La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft.

PubblicatoNatale Ferro Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft."— Transcript della presentazione:

1 Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft

2 Cosa vedremo  Ripresa dei Concetti di Base  DNS e Active Directory  Architetture DNS  Uso di DNS non-Microsoft  Messa in Sicurezza del DNS

3 Concetti di base DNS  Protocollo di Risoluzione dei Nomi per Reti TCP/IP  Database Gerarchico e Distribuito Forward Lookup Zone Reverse Lookup Zone Chi è NY-CERT-01? Chi è 192.168.80.9? NY-CERT-01 = 192.168.80.6 192.168.80.9 = NY-WXP-01 TCP/IP

4 Concetti di base DNS Gerarchia dello Spazio dei Nomi Pubblico. com gov research.Contoso.com us.Contoso.com IRS.gov Contoso.com Internet Root Sotto domini Domini Secondo Livello Domini Top-Level

5 Concetti di base DNS Gerarchia dello Spazio dei Nomi Locale research.Contoso.local us.Contoso.local Contoso.local

6 Concetti di base DNS Query Interne NY-WXP-01.contoso.com NY-WEB-01.contoso.com NY-DNS-01.contoso.com

7 Concetti di base DNS Query Interne NY-WXP-01.contoso.com NY-WEB-01.contoso.com NY-DNS-01.contoso.com www.contoso.com?

8 Concetti di base DNS Query Interne NY-WXP-01.contoso.com NY-WEB-01.contoso.com NY-DNS-01.contoso.com NY-DNS-01 A192.168.80.1 NY-WEB-01 A192.168.80.5 NY-WXP-01 A192.168.80.6 www CNAMENY-WEB-01.contoso.com www.contoso.com? contoso.com

9 Concetti di base DNS Query Interne NY-WXP-01.contoso.com NY-WEB-01.contoso.com NY-DNS-01.contoso.com NY-DNS-01 A192.168.80.1 NY-WEB-01 A192.168.80.5 NY-WXP-01 A192.168.80.6 www CNAMENY-WEB-01.contoso.com Query: www.contoso.com contoso.com

10 Concetti di base DNS Query Interne NY-WXP-01.contoso.com NY-WEB-01.contoso.com NY-DNS-01.contoso.com NY-DNS-01 A192.168.80.1 NY-WEB-01 A192.168.80.5 NY-WXP-01 A192.168.80.6 www CNAMENY-WEB-01.contoso.com www.contoso.com? contoso.com 192.168.80.5

11 Concetti di base DNS Query Interne NY-WXP-01.contoso.com NY-WEB-01.contoso.com NY-DNS-01.contoso.com NY-DNS-01 A192.168.80.1 NY-WEB-01 A192.168.80.5 NY-WXP-01 A192.168.80.6 www CNAMENY-WEB-01.contoso.com www.contoso.com? contoso.com 192.168.80.5 TCP/IP

12 Concetti di base DNS Query Esterne WideWorldImporters.com

13 Concetti di base DNS Query Esterne WideWorldImporters.com www.contoso.com?

14 Concetti di base DNS Query Esterne WideWorldImporters.com www.contoso.com?

15 Concetti di base DNS Query Esterne WideWorldImporters.com a.root-server.net www.contoso.com? 192.168.80.5 www.contoso.com? contoso.com = 192.169.80.1

16 Concetti di base DNS Query Esterne WideWorldImporters.com NY-DNS-01.contoso.com NY-WEB-01.contoso.com a.root-server.net www.contoso.com? contoso.com = 192.169.80.1 www.contoso.com? 192.168.80.5

17 Concetti di base DNS Query Esterne WideWorldImporters.com NY-DNS-01.contoso.com NY-WEB-01.contoso.com a.root-server.net www.contoso.com? 192.168.80.5 www.contoso.com? contoso.com = 192.169.80.1 www.contoso.com? 192.168.80.5

18 Concetti di base DNS Query Esterne WideWorldImporters.com NY-DNS-01.contoso.com NY-WEB-01.contoso.com a.root-server.net TCP/IP

19 Cosa vedremo  Ripresa dei Concetti di Base  DNS e Active Directory  Architetture DNS  Uso di DNS non-Microsoft  Messa in Sicurezza del DNS

20 Active Directory e DNS Registrazione dei Service Locator Record  AD usa il DNS per registrare i servizi  I record SRV sono registrati all’avvio NY-DC-01.contoso.com NY-NS-01.contoso.com LDAP Kerberos Kerberos Password Global Catalog

21 Active Directory e DNS Registrazione dei Service Locator Record  Il file NETLOGON.dns elenca i record SRV

22 Active Directory e DNS Registrazione dei Service Locator Record  Service Locator Record: descritti da RFC 2782  Proprietà dei Record SRV _ldap._tcp 600SRV0100389NY-DC-01.contoso.com. _kerberos._tcp600SRV010088NY-DC-01.contoso.com. _gc._tcp600 SRV01003268NY-DC-01.contoso.com. _kpasswd._tcp600SRV0100464NY-DC-01.contoso.com. Service Protocol Site TTL PriorityWeightPortHost

23 Active Directory e DNS Localizzazione dei Servizi Tilbury Site London Site New York Site NY-DC-01 LON-DC-01 TIL-DNS-01 Dov’è la più vicina stampante di rete?

24 Active Directory e DNS Localizzazione dei Servizi Tilbury Site London Site New York Site NY-DC-01 LON-DC-01 TIL-DNS-01 Dov’è la più vicina stampante di rete? Global Catalog?

25 Active Directory e DNS Localizzazione dei Servizi Tilbury Site London Site New York Site Site Link Cost 25 Site Link Cost 50 NY-DC-01 LON-DC-01 TIL-DNS-01 Dov’è la più vicina stampante di rete? NY-DC-01 e LON-DC-01 sono Global Catalog Global Catalog?

26 Active Directory e DNS Localizzazione dei Servizi Tilbury Site London Site New York Site Site Link Cost 25 Site Link Cost 50 NY-DC-01 LON-DC-01 TIL-DNS-01 Qual’è la più vicina stampante di rete? NY-DC-01 e LON-DC-01 sono Global Catalog Global Catalog? NY-DC-01 e LON-DC-01 Ricerca della stampante sul GC

27 Active Directory e DNS Modifica Dinamica dei Record  È definta da RFC 2136 Server DNS DHCP ServerRichiesta di IP IP in Affitto Window 2000, XP, 2003

28 Active Directory e DNS Modifica Dinamica dei Record DNS Server DHCP ServerRichiesta di IP IP in Affitto DNS Dynamic update del nome Host (A). Window 2000, XP, 2003 DNS Dynamic update del Pointer (PTR).

29 Cosa vedremo  Ripresa dei Concetti di Base  DNS e Active Directory  Architetture DNS  Uso di DNS non-Microsoft  Messa in Sicurezza del DNS

30 Spazio dei Nomi Unico contoso.com InternetRete Interna NY-WEB-01 NY-SMTP-01 NY-NS-01 NY-NS-02 NY-DC-01 NY-WXP-01 @ NS NY-NS-01.contoso.com NY-NS-01 A 39.168.80.1 NY-WEB-01 A 39.168.80.5 NY-SMTP-01 A 39.168.80.6 www CNAME NY-WEB-01.contoso.com smtp CNAME NY-SMTP-01.contoso.com @ NS NY-NS-02.contoso.com NY-NS-02 A 192.168.80.1 NY-WEB-01 A 39.168.80.5 NY-SMTP-01 A 39.168.80.6 www CNAME NY-WEB-01.contoso.com NY-WXP-01 A 192.168.80.6 NY-DC-01 A 192.168.80.200

31 Spazio dei Nomi Delegato contoso.com corp.contoso.com NY-NS-01 NY-NS-02 NY-DC-01 NY-WXP-01 @ NS NY-NS-01.contoso.com Corp NS NY-NS-02.corp.contoso.com NY-NS-02.corp A 192.168.70.1 NY-NS-01 A 192.168.80.1 NY-WEB-01 A 192.168.80.5 NY-SMTP-01 A 192.168.80.6 www CNAME NY-WEB-01.contoso.com smtp CNAME NY-SMTP-01.contoso.com @ NS NY-NS-02.corp.contoso.com NY-NS-02 A 192.168.70.1 NY-WXP-01 A 192.168.70.6 NY-DC-01 A 192.168.70.200

32 Spazio dei Nomi Delegato contoso.comcorp.contoso.com InternetRete Interna NY-WEB-01 NY-SMTP-01 NY-NS-01 NY-NS-02 NY-DC-01 NY-WXP-01 @ NS NY-NS-01.contoso.com NY-NS-01 A 39.168.80.1 NY-WEB-01 A 39.168.80.5 NY-SMTP-01 A 39.168.80.6 www CNAME NY-WEB-01.contoso.com smtp CNAME NY-SMTP-01.contoso.com @ NS NY-NS-02.corp.contoso.com NY-NS-02 A 192.168.80.1 NY-WEB-01 A 39.168.80.5 NY-SMTP-01 A 39.168.80.6 www CNAME NY-WEB-01.contoso.com NY-WXP-01 A 192.168.80.6 NY-DC-01 A 192.168.80.200

33 Spazio dei Nomi Univoco contoso.comcontoso.local InternetRete Interna NY-WEB-01 NY-SMTP-01 NY-NS-01 NY-NS-02 NY-DC-01 NY-WXP-01 @ NS NY-NS-01.contoso.com NY-NS-01 A 39.168.80.1 NY-WEB-01 A 39.168.80.5 NY-SMTP-01 A 39.168.80.6 www CNAME NY-WEB-01.contoso.com smtp CNAME NY-SMTP-01.contoso.com @ NS NY-NS-02.contoso.local NY-NS-02 A 192.168.80.1 NY-WXP-01 A 192.168.80.6 NY-DC-01 A 192.168.80.200

34 Pianificazione dei Nomi DNS Buone Pratiche Usare nomi distinti Creare uno spazio dei nomi compatibile con AD Separa lo spazio dei nomi interno da quello esterno

35 Pianificazione dei Nomi DNS Linee Guida Selezionare lo spazio dei nomi DNS per il dominio Mantenere la separazione tra gli spazi dei nomi interno ed esterno Usare spazi dei nomi differenti per Internet e Intranet

36 Cosa vedremo  Ripresa dei Concetti di Base  DNS e Active Directory  Architetture DNS  Uso di DNS non Microsoft  Messa in Sicurezza del DNS

37 Interoperabilità con BIND Se esistono dei NS BIND, e si vuole mantenerli nell’infrastruttura di supporto ad AD, scegliere una delle seguenti strategie: Usare BIND per Internet e DNS di Windows Server 2003 per la rete interna Usare BIND sia per Internet sia per la intranet Usere BIND sia per Internet sia per la intranet, ma mettere i domini AD in Zone delegate su DNS Windows Server 2003 Usare i DNS Windows Server 2003 DNS sia per Internet sia per la intranet

38 Uso di DNS non-Microsoft  È possibile usare per AD anche DNS non- Microsoft  Devono Supportare i Record SRV  È meglio se supportano anche l’Update Dinamico dei Record  È meglio che venga assegnata ad AD una sub-zone separata

39 Esempio di named.conf //BIND Configuration File options { directory "/usr/local/named"; notify yes; }; zone "corp.contoso.com" in { type master; file "db.corp.contoso"; check-names ignore; allow-transfer { 192.168.80.7; }; allow-update { 192.168.80.5; 192.168.80.6; 192.168.80.100;}; }; zone "80.168.192.in-addr.arpa" in { type master; file "db.192.168.80"; allow-transfer { 192.168.80.7; }; allow-update { 192.168.80.5; 192.168.80.6; 192.168.80.100;}; }; zone "0.0.127.in-addr.arpa" in { type master; file "db.127.0.0"; zone "." in { type hint; file "db.cache"; };

40 Significato delle opzioni in named.conf  notify yes Istruisce il DNS Primario a mandare modifiche immediatamente ai DNS Secondari quando ci sono delle modifiche alla Zona  check-names ignore Per default, BIND controlla tutti i record per verificare che siano usati solo nomi di host standard per evitare problemi di interoperabilità.. Windows 2000 usa una sub- zone chiamata "_msdcs" per mantenere i dati di Active Directory. Questa zona non può entrare in conflitto con un nome di host (_ non ammesso per questi), ma rende anche impossibile mettere nomi di host in questa zona (BIND li vede come illegali). Active Directory cerca di inserire i GC in _msdcs, ma questa operazione viene vietata per default da BIND. Per evitare questi problemi, Microsoft raccomanda che AD sia piazzata in una sub-zone per la quale disabilitare il controllo dei nomi host.  allow transfer Indica quali host (NS) possono iniziare un trasferimento di zona.  allow update Per motivi di sicurezza è meglio consentire solo ai DC e ai DHCP la modifica dei record in DNS.

41 Cosa vedremo  Ripresa dei Concetti di Base  DNS e Active Directory  Architetture DNS  Uso di DNS non-Microsoft  Messa in Sicurezza del DNS

42 Messa in Sicurezza del DNS L’approccio corretto alla risoluzione dei nomi deve: Esporre solo la parte pubblica dello spazio dei nomi Abilitare tutti i client AD per la risoluzione di tutti i nomi aziendali, interni ed esterni Abilitare la risoluzione dei nomi Internet, su Internet Limitare il numero di record nel DNS esterno

43 Messa in Sicurezza del DNS  Usare pochi Record Alias (CNAME)  Adottare Pratiche Standard per i DNS  Integrare le Zone in Active Directory  Considerare la Possibilità di usare Zone Secondarie  Rivedere gli RFC  http://www.rfc-editor.org  http://www.ietf.org/html.charters/dnsext-charter.html  http://www.ietf.org/html.charters/dnsop-charter.html  Inserire le Informazioni per Contattare l’Admin di Zona  admin@contoso.com = admin.contoso.com

44 Messa in Sicurezza del DNS  Usare i Forwarder per le Zone su Internet  Filtrare il Traffico DNS sui Firewall  Restringere il Traffico DNS in base agli IP  Usare la Ricorsione ogni volta che è possibile  Cancellare i Root Hint sui server che non devono comunicare con i DNS servers autoritativi per i root domain  Modificare i Root Hint se il Root Domain è interno  Modificare i Root Hints quando cambia il NS autoritativo per il Root Domain

45 Messa in Sicurezza del DNS  Consentire la Replica solo per i NS Specificati  Mettere in Sicurezza il Servizio DNS usando le ACL  Per le Zone Standard modificare i Permessi sui File di Zona  \System32\DNS  Mettere in Sicurezza le Chiavi di Registry del DNS  HKLM\System\CurrentControlSet\Services\DNS

46 © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Scaricare ppt "Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft."

Presentazioni simili

Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (www.tissino.it)

Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (
Accesso ai dati su Relational Database Management Systems LSA - Laboratorio di Sistemi Informativi Economico-Aziendali Salvatore Ruggieri Dipartimento.

Accesso ai dati su Relational Database Management Systems LSA - Laboratorio di Sistemi Informativi Economico-Aziendali Salvatore Ruggieri Dipartimento.
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.

Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN

ISA Server 2004 Configurazione di Accessi via VPN
ASP .NET & Web Service: Introduzione

ASP .NET & Web Service: Introduzione
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.

Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Introduzione ad Active Directory

Introduzione ad Active Directory
Consumare Web Service Andrea Saltarello

Consumare Web Service Andrea Saltarello
Progettazione di Active Directory

Progettazione di Active Directory
Training Microsoft Visio Marzo, 2006

Training Microsoft Visio Marzo, 2006
Sharepoint Gabriele Castellani

Sharepoint Gabriele Castellani
SSL/TLS.

SSL/TLS.
| | Microsoft Certificate Lifecycle Manager.

| | Microsoft Certificate Lifecycle Manager.
Branch office update – SP2. Agenda Messa in esercizio degli uffici remoti Compressione HTTP Differentiated Services Cache di BITS.

Branch office update – SP2. Agenda Messa in esercizio degli uffici remoti Compressione HTTP Differentiated Services Cache di BITS.
Infrastuttura di base Piergiorgio Malusardi IT Pro Evangelist

Infrastuttura di base Piergiorgio Malusardi IT Pro Evangelist
Come gestire AD con successo Tips And Tricks. Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service.

Come gestire AD con successo Tips And Tricks. Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service.
Windows Server 2003 Service Pack 1 Anteprima Tecnica.

Windows Server 2003 Service Pack 1 Anteprima Tecnica.
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)

INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
Asso Dschola e UT1 Navigazione protetta con Asso.Dschola e la blacklist dell’Università di Tolosa.

Asso Dschola e UT1 Navigazione protetta con Asso.Dschola e la blacklist dell’Università di Tolosa.

Presentazioni simili

Annunci Google