizi Tilbury Site London Site New York Site NY-DC-01 LON-DC-01 TIL-DNS-01 Dov’è la più vicina stampante di rete?

Active Directory e DNS Localizzazione dei Servizi Tilbury Site London Site New York Site NY-DC-01 LON-DC-01 TIL-DNS-01 Dov’è la più vicina stampante di rete? Global Catalog?

Active Directory e DNS Localizzazione dei Servizi Tilbury Site London Site New York Site Site Link Cost 25 Site Link Cost 50 NY-DC-01 LON-DC-01 TIL-DNS-01 Dov’è la più vicina stampante di rete? NY-DC-01 e LON-DC-01 sono Global Catalog Global Catalog?

Active Directory e DNS Localizzazione dei Servizi Tilbury Site London Site New York Site Site Link Cost 25 Site Link Cost 50 NY-DC-01 LON-DC-01 TIL-DNS-01 Qual’è la più vicina stampante di rete? NY-DC-01 e LON-DC-01 sono Global Catalog Global Catalog? NY-DC-01 e LON-DC-01 Ricerca della stampante sul GC

Active Directory e DNS Modifica Dinamica dei Record  È definta da RFC 2136 Server DNS DHCP ServerRichiesta di IP IP in Affitto Window 2000, XP, 2003

Active Directory e DNS Modifica Dinamica dei Record DNS Server DHCP ServerRichiesta di IP IP in Affitto DNS Dynamic update del nome Host (A). Window 2000, XP, 2003 DNS Dynamic update del Pointer (PTR).

Cosa vedremo  Ripresa dei Concetti di Base  DNS e Active Directory  Architetture DNS  Uso di DNS non-Microsoft  Messa in Sicurezza del DNS

Spazio dei Nomi Unico contoso.com InternetRete Interna NY-WEB-01 NY-SMTP-01 NY-NS-01 NY-NS-02 NY-DC-01 NS NY-NS-01.contoso.com NY-NS-01 A NY-WEB-01 A NY-SMTP-01 A www CNAME NY-WEB-01.contoso.com smtp CNAME NS NY-NS-02.contoso.com NY-NS-02 A NY-WEB-01 A NY-SMTP-01 A www CNAME NY-WEB-01.contoso.com NY-WXP-01 A NY-DC-01 A

Spazio dei Nomi Delegato contoso.com corp.contoso.com NY-NS-01 NY-NS-02 NY-DC-01 NS NY-NS-01.contoso.com Corp NS NY-NS-02.corp.contoso.com NY-NS-02.corp A NY-NS-01 A NY-WEB-01 A NY-SMTP-01 A www CNAME NY-WEB-01.contoso.com smtp CNAME NS NY-NS-02.corp.contoso.com NY-NS-02 A NY-WXP-01 A NY-DC-01 A

Spazio dei Nomi Delegato contoso.comcorp.contoso.com InternetRete Interna NY-WEB-01 NY-SMTP-01 NY-NS-01 NY-NS-02 NY-DC-01 NS NY-NS-01.contoso.com NY-NS-01 A NY-WEB-01 A NY-SMTP-01 A www CNAME NY-WEB-01.contoso.com smtp CNAME NS NY-NS-02.corp.contoso.com NY-NS-02 A NY-WEB-01 A NY-SMTP-01 A www CNAME NY-WEB-01.contoso.com NY-WXP-01 A NY-DC-01 A

Spazio dei Nomi Univoco contoso.comcontoso.local InternetRete Interna NY-WEB-01 NY-SMTP-01 NY-NS-01 NY-NS-02 NY-DC-01 NS NY-NS-01.contoso.com NY-NS-01 A NY-WEB-01 A NY-SMTP-01 A www CNAME NY-WEB-01.contoso.com smtp CNAME NS NY-NS-02.contoso.local NY-NS-02 A NY-WXP-01 A NY-DC-01 A

Pianificazione dei Nomi DNS Buone Pratiche Usare nomi distinti Creare uno spazio dei nomi compatibile con AD Separa lo spazio dei nomi interno da quello esterno

Pianificazione dei Nomi DNS Linee Guida Selezionare lo spazio dei nomi DNS per il dominio Mantenere la separazione tra gli spazi dei nomi interno ed esterno Usare spazi dei nomi differenti per Internet e Intranet

Cosa vedremo  Ripresa dei Concetti di Base  DNS e Active Directory  Architetture DNS  Uso di DNS non Microsoft  Messa in Sicurezza del DNS

Interoperabilità con BIND Se esistono dei NS BIND, e si vuole mantenerli nell’infrastruttura di supporto ad AD, scegliere una delle seguenti strategie: Usare BIND per Internet e DNS di Windows Server 2003 per la rete interna Usare BIND sia per Internet sia per la intranet Usere BIND sia per Internet sia per la intranet, ma mettere i domini AD in Zone delegate su DNS Windows Server 2003 Usare i DNS Windows Server 2003 DNS sia per Internet sia per la intranet

Uso di DNS non-Microsoft  È possibile usare per AD anche DNS non- Microsoft  Devono Supportare i Record SRV  È meglio se supportano anche l’Update Dinamico dei Record  È meglio che venga assegnata ad AD una sub-zone separata

Esempio di named.conf //BIND Configuration File options { directory "/usr/local/named"; notify yes; }; zone "corp.contoso.com" in { type master; file "db.corp.contoso"; check-names ignore; allow-transfer { ; }; allow-update { ; ; ;}; }; zone " in-addr.arpa" in { type master; file "db "; allow-transfer { ; }; allow-update { ; ; ;}; }; zone " in-addr.arpa" in { type master; file "db "; zone "." in { type hint; file "db.cache"; };

Significato delle opzioni in named.conf  notify yes Istruisce il DNS Primario a mandare modifiche immediatamente ai DNS Secondari quando ci sono delle modifiche alla Zona  check-names ignore Per default, BIND controlla tutti i record per verificare che siano usati solo nomi di host standard per evitare problemi di interoperabilità.. Windows 2000 usa una sub- zone chiamata "_msdcs" per mantenere i dati di Active Directory. Questa zona non può entrare in conflitto con un nome di host (_ non ammesso per questi), ma rende anche impossibile mettere nomi di host in questa zona (BIND li vede come illegali). Active Directory cerca di inserire i GC in _msdcs, ma questa operazione viene vietata per default da BIND. Per evitare questi problemi, Microsoft raccomanda che AD sia piazzata in una sub-zone per la quale disabilitare il controllo dei nomi host.  allow transfer Indica quali host (NS) possono iniziare un trasferimento di zona.  allow update Per motivi di sicurezza è meglio consentire solo ai DC e ai DHCP la modifica dei record in DNS.

Cosa vedremo  Ripresa dei Concetti di Base  DNS e Active Directory  Architetture DNS  Uso di DNS non-Microsoft  Messa in Sicurezza del DNS

Messa in Sicurezza del DNS L’approccio corretto alla risoluzione dei nomi deve: Esporre solo la parte pubblica dello spazio dei nomi Abilitare tutti i client AD per la risoluzione di tutti i nomi aziendali, interni ed esterni Abilitare la risoluzione dei nomi Internet, su Internet Limitare il numero di record nel DNS esterno

Messa in Sicurezza del DNS  Usare pochi Record Alias (CNAME)  Adottare Pratiche Standard per i DNS  Integrare le Zone in Active Directory  Considerare la Possibilità di usare Zone Secondarie  Rivedere gli RFC     Inserire le Informazioni per Contattare l’Admin di Zona  = admin.contoso.com

Messa in Sicurezza del DNS  Usare i Forwarder per le Zone su Internet  Filtrare il Traffico DNS sui Firewall  Restringere il Traffico DNS in base agli IP  Usare la Ricorsione ogni volta che è possibile  Cancellare i Root Hint sui server che non devono comunicare con i DNS servers autoritativi per i root domain  Modificare i Root Hint se il Root Domain è interno  Modificare i Root Hints quando cambia il NS autoritativo per il Root Domain

Messa in Sicurezza del DNS  Consentire la Replica solo per i NS Specificati  Mettere in Sicurezza il Servizio DNS usando le ACL  Per le Zone Standard modificare i Permessi sui File di Zona  \System32\DNS  Mettere in Sicurezza le Chiavi di Registry del DNS  HKLM\System\CurrentControlSet\Services\DNS

© Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.