Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00311 005115 12584987 na godz. na dobę w sumie
Egzamin 70-741 Windows Server 2016 Praca w sieci - ebook/pdf
Egzamin 70-741 Windows Server 2016 Praca w sieci - ebook/pdf
Autor: Liczba stron:
Wydawca: Promise Język publikacji: polski
ISBN: 978-83-7541-347-2 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> serwery internetowe
Porównaj ceny (książka, ebook, audiobook).

Przygotuj się do egzaminu 70-741 – i zademonstruj swoją biegłość w korzystaniu z funkcji sieciowych i funkcjonalności systemu Windows Server 2016. Ten podręcznik egzaminacyjny przeznaczony jest dla doświadczonych profesjonalistów z branży IT, którzy chcą podnieść swoją pozycję zawodową. Nacisk kładziony jest na krytyczne myślenie i wnikliwe podejmowanie decyzji, czyli umiejętności niezbędne do osiągnięcia sukcesu na poziomie MCSA.
Opanuj umiejętności specjalistyczne omawiane w następujących zagadnieniach:
Wdrażanie DNS
Wdrażanie DHCP
Wdrażanie IPAM
Wdrażanie rozwiązań łączności sieciowej i zdalnego dostępu
Wdrażanie głównych i rozproszonych rozwiązań sieciowych
Wdrażanie zaawansowanej infrastruktury sieciowej
Cechy tego podręcznika:
Porządkuje wiadomości według zagadnień egzaminacyjnych.
Zawiera praktyczne scenariusze strategicznie, z którymi trzeba się zmierzyć.
Zakłada się, że Czytelnik ma już doświadczenie w pracy z systemem Windows Server w środowisku przedsiębiorstwa; jest zaznajomiony z infrastrukturą sieci, topologiami, architekturami i protokołami, a także miał do czynienia z klientami Windows oraz wirtualizacją.
O tym egzaminie
Egzamin 70-741 sprawdza umiejętności i wiedzę niezbędne do stosowania podstawowych i zaawansowanych technologii sieciowych systemu Windows Server 2016.
O certyfikacji Microsoft
Zdanie tego egzaminu to krok do przodu na ścieżce certyfikacyjnej MCSA (Microsoft Certified Solutions Associate), która potwierdza podstawowe umiejętności techniczne w zakresie Windows Server 2016, wymagane do zmniejszania kosztów informatycznych oraz dostarczania większej wartości biznesowej.
Uzyskanie certyfikatu MCSA dla systemu Windows Server 2016 wymaga również zdania egzaminów 70-740 (Installa-tion, Storage, and Compute with Windows Server 2016) oraz 70-742 Identity with Windows Server 2016).
Dodatkowe informacje:
microsoft.com/learning/
O autorze
Andrew James Warren pełni funkcję eksperta merytorycznego na kursach dotyczących Windows Server 2016, jest kierownikiem technicznym na kursach Windows 10 oraz współtwórcą sesji TechNet dotyczących Microsoft Exchange Server. Ma ponad 30 lat doświadczenia w branży IT.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Andre Warren Egzamin 70-741 Windows Server 2016 – Praca w sieci Przekład: Witold Sikorski APN Promise, Warszawa 2017 ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Egzamin 70-741: Windows Server 2016 – Praca w sieci Authorized Polish translation of the English language edition entitled: Exam Ref 70-741 Networking with Windows Server 2016, by Andrew James Warren, ISBN: 978-0-7356-9742-3 Copyright © 2017 by Andrew James Warren. All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from Pearson Education, Inc. Polish language edition published by APN PROMISE SA Copyright © 2017 Autoryzowany przekład z wydania w języku angielskim, zatytułowanego: Exam Ref 70-741 Networking with Windows Server 2016, by Andrew James Warren, ISBN: 978-0-7356-9742-3 Wszystkie prawa zastrzeżone. Żadna część niniejszej książki nie może być powielana ani rozpowszechniana w jakiejkolwiek formie i w jakikolwiek sposób (elektroniczny, mechaniczny), włącznie z fotokopiowaniem, nagrywaniem na taśmy lub przy użyciu innych systemów bez pisemnej zgody wydawcy. APN PROMISE SA, ul. Domaniewska 44a, 02-672 Warszawa tel. +48 22 35 51 600, fax +48 22 35 51 699 e-mail: mspress@promise.pl Przykłady firm, produktów, osób i wydarzeń opisane w niniejszej książce są fikcyjne i nie odnoszą się do żadnych konkretnych firm, produktów, osób i wydarzeń, chyba że zostanie jednoznacznie stwierdzone, że jest inaczej. Ewentualne podobieństwo do jakiejkolwiek rzeczywistej firmy, organizacji, produktu, nazwy domeny, adresu poczty elektronicznej, logo, osoby, miejsca lub zdarzenia jest przypadkowe i niezamierzone. Nazwa Microsoft oraz znaki towarowe wymienione na stronie http://www.microsoft.com/ about/legal/en/us/IntellectualProperty/Trademarks/EN-US.aspx są zastrzeżonymi znakami towarowymi grupy Microsoft. Wszystkie inne znaki towarowe są własnością ich odnośnych właścicieli. APN PROMISE SA dołożyła wszelkich starań, aby zapewnić najwyższą jakość tej publikacji. Jednakże nikomu nie udziela się rękojmi ani gwarancji. APN PROMISE SA nie jest w żadnym wypadku odpowiedzialna za jakiekolwiek szkody będące następstwem korzystania z informacji zawartych w niniejszej publikacji, nawet jeśli APN PROMISE została powiadomiona o możliwości wystąpienia szkód. ISBN: 978-83-7541-322-9 Przekład: Witold Sikorski Redakcja: Marek Włodarz Korekta: Ewa Swędrowska Skład i łamanie: MAWart Marek Włodarz ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Spis treści Wprowadzenie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii Ważne: Jak używać tej książki podczas przygotowania do egzaminu . . . . . . . . . . . . . . . . . . xi 1 Wdrażanie systemu nazw domen (DNS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Zagadnienie 1.1: Instalowanie i konfigurowanie serwerów DNS . . . . . . . . . . . . . . . 2 Rozpoznawanie nazw . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Określanie wymagań dla instalacji DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Instalowanie roli serwera DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Określenie scenariuszy wdrożeń DNS obsługiwanych przez Nano Server . . . . . . 6 Konfigurowanie usług przesyłania dalej, wskazówek dotyczących serwerów głównych, rekurencji oraz delegowania . . . . . . . . . . . . . . . . . . . . . . . . 7 Konfigurowanie zaawansowanych ustawień DNS . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Administrowanie DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Zagadnienie 1.2: Tworzenie i konfigurowanie stref i rekordów DNS . . . . . . . . . . 29 Korzystanie ze stref DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Konfigurowanie stref DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Konfigurowanie rekordów DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Konfiguracja zakresów DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Monitorowanie DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Podsumowanie rozdziału . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Eksperyment myślowy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Odpowiedzi do eksperymentu myślowego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Implementacja protokołu DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Zagadnienie 2.1: Instalowanie i konfigurowanie DHCP . . . . . . . . . . . . . . . . . . . . . . 66 Omówienie protokołu DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Instalowanie DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 Tworzenie zakresów DHCP i zarządzanie nimi . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Konfiguracja agenta przekazywania DHCP i rozruchu w środowisku PXE . . . . . 88 Eksport, import i migracja serwera DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 2 ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== iii iv Spis treści Zagadnienie 2.2: Zarządzanie i utrzymanie DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Konfigurowanie wysokiej dostępności za pomocą trybu failover protokołu DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Tworzenie kopii zapasowej i przywracanie bazy danych DHCP . . . . . . . . . . . . . 101 Rozwiązywanie problemów z DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Podsumowanie rozdziału . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Eksperyment myślowy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Odpowiedzi do eksperymentu myślowego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 3 Wdrażanie zarządzania adresami IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Zagadnienie 3.1: Instalowanie i konfigurowanie zarządzania adresami IP . . . . 116 Architektura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Kwestie wymagań i planowania . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Konfiguracja pamięci bazy danych IPAM za pomocą SQL Servera . . . . . . . . . . 119 Inicjowanie obsługi IPAM ręcznie lub za pomocą zasad grupy . . . . . . . . . . . . . 121 Konfiguracja odnajdowania serwera . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 Tworzenie bloków i zakresów IP i zarządzanie nimi . . . . . . . . . . . . . . . . . . . . . . . 133 Monitorowanie wykorzystania obszaru adresów IP . . . . . . . . . . . . . . . . . . . . . . . 139 Przenoszenie istniejących obciążeń do IPAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 Ustalanie scenariuszy korzystania z IPAM wraz z System Center VMM do zarządzania fizyczną i wirtualną przestrzenią adresów IP . . . . . . . . 141 Zagadnienie 3.2: Zarządzanie DNS i DHCP za pomocą IPAM . . . . . . . . . . . . . . . . 143 Zarządzanie DHCP za pomocą IPAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Zarządzanie DNS za pomocą IPAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Zarządzanie serwerami DNS i DHCP w kilku lasach Active Directory . . . . . . . . 159 Delegowanie administracji dla DNS i DHCP z wykorzystaniem RBAC . . . . . . . 160 Zagadnienie 3.3: Inspekcja IPAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 Inspekcja zmian wykonanych na serwerach DNS i DHCP . . . . . . . . . . . . . . . . . . 167 Dziennik inspekcji wykorzystania adresów IPAM . . . . . . . . . . . . . . . . . . . . . . . . . 168 Inspekcja zdarzeń dzierżawy DHCP i zdarzeń logowania użytkownika . . . . . . 169 Podsumowanie rozdziału . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 Eksperyment myślowy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 Odpowiedzi do eksperymentu myślowego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 4 Wdrażanie rozwiązań łączności sieciowej i zdalnego dostępu . . . . . . 175 Zagadnienie 4.1: Wdrażanie rozwiązań łączności sieciowej . . . . . . . . . . . . . . . . . 175 Wdrażanie NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Monitorowanie NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Konfigurowanie routingu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Spis treści v Zagadnienie 4.2: Wdrażanie rozwiązań VPN i DirectAccess . . . . . . . . . . . . . . . . . 186 Opis sieci VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Kiedy korzystać z VPN zdalnego dostępu, a kiedy z VPN S2S i jak konfigurować odpowiednie protokoły . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Implementacja DirectAccess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 Rozwiązywanie problemów z DirectAccess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 Zagadnienie 4.3: Wdrażanie NPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Konfigurowanie protokołu RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Konfigurowanie szablonów NPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 Konfigurowanie zasad NPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 Konfigurowanie certyfikatów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 Podsumowanie rozdziału . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 Eksperyment myślowy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Odpowiedzi do eksperymentu myślowego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 5 Wdrażanie podstawowych i rozproszonych rozwiązań sieciowych . 257 Zagadnienie 5.1: Wdrażanie adresowania IPv4 i IPv6 . . . . . . . . . . . . . . . . . . . . . . 257 Wdrażanie adresowania IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 Wdrażanie adresowania IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 Konfigurowanie współdziałania między IPv4 i IPv6 . . . . . . . . . . . . . . . . . . . . . . . 272 Konfigurowanie routingu IPv4 i IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 Konfiguracja BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Zagadnienie 5.2: Wdrażanie DFS i rozwiązań dla oddziałów . . . . . . . . . . . . . . . . 283 Instalowanie i konfigurowanie obszaru nazw DFS . . . . . . . . . . . . . . . . . . . . . . . . 283 Konfigurowanie replikacji DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 Konfigurowanie odporności DFS na błędy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 Zarządzanie bazami danych DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 Implementacja BranchCache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 Podsumowanie rozdziału . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 Eksperyment myślowy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 Odpowiedzi do eksperymentu myślowego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 6 Wdrażanie zaawansowanej infrastruktury sieciowej . . . . . . . . . . . . . . . . 317 Zagadnienie 6.1: Wdrażanie rozwiązań sieciowych wysokiej wydajności . . . . . 317 Wprowadzanie zespołu kart interfejsu sieciowego NIC lub rozwiązania z funkcją SET oraz określenie zakresu ich używania . . . . . . . . . . 318 Włączanie i konfiguracja RSS (Receive Side Scaling) . . . . . . . . . . . . . . . . . . . . . . 324 Włączanie i konfiguracja sieciowego QoS z DCB (Data Center Bridging) . . . . 329 ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== vi Spis treści Włączanie i konfiguracja SMB Direct na kartach sieciowych z włączonym RDMA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 Włączanie i konfiguracja SR-IOV na obsługiwanej karcie sieciowej . . . . . . . . . 334 Zagadnienie 6.2: Określanie scenariuszy i wymagań wdrożenia SDN . . . . . . . . 336 Określenie wymagań i scenariuszy wdrażania HNV . . . . . . . . . . . . . . . . . . . . . . . 340 Wdrażanie kontrolera sieci (Network Controller) . . . . . . . . . . . . . . . . . . . . . . . . . 344 Podsumowanie rozdziału . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 Eksperyment myślowy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 Odpowiedzi do eksperymentu myślowego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 Indeks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 O autorze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370 ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Wprowadzenie Egzamin 70-741 skupia się na funkcjach sieciowych oraz funkcjonalnościach dostęp- nych w systemie Windows Server 2016. Obejmuje implementację DNS, DHCP oraz IPAM, a także rozwiązania zdalne jak VPN i Direct Access. Dotyczy także roz- wiązań DFS oraz pamięci podręcznej systemu Windows dla oddziałów firmy, funkcji sieci wysokiej wydajności oraz implementacji rozwiązań Software Defined Networking (SDN), takich jak Hyper-V Network Virtualization (HNV) oraz Network Controller. Egzamin 70-741 jest adresowany do administratorów sieci, którzy chcą podwyższyć swoje umiejętności i nauczyć się nowych funkcji technik sieciowych wprowadzonych w systemie Windows Server 2016. Książka obejmuje wszystkie tematy wchodzące w zakres egzaminu, lecz nie zawiera opisu każdego pytania egzaminacyjnego. Dostęp do zestawu pytań egzaminacyjnych, który jest regularnie rozszerzany o nowe pytania, ma tylko zespół egzaminacyjny fir- my Microsoft. Książkę tę należy więc traktować jako uzupełnienie wiedzy zdobytej poprzez praktykę oraz innych materiałów szkoleniowych. Jeśli jakiś temat nie jest jasny i wymaga dodatkowych objaśnień, można skorzystać z odnośników podanych w tekście książki jako „Dodatkowe materiały” i tam znaleźć dodatkowe informacje na dany temat. Wiele cennych informacji można znaleźć również w MSDN, TechNet oraz na blogach i forach. Układ książki Książka jest ułożona według tematów z listy „Skills measured” (Sprawdzane umie- jętności), opublikowanej na potrzeby egzaminu. Taka lista jest dostępna dla każdego egzaminu na witrynie Microsoft Learning: https://aka.ms/examlist. Każdy rozdział tej książki odpowiada podstawowemu tematowi z tej listy, a układ każdego rozdziału zależy od zadań technicznych w każdym obszarze tematycznym. Jeśli, przykładowo, egzamin obejmuje sześć podstawowych obszarów tematycznych, książka będzie zawie- rać sześć rozdziałów. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== vii viii Wprowadzenie Certyfikaty firmy Microsoft Certyfikaty firmy Microsoft wyróżniają ich posiadaczy, jako osoby mające szerokie umiejętności i doświadczenie w zakresie bieżących produktów i technologii firmy. Egzaminy wraz z odpowiadającymi im certyfikatami zostały przygotowane tak, aby ocenić biegłość w takich dziedzinach jak projektowanie i rozwój lub wdrażanie i obsługa rozwiązań produktów i technologii firmy Microsoft, zarówno lokalnie, jak i w chmurze. Uzyskanie certyfikatu daje wiele korzyści jego posiadaczom, a także pracodawcom i firmom. Więcej informacji Wszystkie certyfikaty firmy Microsoft Informacje dotyczące certyfikatów firmy Microsoft wraz z pełną ich listą można znaleźć pod adresem https://www.microsoft.com/learning. Podziękowania Pisanie tej książki było wysiłkiem zbiorowym, dlatego chcę tutaj podziękować mojej redaktorce, Trinie MacDonald, za jej wskazówki. Dziękuję również mojej żonie Naomi oraz córce Amelii za ich cierpliwość, gdy przez całe lato siedziałem w biurze, słuchając tych wskazówek. – Andrew Warren Bezpłatne e-booki z Microsoft Press Bezpłatne e-booki przygotowane przez Microsoft Press obejmują szeroki zakres tema- tów. Są one dostępne w formatach PDF, EPUB oraz Mobi na Kindle. Można je pobrać ze strony: https://aka.ms/mspressfree Warto sprawdzać, co nowego się tam pojawiło! ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Wprowadzenie ix Wirtualna akademia firmy Microsoft Swoją wiedzę dotyczącą technologii firmy Microsoft można budować, korzystając z bezpłatnego szkolenia online prowadzonego przez ekspertów z akademii MVA (Microsoft Virtual Academy). MVA oferuje obszerny zestaw bibliotek wideo, wydarzeń na żywo oraz wszelką pomoc niezbędną do poznania najnowszych technologii oraz przygotowania do egzaminów. Materiały można znaleźć pod adresem: https://www.microsoftvirtualacademy.com Szybki dostęp do materiałów online W całej książce pojawiają się adresy polecanych przez autora witryn internetowych, gdzie można uzyskać dodatkowe informacje. Niektóre z tych adresów (określanych jako URL) mogą być trudne do wpisania do przeglądarki. Dlatego zestawiliśmy listę adresów, do których mogą się odwołać czytelnicy papierowej wersji książki. Listę można pobrać ze strony pod adresem https://aka.ms/examref741/downloads. Adresy URL są uporządkowane według rozdziałów i nagłówków. Gdy w książ- ce napotkacie URL, należy znaleźć odpowiedni odnośnik na liście i kliknąć go, aby przejść bezpośrednio na witrynę. Errata, aktualizacje i wsparcie dla książki Autorzy starali się zapewnić możliwie najlepszą dokładność informacji zawar- tych w książce i towarzyszącym jej materiałom. Aktualizacje do książki, dostępne są w postaci erraty, pod adresem: https://aka.ms/examref741/errata Każdy kto znajdzie błąd, którego nie ma na liście, proszony jest o przekazanie infor- macji na tej samej witrynie. Dodatkową pomoc można uzyskać, pisząc e-mail do działu obsługi książek Microsoft Press, na adres: mspinput@microsoft.com Pod tymi adresami nie oferujemy wsparcia związanego ze sprzętem i oprogramowa- niem oferowanym przez Microsoft. Pomoc w tym zakresie można uzyskać na witrynie https://support.microsoft.com. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== x Wprowadzenie Prosimy o kontakt Zadowolenie czytelników stanowi priorytet dla Microsoft Press, dlatego oczekujemy na wszelkie informacje od Was. Opinie o książce proszę nadsyłać z witryny: https://aka.ms/tellpress Aby skrócić czas wypełniania ankiety, ograniczyliśmy się do kilku krótkich pytań. Odpowiedzi na nie zostaną przekazane bezpośrednio do redaktorów Microsoft Press. (Nie oczekujemy żadnych danych osobowych). Z góry dziękujemy za odpowiedź! Pozostańmy w kontakcie Bądźmy w stałym kontakcie! Mamy konto na Twitterze pod adresem: https://twitter. com/MicrosoftPress. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Ważne: Jak używać tej książki podczas przygotowania do egzaminu Egzaminy certyfikacyjne weryfikują Twoją wiedzę praktyczną i znajomość produktu. Ten podręcznik pomoże ci się przekonać, czy jesteś gotów do przystąpienia do egzami- nu, sprawdzając Twoją znajomość zagadnień wchodzących w jego skład. Dzięki niemu możesz określić, które tematy znasz doskonale, a które obszary wymagają dodatkowej pracy. Aby ułatwić odświeżenie umiejętności z określonych dziedzin, dołączyliśmy też wskazówki „Szybki przegląd”, kierujące do dodatkowych, zewnętrznych źródeł informacji. Podręcznik ten nie może zastąpić doświadczenia praktycznego. Książka ta nie ma na celu uczenia nowych umiejętności, ale utrwalenie i uporządkowanie już posiadanej wiedzy. Zalecamy, aby w trakcie przygotowań do egzaminu korzystać z wielu dostępnych materiałów szkoleniowych. Więcej informacji na temat dostępnych szkoleń można zna- leźć pod adresem https://www.microsoft.com/learning. Dla wielu egzaminów dostępne są Microsoft Official Practice Tests – ich spis można znaleźć pod adresem https://aka. ms/practicetests. Dostępne są również darmowe szkolenia online i wykłady na żywo w Microsoft Virtual Academy, pod adresem https://www.microsoftvirtualacademy.com. Książka ta została uporządkowana według listy mierzonych umiejętności (Skills measured) dla tego egzaminu. Lista taka dla każdego egzaminu jest dostępna w witry- nie Microsoft Learning: https://aka.ms/examlist. Warto odnotować, że niniejsza książka opiera się na publicznie dostępnych infor- macjach na temat egzaminów oraz doświadczeniach autorów. W celu zachowania peł- nej poufności autorzy nie mieli dostępu do treści rzeczywistych egzaminów. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== xi ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== RozD zIał 1 Wdrażanie systemu nazw domen (DNS) Do komunikacji z innymi hostami oraz usługami w sieciach, użytkownicy i kompu- tery korzystają zazwyczaj z nazw hostów zamiast adresów sieciowych IPv4 (Internet Protocol version 4) lub IPv6 (Internet Protocol version 6). Usługa Windows Server 2016, znana jako rola DNS (Domain Name System) serwera, odwzorowuje te nazwy na adresy IPv4 lub IPv6. Ponieważ na roli serwera DNS opiera się działanie wielu ważnych aplika- cji i usług, trzeba wiedzieć, jak zainstalować i konfigurować rozpoznawanie nazw w Windows Server 2016 za pomocą tego mechanizmu. W związku z tym egzamin 70-741 Networking Windows Server 2016 obejmuje zagadnienie instalowania i kon- figurowania roli serwera DNS w systemie Windows Server 2016. Do zagadnień egzaminu 70-741 należy także wdrażanie stref i rekordów Domain Name System z użyciem roli serwera DNS. Należy zatem wiedzieć, jak tworzyć strefy DNS i zarządzać nimi, korzystając z roli serwera DNS w systemie Windows Server 2016, oraz jak w tych strefach tworzyć rekordy związane z hostem i z usługami i jak nimi zarządzać. zagadnienia egzaminacyjne omawiane w tym rozdziale: ■■ Zagadnienie 1.1: Instalowanie i konfigurowanie serwerów DNS 2 ■■ Zagadnienie 1.2: Tworzenie i konfigurowanie stref i rekordów DNS 29 ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 1 2 Rozdział 1: Wdrażanie systemu nazw domen (DNS) zagadnienie 1.1: Instalowanie i konfigurowanie serwerów DNS Windows Server 2016 zapewnia rolę serwera DNS, aby dostarczyć usługi rozpoznawa- nia nazw urządzeniom i komputerom w infrastrukturze sieci organizacji. Pierwszym etapem przy zapewnianiu rozpoznawania nazw jest wdrożenie roli serwera DNS na komputerach serwera Windows Server 2016. Rozpoznawanie nazw Mimo że adresowanie IP nie jest szczególnie złożone, użytkownikom łatwiej jest posłu- giwać się nazwami hostów np. witryn WWW, z którymi chcą się łączyć, zamiast ich adresami IPv4 lub IPv6. Gdy aplikacja, taka jak Microsoft Edge, odwołuje się do nazwy witryny, nazwa w adresie URL jest przekształcana na kryjący się pod nią adres IPv4 lub IPv6, za pomocą procesu znanego jako rozpoznawanie nazw. Komputery z systemem Windows 10 i Windows Server 2016 mogą korzystać z dwóch rodzajów nazw. Są to: ■■ Nazwy hostów Nazwa hosta, o długości do 255 znaków, zawiera tylko zna- ki alfanumeryczne, odstępy oraz łączniki. Nazwa hosta jest połączeniem aliasu z nazwą domeny DNS. Na przykład alias komputer1 poprzedza nazwę domeny, Contoso.com, aby utworzyć nazwę hosta czyli pełną nazwę domenową (Fully Qualified Domain Name, FQDN), komputer1.contoso.com. ■■ Nazwy NetBIOS Nazwy NetBIOS, obecnie mające mniejsze znaczenia, korzy- stają ze struktury niehierarchicznej opartej na 16-znakowej nazwie. Szesnasty znak określa konkretną usługę uruchomioną na komputerze, którego nazwą jest 15 poprzednich znaków. A zatem, LON-SVR1[20h] to usługa serwera NetBIOS na komputerze o nazwie LON-SVR1. Metoda, w której komputer z systemem Windows 10 lub Windows Server 2016 roz- poznaje różne nazwy opiera się na jego konfiguracji, ale zazwyczaj działa jak pokazano na rysunku 1-1. Podane poniżej kroki to typowe etapy rozpoznawania nazw dla komputera z syste- mem Windows 10 lub Windows Server 2016. 1. Ustal, czy nazwa hosta, będąca przedmiotem zapytania, jest taka sama jak nazwa hosta lokalnego. 2. Znajdź w pamięci podręcznej programu rozpoznawania nazw DNS podaną z zapy- taniu nazwę hosta. Pamięć ta jest aktualizowana po udanym rozpoznaniu nazwy. Ponadto do tej pamięci podręcznej jest dodawana zawartość lokalnego pliku Hosts. 3. Wyślij zapytanie do serwera DNS o żądaną nazwę hosta. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfigurowanie serwerów DNS 3 1 . Nazwa hosta lokalnego? Zawartość pliku Hosts 3 . Zapytanie do serwera DNS 2 . W pamięci podręcznej programu rozpoznawania nazw DNS? Rysunek 1-1 Typowe etapy rozpoznawania nazw na komputerze z systemem Windows Server DoDatkoWe materiały Szczegółowe informacje dotyczące rozpoznawania nazw IPv4 można znaleźć w witrynie Microsoft TechNet https://technet.microsoft.com/library/dd379505(v=ws.10).aspx. Rozpoznawanie nazw IPv4 Usługa rozpoznawania nazw w systemie Windows Server 2016 to oczywiście więcej niż tylko zwykłe odwzorowanie podanej nazwy na adres IP. Rola serwera DNS jest również wykorzystywana w celu lokalizacji usług w infrastrukturze sieciowej. Na przy- kład podczas rozruchu komputera użytkownik musi zalogować się do domeny Active Directory Domain Services (AD DS) i być może otworzyć Microsoft Office Outlook. To oznacza, że komputer klienta musi zlokalizować serwer, który dostarcza usługi uwierzytelniania w lokalnej lokalizacji AD DS, a ponadto znaleźć odpowiedni serwer skrzynek pocztowych Microsoft Exchange użytkownika. Te procesy wymagają DNS. Określanie wymagań dla instalacji DNS Przed rozpoczęciem instalacji roli serwera DNS trzeba sprawdzić, czy nasz serwer spełnia wymagania instalacyjne dla tej roli. Wymagania instalacji roli serwera DNS są następujące: ■■ Bezpieczeństwo Należy zalogować się na serwerze jako członek lokalnej grupy Administrators (Administratorzy). ■■ Konfiguracja IP Server musi mieć statycznie przypisaną konfigurację IPv4 i/lub IPv6. To zapewnia komputerom klienta możliwość zlokalizowania roli serwera DNS przy użyciu jego adresu IP. Poza tymi wymaganiami dotyczącymi serwera, trzeba być również przygotowanym na na pytania związane z infrastrukturą sieciową swojej organizacji. Te pytania dotyczą ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 4 Rozdział 1: Wdrażanie systemu nazw domen (DNS) naszej obecności w Internecie oraz zarejestrowanych nazw domen, które mają być wykorzystywane jako publiczne. Mimo że nazw tych domen nie trzeba definiować podczas instalacji roli DNS, należy podać te informacje w czasie jej konfiguracji. Instalowanie roli serwera DNS Rolę serwera DNS można zainstalować za pomocą konsoli Server Manager (Menedżer serwera) lub korzystając z Windows PowerShell. Instalowanie DNS za pomocą konsoli Server Manager Aby zainstalować rolę serwera DNS za pomocą Server Managera, należy wykonać następujące kroki: 1. Zaloguj się na docelowym serwerze jako lokalny administrator. 2. Otwórz Server Manager. 3. Kliknij Manage (Zarządzaj), a następnie kliknij Add Roles And Features (Dodaj role i funkcje). 4. W kreatorze Add Roles And Features (Kreator dodawania ról i funkcji), na stronie Before You Begin (Zanim rozpoczniesz) kliknij Next (Dalej). 5. Na stronie Select Installation Type (Wybieranie typu instalacji) kliknij Role-Based Installation (Instalacja oparta na rolach) lub Feature-Based Installation (Instalacja oparta na funkcjach), a następnie kliknij Next. 6. Na stronie Select Destination Server (Wybieranie serwera docelowego) wybierz serwer z listy Server Pool (Pula serwerów), a następnie kliknij Next. 7. Na liście Roles (Role), na stronie Select Server Roles (Wybieranie ról serwera) wybierz DNS Server (Serwer DNS) – patrz rysunek 1-2. 8. W wyskakującym oknie dialogowym Add Roles And Features Wizard kliknij Add Features (Dodaj funkcje), a następnie kliknij Next. 9. Na stronie Select features (Wybieranie funkcji) kliknij Next. 10. Na stronie DNS Server kliknij Next. 11. Na stronie Confirm Installation Selections (Potwierdzenie wybranych opcji insta- lacji) kliknij Install (Instaluj). Po zakończeniu instalacji kliknij Close (Zamknj). ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfigurowanie serwerów DNS 5 Rysunek 1-2 Instalowanie roli DNS Server za pomocą Server Managera Instalowanie DNS za pomocą Windows PowerShell Mimo że korzystanie z Server Managera do instalowania ról i funkcji serwera jest proste, lecz nie zawsze jest to najszybsza metoda. Aby zainstalować rolę serwera DNS i wszystkie narzędzia związane z zarządzaniem za pomocą Windows PowerShell, nale- ży wykonać następujące kroki: 1. Zaloguj się na docelowym serwerze jako lokalny administrator. 2. Otwórz Windows PowerShell z pełnymi uprawnieniami. 3. W zgłoszeniu Windows PowerShell (patrz rysunek 1-3) wpisz następujące pole- cenie i naciśnij Enter: Add-WindowsFeature DNS -IncludeManagementTools ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 6 Rozdział 1: Wdrażanie systemu nazw domen (DNS) Rysunek 1-3 Instalowanie serwera DNS za pomocą Windows PowerShell Określenie scenariuszy wdrożeń DNS obsługiwanych przez Nano Server Nano Server to nowa opcja wdrażania Windows Server 2016. Jest ona podobna do Windows Server Core, ma jednak dużo mniejsze wymagania sprzętowe. Nano Server ma bardzo ograniczone lokalne możliwości logowania oraz lokalne funkcje administracyjne i obsługuje tylko 64-bitowe aplikacje, agenty oraz narzędzia. W kilku sytuacjach trzeba wziąć pod uwagę Nano Server zamiast innych opcji wdrażania Windows Server. Na przykład Nano Server zapewnia dobrą platformę dla serwera WWW z uruchomionymi usługami IIS (Internet Information Services). Nano Server pasuje także doskonale do działania roli serwera DNS. DoDatkoWe materiały Rozpoczęcie pracy w systemie Nano Server Szczegółowy opis pracy z systemem Nano Server można znaleźć w witrynie Microsoft TechNet, pod adresem https://technet.microsoft.com/windows-server-docs/compute/nano-server/ getting-started-with-nano-server. Aby zainstalować rolę serwera DNS w systemie Nano Server, można zastosować jedną z dwóch następujących strategii. ■■ Instalacja roli serwera DNS jako część wdrożenia Nano Servera Gdy wdrażamy Nano Server za pomocą cmdleta New-NanoServerImage, można użyć parametru -Packages Microsoft-NanoServer-DNS-Package w celu zainstalowania roli serwera DNS. ■■ Dodanie roli po  wdrożeniu Po wdrożeniu Nano Servera można dodać rolę serwera DNS, korzystając z Server Manager lub Windows PowerShell. Ponieważ ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfigurowanie serwerów DNS 7 jednak Nano Server jest bezobsługową platformą serwera z bardzo małymi możli- wościami lokalnego zarządzania, serwerem trzeba zarządzać zdalnie. Rolę do Nano Servera można dodać, stosując następujące metody: ■■ W konsoli Server Manager korzystamy z opcji Add Other Servers To Manage (Dodaj inne serwery do zarządzania), aby dodać Nano Server jako serwer zarzą- dzalny. Następnie dodajemy do tego serwera rolę DNS Server, stosując procedurę przedstawioną wcześniej w tym rozdziale (patrz „Instalowanie DNS za pomocą konsoli Server Manager”). ■■ Tworzymy zdalną sesję Windows PowerShell za pomocą Nano Servera, korzy- stając z cmdletu Enter-PSSession. Następnie można użyć cmdletów Windows PowerShell, aby zainstalować rolę serwera DNS, jak opisano wcześniej w tym rozdziale. Na przykład w celu dodania roli DNS do Nano Servera ze zdalnej sesji Windows PowerShell, korzystamy z następującego polecenia: Enable-WindowsOptionalFeature -Online -FeatureName DNS-Server-Full-Role WskazóWka egzaminacyjna DNS zintegrowany z Active Directory nie jest obsługiwany przez Nano Server, co oznacza, że na takim serwerze można zaimplementować tylko DNS oparty na plikach. DoDatkoWe materiały Włączanie i używanie zdalnych poleceń w Windows PowerShell Więcej szczegółów na temat korzystania ze zdalnych usług w Windows PowerShell można znaleźć w witrynie Microsoft TechNet, pod adresem https://technet.microsoft.com/magazi- ne/ff700227.aspx. Konfigurowanie usług przesyłania dalej, wskazówek dotyczących serwerów głównych, rekurencji oraz delegowania Po zainstalowaniu roli serwera DNS na serwerze systemu Windows Server 2016 należy ją skonfigurować. Konfiguracja ta obejmuje usługi przesyłania dalej, wskazówki doty- czące serwerów, rekurencję oraz delegowanie. Konfigurowanie usług przesyłania dalej Usługi przesyłania dalej umożliwiają zdefiniowanie, co dzieje się z zapytaniem DNS, gdy serwer DNS, do którego kierujemy zapytanie, nie jest w stanie podać adresu. Na przykład można skonfigurować i wykorzystać przekazywanie DNS, aby sterować ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 8 Rozdział 1: Wdrażanie systemu nazw domen (DNS) przepływem zapytań DNS w całej organizacji tak, aby do obsługi internetowych zapy- tań DNS można używać tylko określonych serwerów DNS. Za pomocą usług przesyłania dalej w DNS, można: ■■ Skonfigurować serwer DNS tak, aby odpowiadał tylko na te zapytania, które może zrealizować przez odwołanie do przechowywanych lokalnie informacji o strefie. Wszystkie inne zapytania muszą być przekazywane przez zapytywany serwer do innego serwera DNS. ■■ Zdefiniować działanie przesyłania dla określonych domen DNS, konfigurując przekazywanie warunkowe DNS. W tym scenariuszu, jeśli zapytanie DNS zawiera określoną nazwę domeny, na przykład Contoso.com, jest ono przesyłane do kon- kretnego serwera DNS. Aby skonfigurować przesyłanie dalej, należy wykonać następujące kroki: 1. W konsoli Server Manager (Menedżer serwerów) kliknij Tools (Narzędzia), a następnie kliknij DNS. 2. W konsoli DNS Manager (Menedżer DNS) kliknij prawym przyciskiem myszy serwer DNS w okienku nawigacji, a następnie kliknij Properties (Właściwości). 3. W oknie dialogowym Server Properties (Właściwości serwera), na karcie Forwarders (Usługi przesyłania dalej) kliknij Edit (Edytuj). 4. Na liście IP Address (Adres IP), znajdującej się w oknie dialogowym Edit Forwarders (Edytuj usługi przesyłania dalej), wprowadź adres IP serwera, do któ- rego chcesz przesyłać wszystkie zapytania DNS, a następnie kliknij OK. Można tutaj skonfigurować kilka serwerów DNS; zapytania do tych serwerów są wysyłane w kolejności zgodnej z preferencjami. Można również ustawić czas oczekiwania (w sekundach), po upłynięciu którego wygasa. 5. W oknie dialogowym Server Properties, na karcie Forwarders można przeglądać i edytować listę usług przesyłania dalej DNS, jak pokazano na rysunku 1-4. Można również określić, co będzie się działo, jeśli z żadną z usług przesyłania dalej DNS nie będzie się mógł połączyć. W takim przypadku domyślnie są stosowane wska- zówki dotyczące serwerów głównych. Wskazówki te są omówione w następnym punkcie. Kliknij OK, aby zakończyć konfigurację. WskazóWka egzaminacyjna Przesyłanie dalej można również skonfigurować, korzystając z cmdletu Windows PowerShell, Add-DnsServerForwarder. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfigurowanie serwerów DNS 9 Rysunek 1-4 Konfigurowanie usługi przesyłania dalej DNS Aby włączyć i skonfigurować warunkowe przesyłanie dalej, należy wykonać następu- jące kroki: 1. W okienku nawigacji DNS Managera kliknij prawym przyciskiem węzeł Conditional Forwarders (Usługi warunkowego przesyłania dalej), a następnie klik- nij New Conditional Forwarder (Nowa usługa warunkowego przesyłania dalej). 2. W oknie dialogowym New Conditional Forwarder, w polu DNS Domain (Domena DNS), wpisz nazwę domeny, dla której chcesz utworzyć usługę warunkowego przesyłania dalej (patrz rysunek 1-5). Następnie, na liście adresów IP serwerów głównych, wprowadź adres IP serwera usługi przesyłania dalej dla tej domeny; naciśnij Enter. 3. Opcjonalnie określ wartość Number of Seconds Before Forward Queries Time Out (Liczba sekund przed upłynięciem limitu czasu przesyłania kwerend dalej). Wartość domyślna to 5 sekund. 4. Kliknij OK. WskazóWka egzaminacyjna Do  konfiguracji usługi warunkowego przesyłania dalej można również użyć cmdletu Windows PowerShell, Add-DnsServerConditionalForwarderZone. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 10 Rozdział 1: Wdrażanie systemu nazw domen (DNS) Rysunek 1-5 Konfigurowanie usługi warunkowego przesyłania dalej DNS Konfiguracja wskazówek dotyczących serwerów głównych Jeśli nie określimy usługi przekazywania dalej DNS, to w sytuacji, gdy serwer DNS, do którego wysłano zapytanie DNS, nie może na nie odpowiedzieć, korzysta ze wska- zówek dotyczących serwerów głównych, aby ustalić, jak znaleźć adres. Zanim przyj- rzymy się wskazówkom dotyczącym serwerów głównych, trzeba zrozumieć, jak obsłu- giwane jest internetowe zapytanie DNS. OBSłUGA INTERNETOWEGO ZAPyTANIA DNS Aplikacja kliencka, taka jak Microsoft Edge, chce odwzorować nazwę (jak www.conto- so.com) na odpowiedni adres IPv4. Aplikację tę określamy jako klienta DNS. Procedurę stosowaną do rozpoznania tej nazwy opisano poniżej i pokazano na rysunku 1-6. 1. Klient DNS wysyła do swojego skonfigurowanego serwera DNS prośbę dotyczą- cą potrzebnego rekordu (na przykład www.contoso.com), za pomocą zapytania rekurencyjnego. ■❐ Serwer DNS, do którego kierowane jest zapytanie, sprawdza, czy jest autoryta- tywny dla żądanego rekordu. Jeśli jest, zwraca potrzebne informacje. ■❐ Jeśli nie jest autorytywny, serwer DNS sprawdza swoją lokalną pamięć podręcz- ną, aby ustalić, czy rekord był ostatnio wyszukiwany. Jeśli rekord znajduje się w pamięci podręcznej, jest zwracany klientowi, który go zażądał. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfigurowanie serwerów DNS 11 Inne serwery DNS . serwer DNS .com serwer DNS contoso .com serwer DNS Klient DNS Serwer DNS www .contoso .com 131 .107 .20 .21 Rysunek 1-6 Działanie internetowego zapytania DNS WskazóWka egzaminacyjna Gdy serwer DNS otrzymuje zapytanie rekurencyjne, albo zwraca żądany wynik, albo błąd; w żadnym przypadku nie odsyła klienta DNS do innego serwera. 2. Jeśli rekordu nie ma w pamięci podręcznej, wtedy serwer DNS wysyła szereg zapytań iteracyjnych do innych serwerów DNS, pytając o żądany rekord. Zaczyna ten proces od serwera głównego. WskazóWka egzaminacyjna Gdy serwer DNS otrzyma zapytanie iteracyjne, zwraca żądany wynik lub odsyła do inne- go serwera, który może być autorytatywny dla żądanego rekordu. 3. Rekord jest zwracany, jeśli serwer główny jest autorytatywny dla żądanego rekor- du. W przeciwnym przypadku serwer główny zwraca adres IP serwera DNS auto- rytatywnego dla domeny kolejnego, niższego poziomu, w tym przypadku .com. 4. Początkowy serwer DNS wysyła żądanie do określonego serwera DNS .com za pomocą kolejnego zapytania iteracyjnego. 5. Serwer DNS .com nie jest autorytatywny, więc zwraca adres IP serwera DNS Contoso.com. 6. Początkowy serwer DNS wysyła żądanie do serwera DNS Contoso.com, korzysta- jąc z kolejnego zapytania iteracyjnego. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 12 Rozdział 1: Wdrażanie systemu nazw domen (DNS) 7. Serwer Contoso.com DNS jest autorytatywny, więc zawraca żądaną informację – w tym przypadku adres IPv4 dla www.contoso.com. 8. Początkowy serwer DNS buforuje rekord i zwraca żądaną informację klientowi DNS. JAK Są WyKORZySTyWANE WSKAZóWKI DOTyCZąCE SERWERóW GłóWNyCH Jak wynika z poprzednich wyjaśnień i diagramu, jeśli serwer DNS nie jest autoryta- tywny i nie utrzymuje pamięci podręcznej dla domeny DNS, wysyła żądanie do ser- wera głównego, aby rozpocząć proces ustalania, który serwer jest autorytatywny dla żądanego rekordu. Jednak bez adresu IP głównego serwera nazw ten proces nie może się rozpocząć. Wskazówki dotyczące serwerów głównych są wykorzystywane przez serwery DNS, aby umożliwić im przeszukiwanie hierarchii DNS w Internecie, zaczynając od serwera głównego. Serwery DNS firmy Microsoft są wstępnie skonfigurowane z odpowiednimi rekordami wskazówek. Listę serwerów we wskazówkach można jednak zmodyfiko- wać, korzystając z konsoli DNS Manager lub z Windows PowerShell. WskazóWka egzaminacyjna Usługa DNS Server implementuje wskazówki dotyczące serwerów głównych, korzysta- jąc z  pliku, CACHE.DNS, przechowywanego w  folderze systemroot \System32\dns na serwerze. Można wziąć rozważyć edycję informacji wskazówek dotyczących serwerów głównych, jeśli chcemy skonfigurować przepływ ruchu zapytań DNS w naszej sieci wewnętrznej. Jest to także przydatne między naszą siecią wewnętrzną a siecią graniczną, która znaj- duje się między naszą siecią wewnętrzną a Internetem. EDyCJA WSKAZóWEK DOTyCZąCyCH SERWERóW GłóWNyCH Aby zmodyfikować wskazówki dotyczące serwerów głównych za pomocą DNS Managera, należy wykonać następujące kroki: 1. W konsoli Server Manager kliknij Tools, a następnie kliknij DNS. 2. W konsoli DNS Manager znajdź odpowiedni serwer DNS. Kliknij prawym przy- ciskiem serwer, a następnie kliknij Properties. 3. W oknie dialogowym Properties kliknij kartę Root Hints, jak pokazano na rysun- ku 1-7. 4. Możesz następnie dodać nowe rekordy lub edytować albo usunąć dowolne istnie- jące rekordy. Możesz również kliknąć Copy From Server (Kopiuj z serwera), aby zaimportować wskazówki dotyczące serwerów głównych z innego serwera DNS będącego online. Po zakończeniu edycji wskazówek kliknij OK. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfigurowanie serwerów DNS 13 Rysunek 1-7 Konfigurowanie wskazówek dotyczących serwerów głównych Do modyfikacji informacji zawartych we wskazówkach dotyczących serwerów głów- nych można również używać Windows PowerShell. Do zarządzania tymi wskazówka- mi służą następujące cmdlety: ■■ Add-DnsServerRootHint Umożliwia dodawanie nowych rekordów wskazówek dotyczących serwerów głównych. ■■ Remove-DnsServerRootHint Umożliwia usuwanie rekordów wskazówek. ■■ Set-DnsServerRootHint Umożliwia edycję nowych rekordów wskazówek. Można również korzystać z cmdletu Get-DnsServerRootHint, aby wyszukać rekord, który chcemy poddać edycji. ■■ Import-DnsServerRootHint Umożliwia kopiowanie informacji wskazówek doty- czących serwerów głównych z innego serwera DNS będącego online. Na przykład, aby uaktualnić wartość wskazówek przypisanych do H.Root-servers. adatum.com, korzystamy z dwóch poniższych poleceń Windows PowerShell: $hint = (Get-DnsServerRootHint | Where-Object {$_.NameServer.RecordData.NameServer -eq H.Root-Servers.Adatum.com. } ) $hint.IPAddress[0].RecordData.Ipv4address = 10.24.60.254 Pierwsze polecenie pobiera wskazówkę H.Root-servers.adatum.com i przypisuje ją zmiennej $hint. Cmdlet Get-DnsServerRootHint pobiera listę wszystkich wskazó- wek dotyczących serwerów głównych, a cmdlet Where-Object filtruje wyniki, aby otrzymać tylko wskazówki dla H.Root-servers.adatum.com. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 14 Rozdział 1: Wdrażanie systemu nazw domen (DNS) Konfigurowanie rekurencji Rekurencja to nazwa procesu rozpoznawania nazwy, w którym serwer DNS, do które- go wysłano żądanie, kieruje zapytanie do innych serwerów DNS, aby uzyskać odpo- wiedź na zapytanie DNS w imieniu żądającego klienta. Serwer, do którego skierowano prośbę, zwraca wtedy odpowiedź do klienta DNS. Domyślnie wszystkie serwery DNS wykonują zapytania rekurencyjne w imieniu swoich klientów DNS i innych serwerów DNS, które przesłały do nich zapytania klienta DNS. Ponieważ jednak rekurencja może być wykorzystana przez atakujących jako meto- da wykonania próby ataku odmowy usług na waszych serwerach DNS, należy rozwa- żyć wyłączenie rekurencji na dowolnym serwerze DNS w naszej sieci, która nie jest przeznaczona do otrzymywania zapytań rekurencyjnych. Aby wyłączyć rekurencję, należy wykonać następujące kroki: 1. W konsoli Server Manager kliknij Tools, a następnie DNS. 2. W konsoli DNS Manager kliknij prawym przyciskiem myszy odpowiedni serwer, a następnie kliknij Properties. 3. Kliknij zakładkę Advanced (Zaawansowane), a następnie, na liście Server options (Opcje serwera), zaznacz pole wyboru Disable Recursion (Also Disables Forwarders) (Wyłącz rekurencję (także wyłącza usługi przesyłania dalej)), jak pokazano na rysunku 1-8, a następnie kliknij OK. Rysunek 1-8 Wyłączanie rekurencji ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfigurowanie serwerów DNS 15 ZAKRESy REKURENCJI Wprawdzie wyłączenie rekurencji może się wydawać właściwe, jest jednak kilka ser- werów, które muszą wykonywać rekurencję dla swoich klientów i innych serwerów DNS. Są one jednak narażone na szkodliwe ataki sieciowe. Windows Server 2016 obsługuje funkcję określaną jako zakresy rekurencji (ang. recursion scopes), która pozwala kontrolować działanie zapytania rekurencyjnego. W tym celu trzeba użyć DNS Server Policies (Zasady serwera DNS). Na przykład można mieć jeden serwer DNS umożliwiający wykonywanie zapytań rekurencyjnych dla klientów wewnętrznych w domenie Adatum.com, który jednak nie powinien akceptować żadnych zapytań rekurencyjnych od komputerów z Internetu. Aby skonfigurować takie działanie, otwieramy Windows PowerShell i wykonujemy dwa poniższe polecenia: Set-DnsServerRekurencjaScope -Name . -EnableRekurencja $False Add-DnsServerRekurencjaScope -Name InternalAdatumClients -EnableRekurencja $True Pierwsze polecenie dezaktywuje rekurencję dla domyślnego zakresu, czyli w rezultacie ją wyłącza. Domyślny zakres obejmuje rekurencję na poziomie serwera i ustawienia przesyłania dalej, które zostały już omówione w tym rozdziale (patrz „Konfigurowanie usług przesyłania dalej, wskazówek dotyczących serwerów głównych, rekurencji oraz delegowania). Drugie polecenie tworzy nowy zakres rekurencji o nazwie InternalAdatumClients. Rekurencja zostaje włączona dla klientów z tego zakresu. Następnie trzeba zdefinio- wać, które klienty należą do tego zakresu rekurencji. W tym celu korzystamy z nastę- pującego polecenia Windows PowerShell: Add-DnsServerQueryResolutionPolicy -Name RekurencjaControlPolicy -Action ALLOW -ApplyOnRekurencja -RekurencjaScope InternalAdatumClients -ServerInterfaceIP EQ,10.24.60.254 W tym przykładzie żądania klienta otrzymane na interfejsie serwera DNS z adresem IP 10.24.60.254 są oceniane jako należące do InternalAdatumClients, a rekurencja zostaje włączona. Dla żądań klientów otrzymanych na innych interfejsach serwera rekurencja pozostaje wyłączona. DoDatkoWe materiały Cmdlet add-Dns ServerQueryResolutionPolicy Więcej informacji na temat wykorzystania Windows PowerShell do konfiguracji zakresów rekurencji można znaleźć w witrynie TechNet, pod adresem https://technet.microsoft.com/ library/mt126273.aspx. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 16 Rozdział 1: Wdrażanie systemu nazw domen (DNS) Konfigurowanie delegowania To zagadnienie jest ujęte w kolejnym podrozdziale, „Zagadnienie 1.2: Tworzenie i kon- figurowanie stref i rekordów DNS”, w punkcie „Konfigurowanie delegowania”. Konfigurowanie zaawansowanych ustawień DNS Dzięki konfigurowaniu przesyłania dalej, rekurencji oraz wskazówkom dotyczą- cym serwerów głównych możemy sterować podstawowymi zasadami przetwarzania zapytań DNS w naszej organizacji. Po skonfigurowaniu tych ustawień można przejść do włączenia i konfiguracji ustawień bardziej zaawansowanych. Konfigurowanie DNSSEC DNSSEC jest ustawieniem zabezpieczeń dla DNS, które pozwala na cyfrowe podpisy- wanie wszystkich rekordów DNS w strefie DNS, aby klienty DNS mogły zweryfikować tożsamość serwera DNS. DNSSEC pomaga w uzyskaniu pewności, że klient DNS kon- taktuje się z prawdziwym serwerem DNS. UWaga Strefy DNS Tworzenie stref DNS i zarządzanie nimi opisano w punkcie „Tworzenie stref DNS”. Gdy klient wysyła zapytanie do serwera DNS, który został skonfigurowany z opcją DNSSEC, serwer DNS zwraca wynik wraz z podpisem cyfrowym. Aby sprawdzić, czy podpis jest ważny, klient DNS otrzymuje klucz publiczny z pary kluczy publiczny/ prywatny powiązanej z tym podpisem z kotwicy zaufania. Aby to działało, trzeba skon- figurować swoich klientów DNS z kotwicą zaufania dla oznaczonej strefy DNS. KOTWICE ZAUFANIA Implementacja DNSSEC wymaga utworzenia strefy TrustAnchors (Kotwice zaufania). Ta strefa służy do przechowywania kluczy publicznych związanych z konkretnymi strefami DNS. Trzeba utworzyć kotwicę zaufania z zabezpieczanej strefy na każdym serwerze DNS, który przechowuje tę strefę. TABLICA ZASAD ROZPOZNAWANIA NAZW Ponadto trzeba utworzyć, skonfigurować i rozdystrybuować tablicę zasad rozpoznawa- nia nazw, NRPT (Name Resolution Policy Table). Reguła DNSSEC w NRPT jest wyko- rzystywana przez klienty w celu zdefiniowania sposobu działania klienta DNS oraz jest używana przez DNSSEC do poinstruowana klienta, aby wymagał potwierdzenia poprzez zastosowanie podpisu. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfigurowanie serwerów DNS 17 WskazóWka egzaminacyjna Do dystrybucji NRPT w środowiskach Active Directory Domain Services (AD DS) zazwyczaj stosuje się obiekty grup zasad, GPO (Group Policy Objects). IMPLEMENTACJA DNSSEC Po zainstalowaniu systemu Windows Server 2016 i wdrożeniu roli serwera DNS na serwerze, aby zaimplementować DNSSEC, należy wykonać następujące kroki: 1. Uruchom kreator DNSSEC Configuration Wizard z konsoli DNS Manager, aby podpisać strefę DNS. W konsoli DNS Manager kliknij prawym przyciskiem pożą- daną strefę, wskaż DNSSEC, a następnie kliknij Sign The Zone (Podpisz stre- fę). Po podpisaniu strefy można wybrać jedną z trzech opcji, jak to pokazano na rysunku 1-9. Rysunek 1-9 Podpisywanie strefy DNS ■❐ Customize Zone Signing Parameters (Dostosuj parametry podpisywania strefy) Umożliwia konfigurację wszystkich wartości dla kluczy KSK (Key Signing Key) oraz ZSK (Zone Signing Key). ■❐ Sign The Zone With Parameters Of An Existing Zone (Podpisz strefę przy użyciu parametrów istniejącej strefy) Umożliwia wykorzystanie tych samych wartości i opcji jak w istniejącej podpisanej strefie. ■❐ Use Default Settings To Sign The Zone (Użyj ustawień domyślnych do pod- pisania strefy) Podpisuje strefę, wykorzystując wartości domyślne. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 18 Rozdział 1: Wdrażanie systemu nazw domen (DNS) 2. Skonfiguruj punkty dystrybucji kotwic zaufania. Z tej możliwości można skorzy- stać po wybraniu opcji Customize Zone Signing Parameters. W innym przypadku, po podpisaniu strefy, należy wykonać następujące kroki w celu skonfigurowania punktów dystrybucji kotwic zaufania: A. W konsoli DNS Manager kliknij prawym przyciskiem myszy pożądaną strefę, wskaż DNSSEC, a następnie kliknij Properties. B. W oknie dialogowym DNSSEC Properties For Selected Zone, na karcie Trust Anchor (Kotwica zaufania) zaznacz okno wyboru Enable The Distribution Of Trust Anchors For This Zone (Włącz dystrybucję kotwic zaufania dla tej strefy) i kliknij OK, co pokazano na rysunku 1-10. Gdy pojawi się zgłoszenie kliknij Yes, a następnie OK. C. Sprawdź, czy węzeł Trust Points istnieje i zawiera odpowiednie rekordy DNS KEY (DNSKEY). W tym celu, w konsoli DNS Manager, rozwiń węzeł Server, a następnie rozwiń Trust Points. Zawiera on węzły podrzędne naszych stref DNS, w których znajdują się dwa rekordy DNS KEY (DNSKEY). Rysunek 1-10 Włączanie dystrybucji zaufanych kotwic 3. Skonfiguruj NRPT na komputerach klienckich. Należy rozprowadzić NRPT do wszystkich komputerów klienckich, aby wiedziały, że mają żądać potwier- dzenia za pomocą DNSSEC. Najłatwiejszą metodą osiągnięcia tego jest użycie dystrybucji GPO: ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfigurowanie serwerów DNS 19 A. Otwórz Group Policy Management (Zarządzanie zasadami grupy) i znajdź Default Domain Policy (Domyślne zasady domeny). B. Otwórz zasadę do edycji i przejdź do Computer Configuration / Policies / Windows Settings / Name Resolution Policy, jak to pokazano na rysunku 1-11. C. W części Create Rules (Utwórz reguły) wpisz w polu testowym Suffix (Sufiks) nazwę swojej domeny (na przykład Adatum.com); w ten sposób reguła zostanie zastosowana do sufiksu tego obszaru nazw. D. Zaznacz pola wyboru Enable DNSSEC in this Rule (Włącz zabezpieczenia DNSSEC w tej regule ) oraz Require DNS Clients To Check That The Name And Address Data Has Been Validated By The DNS Server (Wymagaj od klien- tów DNS sprawdzenia, czy dane nazwy i adresu zostały zweryfikowane przez serwer DNS ), a następnie kliknij Create (Utwórz). Rysunek 1-11 Tworzenie GPO NRPT DoDatkoWe materiały krok po kroku: Pokaz DNSSEC w laboratorium testowym Więcej informacji na temat wdrażania DNSSEC można znaleźć w witrynie Microsoft TechNet, pod adresem https://technet.microsoft.com/library/hh831411(v=ws.11).aspx. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 20 Rozdział 1: Wdrażanie systemu nazw domen (DNS) Konfiguracja puli gniazd DNS Pulę gniazd DNS można wykorzystać, aby włączyć możliwość używania przez serwer DNS losowego portu źródłowego przy wydawaniu zapytań DNS. Jeśli uaktywnimy pulę gniazd DNS, po uruchomieniu usługi DNS serwer DNS wybiera port źródłowy z puli dostępnych gniazd. To oznacza, że serwer DNS unika używania dobrze znanych portów. To może pomóc w zabezpieczeniu serwera DNS, ponieważ atakujący musi odgadnąć zarówno port źródłowy zapytania DNS, jak i losowy ID transakcji, aby z powodzeniem przeprowadzić atak. Do skonfigurowania rozmiaru puli gniazd DNS można wykorzystać narzędzie wier- sza poleceń, DNSCMD.exe. W tym celu z wiersza polecenia z podwyższonym poziomem uprawnień urucho- miamy polecenie dnscmd /Config /SocketPoolSize wartość , a następnie restartujemy serwer DNS. Rozmiar puli gniazd można skonfigurować na wartość od 0 do 10 000. Rozmiarem domyślnym jest 2 500. Konfigurowanie blokowania pamięci podręcznej Gdy klient DNS kieruje zapytanie do rekurencyjnego serwera DNS, serwer zapisuje wynik w pamięci podręcznej, aby mógł szybciej odpowiedzieć na zapytania innych klientów DNS, dotyczące tych samych informacji. Czas przechowywania rekordu w pamięci podręcznej jest określona przez jego wartość czasu życia (Time To Live, TTL). W czasie TTL rekord można nadpisać, jeśli dostępne są nowsze dane. To jednak stanowi potencjalne zagrożenie bezpieczeństwa. Atakujący może być w stanie zastąpić rekord w pamięci podręcznej informacjami, które mogłyby przekierować na stronę zawierającą niebezpieczną zawartość. Aby zmniejszyć to ryzyko, można w systemie Windows Server 2016 zastosować blokowanie pamięci podręcznej, aby określić, kiedy informacje w pamięci podręcz- nej usługi rozpoznawania DNS mogą zostać nadpisane. Po uaktywnieniu blokowania pamięci podręcznej serwer DNS nie pozwala na aktualizacje przechowywanych rekor- dów przed upłynięciem czasu TTL. Aby skonfigurować blokowanie pamięci podręcznej na swoim serwerze DNS, uru- chamiamy w Windows PowerShell polecenie Set-DnsServerCache –LockingPercent wartość . Wpisywana wartość jest procentem czasu życia (TTL). Dla przykładu, jeśli wpiszemy 75, wtedy serwer DNS nie pozwoli na aktualizację przechowywanego rekordu, dopóki nie upłynie 75 procent jego czasu życia. WskazóWka egzaminacyjna Domyślną wartością procentu przy blokowaniu pamięci podręcznej jest 100, co oznacza, że przechowywane rekordy nie mogą być nadpisane przed upływem całkowitego czasu życia (TTL). ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfigurowanie serwerów DNS 21 Włączanie ograniczania częstości odpowiedzi Inną funkcją zabezpieczeń, z której można korzystać w systemie Windows Server 2016, jest ograniczanie częstości odpowiedzi, co jest obroną przed atakami odmowy usług DNS. Popularnym atakiem odmowy usług DNS jest oszukiwanie serwerów DNS, aby wysyłały duże ilości ruchu DNS do określonych serwerów DNS, przeciążając w ten sposób docelowe serwery. Gdy serwer DNS ze skonfigurowanym ograniczeniem częstości odpowiedzi rozpo- zna potencjalnie złośliwe zapytania, ignoruje je zamiast je propagować. Serwer DNS może rozpoznać takie zagrożenia, ponieważ wiele jednakowych zapytań z tego samego źródła w krótkim okresie czasu wzbudza podejrzenie. Domyślnie ograniczanie częstości odpowiedzi jest wyłączone. Aby go włączyć, uru- chamiamy w Windows PowerShell polecenie, Set-DnsServerResponseRateLimiting. To uaktywnia ograniczanie częstości odpowiedzi z użyciem domyślnych wartości. Można również podać parametry polecenia, aby dostosować ograniczanie częstości odpowiedzi. Set-DnsServerResponseRateLimiting DoDatkoWe materiały Więcej informacji na temat konfigurowania ograniczania częstości odpowiedzi DNS można znaleźć w witrynie Microsoft TechNet, pod adresem https://technet.microsoft.com/library/ mt422603.aspx. Konfigurowanie uwierzytelniania nazwanych jednostek opartego na DNS Windows Server 2016 obsługuje nową funkcję uwierzytelniania nazwanych jednostek opartego na DNS – DNS-Based Authentication of Named Entities (DANE). Ta funkcja działa w oparciu o Transport Layer Security Authentication (TLSA) i może pomóc ograniczyć ataki pośrednika w naszej sieci. Działanie DANE polega na informowaniu klientów DNS żądających rekordów z naszej domeny, przez który CA (Certification Authority) powinny być wydawane certyfikaty cyfrowe powiązane z tymi rekordami. Przypuśćmy na przykład, że klient DNS wysyła zapytanie o adres IPv4 powiązany z rekordem https://www.adatum.com. Serwer DNS dostarcza adres IPv4 oraz powiązane z nim informacje. Jednak serwer dostarcza również informacje, iż certyfikat użyty do
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Egzamin 70-741 Windows Server 2016 Praca w sieci
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: