Domener, DHCP, DNS
Domenekontroller
Et domene er et administrasjonsområde i et nettverk som kontrolleres av en eller flere Domain Controllers (DC). En Domain Controller er en server som tilbyr følgende tjenester:
- Active Directory Users and Computers – en database over brukere, deres passord og grupper de tilhører
- Group Policy Manager – en liste over retningslinjer som gjelder for domenet
- DNS – et system som knytter domenenavn til IP-adresser
Eksempel på domenestruktur:
- vg.no – Root-domenet
- nyheter.vg.no – Sub-domenet "nyheter" under root-domenet vg.no
Figur 1 viser navnestandarden for domener. Domener "domains" er styrt av noe -- en domenekontroller.
Workgroup vs. Domene: En "workgroup" er en enkel nettverksstruktur der hver PC har sin egen login-informasjon, og ingenting er delt sentralt. Et domene gir sentralisert administrasjon og kontroll over alle enhetene fra én eller flere servere.
Eksempel: En stor bedrift kan bruke domener til å administrere alle sine datamaskiner og brukere fra ett sentralt sted, mens en liten bedrift kanskje bare bruker en workgroup.
Sites i Active Directory
En Site i Active Directory representerer en fysisk plassering i nettverket som har god nettverksforbindelse, for eksempel en bygning eller et datasenter.
- Sites gjør det mulig å replikere (kopiere) Active Directory-data mellom Domain Controller-e i forskjellige nettverk.
- Autentisering av brukere og tilgang til ressurser går raskere om autentiseringen kan gjøres på den nærmeste Domain Controller-en innenfor samme Site.
- Sites konfigureres ved hjelp av Active Directory Sites and Services-verktøyet, og er nyttig for bedrifter med kontorer flere steder i verden.
Eksempel:
- Site A: Representerer hovedkontoret i Oslo.
- Site B: Representerer en filial i Bergen.
Ved å bruke Sites kan vi sikre at replikering av Active Directory-data mellom Oslo og Bergen skjer effektivt og med minimal nettverkstrafikk.
DHCP på Windows Server 2022
DHCP (Dynamic Host Configuration Protocol) tildeler dynamisk IP-adresser til enheter i et nettverk. Dette er viktig fordi det gjør nettverksadministrasjon enklere ved automatisk å tildele IP-adresser til enheter som kobler seg til nettverket.
- Scopes: Et scope er et sett med IP-adresser som DHCP-serveren kan tildele til klienter. Scopes definerer hvilke IP-adresser som er tilgjengelige for DHCP-serveren å tildele.
- Reservasjoner: Reservasjoner tildeler en spesifikk IP-adresse til en enhet basert på dens MAC-adresse, noe som er å foretrekke over statiske IP-adresser.
Figur 1 viser en reservasjon som lages i Scope for printere. En MAC-addresse får reservert en IP-addresse. DHCP vil da alltid tildele samme IP til denne MAC-addressen.
Eksempel på DHCP-scope:
Scope A: 192.168.1.1-192.168.1.254
Scope B: 192.168.2.1-192.168.2.254
Eksempel på bruk av DHCP-scope:
- Scope A kan brukes for enheter i bygning A.
- Scope B kan brukes for enheter i bygning B.
Når en enhet i bygning A ber om en IP-adresse, vil DHCP-serveren tildele en adresse fra Scope A. Tilsvarende vil en enhet i bygning B få en adresse fra Scope B.
Eksempel på DHCP-lease-prosessen:
- Klienten sender en DHCPDISCOVER-melding for å finne en DHCP-server.
- DHCP-serveren svarer med en DHCPOFFER-melding som inneholder en tilbudt IP-adresse.
- Klienten sender en DHCPREQUEST-melding for å be om den tilbudte IP-adressen.
- DHCP-serveren bekrefter med en DHCPACK-melding, og klienten kan bruke IP-adressen.
DHCP lease-fornyelse:
- Halvveis gjennom leasetiden prøver klienten å fornye leasen ved å sende en DHCPREQUEST til DHCP-serveren.
- Hvis DHCP-serveren godtar forespørselen, sender den tilbake en DHCPACK, og leasetiden forlenges.
DNS på Windows Server 2022
DNS (Domain Name System) er et system som oversetter domenenavn til IP-adresser. Det er en nødvendig del av Active Directory. Når en klient kobler seg til domenet, vil den spørre DNS om hvor domenekontrolleren er.
Noen viktige DNS-begreper:
- Forward Lookup Zone: Brukes når enheten kjenner navnet, men ikke IP-adressen.
- Reverse Lookup Zone: Brukes når enheten kjenner IP-adressen, men ikke navnet.
- A Record: Oppslag for IPv4-adresser.
- AAAA Record: Oppslag for IPv6-adresser.
Figur 2 viser et nytt DNS-oppslag blir laget. Da er det ikke lenger nødvendig å benytte IP-addresse. Hosten kan nås med det navnet som er lagret i DNS.
Hvordan DNS-oppslag fungerer:
- Klienten sender en forespørsel til DNS-serveren for å finne IP-adressen til et domenenavn.
- DNS-serveren sjekker sin database for den korrekte IP-adressen og returnerer den til klienten.
- Hvis DNS-serveren ikke har informasjonen, kan den videresende forespørselen til en annen DNS-server.
DNS-cache lagrer nylige forespørsler lokalt for å forbedre responstiden og redusere nettverkstrafikk. Kommandoer for å administrere DNS-cache:
Ipconfig /displaydns Viser lokale DNS-oppslag
Ipconfig /flushdns Tømmer den lokale DNS-cache
Nslookup [adresse] Viser IP-adressen til domenenavnet og hvilken DNS-server som ga svaret
Viktigheten av DNS-sikkerhet:
- DNS-cache-forgiftning: En form for angrep der ondsinnet data injiseres i DNS-cachen, noe som kan føre til at brukere omdirigeres til falske nettsteder.
- Bruk av sikre DNS-servere og implementering av DNSSEC (DNS Security Extensions) kan bidra til å forhindre slike angrep.
Active Directory
Active Directory er Microsofts løsning for å administrere brukere, datamaskiner og andre enheter i et domene. Oppbygningen av Active Directory består av:
- Forrest: Består av flere trær (Trees)
- Tree: Består av flere domener
- Domain: Kan deles inn i sub-domener
Eksempel på en typisk struktur i Active Directory:
- Forrest: tech.local
- Tree: tech.local
- Domain: sales.tech.local, it.tech.local
Organizational Units (OU) brukes til å organisere objekter som brukere, grupper og datamaskiner i Active Directory. De hjelper med å holde strukturen ryddig og er nødvendige for å sette Group Policy-er.
Replication: Prosessen med å kopiere data mellom flere Domain Controllers for å sikre at alle har samme informasjon.
Global Catalog: En Global Catalog-server inneholder en delvis kopi av alle objektene i skogen og gjør det mulig å søke etter objekter i alle domener i skogen.
FSMO-roller: Flexible Single Master Operation roller er spesifikke funksjoner i Active Directory som kun kan utføres av én Domain Controller om gangen i skogen eller domenet. De fem FSMO-rollene er:
- Schema Master: Ansvarlig for endringer i Active Directory-skjemaet, som definerer strukturen til objektene i katalogtjenesten.
- Domain Naming Master: Kontrollerer tillegg eller fjerning av domener i skogen.
- RID Master: Tildeler Relative Identifiers (RIDs) til Domain Controllers i et domene, som er nødvendige for å opprette nye objekter.
- PDC Emulator: Tilbyr kompatibilitet med eldre Windows NT-servere og håndterer tidssynkronisering innenfor et domene.
- Infrastructure Master: Ansvarlig for å oppdatere referanser til objekter i andre domener.
Typer Grupper i Active Directory
Det finnes ulike typer grupper i Active Directory for å administrere brukere og ressurser:
- Security Groups: Brukes for å tildele tillatelser til delte ressurser.
- Distribution Groups: Brukes for e-postdistribusjonslister.
Grupper kan også være:
- Global Groups: Brukes hovedsakelig til å organisere brukere i samme domene.
- Domain Local Groups: Brukes til å tildele tillatelser til ressurser i samme domene.
- Universal Groups: Brukes til å organisere brukere og grupper på tvers av flere domener i en skog.
Figur 3 viser Active Directory Users and computers til domenet srv.world. Vanligvis ønsker vi å opprette flere organisasjonsenheter, mapper for å sortere brukere og datamaskiner. Organisasjonsenhetene gjør det også enklere å lage gruppe policy-er som treffer noen ting, men ikke alt.
Group Policy
Group Policy setter regler for domenet og kan konfigureres på Organizational Units (OU-er). Noen viktige konsepter innen Group Policy er:
- Inheritance: GPO-er (Group Policy Objects) arves av alle underliggende OU-er, men kan overstyres.
- Filtering: Benyttes for å treffe spesifikke brukere, grupper eller datamaskiner uten å opprette mange OU-er.
Eksempel på kommando for å oppdatere Group Policy:
gpupdate /force
Eksempler på vanlige Group Policy-er:
Kreve sterkt passord av brukerne:
- Åpne Group Policy Management og opprett en ny GPO
- Gå til "Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy".
- Konfigurer passord instillingene
Standard skrivebordsbakgrunn:
- Åpne Group Policy Management og opprett en ny GPO (Group Policy Object).
- Høyreklikk på GPO-en og velg "Edit".
- Gå til "User Configuration > Policies > Administrative Templates > Desktop > Desktop > Desktop Wallpaper".
- Aktiver policyen og angi stien til bildefilen som skal brukes som skrivebordsbakgrunn. Sørg for at alle brukere har tilgang til denne filen.
- Oppdater policyen ved å kjøre
gpupdate /force
på klientmaskinene.
Drive Map for delte "harddisker":
- Opprett en delt mappe på serveren som skal fungere som den delte "harddisken".
- Åpne Group Policy Management og opprett en ny GPO.
- Høyreklikk på GPO-en og velg "Edit".
- Gå til "User Configuration > Preferences > Windows Settings > Drive Maps".
- Høyreklikk og velg "New > Mapped Drive".
- Angi stien til den delte mappen under "Location" (f.eks. \\servernavn\mappenavn).
- Velg et ledig drevbokstav under "Drive Letter" (f.eks. Z:).
- Velg "Reconnect" for å sikre at mappen kobles til på nytt ved omstart.
- Oppdater policyen ved å kjøre
gpupdate /force
på klientmaskinene.