Introduzione ad Active Directory - - Get a Free Blog

Introduzione ad Active Directory

Orazio Battaglia

Introduzione al DNS

Il DNS (Domain Name System) è un sistema utilizzato per la risoluzione dei nomi dei nodi della rete (host) in indirizzi IP e viceversa.

Il servizio DNS è realizzato tramite un database distribuito costituito dai server DNS.

Il nome DNS denota il protocollo che ne regola il funzionamento ma anche il servizio che è in esecuzione sui server.

I nomi DNS, o «nomi di domino», sono una delle caratteristiche più visibili di Internet. Tutte le risoluzioni dei nomi dei siti web sono possibili grazie ai DNS.

L’operazione di convertire un nome in un indirizzo IP è detta risoluzione DNS, l’operazione di convertire un indirizzo IP in un nome è detta risoluzione inversa.

2 Tecnico di Reti Informatiche, modulo 2

Introduzione al DNS Un nome di dominio è costituito da una serie di stringhe

separate da punti, ad esempio it.wikipedia.org. In un nome DNS la parte più importante è la prima partendo da destra e viene detta dominio di primo livello, ad esempio .org o .it.

Un dominio di secondo livello è costituito da due parti ad esempio wikipedia.org. Di terzo livello da tre parti it.wikipedia.org e così via.

Una zona DNS è una parte dello spazio dei nomi, costituita da un dominio (di primo livello, secondo livello, ecc) e dai suoi sottodomini non delegati.

Un sottodominio delegato costituisce una zona a se stante.

Per ragioni di ridondanza ciascuna zona è replicata su più server. Lo schema di replica tipicamente prevede che per ogni zona ci sia un server master e uno o più server slave. Le modifiche vengono apportate sul master e i server slave copiano le informazioni dal master.


Introduzione al DNS

La radice (root) dell’albero dei nomi DNS è la zona «.». E’ gestita da un insieme di server chiamati root servers. Sono 13 e hanno nomi A.root-servers.net-M.root-servers.net.

In generale per ottenere la risoluzione di un nome si usa una interrogazione «ricorsiva». Si parte cioè dai server radice, si passa ai server di primo livello, poi di secondo livello e così via fino a trovare quello autoritativo per l’indirizzo cercato.

I record dei DNS (che contengono ad esempio la risoluzione di un nome in un IP) hanno una durata limitata definita dal parametro TTL (Time To Live).


Introduzione al DNS

In genere i server DNS fungono anche da cache per le interrogazioni richieste. Conservano cioè i record DNS raccolti nelle interrogazioni ricorsive e li considerano validi fino alla scadenza dei corrispondenti TTL.

Il DDNS è il DNS dinamico. Ad esempio quello Microsoft necessario per l’Active Directory è un DNS dinamico.

Il DDNS permette di inserire automaticamente in una zona DNS gli indirizzi di calcolatori che ottengono un indirizzo non predefinito, tipicamente attraverso il protocollo DHCP.


Introduzione al DNS

Esempio di interrogazione DNS.


Introduzione al DNS Principali record DNS:

Record A - Indica la corrispondenza tra un nome ed uno (o più) indirizzi IP (per la precisione indirizzi IPv4, ovvero la versione attualmente in uso).

Record MX - (Mail eXchange) indica a quali server debba essere inviata la posta elettronica per un certo dominio.

Record CNAME - Sono usati per creare un alias, ovvero per fare in modo che lo stesso calcolatore sia noto con più nomi. Uno degli utilizzi di questo tipo di record consiste nell'attribuire ad un host che offre più servizi un nome per ciascun servizio. In questo modo, i servizi possono poi essere spostati su altri host senza dover riconfigurare i client, ma modificando solo il DNS.

Record PTR - Il DNS viene utilizzato anche per realizzare la risoluzione inversa, ovvero per far corrispondere ad un indirizzo IP il corrispondente nome di dominio. Per questo si usano i record di tipo "PTR".

Record SRV - Identificano il server per un determinato servizio all'interno di un dominio. Possono essere considerati una generalizzazione dei record MX.

Record TXT - Associano campi di testo arbitrari ad un dominio. Questi campi possono contenere una descrizione informativa oppure essere utilizzati per realizzare servizi.

Vi sono anche tipi di record "di servizio", necessari al funzionamento del database distribuito:

Record NS - Utilizzato per indicare quali siano i server DNS autorevoli per un certo dominio, ovvero per delegarne la gestione.

Record SOA - (Start of Authority) usato per la gestione delle zone DNS, ad esempio verificare se ci sono aggiornamenti nelle zone.


Introduzione ad Active Directory Active Directory Domain Services è il ruolo di Windows Server 2008 R2 che

permette di organizzare in modo gerarchico tutte le risorse di una organizzazione.

Consiste in un database distribuito.

L’organizzazione gerarchica prevede: La foresta che indica un confine di sicurezza per l’organizzazione e un confine di

gestione per gli amministratori. Di default una foresta contiene un singolo dominio che viene detto «forest root domain».

Altri domini che possono essere creati all’interno della foresta e che permettono il partizionamento di parte dei dati e di replicarli solo dove necessario. Il concetto di domino permette una grande scalabilità della Active Directory anche in zone geografiche remote.

All’interno dei domini è possibile definire le Organizational Unit (OU) che semplificano la gestione di un grande numero di oggetti e che permettono la delega di gestione. La delega permette di attribuire permessi gestionali sulla OU a persone fidate dell’organizzazione.

Siti: un oggetto Sito in Active Directory rappresenta una locazione geografica fisica che ospita reti. I siti possono essere usati per semplificare l’individuazione delle risorse, gestire le repliche di Active Directory, gestire il traffico di collegamento alla rete.


Introduzione ad Active Directory Le risorse che tipicamente vengono memorizzate all’interno di Active

Directory sono: Account utente

Gruppi di utenti

Account computer

Cartelle condivise

Stampanti

Policy di sicurezza

Active Directory è implementata tramite un insieme di servizi, ecco i principali: LDAP: è il database in cui vengono memorizzate le informazioni

(http://it.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol)

Kerberos: è un protocollo di rete che permette l’autenticazine tramite crittografia (http://it.wikipedia.org/wiki/Kerberos). Realizza inoltre il Single Sign-On (SSO) dell’utente. L’utente si autentica una sola volta all’accesso ad un computer di Active Directory e poi le sue credenziali vengono usate per l’accesso ai servizi senza la necessità di riautenticarsi.

DNS: per la risoluzione dei nomi all’interno dell’Active Directory.


http://it.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol




http://it.wikipedia.org/wiki/Kerberos




Installazione di Active Directory

Prerequisiti:

Modificare in modo appropriato il nome computer

(diventerà il primo domain controller del primo

dominio della foresta)

Assegnare un indirizzo IP statico

L’installazione del ruolo AD DS avviene in due fasi:

Installazione del ruolo da «Server Manager»

Avvio del Wizard dcpromo.exe


Installazione di Active Directory Di seguito vengono riportate le fasi del Wizard avviato da dcpromo.exe.


Installazione di Active Directory Viene mostrato un messaggio in cui si avvisa di possibile incompatibilità con vecchi client Windows.


Installazione di Active Directory Poiché creiamo una nuova foresta selezioniamo la seconda opzione. Come si vede dal Wizard è possibile aggiungere ulteriori DC a domini esistenti o creare nuovi domini.


Installazione di Active Directory Selezioniamo il nome per il «forest root domain». Il nome del primo dominio della foresta è anche il nome della foresta.


Installazione di Active Directory In questo passaggio del Wizard selezioniamo il livello di funzionalità della foresta.


Installazione di Active Directory Active Directory necessità di un DNS dinamico. Poiché non abbiamo ancora installato un DNS decidiamo di installarlo adesso.



Veniamo informati in questo passaggio che è necessario creare sul DNS parent la delega per la zona relativa ad Active Directory.

Nell’esempio dovremmo definire sul DNS di cescot.it la delega per il dominio dir.cescot.it. Dovremmo modificare il DNS di cescot.it in modo da delegare la risoluzione dei nomi di dir.cescot.it al server che stiamo installando.



Selezioniamo la posizione per i file di Database, Log e

SYSVOL



Impostiamo una password per la modalità «Directory

Services Restore Mode».


Installazione di Active Directory Viene mostrata una schermata riassuntiva delle opzioni selezionate. E’ possibile tornare indietro a fare delle modifiche se necessario.



Installazione in corso.



Fine dell’installazione e richiesta del riavvio.

Al riavvio avremo a disposizione i servizi di AD DS.



I principali strumenti di gestione di AD, tutti a partire da Administrative Tools, sono:

Active Directory Administration Center: introdotto con Windows Server 2008 R2, permette di gestire utenti, computer, gruppi e gli altri oggetti Active Directory.

Active Directory Domains and Trusts: permette di gestire i Domini e le relazioni di fiducia tra i domini.

Active Directory Sites and Services: permette di gestire i Siti per l’organizzazione geografica di Active Directory.

Active Directory Users and Computers: permette di gestire utenti, computer, gruppi e OU.

Group Policy Management: permette di definire le politiche di sicurezza da applicare a Siti, Domini e OU.



Join di un client al Dominio Active Directory.

Il join è l’operazione con cui un computer client entra a far parte di un dominio e quindi a condividere tutte le risorse del dominio.

Un computer in join permette l’autenticazione degli utenti definiti all’interno del dominio. Il gruppo «Domain admins» viene inserito nel gruppo «Administrators» locale. Il gruppo «Domain users» viene inserito nel gruppo «Users» locale.

Dal computer in join è possibile accedere alle risorse del dominio ad esempio cartelle condivise e stampanti.

Un computer in join al dominio eredita, in base alla sua posizione nella gerarchia di AD, determinate policy di sicurezza.


Introduzione ad Active Directory Join al Dominio Active Directory:

Prima di mettere in join un computer client verificare che il nome del computer sia ben definito. La modifica del nome richiede il riavvio del client.

Per eseguire il join usare «Sistema» di «Pannello di controllo» e andare sulla scheda «Nome computer». Dal pulsante «Cambia.. .» è possibile modificare il nome del computer e l’appartenenza ad un dominio.



Dopo il join al Dominio Active Directory possiamo fare le seguenti verifiche:

Se la macchina ottiene un indirizzo IP via DHCP verificare sul DHCP che ci sia il Lease corrispondete (è indipendente dal join al dominio).

Verificare che sul DNS ci sia il record A per la macchina in join. Di default sul DNS viene aggiunto il solo record A. Per avere la risoluzione inversa è necessario aggiungere una zona di risoluzione inversa.

Verificare su «AD Users and Computers» che ci sia il computer in join.



AD Users and Computers

27

Il primo nodo rappresenta il forest root domain. All’interno del dominio sono presenti una serie di contenitori predefiniti ad esempio: • Builtin: contiene i gruppi

predefiniti di Windows Server 2008 R2

• Computers: è il contenitore predefinito per i computer del dominio

• Domain Controllers: contiene l’elenco degli account computer dei domain controllers

• Users: contiene i gruppi predefiniti di AD DS ed è il contenitore predefinito per gli utenti del dominio

L’amministratore del dominio può creare all’interno del dominio OU che tipicamente rispecchiano le funzioni amministrative dell’organizzazione. Le OU tipicamente includono computer, utenti e gruppi.

Tecnico di Reti Informatiche, modulo 2


Group Policy Management (1/2)

28

Le policy di Windows sono insiemi di regole che controllano l’ambiente di lavoro degli utenti. Tipicamente vengono usate per impedire azioni che sono potenzialmente pericolose. Le policy possono essere definite a diversi livelli: • Oggetto criteri di gruppo locale

(presente in ogni client Windows)

• Siti • Domini • Unità Organizzative L’elenco rispetta l’ordine di applicazione delle policy. In caso di conflitto valgono le policy applicate per ultime e quindi se esistono quelle a livello di OU.



Group Policy Management (2/2)

29

In questo esempio si sta editanto la policy dell’OU OU1. Ogni policy è divisa in due sezioni: • Computer Configuration • User Configuration In Computer Configuration si definiscono le regole che vengono applicate a livello di computer. Sono attive al riavvio del computer. In User Configuration si definiscono le regole che vengono applicate a livello di utente. Sono attive al logon dell’utente.



Architettura lezioni.

Macchina docente installare il server 2008 R2 e:

1. Installare DHCP

2. Installare AD DS e DNS in contemporanea, diventa

il DC per fare le prove

Esempi d’uso di AD:

Per ogni utente del corso creare un utente e provare

i login

Creare due OU per dividere i computer

Applicare delle policy alle due OU


Introduzione ad Active Directory - - Get a Free Blog

Documents

Transcript of Introduzione ad Active Directory - - Get a Free Blog