Normal stiam ca vine in support tools, insa pe W2K8 R2 l-am gasit deja instalat. Mai jos aveti un exemplu de export al unui zone:

Pentru restore: se reface zona si se inlocuieste fisierul cu extensia DNS.

Dupa cum stiti fiecare domeniu AD are asociata si o zona DNS folosita in special pentru a localiza serviciile si sistemele din domeniu.

In majoritatea cazurilor aceasta zona este de tipul AD Integrated (poate fi si standard) adica zona e stocata in AD, replicata pe toate DC-urile, si incarcata automat la pornirea serviciului DNS. Fiind stocata in AD, backup-ul zonei este integrat in backup-ul de AD (systemstate) si bineinteles ca si restore-ul urmareste aceeasi procedura. Problema cu restore-ul de AD e ca trebuie sa restartezi DC-ul in modul de restore si in unele cazuri poate fi destul de neplacut. Plus ca trebuie sa faci restore la intreg systemstate-ul.

Deci, ce metoda mai buna de restore as avea daca accidental sterg zona sau o parte din ea?

Ideea ar fi sa creez o zona de tip standard secondary pe un alt server Windows:

Setez ca serverul sa traga o copie a zonei de pe un DNS server existent (domain controller).

Si pe serverul care are deja zona setez “allow zone transfers” sa imi permita transferuri catre noul server.

La scurt timp pot vedea o copie a zonei pe noul server:

Zona fiind de tip standard, o gasim aici:

Iar continutul arata cam asa:

Acest fisier se updateaza pe baza informatiilor din zona din AD, deci va fi necesar sa ii facem un backup schedulat. Nu o sa mai detaliez procesul pentru ca e banal.

Acum sa explic si in ce ar consta procesul de restore. Considerand ca informatiile din zona din AD au “disparut”, luam fisierul cu numele zonei de pe noul server, il copiem pe un DC unde facem urmatoarele:

-stergem zona existenta

-o recream cu acelasi nume dar de nu AD Integrated. In felul acesta zona va fi stocata in %windir%\system32\dns\

-inlocuim fisierul cu numele zonei folosind fisierul de pe serverul de backup

-schimbam modul de storage din nou ca AD Integrated

Nu spun ca e cea mai buna metoda, ci doar un mod de a realiza ceva. Acum daca stau sa ma gandesc as gasi metode chiar mai bune. As putea face backup-ul in felul urmator:

- schimb temporar zona de pe DC in standard primary

- fac backup

- schimb la loc in AD Integrated

Problema care o vad eu cu toate aceste metode, e cu permisiunile pe inregistrari. In momentul in care zona ajunge in AD, fiecare inregistrare de acolo reprezinta un obiect in AD cu ACL-uri la fel ca orice alt obiect. Daca ai apucat sa te folosesti de aceste ACL-uri (iar unele servicii se folosesc automat) atunci toate aceste proceduri iti vor sterge ACL-urile and it sucks!

Tocmai din cauza asta recomand ca restore-ul sa se faca via systemstate pe cat posibil.

Si ar mai fi si alte metode de a face backup/restore la zonele DNS. Dar … data viitoare.

DNS Round Robin este un mecanism de balansare a incarcarii serverelor, sau altfel zis, de distribuire a conexiunilor catre mai multe servere. Nu o sa explic scenariile pentru care este folosit ci o sa ma concentrez pe modul de functionare. Sa luam exemplul in care avem 4 servere web care au acelasi continut (static), si dorim sa distribuim conexiunile care vin catre numele DNS test.winadmin.local spre toate cele 4 servere. Prima data va trebui sa cream urmatoarele inregistrari in DNS:

test.winadmin.local. IN A 192.168.1.10

test.winadmin.local. IN A 192.168.1.20

test.winadmin.local. IN A 192.168.1.30

test.winadmin.local. IN A 192.168.1.40

Daca serverul nostru DNS are activata optiunea Round Robin, atunci cand un client va incerca sa rezolve test.winadmin.local, serverul ii va raspunde cu toate cele 4 IP-uri care rezolva catre numele test.winadmin.local.

Ok, o sa spuneti ca teoria si manualele Microsoft spun cu totul altceva, bla, bla. Nici o problema, intr-un fel si manualul are dreptate. Raspunsul serverului este de fapt o lista, care contine toate IP-urile de mai sus, si din care clientul il va folosi pe primul din lista. La fiecare interogare noua, serverul va roti IP-urile din lista, in asa fel incat de fiecare data clientul va avea o lista cu IP-urile dar in alta ordine. Putem vedea ce primeste clientul folosing nslookup:

De ce totusi 192.168.0.40 ramane primul in lista? Pentru ca serverul DNS are activata optiunea “Enable netmask ordering”. Aceasta optiune aranjeaza IP-urile in lista pe baza IP-ului de la care a venit cererea, in asa fel incat sa ofere cea mai apropiata adresa de client. Netmask ordering are prioritate peste round robin, asa ca daca ambele optiuni sunt activate (default) IP-urile din acelasi subnet (se face un simplu match in binar) cu clientul vor fi primele in lista.

Mai sus am testat cu NSLOOKUP pentru ca trece peste cache-ul local si imi arata direct raspunsul serverului. Daca as fi incercat doar cu ping raspunsul ar fi fost cache-uit local. Putem dezactiva cache-ul de DNS oprind serviciul DNS Client pe statia de pe care testam. Serviciul este responsabil pentru cache-uirea raspunsurilor, asa ca daca il oprim nu o sa mai fie nevoie sa rulam ipconfig /flushdns dupa fiecare test. Stati fara grija, serviciul nu este responsabil pentru functionarea interogarilor, asa ca in scenarii de troubleshooting e chiar recomandata oprirea lui. Se face cu NET STOP DNSCACHE.

Iata si exemplu de captura cu Wireshark:

Sa revenim, ca de aici incepe “distractia”. Ce IP alege clientul din lista care tocmai a primit-o? Normal ar trebui sa il ia pe primul, ca sa poata beneficia de Netmask Ordering . Doar ca nu functioneaza ca in carti. Clientul mai face si el Netmask Ordering local sau altfel spus Subnet Prioritization. Deci indiferent daca noi am activat pe server optiunea Netmask Ordering sau nu, clientul alege cel mai apropiat IP. Si uite asa Round Robin-ul in clipa asta se duce pe rapa mai ales atunci cand avem in lista un IP din acelasi subnet cu clientul.

Ca sa dezactivam Subnet Prioritization pe client trebuie sa adaugam urmatoarea cheie in registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters\PrioritizeRecordData de tipul REG_DWORD si valoarea 0.

Insa optiunea asta merge doar pe Windows 2000/XP/2003. Sa va mai zic ca la Windows Vista lucrurile s-au schimbat? Complicat, nu? De Vista nu prea stiu mare lucru pentru ca este un OS mort si nici nu are rost sa-mi mai pierd timpul facand research pe el.

Dar stiu ca exista acest KB http://support.microsoft.com/default.aspx?scid=kb;EN-US;968920 care explica despre cum sa dezactivezi Subnet Prioritization. Iar algoritmul dupa care ar trebui sa aleaga IP-ul e descris aici : http://www.ietf.org/rfc/rfc3484.txt.

Si cum nu se putea altfel, modul de procesare a raspunsurilor serverului DNS s-a schimbat din nou in Windows 7. In Windows 7, valoarea pentru OverrideDefaultAddressSelection din KB-ul de mai sus e implicit 1.

Cu toate astea, Windows 7 ignora ordinea inregistrarilor primite de server si alege random (CRED, pentru ca nu am reusit sa stabilesc un pattern si nici nu am acces la codul sursa) o inregistrare din lista. Nu am reusit sa gasesc nici un mod prin care sa il fortez sa foloseasca primul IP din lista returnata de server.

 UPDATE: Se pare ca by default Windows 7 respecta raspunsul primit de server si alege primul IP din lista. Totusi, in cazul testului facut mai sus, cu IP-urile de acolo si cu un client cu ip-ul 192.168.0.131, lucrurile o iau razna. Daca reuseste cineva sa repete testul il rog sa ma anunte.

Pffff .. cam complicat Round Robin-ul asta pentru o singur bifa in consola DNS.

In ultimii ani am intalnit destul de des termenul DNS Poisoning (DNS Pollution sau DNS Cache Poisoning) si am vazut si ceva security hotfixuri legate de aceasta tehnica.  Cineva m-a intrebat de curand cum functioneaza. E o tehnica destul de veche dar interesanta. Sa explicam pe scurt:

1. Incercam sa facem o interogare pe domeniul dnstest.winadmin.ro

2. Serverul autoritar pentru inregistrarea dnstest.winadmin.ro este unul din NS-urile care imi tine zona winadmin.ro

3. Si aici intervine smecheria. Serverul meu raspunde ceva de genu: nu am inregistrarea dnstest, dar am delegat-o catre NS-ul www.google.com. Si ca sa nu te mai chinui ia si IP-ul lui www.google.com si tine-l in cache.

- va imaginati ca IP-ul returnat nu duce in nici un caz la google.

- daca serverul DNS are incredere in raspuns si cachuieste informatia – we are fucked up.

4. Probabil ca nu vom reusi sa accesam dnstest.winadmin.ro dar asta nu e important pentru atacator.

5. Nu are rost sa mai spun unde se vor duce cererile urmatoare catre www.google.com.

Foarte multe servere DNS au fost redirectate in acest fel tocmai pentru ca permiteau recursion. Azi am putea spune ca e destul de safe daca esti patch-uit bine, insa asteptam DNSSEC care o sa rezolve astfel de hibe.
DNS-ul e treaba serioasa. De asta nici nu recomand companiilor sa foloseasca forward catre serverele providerului.

PS: remember China Golden Shield Project?

In acest tutorial vor urma pasii necesari pentru a configura si hosta o zona DNS pe un server Windows. Configurarea zonei DNS este primul task care trebuie facut atunci cand vrem sa hostam un website. Prima parte din tutorial este specifica domeniilor RO (achizitionate de la RNC – www.rotld.ro), insa principiul este cam acelasi pentru orice zona DNS.

Considerand ca ati achizitionat domeniul scurt.ro de la RNC si ati primit datele de conectare pe www.rotld.ro :

1. Logati-va la ROTLD, www.rotld.ro, si intrati in Administrare Domenii=>Online

2. Va duceti la NameServers

3. Acolo vedeti jos “formularul “ – apasati si definiti nameserver-ul (poate fi NS ca in exemplu sau altceva – atentie ca trebuie sa se potriveasca cu inregistrarea NS din zona; o sa vedem mai tarziu in tutorial)

4. Acum revenim la nameserver si punem ns.scurt.ro

5. Primim mesajul “Actualizarea a fost facuta cu succes!”

Acum ca am terminat de setat nameserverul la RNC e timpul sa setam zona DNS si pe serverul care o va hosta. In exemplul nostru vom folosin un Windows Server 2008.  Inainte de toate trebuie sa instalam serviciul DNS (folosim consola Server Manager).

Deschidem consola DNS din Administrative tools:

Definim zona exact ca in screenshoturile de mai jos:

Fiecare zona va fi stocata intr-un fisier local pe disk cu numele numezona.dns. Acesta poate fi folosit si pentru a muta zona pe un alt server.

Pentru zonele expuse in Internet nu este recomandat sa setam Dynamic updates.

Asa arata zona dupa configurare. Bineinteles ca nu o putem lasa asa si trebuie sa o “aranjam” putin.

In “properties” pe zona gasiti tab-ul  Start of Authority. Acesta este responsabil pentru configurarea inregistrarii SOA din zona.

Majoritatea administratorilor lasa informatiile de aici nemodificate. Wrong. Trebuie completate ca in exemplul de mai jos. Serial number ar trebui sa respecte urmatoarea regula: YYYYMMDDNN (an/luna/zi/numar modificare).

Windows-ul automat adauga numele serverului ca NS in zona. Acesta trebuie corectat si puse informatiile care sunt relevante pentru cei ce acceseaza zona din internet.

Adaugam numele serverului care l-am definit ca NS la RNC; IP-ul este chiar IP-ul serverului pe care ne aflam.

Si asa arata zona acum.

E cazul sa cream inregistrari in zona. Deja exista NS (am definit-o mai sus ca nameserver).

Mai adaugam o inregistrare dar la nume lasam blank. Aceasta este folosita pentru cazul in care vrem sa accesam websiteul folosind doar “scurt.ro” (fara nici un alt hostname in fata, gen www.scurt.ro).

Acum ca am creat inregistrarile e timpul sa testam ce am setat:

Din cate se poate vedea nameserverul este vizibil in internet si putem rezolva si inregistrari in zona.

Nota: Request timed out la ping nu are nici o relevanta in cazul nostru. Am vrut doar sa rezolvam numele scurt.ro la o adresa IP.

In partea a doua vom discuta si despre alte inregistrari din zona DNS si ceva setari specifice IIS in cazul in care ne hotaram sa hostam un website.

Nota: Articolul este scris la initiativa lui Andrei Ignat.

Google a anuntat ca isi lanseaza serviciul de Public DNS si ca de acum puteti sa folositi pentru interogari serverele lor.

Detalii la http://code.google.com/speed/public-dns/docs/intro.html

DAR … sfatul meu e sa nu dati navala. Daca totusi insistati sa le folositi, puneti in lista DNS-ul local si abia dupaia cel de la Google, ca si backup. Pe servere nici nu ar mai trebui sa mai zic (dar zic), folositi serverele root nu asa ceva.

Acum, ca am anuntat si am dat sfaturi, sa vedem si de ce sare Google cu asa o oferta. Pai ca sa aiba un control si mai mare asupra a ce se intampla pe internet. Cand toti specialistii de cartier o sa foloseasca serverele DNS de la Google, indiferent ca folosesc search engine-ul lor sau nu, Google o sa le stie fiecare miscare pe net.

PS: parca si vad articole pe tema asta de genul “cum sa-ti imbunatatesti viteza de acces la net”

In cazul meu ma interesau setarile ce tin de forwarder, dar hai sa vedem ce a iesit.

Prima data trebuie sa aflam care sunt serverele DC din domeniu. Pentru asta m-am inspirat dintr-un script de-al lui Richard Mueller care se conecteaza la configuration partion si cauta toate obiectele de tip NTDSA. Problema e ca noi trebuie sa cautam doar DC-urile, altfel as fi cautat simplu dupa server, dar e posibil gasesc si ceva servere Exchange care mai apar pe acolo. Cautand dupa NTDSA gasesc DC-urile insa trebuie sa aflu obiectul parinte, de asta am apelat la scriptul lui Richard Mueller ca sa nu ma mai chinui eu. Bineinteles ca exista si alte variante – gen enumerarea obiectelor din containerul Domain Controllers.

Dim objRootDSE, strConfig, adoConnection, adoCommand, strQuery
Dim adoRecordset, objDC, objSite

‘ Determine configuration context from RootDSE object.
Set objRootDSE = GetObject("LDAP://RootDSE")
strConfig = objRootDSE.Get("configurationNamingContext")

‘ Use ADO to search Active Directory for ObjectClass nTDSDSA.
Set adoCommand = CreateObject("ADODB.Command")
Set adoConnection = CreateObject("ADODB.Connection")
adoConnection.Provider = "ADsDSOObject"
adoConnection.Open "Active Directory Provider"
adoCommand.ActiveConnection = adoConnection

strQuery = "<LDAP://" & strConfig _
    & ">;(ObjectClass=nTDSDSA);AdsPath;subtree"

adoCommand.CommandText = strQuery
adoCommand.Properties("Page Size") = 100
adoCommand.Properties("Timeout") = 30
adoCommand.Properties("Cache Results") = False

Set adoRecordset = adoCommand.Execute

‘ The parent object of each object with ObjectClass=nTDSDSA is a Domain
‘ Controller. The parent of each Domain Controller is a "Servers"
‘ container, and the parent of this container is the "Site" container.
Do Until adoRecordset.EOF
    Set objDC = GetObject( _
        GetObject(adoRecordset.Fields("AdsPath").Value).Parent)
    Set objSite = GetObject(GetObject(objDC.Parent).Parent)
    Wscript.Echo "Domain Controller: " & objDC.cn & vbCrLf _
        & "DNS Host Name: " & objDC.DNSHostName & vbCrLf _
        & "Site: " & objSite.name

‘Aici e bucata de cod care se conecteaza la DNS si citeste proprietatile

strComputer =  objDC.cn
Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate}!\\" & strComputer & _
        "\root\MicrosoftDNS")

Set colItems = objWMIService.ExecQuery("Select * from MicrosoftDNS_Server")

For Each objItem in colItems
   

    Wscript.Echo "Address Answer Limit: " & objItem.AddressAnswerLimit
    Wscript.Echo "Allow Update: " & objItem.AllowUpdate
    Wscript.Echo "Autocache Update: " & objItem.AutoCacheUpdate
    Wscript.Echo "Autoconfig File Zones: " & objItem.AutoConfigFileZones
    Wscript.Echo "Bind Secondaries: " & objItem.BindSecondaries
    Wscript.Echo "Boot Method: " & objItem.BootMethod
    Wscript.Echo "Default Aging State: " & objItem.DefaultAgingState
    Wscript.Echo "Default No-Refresh Interval: " & _
        objItem.DefaultNoRefreshInterval
    Wscript.Echo "Default Refresh Interval: " & objItem.DefaultRefreshInterval
    Wscript.Echo "Disable AutoReverse Zones: " & _
        objItem.DisableAutoReverseZones
    Wscript.Echo "Disjoint Nets: " & objItem.DisjointNets
    Wscript.Echo "Directory Service Available: " & objItem.DsAvailable
    Wscript.Echo "Directory Service Polling Interval: " & _
        objItem.DsPollingInterval
    Wscript.Echo "Directory Service Tombstone Interval: " & _
        objItem.DsTombstoneInterval
    Wscript.Echo "EDNS Cache Timeout: " & objItem.EDnsCacheTimeout
    Wscript.Echo "Enable Directory Partitions: " & _
        objItem.EnableDirectoryPartitions
    Wscript.Echo "Enable DNSSec: " & objItem.EnableDnsSec
    Wscript.Echo "Enable EDNS Probes: " & objItem.EnableEDnsProbes
    Wscript.Echo "Event Log Level: " & objItem.EventLogLevel
    Wscript.Echo "Forward Delegations: " & objItem.ForwardDelegations
    If Not IsNull(objItem.Forwarders) Then
        strForwarders = Join(objItem.Forwarders, ",")
        Wscript.Echo "Forwarders: " & strForwarders
    Else
        Wscript.Echo "Forwarders:"
    End If
    Wscript.Echo "Forwarding Timeout: " & objItem.ForwardingTimeout
    Wscript.Echo "Is Slave: " & objItem.IsSlave
    If Not IsNull(objItem.ListenAddresses) Then
        strListenAddresses = Join(objItem.ListenAddresses, ",")
        Wscript.Echo "Listen Addresses: " & strListenAddresses
    Else
        Wscript.Echo "Listen Addresses:"
    End If
    Wscript.Echo "Local Net Priority: " & objItem.LocalNetPriority
    Wscript.Echo "Logfile Maximum Size: " & objItem.LogFileMaxSize
    Wscript.Echo "Logfile Path: " & objItem.LogFilePath
    If Not IsNull(objItem.LogIPFilterList) Then
        strIPFilter = Join(objItem.LogIPFilterList, ",")
        Wscript.Echo "Log IPFilter List: " & strIPFilter
    Else
        Wscript.Echo "Log IPFilter List:"
    End If
    Wscript.Echo "Log Level: " & objItem.LogLevel
    Wscript.Echo "Loose Wildcarding: " & objItem.LooseWildcarding
    Wscript.Echo "Maximum Cache Time-to-Live: " & objItem.MaxCacheTTL
    Wscript.Echo "Maximum Negative Cache Time-to-Live: " & _
        objItem.MaxNegativeCacheTTL
    Wscript.Echo "Name Check Flag: " & objItem.NameCheckFlag
    Wscript.Echo "No Recursion: " & objItem.NoRecursion
    Wscript.Echo "Recursion Retry: " & objItem.RecursionRetry
    Wscript.Echo "Recursion Timeout: " & objItem.RecursionTimeout
    Wscript.Echo "RoundRobin: " & objItem.RoundRobin
    Wscript.Echo "Rpc Protocol: " & objItem.RpcProtocol
    Wscript.Echo "Scavenging Interval: " & objItem.ScavengingInterval
    Wscript.Echo "Secure Responses: " & objItem.SecureResponses
    Wscript.Echo "Send Port: " & objItem.SendPort
    If Not IsNull(objItem.ServerAddresses) Then
        strServerAddress = Join(objItem.ServerAddresses, ",")
        Wscript.Echo "Server Addresses: " & strServerAddress
    Else
        Wscript.Echo "Server Addresses:"
    End If
    Wscript.Echo "Started: " & objItem.Started
    Wscript.Echo "Start Mode: " & objItem.StartMode
    Wscript.Echo "Strict File Parsing: " & objItem.StrictFileParsing
    Wscript.Echo "Update Options: " & objItem.UpdateOptions
    Wscript.Echo "Version: " & objItem.Version
    Wscript.Echo "Write Authority NS: " & objItem.WriteAuthorityNS
    Wscript.Echo "Xfr Connect Timeout: " & objItem.XfrConnectTimeout
    Wscript.Echo "———————————————————-"
Next

    adoRecordset.MoveNext
Loop
adoRecordset.Close

Richard merge pe varianta cu Option Explicit de asta exista liniile cu Dim, insa a trebuit sa dezactivez asta pentru ca in bucata mea de cod nu am declarat variabilele. Am lasat si commenturile lui pentru a fi ceva mai inteligibil scriptul.

Daca va intereseaza doar “forwarders” puteti sa da-ti remove la restul liniilor de cod.

Printre improvmenturile ce tin de DNS in ultimele versiuni de Windows se numara si Conditional Forwarding. Bine, bine, asta era si in 2003. W2K8 vine cu ceva nou aici si anume replicarea Conditional Forwarders pe toate serverele din domeniu (sau forest).

Intr-un scenariu cu un singur server de DNS asa ceva nu ajuta la nimic. Dar in cazul in care avem un forest AD destul de stufos cu multe DC-uri si implicit cu multe servere DNS iar rezolutia de nume e ceva mai “imbarligata” atunci asa ceva ajuta. Sa luam cazul in care facem un trust cu un alt forest. DC-urile mele trebuie sa rezolve nume din celelalt domeniu, iar consultantii au ales sa folosim DNS forwarders (asta pentru ca nu stiu sa foloseasca Stub Zones). Sa setez sau modific forwarders pe toate DC-urile? Cam peste mana, nu?

In W2K8, regulile de conditional forwarding pot fi stocate in AD si pot seta scopul replicarii (toate serverele DNS din domeniu sau forest).

De retinut ca se aplica numai pentru Conditional Forwarding, nu si pentru Forwarding-ul DNS normal (am incercat cu zona . si nu merge ). E de inteles pentru ca scopul acestei optiuni e pentru scenariile de rezolutie interna de nume, nu pentru internet. Daca as aplica asa ceva pe toate serverele din domeniu fara posibilitatea ca sa exclud anumite servere de acolo (cele care raspund ce rezoltia de nume in internet) as da totul peste cap. Asa ca e bine ca optiunea e restrictionata doar pentru Conditional Forwarding.

PS: aruncati o privire si pe Stub Zones. Am dat de multi specialisti care se fereau de asa ceva. Poate si pentru ca documentatia era cam greoaie pe vremuri.