Tutorial de TCP/IP – Parte 27 – Configurações do DNS

Introdução:

 

Prezados leitores, esta √© a s√©tima parte, desta segunda etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o m√≥dulo que eu classifiquei como Introdu√ß√£o ao TCP/IP. O objetivo do primeiro m√≥dulo foi apresentar o TCP/IP, mostrar como √© o funcionamento dos servi√ßos b√°sicos, tais como endere√ßamento IP e Roteamento e fazer uma apresenta√ß√£o dos servi√ßos relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conex√£o Internet e NAT. Nesta segunda parte da s√©rie, que ir√° da parte 20 at√© a parte 40 ou 50 (ou quem sabe at√© 60), apresentarei as a√ß√Ķes pr√°ticas, relacionadas com os servi√ßos DNS, DHCP e WINS.

Nesta parte desta segunda série de tutoriais, darei continuidade a parte prática de Administração do DNS,no Windows 2000 Server. Muito bem, agora você já sabe criar zonas diretas e inversas e também aprendeu a criar registros em uma zona. O próximo passo é aprender a configurar as propriedades de uma zona e as propriedades do servidor DNS. Este é justamente o assunto desta e das próximas partes desta série de tutoriais.

 

 

Configurando as propriedades de uma zona ‚Äď Windows 2000

 

Uma zona do DNS apresenta diversas propriedades que voc√™ pode configurar. Por exemplo, voc√™ pode configurar uma zona para aceitar ou n√£o atualiza√ß√Ķes din√Ęmicas (novidade dispon√≠vel a partir do DNS do Windows 2000 Server e, evidentemente, tamb√©m presente no Windows Server 2003). Se voc√™ habilitar a atualiza√ß√£o din√Ęmica, o DHCP poder√° criar registros automaticamente no DNS, para os clientes configurados via DHCP (conforme descreverei no Cap√≠tulo 4.

Neste item você aprenderá a configurar as propriedades de uma zona do servidor DNS, no Windows 2000 Server.

Antes de ir para a parte pr√°tica, voc√™ precisa aprender um pouco mais sobre Atualiza√ß√Ķes din√Ęmicas, Expira√ß√£o e elimina√ß√£o de registros (Scavenging) e sobre seguran√ßa no DNS.

 

 

Atualiza√ß√Ķes din√Ęmicas no DNS

 

A possibilidade de atualiza√ß√Ķes din√Ęmicas no DNS passou a estar dispon√≠vel para o mundo Windows, a partir do Windows 2000 Server. Com este mecanismo, os clientes da rede podem din√Ęmicamente registrar e atualizar seus registros no servidor DNS (vers√Ķes mais novas do Winodws, tais como o Windows 2000, Windows XP e Windows Server 2003). Isso reduz a necessidade de o administrador manualmente criar entradas e fazer altera√ß√Ķes no DNS, sempre que o nome ou n√ļmero IP de um computador √© alterado.

 

A atualiza√ß√£o din√Ęmica pode ser habilitada a n√≠vel de zona, ou seja, posso ter duas zonas no mesmo servidor DNS, uma com atualiza√ß√£o din√Ęmica habilitada e outra n√£o. O cliente DNS, na esta√ß√£o de trabalho do usu√°rio, √© capaz de registrar um registro do tipo A (na zona direta) e o registro correspondente do tipo PTR (na zona inversa).

 

Alguns clientes DNS mais antigos n√£o tem suporte para cria√ß√£o e atualiz√ß√£o din√Ęmica de registros no DNS. O Windows 2000, o Windows XP, o Windows 2000 Server e o Windows Server 2003 s√£o as vers√Ķes do Windows cujo client DNS d√° suporte a atualiza√ß√£o din√Ęmica. A cria√ß√£o dos registros do tipo A e do tipo PTR √© feita pelo cliente DHCP, durante a inicializa√ß√£o de um computador com uma destas vers√Ķes do Windows (2000, XP ou 2003) e √© atualizado a cada 24 horas. Mesmo que voc√™ use um endere√ßo IP fixo, configurado manualmente, o cliente DHCP far√° o registro din√Ęmico, a n√£o ser que ele seja desabilitado. Os DCs atualizam seus registros no DNS a cada hora. Esta atualiza√ß√£o √© controlada pelo servi√ßo Netlogon.

Vers√Ķes do Windows mais antigas (Windows 95, 98, 3.11, etc) podem ter suas informa√ß√Ķes registradas dinamicamente no DNS. Por√©m este registro tem que ser feito pelo servidor DHCP, pois o pr√≥prio cliente n√£o √© capaz de fazer o registro, dinamicamente, no DNS. Neste caso o servidor DHCP deve ser configurado para dar suporte a este tipo de funcionalidade e ser capaz de criar registros do tipo A e do tipo PTR para clientes com vers√Ķes do Windows onde o cliente DNS n√£o d√° suporte a atualiza√ß√£o din√Ęmica. Voc√™ aprender√° a configurar o DHCP no Cap√≠tulo 4.

O registro din√Ęmico √© feito utilizando o nome completo do computador. Por exemplo, um computador com nome de host comp01, em um dom√≠nio abc.com.br, ser√° registrado como compo01.abc.com.br. O endere√ßo IP associado ao nome ser√° obtido a partir das configura√ß√Ķes do protocolo TCP/IP, quer elas tenham sido obtidas a partir de um servidor DHCP ou quer tenham sido configuradas manualmente. Lembrando que para vers√Ķes do Windows mais antigas, somente quando as configura√ß√Ķes s√£o feitas via DHCP √© que haver√° o registro din√£mico no DNS (se o servidor DHCP estiver configurado para tal).

Uma atualiza√ß√£o din√Ęmica ser√° enviada para o servidor DNS, quando uma das situa√ß√Ķes a seguir ocorrer:

  • Um endere√ßo IP for adicionado, removido ou modificado nas propriedades do TCP/IP de uma das conex√Ķes de rede do computador.
  • Houver uma renova√ß√£o ou troca de endere√ßo IP, obtido a partir do servidor DHCP em qualque das conex√Ķes de rede. Por exemplo, quando o computador for inicializado (o endere√ßo IP √© obtido a partir do servidor DHCP) ou quando o comando ipconfig/renew for utilizado.
  • Quando for utilizado o comando ipconfig /registerdns para for√ßar uma atualiza√ß√£o do nome do computador com o servidor DNS.
  • Quando o computador for inicializado.
  • Quando um member server for promovido a DC.

Algumas regras são aplicadas quando um registro é dinamicamen criado no DNS:

  • Quando um cliente tenta criar dinamicamente um novo registro e o registro n√£o existe, o DNS server cria o novo registro sem problemas.
  • Se o registro j√° existe, por√©m com um nome diferente e com o mesmo endere√ßo IP, o novo registro √© adicionado e o registro antigo ser√° mantido.
  • Se o registro j√° existe com o mesmo nome, mas com um endere√ßo IP diferente, o registro anterior ser√° sobrescrito com as novas informa√ß√Ķes.

Somente o servidor onde est√° a zona DNS prim√°ria √© que pode receber as atualiza√ß√Ķes din√Ęmicas. Por√©m, pode acontecer, de um cliente estar utilizando um servidor DNS onde est√° uma zona secund√°ria para o dom√≠nio do cliente. Neste caso a solicita√ß√£o de atualiza√ß√£o √© enviada para o servidor onde est√° a zona secund√°ria. Este repassa a mensagem de atualiza√ß√£o para o servidor DNS onde est√° a zona prim√°ria. As atualia√ß√Ķes s√£o feitas na zona prim√°ria. Ap√≥s ter sido atualizada a zona prim√°ria, o servidor DNS prim√°rio envia mensagens para os servidores onde existem zonas secund√°rias, notificando que novas atualia√ß√Ķes est√£o dispon√≠veis. As altera√ß√Ķes s√£o copiadas da zona prim√°ria para todas as zonas secund√°rias.

 

Nota : Caso o cliente esteja utilizando um servidor DNS que n√£o √© autoridade para a zona a ser atualizada dinamicamente, com um servidor DNS somente cache (que ser√° explicado emuma das pr√≥ximas partes deste tutorial), o servidor que n√£o √© autoridade para a zona n√£o ir√° repassar a mensagem de atualiza√ß√£o para o servidor DNS onde est√° a zona prim√°ria a ser atualizada e, portanto, as atualiza√ß√Ķes n√£o ser√£o efetudas.

 

Nota : O DNS faz o registro automático dos registros do tipo A, tipo PTR e tipo SRV. Este registro é feito pelo serviço Netlogon que roda em todos os DCs. Os registros são atualizados sempre que o serviço Netlogon for inicializado e depois automaticamente a cada hora.

Se voc√™ fizer altera√ß√Ķes no DNS de um controlador de dom√≠nio e quiser que estas altera√ß√Ķes sejam enviadas imediatamente para o servidor DNS, basta parar e inicializar novamente o servi√ßo Netlogon. Enquanto o servi√ßo Netlogon estiver parado, clientes com o Windows 2000, XP Professional ou Windows 2000 Server continuar√£o sendo autenticados sem problemas (estes clientes s√£o autenticados pelo protocolo Kerberos), j√° clientes mais antigos, como o Windows 95 ou 98 (que dependem do servi√ßo Netlogon), n√£o poder√£o ser autenticados enquanto o servi√ßo Netlogon n√£o tiver sido reinicializado.

 

 

Expiração e eliminação de registros (Scavenging)

 

Os servidores DNS do Windows 2000 Server (a exemplo do DNS do Windows Server 2003) fornecem suporte aos recursos de expiração e eliminação. Esses recursos são fornecidos como um mecanismo para executar uma limpeza no DNS, com a remoção de registros não atualizados e que podem se acumular nos dados de uma zona do DNS, ao longo do tempo. Em outras palavras: lixo.

Com a atualiza√ß√£o din√Ęmica, os registros s√£o automaticamente adicionados √†s zonas, conforme descrito anteriormente. Esse registro normalmente acontece durante a inicializa√ß√£o do computador. No entanto, em alguns casos (como por exemplo em uma queda de energia), eles n√£o s√£o automaticamente removidos quando os computadores s√£o desligados ou desconectados da rede. Por exemplo, se um computador registra um registro do tipo A na inicializa√ß√£o e depois √© desconectado de maneira inadequada da rede, este registro n√£o √© exclu√≠do. Em uma rede com muitos usu√°rios e computadores m√≥veis, essa situa√ß√£o pode ocorrer com freq√ľ√™ncia.

Se forem deixados sem gerenciamento, a presença de registros não atualizados em dados de zona poderá causar alguns problemas, como por exemplo:

  • Se um grande n√ļmero de registros n√£o atualizados permanecer em zonas dos servidores DNS, poder√£o eventualmente ocupar o espa√ßo em disco do servidor e provocar longas e desnecess√°rias transfer√™ncias de zonas. Por exemplo, quando uma nova zona secund√°ria for criada, ser√° transmitida uma grande quantidade de registros que j√° n√£o s√£o mais necess√°rios.
  • Os servidores DNS que tem zonas com registros n√£o atualizados poder√£o usar informa√ß√Ķes desatualizadas para responder a consultas de clientes, acarretando poss√≠veis problemas de resolu√ß√£o de nomes na rede.
  • O ac√ļmulo de registros n√£o atualizados no servidor DNS pode diminuir seu desempenho e velocidade na resolu√ß√£o de consultas enviadas pelos clientes.
  • Em alguns casos, a presen√ßa de um registro n√£o atualizado em uma zona pode impedir que um nome de dom√≠nio DNS seja usado por outro computador ou dispositivo de host.

Para resolver esses problemas, o serviço Servidor DNS tem os seguintes recursos:

  • Carimbo de data/hora, baseado na data e hora atuais definidos no computador servidor, para quaisquer registros adicionados dinamicamente √†s zonas tipo prim√°rias. Al√©m disso, os carimbos de data/hora s√£o gravados nas zonas prim√°rias padr√£o onde os recursos de expira√ß√£o/elimina√ß√£o est√£o ativados.
  • Para os registros que voc√™ adiciona manualmente, √© usado um valor de carimbo de data/hora igual a zero indicando que eles n√£o s√£o afetados pelo processo de expira√ß√£o e podem permanecer sem limita√ß√£o nos dados da zona a menos que voc√™ altere seus carimbos de data/hora ou os exclua.
  • A expira√ß√£o dos registros nos dados locais √© baseada em um per√≠odo de tempo de renova√ß√£o especificado, para todas as zonas qualificadas. Somente zonas prim√°rias participam deste processo.
  • Elimina√ß√£o de todos os registros que persistirem al√©m do per√≠odo de renova√ß√£o especificado.

Quando um servidor DNS do Windows 2000 Server executa uma opera√ß√£o de elimina√ß√£o, ele pode determinar que os registros expiraram (se n√£o foram atualizados) e remov√™-los dos dados da zona. Os servidores podem ser configurados para executar opera√ß√Ķes de elimina√ß√£o recorrentes automaticamente ou voc√™ pode iniciar uma opera√ß√£o de elimina√ß√£o imediata no servidor.

Cuidado: Por padr√£o, o mecanismo de expira√ß√£o e elimina√ß√£o est√° desativado nos servidores DNS no Windows 2000 Server. Ele s√≥ deve ser ativado quando todos os par√Ęmetros estiverem totalmente entendidos, ou seja, quando o adminsitrador entender exatamente o que significa cada par√Ęmetro. Caso contr√°rio, o servidor poder√° ser acidentalmente configurado para excluir registros que n√£o devem ser exclu√≠dos. Se um registro for acidentalmente exclu√≠do, n√£o apenas ocorrer√° uma falha quando os usu√°rios tentarem fazer consultas sobre esse registro como qualquer usu√°rio poder√° criar o registro e obter sua propriedade, mesmo em zonas configuradas para atualiza√ß√£o segura din√Ęmica (zonas integradas com o Active Directory).

O servidor usa o conte√ļdo do carimbo de data/hora espec√≠fico de cada registro, junto com outras propriedades de expira√ß√£o/elimina√ß√£o que voc√™ pode ajustar ou configurar, para determinar quando eliminar os registros.

Antes que os recursos de expira√ß√£o e elimina√ß√£o do DNS possam ser usados, v√°rias condi√ß√Ķes devem ser atendidas:

  • A elimina√ß√£o e a expira√ß√£o devem estar ativadas no servidor DNS e na zona. Por padr√£o, a expira√ß√£o e a elimina√ß√£o dos registros de recursos est√£o desativados.
  • Os registros de recursos devem ser adicionados dinamicamente √†s zonas ou manualmente modificados para serem usados nas opera√ß√Ķes de expira√ß√£o e elimina√ß√£o.
  • Normalmente, apenas aqueles registros de recursos adicionados dinamicamente usando o protocolo de atualiza√ß√£o din√Ęmica do DNS est√£o sujeitos a expira√ß√£o e elimina√ß√£o.

Observação: No caso de alterar uma zona de zona primária padrão para zona integrada ao Active Directory (conforme você aprenderá em uma das próximas partes deste tutorial), você talvez queira ativar a eliminação de todos os registros de recursos existentes na zona. Para ativar a expiração para todos os registros de recursos existentes em uma zona, você pode usar o comando AgeAllRecords que está disponível por meio da ferramenta de linha de comando dnscmd.

 

Conclus√£o

Neste parte do tutorial você aprendeu sobre conceitos importantes, tais como:

  • Atualiza√ß√Ķes din√Ęmicas no DNS
  • Expira√ß√£o e elimina√ß√£o de registros (Scavenging)