Tutorial de TCP/IP – Parte 28 – Configurações do DNS

Introdução:

 

Prezados leitores, esta √© a oitava parte, desta segunda etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o m√≥dulo que eu classifiquei como Introdu√ß√£o ao TCP/IP. O objetivo do primeiro m√≥dulo foi apresentar o TCP/IP, mostrar como √© o funcionamento dos servi√ßos b√°sicos, tais como endere√ßamento IP e Roteamento e fazer uma apresenta√ß√£o dos servi√ßos relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conex√£o Internet e NAT. Nesta segunda parte da s√©rie, que ir√° da parte 20 at√© a parte 40 ou 50 (ou quem sabe at√© 60), apresentarei as a√ß√Ķes pr√°ticas, relacionadas com os servi√ßos DNS, DHCP e WINS no Windows 2000 Server.

Para um curso completo sobre a instalação e Administração do DNS,no Windows 2000 Server, consulte, um dos livros indicados a seguir.

 

LIVRO IMPRESSO

MANUAL DE ESTUDOS PARA O EXAME 70-217 ‚Äď 752 p√°ginas

Um curso completo de Active Directory no Windows 2000 Server

E-BOOK EM FORMATO PDF

MANUAL DE ESTUDOS PARA O EXAME 70-216 ‚Äď 712 p√°ginas

Aprenda sobre o DNS, DHCP, WINS, RRAS, Roteamento, IPSEc, etc.

Nesta parte desta segunda s√©rie de tutoriais, darei continuidade a parte pr√°tica de Administra√ß√£o do DNS, no Windows 2000 Server. Nesta parte do tutorial, voc√™ aprender√° sobre quest√Ķes de seguran√ßa, relacionadas ao acesso dos dados de zonas do DNS. Tamb√©m mostraerei como configurar as propriedades de uma zona do DNS. Nesta parte do tutorial iniciarei as configura√ß√Ķes de uma zona e continuaremos nas pr√≥ximas partes.

 

 

Segurança no acesso ao DNS

 

As zonas do DNS cont√©m muitas informa√ß√Ķes sobre a rede da sua empresa e sobre os servidores da empresa, principalmente nomes e endere√ßos IP. Estas informa√ß√Ķes podem ser de ‚Äúgrande valor‚ÄĚ para hackers que queiram realizar ataques maliciosos contra a rede da sua empresa. Por isso proteger as informa√ß√Ķes do DNS √© de fundamental import√Ęncia para a seguran√ßa da rede. Quando tratamos sobre seguran√ßa no DNS, tr√™s pontos devem ser levados em considera√ß√£o:

  • Limitar o n√ļmero de usu√°rios com permiss√£o de administra√ß√£o do DNS e que podem fazer altera√ß√Ķes nas zonas do DNS.
  • Tomar precau√ß√Ķes para que as informa√ß√Ķes contidas nas zonas do DNS n√£o sejam acessadas por usu√°rios n√£o autorizados.
  • Quest√Ķes de seguran√ßa relacionadas com as atualiza√ß√Ķes din√Ęmicas, para evitar que sejam enviadas atualiza√ß√Ķes din√Ęmicas por usu√°rios/computadores n√£o autorizados.

Voc√™ pode definir configura√ß√Ķes de seguran√ßa para limitar o acesso aos servidores DNS. Por padr√£o, os grupos Domain Admins (Administradores do dom√≠nio), Enterprise Admins (Administradores de empresa), DNS Admins (Administradores do DNS) e o grupo Administrators tem permiss√£o de controle total nos servidores DNS. Voc√™ pode retirar as permiss√Ķes de todos os grupos deixando apenas as permiss√Ķes do grupo DNS Admins (e talvez tamb√©m a do grupo Administrators). Com isso voc√™ pode controlar quais usu√°rios tem acesso para fazer altera√ß√Ķes nos servidores DNS, simplesmente incluindo os usu√°rios que devem administrar o DNS, no grupo DNS Admins.

 

O grupo DNS Admins é automaticamente criado no Active Directory, quando o DNS é instalado. Por padrão o usuário Administrator (Administrador) é membro do grupo DNS Admin. Este grupo tem permissão de controle total em todos os servidores DNS do domínio. Este grupo também tem permissão de controle total em todas as zonas do DNS integradas com o Active Directory (você aprenderá mais sobre a integração do DNS com o Active Directory em uma das próximas partes deste tutorial).

 

Importante : Ao configurar as permiss√Ķes de acesso em um servidor DNS, mantenha o grupo Authenticated Users (Usu√°rios Autenticados) na lista com permiss√£o de acesso e mantenha as permiss√Ķes padr√£o atribu√≠das a este grupo. Se voc√™ retirar este grupo, os usu√°rios da rede n√£o conseguir√£o ler informa√ß√Ķes no servidor DNS, ou seja, as consultas dos clientes n√£o ser√£o respondidas. Na pr√°tica √© como se o servidor DNS estivesse desligado.

Voc√™ tamb√©m pode configurar quais servidores DNS poder√£o conter zonas secund√°rias e efetuar transfer√™ncia de zonas. Ao limitar os servidores que podem conter zonas secund√°rias, voc√™ evita que algu√©m de fora da empresa consiga trasferir uma c√≥pia integral das zonas DNS dos servidores da empresa. Ao transferir uma c√≥pia das zonas DNS, o hacker ter√° acesso a muitas informa√ß√Ķes importantes, tais como o n√ļmero IP de diversos servidores. Estas informa√ß√Ķes facilitar√£o o trabalho do hacker em uma tentativa de invadir a rede da empresa.

 

Outro controle que √© muito importante √© em rela√ß√£o a quais clientes ter√£o permiss√£o para incluir registros dinamicamente no DNS. Sem um controle de quem pode fazer atualia√ß√Ķes din√Ęmicas, um usu√°rio mal intencionado poder√° registrar uma s√©rie de registros falsos ou at√© mesmo registrar milhares de registros em um ataque do tipo ‚ÄúDenial of service‚ÄĚ, apenas com o objetivo de paralisar o servidor DNS e com isso os servi√ßos que dependem do DNS. Muitos hackers fazem este tipo de ataque, mesmo sem obter nenhuma informa√ß√£o valiosa ou vantagem financeira, apenas por prazer, para testar seus conhecimentos e sua capacidade. Voc√™ tem que estar protegido contra este tipo de ataque.

 

No Windows 2000 Server voc√™ pode fazer com que o DNS somente aceite atualiza√ß√Ķes din√Ęmicas enviadas por computadores autenticados no dom√≠nio . Este tipo de atualiza√ß√£o √© conhecido como atualiza√ß√£o din√Ęmica segura (Security Dynamic Update). Por√©m este tipo de atualiza√ß√£o somente est√° dispon√≠vel em zonas DNS integradas como Active Directory. Em zonas integradas com o Active Directory voc√™ pode definir uma lista de permiss√£o de acesso (semelhante a uma lista de permiss√Ķes NTFS em uma pasta). Com isso voc√™ tem um controle bem maior sobre a seguran√ßa no acesso √°s informa√ß√Ķes das zonas do DNS.

 

Nas próximas partes desta série de tutoriais você aprenderá a criar uma zona integrada com o Active Directory e a transformar uma zona primária padrão em uma zona integrada com o Active Directory. Bem, vamos fazer um exemplo prático, onde você irá verificar as propriedades de configuração disponíveis para uma zona do DNS.

 

 

Configurando as propriedades de uma zona DNS

 

Para acessar e configurar as propriedades de uma zona do DNS, siga os passos indicados a seguir:

 

1. Faça o logon como administrador ou com uma conta com permissão de administrador.

 

2. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS.

 

3. Será exibido o console DNS. Clique no sinal de + ao lado da opção Zonas de pesquisa direta, se você deseja configurar as propriedades de uma zona direta (ou clique no sinal de + ao lado da opção Zonas de pesquisa inversa, se você deseja configurar as propriedades de uma zona inversa). Neste exemplo você irá configurar as propriedades de uma zona direta.

 

4. Ser√£o exibidas as zonas de pesquisa direta existentes no servidor.

 

5. Clique com o bot√£o direito do mouse na zona a ser configurada. No menu de op√ß√Ķes que √© exibido clique na op√ß√£o Propriedades.

 

6. Ser√° exibida a janela de propriedades da zona, com a guia Geral selecionada, conforme indicado na Figura a seguir:

 


Figura - A guia geral de propriedades de uma zona direta do DNS.

 

7. Nesta guia √© informado o nome da zona e tamb√©m est√° dispon√≠vel a lista ‚ÄúPermitir atualiza√ß√Ķes din√Ęmicas?‚ÄĚ, na qual voc√™ pode habilitar ou n√£o as atualiza√ß√Ķes din√Ęmicas para a zona que est√° sendo configurada e escolher o tipo de atualiza√ß√£o din√Ęmica a ser utilizada. Para desabilitar as atualiza√ß√Ķes din√Ęmicas (descritas anteriormente), selecione a op√ß√£o N√£o. Esta √© a op√ß√£o padr√£o quando uma nova zona √© criada pelo administrador DNS. Existe tamb√©m a op√ß√£o Sim. Esta op√ß√£o habilita as atualiza√ß√Ķes din√Ęmicas e aceita atualiza√ß√Ķes din√Ęmicas mesmo de computadores n√£o autenticados no dom√≠nio, o que pode ser um problema de seguran√ßa. Este tipo de atualiza√ß√£o √© conhecida com ‚ÄúAtualiza√ß√£o din√Ęmica n√£o segura‚ÄĚ. O ideal √© aceitar apenas atualiza√ß√Ķes seguras (enviadas por computadores autenticados no dom√≠nio). Para aceitar apenas atualiza√ß√Ķes seguras, a zona deve ser integrada com o Active Directory. Voc√™ aprender√° a integrar uma zona com o Active Directory nas pr√≥ximas partes deste tutorial.

 

8. Clique no botão Duração...

 

9. Será aberta a janela Duração de zona/propriedades de eliminação, indicada na Figura a seguir:

 


Figura - A janela para configura√ß√Ķes de dura√ß√£o de zona e elimina√ß√£o de registros.

Nesta janela est√£o dispon√≠veis as seguintes op√ß√Ķes:

  • Eliminar registros de recursos fora de uso : Especifica se os registros de recurso n√£o atualizados devem ser removidos do banco de dados DNS. Quando configurada para propriedades do servidor (na janela de propriedades do servidor, que apresentarei em uma as pr√≥ximas partes deste tutorial), esta defini√ß√£o aplica-se como valor padr√£o para todas as zonas do servidor DNS. Quando configurada em uma zona espec√≠fica (exemplo deste item), esta defini√ß√£o aplica-se somente a zona que est√° sendo configurada. Marque esta op√ß√£o para habilitar a elimina√ß√£o de registros n√£o utilizados na zona que est√° sendo configurada.
  • Intervalo sem atualiza√ß√£o : Fornece um espa√ßo para voc√™ selecionar ou digitar um intervalo de tempo em dias ou em horas. Quando um registro de recurso √© atualizado, ele n√£o ser√° atualizado novamente at√© que esse intervalo de tempo tenha decorrido. Quando configurado para propriedades do servidor, este valor aplica-se como o valor padr√£o para todas as zonas do servidor. Quando configurado em uma zona espec√≠fica, este valor aplica-se somente √†quela zona que est√° sendo configurada. Se esse intervalo for aumentado, ele pode fazer com que registros de recursos n√£o atualizados permane√ßam no banco de dados DNS por um per√≠odo de tempo maior.
  • Intervalo de atualiza√ß√£o : Fornece um espa√ßo para voc√™ selecionar ou digitar um intervalo de tempo em dias ou em horas. Ap√≥s o intervalo sem atualiza√ß√£o expirar, espera-se que os registros de recurso permane√ßam no banco de dados DNS por pelo menos o per√≠odo de tempo especificado neste campo. Quando configurado para propriedades do servidor, este valor aplica-se como o valor padr√£o para todas as zonas do servidor. Quando configurado em uma zona espec√≠fica, este valor aplica-se somente √†quela zona. Este intervalo n√£o deve ser menor que o per√≠odo m√°ximo de atualiza√ß√£o para quaisquer registros de recurso. Na maioria das redes, esse intervalo corresponde ao intervalo de renova√ß√£o de concess√£o de endere√ßos IP pelo DHCP. Para servidores DHCP do Windows 2000 Server, o intervalo de renova√ß√£o padr√£o √© de quatro dias.

 

10. Defina as configura√ß√Ķes desejadas e clique em OK.

 

11. A janela Duração de zona/propriedades de eliminação será fechada e você estará de volta à guia Geral.

 

12. A guia Início de autoridade (Start of Authority (SOA)) foi descrita no item sobre a criação de zonas primárias.

 

13. Clique na guia Servidores de nomes. Ser√° exibida a janela indicada na Figura a seguir:

 


Figura - A guia Servidores de nomes.

 

14. Nesta guia s√£o listados o nome e o n√ļmero IP dos servidores que s√£o ‚Äúautoridade‚ÄĚ para a zona. S√£o autoridade o servidor DNS onde est√° a zona prim√°ria e os servidores DNS onde foram criadas zonas secund√°rias. √Č importante lembrar que as altera√ß√Ķes somente podem ser feitas na zona prim√°ria, por√©m qualque servidor que contenha uma c√≥pia da zona prim√°ria (a c√≥pia √© chamada de zona secund√°ria), pode responder ‚ÄĚcom autoridade‚ÄĚ a consultas para os registros da respectiva zona. Em uma das pr√≥ximas partes deste tutorial voc√™ aprender√° a criar zonas secund√°rias. Voc√™ pode usar o bot√£o Adicionar..., para adicionar um novo servidor, o bot√£o Editar..., para alterar o nome de um servidor da lista ou o bot√£o Remover para excluir um dos servidores da lista. Fa√ßa as altera√ß√Ķes desajadas e clique na guia WINS.

 

15. Ser√° exibida a janela indicada na Figura a seguir:

 


Figura - A guia WINS.

 

Quando o DNS n√£o consegue resolver um nome, o DNS pode ‚Äú pedir socorro‚ÄĚ ao WINS (caso o WINS esteja instalado). Na pr√°tica, quando for habilitada a integra√ß√£o entre o DNS e o WINS, primeiro o DNS tenta resolver o nome usando um dos processos descritos anteriormente (recurs√£o ou intera√ß√£o). Caso o DNS n√£o consiga resolver o nome, se a integra√ß√£o com o WINS estiver habilitada, o DNS consulta o WINS como uma tentativa final de resolu√ß√£o do nome. Se o WINS conseguir resolver o nome, o DNS responde positivamente a consulta para o cliente, caso contr√°rio o DNS responde negativamente (‚Äún√£o consegui resolver o nome‚ÄĚ) para o cliente. Este processo tamb√©m √© conhecido como ‚ÄúIntegra√ß√£o da pesquisa WINS‚ÄĚ.

 

O suporte ao uso do WINS (Windows Internet Name Service) é fornecido para pesquisar nomes DNS que não podem ser resolvidos por meio de consulta ao espaço de nomes de domínio DNS. Para executar uma pesquisa WINS, dois tipos de registros de recursos específicos são usados e podem ser ativados para toda zona carregada pelo serviço DNS.

  • O registro de recurso WINS, que pode ser ativado para integrar a pesquisa WINS em zonas de pesquisa direta.
  • O registro de recurso WINS-R, que pode ser ativado para integrar a pesquisa inversa WINS em zonas de pesquisa inversa.

O registro de recurso WINS :

 

Os servi√ßos WINS e DNS s√£o usados para fornecer resolu√ß√£o de nomes para o espa√ßo de nomes NetBIOS (Network Basic Input Output System) e o espa√ßo de nomes de dom√≠nio DNS, respectivamente. Embora tanto o DNS quanto o WINS possam fornecer um servi√ßo de nomes √ļtil e independente aos clientes, o WINS √© necess√°rio porque fornece suporte a clientes e programas mais antigos (Windows 3.11, Windows 95/98/Me) que exigem suporte para nomes NetBIOS.

 

Nota : Os conceitos te√≥ricos e as opera√ß√Ķes pr√°ticas com o WINS ser√£o apresentadas nas pr√≥ximas partes deste tutorial.

 

A presen√ßa de um registro de recurso WINS √© que orienta o servi√ßo DNS a usar o WINS para pesquisar quaisquer consultas diretas para nomes de host ou nomes que n√£o foram encontrados no banco de dados da zona. Essa funcionalidade √© particularmente √ļtil no caso de resolu√ß√£o de nomes exigida por clientes que n√£o reconhecem o WINS (por exemplo, UNIX) para nomes de computadores n√£o registrados no DNS, como computadores do Windows 95 ou Windows 98.

Entendendo o funcionamento da pesquisa WINS

Um cliente envia uma pesquisa para o servidor DNS. O servidor DNS tenta resolver a consulta usando o processo normal de resolução de nomes no DNS, descrito anteriormente. Se o servidor que é autoridade para o nome pesquisado não puder responder a consulta (ou seja, o registro não existe na zona pesquisada) e a integração com o WINS estiver ativada, as seguintes etapas serão executadas:

  • O servidor DNS separa a parte host do nome do nome de dom√≠nio totalmente qualificado contido na consulta DNS. Apenas para recordar, o parte host do nome √© a primeira parte do nome. Por exemplo, o nome host para srv01.abc.com.br √© srv01.
  • O servidor ent√£o envia uma solicita√ß√£o de nome NetBIOS para o servidor WINS usando o nome do host identificado no item anterior.
  • Se o servidor WINS puder resolver o nome, ele retorna o endere√ßo IP associado com o nome, para o servidor DNS.
  • O servidor DNS ent√£o retorna essa informa√ß√£o de endere√ßo IP para o cliente que enviou a consulta ao servidor DNS.

 

Como a pesquisa inversa WINS funciona

 

Há também um registro WINS-R ou uma entrada de pesquisa inversa WINS que pode ser ativada e adicionada às zonas de pesquisa inversa. No entanto, como o banco de dados WINS não é indexado por endereço IP, o serviço DNS não pode enviar uma pesquisa de nome inversa para o WINS obter o nome de um computador a partir de seu endereço IP.

 

Como o WINS não fornece recursos de pesquisa inversa, o serviço DNS, em vez disso, envia uma solicitação de status do adaptador do nó diretamente para o endereço IP implicado na consulta inversa DNS. Quando o servidor DNS obtém o nome NetBIOS a partir da resposta de status do nó de rede, ele anexa o nome de domínio DNS ao nome NetBIOS fornecido na resposta de status do nó e encaminha o resultado para o cliente solicitante.

 

Observação : Os registros de recursos WINS e WINS-R são proprietários do serviço DNS fornecido pelo DNS do Windows 2000 Server e do Windows Server 2003 (e também do Windows NT Server 4.0).

 

16. Feitas as explica√ß√Ķes sobre a integra√ß√£o do DNS com o WINS, √© nesta guia (guia WINS das propriedades da zona DNS) que voc√™ habilita ou n√£o a integra√ß√£o para a zona que est√° sendo configurada. Para ativar a integra√ß√£o com o WINS, basta marcar a op√ß√£o Usar pesquisa direta WINS. Ao marcar esta op√ß√£o, a op√ß√£o N√£o duplicar este registro ser√° habilitada. Esta op√ß√£o especifica se o servidor DNS replica algum dado de registro de recurso espec√≠fico do WINS que ele usa para outros servidores DNS durante transfer√™ncias de zonas. Selecionar esta op√ß√£o pode ser √ļtil para prevenir falhas de atualiza√ß√£o de zonas ou erros de dados de zona quando voc√™ estiver usando uma combina√ß√£o de servidores Microsoft e outros DNS na sua rede. O pr√≥ximo passo √© inserir o n√ļmero IP de um ou mais servidores WINS que ser√£o consultados para a integra√ß√£o do DNS com o WINS. Basta digitar o n√ļmero IP do servidor DNS e clicar no bot√£o Adicionar. Voc√™ pode utilizar o bot√£o Remover para excluir um dos endere√ßos IP da lista e os bot√Ķes Para cima e Para baixo, para alterar a posi√ß√£o dos servidores na lista. Clique no bot√£o Avan√ßado...

 

17. Ser√° exibida a janela indicada na Figura a seguir:

 


Figura - A janela de configura√ß√Ķes avan√ßadas da integra√ß√£o DNS x WINS.

 

18. No campo Tempo limite de cache voc√™ deve digitar um valor Time-To-Live (TTL, tempo de vida) que possa ser utilizado por outros servidores DNS e por alguns clientes DNS para determinar por quanto tempo eles devem armazenar informa√ß√Ķes em cache, sobre os registros, retornados atrav√©s do uso da integra√ß√£o de pesquisa WINS. O formato de tempo digitado deve ser em dias (DDDDDD), horas (HH), minutos (MM) e segundos (SS). No campo Tempo limite de pesquisa voc√™ pode digitar uma quantidade de tempo para controlar por quanto tempo o servidor DNS esperar√° por uma resposta do WINS antes de retornar uma mensagem de erro "nome n√£o encontrado" ao solicitante. O formato de tempo que voc√™ digita deve ser em dias (DDDDDD), horas (HH), minutos (MM) e segundos (SS).

 

19. Defina as op√ß√Ķes desejadas na janela de configura√ß√Ķes avan√ßadas e clique em OK. Voc√™ estar√° de volta √† janela de propriedades da zona.

 

Nota : Na pr√≥xima parte deste tutorial, voc√™ aprender√° a configurar as op√ß√Ķes das demais guias, da janela de propriedades de uma zona DNS.

 

Conclus√£o

Neste parte do tutorial você aprendeu sobre conceitos importantes, tais como:

  • Seguran√ßa no acesso as informa√ß√Ķes do DNS.
  • Configura√ß√£o das propriedades de uma zona DNS.