Integrazione con Windows 2008 DNS Infoblox


Molto poche organizzazioni utilizzano solo l'implementazione Microsoft di DNS. Spesso, la gestione, la progettazione e la responsabilità generale per DNS è il lavoro quotidiano dei tecnici della rete interna, non amministratori di Windows. Questo modello amministrativo spinge implementazioni DNS che l'uso promiscuo di Windows e il server BIND DNS di base (cioè Infoblox NIOS), dove, modelli architettonici più maturi sofisticate in grado di soddisfare le esigenze aziendali.

Integrazione

di Windows DNS Infoblox NIOS

Un esempio concreto

Panoramica esecutivo




L'architettura e l'attuazione del DNS (Domain Name System) è definito come segue:

- La disponibilità di componenti DNS tali organizzazioni.

- L'efficienza di risoluzione del nome in ogni parte della società.

- La precisione dei record DNS per i clienti in tutti i luoghi in una sola volta.

- La sicurezza delle zone DNS, come sono presentati alla risoluzione e alla rete di accoglienza e replicate ad altri server DNS.

- La sicurezza dei record DNS aggiornati statico o dinamico immesso direttamente o per delega.

DNS in reti Windows

DNS è la risoluzione nome standard preferito reti tradizionali eterogenee. Per 10 anni, i client ei server per reti Microsoft hanno utilizzato i servizi di localizzazione di default DNS. Per individuare un controller di dominio in una rete Microsoft, i record di risorse servizio (SRV) definiti da RFC 2782 devono essere interrogati e risolti. I controller di dominio sono i computer client di accesso che utilizzano Windows LDAP su TCP:

_ldap._tcp.DnsDomainName

Le altre strutture si trovano e presentate ai client Windows tramite i record SRV sono consapevoli di sito tramite sottoreti TCP/IP, come definito in Active Directory, che fornisce alta disponibilità, servizi efficienti ai clienti in base alla loro vicinanza alle risorse:

_ldap._tcp.SiteName

Microsoft DNS di Windows

Server DNS Windows 2008 si basa su protocolli standard DNS ed è stata costruita per una facile integrazione con il punto di Active Directory. Si tratta di un server DNS che supporta l'interoperabilità pienamente compatibile con RFC con altre implementazioni di server DNS (ad esempio, le soluzioni basate su BIND, come quelli offerti da Infoblox).

DNS è assolutamente necessaria per il supporto di Active Directory. In alternativa al rapporto standard di master/slave tra il DNS primario e secondario server DNS di Active Directory di Windows Server, è possibile partecipare, e replicato in tutta l'azienda in un multi-master.

Inoltre, i dati della zona DNS possono essere memorizzati in partizioni dominio o directory dell'applicazione che consente un architetto per definire l'insieme di controller di dominio richiesto tra cui i dati di zona viene replicata. Ai fini della replica, senza directory dell'applicazione zona partizioni dati due memorizzazione (DomainDnsZones e ForestDnsZones) in ogni dominio e la foresta.

DNS di Windows 2008 supporta GSS-TSIG aggiornamento dinamico di base e standard (RFC 2136), l'inoltro condizionale, aree di routing, il trasferimento di zona incrementale, nuovi GlobalNames zona soppiantare infine vince, sfondo zona di carico, IP versione 6 (IPv6 ), il supporto per il controller di dominio di sola lettura (RODC), e un elenco di blocco di query globale.

Infoblox NIOS

Infoblox NIOS gira su vetri di sicurezza, dispositivi hardware proprietari e praticamente Infoblox VMware ESX, Cisco Integrated Services Router, e Riverbed Steelhead WAN piattaforme ottimizzate per fornire gestione, DHCP, NTP gestione e indirizzo IP (IPAM) servizi DNS.

Forse importante quanto fornisce uno standard basato sistema, indurito, DNS piattaforma alta disponibilità, Infoblox implementa un modello di gestione basato sul controllo di accesso granulare. Inoltre, IPAM WinConnect è disponibile come add-on per riflettere questo modello molto amministrativa basata su server Windows.

Come Windows 2008 DNS, Infoblox DNS supporta i più recenti miglioramenti, tra cui GSS-TSIG DNS aggiornamento dinamico della serie, l'inoltro condizionale, aree di routing, il DNS xfer segnalazione incrementale, il supporto per il server IPv6 e DNSSEC. Infoblox DNS supporta anche la capacità di fornire l'aggiornamento dinamico anche quando è diretta a un server DNS secondario tramite un meccanismo standard che aggiorna il DNS primario invece.

Architetture ibride

Mentre entrambe le soluzioni in grado di supportare completamente Windows e Active Directory per sé, architetture ibride sono implementati per sfruttare il meglio di ogni offerta. Questo disegno cross-platform dovrebbe considerare:

- Il tipo di modello amministrativo che si inserisce l'organizzazione

- Il livello di ridondanza e la qualità del servizio richiesto

- Il percorso di ricerca end-to-end per resolver in ogni area della rete

- La convergenza dei dati della zona DNS distribuiti in azienda

- Sicurezza dei dati nel settore per quanto riguarda i trasferimenti di zona

- I dati fino sul disco, in particolare per quanto riguarda l'aggiornamento dinamico

Infoblox DNS di Windows DNS Esempio ibrido

Come esempio, si consideri il seguente:

Clienti Infoblox DHCP IP e serve:

- I client utilizzano GSS-TSIG RR per registrare dinamicamente/PTR in company.com (uguale per sottodomini non-AD).

- Utilizzare DHCID TXT registra per il client DDNS più sicuro (solo esecuzione TXT arrivo probabile).

- Restituisce server DNS di Windows come primario del server localhost, operazione nucleo DNS secondario.

-Windows DNS AD autorizzato per sottodomini specifici (ad esempio _msdcs, _tcp, _udp, etc.) e in grado di risolvere la ricerca a livello locale piuttosto che sulla rete WAN determinando ottimale criteri di ricerca percorso/resolver.

- Absolute DNS di Windows è configurato con utenti condizionali o utenti Infoblox come SOA per company.com e nessun sottodomini specifici/altri domini politiche basate ricerca ricorsive o iterative.

- Infoblox è configurato per ricevere aggiornamenti GSS-TSIG DDNS per Windows 2008 controller di dominio A e record PTR in company.com e altri sottodomini non specifici AD.

- Tutti i controller di dominio Windows 2008 utilizzando i dati di AD zona integrata per sottodomini specifici AD e sono configurati per puntare ai server DNS che eseguono AD integrato core dedicato Server.

- Tutti i Window 2008 i controller di dominio sono configurati con utenti condizionali o utenti (più facile da gestire attraverso la replica di AD/no per server) per Infoblox HA company.com e tutti i sottodomini sono annunci specifici.

- Infoblox è configurato per sottodomini delegati di tutte le specifiche sottodomini AD Server Core Core Server 1 e 2 come NS per sottodomini specifici AD.

Servizio di prossimità

Per accogliere i nomi di località servizi di risoluzione, ciascuno NS per company.com e altri sottodomini non specifici AD distribuito maniera decentrata possono essere configurati anche con i record NS dei server DNS AD chiudere il computer client.

Autorità Zone

Infoblox è autorizzata per la zona e non company.com AD specifiche aree di sottodomini (ad esempio amer.company.com, emea.company.com, asia.company.com [esempi solo]). Windows è autorizzato solo per i sottodomini specifici delegati per il supporto di Active Directory.

Aggiornamento dinamico e GSS-TSIG

Una NIOS di dispositivi possono utilizzare l'autenticazione GSS-TSIG per gli aggiornamenti dinamici DNS per una delle seguenti:

- Un dispositivo che può inviare DHCP NIOS GSS-TSIG aggiornamenti DDNS autenticati a un controller di dominio con sistema operativo Microsoft Windows AD 2003/8.

- Un NIOS servizio DNS dispositivo può ricevere GSS-TSIG autenticati aggiornamenti client DDNS e server DHCP.

DHCID (TXT)

- Registro DHCP DDNS per conto di clienti che utilizzano hash MAC per un altro strato di protezione (supporti Infoblox [Security Consortium Internet Project]).

A seconda della destinazione d'uso, dovrebbe considerare con attenzione le varie opzioni per la verifica di rinnovo. La seguente sezione descrive le raccomandazioni per ogni opzione di verifica:

- ISC standard: questo metodo è la scelta per i controlli più severi per gli aggiornamenti. Questa è l'impostazione predefinita.

- Transizione ISC: Questo metodo è utile quando i sistemi che supportano nessun sistema di registrazione TXT che si basano su ISC migrazione.

- Controllare TXT solo: Questo metodo è utile per il portatile di roaming scenario (NIC doppia/doppia MAC/RR). Il controllo dell'apparecchio NIOS che c'è un record TXT, ma non controlla il valore del record TXT.

- Nessun record TXT: questo metodo deve essere usato con cautela, dal momento che chiunque può inviare aggiornamento DNS e sovrascrivere il Registro di sistema. Questo metodo è utile quando sia ISC e ISC DHCP Server-based e non-clienti stanno aggiornando la stessa area.

Scenari di migrazione

Per raggiungere l'architettura finale stato desiderato per DNS, deve essere controllato e reversibile, senza presentare alcuna interruzione potenziale di eventuali modifiche devono essere fatte. Durante un breve esempio di alto livello, nessun dettaglio queste modifiche potrebbe includere:

1. Installare due server DNS incorporato Windows AD come base alternativa in esecuzione il server DNS che opera coppia Infoblox la gestione centralizzata per company.com, non la loro sottodomini specifici AD, quale unica autorità per sottodomini specifici AD.

2. Definire e implementare server DNS integrati AD regionalizzata alle richieste di assistenza, senza attraversare la WAN.

3. Configurare il server di tutte le finestre EA per l'uso come il DNS primario centralizzato, decentralizzato secondario.

4. Verificare la creazione di tutta SRV/Nota una doppia serie di record SRV attualmente esistere Infoblox (client è ancora bloccato).

5. configurare manualmente i computer client per l'utilizzo centralizzato coppia prova regionalizzazione DNS/DNS.

6. Rollout DNS cambia ai computer client tramite Infoblox DHCP.

7. Rimuovere AD sottodomini specifici Infoblox Infoblox UI sottodomini delegati per due DNS centralizzato. Configurare qualsiasi Infoblox decentrata (dubbio esiste ...) per utilizzare NS NS regionalizzato.

8. Implementare GSS-TSIG per DHCP nome computer client.

9. Implementare GSS-TSIG per l'aggiornamento dinamico del controller di dominio e PTR RR in company.com, non sottodomini specifici AD etc.

10. Attuare DHCID per proteggere ulteriormente gli aggiornamenti dinamici.

11. oscillazione di tutti i server di Microsoft (ad esempio, Exchange, Share Point, ecc) di impostazioni del client Infoblox DNS in Windows DNS.

Piano d'azione

Il successo di questa implementazione dipende partecipazione squadra e il livello di organizzazione del progetto. La cosa più importante che dobbiamo facilitare la comunicazione aperta di tecnici, operativi e di gestione a promuovere un piano di progettazione della piattaforma DNS. Architetti finestre e possesso e servizi di rete Infoblox devono lavorare fianco a fianco, almeno nella definizione dei requisiti e degli obiettivi.

I progetti di successo di oggi sono ben definiti prima, attentamente pianificata deriso in ambienti di laboratorio, costruito su specifiche, accuratamente testato, raffinati, distribuiti nel pilota, e, infine, l'uso in fasi o tutti in una volta, a seconda del campo di applicazione.

Eric K. Cone

Presidente Principal Consultant

Great Stuff su Amazon

Elenco di link utili

  • 3c Solutions Group
    3c Solutions Group è un partner Microsoft con sede a Chicago e uno dei principali fornitori di servizi IT e settore di consulenza.
  • Infoblox
    Infoblox è stata fondata nel 1999 e ha venduto oltre 40.000 unità a più di 4.000 clienti in tutto il mondo, tra cui più di un terzo delle aziende Fortune 500.
  • Novità di DNS in Windows Server 2008
    Server® Windows 2008 offre una serie di miglioramenti nel servizio DNS Server che migliora come DNS è in esecuzione.

Condividi la tua esperienza nel campo lì.

(0)
(0)
Articolo precedente Gli elementi chiave di Joomla
Articolo successivo Vantaggi della società di SEO

Commenti - 0

Non ci sono commenti

Aggiungi un commento

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Caratteri rimanenti: 3000
captcha