delta0211 10 Geschrieben 20. Juni 2010 Melden Teilen Geschrieben 20. Juni 2010 Hallöchen, ich stehe kurz vor meiner 2. Zertifizierungsprüfung (erste war 070-680 nun folgt 70-640). Ich habe das entsprechende Buch von Laue und das Buch von MS Press (Core Pack) gelesen. Zudem etwas im Technet. Ehrlicherweise gebe ich zu, dass ich mich im Internet auch etwas an Braindumps gemacht habe, aber ich möchte mich absolut nicht drauf verlassen. Habe diese eher zur Kontrolle des erlernten Wissens genutzt. Und genau hier musste ich feststellen, dass ich zum Thema DNS scheinbar überhaupt nichts weiß. Ich möchte Verstehen was ich da tue, und nicht einfach nur irgendwas auswendig lernen, was ich nicht verstehe. Was mir fehlt: 1. Was ist der Unterschied zwischen Domain und Zone? 2. Was ist ist der Unterschied zwischen secondary Zone und stub-zone? 3. Wann wird delegiert, wann wird weitergeleitet? 4. Wann ist eine AD-integrierte Zone notwendig! OK, was mir dabei immer am meisten weiter hilft ist, wenn ich versuche mir meine Fragen selbst zu beantworten und genau das habe ich versucht. Ich hoffe nun, dass Ihr mir bei diesen Antworten korrigierend unter die Arme greifen werdet: Zu 1.: Eine Domäne umfasst alle Teile einer Domänenstruktur. Bei der Domäne "Subdomain.Beispieldomain.de." ist die Domäne der Gesamte Namensraum von "Subdomain" bis zu "de.". Eine Zone wäre in diesem Beispiel der Namensraum, der von einem eigenen, selbsttändigen (primären) Namensservern verwaltet wird. Im obigen Beispiel würde es sich bei der Domäne "Beispieldomain" und "de" in jedem Fall um eine eigene Zone mit primärem Namenserver handeln. Bei der Domain "Subdomain" handelt es sich um einen untergeordneten Namensraum, bei dem nicht unbedingt eine eigene Zone notwendig wäre. Zu 2: Die sekundäre Zone ist eine schreibgeschützte Kopie der primary Zone und kann auf einem eigenen DNS Server für einen unabhängigen Namensraum gehostet werden. Im obigen Beispiel kann z.B. die "Subdomain" eine secondary Zone erhalten. Die secondary Zone ist nicht AD integriert und wird nicht automatisch von der primary Zone repliziert. Die Zone arbeitet unabhängig, alle DNS Anfragen in dieser Zone werden vom secondary Namenserver bearbeitet. Eine Stubzone ist hingegen kein eigener DNS Namensraum. Es wird lediglich ein Zeiger auf vollwertige Namensserver gesetzt. Dies bedeutet Anfragen werden nicht von der Subzone beantwortet, sondern an einen eigenständigen DNS Server weitergeleitet. Zu 3.: Delegierung bedeutet, dass ein Untergeordneter Server die Aufgabe erhält, einen untergeordneten Namensraum eigenstänsig zu verwalten. Beispiel: Die Abteilung Einkauf bekommt einen Eigenen DNS-Namensraum Zugeordnet: "Verkauf.Beispiel.De" Verkauf bekommt einen Eigenständigen DNS Server. Nun müssen hier die Rechte delegiert werden, damit der DNS Server nur Einfluss auf die Untergeordnete Domain hat, aber keinen Einfluss auf die Übergeordnete "Beispiel". Allerdings verstehe ich hier nicht, wo diese Delegierung gesetzt wird. Weiterleitung bedeutet, dass ein Server eine Anfrage, die er nicht auflösen kann, an einen anderen Server weiterleiten kann. Ist das alles? Zu 4.: Eine AD Integrierte Zone benötigt keinen selbstständigen DNS Server und wird automatisch durch die AD Replikation repilziert. Die gesamten DNS Daten sind in der AD Datenbank abgelegt und nicht in einer Textdatei. Ist dies der einzige Vorteil? Vielen Dank im Voraus Chris Zitieren Link zu diesem Kommentar
delta0211 10 Geschrieben 21. Juni 2010 Autor Melden Teilen Geschrieben 21. Juni 2010 auch wenn niemand eine Antwort wusste: Kaum schaut man richtig nach, und schon hat man es begriffen! Habe nun im MS-Press Buch für die 70-642 nachgeschlagen. Hier wird alles im Detail erklärt: - Was sind Zonen und Domänen - Was sind Standardzonen, was sind AD integrierte Zonen - Was sind Stubzones, sekundäre und primäre Zonen (und welche von denen können AD integriert sein - Was sind Zonenübertragungen - Was sind Weiterleitungen und bedingte Weiterleitungen - Was ist Namespace und vieles mehr! Das Thema DNS wird in dieser Prüfungsvorbereitung noch einmal wensentlich gemazer besprochen als im Material zur 70-640! Grüße Zitieren Link zu diesem Kommentar
jezu 10 Geschrieben 21. Juni 2010 Melden Teilen Geschrieben 21. Juni 2010 Denke deine Fragen würden den Rahmen hier sprengen zumal du gerade so ziemlich alles zu DNS anfragst ... Dafür sind Bücher da und Technet, stelle einfach einzelnde Fragen dann antwortet dir bestimmt gerne jemand ;) Eine Zwei Argumente hast du vergessen : Replikationsverkehr reduzieren, DNS Sicherheit, RODC ... wesentliche Argumente zur Wahl der Netzwerk Infrastruktur! Zitieren Link zu diesem Kommentar
delta0211 10 Geschrieben 22. Juni 2010 Autor Melden Teilen Geschrieben 22. Juni 2010 Nein nein, ich habe das mit Sicherheit nicht vergessen! Hatte ja bloß die Dinge aufgelistet, die mir unklar waren. Das was Du aufgeschrieben hast, dass ist easy kram.... also jedenfals leuchtete es mir im gegensatz zu DNS Konfiguration etc. direkt ein. Und ich glaube beim Thema Netzwerkinfrastruktur bist Du beim 70-642 oder nicht? Es sei denn Du meinst nun Dömäne, Tree oder Forest. Grüße Chris Zitieren Link zu diesem Kommentar
jezu 10 Geschrieben 22. Juni 2010 Melden Teilen Geschrieben 22. Juni 2010 Zur Netzwerkinfrastruktur gehört DNS ... Und DNS Sicherheit ist kein "Easy Kram" :suspect: Überschätz das alles mal nicht :wink2: Zitieren Link zu diesem Kommentar
delta0211 10 Geschrieben 22. Juni 2010 Autor Melden Teilen Geschrieben 22. Juni 2010 nein nein, es gibt nur Bereiche, bei denen fühle ich mich sicherer, und andere sitzen eben noch nicht so gut! Aber sei es drum, das passt schon irgendwie :-) Nun habe ich eine konkrete Frage zum Thema "Eigenständige Zertifizierungsstellen": Eine eigenständige Zertifizierungsstelle kann von einem Domänen-Admin auf einem X-beliebigen Computer der Domäne installiert werden und wird von dort aus in den Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen auf jedem Computer der Domäne hinzugefügt? Ist das so richtig? Tatsächlich auf jedem Rechner der Domäne? THX Chris Zitieren Link zu diesem Kommentar
jezu 10 Geschrieben 22. Juni 2010 Melden Teilen Geschrieben 22. Juni 2010 (bearbeitet) Das hat jetzt aber leider so einige Lücken ... sorry! Zertifizierungststellen geht nur unter Server Systemen. Wenn du mit einem Domain Admin Account eine eigenständige Zertifizierungsstelle auf einem Server installierst der Mitglied der Domain ist wird automatisch die Info in den Zertifikatspeicher vertrauenswürdige Stammzertifizierungstelle abgelegt. "Glaube das meintest du" Check it out! 1. Was für Zertifizierungsstellen gibt es!? 2. Wofür, welche Zertifizierungsstellen?! 3. Warum brauche ich ein Stammzertifikat!? 4. Was sind Zertifikat Vorlagen!? 5. Was für Zertifikate gibt es!? 6. Warum gibt es Sperrlisten oder Delta Sperrlisten!? Kläre einen nach dem anderen Punkt (lesen, z.B PKI, Win2k3 Security, Buch 70-293 oder 70-299) Und spring nicht von einem Thema zum nächsten, PKI kommt zum Schluss. DNS ist erstmal wichtiger ;) Für dich als Einsteiger rate ich dir dich erstmal mit der 70-291 auseinander zusetzen auch wenn du glaubst das sei alles alter Tobak. Erstmal Finger weg von den 2008er Gruppe. bearbeitet 22. Juni 2010 von jezu Zitieren Link zu diesem Kommentar
delta0211 10 Geschrieben 22. Juni 2010 Autor Melden Teilen Geschrieben 22. Juni 2010 1. Was für Zertifizierungsstellen gibt es!? --> Unternehmens- und eigenständige Zertifizierungsstellen, unterteilt in Stammzertifizierungsstellen und untergeordnete Zertifizierungsstellen 2. Wofür, welche Zertifizierungsstellen?! --> Unternehmenszertifizierungsstellen benötigen Zugriff auf das Active Directory. Diese Art von Zertifizierungsstellen benutzt Gruppenrichtlinien um Zertifikatvertrauenslisten in der Domäne an Computer und Benutzer zu verteilen und Zertifikatsperrlisten zu veröffentlichen. Unternehmenszertifizierungsstellen geben Zertifikate anhand von Zertifikatvorlagen aus. Im wesentlichen sind Unternehmenszertifizierungsstellen von Windows Server 2008 vollständig in das AD integriert. --> Eigenständige Zertifizierungsstellen benötigen kein Active Directory. Alle relevanten Maßnahmen, die bei der Unternehmenszertifizierungsstelle automatisch vorgenommen werden, müssen in einer eigenständigen Zertifizierungsstelle von einem Administrator genehmigt werden. Zudem benutzen eigenständige Zertifizierungsstellen keine Zertifikatvorlagen. Auf diese Weise kann eine eigenständige Zertifizierungsstelle nur schwer an die Bedürfnisse einer Organisation angepasst werden. Wenn ein Domänen-Administrator eine eigenständige Zertifizierungsstelle auf einem Computer der Domäne einrichtet, dann werden die Informationen der Zertifizierungsstelle dem Zertifikatsspeicher für vertrauenswürdige Stammzertifizierungsstellen auf jedem Computer der Domäne hinzugefügt. 3. Warum brauche ich ein Stammzertifikat!? --> Hmmmm.... Lücke 4. Was sind Zertifikat Vorlagen!? --> Mit Hilfe von Zertifikatvorlagen können Zertifizierungsstellen konfiguriert werden. Einfach entsprechende Vorlage auswählen, bearbeiten und in Zertifizierungsstelle bereitstellen. Es gibt Vorlagen der Version 1 (selten und nur aus Gründen der Abwärtskompatibilität), Version 2 (2003) und Version 3 (2008) 5. Was für Zertifikate gibt es!? --> Wie meinst Du das? 6. Warum gibt es Sperrlisten oder Delta Sperrlisten!? --> (ganz Kurz) zum sperren von Zertifikaten in regelmößigen Abständen veröffentlicht. Deltasperrliste wird nicht gesamte Liste veröffentlicht sondern nur aktuelle Änderungen. VErringerung der Netzwerklast und schnelle manuelle Veröffentlichung von Sperrungen Und genau wie Du auf meine Frage geantwortet Hast habe ich es mir gedacht! Das MS-Press Buch spricht an dieser Stelle allerdings von Domänen-Computern, meint damit aber wahrscheinlich Mitgliedserver! Danke und viele Grüße Chris Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.