Introdução:
Prezados leitores, esta é a sétima parte, desta segunda etapa dos tutoriais de TCP/IP. As partes de
Nesta parte desta segunda série de tutoriais, darei continuidade a parte prática de Administração do DNS,no Windows 2000 Server. Muito bem, agora você já sabe criar zonas diretas e inversas e também aprendeu a criar registros em uma zona. O próximo passo é aprender a configurar as propriedades de uma zona e as propriedades do servidor DNS. Este é justamente o assunto desta e das próximas partes desta série de tutoriais.
Configurando as propriedades de uma zona – Windows 2000
Uma zona do DNS apresenta diversas propriedades que você pode configurar. Por exemplo, você pode configurar uma zona para aceitar ou não atualizações dinâmicas (novidade disponível a partir do DNS do Windows 2000 Server e, evidentemente, também presente no Windows Server 2003). Se você habilitar a atualização dinâmica, o DHCP poderá criar registros automaticamente no DNS, para os clientes configurados via DHCP (conforme descreverei no Capítulo 4.
Neste item você aprenderá a configurar as propriedades de uma zona do servidor DNS, no Windows 2000 Server.
Antes de ir para a parte prática, você precisa aprender um pouco mais sobre Atualizações dinâmicas, Expiração e eliminação de registros (Scavenging) e sobre segurança no DNS.
Atualizações dinâmicas no DNS
A possibilidade de atualizações dinâmicas no DNS passou a estar disponível para o mundo Windows, a partir do Windows 2000 Server. Com este mecanismo, os clientes da rede podem dinâmicamente registrar e atualizar seus registros no servidor DNS (versões mais novas do Winodws, tais como o Windows 2000, Windows XP e Windows Server 2003). Isso reduz a necessidade de o administrador manualmente criar entradas e fazer alterações no DNS, sempre que o nome ou número IP de um computador é alterado.
A atualização dinâmica pode ser habilitada a nível de zona, ou seja, posso ter duas zonas no mesmo servidor DNS, uma com atualização dinâmica habilitada e outra não. O cliente DNS, na estação de trabalho do usuário, é capaz de registrar um registro do tipo A (na zona direta) e o registro correspondente do tipo PTR (na zona inversa).
Alguns clientes DNS mais antigos não tem suporte para criação e atualizção dinâmica de registros no DNS. O Windows 2000, o Windows XP, o Windows 2000 Server e o Windows Server 2003 são as versões do Windows cujo client DNS dá suporte a atualização dinâmica. A criação dos registros do tipo A e do tipo PTR é feita pelo cliente DHCP, durante a inicialização de um computador com uma destas versões do Windows (2000, XP ou 2003) e é atualizado a cada 24 horas. Mesmo que você use um endereço IP fixo, configurado manualmente, o cliente DHCP fará o registro dinâmico, a não ser que ele seja desabilitado. Os DCs atualizam seus registros no DNS a cada hora. Esta atualização é controlada pelo serviço Netlogon.
Versões do Windows mais antigas (Windows 95, 98, 3.11, etc) podem ter suas informações registradas dinamicamente no DNS. Porém este registro tem que ser feito pelo servidor DHCP, pois o próprio cliente não é capaz de fazer o registro, dinamicamente, no DNS. Neste caso o servidor DHCP deve ser configurado para dar suporte a este tipo de funcionalidade e ser capaz de criar registros do tipo A e do tipo PTR para clientes com versões do Windows onde o cliente DNS não dá suporte a atualização dinâmica. Você aprenderá a configurar o DHCP no Capítulo 4.
O registro dinâmico é feito utilizando o nome completo do computador. Por exemplo, um computador com nome de host comp01, em um domínio abc.com.br, será registrado como compo01.abc.com.br. O endereço IP associado ao nome será obtido a partir das configurações do protocolo TCP/IP, quer elas tenham sido obtidas a partir de um servidor DHCP ou quer tenham sido configuradas manualmente. Lembrando que para versões do Windows mais antigas, somente quando as configurações são feitas via DHCP é que haverá o registro dinãmico no DNS (se o servidor DHCP estiver configurado para tal).
Uma atualização dinâmica será enviada para o servidor DNS, quando uma das situações a seguir ocorrer:
- Um endereço IP for adicionado, removido ou modificado nas propriedades do TCP/IP de uma das conexões de rede do computador.
- Houver uma renovação ou troca de endereço IP, obtido a partir do servidor DHCP em qualque das conexões de rede. Por exemplo, quando o computador for inicializado (o endereço IP é obtido a partir do servidor DHCP) ou quando o comando ipconfig/renew for utilizado.
- Quando for utilizado o comando ipconfig /registerdns para forçar uma atualização do nome do computador com o servidor DNS.
- Quando o computador for inicializado.
- Quando um member server for promovido a DC.
Algumas regras são aplicadas quando um registro é dinamicamen criado no DNS:
- Quando um cliente tenta criar dinamicamente um novo registro e o registro não existe, o DNS server cria o novo registro sem problemas.
- Se o registro já existe, porém com um nome diferente e com o mesmo endereço IP, o novo registro é adicionado e o registro antigo será mantido.
- Se o registro já existe com o mesmo nome, mas com um endereço IP diferente, o registro anterior será sobrescrito com as novas informações.
Somente o servidor onde está a zona DNS primária é que pode receber as atualizações dinâmicas. Porém, pode acontecer, de um cliente estar utilizando um servidor DNS onde está uma zona secundária para o domínio do cliente. Neste caso a solicitação de atualização é enviada para o servidor onde está a zona secundária. Este repassa a mensagem de atualização para o servidor DNS onde está a zona primária. As atualiações são feitas na zona primária. Após ter sido atualizada a zona primária, o servidor DNS primário envia mensagens para os servidores onde existem zonas secundárias, notificando que novas atualiações estão disponíveis. As alterações são copiadas da zona primária para todas as zonas secundárias.
Nota : Caso o cliente esteja utilizando um servidor DNS que não é autoridade para a zona a ser atualizada dinamicamente, com um servidor DNS somente cache (que será explicado emuma das próximas partes deste tutorial), o servidor que não é autoridade para a zona não irá repassar a mensagem de atualização para o servidor DNS onde está a zona primária a ser atualizada e, portanto, as atualizações não serão efetudas.
Nota : O DNS faz o registro automático dos registros do tipo A, tipo PTR e tipo SRV. Este registro é feito pelo serviço Netlogon que roda em todos os DCs. Os registros são atualizados sempre que o serviço Netlogon for inicializado e depois automaticamente a cada hora.
Se você fizer alterações no DNS de um controlador de domínio e quiser que estas alterações sejam enviadas imediatamente para o servidor DNS, basta parar e inicializar novamente o serviço Netlogon. Enquanto o serviço Netlogon estiver parado, clientes com o Windows 2000, XP Professional ou Windows 2000 Server continuarão sendo autenticados sem problemas (estes clientes são autenticados pelo protocolo Kerberos), já clientes mais antigos, como o Windows 95 ou 98 (que dependem do serviço Netlogon), não poderão ser autenticados enquanto o serviço Netlogon não tiver sido reinicializado.
Expiração e eliminação de registros (Scavenging)
Os servidores DNS do Windows 2000 Server (a exemplo do DNS do Windows Server 2003) fornecem suporte aos recursos de expiração e eliminação. Esses recursos são fornecidos como um mecanismo para executar uma limpeza no DNS, com a remoção de registros não atualizados e que podem se acumular nos dados de uma zona do DNS, ao longo do tempo. Em outras palavras: lixo.
Com a atualização dinâmica, os registros são automaticamente adicionados às zonas, conforme descrito anteriormente. Esse registro normalmente acontece durante a inicialização do computador. No entanto, em alguns casos (como por exemplo em uma queda de energia), eles não são automaticamente removidos quando os computadores são desligados ou desconectados da rede. Por exemplo, se um computador registra um registro do tipo A na inicialização e depois é desconectado de maneira inadequada da rede, este registro não é excluído. Em uma rede com muitos usuários e computadores móveis, essa situação pode ocorrer com freqüência.
Se forem deixados sem gerenciamento, a presença de registros não atualizados em dados de zona poderá causar alguns problemas, como por exemplo:
- Se um grande número de registros não atualizados permanecer em zonas dos servidores DNS, poderão eventualmente ocupar o espaço em disco do servidor e provocar longas e desnecessárias transferências de zonas. Por exemplo, quando uma nova zona secundária for criada, será transmitida uma grande quantidade de registros que já não são mais necessários.
- Os servidores DNS que tem zonas com registros não atualizados poderão usar informações desatualizadas para responder a consultas de clientes, acarretando possíveis problemas de resolução de nomes na rede.
- O acúmulo de registros não atualizados no servidor DNS pode diminuir seu desempenho e velocidade na resolução de consultas enviadas pelos clientes.
- Em alguns casos, a presença de um registro não atualizado em uma zona pode impedir que um nome de domínio DNS seja usado por outro computador ou dispositivo de host.
Para resolver esses problemas, o serviço Servidor DNS tem os seguintes recursos:
- Carimbo de data/hora, baseado na data e hora atuais definidos no computador servidor, para quaisquer registros adicionados dinamicamente às zonas tipo primárias. Além disso, os carimbos de data/hora são gravados nas zonas primárias padrão onde os recursos de expiração/eliminação estão ativados.
- Para os registros que você adiciona manualmente, é usado um valor de carimbo de data/hora igual a zero indicando que eles não são afetados pelo processo de expiração e podem permanecer sem limitação nos dados da zona a menos que você altere seus carimbos de data/hora ou os exclua.
- A expiração dos registros nos dados locais é baseada em um período de tempo de renovação especificado, para todas as zonas qualificadas. Somente zonas primárias participam deste processo.
- Eliminação de todos os registros que persistirem além do período de renovação especificado.
Quando um servidor DNS do Windows 2000 Server executa uma operação de eliminação, ele pode determinar que os registros expiraram (se não foram atualizados) e removê-los dos dados da zona. Os servidores podem ser configurados para executar operações de eliminação recorrentes automaticamente ou você pode iniciar uma operação de eliminação imediata no servidor.
Cuidado: Por padrão, o mecanismo de expiração e eliminação está desativado nos servidores DNS no Windows 2000 Server. Ele só deve ser ativado quando todos os parâmetros estiverem totalmente entendidos, ou seja, quando o adminsitrador entender exatamente o que significa cada parâmetro. Caso contrário, o servidor poderá ser acidentalmente configurado para excluir registros que não devem ser excluídos. Se um registro for acidentalmente excluído, não apenas ocorrerá uma falha quando os usuários tentarem fazer consultas sobre esse registro como qualquer usuário poderá criar o registro e obter sua propriedade, mesmo em zonas configuradas para atualização segura dinâmica (zonas integradas com o Active Directory).
O servidor usa o conteúdo do carimbo de data/hora específico de cada registro, junto com outras propriedades de expiração/eliminação que você pode ajustar ou configurar, para determinar quando eliminar os registros.
Antes que os recursos de expiração e eliminação do DNS possam ser usados, várias condições devem ser atendidas:
- A eliminação e a expiração devem estar ativadas no servidor DNS e na zona. Por padrão, a expiração e a eliminação dos registros de recursos estão desativados.
- Os registros de recursos devem ser adicionados dinamicamente às zonas ou manualmente modificados para serem usados nas operações de expiração e eliminação.
- Normalmente, apenas aqueles registros de recursos adicionados dinamicamente usando o protocolo de atualização dinâmica do DNS estão sujeitos a expiração e eliminação.
Observação: No caso de alterar uma zona de zona primária padrão para zona integrada ao Active Directory (conforme você aprenderá em uma das próximas partes deste tutorial), você talvez queira ativar a eliminação de todos os registros de recursos existentes na zona. Para ativar a expiração para todos os registros de recursos existentes em uma zona, você pode usar o comando AgeAllRecords que está disponível por meio da ferramenta de linha de comando dnscmd.
Conclusão
Neste parte do tutorial você aprendeu sobre conceitos importantes, tais como:
- Atualizações dinâmicas no DNS
- Expiração e eliminação de registros (Scavenging)