Do sada ste nekoliko puta imali priliku da pročitate da postoje tri verzije DNS zona: Primarne, Sekundarne i Stub zone. Međutim, DNS serveri koje se zasnivaju na Windows 2000 i Windows Server 2003, pružaju nam na raspolaganje i četvrti tip zone, pod nazivom Integrisana zona Aktivnog Direktorijuma. U ovoj lekciji dobićete sve informacije koje se odnose na integrisane zone aktivnog direktorijuma.
AD-Integrisane zone karakterišu dve osnovne prednosti: Multimaster zonska replikacija, kao i činjenica da se proces DDNS (dinamičkog DNS-a) registracije sada odlikuje kako izbalansiranim opterećenjem, tako i zadovoljavajućim stepenom bezbednosti. Ipak, ove zone imaju i svojih nedostataka: one se donekle udaljavaju od onoga što je propisano RFC dokumentima za DNS; pored toga, sve kontrolere domena moramo da pretvorimo i u DNS servere.
Integrisana AD-DNS zona je DNS zona koja je smeštena u aktivnom direktorijumu. Kada konfigurišemo domenski kontroler, aktivni direktorijum zahteva instalaciju DNS servisa. Zone koje su kreirane na DNS serveru koji je i domenski kontroler u aktivnom direktorijumu mogu da budu AD-integrisane DNS zone.
AD-integrisane DNS zone imaju nekoliko prednosti u poređenju sa običnim zonama (primarnim, sekundarnim i stub). AD-integrisane zone mogu da koriste aktivni direktorijum:
- Da smeste zonske konfiguracione podatke u aktivnom direktorijumu, umesto da zonski konfiguracioni podaci budu smešteni u zonskom fajlu.
- Koristi Active Directory Replication umesto zonskog transfera.
- Dozvoljava samo sigurno dinamičko ažuriranje (umesto sigurnog i nesigurnog ažuriranja na običnoj Primarno DNS zoni)
AD-Integrisane DNS ZoneU zonama koje nisu AD-integrisane DNS zone, postoji jedna Master kopija DNS zone (Primarna) i može postojati mnogo dodatnih kopija DNS zone (sekundarne).
U AD-Integrisanim DNS zonama, zonski podaci su smešteni u Aktivnom Direktorijumu, tako da može postojati Multi Master model. Svaki domenski kontroler upravlja promenama u DNS zoni.
Multi-Master znači da ako domenski kontroler sadrži AD-Integrisanu zonu, tada bilo koji domenski kontroler koji sadrži informacije o DNS zoni može da se ponaša kao Primerni DNS Server, i može da pravi promene u zoni.
Kako AD-Integrisane zone koriste Secure Dynamic Updates: Secure Dynamic Update je proces u kojem klijent šalje dynamic update zahtev ka DNS Serveru, i server pokušava da ažurira (update) njegov zapis u DNS zoni samo ako je klijent odkazao svoj identitet i poseduje validne kredenšle (user name i password) da bi odradio ažuriranje. Secure Dynamic Updates je samo omogućen u AD-Integrisanim zonama.
Metod koji je primaran na domenskim kontrolerima na kojima su konfigurisane DNS zone, je dozvoljavanje samo Secure Dynamic Updates.
Drugi metod je konfiguracija zone koja nije smeštena na AD-Integrisanom DNS serveru, da bi omogućili i sigurno i nesigurno dinamičko ažuriranje.
Svrha dinamičkog ažuriranjaDNS na Windows Server 2003 podržava Secure Dynamic Update karakteristiku. Sigurno dinamičko ažuriranje nudi nekoliko prednosti, a to su:
- Zaštita zona i zapisa u zonskim fajlovima (Resouce Records) od modifikovanja od strane korisnika koji nisu autorizovani.
- Omogućavaju nam da odredimo tačno koje grupe ili korisnici mogu da modifikuju zone i zapise u zonskim fajlovima.
Omogućavanjem dinamičkog ažuriranja na DNS zoni, administrator više neće imati potrebu da ručno kreira i održava sve zapise u DNS zoni. Ipak, administrator ne može da kontroliše koji DNS klijenti će moći da koriste dinamičko ažuriranje. Ako koristimo Stand-Alone DNS server koji nije Integrisan u Aktivnom direktorijumu, tada nećemo moći da kontrolišemo ko može da dinamički ažurira svoje zapise na DNS serveru. Na primer, ako externi konsultant donese laptop u kompaniju koji nije član Domena Aktivnog direktorijuma, i ako se Laptop dinamički ažurira u DNS-u, tada ćemo možda imati problem sa sigurnošću na mreži.
Ipak, ako DNS server hostuje DNS zone koje su AD_integrisane DNS zone, onda ćemo moći da konfigurišemo DNS zonu da dozvoljava samo sigurno dinamićko ažuriranje (Secure Dynamic Update). Ovo znači da ako se externi konsultant pojavi sa istim laptopom, koji nije član domena, pokušaji da se dinamički ažurira u DNS-u će biti odbačeni. Korišćenjem Domenske sigurnosti, možemo da kontrolišemo dinamičko ažuriranje timo što ćemo dozvoliti dinamičko ažuriranje samo kompjuterima (klijentima) koji su članovi domena i koji su znači, prošli proces autentifikacije u Aktivnom direktorijumu.
Nesigurni protiv sigurnog dinamičkog ažuriranja: Ako je DNS zona AD-Integrisana DNS zona moći ćemo da je konfigurišemo da dozvoljava samo Secure Only dinamičko ažuriranje. Zona koja je konfigurisana kao Secure Only autentifikuje kompjuter koji pokušava da odradi ažuriranje, i dozvoljava ažuriranje samo ako dozvole na zapisu dozvoljavaju da se ažuriranje odradi. Zone koje se hostuju u Aktivnom direktorijumu, sa dodatkom onih koji nisu u AD, mogu da se konfigurišu da omogućavaju nesigurno dinamičko ažuriranje, koji će omogućiti DNS registracije i modifikacije bez prethodnog proveravanja identiteta klijenta.
Sledeća procedura predstavlja sekvencu događaja prilikom Secure Dynamic Update procesa:- Klijent pita lokalni Name Server (NS) da otkrije koji je server autoritativan za ime koje klijent pokušava da ažurira, i lokalno Name Server odgovara sa referencama koje se odnose na autoritativni server.
- Klijent postavlja upit i šalje ga ka autoritativnom serveru da verifikuje da li je DNS server autoritativan za ime koje klijent pokušava da ažurira, i server dalje potvrđuje upit.
- Klijent pokušava da odradi nesigurno dinamičko ažuriranje, i server odbija nesigurno ažuriranje. U slučaju da je server konfigurisan da prihvata nesigurno dinamičko ažuriranje, server će potvrditi upit i odradiće se dinamičko ažuriranje zapisa u DNS zoni.
- Klijent nakon što je odbijen njegov upit nesigurnog dinamičkog ažuriranja pokušava da pokrene sigurno dinamičko ažuriranje. Ako klijent ima velidne kredenšle (user name i password), tada će Autoritativni DNS server prihvatiti ažuriranje i odgovoriće na klijentski upit.
Ako DHCP Server odrađuje prvi Secure Dynamic Update na DNS zapisu, tada DHCP server postaje vlasnik zapisa. Ovo može da izazove probleme pod nekoliko različitih okolnosti. Na primer, pretpostavimo da je DHCP server (DHCP1) kreirao zapis za ime server1.linkgroup.com i nakon toga prestao sa radom, i da je bekap DHCP server (DHCP2) pokušava da ažurira ime. DHCP2 neće biti u mogućnosti da ažurira ime, zato što DHCP2 nije vlasnik tog imena. Iz tog razloga, ako je sigurno dinamičko ažuriranje omogućeno, svi DHCP serveri moraju da se stave u specijalnu sigurnosnu grupu DNSUpdateProxy. Objekti koje su kreirali članovi DNSUpdateProxy grupe nemaju sigurnost: odatle, svaki autentifikovani korisnik može preuzeti vlasništvo nad objektom. Za više informacija o DNSUpdateProxy posetite informacije u Help-u.
Administrator može da konfiguriše obe, i AD-Integrisane DNS zone i obične Primarne, sekundarne i Stub zone da dozvoljavaju sigurno dinamičko ažuriranje. Administrator takođe može da konfiguriše sigurnost na AD-Integrisanim zonama.
Konfiguracija AD-Integrisanih DNS zona da dozvoljavaju Secure Dynamic Updates:- Otvorimo DNS konzolu.
- U konzolinom drvetu, desni klik na zonu, i zatim kliknemo na Properties.
- Na General kartici, verifikujemo da je Tip zone AD-Integrated.
- U Dynamic Updates padajućoj listi, selektujemo Secure Only.
- Kliknemo na OK da zatvorimo DNS zone Properties dijalog boks, i nakon toga zatvorimo DNS konzolu.
