DNS, che è responsabile per la risoluzione dei nomi di dominio in indirizzi IP, non è solo il sistema di risoluzione dei nomi che è alla base di Internet a livello mondiale, è anche un componente fondamentale di Windows Active Directory (AD), per l’individuazione delle risorse di rete. Ma nonostante la natura onnipresente del DNS nel networking di Windows negli ultimi dieci anni in sostituzione delle VITTORIE proprietarie di Microsoft, il DNS è un sistema gerarchico complesso che molti amministratori junior trovano difficile da afferrare.
In questo articolo, esamineremo oltre una struttura di ANNUNCI a foresta singola/dominio singolo, in cui la configurazione DNS è relativamente semplice, e studieremo come funziona il DNS in una progettazione di ANNUNCI più complessa. Lungo la strada, introdurremo alcuni dei nuovi concetti DNS in Windows Server 2008 R2.
Integrazione di Active Directory e DNS
Per aiutarci a capire come il DNS si integra con AD, configuriamo una struttura AD comunemente distribuita in organizzazioni di medie e grandi dimensioni. Creeremo una singola foresta con due domini, come mostra la Figura 1. Il primo dominio sarà quello che viene spesso definito come una radice vuota, o semplicemente radice, dominio. Un dominio radice vuoto si trova nella parte superiore della gerarchia degli ANNUNCI e, come suggerisce il nome, non contiene alcuna risorsa. Questo tipo di dominio offre alle organizzazioni una maggiore flessibilità e una migliore separazione dei ruoli di sicurezza rispetto a una singola foresta / singolo dominio. Il secondo dominio siederà sotto la nostra radice vuota ed è quindi un dominio figlio; funzionerà come il dominio principale per la nostra organizzazione, dove si trovano le risorse (ad esempio, gruppi, account utente e computer).
Figura 1: foresta singola con due domini
Iniziamo eseguendo Dcpromo sul primo server per creare la foresta e il dominio root vuoto. Accedere al Server 2008 R2 come amministratore. Assicurarsi di aver assegnato al server un nome appropriato, ad esempio DC1, e impostare un indirizzo IP, una subnet mask e un gateway predefinito sulla NIC del server. Puoi lasciare vuote le impostazioni DNS della NIC e lasciare che Windows aggiunga un indirizzo locale.
Esegui Dcpromo dal menu Start e crea una nuova foresta e un nuovo dominio chiamati ADcompany.com. Si noti che ho aggiunto AD come prefisso al nome dell’azienda per mantenere separati gli spazi dei nomi DNS interni ed esterni. ADCOMPANY diventerà il nome NETBIOS per il dominio. Anche se il dominio è destinato solo per uso interno, è importante registrare il ADcompany.com dominio su Internet per garantire che i client non possano essere reindirizzati accidentalmente a un dispositivo al di fuori del controllo dell’organizzazione. È anche comune usare il AD.company.com gerarchia dello spazio dei nomi, dove AD diventa il nome NETBIOS per il dominio. In questo caso, assumendo company.com è già registrato dalla società su Internet, non è richiesta alcuna azione aggiuntiva.
Nella schermata Opzioni controller di dominio aggiuntive, assicurarsi che l’opzione server DNS sia selezionata. Dopo aver fatto clic su Avanti e Dcpromo inizia a convalidare le opzioni selezionate, verrà visualizzato un avviso che indica che non è possibile creare una delega perché non è possibile trovare l’area padre autorevole. In altre parole, Dcpromo non riesce a trovare un server DNS autorevole (cioè un server che contiene una copia primaria o secondaria dei dati di zona per il dominio. com), in cui può creare una zona di delega per ADcompany.com dominio.
Una zona DNS contiene tutti i record delle risorse per una parte dello spazio dei nomi, ad esempio ADCOMPANY o COM. Poiché questo è il nostro dominio AD root interno, non è necessario un record di delega nella zona COM pubblica e puoi tranquillamente ignorare questo avviso. Capiremo più chiaramente cosa significa delega quando creiamo il nostro dominio figlio.
Test con Dcdiag
Al termine di Dcpromo, riavviare il server come richiesto. Per assicurarti che tutto funzioni come previsto con il nostro nuovo dominio, apri un prompt dei comandi ed esegui Dcdiag. Verrà eseguita una serie di test che dovrebbero passare con successo se DNS e altri componenti AD critici sono configurati correttamente.
Prima di eseguire Dcdiag, è possibile cancellare i registri degli eventi di replica di sistema e DFS per impedire allo strumento di segnalare vari errori a causa di avvisi di errore registrati durante il processo di configurazione del dominio. Ad esempio, gli errori di replica DFS vengono in genere visualizzati quando Dcdiag viene eseguito per la prima volta su un nuovo controller di dominio (DC), tuttavia non indicano necessariamente un problema con il DNS, che spesso è l’origine degli errori di replica. Dopo che i log degli eventi sono stati cancellati, eseguire
dcdiag /test:dfsrevent
Questo comando dovrebbe superare il test con successo.
Fino a quando non si configura un’origine temporale appropriata, si otterranno errori W32tm (Windows Time service) nei test Dcdiag per la DC del dominio root. Per informazioni sulla configurazione del servizio Orario di Windows, consultare l’articolo Microsoft “Come configurare un server orario autorevole in Windows Server”.
Suggerimenti root
Ora che AD DNS è in ordine, se il DC ha una connessione a Internet, il server DNS installato dovrebbe farci risolvere i nomi di dominio Internet, anche se non abbiamo configurato alcun forwarder o aggiunto un indirizzo IP per il server DNS di un ISP sulle impostazioni NIC del DC. Il server DNS include suggerimenti root che puntano ai server DNS di livello superiore su Internet in modo che possa risolvere le query per i nomi per cui non è autorevole e non ha già nella cache.
Per vedere i suggerimenti di root che vengono caricati dalla cache.file dns, aprire DNS da Strumenti di amministrazione nel menu Start. Nella console DNS, fare clic con il pulsante destro del mouse sul server DNS nel riquadro di sinistra e selezionare Proprietà dal menu. Nella finestra di dialogo Proprietà server, selezionare la scheda Suggerimenti radice, come illustrato nella Figura 2.
Figura 2: Visualizzazione dei parametri principali
Si potrebbe anche incontrare situazioni, come l’obbligo di utilizzare un servizio come OpenDNS per il filtraggio dei contenuti web, in cui uno spedizioniere per la risoluzione dei nomi Internet, invece di basarsi su parametri principali. Quando si progetta l’infrastruttura DNS, ricordare che se gli spedizionieri sono configurati su un server DNS, vengono utilizzati per la risoluzione dei nomi prima dei suggerimenti di root.
Query iterative e ricorsive
Le richieste fatte dal server DNS per risolvere i nomi utilizzando i suggerimenti root sono iterative, il che significa che verrà accettata una risposta migliore, che potrebbe essere un rinvio a un server dei nomi più in basso nella gerarchia in grado di risolvere definitivamente la query. Questo è in contrasto con il client DNS di Windows, che invia query ricorsive a un server DNS, che richiede una risposta definitiva o un errore che indica che la risorsa non esiste. Le query ricorsive vengono in genere inviate da client DNS o forwarder.
Configurazione di un dominio figlio
Ora che la risoluzione dei nomi interni e Internet è stata testata e funziona nel nostro dominio principale, è il momento di aggiungere un dominio figlio, chiamato HR (HR.ADcompany.com), dove saranno localizzate tutte le nostre risorse. Accedere alla seconda macchina Server 2008 R2 come amministratore locale e assicurarsi che abbia un nome appropriato, ad esempio DC2. Assegnare un indirizzo IP e una subnet mask, quindi impostare il server DNS primario per la NIC del server con l’indirizzo IP del DC nel dominio principale. Quando eseguiamo Dcpromo, lo strumento deve individuare il dominio DNS principale e DC, quindi è necessario configurare un server DNS in grado di rispondere a tali query.
Prima di iniziare, possiamo eseguire
dcdiag /test:dcpromo /dnsdomain:HR.ADcompany.com /ChildDomain
per garantire che tutto sia configurato correttamente per Dcpromo per promuovere questo server in un DC per il dominio specificato utilizzando l’opzione /dnsdomain.
Figura 3: Creazione di un nuovo dominio in una foresta esistente
Ora eseguire Dcpromo dal menu di Avvio, questa volta optando per creare un nuovo dominio in una foresta esistente. Nella schermata Credenziali di rete, immettere il dominio della foresta (ADcompany.com) e un account membro del gruppo Enterprise Administrators nel dominio principale, come illustrato nella Figura 3. Nella finestra di dialogo Nome nuovo dominio, immettere il nome di dominio completo (FQDN) per il dominio principale (ADcompany.com) e il nome dell’etichetta singola per il nuovo dominio figlio (HR), come mostra la Figura 4. Nella finestra di dialogo Opzioni controller di dominio aggiuntive, selezionare Server DNS. Per il resto della procedura guidata, accettare le impostazioni predefinite.
Figura 4: Nominando il nuovo dominio
Riavvia il server quando richiesto ed esegui Dcdiag su HR DC per assicurarti che tutto funzioni come previsto, seguendo il mio precedente consiglio per l’esecuzione di Dcdiag. Aprire un prompt dei comandi ed eseguire
ipconfig /all
Si noti che il DNS primario NIC del server è impostato sull’indirizzo del server locale e l’indirizzo IP del server DNS del dominio principale viene spostato per fungere da server DNS secondario.
Delega e inoltro
Ancora funzionante dal prompt dei comandi, assicurarsi di poter eseguire il ping del DC nel dominio root, utilizzando il nome dell’etichetta singola del DC (DC1) o FQDN (DC1.ADcompany.com). Dovresti anche essere in grado di eseguire il ping di un nome di dominio Internet dal DC del dominio figlio, supponendo che abbia connettività Internet. Dal DC del dominio principale, assicurarsi di poter eseguire il ping del DC nel dominio figlio. Il server DNS nel dominio figlio fa riferimento alle query per le risorse in ADcompany.com a uno spedizioniere, che viene configurato automaticamente quando viene eseguito Dcpromo. Per visualizzare questa configurazione, aprire la console del server DNS sulla DC del dominio figlio da Strumenti di amministrazione nel menu Start. Nella console DNS, fare clic con il pulsante destro del mouse sul server nel riquadro di sinistra e selezionare Proprietà dal menu. Nella finestra di dialogo proprietà, selezionare la scheda Spedizionieri; vedrete che il server è configurato per inviare tutte le query che non può risolvere al server DNS del dominio root. Le query interne e Internet vengono inoltrate; questo è diverso da uno spedizioniere condizionale, che è configurato per inoltrare query che non possono essere risolte localmente solo per uno spazio dei nomi specifico.
Al contrario, sul server DNS del dominio root troverai un record di delega (a volte indicato come zona di delega) per il dominio HR. Anche in questo caso, questo record è stato configurato come parte del processo Dcpromo per la DC del dominio figlio e consente alla DC del dominio radice di individuare le risorse nel dominio figlio. Aprire la console DNS sulla DC del dominio root; nel riquadro di sinistra, espandere Server DNS, Zone di ricerca in avanti, ADCompany.com. Fare clic sulla zona di delega HR nella parte inferiore dell’albero. Nel riquadro di destra vedrai un record host (A) per il server DNS del dominio figlio. La delega e l’inoltro sono i meccanismi predefiniti in Windows Server per abilitare la risoluzione su e giù per un ramo di uno spazio dei nomi DNS contiguo, come mostra la figura 5.
Figura 5: Delega e inoltro
DNS Devolution
DNS devolution è una funzionalità del client DNS di Windows. Non è nuovo a Server 2008 R2 o Windows 7, ma include alcune modifiche per migliorare la sicurezza. Dal DC del dominio figlio, possiamo eseguire il ping delle risorse nel dominio root senza specificare l’FQDN (cioè, possiamo ping DC1 senza dovere entrare DC1.ADcompany.com). Lo stesso vale per la DC del dominio root; possiamo eseguire il ping DC2 con successo senza l’FQDN.
Per impostazione predefinita, la devoluzione tenta di risolvere un nome di etichetta singola aggiungendo domini dal suffisso DNS primario (PDS) del client. Quindi una macchina che appartiene al AD.contoso.com domain proverà prima a risolvere un nome macchina come DC1.AD.contoso.com e poi DC1.contoso.com. Non cercher di risolvere DC1.com poiché il livello di devoluzione predefinito è 2, che è l’impostazione predefinita in Windows precedente a Server 2008 R2 e Windows 7. In alcune situazioni, un livello predefinito di 2 può creare un problema di sicurezza se i client DNS tentano di risolvere FQDN che non sono sotto il controllo dell’organizzazione. Ad esempio, considerare il seguente set di query quando il livello di devoluzione è impostato su 2: DC1.HR.company.co.us, DC1.company.co.us, DC1.co.us. La query finale, DC1.co.us, è al di fuori del controllo dell’organizzazione e potrebbe causare un client che si connette accidentalmente a una macchina dannosa su Internet.
In Server 2008 R2 e Windows 7, il comportamento predefinito è impostare il livello di devoluzione sul numero di etichette nel dominio radice della foresta (FRD) se la PDS termina con FRD. Il nostro PDS è HR.ADcompany.com e il nostro FRD è ADcompany. com-quindi in base al comportamento predefinito in Server 2008 R2 e Windows 7, la devoluzione è abilitata e il livello è impostato su 2 per i nostri client DNS. Microsoft ha rilasciato un aggiornamento per modificare il comportamento di devoluzione DNS in Windows Vista, Windows XP e Windows 2000. Per ulteriori informazioni sull’aggiornamento, consultare l’articolo Microsoft “Comportamento post-installazione sui computer client dopo l’installazione dell’aggiornamento DNS”.
DNS Suffix Search List
Se aggiungiamo un terzo dominio alla nostra foresta, finance.ADcompany.com, la devoluzione DNS potrebbe non essere sufficiente per risolvere i nomi di HR.ADcompany.com da clienti nel settore FINANZIARIO. La risoluzione dei nomi a etichetta singola funziona dal dominio FINANCE se si tenta di eseguire il ping delle risorse nel dominio HR quando tutti i dispositivi si trovano nella stessa sottorete fisica. Questo perché Windows trasmetterà l’indirizzo IP se non riesce a risolvere correttamente il nome dalla cache locale della macchina o dal server DNS configurato.
Se usi Nslookup per testare la risoluzione DNS, vedrai che senza un elenco di ricerca dei suffissi DNS, devi inserire l’FQDN della risorsa situata nel dominio HR, perché come strumento per testare la risoluzione dei nomi DNS, Nslookup utilizza esclusivamente DNS. Per testare DNS con Nslookup, aprire un prompt dei comandi dal menu Start, digitare
nslookup
e premere Invio. Al nuovo prompt, immettere il nome FQDN o etichetta singola che si desidera risolvere e premere Invio. Nslookup restituirà l’indirizzo IP o segnalerà un errore di ricerca.
Se la risoluzione dei nomi con etichetta singola su tutti i domini di active directory è importante per il vostro ambiente, è possibile configurare l’elenco di ricerca suffissi DNS su tutti i dispositivi con un elenco dei suffissi DNS primari che si vuole risolvere (nel nostro caso, finance.ADcompany.com, HR.ADcompany.com e ADcompany.com). Se un elenco di ricerca suffissi DNS è configurato per un client DNS, DNS devoluzione viene automaticamente disattivato. È possibile configurare manualmente un elenco di ricerca (selezionare Modifica impostazioni adattatore nel Centro di rete e condivisione di Windows 7) per ogni NIC nella scheda DNS nella finestra di dialogo Impostazioni TCP/IP avanzate per le proprietà IPv6 e IPv4. In alternativa, è possibile configurare un elenco di ricerca utilizzando un elenco delimitato da virgole nell’impostazione Elenco di ricerca suffisso DNS in Configurazione computer, criteri, modelli amministrativi, Rete, client DNS in Criteri di gruppo (per Windows Server 2003 e XP o versioni successive).
Allo stesso modo, se aggiungiamo una nuova zona DNS, secure.HR.ADcompany.com, sul server DNS HR allo scopo di creare una zona separata per importanti record di risorse del server che devono essere protetti con DNS Security Extensions (DNSSEC), è necessario distribuire un elenco di ricerca dei suffissi DNS in modo che i client DNS possano individuare le risorse nella nuova zona in base al nome dell’etichetta singola. In questo caso è necessaria una nuova zona DNS, poiché DNSSEC non supporta gli aggiornamenti dinamici, ovvero la capacità dei record host client di aggiornarsi automaticamente su un server DNS, che è l’impostazione predefinita e desiderata per le zone DNS in cui i record host sono memorizzati per i computer client. In circostanze normali, gli indirizzi IP dei computer server non cambiano, quindi le zone protette possono essere amministrate manualmente.
Inoltro condizionale
Possiamo aiutare i nostri due domini figlio, finance.ADcompany.com e HR.ADcompany.com, risolvere le query tra domini in modo più efficiente, senza la necessità di inviare una query ricorsiva al server DNS nella radice della foresta, configurando uno spedizioniere condizionale sui server DNS in entrambi i domini figlio. Gli spedizionieri condizionali hanno la priorità sugli spedizionieri a livello di server e sono più efficienti in quanto possiamo impostare query per suffissi di dominio specifici da inviare a un server DNS predefinito, come mostra la Figura 6.
Figura 6: inoltro condizionale
Il server DNS in HR.ADcompany.com conterrà uno spedizioniere che invia tutte le query per finance.ADcompany.com al server DNS primario per il dominio FINANCE e viceversa. Per configurare uno spedizioniere condizionale, aprire la console DNS sul DC nel dominio HR da Strumenti di amministrazione nel menu Start. Nel riquadro sinistro della console DNS, espandere il server DNS, fare clic con il pulsante destro del mouse su Spedizionieri condizionali e selezionare Nuovo spedizioniere condizionale dal menu. Nella finestra di dialogo Nuovo spedizioniere condizionale, immettere finance.adcompany.com nella casella Dominio DNS. In Indirizzi IP dei server master, immettere l’indirizzo IP o il nome server del server DNS nel dominio FINANCE, come illustrato nella figura 7, e premere Invio. Fare clic su OK per completare la procedura. Ripetere il processo sul server DNS nel dominio FINANCE, ma immettere HR.ADcompany.com nella casella Dominio DNS e l’indirizzo IP del server DNS nel dominio HR.
Figura 7: Creazione di un nuovo server di inoltro condizionale
DNS Complessità
È impossibile coprire tutte le basi in un articolo, ad esempio, esistono altri due tipi di zona, secondaria e di stub, che è possibile utilizzare per migliorare le prestazioni nel complesso DNS distribuzioni, così come i nuovi Server 2008 R2 funzionalità, come DNSSEC. Ma avere una conoscenza di base di come DNS e AD lavorano insieme come una soluzione integrata vi aiuterà a progettare nuove distribuzioni di annunci e risolvere eventuali problemi che si verificano. Soprattutto, quando si esegue il test di un’infrastruttura pubblicitaria nuova o esistente, assicurarsi che per ogni dominio sia possibile eseguire il ping delle risorse in tutti gli altri domini attendibili. Inoltre, distribuire la delega e l’inoltro condizionale per abilitare la risoluzione tra gli spazi dei nomi. Queste nozioni di base ti aiuteranno a utilizzare il DNS in modo più efficace in ambienti di ANNUNCI complessi.