Onderhoud en Beheer Informatiesystemen. 70_642 opdracht DNS

Onderhoud en Beheer Informatiesystemen. 70_642 opdracht DNS. Deze opdracht maakt gebruik van de vApp, vApp_JVN_OBI_Algemeen. De opdtracht is werkend getest in de cloud.

Deze opdracht gaat over de werking van DNS. Daarbij gaan we ervan uit dat je reeds beschikt over de nodige voorkennis op dit gebied. In leerjaar 2 heb je immers al veel gedaan met het onderwerp DNS. Het zou erg nuttig kunnen zijn om de opdracht van vorig jaar, uit de module 70-640, nog eens door te nemen……. Omdat je deze misschien niet direct bij de hand hebt, hebben we de theorie en achtergrondinformatie uit die opdracht opgenomen in de Bijlage, achterin dit document. Doel van deze opdracht : - werken met DNS vanuit de commandprompt via Dnscmd. - werken met DNS op een server core. - werken met Ipconfig en diens parameters - werken met Directoryreplication in DNS - werken met GlobalNameZones In deze opdracht gaan we ons voornamelijk bezighouden met Dnscmd en DNS op de serverCore. Daarmee zullen we dus heel veel werken vanuit de commandprompt. Ook gaan we kijken hoe we in AD zelf kunnen bepalen welke servers meedoen in een replicatieproces en welke niet; hiervoor zullen we een eigen replicationscope aanmaken. Daarnaast gaan we kijken hoe we een nieuwe feature van Windows server 2008, GlobalNamesZones, kunnen gebruiken om met zogenaamde Flatnamespaces te kunnen werken. Een optie die vergelijkbaar is met WINS, alleen nu voor IPv6, iets wat WINS niet aankan. In onderstaande figuur is schematisch weergegeven hoe de DNS labopstelling is opgebouwd.

------------------------------------------------------------------------------Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2013 J. van Nimwegen / M. Koorevaar

Pagina 1 van 37

DNSTEST.NL 192.168.123.0/24

192.168.123.1/24

DC_DNS ADDS DNS

192.168.123.50/24

Member_DNS ADDS DNS

192.168.123.10/24

Core_DNS DNS

Figure1 schematische weergave van de DNS labopstelling

De labopstelling bestaat uit 3 servers die zich in hetzelfde subnet bevinden. DC_DNS is een domeincontroller van het domein dnstest.nl. Hierop ga jij de rollen ADDS en DNS installeren en configureren. Core_DNS is een member server. Hierop ga jij de DNS rol installeren en configuren via de commandline. Tenslotte maak je het domein fout tolerant door Member_DNS op te nemen als 2e domeincontroller. Hierop ga jij de rollen ADDS en DNS installeren en configureren.


Pagina 2 van 37

Inhoud Inhoud ....................................................................................... 3 Opbouw van het eerste domein. .................................................... 4 Zone replication scope. ................................................................. 7 DNS records. ............................................................................... 9 Dynamic updates. .......................................................................11 Start of Authority. .......................................................................11 Zonetypes..................................................................................12 NSLookup. .................................................................................12 Server Core. ..............................................................................14 Ipconfig. ....................................................................................16 Displaydns .................................................................................17 Registerdns. ...............................................................................18 Nogmaals Zone replication ...........................................................18 GlobalNameszone .......................................................................20 Einde opdracht 70-642DNS ..........................................................25 Bijlage theorie en achtergronden DNS 70-640 ................................26 Bijlage; Installeren van VMWare tools op de Server core; ................37


Pagina 3 van 37

Opbouw van het eerste domein. Gebruik voor de opdracht de vApp, vApp_JVN_OBI_Algemeen. Deze is werkend getest.    

Noem de machine x86-1Win2008,DC_DNS. Geef DC_DNS het statischeip adres 192.168.123.1/24 Nergens een gateway of een dns server invullen. PromoteDC_DNS tot domain controller van het domein DNSTEST.NL

Tijdens deze promotie moeten we verplicht DNS laten installeren. Hier kunnen we niet omheen, omdat DC_DNS de eerste domain controller in het domein en zelfs de hele Forest is. Bij installatie van een additional domain controller, later, kunnen we kiezen of we tevens DNS willen installeren, maar nu dus niet. Laat tijdens de installatie meteen de settings exporteren naar een tekstbestand met de naam ADexport, op de C:\. Hiermee maken we een tekstfile dat later gebruikt kan worden als we een server Core zouden willen promoveren tot domain controller.


Pagina 4 van 37

Dit bestand is bruikbaar als unattendedinstallati on file. ( het zogenaamde Answerfile) Dit is aan de orde geweest in de opdracht over Domain controllers tijdens de cursus 70-640, leerjaar 2. Direct na de herstart van DC_DNS starten we de console van DNS op. Vraag de properties op van de zone DNSTEST.nl. Op het tabblad General wordt vermeld of dit een Standaard zone is of een Active Directory Integrated zone.

Noteer hieronder welk type zone DNSTest.nl nu is. Antw; het is een ……………………………………….zone. ( vul in )


Pagina 5 van 37

In de opdracht over DNS tijdens de cursus 70-640 is uitgebreid ingegaan op de verschillende types DNS zones. Een eerste onderscheid is dat tussen Active directory integrated DNS zones en Niet AD integrated ( oftwel Standaard) DNS zones. Een groot voordeel van AD integrated zone boven de standaard zone is dat de replicatie van de DNS zone info bij Ad integrated zones wordt meegenomen tijdens de replicatie van AD. En de AD replicatie wordt veel strenger versleuteld dan welke replicatie dan ook. Het is dus veel veiliger. Daarnaast kunnen we onderscheid maken naar primary, secondary en stubzones. Een primary zone is een zone waarin door een authenticated SOA1 en authenticated Name server(s) mag worden gelezen én geschreven. Een secondary zone is een Read only kopie van een primary zone. Deze zone wordt gebruikt als backup en als manier om aan loadbalancing te kunnen doen; de dns server met de secondary zone kan immers resolving aanvragen afhandelen als de server met de primary zone offline is. Er vindt alleen geen updating plaats van de dns data waarover de secondary dns server beschikt, tot de primary dns server weer online is. Een stubzone is een zone waarin alleen maar een verwijzing wordt opgenomen naar een Nameserver van een andere zone. Stubzones worden gebruikt als replicatie over trage wanlinks teveel bandbreedte kost. In plaats van de gehele zonedatabase te moeten repliceren, wordt alleen de informatie mbt de Nameserver van de bewuste zone gerepliceerd.

1

Start of authorithy (SOA) resource record. Identifies the primary name server for a DNS zone


Pagina 6 van 37

Zone replication scope. Via de knop Change kunnen we de replicationscope van deze dnszone aangeven.Constateer dat de optie om naar een eigengemaakte directory partition te laten repliceren grayed out is. Voor de replicatie van DNS kun je aparte replicationpartitions aanmaken. Eigenlijk is dit niets anders dan dat je aangeeft welke DNS servers de zone informatie mogen ontvangen en welke niet. Het aanmaken van zo’n directory partition gaat met behulp van de tool DNSCMD. Vervolgens maken we die DNS servers die de zone info mogen ontvangen “ lid “ van die partition. Bij de replicatie krijgen alleen de leden van de betreffende directory partition de zone info doorgestuurd. Met het maken van directory partitions kunnen we dus zelf bepalen waar naartoe gerepliceerd wordt….. We gaan nu eerst een nieuwe replicationpartition aanmaken. Uiteraard zal DC_DNS lid zijn van deze partition. Later gaan we daar een tweede DNS server aan toevoegen, namelijk Member_DNS. Maak nu eerst op DC_DNS een nieuwe replicationpartitionTestpart.dnstest.nlaan met het commando Dnscmd/CreateDirectoryPartition Constateer direct hierna dat we in de zoneproperties kunnen kiezen om te laten repliceren naar de directorypartitionTestpart.dnstest.nl. Stel dit nu in.


Pagina 7 van 37

En meteen meldt DNS dat de replicatie dient plaats te vinden binnen een zogenaamde Userdefined scope.

Gebruik het commando Dnscmd /EnumDirectoryPartitions om op te vragen welke directory partitions er allemaal zijn. Constateer dat er 3 replicationpartitions zijn; 1. Een partition waarmee de replicatie zich beperkt tot het domein. 2. Een partition waarmee de replicatie zich uitstrekt over de hele Forest 3. Onze eigengemaakte partition. Aangezien we nog geen tweede DNS server hebben wordt deze replicatiepartition nog niet echt gebruikt… Dat komt later. Om te kunnen zien welke DNS servers meedoen in de replicatie binnen de replicationpartitionTestpart, gebruiken we het commando Dnscmd /DirectoryPartitionInfo Constateer dat DC_DNS inderdaad lid is van deze directory replicationpartiti on.


Pagina 8 van 37

DNS records. Om aan nameresolving te kunnen doen maakt DNS gebruik van diverse soorten records. In de opdracht DNS 70-640 van leerjaar 2 heb je hier al eens naar gekeken. Toen heb je o.a. Host(A) records aangemaakt en CName records, oftwel aliasrecords. Host(A) records, of als we het hebben over ipv6, Host(AAAA) records, leggen een koppeling tussen een hostnaam en het bijbehorende ipadres. Ook CNAme records leggen deze koppeling. Naast deze records gebruikt DNS ook zogenaamde SRV records. Dit zijn records waarmee een koppeling wordt gelegd tussen een functie( eigenlijk service) en een host die deze functie/ service uitvoert. Dat is dus een ander soort koppeling. Deze koppeling maakt het mogelijk dat een client die op zoek is naar een computer die een bepaalde rol vervult, kan uitzoeken waar hij moet zijn. Maar daarbij moet die client dus ook weer het ipadres van de gezochte computer kunnen achterhalen, via de host(A) of de CNAME record. Dus worden hier twee koppelingen achtereen uitgevoerd. Bijvoorbeeld; een client die zich wil authenticaten; die zoekt een domain controller. Waar vindt de client een Domain Controller? 1. Eerst zoekt de client in de database met SRV records naar een host die deze service aanbiedt. De client kan zo de deHostname achterhalen van de host die als DC optreedt.( koppeling 1) 2. Dan gaat de client op zoek naar het ipadres dat deze host heeft. ( koppeling 2)


Pagina 9 van 37

De SRV records zijn te vinden in de container_msdcs.DNSTEST.NL. Heel concreet gaat de client op zoek naar een Host die de Kerberosauthentica tionverifieert;dit is het protocol waarmee domain controllers de clients binnen het domein authenticaten. De client heeft nu dus de naam van een domaincontroller gevonden. Het ip adres van deze domain controller kan de client gewoon achterhalen in de Zone informatie waar deze host dus een host(A) record heeft.

Zouden we nu handmatig een server toevoegen die een nieuwe service aanbiedt, dan moeten we dus twee zaken regelen; 1. De server moet een SRV record krijgen 2. De server moet een host(A) record krijgen. Dit kunnen we mooi zien met een Mail server; die maakt gebruik van het MX record.  Maak nu in de container _msdcs.DNSTEST.NL een record ( MX record voor mailservices) aan voor een Mailexchanger, onder de hostnameMail.DNSTEST.NL. ------------------------------------------------------------------------------Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2013 J. van Nimwegen / M. Koorevaar

Pagina 10 van 37

 Maak direct daarna een Host(A) record aan die de hostname Mail. DNSTEST.NL koppelt aan het ipadres 192.168.123.100.

En voila; Klaar is Kees! Dynamic updates. In de properties van de zone DNSTEST.NL kun je nagaan dat dynamic updates zijn toegestaan, maar alleen als die secure plaatsvinden. Secure onlywil dan zeggen; uitsluitend toegestaan voor clients die lid zijn van het domein. Deze kunnen gebruikmaken van het Kerberosprotocol wat uitermate streng beveiligd is. De optie van secure only is dus alleen maar beschikbaar bij AD-integrated DNS zones. Omdat dynamic updates uitgebreid aan de orde zijn geweest in de opdracht 70-640 DNS, besteden we er hier geen aandacht meer aan. Start of Authority. Ook deze is in de module 70-640 DNS aan de orde geweest. Waar we toen nog niet naar hebben gekeken is de wijze waarop DNS servers onderling nagaan wie van hen de meest actueleZoneinformatie bevat. Dit wordt gecontroleerd met het serialnumber van de zone.


Pagina 11 van 37

Vraag dit nummer op via de properties van de zone DNSTEST.NL Maak daarna een nieuw record aan in de zone. Constateer dat het serialnumber direct met 1 wordt opgehoogd. Een DNS server die tijdelijk offline is geweest zal dus een lager serialnumber hebben en meteen willen updaten…..

Zonetypes. De verschillende types DNS zones zijn al uitgebreid aan de orde gekomen in de opdracht 70-640 DNS. We zullen er daarom nu geen aandacht meer aan besteden. NSLookup. Nslookup is een handige tool om allerlei DNS informatie op te vragen. We kunnen hiermee bijvoorbeeld opvragen welke DNS servers optreden als Nameserver van een bepaald domein. Dit kan handig zijn om te weten, wanneer we bijvoorbeeld een stubzone willen aanmaken van een DNS zone bij een ander bedrijf. Of als we een conditionalforwarder willen instellen. In beide gevallen zullen we de naam of het ipadres van minimaal één nameserver van het betreffende domein moeten kennen. Omdat je vApp, vApp_JVN_OBI_Algemeen, geen contact met het internet heeft, voer je deze opdracht uit in de commandprompt van je laptop.Test eerst uit of je internet hebt op je laptop.


Pagina 12 van 37

Vraag nu eerst op welke DNS server default de resolvingaanvragen van je laptopafhandelt. Gebruik hiervoor het commando Nslookup

Stel nu dat we een conditionalforwarding willen instellen naar WWW.Startpagina.nl. Dan moeten we minimaal één nameserver kennen van dat domein. Vraag nu opwelke nameservers zich in dit domein bevinden. Gebruik hiervoor de volgende commando’s; NSlookup Set querytype=ns Startpagina.nl

Stel vast dat je nu van dit domein de verschillende nameservers met bijbehorend ipadres te zien krijgt.

Vervolgens kunnen we een van de nu bekende nameservers invoeren in de properties van een ConditionalForwarder van de DNS server, DC_DNS. Omdat ConditionalForwarding ook al uitgebreid aan de orde is geweest in de opdracht 70-640 DNS, gaan we er nu niet verder op in…..


Pagina 13 van 37

Server Core. Richt nu een kale Windows server2008 machine in. Installeer hem als Enterprise Server Core op de VM, Windows 7 kaal. Let op!!! Wijzig de bootvolgorde. Gebruik hiervoor de functietoets, F2, tijdens het herstarten van virtuele machine. Geef de machine een staticipadres192.168.123.10 en maak de machine als Core_DNS lid van het domein . Maak gebruik van de commando’s Netsh en Netdom. Raadpleeg eventueel opdracht 70-640DNS over de wijze waarop je een server core kunt lidmaken van een domein. Na de herstart van Core_DNS installeren we de DNS service.Maak gebruik van de commando’s Oclist en Ocsetup.Ga nu na dat je vanaf DC_DNS de nieuwe DNS server Core_DNSkunt toevoegen in de console van DNS.

Op dit moment treedt Core_DNS op als zogenaamde Caching-Only DNS server. Een Caching-Only DNS server bevat geen eigen zones of databases met zoneinformatie, maar werkt uitsluitend vanuit de cache, gevuld vanuit eerdere resolvingaanvragen. In feite vervangt de Cache nu de zonedatabasefile. Caching-Only servers kunnen erg nuttig zijn omdat er geen transfer van zone informatie hoeft plaats te vinden, omdat ze immers geen zone bevatten. Dit is handig bij DNS servers die bijvoorbeeld op een ------------------------------------------------------------------------------Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2013 J. van Nimwegen / M. Koorevaar

Pagina 14 van 37

bijkantoor staan dat verbonden is met het hoofdkantoor via een trage WAN verbinding. Over een dergelijke verbinding wil je liever geen zonetransfer laten plaatsvinden… Als we op Core_DNS zones willen aanmaken kunnen we dat op verschillende manieren doen ; 1. We kunnen nu rechtstreeks werken vanuit de console van DNS. 2. Ook kunnen we vanaf DC_DNS met Remote Desktop een verbinding maken met Core_DNS. Omdat het beheer van een server core via Remote Desktop al aan de orde is gekomen in de opdracht 70-640 DNS zullen we daar nu niet op ingaan. Wij willen graag zoveel mogelijk lokaal blijven werken op Core_DNS. Voeg nu vanaf Core_DNSeen nieuwe primary zone, Core_Zone, toe aan Core_DNS. Gebruik hiervoor het commando Dnscmd /zoneadd Vraag nu eerst op Core_DNS op welke dnszones er zijn.Gebruik hiervoor het commando Dnscmd /enumzones. Constateer dat er inderdaad een zone Core_Zone is aangemaak Maak nu een eerste host(A) record aan op Core_DNS. Hostnaam wordt Testhost, ipadres 192.168.123.123 Gebruik hiervoor het commando Dnscmd /recordadd


Pagina 15 van 37

Vraag tot slot op welke records zich in de zone Core_zone.nl bevinden. Gebruik hiervoor het commando Dnscmd /zoneprint Core_zone.nl Constateer dat zowel Core_DNS(SOA) alsook de host Testhost worden vermeld.

Bekijk nu vanaf DC_DNS via de console van DNS de inhoud van de zone Core_zone. nl

En uiteraard hebben we nu het vertrouwde beeld.

Ipconfig. Bekend zijn de commando’s waarmee we de ip configuratiegegevens van een host opvragen en eventueel verversen ( dhcpclient). We bedoelen dan; Ipconfig /all Ipconfig /release Ipconfig/ renew ------------------------------------------------------------------------------Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2013 J. van Nimwegen / M. Koorevaar

Pagina 16 van 37

Een DNS server bevat van elke Host een of meerdere records in zijn database. Daarnaast maakt de DNS server gebruik van de localresolver cache om veel gevraagde hostnamen tijdelijk op te slaan. Indien de cache om welke reden dan ook niet meer de juiste informatie bevat kunnen we deze handmatig laten leegmaken. Daarna wordt de cache weer van voor af aan opgebouwd. Ook een client die in zijn localresolver cache een verouderd ipadres van bijvoorbeeld een server zou hebben, kan zijn cache geforceerd leeggooien. Zolang dit niet gebeurt, blijft de client namelijk vanuit zijn cache zoeken naar het voormalige ipadres van de server. De client zal die server dus niet meer vinden. In dat geval dient de cache van de client te worden gelegd, zodat opnieuw resolving moet plaatsvinden. De client krijgt dan alsnog het nieuwe ipadres door, en kan daarna de server weer gewoon bereiken via de informatie vanuit zijn localresolver cache.

Displaydns Om de inhoud van de cache te bekijken kunnen we gebruikmaken van het commando Ipconfig /displaydns.Vraagnu op Core_DNS de inhoud op van de cache. Constateer dat Core_DNS zowel zichzelf kent ( localhost) als DC_DNS.


Pagina 17 van 37

Maak nu de cache op Core_DNS leeg met het commando Ipconfig /flushdns Constateer dat de verwijzing naar DC_DNS is verdwenen. Ping nu op naam vanuit Core_DNS naar DC_DNS. Vraag opnieuw de inhoud van de cache van Core_DNS op. Constateer dat DC_DNS weer wordt vermeld in de cache van Core_DNS. Aangezien dit ook al aan de orde is geweest in de opdracht 70-640DNS, zullen we er hier niet verder op ingaan. Registerdns. Open op DC_DNS de console van DNS. Bekijk de inhoud van de zone Dnstest.nl. Constateer dat er-uiteraard- een host(A) record aanwezig is voor de memberserver Core_DNS. Verwijder nu dit record. Resolvingaanvragen voor de naam Core_DNS kunnen nu niet meer door DC_DNS worden afgehandels. ( we gaan er maar even vanuit dat de cache ondertussen geen verwijzing meer bevat naar Core_DNS, hetzij omdat de cache is geleegd door een herstart, hetzij dat er zolang geen aanvragen voor deze hostname zijn geweest dat de verwijzing ondertussen automatisch is verwijderd….) Willen we deze verwijzing toch weer onmiddellijk terugplaatsen in de zone, dan gebruiken we daarvoor op Core_DNShet commando; Ipconfig /registerdns Constateer dat Core_DNS daarna weer netjes wordt vermeld in de zone Dnstest.nl Sluit nu Core_DNS af; we zullen deze machine niet meer gebruiken. Nogmaals Zone replication Eerder in deze opdracht hebben we een user defined replicationpartition aangemaakt voor de replicatie van DNS zoneinformatie. Daarbij hebben we DC_DNS lid gemaakt van die partition. ------------------------------------------------------------------------------Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2013 J. van Nimwegen / M. Koorevaar

Pagina 18 van 37

Om uit te testen hoe deze replication werkt hebben we een tweede DNS server nodig met een AD integrated zone van DNSTest.nl. Bouw nu eerst die tweede server, gebruik hiervoor de VM X86-2Win2008.  noem hem Member_DNS.  Ipadres 192.168.123.50  Promoveer Member_DNS tot additional domain controller van het domein Dnstest.nl. Uiteraard laten we DNS meteen mee installeren. Constateer dat Member_DNS de zone DNStest.nlniet vermeldt.

Dit komt omdat we in de properties van deze zone hebben aangegeven dat de replicatie alleen mag plaatsvinden naar die DNS servers die lid zijn van de replicationscope Testpart. En Member_DNS is daar geen lid van……. Maak nu Member_DNS lid van de replicationpartition Testpart. Gebruik hiervoor het commando Dnscmd /EnlistDirectoryPartition Sluit nu op Member_DNS de DNS console af en start de console opnieuw op. Constateer dat de zone DNStest.nlna enkele minuten wel wordt vermeld. Member_DNS is immers nu lid van de directory replicatie scope . Ga tot slot na dat Member_DNS en DC_DNS allebei als replicatiepartners optreden binnen de scope van Testpart.nl.


Pagina 19 van 37

Gebruik hiervoor ook weer Dnscmd /DirectoryPartitionI nfo

GlobalNameszone Tot slot van deze opdracht nog even kijken naar het proces van nameresolving. DNS maakt gebruik van zogenaamde FullyQualified Domain Names, FQDN’s. Binnen een domein kunnen we gewoon gebruiknamen van een hostnaam zoals member_DNS of Core_DNS. We kunnen pingen op die naam of een netwerkverbinding maken met het commando \\Member_DNS. Wat echter buiten ons gezichtsveld gebeurt, is dat Windows er de DNSsuffix aan vast plakt die in het domein standaard is. In ons geval is dit .DNSTEST.NL. Dus onze ping Member_DNS, wordt door door Windows meteen vertaald in ping Member_DNS.DNSTEST.NL Zolang we binnen een domein blijven is dat geen probleem, maar zodra we een forest hebben met meerdere domeinen, die elk hun eigen dns suffix hebben kan dit lastig worden. Of als we meerdere dnszones gebruiken. Dan moeten we steeds aangeven welke host we nou exact bedoelen. Users die een host met een afwijkende FQDN willen benaderen, moeten dan steeds de volledige FDQN ingeven. Dat is lastig. Dat is op te lossen door twee zaken te regelen; 1. Voeg de afwijkende FQDN toe aan de searchlist van DNS 2. Maak een GlobalNameszone aan; hiermee bereiken we dat de user alleen maar een hostname hoeft in te geven, zonder de DNS suffix. Hoe testen we dit? Maak op Member_DNS een nieuwe ADintegratedprimary zone aan met de naam Member.nl ------------------------------------------------------------------------------Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2013 J. van Nimwegen / M. Koorevaar

Pagina 20 van 37

Plaats daarin meteen een nieuwe Host(A) record met de naam Gnztest met het ipadres 192.168.123.50. Constateer dat de nieuwe host, Gnztest, als FQDN nu meekrijgt; Gnztest.Member.nl.

Leeg de DNS cache en de routingtabel van DC_DNS met de commando’s ipconfig /flushdns en route delete x Ping nu vanaf DC_DNS naar Gnztest. Constateer dat er geen reply komt, ook niet als we de FDQN, Gnztest.Member.nl, gebruiken. Test dit uit. Dit komt omdat de suffix Member.nl nog niet is toegevoegd aan de DNS searchlist. Voeg nu eerst de suffix Member.nl toe aan de DNS searchlist.


Pagina 21 van 37

Constateer dat pingen vanaf DC_DNS naar Gnztest nu wel mogelijk is, zolang we maar de volledige FQDN gebruiken.

Maar pingen vanaf DC_DNSzonder de volledige FQDN te gebruiken blijft onmogelijk. Daarvoor kunnen we nu de functie van de GlobalnamesZonegebruiken. Eerst moeten we die functionaliteit enabelen, dat moet op alle servers waar we van de GlobalnamesZone willen gebruiken. Enable de functie nu op beide Dns servers als volgt; Dit commando moet je uitvoeren op elke server waar je de GNZ functionaliteit wilt gebruiken. Gebruik de Elevatedcmd!

Maak nu op Member_DNS een nieuwe AD integratedprimary zone aan met de naam GlobalNames. Laat repliceren naar alle DNS servers in de Forest.


Pagina 22 van 37

De zone moet perse heten GlobalNames.

Dynamic updates hebben we niet nodig, deze functie werkt niet in de GlobalNamezone. Alle records moeten handmatig worden aangemaakt.

Deze zone gebruiken we dus alleen voor verwijzingen naar kritieke servers met een vast ipadres, en dus niet voor onze reguliere clients….. Maak nu in de zone GlobalNames een Alias, Mem, aan die verwijst naar de host Gnztest.Member.nl


Pagina 23 van 37

Ping nu opnieuw vanaf DC_DNS naar Mem. Constateer dat er een reply komt van Gnztest.member.nl Kortom de FQDN hoeven we niet meer in te geven.

Wanneer het eea niet direct werkt kan helpen om de DNS cache leeg te maken met het commando ipconfig /flushdns of nog beter de machine opnieuw op te starten.


Pagina 24 van 37

Test met het commando nslookup mem de functie GlobalNames? Constateer dat er een reply komt met het ip-adres en de fully-qualified domain name van de server.

Hiermee zijn we aan het eind van deze opdracht gekomen. Nogmaals; veel van hetgeen in deze module aan de orde komt is reeds in de opdracht 70-640DNS aan de orde geweest. Dit kunnen we hier niet allemaal herhalen. Om het je enigszins makkelijker te maken om die oude kennis op te halen, hebben we de theorie en achtergrondinformatie uit die opdracht toegevoegd als bijlage. Einde opdracht 70-642DNS


Pagina 25 van 37

Bijlage theorie en achtergronden DNS 70-640 Onderhoud en Beheer Informatiesystemen,70_640 opdracht DNS Deze opdracht gaat over de werking van DNS. Daarbij gaan we vooral kijken naar de manier waarop DNS wordt gebruikt in het kader van de zogenaamde name resolving; het vertalen van namen en url’s naar ip adressen. Ook kijken we naar de verschillende zone types binnen DNS en hoe de diverse DNS servers in een domein hun gezamenlijke informatie onderling uitwisselen. Doel van deze opdracht -

Verkennen van het proces van name resolving Verschillen tussen diverse zonetypes ontdekken Werken met Zone tranfers Faulttolerance inbouwen in DNS Leren werken met de local dns resolver cache. Werken met de commandline DNSCMD.

NetBIOS; Onderzoek naar het proces van Name Resolution met behulp van NetBios.

Bij de nameresolving maakt Server 2008 achtereenvolgend gebruik van ;  zijn eigen DNS Resolver Cache ( alleen mogelijk als DNS actief is),  een bestand hosts genaamd,  van NetBios,  van een DNS server.

Het bestand hosts ( c:/windows/ system32/drivers/etc ) moet eerst ------------------------------------------------------------------------------Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2013 J. van Nimwegen / M. Koorevaar

Pagina 26 van 37

handmatig geschikt worden gemaakt voor gebruik. Standaard staat daar alleen de default DNS verwijzing in en enkele voorbeelden. NetBios werkt alleen lokaal binnen eenzelfde subnet omdat het gebruikmaakt van broadcasting. Het schreeuwt gewoon de gezochte Hostnaam rond, tot er een machine reageert. Grotere netwerken maken daarom altijd gebruik van DNS.

In onze situatie is DNS echter nog niet geïnstalleerd, dus maakt het systeem gebruik van NetBios.

Blader op DC_DNS naar de map Windows/ system32/ dns. Open het bestand Cache.dns. Hierin staan de verwijzingen naar de roothintservers waarvan de DNS server gebruikmaakt bij zijn queries op internet. Let op; een DNS server die alleen binnen het eigen netwerk mag resolven, heeft genoeg aan de verwijzing naar de NS record en Host A record van de eigen DNS server. Conclusie; een verkeerd ingesteld IP adres van de DNS server waarnaar de Win7 client op zoek moet gaan, levert een enorme vertraging op bij het inlogproces. Denk hieraan als je tijdens je project inlogproblemen tegenkomt…………… Daarnaast zul je in deze situatie merken dat allerlei netwerkbronnen niet toegankelijk blijken. Controleer bij inlogproblemen dus altijd eerst of de client wel op zoek gaat naar de juiste DNS server.

Dynamic updates


Pagina 27 van 37

Bij Dynamic updating zorgt een client bij aanmelding in het domein en vertrek uit het domein er zelf voor dat hij zijn naamkaartje afgeeft/ meeneemt bij de DNS server. De DNS server werkt op verzoek van de client direct zijn database bij; zo ontstaat er in DNS minder snel vervuiling met oude DNS verwijzingen naar machines die al lang niet meer bestaan. Dynamic update is alleen mogelijk bij zogenaamde Active Directory Integrated DNS zones.

DNS zone typen Primary zones. In DNS zijn verschillende soorten zones mogelijk. In onderstaande opdrachten gaan we daarmee werken. Eerst gaan we Member verantwoordelijk maken voor een eigen zone. M.a.w. ; Member wordt de authoritative DNS server voor die Zone. De zone die we aanmaken is een primary zone. Omdat Member geen Domain controller is, kan hij verschillende soorten zones bevatten behalve Active Directory integrated zones. Member gaat nu, behalve zijn eigen DNS zone informatie, ook nog een kopie van de zone Test.nl bewaren. We maken daarom op Member een secondary zone aan van Test.nl. Mocht DC_DNS op een bepaald moment niet online zijn, dan kunnen de Dns resolving aanvragen voor het domein Test.nl gewoon doorgaan. Member springt dan namelijk gewoon in. Hiermee voorkomen we dat users niet kunnen inloggen als DC_DNS niet bereikbaar zou zijn. Dat zullen we later zien, als we de faulttolerance gaan testen.


Pagina 28 van 37

Zone not loaded by DNS server; Dit komt omdat de Masterserver, DC_DNS, default geen kopieën verstrekt van haar zone. Een stukje security. Een hacker zou met zijn DNS server contact kunnen zoeken met ons netwerk. Vervolgens zou zijn DNS server bij onze DNS server een kopie kunnen opvragen van onze DNS zone. En daarmee heeft die hacker dus waardevolle informatie in handen; hostnamen en bijbehorende ip adressen van alle hosts in de zone. Om Member als vertrouwde DNS server wel de informatie te kunnen geven, zullen we een zonetransfer moeten toestaan vanuit DC_DNS naar Member.

Via het tabblad Start of Authority (SOA), kun je instellen hoe vaak de primary DNS server de andere servers op de hoogte stelt van wijzigingen in zijn zone informatie. (Refresh interval)

Stubzones. Een stubzone kan erg handig zijn als twee bedrijven veel samenwerken. De hosts van beide bedrijven moeten regelmatig contact hebben met hosts uit het andere domein. Met een stubzone vertellen we dan onze DNS servers alleen maar dat als ze iets willen weten van het andere domein, dat ze hun informatie dan kunnen halen bij twee specifieke IP adressen. En dat zijn dan de Ip adressen van de SOA en de Nameserver van het andere domein. Je zou het een klein beetje kunnen vergelijken met Forwarding. Daar komen we later op terug. Voordeel van een stubzone boven een secondary zone is, dat alleen de ip adressen van de SOA en de Nameserver worden doorgegeven; alle ------------------------------------------------------------------------------Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2013 J. van Nimwegen / M. Koorevaar

Pagina 29 van 37

andere record informatie wordt niet doorgegeven. Dit is veiliger en sneller. Hier zie je de werking van een stubzone; Alleen wijzigingen m.b.t. de SOA of de Nameserver(s) van de primary zone worden doorgegeven. Overige wijzigingen zoals gewone hosts worden niet doorgegeven.

In het studiemateriaal heb je gelezen waarin primary zones, secondary zones en stubzones van elkaar verschillen. In bovenstaande opdrachten heb je de verschillen in werking gezien.

Delegation Met de functie Delegation kunnen we een DNS server de bevoegdheid geven om resolving aanvragen te beantwoorden voor een dns zone waarvan deze DNS server eigenlijk geen Nameserver is en niet authoritative is. Dit kan erg handig zijn in het geval je in het domein een of meer Subdomeinen hebt. Bijvoorbeeld; binnen het domein Test.nl willen we een apart subdomeinToets.Test.nl hebben.

Test.nl

De verantwoordelijkheid voor alles wat te maken heeft met Toets.Test.nl ligt bij de administrators van datsubdomein, niet bij de administrators van Test.nl.

Toets.Test.nl


Pagina 30 van 37

In dat geval kunnen de administrators van Test.nl in de DNS server van het domein Test.nl, geen DNS zone aanmaken voor het subdomeinToets.Test.nl. Zij zijn immers niet bevoegd binnen de zone Toets.……. Toch kan het erg handig zijn als clients uit het domein Test.nl hostnamen uit het subdomeinToets.Test.nl kunnen resolven. In zo’n geval kunnen we de DNS server uit Test.nl via Delegationtoestemming geven om de deresolving aanvragen door te sturen naar de Nameserver van het subdomeinToets.test.nl. Deze nameserver zal de clients dan op verzoek de gevraagde informatie verschaffen. We gaan nu DC_DNS de bevoegdheid geven om resolving aanvragen te beantwoorden voor een zone waarvan Member de authoritative DNS server is. Constateer dat de ping member.toets.test.nl nog niet werkt. DC_DNS kan niet resolven. Tenslotte moeten we DC_DNS nog via Delegation het recht geven te resolven. Als het niet meteen lukt, komt dat omdat DC_DNS in zijn DNS resolver cache nog een verwijzing heeft staan naar Member.Test.nl Member.Toets.Test.nl kent hij echter niet. Gooi de Cache leeg met het commando Ipconfig /flushdns.

Active Directory integrated zones.

Reeds eerder in deze opdracht heb je een zone Test.nl alseen Active Directory Integrated Zone aangemaakt. ------------------------------------------------------------------------------Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2013 J. van Nimwegen / M. Koorevaar

Pagina 31 van 37

Ook heb je op Member zelfs twee primary zones Memberzone.com en Memberzone.nl aangemaakt. In de module Implementing Name Resolution heb je gelezen dat het verschil tussen de verschillende zone types zich o.a. bevindt in de manier waarop de zone informatie wordt doorgegeven aan de diverse DNS servers in het domein. Het tabblad Zone Transfers is bedoeld voor de uitwisseling tussen standaard primary en secondary servers, met andere woorden een active directory integrated DNS zone heeft daar niets mee te maken. Bij Active Directory Integrated DNS zones vindt de replicatie van DNS zone informatie plaats tegelijk met ( als onderdeel van…) het replicatieverkeer van Active Directory.

Constateer dat hier niet wordt gesproken over replicatie via Active Directory.

Dat komt omdat Member geen Domain Controller is, dus niet meedoet met de replicatieprocessen van Active Directory.

AgingandScavenging. Reeds eerder in deze opdracht heb je gezien dat een Win7 client die uit het domein wordt verwijderd, zich netjes afmeldt bij DNS. Als een machine zich niet afmeldt, maar gewoon nooit meer opstart ( bij verkoop of diefstal bijv.) blijft de host(A) record van deze host oneindig lang in DNS aanwezig. ------------------------------------------------------------------------------Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2013 J. van Nimwegen / M. Koorevaar

Pagina 32 van 37

Om dit te voorkomen kun je gebruikmaken van Aging/ scavenging. No-refresh/ refresh wil zeggen; Een client hoeft zich niet iedere dag te melden; de eerste 7 dagen na de voorgaande melding in elk geval niet. ( = No-refresh) Dit voorkomt dat er dagelijks onnodige meldingen naar de DNS server gaan van clients die er gewoon altijd zijn….. ( scheelt netwerkverkeer ) Echter, 7 dagen na die laatste melding moet de client zich weer even melden. Doet hij dat niet, dan neemt de DNS server aan dat de client niet meer terugkomt. Zijn records worden dan uit DNS verwijderd. Zou de client toch weer online komen, dan moet hij zich dus eerste netjes melden bij DNS…… Forwarding. Al eerder is de term Forwarding gevallen. Met Forwarding kun je een DNS server vertellen dat alle resolving aanvragen die hij niet zelf kan oplossen, direct naar een bepaalde DNS server elders moeten worden doorgestuurd. Dit scheelt dus tijd, omdat hij dan geen queries hoeft te doen bij collega DNS servers. Forwarding kun je op twee manieren gebruiken; 1. Via de properties van de DNS server, tabblad Forwarders. Hier kun je alleen maar instellen dat een DNS server bijv. standaard alle onoplosbare resolving aanvragen moet doorsturen naar een andere DNS server. Bijv. een interne DNS server die niets met Internet te maken mag hebben. Alle resolving aanvragen stuurt hij door naar een andere DNS server die wel eventueel het internet kan bereiken. 2. Via de Container ConditionalForwarders Hier kun je heel specifiek aangeven dat bijv. uitsluitend de resolving aanvragen voor hosts in het domein Anderdomein.com direct naar de DNS server van dat domein gestuurd moet worden. ------------------------------------------------------------------------------Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2013 J. van Nimwegen / M. Koorevaar

Pagina 33 van 37

ConditionalForwarding zorgt er op die manier voor dat alle resolving aanvragen voor dat specifieke domein sneller worden afgehandeld dan aanvragen voor andere domeinen. Je ziet dit vaak gebeuren bij organisaties die nauw contact met elkaar hebben, waarbij hosts van beide domeinen regelmatig hosts van het andere domein willen benaderen. De administrators van beide domeinen wisselen dan de ip adressen van elkaars DNS servers onderling uit. In het studiemateriaal lees je ook dat je elke vorm van forwarding kunt verbieden via het tabblad Advanced. Daarmee wordt het voor de betreffende DNS server onmogelijk om Name Resolving te doen buiten het eigen lokale netwerk. Faulttolerance. In het studiemateriaal heb je gelezen dat een computer bij het proces van Name resolving, alvorens een DNS server te raadplegen, eerst gaat kijken in zijn eigen lokale Resolver cache. Als daar een verwijzing staat naar de gevraagde computernaam, dan hoeft er geen netwerkverkeer te worden gegenereerd. Dat scheelt dus onnodig netwerkverkeer. De inhoud van deze localresolver cache kunnen we bekijken met het commando Ipconfig /displaydns. De inhoud kunnen we verwijderen met het commando Ipconfig /flushdns. Omdat we graag willen beginnen met een schone lei, gaan we eerst even overal de cache leegmaken. Deze bevat namelijk al diverse verwijzingen als gevolg van voorgaande experimenten. In een netwerk met meerdere subnetten kun je nu de werklast voor de DNS servers verdelen. Subnet 1 bijvoorbeeld heeft in de scope options DC_DNS als eerste DNS server en Member als tweede server. Subnet 2 daarentegen heeft juist Member als eerste server en DC_DNS als tweede.

Om de werking van de faulttolerance beter te kunnen zien, hebben we weer een testuser nodig; maak in ADUC een testuser Piet aan. Profiel komt in de reeds bestaande map \\DC_DNS\profielen. Log via Win7 eenmaal in en uit als Piet, zodat zijn profiel in de map ------------------------------------------------------------------------------Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2013 J. van Nimwegen / M. Koorevaar

Pagina 34 van 37

\\DC_DNS\profielen\Piet staat.

Zolang Win7 in zijn localresolver cache nog een verwijzing heeft naar een DNS server, kan de machine dus nog inloggen op het domein. Door de DNS cache leeg te maken, wordt Win7 gedwongen om een DNS server te raadplegen. Aangezien beide DNS servers offline zijn, heeft user Piet nu bij het inloggen een probleem……..

Constateer dat het inloggen weer soepel gaat, ondanks het feit dat DC_DNS offline is. Hier zie je de faulttolerance werken; Member mag Win7 ook van informatie voorzien. Flush de DNS resolver cache nomaals. Ga voor de zekerheid met Displaydns na dat de cache inderdaad leeg is.( ipconfig /displaydns) Herhaal beide pings met DC_DNS, ga na dat ook DC_DNS pas in de resolver cache voorkomt na een ping op naam. Conclusie; eenmaal ontdekt welk IP adres bij een bepaalde computernaam hoort, wordt die verwijzing direct in de localresolver cache geplaatst. Volgende keer dat die computernaam wordt opgevraagd hoeft hiervoor geen netwerkverkeer richting een DNS server te ontstaan.

Reverse lookup. Wat is Reverse lookup?


Pagina 35 van 37

kun je wel zien vanaf welk IP adres de pinger functioneery. lastig te vallen met een DOS ( denial of services) Met een reverse lookup kunnen we de hostname achterhalen en de dader achter de bewuste pc uithalen. Maak nu in de Forward lookupzoneTest.nl een nieuwe host( A) record aan. Hostnaam is reverse, ipadres van DC_DNS meegeven. Laat meteen de Pointer record aanmaken; dit is de koppeling die straks de hostnaam opzoekt behorend bij het ip adres 192.168.123.1.

Doe nu een ping met reverse lookup als volgt; Ping –a 192.168.123.1 Constateer dat in de reply ook de hostname van het ipadres wordt vermeld. DNSCMD: Dit is een commandline tool waarmee we DNS kunnen beheren. Een van de veel gebruikte commando’s is het export commando. Hiermee kunnen we alle informatie van een zone exporteren naar een bestand. Dit bestand kunnen we op een andere DNS weer importeren, waarmee die DNS ook over de zone informatie beschikt. Wij gaan de zone Test.nl van DC_DNS nu exporteren naar een bestand. ------------------------------------------------------------------------------Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2013 J. van Nimwegen / M. Koorevaar

Pagina 36 van 37

Het bestand wordt default opgeslagen in de directory Windows\system32\dns. Bijlage; Installeren van VMWare tools op de Server core; Installing VMware Tools is a bit tricky, though, because there's no shell to integrate into. Here'showto installVMware Tools on Server Core:  

         

Log into your Windows Server 2008 Server Core VM with an admin account From the VMware Workstation console, click the VM menu Install VMware Tools. This will mount the VMware Tools disk in the virtual CD-Rom drive. From the command line, switch to drive D: (or whatever drive is your CD drive) Type Setupandpress Enter Click Install to the VMware informational message. The VMware Tools will begin to setup. Click Nexttoinstall Click Next to perform a Typical setup Click Install to begin the installation When you see the status stall, open Task Manager (Ctrl-AltInsStart Task Manager) Click the Applications tab, select the RUNDLL process and choose End Task Close Task Manager and click OK to any error messages. Setup will continue as normal. Click Finish and click Yes to restart the server


Pagina 37 van 37

Onderhoud en Beheer Informatiesystemen. 70_642 opdracht DNS

Recommend Documents