Utisci korisnika

Želeo bih da Vam se zahvalim na Vašoj brzoj pošiljci, sertifikatu i novom kursu, koji sam juče preuzeo putem Post-expresa. Još jedanput Vam se zahvaljujem na Vašoj profesionalnosti.…

"Želim da kazem da iako sam tek na pola, da sam oduševljena ovim načinom na koji stvari funkcionisu!" Stanislava Kraguljac, Beograd


Kompletna lista utisaka

Testiranje online

Arhitektura računara

Za one koji žele da znaju više.

Windows OS

Ovo bi svakako trebalo da probate.

Odnosi s javnošću

Koliko znate PR?

Pogledajte još neke od testova

Newsletter

Ukoliko želite da Vas redovno obaveštavamo o novostima sa Link eLearning sajta prijavite se na našu newsletter listu.

Ime:

Prezime:

Email:


Anketa

Arhiva anketa

BAZA ZNANJA


Kurs: 6425: Rešavanje problema i konfiguracija Windows Server 2008 Active Directory Domain servisa

Modul: Konfiguracija DNS-a za aktivni direktorijum

Autor: Test Instruktor

Naziv jedinice: Konfiguracija AD-Integrisanih zona


Materijali vezani uz ovu lekciju:

- Test konfiguracija ad-integrisanih zona
- Konfiguracija AD-Integrisanih zona (PDF dokument)



Kao dodatak korišćenja DNS servisa za lociranje domenskih kontrolera, Windows Server 2008 može da bude integrisan sa DNS-om tako što se DNS zonske informacije smeštaju u AD DS.

AD integrisane zone karakterišu dve osnovne prednosti: Multimaster zonska replikacija kao i činjenica da se proces DDNS (dinamičkog DNS-a) registracije sada odlikuje kako izbalansiranim opterećenjem tako i zadovoljavajućim stepenom bezbednosti. Ipak, ove zone imaju i svojih nedostataka: one se donekle udaljavaju od onoga što je propisano RFC dokumentima za DNS. Pored toga, svim domenskim kontrolerima moramo da dodamo i DNS serversku ulogu.

AD-DNS zona je DNS zona koja je smeštena u aktivnom direktorijumu.

Kada konfigurišemo domenski kontroler, aktivni direktorijum zahteva instalaciju DNS servisa. Zone koje su kreirane na DNS serveru koji je i domenski kontroler u aktivnom direktorijumu mogu da budu AD-integrisane DNS zone.

AD-integrisane DNS zone imaju nekoliko prednosti u poređenju sa običnim zonama (primarnim, sekundarnim i stub).

AD-integrisane zone mogu da koriste aktivni direktorijum:

  • Da smeste zonske konfiguracione podatke u aktivnom direktorijumu, umesto da zonski konfiguracioni podaci budu smešteni u zonskom fajlu.
  • Koristi Active Directory Replication umesto zonskog transfera.
  • Dozvoljava samo sigurno dinamičko ažuriranje (umesto sigurnog i nesigurnog ažuriranja na običnoj Primarno DNS zoni).


Podrazumevane Application particije za DNS (Application Partitions)

Application partitions je skladište informacija o aplikacijama u okviru aktivnog direktorijuma. Svaka od ovih aplikacija određuje način na koji skladišti, kategorizuje i koristi specifične informacije za datu aplikaciju.  Kada prilikom instalacije DNS-a dodeljujemo ulogu  prvog domenskog kontrolera u šumi, u AD DS-u se kreiraju dve nove Application Directory Partitions. Ove particije su DomainDnsZones particija i ForestDnsZones particija. DNS zonske informacije se od sada smeštaju na ovim direktorijumskim particijama i neće se više smeštati u tekstualni File na Hard disku DNS servera.

Svaka od ovih particija sadrži različite informacije i imaju različite Replication konfiguracije. DomainDNSZones particija sadrži sve zapise domenskog kontrolera koje su važne prilikom pronalaženja servisa domenskog kontrolera unutar domena. Svi Resource zapisi koji su opisani u prošloj lekciji, osim zapisa koji uključuju _msdcs iznos, smešteni su u DomainDNSZones particiji. DomainDNSZones particija se replicira ka svim DNS serverima koji rade na domenskim kontrolerima u domenu.

ForestDNSZones particija se replicira ka svim DNS serverima koji rade na domenskim kontrolerima u šumi. ForestDNSZones particija sadrži informacije koje su potrebne za domenske kontrolere i klijente da bi mogli da lociraju servise domenskog kontrolera u drugim domenima u šumi. Na primer, ForestDnsZones particija uključuje domensku subzonu koja izlistava sve domenske GUID-e (globally unique identifier - GUID) i izlistava sve domenske kontrolere za svaki domen u šumi. ForestDnsZones particija izlistava sve domenske kontrolere po njihovim GUID-ima u celoj šumi i izlistava sve Global Catalog servere u šumi. _msdcs subzona je smeštena u ForestDnsZones particiji.

DNS Application particije se mogu videti korišćenjem DNS Manager-a i korišćenjem alatki kao što su DNScmd, ADSIEdit.msc ili Ldp.exe. U DNS Manager-u, ForestDnsZones Partition informacije su izlistane u _msdcs.forestname delegiranoj zoni. DomainDnsZones particija je izlistana u subzoni unutar Domainname zone. U ADSIE.msc, Application Partitions se mogu videti konektovanjem na dc=domaindnszones,  dc=domainname Partition ili dc=forestdnszones, dc=forestname Partition.


Upravljanje AD DS integrisanim zonama

Kada implementiramo AD DS integrisane zone, možda ćemo morati da odradimo dodatne upravljačke zadatke koji nisu potrebni ako koristimo standardne DNS zone. Ovi zadaci uključuju konfiguraciju AD DS Application Directory Partitions koje će sadržati DNS zonske informacije, upravljanje i konfiguraciju dimaničkog DNS i konfiguraciju Record Agging-a (period u kome je DNS zapis ispravan - zastarevanje zapisa) i Record Scavenging-a (period u kome DNS ispituje da li je zapis ispravan - prestarevanje i na kraju brisanja tih zapisa).

Konfiguracija DNS Application particija:  Kada instaliramo DNS dok konfigurišemo prvi domenski kontroler u domenu, DNS zonske informacije se smeštaju u DomainDNSZones i ForestDnsZones Application Partitions. Ipak, možemo da modifikujemo Application particije koje se koriste za ove zone ili možemo da smestimo DNS zonske informacije u AD DS kada kreiramo nove zone na domenskom kontroleru. Prilikom kreiranja nove zone dobićemo nekoliko opcija za smeštanje DNS informacija:

  • Na svim DNS serverima u šumi: Forestname: Informacije se smeštaju u ForestDnsZones particiji odakle se repliciraju ka svim DNS serverima koji rade na domenskim kontrolerima unutar šume. Potrebno je koristiti ovu zonu samo ako korisnici iz više domena u šumi moraju da imaju pristup ovim zonskim informacijama.
  • Na svim DNS serverima u domenu: Domainname: Informacije se smeštaju u DomainDnsZones particiju odakle se repliciraju ka svim DNS serverima koji rade na domenskim kontrolerima. Koristimo ovu zonu samo u slučaju da specifičan domen zahteva pristup zonskim informacijama ili ako ćemo koristiti delegiranje ili prosleđivanje da bismo omogućili drugim DNS serverima da lociraju zonske informacije.
  • Ka svim domenskim kontrolerima u Domenu (za Windows 2000 kompatibilne) domain-name: Informacije su smeštene na Domain Directory Partition, odakle se repliciraju ka svim domenskim kontrolerima u domenu. Razlika između ove opcije i opcije koja smešta informacije u DomainDnsZones particiji je u tome što će, u ovom slučaju, svi domenski kontroleri primiti informaciju, dok se DomainDnsZones particije repliciraju samo na domenskim kontrolerima koji su takođe i DNS serveri. Iz razloga što Windows 2000 Server Active Directory ne podržava Application Directory Partitions, moramo da koristimo ovu opciju ako želimo da koristimo AD DS integrisane zone sa Windows Server 2000 domenskim kontrolerima.
  • Na svim domenskim kontrolerima koji su određeni u Scope-u ove Directory particije: Ova opcija je omogućena samo ako kreiramo dodatnu Application Directory Partition sa svojom Replication konfiguracijom. DNS informacije će biti replicirane ka svim domenskim kontrolerima koji imaju repliku ove particije.


AD-integrisane DNS Zone: U zonama koje nisu AD-integrisane DNS zone, postoji jedna Master kopija DNS zone (primarna) i može postojati mnogo dodatnih kopija DNS zone (sekundarne).

U AD-integrisanim DNS zonama, zonski podaci su smešteni u aktivnom direktorijumu tako da može postojati Multi Master model. Svaki domenski kontroler upravlja promenama u DNS zoni.

Multi-Master znači da ako domenski kontroler sadrži AD-integrisanu zonu, tada bilo koji domenski kontroler koji sadrži informacije o DNS zoni može da se ponaša kao Primarni DNS server i može da pravi promene u zoni.


Kako AD-integrisane zone koriste Secure Dynamic Updates: Secure Dynamic Update je proces u kome klijentski računar šalje Dynamic Update zahtev ka DNS serveru i server pokušava da ažurira (Update) njegov zapis u DNS-u. Ceo proces je moguć samo ako je klijent dokazao svoj identitet i poseduje validne podatke za prijavljivanje (User Name i Password). Secure Dynamic Updates je moguć samo u AD-integrisanim zonama.

Uobičajeno je da na domenskim kontrolerima na kojima su konfigurisane i integrisane DNS zone, bude dozvoljen samo Secure Dynamic Updates.

Druga metoda je konfiguracija zone koja nije smeštena na AD-integrisanom DNS serveru, kako bismo omogućili i sigurno i nesigurno dinamičko ažuriranje.


Svrha dinamičkog ažuriranja: DNS na Windows Server 2008 podržava Secure Dynamic Update karakteristiku. Sigurno dinamičko ažuriranje nudi nekoliko prednosti, a to su:

  • Zaštita zona i zapisa u zonskim File-ovima (Resouce Records) od modifikovanja od strane korisnika koji nisu autorizovani.
  • Omogućavaju nam da odredimo tačno koje grupe ili korisnici mogu da modifikuju zone i zapise u zonskim fajlovima.


Omogućavanjem dinamičkog ažuriranja na DNS zoni administrator neće imati potrebu da ručno kreira i održava sve zapise u DNS zoni. Ipak, administrator ne može da kontroliše koji će DNS klijenti moći da koriste dinamičko ažuriranje. Ako koristimo Stand-alone DNS server koji nije integrisan u aktivnom direktorijumu, nećemo moći da kontrolišemo ko može da dinamički ažurira svoje zapise na DNS serveru. Na primer, ako eksterni konsultant donese laptop u kompaniju, a koji nije član domena aktivnog direktorijuma i ako se laptop dinamički ažurira u DNS-u, sigurnost na mreži bi mogla da se time dovede u opasnost.

Ipak, ako DNS server Host-uje DNS zone koje su AD_integrisane DNS zone, moći ćemo da konfigurišemo DNS zonu da dozvoljava samo sigurno dinamičko ažuriranje (Secure Dynamic Update). Ovo znači da ako se eksterni konsultant pojavi sa istim laptopom, koji nije član domena, pokušaji da se dinamički ažurira u DNS-u će biti odbačeni. Korišćenjem Domenske sigurnosti, možemo da kontrolišemo dinamičko ažuriranje time što ćemo dozvoliti dinamičko ažuriranje samo kompjuterima (klijentima) koji su članovi domena i koji su prošli proces autentifikacije u aktivnom direktorijumu.


Nesigurno protiv sigurnog dinamičkog ažuriranja: Ako je DNS zona AD-integrisana DNS zona, moći ćemo da je konfigurišemo da dozvoljava samo Secure Only dinamičko ažuriranje. Zona koja je konfigurisana kao Secure Only autentifikuje kompjuter koji pokušava da odradi ažuriranje i dozvoljava ažuriranje samo ako dozvole na zapisu dozvoljavaju da se ažuriranje izvrši. Zone koje se Host-uju u aktivnom direktorijumu, sa dodatkom onih koji nisu u AD, mogu da se konfigurišu da omogućavaju nesigurno dinamičko ažuriranje, koje će omogućiti DNS registracije i modifikacije bez prethodnog proveravanja identiteta klijenta.


Sledeća procedura predstavlja sekvencu događaja prilikom Secure Dynamic Update procesa:

  1. Klijent pita lokalni Name Server (NS) da otkrije koji je server autoritativan za ime koje klijent pokušava da ažurira i lokalni Name Server odgovara sa referencama koje se odnose na autoritativni server.
  2. Klijent postavlja upit i šalje ga ka autoritativnom serveru da verifikuje da li je DNS server autoritativan za ime koje klijent pokušava da ažurira i server dalje potvrđuje upit.
  3. Klijent pokušava da odradi nesigurno dinamičko ažuriranje i server odbija nesigurno ažuriranje. U slučaju da je server konfigurisan da prihvata nesigurno dinamičko ažuriranje, server će potvrditi upit i izvršiće se dinamičko ažuriranje zapisa u DNS zoni.
  4. Klijent, nakon što je odbijen njegov upit nesigurnog dinamičkog ažuriranja, pokušava da pokrene sigurno dinamičko ažuriranje. Ako klijent ima validne podatke za prijavljivanje (User Name i Password), autoritativni DNS server će prihvatiti ažuriranje i odgovoriće na klijentski upit.


Ako DHCP server odrađuje prvi Secure Dynamic Update na DNS zapisu, DHCP server postaje vlasnik zapisa. Ovo može da izazove probleme pod nekoliko različitih okolnosti. Na primer, pretpostavimo da je DHCP server (DHCP1) kreirao zapis za ime server1.linkgroup.com i nakon toga prestao sa radom, a da Backup DHCP server (DHCP2) pokušava da ažurira ime. DHCP2 neće biti u mogućnosti da ažurira ime zato što DHCP2 nije vlasnik tog imena. Iz tog razloga, ako je sigurno dinamičko ažuriranje omogućeno, svi DHCP serveri moraju da se stave u specijalnu sigurnosnu grupu DNSUpdateProxy. Objekti koje su kreirali članovi DNSUpdateProxy grupe nemaju sigurnost: odatle, svaki autentifikovani korisnik može preuzeti vlasništvo nad objektom. Za više informacija o DNSUpdateProxy posetite informacije u Help-u.

Administrator može da konfiguriše obe i AD-integrisane DNS zone i obične primarne, sekundarne i stub zone da dozvoljavaju sigurno dinamičko ažuriranje. Administrator takođe može da konfiguriše sigurnost na AD-integrisanim zonama.


Konfiguracija AD-integrisanih DNS zona da bi dozvoljavale Secure Dynamic Updates:

1. Otvorimo DNS konzolu: Start>Administrative Tools>DNS (Slika 1)

Slika 1.

 

2. U konzolinom drvetu desni klik na zonu i zatim kliknemo na Properties (Slika2).

Slika 2.

 

3. Na kartici General proverimo da je tip zone AD-Integrated (Slika 3). Tip zone se podešava na dugmetu Change u nastavku reda, a koje otvara dijalog u kome se može izabrati tip zone (Primary, Secondary, Stub) kao i da li je DNS zona integrisana u AD pod opcijom Store the zone in Active Directory (available only if DNS server is a domain controller) koja je u ovom slučaju čekirana.

Slika 3.

 

4. U padajućoj listi za određivanje načina ažuriranja Dynamic Updates selektujemo Secure Only (Slika 4).

Slika 4.

 

5. Kliknemo na OK da zatvorimo DNS zone Properties dijalog boks i nakon toga zatvorimo DNS konzolu.


Smatrate da je ova lekcija korisna?  Preporučite je. Broj preporuka:1


Molimo Vas unesite svoje podatke i dobićete pristup besplatnim lekcijama.

Ime: 
Prezime: 
Email: