Onderhoud en Beheer Informatiesystemen. 70_642 opdracht DNS.

Transcriptie

1 . 70_642 opdracht DNS. Deze opdracht maakt gebruik van de vapp, vapp_jvn_obi_algemeen. De opdtracht is werkend getest in de cloud. Deze opdracht gaat over de werking van DNS. Daarbij gaan we ervan uit dat je reeds beschikt over de nodige voorkennis op dit gebied. In leerjaar 2 heb je immers al veel gedaan met het onderwerp DNS. Het zou erg nuttig kunnen zijn om de opdracht van vorig jaar, uit de module , nog eens door te nemen. Omdat je deze misschien niet direct bij de hand hebt, hebben we de theorie en achtergrondinformatie uit die opdracht opgenomen in de Bijlage, achterin dit document. Doel van deze opdracht : - werken met DNS vanuit de commandprompt via Dnscmd. - werken met DNS op een server core. - werken met Ipconfig en diens parameters - werken met Directoryreplication in DNS - werken met GlobalNameZones In deze opdracht gaan we ons voornamelijk bezighouden met Dnscmd en DNS op de servercore. Daarmee zullen we dus heel veel werken vanuit de commandprompt. Ook gaan we kijken hoe we in AD zelf kunnen bepalen welke servers meedoen in een replicatieproces en welke niet; hiervoor zullen we een eigen replicationscope aanmaken. Daarnaast gaan we kijken hoe we een nieuwe feature van Windows server 2008, GlobalNamesZones, kunnen gebruiken om met zogenaamde Flatnamespaces te kunnen werken. Een optie die vergelijkbaar is met WINS, alleen nu voor IPv6, iets wat WINS niet aankan. In onderstaande figuur is schematisch weergegeven hoe de DNS labopstelling is opgebouwd. J. van Nimwegen / M. Koorevaar Pagina 1 van 37

2 DNSTEST.NL / / / /24 DC_DNS ADDS DNS Member_DNS ADDS DNS Core_DNS DNS Figure1 schematische weergave van de DNS labopstelling De labopstelling bestaat uit 3 servers die zich in hetzelfde subnet bevinden. DC_DNS is een domeincontroller van het domein dnstest.nl. Hierop ga jij de rollen ADDS en DNS installeren en configureren. Core_DNS is een member server. Hierop ga jij de DNS rol installeren en configuren via de commandline. Tenslotte maak je het domein fout tolerant door Member_DNS op te nemen als 2 e domeincontroller. Hierop ga jij de rollen ADDS en DNS installeren en configureren. J. van Nimwegen / M. Koorevaar Pagina 2 van 37

3 Inhoud Inhoud... 3 Opbouw van het eerste domein Zone replication scope DNS records Dynamic updates Start of Authority Zonetypes NSLookup Server Core Ipconfig Displaydns...17 Registerdns Nogmaals Zone replication...18 GlobalNameszone...20 Einde opdracht DNS...25 Bijlage theorie en achtergronden DNS Bijlage; Installeren van VMWare tools op de Server core;...37 J. van Nimwegen / M. Koorevaar Pagina 3 van 37

4 Opbouw van het eerste domein. Gebruik voor de opdracht de vapp, vapp_jvn_obi_algemeen. Deze is werkend getest. Noem de machine x86-1win2008,dc_dns. Geef DC_DNS het statischeip adres /24 Nergens een gateway of een dns server invullen. PromoteDC_DNS tot domain controller van het domein DNSTEST.NL Tijdens deze promotie moeten we verplicht DNS laten installeren. Hier kunnen we niet omheen, omdat DC_DNS de eerste domain controller in het domein en zelfs de hele Forest is. Bij installatie van een additional domain controller, later, kunnen we kiezen of we tevens DNS willen installeren, maar nu dus niet. Laat tijdens de installatie meteen de settings exporteren naar een tekstbestand met de naam ADexport, op de C:\. Hiermee maken we een tekstfile dat later gebruikt kan worden als we een server Core zouden willen promoveren tot domain controller. J. van Nimwegen / M. Koorevaar Pagina 4 van 37

5 Dit bestand is bruikbaar als unattendedinstallati on file. ( het zogenaamde Answerfile) Dit is aan de orde geweest in de opdracht over Domain controllers tijdens de cursus , leerjaar 2. Direct na de herstart van DC_DNS starten we de console van DNS op. Vraag de properties op van de zone DNSTEST.nl. Op het tabblad General wordt vermeld of dit een Standaard zone is of een Active Directory Integrated zone. Noteer hieronder welk type zone DNSTest.nl nu is. Antw; het is een.zone. ( vul in ) J. van Nimwegen / M. Koorevaar Pagina 5 van 37

6 In de opdracht over DNS tijdens de cursus is uitgebreid ingegaan op de verschillende types DNS zones. Een eerste onderscheid is dat tussen Active directory integrated DNS zones en Niet AD integrated ( oftwel Standaard) DNS zones. Een groot voordeel van AD integrated zone boven de standaard zone is dat de replicatie van de DNS zone info bij Ad integrated zones wordt meegenomen tijdens de replicatie van AD. En de AD replicatie wordt veel strenger versleuteld dan welke replicatie dan ook. Het is dus veel veiliger. Daarnaast kunnen we onderscheid maken naar primary, secondary en stubzones. Een primary zone is een zone waarin door een authenticated SOA 1 en authenticated Name server(s) mag worden gelezen én geschreven. Een secondary zone is een Read only kopie van een primary zone. Deze zone wordt gebruikt als backup en als manier om aan loadbalancing te kunnen doen; de dns server met de secondary zone kan immers resolving aanvragen afhandelen als de server met de primary zone offline is. Er vindt alleen geen updating plaats van de dns data waarover de secondary dns server beschikt, tot de primary dns server weer online is. Een stubzone is een zone waarin alleen maar een verwijzing wordt opgenomen naar een Nameserver van een andere zone. Stubzones worden gebruikt als replicatie over trage wanlinks teveel bandbreedte kost. In plaats van de gehele zonedatabase te moeten repliceren, wordt alleen de informatie mbt de Nameserver van de bewuste zone gerepliceerd. 1 Start of authorithy (SOA) resource record. Identifies the primary name server for a DNS zone J. van Nimwegen / M. Koorevaar Pagina 6 van 37

7 Zone replication scope. Via de knop Change kunnen we de replicationscope van deze dnszone aangeven.constateer dat de optie om naar een eigengemaakte directory partition te laten repliceren grayed out is. Voor de replicatie van DNS kun je aparte replicationpartitions aanmaken. Eigenlijk is dit niets anders dan dat je aangeeft welke DNS servers de zone informatie mogen ontvangen en welke niet. Het aanmaken van zo n directory partition gaat met behulp van de tool DNSCMD. Vervolgens maken we die DNS servers die de zone info mogen ontvangen lid van die partition. Bij de replicatie krijgen alleen de leden van de betreffende directory partition de zone info doorgestuurd. Met het maken van directory partitions kunnen we dus zelf bepalen waar naartoe gerepliceerd wordt.. We gaan nu eerst een nieuwe replicationpartition aanmaken. Uiteraard zal DC_DNS lid zijn van deze partition. Later gaan we daar een tweede DNS server aan toevoegen, namelijk Member_DNS. Maak nu eerst op DC_DNS een nieuwe replicationpartitiontestpart.dnstest.nlaan met het commando Dnscmd/CreateDirectoryPartition Constateer direct hierna dat we in de zoneproperties kunnen kiezen om te laten repliceren naar de directorypartitiontestpart.dnstest.nl. Stel dit nu in. J. van Nimwegen / M. Koorevaar Pagina 7 van 37

8 En meteen meldt DNS dat de replicatie dient plaats te vinden binnen een zogenaamde Userdefined scope. Gebruik het commando Dnscmd /EnumDirectoryPartitions om op te vragen welke directory partitions er allemaal zijn. Constateer dat er 3 replicationpartitions zijn; 1. Een partition waarmee de replicatie zich beperkt tot het domein. 2. Een partition waarmee de replicatie zich uitstrekt over de hele Forest 3. Onze eigengemaakte partition. Aangezien we nog geen tweede DNS server hebben wordt deze replicatiepartition nog niet echt gebruikt Dat komt later. Om te kunnen zien welke DNS servers meedoen in de replicatie binnen de replicationpartitiontestpart, gebruiken we het commando Dnscmd /DirectoryPartitionInfo Constateer dat DC_DNS inderdaad lid is van deze directory replicationpartiti on. J. van Nimwegen / M. Koorevaar Pagina 8 van 37

9 DNS records. Om aan nameresolving te kunnen doen maakt DNS gebruik van diverse soorten records. In de opdracht DNS van leerjaar 2 heb je hier al eens naar gekeken. Toen heb je o.a. Host(A) records aangemaakt en CName records, oftwel aliasrecords. Host(A) records, of als we het hebben over ipv6, Host(AAAA) records, leggen een koppeling tussen een hostnaam en het bijbehorende ipadres. Ook CNAme records leggen deze koppeling. Naast deze records gebruikt DNS ook zogenaamde SRV records. Dit zijn records waarmee een koppeling wordt gelegd tussen een functie( eigenlijk service) en een host die deze functie/ service uitvoert. Dat is dus een ander soort koppeling. Deze koppeling maakt het mogelijk dat een client die op zoek is naar een computer die een bepaalde rol vervult, kan uitzoeken waar hij moet zijn. Maar daarbij moet die client dus ook weer het ipadres van de gezochte computer kunnen achterhalen, via de host(a) of de CNAME record. Dus worden hier twee koppelingen achtereen uitgevoerd. Bijvoorbeeld; een client die zich wil authenticaten; die zoekt een domain controller. Waar vindt de client een Domain Controller? 1. Eerst zoekt de client in de database met SRV records naar een host die deze service aanbiedt. De client kan zo de dehostname achterhalen van de host die als DC optreedt.( koppeling 1) 2. Dan gaat de client op zoek naar het ipadres dat deze host heeft. ( koppeling 2) J. van Nimwegen / M. Koorevaar Pagina 9 van 37

10 De SRV records zijn te vinden in de container_msdcs.dnstest.nl. Heel concreet gaat de client op zoek naar een Host die de Kerberosauthentica tionverifieert;dit is het protocol waarmee domain controllers de clients binnen het domein authenticaten. De client heeft nu dus de naam van een domaincontroller gevonden. Het ip adres van deze domain controller kan de client gewoon achterhalen in de Zone informatie waar deze host dus een host(a) record heeft. Zouden we nu handmatig een server toevoegen die een nieuwe service aanbiedt, dan moeten we dus twee zaken regelen; 1. De server moet een SRV record krijgen 2. De server moet een host(a) record krijgen. Dit kunnen we mooi zien met een Mail server; die maakt gebruik van het MX record. Maak nu in de container _msdcs.dnstest.nl een record ( MX record voor mailservices) aan voor een Mailexchanger, onder de hostnam .dnstest.nl. J. van Nimwegen / M. Koorevaar Pagina 10 van 37

11 Maak direct daarna een Host(A) record aan die de hostname Mail. DNSTEST.NL koppelt aan het ipadres En voila; Klaar is Kees! Dynamic updates. In de properties van de zone DNSTEST.NL kun je nagaan dat dynamic updates zijn toegestaan, maar alleen als die secure plaatsvinden. Secure onlywil dan zeggen; uitsluitend toegestaan voor clients die lid zijn van het domein. Deze kunnen gebruikmaken van het Kerberosprotocol wat uitermate streng beveiligd is. De optie van secure only is dus alleen maar beschikbaar bij AD-integrated DNS zones. Omdat dynamic updates uitgebreid aan de orde zijn geweest in de opdracht DNS, besteden we er hier geen aandacht meer aan. Start of Authority. Ook deze is in de module DNS aan de orde geweest. Waar we toen nog niet naar hebben gekeken is de wijze waarop DNS servers onderling nagaan wie van hen de meest actuelezoneinformatie bevat. Dit wordt gecontroleerd met het serialnumber van de zone. J. van Nimwegen / M. Koorevaar Pagina 11 van 37

12 Vraag dit nummer op via de properties van de zone DNSTEST.NL Maak daarna een nieuw record aan in de zone. Constateer dat het serialnumber direct met 1 wordt opgehoogd. Een DNS server die tijdelijk offline is geweest zal dus een lager serialnumber hebben en meteen willen updaten.. Zonetypes. De verschillende types DNS zones zijn al uitgebreid aan de orde gekomen in de opdracht DNS. We zullen er daarom nu geen aandacht meer aan besteden. NSLookup. Nslookup is een handige tool om allerlei DNS informatie op te vragen. We kunnen hiermee bijvoorbeeld opvragen welke DNS servers optreden als Nameserver van een bepaald domein. Dit kan handig zijn om te weten, wanneer we bijvoorbeeld een stubzone willen aanmaken van een DNS zone bij een ander bedrijf. Of als we een conditionalforwarder willen instellen. In beide gevallen zullen we de naam of het ipadres van minimaal één nameserver van het betreffende domein moeten kennen. Omdat je vapp, vapp_jvn_obi_algemeen, geen contact met het internet heeft, voer je deze opdracht uit in de commandprompt van je laptop.test eerst uit of je internet hebt op je laptop. J. van Nimwegen / M. Koorevaar Pagina 12 van 37

13 Vraag nu eerst op welke DNS server default de resolvingaanvragen van je laptopafhandelt. Gebruik hiervoor het commando Nslookup Stel nu dat we een conditionalforwarding willen instellen naar Dan moeten we minimaal één nameserver kennen van dat domein. Vraag nu opwelke nameservers zich in dit domein bevinden. Gebruik hiervoor de volgende commando s; NSlookup Set querytype=ns Startpagina.nl Stel vast dat je nu van dit domein de verschillende nameservers met bijbehorend ipadres te zien krijgt. Vervolgens kunnen we een van de nu bekende nameservers invoeren in de properties van een ConditionalForwarder van de DNS server, DC_DNS. Omdat ConditionalForwarding ook al uitgebreid aan de orde is geweest in de opdracht DNS, gaan we er nu niet verder op in.. J. van Nimwegen / M. Koorevaar Pagina 13 van 37

14 Server Core. Richt nu een kale Windows server2008 machine in. Installeer hem als Enterprise Server Core op de VM, Windows 7 kaal. Let op!!! Wijzig de bootvolgorde. Gebruik hiervoor de functietoets, F2, tijdens het herstarten van virtuele machine. Geef de machine een staticipadres en maak de machine als Core_DNS lid van het domein. Maak gebruik van de commando s Netsh en Netdom. Raadpleeg eventueel opdracht DNS over de wijze waarop je een server core kunt lidmaken van een domein. Na de herstart van Core_DNS installeren we de DNS service.maak gebruik van de commando s Oclist en Ocsetup.Ga nu na dat je vanaf DC_DNS de nieuwe DNS server Core_DNSkunt toevoegen in de console van DNS. Op dit moment treedt Core_DNS op als zogenaamde Caching-Only DNS server. Een Caching-Only DNS server bevat geen eigen zones of databases met zoneinformatie, maar werkt uitsluitend vanuit de cache, gevuld vanuit eerdere resolvingaanvragen. In feite vervangt de Cache nu de zonedatabasefile. Caching-Only servers kunnen erg nuttig zijn omdat er geen transfer van zone informatie hoeft plaats te vinden, omdat ze immers geen zone bevatten. Dit is handig bij DNS servers die bijvoorbeeld op een J. van Nimwegen / M. Koorevaar Pagina 14 van 37

15 bijkantoor staan dat verbonden is met het hoofdkantoor via een trage WAN verbinding. Over een dergelijke verbinding wil je liever geen zonetransfer laten plaatsvinden Als we op Core_DNS zones willen aanmaken kunnen we dat op verschillende manieren doen ; 1. We kunnen nu rechtstreeks werken vanuit de console van DNS. 2. Ook kunnen we vanaf DC_DNS met Remote Desktop een verbinding maken met Core_DNS. Omdat het beheer van een server core via Remote Desktop al aan de orde is gekomen in de opdracht DNS zullen we daar nu niet op ingaan. Wij willen graag zoveel mogelijk lokaal blijven werken op Core_DNS. Voeg nu vanaf Core_DNSeen nieuwe primary zone, Core_Zone, toe aan Core_DNS. Gebruik hiervoor het commando Dnscmd /zoneadd Vraag nu eerst op Core_DNS op welke dnszones er zijn.gebruik hiervoor het commando Dnscmd /enumzones. Constateer dat er inderdaad een zone Core_Zone is aangemaak Maak nu een eerste host(a) record aan op Core_DNS. Hostnaam wordt Testhost, ipadres Gebruik hiervoor het commando Dnscmd /recordadd J. van Nimwegen / M. Koorevaar Pagina 15 van 37

16 Vraag tot slot op welke records zich in de zone Core_zone.nl bevinden. Gebruik hiervoor het commando Dnscmd /zoneprint Core_zone.nl Constateer dat zowel Core_DNS(SOA) alsook de host Testhost worden vermeld. Bekijk nu vanaf DC_DNS via de console van DNS de inhoud van de zone Core_zone. nl En uiteraard hebben we nu het vertrouwde beeld. Ipconfig. Bekend zijn de commando s waarmee we de ip configuratiegegevens van een host opvragen en eventueel verversen ( dhcpclient). We bedoelen dan; Ipconfig /all Ipconfig /release Ipconfig/ renew J. van Nimwegen / M. Koorevaar Pagina 16 van 37

17 Een DNS server bevat van elke Host een of meerdere records in zijn database. Daarnaast maakt de DNS server gebruik van de localresolver cache om veel gevraagde hostnamen tijdelijk op te slaan. Indien de cache om welke reden dan ook niet meer de juiste informatie bevat kunnen we deze handmatig laten leegmaken. Daarna wordt de cache weer van voor af aan opgebouwd. Ook een client die in zijn localresolver cache een verouderd ipadres van bijvoorbeeld een server zou hebben, kan zijn cache geforceerd leeggooien. Zolang dit niet gebeurt, blijft de client namelijk vanuit zijn cache zoeken naar het voormalige ipadres van de server. De client zal die server dus niet meer vinden. In dat geval dient de cache van de client te worden gelegd, zodat opnieuw resolving moet plaatsvinden. De client krijgt dan alsnog het nieuwe ipadres door, en kan daarna de server weer gewoon bereiken via de informatie vanuit zijn localresolver cache. Displaydns Om de inhoud van de cache te bekijken kunnen we gebruikmaken van het commando Ipconfig /displaydns.vraagnu op Core_DNS de inhoud op van de cache. Constateer dat Core_DNS zowel zichzelf kent ( localhost) als DC_DNS. J. van Nimwegen / M. Koorevaar Pagina 17 van 37

18 Maak nu de cache op Core_DNS leeg met het commando Ipconfig /flushdns Constateer dat de verwijzing naar DC_DNS is verdwenen. Ping nu op naam vanuit Core_DNS naar DC_DNS. Vraag opnieuw de inhoud van de cache van Core_DNS op. Constateer dat DC_DNS weer wordt vermeld in de cache van Core_DNS. Aangezien dit ook al aan de orde is geweest in de opdracht DNS, zullen we er hier niet verder op ingaan. Registerdns. Open op DC_DNS de console van DNS. Bekijk de inhoud van de zone Dnstest.nl. Constateer dat er-uiteraard- een host(a) record aanwezig is voor de memberserver Core_DNS. Verwijder nu dit record. Resolvingaanvragen voor de naam Core_DNS kunnen nu niet meer door DC_DNS worden afgehandels. ( we gaan er maar even vanuit dat de cache ondertussen geen verwijzing meer bevat naar Core_DNS, hetzij omdat de cache is geleegd door een herstart, hetzij dat er zolang geen aanvragen voor deze hostname zijn geweest dat de verwijzing ondertussen automatisch is verwijderd.) Willen we deze verwijzing toch weer onmiddellijk terugplaatsen in de zone, dan gebruiken we daarvoor op Core_DNShet commando; Ipconfig /registerdns Constateer dat Core_DNS daarna weer netjes wordt vermeld in de zone Dnstest.nl Sluit nu Core_DNS af; we zullen deze machine niet meer gebruiken. Nogmaals Zone replication Eerder in deze opdracht hebben we een user defined replicationpartition aangemaakt voor de replicatie van DNS zoneinformatie. Daarbij hebben we DC_DNS lid gemaakt van die partition. J. van Nimwegen / M. Koorevaar Pagina 18 van 37

19 Om uit te testen hoe deze replication werkt hebben we een tweede DNS server nodig met een AD integrated zone van DNSTest.nl. Bouw nu eerst die tweede server, gebruik hiervoor de VM X86-2- Win2008. noem hem Member_DNS. Ipadres Promoveer Member_DNS tot additional domain controller van het domein Dnstest.nl. Uiteraard laten we DNS meteen mee installeren. Constateer dat Member_DNS de zone DNStest.nlniet vermeldt. Dit komt omdat we in de properties van deze zone hebben aangegeven dat de replicatie alleen mag plaatsvinden naar die DNS servers die lid zijn van de replicationscope Testpart. En Member_DNS is daar geen lid van. Maak nu Member_DNS lid van de replicationpartition Testpart. Gebruik hiervoor het commando Dnscmd /EnlistDirectoryPartition Sluit nu op Member_DNS de DNS console af en start de console opnieuw op. Constateer dat de zone DNStest.nlna enkele minuten wel wordt vermeld. Member_DNS is immers nu lid van de directory replicatie scope. Ga tot slot na dat Member_DNS en DC_DNS allebei als replicatiepartners optreden binnen de scope van Testpart.nl. J. van Nimwegen / M. Koorevaar Pagina 19 van 37

20 Gebruik hiervoor ook weer Dnscmd /DirectoryPartitionI nfo GlobalNameszone Tot slot van deze opdracht nog even kijken naar het proces van nameresolving. DNS maakt gebruik van zogenaamde FullyQualified Domain Names, FQDN s. Binnen een domein kunnen we gewoon gebruiknamen van een hostnaam zoals member_dns of Core_DNS. We kunnen pingen op die naam of een netwerkverbinding maken met het commando \\Member_DNS. Wat echter buiten ons gezichtsveld gebeurt, is dat Windows er de DNSsuffix aan vast plakt die in het domein standaard is. In ons geval is dit.dnstest.nl. Dus onze ping Member_DNS, wordt door door Windows meteen vertaald in ping Member_DNS.DNSTEST.NL Zolang we binnen een domein blijven is dat geen probleem, maar zodra we een forest hebben met meerdere domeinen, die elk hun eigen dns suffix hebben kan dit lastig worden. Of als we meerdere dnszones gebruiken. Dan moeten we steeds aangeven welke host we nou exact bedoelen. Users die een host met een afwijkende FQDN willen benaderen, moeten dan steeds de volledige FDQN ingeven. Dat is lastig. Dat is op te lossen door twee zaken te regelen; 1. Voeg de afwijkende FQDN toe aan de searchlist van DNS 2. Maak een GlobalNameszone aan; hiermee bereiken we dat de user alleen maar een hostname hoeft in te geven, zonder de DNS suffix. Hoe testen we dit? Maak op Member_DNS een nieuwe ADintegratedprimary zone aan met de naam Member.nl J. van Nimwegen / M. Koorevaar Pagina 20 van 37

21 Plaats daarin meteen een nieuwe Host(A) record met de naam Gnztest met het ipadres Constateer dat de nieuwe host, Gnztest, als FQDN nu meekrijgt; Gnztest.Member.nl. Leeg de DNS cache en de routingtabel van DC_DNS met de commando s ipconfig /flushdns en route delete x Ping nu vanaf DC_DNS naar Gnztest. Constateer dat er geen reply komt, ook niet als we de FDQN, Gnztest.Member.nl, gebruiken. Test dit uit. Dit komt omdat de suffix Member.nl nog niet is toegevoegd aan de DNS searchlist. Voeg nu eerst de suffix Member.nl toe aan de DNS searchlist. J. van Nimwegen / M. Koorevaar Pagina 21 van 37

22 Constateer dat pingen vanaf DC_DNS naar Gnztest nu wel mogelijk is, zolang we maar de volledige FQDN gebruiken. Maar pingen vanaf DC_DNSzonder de volledige FQDN te gebruiken blijft onmogelijk. Daarvoor kunnen we nu de functie van de GlobalnamesZonegebruiken. Eerst moeten we die functionaliteit enabelen, dat moet op alle servers waar we van de GlobalnamesZone willen gebruiken. Enable de functie nu op beide Dns servers als volgt; Dit commando moet je uitvoeren op elke server waar je de GNZ functionaliteit wilt gebruiken. Gebruik de Elevatedcmd! Maak nu op Member_DNS een nieuwe AD integratedprimary zone aan met de naam GlobalNames. Laat repliceren naar alle DNS servers in de Forest. J. van Nimwegen / M. Koorevaar Pagina 22 van 37

23 De zone moet perse heten GlobalNames. Dynamic updates hebben we niet nodig, deze functie werkt niet in de GlobalNamezone. Alle records moeten handmatig worden aangemaakt. Deze zone gebruiken we dus alleen voor verwijzingen naar kritieke servers met een vast ipadres, en dus niet voor onze reguliere clients.. Maak nu in de zone GlobalNames een Alias, Mem, aan die verwijst naar de host Gnztest.Member.nl J. van Nimwegen / M. Koorevaar Pagina 23 van 37

24 Ping nu opnieuw vanaf DC_DNS naar Mem. Constateer dat er een reply komt van Gnztest.member.nl Kortom de FQDN hoeven we niet meer in te geven. Wanneer het eea niet direct werkt kan helpen om de DNS cache leeg te maken met het commando ipconfig /flushdns of nog beter de machine opnieuw op te starten. J. van Nimwegen / M. Koorevaar Pagina 24 van 37

25 Test met het commando nslookup mem de functie GlobalNames? Constateer dat er een reply komt met het ip-adres en de fully-qualified domain name van de server. Hiermee zijn we aan het eind van deze opdracht gekomen. Nogmaals; veel van hetgeen in deze module aan de orde komt is reeds in de opdracht DNS aan de orde geweest. Dit kunnen we hier niet allemaal herhalen. Om het je enigszins makkelijker te maken om die oude kennis op te halen, hebben we de theorie en achtergrondinformatie uit die opdracht toegevoegd als bijlage. Einde opdracht DNS J. van Nimwegen / M. Koorevaar Pagina 25 van 37

26 Bijlage theorie en achtergronden DNS ,70_640 opdracht DNS Deze opdracht gaat over de werking van DNS. Daarbij gaan we vooral kijken naar de manier waarop DNS wordt gebruikt in het kader van de zogenaamde name resolving; het vertalen van namen en url s naar ip adressen. Ook kijken we naar de verschillende zone types binnen DNS en hoe de diverse DNS servers in een domein hun gezamenlijke informatie onderling uitwisselen. Doel van deze opdracht - Verkennen van het proces van name resolving - Verschillen tussen diverse zonetypes ontdekken - Werken met Zone tranfers - Faulttolerance inbouwen in DNS - Leren werken met de local dns resolver cache. - Werken met de commandline DNSCMD. NetBIOS; Onderzoek naar het proces van Name Resolution met behulp van NetBios. Bij de nameresolving maakt Server 2008 achtereenvolgend gebruik van ; zijn eigen DNS Resolver Cache ( alleen mogelijk als DNS actief is), een bestand hosts genaamd, van NetBios, van een DNS server. Het bestand hosts ( c:/windows/ system32/drivers/etc ) moet eerst J. van Nimwegen / M. Koorevaar Pagina 26 van 37

27 handmatig geschikt worden gemaakt voor gebruik. Standaard staat daar alleen de default DNS verwijzing in en enkele voorbeelden. NetBios werkt alleen lokaal binnen eenzelfde subnet omdat het gebruikmaakt van broadcasting. Het schreeuwt gewoon de gezochte Hostnaam rond, tot er een machine reageert. Grotere netwerken maken daarom altijd gebruik van DNS. In onze situatie is DNS echter nog niet geïnstalleerd, dus maakt het systeem gebruik van NetBios. Blader op DC_DNS naar de map Windows/ system32/ dns. Open het bestand Cache.dns. Hierin staan de verwijzingen naar de roothintservers waarvan de DNS server gebruikmaakt bij zijn queries op internet. Let op; een DNS server die alleen binnen het eigen netwerk mag resolven, heeft genoeg aan de verwijzing naar de NS record en Host A record van de eigen DNS server. Conclusie; een verkeerd ingesteld IP adres van de DNS server waarnaar de Win7 client op zoek moet gaan, levert een enorme vertraging op bij het inlogproces. Denk hieraan als je tijdens je project inlogproblemen tegenkomt Daarnaast zul je in deze situatie merken dat allerlei netwerkbronnen niet toegankelijk blijken. Controleer bij inlogproblemen dus altijd eerst of de client wel op zoek gaat naar de juiste DNS server. Dynamic updates J. van Nimwegen / M. Koorevaar Pagina 27 van 37

28 Bij Dynamic updating zorgt een client bij aanmelding in het domein en vertrek uit het domein er zelf voor dat hij zijn naamkaartje afgeeft/ meeneemt bij de DNS server. De DNS server werkt op verzoek van de client direct zijn database bij; zo ontstaat er in DNS minder snel vervuiling met oude DNS verwijzingen naar machines die al lang niet meer bestaan. Dynamic update is alleen mogelijk bij zogenaamde Active Directory Integrated DNS zones. DNS zone typen Primary zones. In DNS zijn verschillende soorten zones mogelijk. In onderstaande opdrachten gaan we daarmee werken. Eerst gaan we Member verantwoordelijk maken voor een eigen zone. M.a.w. ; Member wordt de authoritative DNS server voor die Zone. De zone die we aanmaken is een primary zone. Omdat Member geen Domain controller is, kan hij verschillende soorten zones bevatten behalve Active Directory integrated zones. Member gaat nu, behalve zijn eigen DNS zone informatie, ook nog een kopie van de zone Test.nl bewaren. We maken daarom op Member een secondary zone aan van Test.nl. Mocht DC_DNS op een bepaald moment niet online zijn, dan kunnen de Dns resolving aanvragen voor het domein Test.nl gewoon doorgaan. Member springt dan namelijk gewoon in. Hiermee voorkomen we dat users niet kunnen inloggen als DC_DNS niet bereikbaar zou zijn. Dat zullen we later zien, als we de faulttolerance gaan testen. J. van Nimwegen / M. Koorevaar Pagina 28 van 37

29 Zone not loaded by DNS server; Dit komt omdat de Masterserver, DC_DNS, default geen kopieën verstrekt van haar zone. Een stukje security. Een hacker zou met zijn DNS server contact kunnen zoeken met ons netwerk. Vervolgens zou zijn DNS server bij onze DNS server een kopie kunnen opvragen van onze DNS zone. En daarmee heeft die hacker dus waardevolle informatie in handen; hostnamen en bijbehorende ip adressen van alle hosts in de zone. Om Member als vertrouwde DNS server wel de informatie te kunnen geven, zullen we een zonetransfer moeten toestaan vanuit DC_DNS naar Member. Via het tabblad Start of Authority (SOA), kun je instellen hoe vaak de primary DNS server de andere servers op de hoogte stelt van wijzigingen in zijn zone informatie. (Refresh interval) Stubzones. Een stubzone kan erg handig zijn als twee bedrijven veel samenwerken. De hosts van beide bedrijven moeten regelmatig contact hebben met hosts uit het andere domein. Met een stubzone vertellen we dan onze DNS servers alleen maar dat als ze iets willen weten van het andere domein, dat ze hun informatie dan kunnen halen bij twee specifieke IP adressen. En dat zijn dan de Ip adressen van de SOA en de Nameserver van het andere domein. Je zou het een klein beetje kunnen vergelijken met Forwarding. Daar komen we later op terug. Voordeel van een stubzone boven een secondary zone is, dat alleen de ip adressen van de SOA en de Nameserver worden doorgegeven; alle J. van Nimwegen / M. Koorevaar Pagina 29 van 37

30 andere record informatie wordt niet doorgegeven. Dit is veiliger en sneller. Hier zie je de werking van een stubzone; Alleen wijzigingen m.b.t. de SOA of de Nameserver(s) van de primary zone worden doorgegeven. Overige wijzigingen zoals gewone hosts worden niet doorgegeven. In het studiemateriaal heb je gelezen waarin primary zones, secondary zones en stubzones van elkaar verschillen. In bovenstaande opdrachten heb je de verschillen in werking gezien. Delegation Met de functie Delegation kunnen we een DNS server de bevoegdheid geven om resolving aanvragen te beantwoorden voor een dns zone waarvan deze DNS server eigenlijk geen Nameserver is en niet authoritative is. Dit kan erg handig zijn in het geval je in het domein een of meer Subdomeinen hebt. Bijvoorbeeld; binnen het domein Test.nl willen we een apart subdomeintoets.test.nl hebben. Test.nl De verantwoordelijkheid voor alles wat te maken heeft met Toets.Test.nl ligt bij de administrators van datsubdomein, niet bij de administrators van Test.nl. Toets.Test.nl J. van Nimwegen / M. Koorevaar Pagina 30 van 37

31 In dat geval kunnen de administrators van Test.nl in de DNS server van het domein Test.nl, geen DNS zone aanmaken voor het subdomeintoets.test.nl. Zij zijn immers niet bevoegd binnen de zone Toets.. Toch kan het erg handig zijn als clients uit het domein Test.nl hostnamen uit het subdomeintoets.test.nl kunnen resolven. In zo n geval kunnen we de DNS server uit Test.nl via Delegationtoestemming geven om de deresolving aanvragen door te sturen naar de Nameserver van het subdomeintoets.test.nl. Deze nameserver zal de clients dan op verzoek de gevraagde informatie verschaffen. We gaan nu DC_DNS de bevoegdheid geven om resolving aanvragen te beantwoorden voor een zone waarvan Member de authoritative DNS server is. Constateer dat de ping member.toets.test.nl nog niet werkt. DC_DNS kan niet resolven. Tenslotte moeten we DC_DNS nog via Delegation het recht geven te resolven. Als het niet meteen lukt, komt dat omdat DC_DNS in zijn DNS resolver cache nog een verwijzing heeft staan naar Member.Test.nl Member.Toets.Test.nl kent hij echter niet. Gooi de Cache leeg met het commando Ipconfig /flushdns. Active Directory integrated zones. Reeds eerder in deze opdracht heb je een zone Test.nl alseen Active Directory Integrated Zone aangemaakt. J. van Nimwegen / M. Koorevaar Pagina 31 van 37

32 Ook heb je op Member zelfs twee primary zones Memberzone.com en Memberzone.nl aangemaakt. In de module Implementing Name Resolution heb je gelezen dat het verschil tussen de verschillende zone types zich o.a. bevindt in de manier waarop de zone informatie wordt doorgegeven aan de diverse DNS servers in het domein. Het tabblad Zone Transfers is bedoeld voor de uitwisseling tussen standaard primary en secondary servers, met andere woorden een active directory integrated DNS zone heeft daar niets mee te maken. Bij Active Directory Integrated DNS zones vindt de replicatie van DNS zone informatie plaats tegelijk met ( als onderdeel van ) het replicatieverkeer van Active Directory. Constateer dat hier niet wordt gesproken over replicatie via Active Directory. Active Directory. Dat komt omdat Member geen Domain Controller is, dus niet meedoet met de replicatieprocessen van AgingandScavenging. Reeds eerder in deze opdracht heb je gezien dat een Win7 client die uit het domein wordt verwijderd, zich netjes afmeldt bij DNS. Als een machine zich niet afmeldt, maar gewoon nooit meer opstart ( bij verkoop of diefstal bijv.) blijft de host(a) record van deze host oneindig lang in DNS aanwezig. J. van Nimwegen / M. Koorevaar Pagina 32 van 37