DNS è il sistema di denominazione de facto per le reti basate su IP e il servizio di denominazione utilizzato per individuare i computer su Internet.
Windows 2000 utilizza DNS per individuare computer e controller di dominio (ovvero per individuare Active Directory).
Una workstation o un server membro trova un controller di dominio eseguendo una query sul DNS.
Per questo motivo, l’installazione o l’aggiornamento a Microsoft® Windows® 2000 Server richiede la presenza o l’installazione simultanea di un’infrastruttura DNS.
Il server DNS di Windows 2000 è incluso in Windows 2000 Server e Windows 2000 Advanced Server e può essere utilizzato per integrare DNS e Active Directory per semplificare la gestione del DNS.
Il server DNS di Windows 2000 può essere installato al momento dell’installazione di Windows 2000 Server, al momento dell’installazione di Active Directory o manualmente dopo aver installato uno di essi.
DNS, al livello più elementare è suddiviso in tre parti fondamentali:
- Server DNS: questi sono i server che contengono record per tutti i client di cui sono responsabili. In Active Directory, si esegue il ruolo Server DNS su un controller di dominio.
- Zone: le copie delle zone sono gestite dai server. Se hai un AD nominato
ad.example.com
, allora c’è una zona sui tuoi controller di dominio su cui è installato DNS chiamatoad.example.com
. Se avete un computer denominatocomputer
ed è stato registrato con il server DNS, sarebbe creare un record DNS di nomecomputer
inad.example.com
e si sarebbe in grado di raggiungere quel computer tramite il Fully Qualified Domain Name (FQDN), che sarebbecomputer.ad.example.com
- Record: come ho detto sopra, le zone contengono record. Un record mappa un computer o risorse a un indirizzo IP specifico. Il tipo più comune di record è un record A, che contiene un nome host e un indirizzo IP. Il secondo più comune sono i record CNAME. Un CNAME contiene un nome host e un altro nome host. Quando si cerca hostname1, esegue un’altra ricerca e restituisce l’indirizzo per hostname2. Ciò è utile per oscurare risorse come un server Web o la condivisione di file. Se hai un CNAME per
intranet.ad.example.com
e il server dietro di esso cambia, tutti possono continuare a usare il nome che conoscono e devi solo aggiornare il record CNAME per puntare al nuovo server. Utile eh?
DNS : Come si collega ad Active Directory
Quando installi Active Directory e il ruolo del server DNS sul tuo primo controller di dominio nel dominio, vengono automaticamente create due zone di ricerca diretta per il tuo dominio. Se il tuo dominio AD è ad.example.com
come nell’esempio sopra, avrai una zona per ad.example.com
e _msdcs.ad.example.com
.
Cosa fanno queste zone? GRANDE DOMANDA! Cominciamo con la _msdcs
zona. Contiene tutti i record necessari ai computer client per trovare i controller di dominio. Include record per individuare siti AD. Ha registri per i diversi detentori del ruolo FSMO. Contiene anche record per i server KMS, se si esegue questo servizio opzionale. Se questa zona non esistesse, non sarebbe possibile accedere alle workstation o ai server.
Cosa contiene la ad.example.com
zona? Contiene tutti i record per i computer client, i server membri e i record A per i controller di dominio. Perché questa zona è importante? In modo che le stazioni di lavoro e i server possano comunicare tra loro sulla rete. Se questa zona non esistesse, probabilmente potresti accedere, ma non saresti in grado di fare molto altro se non navigare in Internet.
Come ottengo i record in queste zone?
Bene, fortunatamente per te, è facile. Quando si installano e si configurano le impostazioni del server DNS durante dcpromo
, è necessario scegliere Secure Updates Only
se consentire la scelta. Ciò significa che solo i PC appartenenti al dominio noti possono creare / aggiornare i propri record.
Facciamo un passo indietro per un secondo. Esistono alcuni modi in cui una zona può ottenere record in essa:
- Vengono aggiunti automaticamente dalle workstation configurate per utilizzare il server DNS. Questo è il più comune e dovrebbe essere usato insieme a “Solo aggiornamenti sicuri” nella maggior parte degli scenari. Ci sono alcuni casi limite in cui non vuoi andare in questo modo, ma se hai bisogno delle conoscenze in questa risposta, allora questo è il modo in cui vuoi farlo. Per impostazione predefinita, una workstation o un server Windows aggiornerà i propri record ogni 24 ore o quando a una scheda di rete viene assegnato un indirizzo IP , tramite DHCP o staticamente.
- Si crea manualmente il record. Ciò può accadere se devi creare un CNAME o un altro tipo di record o se desideri un record A che non si trova su un computer AD attendibile, forse un server Linux o OS X che desideri che i tuoi clienti siano in grado di risolvere per nome.
- Consenti al DHCP di aggiornare il DNS quando vengono distribuiti i contratti di locazione. A tale scopo, configurare DHCP per aggiornare i record per conto dei client e aggiungere il server DHCP al gruppo DNS DNSUpdateProxy. Questa non è davvero una buona idea, perché ti apre all’avvelenamento da zona. L’avvelenamento da zona (o avvelenamento da DNS) è ciò che accade quando un computer client aggiorna una zona con un record dannoso e tenta di impersonare un altro computer sulla rete. Ci sono modi per proteggerlo, e ha i suoi usi, ma è meglio lasciarlo da solo se non lo sai.
DNS Scavenging
Lo scavenging è la risposta al problema del record duplicato posto sopra. Immagina di avere un computer che ottiene un IP di 192.168.1.100. Registrerà un record A per quell’indirizzo.
Quindi, immagina che si fosse spento per un lungo periodo di tempo.
Quando è di nuovo acceso, quell’indirizzo è preso da un’altra macchina, quindi ottiene 192.168.1.120
. Ora ci sono record A per entrambi.
Se ripulisci le tue zone, questo non sarà un problema. I record non aggiornati verranno rimossi dopo un certo intervallo e andrà tutto bene. Assicurati solo di non scavare tutto per caso, come usare un intervallo di 1 giorno. Ricorda, AD si basa su questi record.
Configura sicuramente lo scavenging, ma fallo in modo responsabile, come indicato nell’articolo sopra.
Quindi, ora hai una conoscenza di base del DNS e di come è integrato con Active Directory. Aggiungerò frammenti lungo la strada, ma sentiti libero di aggiungere anche il tuo lavoro.