Introduzione ad Active Directory - CESCOT

Transcript

Introduzione ad Active Directory
Orazio Battaglia
Introduzione al DNS
Il DNS (Domain Name System) è un sistema utilizzato
per la risoluzione dei nomi dei nodi della rete (host) in
indirizzi IP e viceversa.
Il servizio DNS è realizzato tramite un database
distribuito costituito dai server DNS.
Il nome DNS denota il protocollo che ne regola il
funzionamento ma anche il servizio che è in esecuzione
sui server.
I nomi DNS, o «nomi di domino», sono una delle
caratteristiche più visibili di Internet. Tutte le risoluzioni
dei nomi dei siti web sono possibili grazie ai DNS.
L’operazione di convertire un nome in un indirizzo IP è
detta risoluzione DNS, l’operazione di convertire un
indirizzo IP in un nome è detta risoluzione inversa.





2
Tecnico di Reti Informatiche, modulo 2
Introduzione al DNS
Un nome di dominio è costituito da una serie di stringhe
separate da punti, ad esempio it.wikipedia.org. In un nome
DNS la parte più importante è la prima partendo da destra e
viene detta dominio di primo livello, ad esempio .org o .it.
Un dominio di secondo livello è costituito da due parti ad
esempio wikipedia.org. Di terzo livello da tre parti
it.wikipedia.org e così via.
Una zona DNS è una parte dello spazio dei nomi, costituita da
un dominio (di primo livello, secondo livello, ecc) e dai suoi
sottodomini non delegati.
Un sottodominio delegato costituisce una zona a se stante.
Per ragioni di ridondanza ciascuna zona è replicata su più
server. Lo schema di replica tipicamente prevede che per ogni
zona ci sia un server master e uno o più server slave. Le
modifiche vengono apportate sul master e i server slave
copiano le informazioni dal master.





3
Introduzione al DNS
La radice (root) dell’albero dei nomi DNS è la zona
«.». E’ gestita da un insieme di server chiamati root
servers. Sono 13 e hanno nomi A.root-servers.netM.root-servers.net.
In generale per ottenere la risoluzione di un nome si
usa una interrogazione «ricorsiva». Si parte cioè dai
server radice, si passa ai server di primo livello, poi
di secondo livello e così via fino a trovare quello
autoritativo per l’indirizzo cercato.
I record dei DNS (che contengono ad esempio la
risoluzione di un nome in un IP) hanno una durata
limitata definita dal parametro TTL (Time To Live).



4
Introduzione al DNS
In genere i server DNS fungono anche da cache per
le interrogazioni richieste. Conservano cioè i record
DNS raccolti nelle interrogazioni ricorsive e li
considerano validi fino alla scadenza dei
corrispondenti TTL.
Il DDNS è il DNS dinamico. Ad esempio quello
Microsoft necessario per l’Active Directory è un DNS
dinamico.
Il DDNS permette di inserire automaticamente in una
zona DNS gli indirizzi di calcolatori che ottengono un
indirizzo non predefinito, tipicamente attraverso il
protocollo DHCP.



5
Introduzione al DNS
Esempio di interrogazione DNS.
6
Introduzione al DNS
Principali record DNS:

Record A - Indica la corrispondenza tra un nome ed uno (o più) indirizzi IP (per la precisione
indirizzi IPv4, ovvero la versione attualmente in uso).

Record MX - (Mail eXchange) indica a quali server debba essere inviata la posta elettronica per un
certo dominio.

Record CNAME - Sono usati per creare un alias, ovvero per fare in modo che lo stesso calcolatore
sia noto con più nomi. Uno degli utilizzi di questo tipo di record consiste nell'attribuire ad un host
che offre più servizi un nome per ciascun servizio. In questo modo, i servizi possono poi essere
spostati su altri host senza dover riconfigurare i client, ma modificando solo il DNS.

Record PTR - Il DNS viene utilizzato anche per realizzare la risoluzione inversa, ovvero per far
corrispondere ad un indirizzo IP il corrispondente nome di dominio. Per questo si usano i record di
tipo "PTR".

Record SRV - Identificano il server per un determinato servizio all'interno di un dominio. Possono
essere considerati una generalizzazione dei record MX.

Record TXT - Associano campi di testo arbitrari ad un dominio. Questi campi possono contenere
una descrizione informativa oppure essere utilizzati per realizzare servizi.
Vi sono anche tipi di record "di servizio", necessari al funzionamento del database distribuito:

Record NS - Utilizzato per indicare quali siano i server DNS autorevoli per un certo dominio,
ovvero per delegarne la gestione.

Record SOA - (Start of Authority) usato per la gestione delle zone DNS, ad esempio verificare se ci
sono aggiornamenti nelle zone.
7
Active Directory Domain Services è il ruolo di Windows Server 2008 R2 che
permette di organizzare in modo gerarchico tutte le risorse di una
organizzazione.
Consiste in un database distribuito.
L’organizzazione gerarchica prevede:






La foresta che indica un confine di sicurezza per l’organizzazione e un confine di
gestione per gli amministratori. Di default una foresta contiene un singolo dominio
che viene detto «forest root domain».
Altri domini che possono essere creati all’interno della foresta e che permettono il
partizionamento di parte dei dati e di replicarli solo dove necessario. Il concetto di
domino permette una grande scalabilità della Active Directory anche in zone
geografiche remote.
All’interno dei domini è possibile definire le Organizational Unit (OU) che
semplificano la gestione di un grande numero di oggetti e che permettono la
delega di gestione. La delega permette di attribuire permessi gestionali sulla OU a
persone fidate dell’organizzazione.
Siti: un oggetto Sito in Active Directory rappresenta una locazione geografica
fisica che ospita reti. I siti possono essere usati per semplificare
l’individuazione delle risorse, gestire le repliche di Active Directory, gestire il
traffico di collegamento alla rete.

8
Le risorse che tipicamente vengono memorizzate all’interno di Active
Directory sono:







Account utente
Gruppi di utenti
Account computer
Cartelle condivise
Stampanti
Policy di sicurezza
Active Directory è implementata tramite un insieme di servizi, ecco i
principali:




9
LDAP: è il database in cui vengono memorizzate le informazioni
(http://it.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol)
Kerberos: è un protocollo di rete che permette l’autenticazine tramite
crittografia (http://it.wikipedia.org/wiki/Kerberos). Realizza inoltre il Single
Sign-On (SSO) dell’utente. L’utente si autentica una sola volta all’accesso
ad un computer di Active Directory e poi le sue credenziali vengono usate
per l’accesso ai servizi senza la necessità di riautenticarsi.
DNS: per la risoluzione dei nomi all’interno dell’Active Directory.
Installazione di Active Directory
Prerequisiti:
 Modificare in modo appropriato il nome computer
(diventerà il primo domain controller del primo
dominio della foresta)
 Assegnare un indirizzo IP statico
 L’installazione del ruolo AD DS avviene in due fasi:


10
Installazione del ruolo da «Server Manager»
Avvio del Wizard dcpromo.exe
Di seguito vengono riportate le fasi del Wizard avviato da dcpromo.exe.
11
Viene mostrato un messaggio in cui si avvisa di possibile
incompatibilità con vecchi client Windows.
12
Poiché creiamo una nuova foresta selezioniamo la seconda opzione. Come si vede dal
Wizard è possibile aggiungere ulteriori DC a domini esistenti o creare nuovi domini.
13
Selezioniamo il nome per il «forest root domain». Il nome del primo
dominio della foresta è anche il nome della foresta.
14
In questo passaggio del Wizard selezioniamo il livello di funzionalità
della foresta.
15
Active Directory necessità di un DNS dinamico. Poiché non abbiamo
ancora installato un DNS decidiamo di installarlo adesso.
16
Veniamo informati in questo passaggio che è necessario
creare sul DNS parent la delega per la zona relativa ad
Active Directory.
Nell’esempio dovremmo definire sul DNS di cescot.it la
delega per il dominio dir.cescot.it. Dovremmo modificare il
DNS di cescot.it in modo da delegare la risoluzione dei
nomi di dir.cescot.it al server che stiamo installando.
17
Selezioniamo la posizione per i file di Database, Log e
SYSVOL
18
Impostiamo una password per la modalità «Directory
Services Restore Mode».
19
Viene mostrata una schermata riassuntiva delle opzioni
selezionate. E’ possibile tornare indietro a fare delle modifiche se
necessario.
20
Installazione in corso.
21
Fine dell’installazione e richiesta del riavvio.
Al riavvio avremo a disposizione i servizi di AD DS.
22
I principali strumenti di gestione di AD, tutti a partire da
Administrative Tools, sono:
 Active Directory Administration Center: introdotto con
Windows Server 2008 R2, permette di gestire utenti,
computer, gruppi e gli altri oggetti Active Directory.
 Active Directory Domains and Trusts: permette di gestire
i Domini e le relazioni di fiducia tra i domini.
 Active Directory Sites and Services: permette di gestire i
Siti per l’organizzazione geografica di Active Directory.
 Active Directory Users and Computers: permette di
gestire utenti, computer, gruppi e OU.
 Group Policy Management: permette di definire le
politiche di sicurezza da applicare a Siti, Domini e OU.
23
Join di un client al Dominio Active Directory.
Il join è l’operazione con cui un computer client entra a far
parte di un dominio e quindi a condividere tutte le risorse
del dominio.
Un computer in join permette l’autenticazione degli utenti
definiti all’interno del dominio. Il gruppo «Domain admins»
viene inserito nel gruppo «Administrators» locale. Il gruppo
«Domain users» viene inserito nel gruppo «Users» locale.
Dal computer in join è possibile accedere alle risorse del
dominio ad esempio cartelle condivise e stampanti.
Un computer in join al dominio eredita, in base alla sua
posizione nella gerarchia di AD, determinate policy di
sicurezza.
24
Join al Dominio Active Directory:

Prima di mettere in join un computer client verificare che il nome del computer sia ben definito. La modifica del nome richiede il riavvio del
client.

Per eseguire il join usare «Sistema» di «Pannello di controllo» e andare sulla scheda «Nome computer». Dal pulsante «Cambia...» è
possibile modificare il nome del computer e l’appartenenza ad un dominio.
25
Dopo il join al Dominio Active Directory possiamo fare
le seguenti verifiche:
 Se la macchina ottiene un indirizzo IP via DHCP
verificare sul DHCP che ci sia il Lease corrispondete
(è indipendente dal join al dominio).
 Verificare che sul DNS ci sia il record A per la
macchina in join. Di default sul DNS viene aggiunto il
solo record A. Per avere la risoluzione inversa è
necessario aggiungere una zona di risoluzione
inversa.
 Verificare su «AD Users and Computers» che ci sia il
computer in join.
26
AD Users and Computers
Il primo nodo rappresenta il forest
root domain.
All’interno del dominio sono presenti
una serie di contenitori predefiniti ad
esempio:
• Builtin: contiene i gruppi
predefiniti di Windows Server
2008 R2
• Computers: è il contenitore
predefinito per i computer del
dominio
• Domain Controllers: contiene
l’elenco degli account computer
dei domain controllers
• Users: contiene i gruppi predefiniti
di AD DS ed è il contenitore
predefinito per gli utenti del
dominio
L’amministratore del dominio può
creare all’interno del dominio OU che
tipicamente rispecchiano le funzioni
amministrative dell’organizzazione.
Le OU tipicamente includono
computer, utenti e gruppi.
27
Group Policy Management (1/2)
Le policy di Windows sono insiemi
di regole che controllano
l’ambiente di lavoro degli utenti.
Tipicamente vengono usate per
impedire azioni che sono
potenzialmente pericolose.
Le policy possono essere definite
a diversi livelli:
• Oggetto criteri di gruppo locale
(presente in ogni client
Windows)
• Siti
• Domini
• Unità Organizzative
L’elenco rispetta l’ordine di
applicazione delle policy. In caso
di conflitto valgono le policy
applicate per ultime e quindi se
esistono quelle a livello di OU.
28
Group Policy Management (2/2)
In questo esempio si sta
editanto la policy dell’OU
OU1.
Ogni policy è divisa in due
sezioni:
• Computer Configuration
• User Configuration
In Computer Configuration si
definiscono le regole che
vengono applicate a livello di
computer. Sono attive al
riavvio del computer.
In User Configuration si
definiscono le regole che
vengono applicate a livello di
utente. Sono attive al logon
dell’utente.
29
Architettura lezioni.
Macchina docente installare il server 2008 R2 e:
1. Installare DHCP
2. Installare AD DS e DNS in contemporanea, diventa
il DC per fare le prove
Esempi d’uso di AD:
 Per ogni utente del corso creare un utente e provare
i login
 Creare due OU per dividere i computer
 Applicare delle policy alle due OU
30

Introduzione ad Active Directory - CESCOT

Transcript

Documenti analoghi

Cos`è Active Directory ?

WINDOWS SERVER 2003

scheda tecnica - Area Information Technology

Amministrazione Active Directory Microsoft

teoria sull`active directory

Scarica PDF

Designing a MS Windows Server 2003 Active Directory and Network

Richiesta di registrazione di dominio di 4° livello

Istruzioni per l`installazione del programma Vgara

07/07/2009 Ontheroadnews.eu