Domener, DHCP, DNS

Domenekontroller

Et domene er et administrasjonsområde i et nettverk som kontrolleres av en eller flere Domain Controllers (DC). En Domain Controller er en server som tilbyr følgende tjenester:

Active Directory Users and Computers – en database over brukere, deres passord og grupper de tilhører
Group Policy Manager – en liste over retningslinjer som gjelder for domenet
DNS – et system som knytter domenenavn til IP-adresser

Eksempel på domenestruktur:

vg.no – Root-domenet
nyheter.vg.no – Sub-domenet "nyheter" under root-domenet vg.no

Figur 1 viser navnestandarden for domener. Domener "domains" er styrt av noe -- en domenekontroller.

Workgroup vs. Domene: En "workgroup" er en enkel nettverksstruktur der hver PC har sin egen login-informasjon, og ingenting er delt sentralt. Et domene gir sentralisert administrasjon og kontroll over alle enhetene fra én eller flere servere.

Eksempel: En stor bedrift kan bruke domener til å administrere alle sine datamaskiner og brukere fra ett sentralt sted, mens en liten bedrift kanskje bare bruker en workgroup.

Sites i Active Directory

En Site i Active Directory representerer en fysisk plassering i nettverket som har god nettverksforbindelse, for eksempel en bygning eller et datasenter.

Sites gjør det mulig å replikere (kopiere) Active Directory-data mellom Domain Controller-e i forskjellige nettverk.
Autentisering av brukere og tilgang til ressurser går raskere om autentiseringen kan gjøres på den nærmeste Domain Controller-en innenfor samme Site.
Sites konfigureres ved hjelp av Active Directory Sites and Services-verktøyet, og er nyttig for bedrifter med kontorer flere steder i verden.

Eksempel:

Site A: Representerer hovedkontoret i Oslo.
Site B: Representerer en filial i Bergen.

Ved å bruke Sites kan vi sikre at replikering av Active Directory-data mellom Oslo og Bergen skjer effektivt og med minimal nettverkstrafikk.

DHCP på Windows Server 2022

DHCP (Dynamic Host Configuration Protocol) tildeler dynamisk IP-adresser til enheter i et nettverk. Dette er viktig fordi det gjør nettverksadministrasjon enklere ved automatisk å tildele IP-adresser til enheter som kobler seg til nettverket.

Scopes: Et scope er et sett med IP-adresser som DHCP-serveren kan tildele til klienter. Scopes definerer hvilke IP-adresser som er tilgjengelige for DHCP-serveren å tildele.
Reservasjoner: Reservasjoner tildeler en spesifikk IP-adresse til en enhet basert på dens MAC-adresse, noe som er å foretrekke over statiske IP-adresser.

Figur 1 viser en reservasjon som lages i Scope for printere. En MAC-addresse får reservert en IP-addresse. DHCP vil da alltid tildele samme IP til denne MAC-addressen.

Eksempel på DHCP-scope:
    Scope A: 192.168.1.1-192.168.1.254
    Scope B: 192.168.2.1-192.168.2.254

Eksempel på bruk av DHCP-scope:

Scope A kan brukes for enheter i bygning A.
Scope B kan brukes for enheter i bygning B.

Når en enhet i bygning A ber om en IP-adresse, vil DHCP-serveren tildele en adresse fra Scope A. Tilsvarende vil en enhet i bygning B få en adresse fra Scope B.

Eksempel på DHCP-lease-prosessen:

Klienten sender en DHCPDISCOVER-melding for å finne en DHCP-server.
DHCP-serveren svarer med en DHCPOFFER-melding som inneholder en tilbudt IP-adresse.
Klienten sender en DHCPREQUEST-melding for å be om den tilbudte IP-adressen.
DHCP-serveren bekrefter med en DHCPACK-melding, og klienten kan bruke IP-adressen.

DHCP lease-fornyelse:

Halvveis gjennom leasetiden prøver klienten å fornye leasen ved å sende en DHCPREQUEST til DHCP-serveren.
Hvis DHCP-serveren godtar forespørselen, sender den tilbake en DHCPACK, og leasetiden forlenges.

DNS på Windows Server 2022

DNS (Domain Name System) er et system som oversetter domenenavn til IP-adresser. Det er en nødvendig del av Active Directory. Når en klient kobler seg til domenet, vil den spørre DNS om hvor domenekontrolleren er.

Noen viktige DNS-begreper:

Forward Lookup Zone: Brukes når enheten kjenner navnet, men ikke IP-adressen.
Reverse Lookup Zone: Brukes når enheten kjenner IP-adressen, men ikke navnet.
A Record: Oppslag for IPv4-adresser.
AAAA Record: Oppslag for IPv6-adresser.

Figur 2 viser et nytt DNS-oppslag blir laget. Da er det ikke lenger nødvendig å benytte IP-addresse. Hosten kan nås med det navnet som er lagret i DNS.

Hvordan DNS-oppslag fungerer:

Klienten sender en forespørsel til DNS-serveren for å finne IP-adressen til et domenenavn.
DNS-serveren sjekker sin database for den korrekte IP-adressen og returnerer den til klienten.
Hvis DNS-serveren ikke har informasjonen, kan den videresende forespørselen til en annen DNS-server.

DNS-cache lagrer nylige forespørsler lokalt for å forbedre responstiden og redusere nettverkstrafikk. Kommandoer for å administrere DNS-cache:

Ipconfig /displaydns    Viser lokale DNS-oppslag
Ipconfig /flushdns      Tømmer den lokale DNS-cache
Nslookup [adresse]      Viser IP-adressen til domenenavnet og hvilken DNS-server som ga svaret

Viktigheten av DNS-sikkerhet:

DNS-cache-forgiftning: En form for angrep der ondsinnet data injiseres i DNS-cachen, noe som kan føre til at brukere omdirigeres til falske nettsteder.
Bruk av sikre DNS-servere og implementering av DNSSEC (DNS Security Extensions) kan bidra til å forhindre slike angrep.

Active Directory

Active Directory er Microsofts løsning for å administrere brukere, datamaskiner og andre enheter i et domene. Oppbygningen av Active Directory består av:

Forrest: Består av flere trær (Trees)
Tree: Består av flere domener
Domain: Kan deles inn i sub-domener

Eksempel på en typisk struktur i Active Directory:

Forrest: tech.local
Tree: tech.local
Domain: sales.tech.local, it.tech.local

Organizational Units (OU) brukes til å organisere objekter som brukere, grupper og datamaskiner i Active Directory. De hjelper med å holde strukturen ryddig og er nødvendige for å sette Group Policy-er.

Replication: Prosessen med å kopiere data mellom flere Domain Controllers for å sikre at alle har samme informasjon.

Global Catalog: En Global Catalog-server inneholder en delvis kopi av alle objektene i skogen og gjør det mulig å søke etter objekter i alle domener i skogen.

FSMO-roller: Flexible Single Master Operation roller er spesifikke funksjoner i Active Directory som kun kan utføres av én Domain Controller om gangen i skogen eller domenet. De fem FSMO-rollene er:

Schema Master: Ansvarlig for endringer i Active Directory-skjemaet, som definerer strukturen til objektene i katalogtjenesten.
Domain Naming Master: Kontrollerer tillegg eller fjerning av domener i skogen.
RID Master: Tildeler Relative Identifiers (RIDs) til Domain Controllers i et domene, som er nødvendige for å opprette nye objekter.
PDC Emulator: Tilbyr kompatibilitet med eldre Windows NT-servere og håndterer tidssynkronisering innenfor et domene.
Infrastructure Master: Ansvarlig for å oppdatere referanser til objekter i andre domener.

Typer Grupper i Active Directory

Det finnes ulike typer grupper i Active Directory for å administrere brukere og ressurser:

Security Groups: Brukes for å tildele tillatelser til delte ressurser.
Distribution Groups: Brukes for e-postdistribusjonslister.

Grupper kan også være:

Global Groups: Brukes hovedsakelig til å organisere brukere i samme domene.
Domain Local Groups: Brukes til å tildele tillatelser til ressurser i samme domene.
Universal Groups: Brukes til å organisere brukere og grupper på tvers av flere domener i en skog.

Figur 3 viser Active Directory Users and computers til domenet srv.world. Vanligvis ønsker vi å opprette flere organisasjonsenheter, mapper for å sortere brukere og datamaskiner. Organisasjonsenhetene gjør det også enklere å lage gruppe policy-er som treffer noen ting, men ikke alt.

Group Policy

Group Policy setter regler for domenet og kan konfigureres på Organizational Units (OU-er). Noen viktige konsepter innen Group Policy er:

Inheritance: GPO-er (Group Policy Objects) arves av alle underliggende OU-er, men kan overstyres.
Filtering: Benyttes for å treffe spesifikke brukere, grupper eller datamaskiner uten å opprette mange OU-er.

Eksempel på kommando for å oppdatere Group Policy:
    gpupdate /force

Eksempler på vanlige Group Policy-er:

Kreve sterkt passord av brukerne:

Åpne Group Policy Management og opprett en ny GPO
Gå til "Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy".
Konfigurer passord instillingene

Standard skrivebordsbakgrunn:
1. Åpne Group Policy Management og opprett en ny GPO (Group Policy Object).
2. Høyreklikk på GPO-en og velg "Edit".
3. Gå til "User Configuration > Policies > Administrative Templates > Desktop > Desktop > Desktop Wallpaper".
4. Aktiver policyen og angi stien til bildefilen som skal brukes som skrivebordsbakgrunn. Sørg for at alle brukere har tilgang til denne filen.
5. Oppdater policyen ved å kjøre gpupdate /force på klientmaskinene.
Drive Map for delte "harddisker":
1. Opprett en delt mappe på serveren som skal fungere som den delte "harddisken".
2. Åpne Group Policy Management og opprett en ny GPO.
3. Høyreklikk på GPO-en og velg "Edit".
4. Gå til "User Configuration > Preferences > Windows Settings > Drive Maps".
5. Høyreklikk og velg "New > Mapped Drive".
6. Angi stien til den delte mappen under "Location" (f.eks. \\servernavn\mappenavn).
7. Velg et ledig drevbokstav under "Drive Letter" (f.eks. Z:).
8. Velg "Reconnect" for å sikre at mappen kobles til på nytt ved omstart.
9. Oppdater policyen ved å kjøre gpupdate /force på klientmaskinene.