DKB4213 Administering Server PDF

Summary

This document is lecture notes on administering servers, focusing on Active Directory and DNS integration, for a semester 4 course in Technology Management. The document provides an overview of concepts and practical skills needed in active directory installations,configurations and management.

Full Transcript

BAHAGIAN PENDIDIKAN TEKNIK DAN VOKASIONAL
KEMENTERIAN PENDIDIKAN MALAYSIA
ARAS 5 & 6, BLOK E14, KOMPLEKS E,
PUSAT PENTADBIRAN KERAJAAN PERSEKUTUAN

NOTA KULIAH
(LECTURE NOTES)

KOD DAN NAMA PROGRAM TEKNOLOGI MAKLUMAT

TAHAP DAN SEMESTER SEMESTER 4/2022

KOD DAN TAJUK KURSUS DKB4213 ADMINISTERING SERVER
K1 INTRODUCTION TO DIRECTORY SERVICES AND
ACTIVEDIRECTORY
K2 IMPLEMENTING DOMAIN NAME SYSTEM (DNS) AND ACTIVE
DIRECTORY (AD)
K3 DOMAIN NAME SYSTEM (DNS) AND ACTIVE DIRECTORY (AD)
NO.DAN TAJUK KOMPETENSI
INTEGRATION
K4 USER ACCOUNT AND GROUP ACCOUNT ADMINISTRATION
K5 ADMINISTERING GROUP POLICY
K6 ADMINISTERING SHARED FOLDERS, ACTIVE DIRECTORY AND
SECURITY CONFIGURATION
NO. KOD KSKV DKB4213/NK(3/6) Muka Surat : 1 Drp : 9
1. Apply the term, concept and usage of Directory Services in
Server administration(C3,PLO3,LOD2)
2. Demonstrate the installation, Configuration and management of
Hasil Pembelajaran Kursus Active Directory features.(P3,PLO2,LOD3a)
3. Practice Personal skills in active directory administration through
the use of security features,group policy and software
deployment tools. (A2,PLO6,LOD4a)

TAJUK/TITLE :

C3-DOMAIN NAME SYSTEM (DNS) AND ACTIVE DIRECTORY (AD) INTEGRATION

TUJUAN/PURPOSE :

Nota kuliah ini adalah bertujuan untuk menerangkan mengenai :
3.1 Introduction of DNS and AD Integration
3.2 Benefits of AD integrated Zones
3.2.1 Integrated Zones
3.2.2 delegating zones
3.3 Zone Replication and Transfer
3.3.1 AD Integrated Replication
3.3.2 Zone Transfer Security
3.3.3 DNS Notification
3.3.4 DNS Security
 Muka Surat / Page : 2
NO. KOD / CODE NO. DKB4213/NK(3/6)
Drpd / of : 9

3.1 Pengenalan kepada DNS dan bersepadu AD (introduction to DNS and AD Integration)

Dalam pelaksanaan klasik, satu pelayan utama menyimpan satu-satunya salinan zon
utama. Manakala pelayan sekunder mengekalkan salinan berlebihan zon. Kelemahan :
mereka tidak akan dapat menyokong zon DNS dan menjawab pertanyaan untuk rekod
dalam zon tersebut untuk jangka masa yang panjang tanpa dapat menghubungi pelayan
utama. Rekod SOA mengandungi medan selepas tamat tempoh (expired after) yang
mengawal ini. Masalah ini boleh dielakan menggunakan zon bersepadu direktori aktif. Zon
bersepadu AD disimpan dalam AD dengan setiap rekod diwakili oleh objek AD.

Dns server (Secondary zone)

Dns server (secondary zone)
Dns server (primary zone)

Primary domain Backup domain
controller (DC) controller (DC)

Oleh itu, pelayan DNS dengan zon bersepadu AD mestilah menjadi pengawal domain
(DC). Zon bersepadu AD merupakan semua salinan induk zon yang bermaksud
perubahan boleh dibuat pada mana-mana zon. Untuk meniru perubahan atau zon
pemindahan dalam istilah klasik, win server 2003 mengunakan enjin replikasi AD dan
 Muka Surat / Page : 3
NO. KOD / CODE NO. DKB4213/NK(3/6)
Drpd / of : 9

dibina untuk replikasi multimaster. Ini juga bermakna kegagalan mana-mana pelayan DNS
yang bertanggungjawab untuk zon itu tidak memerlukan sebarang masa henti untuk
sistem DNS secara keseluruhan. Tidak kira berapa lama ia kekal / tidak berfungsi dengan
syarat bahawa lebih daripada satu pengawal domain telah dikonfigurasikan sebagai
Pelayan DNS. Maklumat DNS boleh disimpan sama ada dalam partition direktori domain
atau dalam partition direktori aplikasi baru. Pembahagian aplikasi membenarkan kawalan
yang lebih baik tentang cara data aplikasi yang disimpan dalam active directory iaitu
dengan mereplikasikan ia kepada pengawal domain yang lain.

Kini, pentadbir boleh mengawal domain dan pelayan forest mana yang harus menerima
maklumat maklumat aplikas ini secara berasingan daripada replikasi AD biasa. Data
partition aplikasi tidak dihimpunkan ke dalam katalog global perkhidmatan, ia direka
terutamanya untuk mempercepatkan carian pengguna untuk yang pengguna lain, folder
dan pencetak. Ini mengurangkan overhead replikasi DNS sambil masih menggunakan
mekanisme replikasi AD yang sama. Dengan itu ia mengekalkan hanya satu skim replikasi
pangkalan data dalam infrastruktur pentadbir.

Zon DNS dalam AD

Storage method, Partition used to store the Tool to designed to view
configurable from the DNS zone the record (object)
Management console
 Semua pelayan
DNS dalam forest
AD
 Semua pelayan
DNS dalam domain
 AD semua DC  Pembahagian partition DNS Console, dnscmd
dinyatakan dalam
skop partition
direktori aplikasi
berikut

 Semua DC dalam  Pembahagian domain DNS Console, dnscmd,
domain AD AD Users dan Computer
 Muka Surat / Page : 4
NO. KOD / CODE NO. DKB4213/NK(3/6)
Drpd / of : 9

3.2 Faedah zon bersepadu AD (Benefit of AD integrated Zone)
3.2.1 Zon Bersepadu (Integrated zone)
 Tiada titik kegagalan tunggal (no single point of failure)
 Perubahan yang dibuat dengan menggunakan protokol kemaskini
dinamik boleh dibuat kepada mana-mana pelayan yang menjadi
host zon bersepadu direktor aktif dan bukannya kepada pelayan
tunggal.
 Toleransi kesalahan (fault tolerance)
 Semua zon bersepadu AD adalah zon utama. Oleh itu, setiap
pengawal domain yang menghostkan zon bersepadu AD
mengekalkan maklumat zon.
 Topologi replikasi tunggal (single replication topology)
 Permindahan zon berlaku secara automatik sebagai sebahagian
daripada replikasi AD, menghapuskan keperluan untuk
mengkonfigurasi replikasi untuk DNS dan AD secara berasingan.
 Kemaskini dinamik selamat (Secure dinamic updates)
 Anda boleh menetapkan kebenaran pada zon dan rekod dalam
zon tersebut. Selain itu, kemaskini yang menggunakan protokol
kemaskini dinamik boleh datang hanya daripada komputer yang
dibenarkan.

3.2.2 Pewakilan Zon ( Delegation zone)
 Zon bermula sebagai pangkalan data storan untuk domain DNS tunggal.
 jika domain lain ditambahkan di bawah domain yang digunakan untuk zon,
domain ini sama ada boleh menjadi sebahagian daripada zon yang sama atau
disebahagian daripada zon lain.
 Muka Surat / Page : 5
NO. KOD / CODE NO. DKB4213/NK(3/6)
Drpd / of : 9

 Setelah subdomain ditambahkan, ia boleh menjadi :-
o Diuruskan dan dimasukan sebagai sebahagian daripada rekod zon yang
asal
o Diwakilkan ke zon lain dengan dicipta untuk menyokong subdomain.

3.3 Replikasi zon dan Pemindahan (Zone Replication and transfer)

Pemindahan Zon
Ia adalah proses dimana pelayan DNS berinteraksi utuk mengekalkan dan menyegerakan
data nama yang berkeutamaan. Oleh kerana peranan penting yang dimainakan oleh zon
dalam DNS ia adalah bertujuan agar zon tersebut bersedia daripada lebih daripada satu
pelayan DNS pada rangkaian untuk menyediakan ketersediaan dan toleransi kesalah
semasa menyelesaikan pertanyaan nama.
Pemindahakn zon diperlukan untuk meniru dan menyegerakan (synrhronization) semua
salinan zon yang digunakan pada setiap pelayan yang dikonfigurasikan untuk menjadi hos
zon. Apabila menstrukturkan zon, terdapat beberapa sebab yang baik untuk mengunakan
pelayan DNS tambahan untuk replikasi zon:-
 Sediakan zon tambahan
o Mendayakan nama DNS dalam zon untuk diselesaikan untuk pelanggan
jika pelayan utama untuk zon berhenti bertindak balas.
 Kurangkan trafik rangkaian DNS
o Contohnya menambah pelayan DNS pada bahagian bertentangan pautan
rangkaian kawasan luas (WAN) berkelajuan rendah boleh berguna dalam
menguruskan dan mengurangkan trafik rangkaian.
 Kurangkan beban pada pelayan utama untuk zon
 Muka Surat / Page : 6
NO. KOD / CODE NO. DKB4213/NK(3/6)
Drpd / of : 9

Apabila pelayan DNS bahau ditambahkan pada rangkaian dan dikonfigurasikan
sumber pelayan sekunder baharu untuk zon sedia ada. Ia melakukan pemindahan zon
penuh (AXFR) untuk mendapatkan dan meniru rekod salina penuh untuk zon tersebut.

Untuk pelayan window 2000, perkhidmatan DNS menyokong pemindahan zon
tambahan (IXFR) , proses pemindahan zon DNS yang disemak semula untuk
perubahan perantaraan. Untuk win 2003, secara default, ia menyokong IXFR untuk
mengurangkan jumlah trafik yang dijanakan oleh replikasi DNS.

Senario yang memerlukan pemindahan Zon:-
 Apabila memulakan perkhidatan DNS pada pelayan sekunder untuk zon
 Apabila masa selang penyegaran (refresh) tamat untuk zon
 Apabila perubahan dibuat pada zon primer dan senarai pemberitahuan
dikonfigurasikan.

3.3.1 AD Integrated replication

Replikasi zon antara zon bersepadu AD tidak perlu dikonfigurasikan secara
berasingan. Memandangkan dalam zon bersepadu AD, rekod DNS ialah objek
LDAP dan ia akan direplikasikan kepada pengawal domain lain seolah-olah ia
adalah objek AD biasa. Replikasi ini adalah berdasarkan tapak AD.

Ia boleh dibahagikan dua jenis :-
i) Intrasite replication
 Antara pengawal domain dalam satu tapak
 Secara automatik setiap 5 hingga 15 minit
ii) Intersite replication
 Antara brigehead pengawal domain terletak di tapak
berbeza dan mungkin disambungkan oleh rangkaian
WAN yang pelahan.
 Ia boleh dikonfigurasi berdasarkan kepada jalur lebar
yang tersedia, jadual replikasi yang boleh dirujuk ,
pengangkutan replikasi dan faktor lain.

Dengan mengaplikasikan zon bersepadu AD:-
 Anda tidak perlu risau tentang replikasi zon DNS secara berasingan
daripada replikasi AD
 Anda tidak perlu merancang , menguji, melaksanakan dan mengekalkan
dua yang berbeza skema replikasi.
 Muka Surat / Page : 7
NO. KOD / CODE NO. DKB4213/NK(3/6)
Drpd / of : 9

 Pemindahan IXFR dibahagikan lagi – membenarkan property
dikemaskini.

Jika alamat IP rekod berubah ;-
 AXFR memindahkan seluruh zon
 IXFR memindahkan keseluruhan rekod sumber hos
 Replikasi AD hanya memindahkan alamat IP baharu sahaja.

Sejak pengenalan partition aplikasi dalam win server 2003, pengguna juga boleh
menentukan dengan tepat kepada pelayan mana alamat IP akan direplikasikan.
Contohnya jika anda mempunyai 10 pengawal dmain AD dan hanya 3
daripadanya juga merupakan pelayan DNS anda boleh menyalin/meniru alamat
IP ini kepada 3 pelayan DNS.

3.3.2 Zon transfer security

Konsol DNS membenarkan anda untuk menentukan pelayan yang dibenarkan
untuk mengambil bahagian dalam pemindahan zon. Ini boleh membantu
menghalang percubaan yang tidak diingini oleh pelayan DNS yang tidak diketahui
atau tidak diluluskan untuk menarik atau meminta kemaskini zon.

3.3.3 DNS Notification

 Pemberitahuan DNS melaksanakan mekanime tolak untuk memberitahu
set pelayan sekunder terpilih untuk zon apabila dikemaskini.

 Gunakan pemberitahuan DNS hanya untuk memberitahu pelayan DNS
yang beroperasi sebagai pelayan kedua untuk zon.

 Untuk replikasi direktori,zon bersepadu, pemberitahuan DNS tidak
diperlukan.

 Mengkonfigurasi pemberitahuan sebeanranya boleh merendahkan
prestasi sistem dengan menyebabkan permintaan pemindahan tambahan
yang tidak perlu untuk zon yang dikemaskini.

3.3.4 DNS security

 Pelayan DNS mengekalkan pautan peleraian nama dua hala yang kritikal antara
rangkaian peribadi dan internet dan oleh itu mereka terdedah kepada akses luar.
 Muka Surat / Page : 8
NO. KOD / CODE NO. DKB4213/NK(3/6)
Drpd / of : 9

 Seterusnya ia mungkin menjadi sasaran untuk serangan luar.
 Keselamatan DNS terbahagi kepada dua :-
o Perlu memastikan bahawa window server selamat sebagai platform untuk
perkhidmatan
o Selepas itu, ia boleh menjamin fungsi khusus perkhidmatan.
 Semua port rangkaian yang tidak diperlukan yang tidak terlibat dalam resolusi
DNS perlu dilumpuhkan menggunakan pelbagai kaedah perisian dan perkakasan
selain disekat oleh firewall.
 Jenis serangan berkaitan DNS ialah:-
o DNS Footprinting
 Kecurian maklumat zon membolehkan penyerang belajar tentang
pengalamatan dan perkhidmatan dalaman.

o Denial of Service (DoS) – Penolakan perkhidmatan
 Sejumlah besar pertanyaan rekursif palsu diserahkan kepada
pelayan dan menjadikanya terlalu sibuk untuk permintaan yang
sah.

o IP spoofing
 Alamat IP yang palsu diperoleh melalui DNS foot printing dan
digunakan untuk menunjukkan bahawa penyerang berada di
dalam rangkaian.
 Muka Surat / Page : 9
NO. KOD / CODE NO. DKB4213/NK(3/6)
Drpd / of : 9

o Man in the middle or redirection
 Pemintasan trafik DNS membolehkan penyerang mengambil alih
komunikasi antara Nod. Serangan ini boleh digabungkan dengan
pencemarah cache DNS yang mengakibatkan rekod NS terjejas
ditambahkan pada cache DNS.