Windows Server 2003
Transcrição
Windows Server 2003
Windows Server 2003 - DNS Dirk F. Frehse Especialista em Soluções de Infra-estrutura Microsoft Brasil Curso de Férias TechNet Evento 1 - Windows Server 2003 - Visão Geral e Conceitos (Marcos) Evento 2 - Diretivas de Grupo (Marcos) Evento 3 - DNS/DHCP no Windows Server (Dirk) Curso de Férias TechNet Evento 4 - Windows Server 2003 Resolução Problemas / Planejando a instalação Servidores (Fabio Hara – MVP ) Evento 5 - Segurança no Windows 2003 (Manzano) Evento 6 - Windows Server 2003 Instalando e Configurando o IIS 6.0 (Guilherme Carnevalle - MVP ) Evento 7 - Windows Server 2003 Gerenciando uma Rede Windows 2003 (Ávila) Evento 8 - Windows Server 2003 Migração/Interoperabilidade do NT 4.0 e Windows 2003 (Airton Leal – MVP ) Evento 9 - Encerramento & Teste Requisitos Mínimos Microsoft Windows Server 2003 Estrutura do Active Directory Conceitos de DNS Agenda Introdução Instalando e Gerenciando DNS Integração com o Active Directory Características & Configurações do DNS DNS – Melhores Práticas Agenda Introdução Instalando e Gerenciando DNS Integração com o Active Directory Características & Configurações do DNS DNS – Melhores Práticas Introdução O que é DNS? DNS = Domain Name System, é uma base de dados distribuída e hierárquica que contém mapeamento de nomes de domínio para vários tipos de dados como, por exemplo, endereço IP Protocolo de Resolução de Nomes para redes TCP/IP, permite a localização de computadores e serviços usandose nomes amigáveis, além de permitir consulta de outras informações armazenada nessa base de dados Servidor de DNS trabalha no modo REQUEST/ RESPONSE Introdução Funcionamento Básico Forward Lookup Zone Quem é NY-CERT-01? TC Reverse Lookup Zone Quem é 192.168.80.9? P/I P NY-CERT-01 = 192.168.80.6 192.168.80.9 = NY-WXP-01 Introdução Estrutura (Namespace) Internet Root . Contoso.local Top-level Domains Second Level Domains com us.Contoso.local org research.Contoso.local gov Contoso.com WideWorldImporters.com IRS.gov us.Contoso.com research.Contoso.com Sub-domains Introdução Consulta ao DNS Interno contoso.com NY-DNS-01.contoso.com com so. nto .co 0.5 ww 8.8 :w .16 ery 192 Qu se: on sp Re NY-WEB-01.contoso.com TC P NY-DNS-01 A 192.168.80.1 NY-WEB-01 A 192.168.80.5 NY-WXP-01 A 192.168.80.6 www CNAME NY-WEB-01.contoso.com /IP NY-WXP-01.contoso.com Introdução Consulta ao DNS Externo m ntoso.co o c . w w w Query: .1 2.169.80 9 1 = m .co contoso : e s n o p Res sp Re com so. nto .5 . co .80 ww 68 :w 2.1 ery 19 Qu se: on Que ry a.root-server.net : ww w.co ntos Res o.co pons m e: 19 2.16 8.80 .5 NY-DNS-01.contoso.com TCP/IP NY-WEB-01.contoso.com WideWorldImporters.com Introdução Registrando o Service Locator Record NETLOGON.dns lista os SRV Records SRV Records são registrados na Inicialização LDAP Kerberos Kerberos Password Global Catalog LON-DC-01.WideWorldImporters.com LON-DNS-01.WideWorldImporters.com Introdução Localizando Recursos no Active Directory Service Locator Record: RFC 2782 Propriedades do SRV Record Service Protocol Site TTL Priority Weight Port Host _ldap._tcp 600 SRV 0 100 389 NY-DC-01.contoso.com. _kerberos._tcp 600 SRV 0 100 88 NY-DC-01.contoso.com. _kpasswd._tcp 600 SRV 0 100 464 NY-DC-01.contoso.com. _gc._tcp 600 SRV 0 100 3268 NY-DC-01.contoso.com. Introdução Localizando Recursos no Active Directory A onde está a Impressora de Rede mais próxima? NY-DC-01 & LON-DC-01 são Global Catalogs Query: Global Catalog Response: Ambos GCs TIL-DNS-01 Site Tilbury Site Link Custo 50 Site Link Custo 25 Pesquisa no GC por Impressora NY-DC-01 Site New York Site Link Cost 25 LON-DC-01 Site London Introdução O que é DHCP? DHCP = Dynamic Host Configuration Protocol, é um serviço Client/Server que mantém uma base de dados centralizada contendo endereços IP que serão utilizados em uma ou mais sub-redes do seu ambiente de rede. Benefícios Estações cliente obtém endereços IP do servidor Automatiza configurações de TCP/IP Administradores não precisam configurar manualmente o endereço nas estações Centraliza o gerenciamento de endereços IP Mudança nas propriedades do TCP/IP são cinfiguradas no servidor DHCP Introdução Escopo e Propriedades do Escopo (Scope) no DHCP Scope Faixa (pool) de endereços IPs que clientes podem usar Exclusion range Remove endereços do pool endereços do escopo Address lease duration Tempo com o qual um cliente pode usar um endereço IP Reservations Assinala um endereço IP permanentemente a um cliente Introdução DHCP – Confiabilidade e Disponibilidade NY-DC-01 LON-DC-01 Servidor DHCP Servidor DHCP Scope 1 192.168.16.1 to 192.168.28.254 (80%) Scope 2 192.168.93.1 to 192.168.95.254 (20%) 192.168.16.2/20 X Leasing 192.168.16.3 p/ WRK-LON-001 192.168.16.1 Network Routers Scope 2 192.168.29.1 to 192.168.31.254 (20%) Hubs WRK-LON-001 WRK precisa de -LON-003 de endereçoprecisa IP endereço IP WRKWRK-LONLON-003 WRKWRK-LONLON-001 Estações 192.168.16.3 192.168.29.1 Scope 1 Leasing 192.168.80.2/20 192.168.80.1 to 192.168.29.1 p/ 192.168.92.254 (80%) WRK-192.168.80.1 LON-003 Wide Area Introdução DHCP – Integração com o DNS Introdução DHCP – Novas Funcionalidades Windows 2000 Integração com DNS Detecção de servidores DHCP não autorizados Windows Server 2003 Backup e Restore da base de dados do DHCP a partir de interface gráfica Integração com o command shell NETSH Suporte a classes opcionais especificadas pelo usuário ou fabricante Agenda Introdução Instalando e Gerenciando DNS Integração com o Active Directory Características & Configurações do DNS DNS – Melhores Práticas Instalando & Gerenciando DNS Configure Your Server Wizard Interface Única de Configuração Gerencia “Papeis” de Servidores Integrado com o Microsoft Help Instalando & Gerenciando DNS DNS Installation Wizard Simplifica a Configuração de Servidores conforme “Papel” Instala Somente Componente Requeridos Oferece uma Configuração Segura Instalando & Gerenciando DNS Console de Gerenciamento do DNS Microsoft Management Console (MMC) Snap-in Organiza Hierarquias DNS Gerencia Múltiplos Servidores DNS Instalando & Gerenciando DNS Resource Records Start of Authority (SOA) Name Server (NS) Host (A) Alias (CNAME) Mail Exchanger (MX) Pointer (PTR) Service Location (SRV) Instalando & Gerenciando DNS Outros Tipos de Resource Records Mailbox Information (MINFO) Host Information (HINFO) Public Key (KEY) Well Known Services (WKS) Integrated Services Digital Network (ISDN) AFS Database (AFSDB) Responsible Person (RP) Signature (SIG) Renamed Mailbox (MR) Mailbox (MB) ATM Address (ATMA) Route Through (RT) Mail Group (MG) IPv6 Host (AAAA) X.25 (X25) Text (TXT) Option (OPT) Next Domain (NXT) Demonstração Instalando e Gerenciando DNS Instalando o Servidor de DNS Gerenciando DNS Resource Record Agenda Introdução Instalando e Gerenciando DNS Integração com o Active Directory Características & Configurações do DNS DNS – Melhores Práticas Integração com o Active Directory Zonas Primárias e Secundárias Site London Site Seattle Servidor DNS Primário Servidor DNS Secundário Servidor DNS Secundário Servidor DNS Secundário Site Tilbury Site New York Integração com o Active Directory Zonas Integradas com AD Site London Site Seattle Servidor DNS Primário Servidores DNS Primário Servidores DNS Primário Servidores DNS Primário Site Tilbury Site New York Integração com o Active Directory Estrutura de Zona Integrada com AD NY-DNS-01 Forward Lookup Zones Contoso.com _msdcs _sites Contoso.com _tcp _udp DomainDnsZones ForestDnsZones Reverse Lookup Zones Integração com o Active Directory Partições do Diretório DC=WideWorldImporters,DC=com CN=Configuration,DC=WideWorldImporters,DC=com CN=Schema,CD=ConfigurationDC=WideWorldImporters,DC=com DC=DomainDnsZones,DC=WideWorldImporters,DC=com DC=ForestDnsZones,DC=WideWorldImporters,DC=com DC=Intranet,DC=WideWorldImporters,DC=com Integração com o Active Directory Forward Lookup Zones Armazena todos os Resource Records de uma Zona Traduz o FQDN num endereço IP Requerido pelo AD para localizar Serviços Integração com o Active Directory Reverse Lookup Zones Armazena todos os registros PTR de uma Zona Resolve o endereço IP num FQDN Segurança de Aplicações Integração com o Active Directory Stub Zones Stub Zone: research.contoso.com Zona “Pai”: contoso.com SOA: NS: A: NS: A: DNS01.contoso.com research.contoso.com DNS01.research.contoso.com 192.168.80.25 DNS02.research.contoso.com 192.168.80.25 Zone Transfer Zona “Filho”: research.contoso.com SOA: NS: A: MX: SRV: SRV: NS: A: research.contoso.com DNS01.research.contoso.com 192.168.80.25 mail.research.contoso.com _ldap._tcp.research.contoso.com _kerberos._tcp.research.contoso.com DNS02.research.contoso.com 192.168.80.25 DNS01.research.contoso.com Integração com o Active Directory Delegação de Autoridade Divide o Namespace em Zonas Adicionais Delega Gerenciamento do DNS Divide Zonas DNS para Distribuir Tráfego Estender o Namespace contoso.com Delegação & Registros de “cola” Adicionados research.contoso.com NS dns1.research.contoso.com dns1.research.contoso.com A NS 192.168.32.1 research eur dns1.research.contso.com registros de SOA para a zona delegada. asia us Demonstração Integração com Active Directory Criação de um Subdomínio Delegado Segurança de Zonas DNS Agenda Introdução Instalando e Gerenciando DNS Integração com o Active Directory Características & Configurações do DNS DNS – Melhores Práticas Características & Configurações do DNS Atualização Dinâmica Atualização dinâmica de Resource Records no Servidor DNS Definido pela RFC 2136 IP Lease Request Servidor DHCP Atualização Dinâmica DNS Pointer do Host (A)(PTR) name name. e Pointer (PTR) name. IP Lease Reply Atualização Dinâmica DNS do Host (A) name. Client01.contoso.com = 192.168.80.22 Pre-Windows Window 2000,2000 XP, 2003 Servidor DNS Características & Configurações do DNS Transferências de Zona Aplicado apenas para Zonas DNS Standard Oferece Disponibilidade & Tolerância a Falhas Transferência Inicial completa (AXRF) Transferência de Zonas de forma Incremental (IXRF) Inicia o Processo de Zone Transfer Query SOA (Mesma Zona) Resposta da Query para SOA ( zone status) FYI: Nova Informação de DNS Disponível. IXFR ou AXFR Query para Zona Servidor DNS Secundário Resposta da IXRF ou AXRF Query (zone transfer) Servidor DNS Primário Características & Configurações do DNS Aging & Scavenging Remove Resource Records estagnados Dynamic Updates nem sempre remove registros Questões Causadas por registros estagnados Aumento no tamanho da Zona Respostas Imprecisas do DNS Degradação de Performance Conflito de Nomes Características & Configurações do DNS Opções Avançadas Disable Recursion BIND Secondaries Fail on Load if Bad Zone Date Enable Round Robin Enable Netmask Ordering Secure Cache Against Pollution Características & Configurações do DNS Resolução de Nomes usando Root Hints Servidor DNS Query: www.contoso.com Reply: 192.168.80.5 Query: www.contoso.com Reply: com é delegado para Servidor com Rep Que ly: c ry: w onto cont ww. so.c oso. con om é com toso .com dele g a d Qu o pa ra S er ervid y: or ww Re ply w. co :1 nt 92 os .1 o. 68 co .8 m 0. 5 Zona “.” Delegação Zona com Delegação Zona contoso.com Cliente Requisitante Características & Configurações do DNS Resolução de Nomes usando Forwarding Servidor DNS Interno Servidor DNS na DMZ Query: www.contoso.com Zona “.” Zona com Zona contoso.com Cliente Requisitante Características & Configurações do DNS Logs Logs Avançados – Além do Event Log Direction of Packets Contents of Packets Transport Protocol Type of Packet Filtering based on IP Address Intensivo consumo de Recursos Características & Configurações do DNS Ferramentas de DNS DNS Management Console Utilitários de Linha de Comando Nslookup DNScmd Ipconfig Utilitários para Monitoramento de Eventos Utilitários para Monitoramento de Performance Windows Management Instrumentation (WMI) Platform Software Developer Kit (SDK) Agenda Introdução Instalando e Gerenciando DNS Integração com o Active Directory Características & Configurações do DNS DNS – Melhores Práticas DNS – Melhores Práticas Planejamento, Implantação & Configuração Use Alias Records (CNAME) de forma comedida Padronize Suas Práticas de DNS Replique Zonas com Active Directory Considere Zonas Secundárias Revise os Documentos de RFC http://www.rfc-editor.org http://www.ietf.org/html.charters/dnsext-charter.html http://www.ietf.org/html.charters/dnsop-charter.html Insira Informações de Contato do Administrador da Zona [email protected] = admin.contoso.com DNS – Melhores Práticas Guia de Referência http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/119050c9-7c4d-4cbf8f38-97c45e4d01ef.mspx DNS – Melhores Práticas Segurança da Infra-estrutura de DNS Use Forwarders para Zonas na Internet Filtre tráfego DNS no Firewall Restrinja tráfego DNS por endereço IP Use Recursão onde aplicável Proteja o Cache contra poluição de Nomes Configure DNS Interno com Internal Root Hints DNS – Melhores Práticas Segurança da Infra-estrutura de DNS Use Zonas Integradas com Active Directory Proteja o Serviço de DNS através de ACLs Edite as Permissões do Arquivo para Zonas Padrões <systemroot>\System32\DNS Proteja Chaves de Registry do DNS HKLM\System\CurrentControlSet\Services\DNS Resumo Instalação do DNS usando Wizards Uso do Console de Gerenciamento do DNS Integração de Zonas DNS no Active Directory Configuração de Forwarding Dynamic Updates Aging e Scavenging Melhores Práticas – DNS Gerenciamento Melhores Prácticas – DNS Segurança Seu potencial. Nossa inspiração.