Tutorial de TCP/IP – Parte 29 – Configurações do DNS – Parte 3

Introdução:

 

Prezados leitores, esta √© a nona parte, desta segunda etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o m√≥dulo que eu classifiquei como Introdu√ß√£o ao TCP/IP. O objetivo do  primeiro m√≥dulo foi apresentar o TCP/IP, mostrar como √© o funcionamento dos servi√ßos b√°sicos, tais como endere√ßamento IP e Roteamento e fazer uma apresenta√ß√£o dos servi√ßos relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conex√£o Internet e NAT. Nesta segunda parte da s√©rie, que ir√° da parte 20 at√© a parte 40 ou 50 (ou quem sabe at√© 60), apresentarei as a√ß√Ķes pr√°ticas, relacionadas com os servi√ßos DNS, DHCP e WINS no Windows 2000 Server.

 

Para um curso completo sobre a instalação e Administração do DNS,no Windows 2000 Server, consulte, um dos livros indicados a seguir.

LIVRO IMPRESSO

MANUAL DE ESTUDOS PARA O EXAME 70-217 ‚Äď 752 p√°ginas

Um curso completo de Active Directory no Windows 2000 Server

E-BOOK EM FORMATO PDF

MANUAL DE ESTUDOS PARA O EXAME 70-216 ‚Äď 712 p√°ginas

Aprenda sobre o DNS, DHCP, WINS, RRAS, Roteamento, IPSEc, etc.

 

Nesta parte desta segunda s√©rie de tutoriais, darei continuidade a parte pr√°tica de Administra√ß√£o do DNS, no Windows 2000 Server. Nesta parte do tutorial, voc√™ continuar√° a aprender sobre as op√ß√Ķes de configura√ß√£o do DNS. Este tutorial √© continua√ß√£o da Parte 26 e da Parte 27. Uma vez conclu√≠das as configura√ß√£o de uma zona DNS, voc√™ aprender√° a configurar as propriedades do servidor DNS como um todo.

 

Mais op√ß√Ķes de Configura√ß√£o do DNS no Windows 2000 Server:

 

Dando seq√ľ√™ncia a configura√ß√£o das propriedades do DNS, siga os seguintes passos (j√° estando com a janela de propriedades aberta, conforme explicado nas Partes 26 e 27):

21.     Clique na guia Transfer√™ncia de zona. Ser√° exibida a janela indicada na Figura a seguir:

 

Figura - A guia para configuração de transferência de zonas.

 

 

22.     Esta guia tem uma rela√ß√£o direta com a seguran√ßa no DNS. Nesta guia voc√™ pode limitar quais servidores est√£o autorizados a efetuar uma transfer√™ncia de uma ou mais zonas prim√°rias do teu servidor DNS. Na pr√°tica voc√™ est√° limitando em quais servidores podem ser criadas zonas secund√°rias, das zonas prim√°rias existentes no servidor DNS. Estas configura√ß√Ķes podem ser utilizadas para evitar que usu√°rios externos possam copiar informa√ß√Ķes de zonas inteiras. Estas informa√ß√Ķes seriam de grande ajuda para um hacker que esteja com a inten√ß√£o de invadir a rede da sua empresa. Limitando os servidores que podem copiar informa√ß√Ķes das zonas do servidor DNS, voc√™ est√° fechando mais uma porta e dificultando mais a vida dos hackers. Por padr√£o, a op√ß√£o Permitir transfer√™ncia de zona √© marcada. Se esta op√ß√£o estiver marcada, ser√° permitido que sejam criadas zonas secund√°rias desta zona em outros servidores. Se esta op√ß√£o for desmarcada, isso impedir√° que as informa√ß√Ķes nesta zona repliquem para outros servidores. Voc√™ tamb√©m pode definir quais servidoes ter√£o permiss√£o para copiar informa√ß√Ķes desta zona. As op√ß√Ķes dispon√≠veis s√£o as seguintes:

  • Para qualquer servidor: Evidentemente que esta √© a op√ß√£o menos segura, ou seja, qualquer servidor DNS poder√° criar uma zona secund√°ria e copiar todas as informa√ß√Ķes da zona que est√° sendo configurada. Por incr√≠vel que pare√ßa, esta √© a op√ß√£o padr√£o no DNS do Windows 2000 Server. J√° no Windows Server 2003 a op√ß√£o padr√£o √© somente para servidores listados na guia Servidores de nome, descrita anteriormente.
  • Somente para servidores listados na guia ‚ÄėServidores de nome‚Äô: Esta op√ß√£o especifica que as transfer√™ncias de zona s√≥ ser√£o permitidas para servidores nomeados na guia Servidores de nomes. Essa a√ß√£o permite que o administrador, restrinja transfer√™ncias de zona, da zona que est√° sendo configurada, somente para uma lista especificada de servidores. Se voc√™ marcar esta op√ß√£o, voc√™ deve informar na lista Servidores de nomes, quais os servidores ter√£o permiss√£o para copiar informa√ß√Ķes desta zona. Se um servidor tentar copiar informa√ß√Ķes desta zona, sem ter as devidas permiss√Ķes, as informa√ß√Ķes n√£o ser√£o copiadas e a zona fica marcada (no servidor que tentou copiar, n√£o a zona original) com um sinal de erro, conforme exemplo da Figura a seguir:


Figura - Tentativa de copiar uma zona sem permiss√£o.

  • Somente para os servidores a seguir: Ao marcar esta op√ß√£o, voc√™ pode especificar uma lista de servidores os quais estar√£o autorizados a transferir informa√ß√Ķes sobre a zona que est√° sendo configurada, ou seja, servidores que estar√£o autorizados a criar zonas secund√°rias da zona que est√° sendo configurada. Para inserir servidores na lista basta digitar o n√ļmero IP do servidor e clicar no bot√£o Adicionar.

Nesta guia você também tem o botão Notificar... Ao clicar neste botão será aberta a janela Notificar, indicada na Figura a seguir:

 

Figura - A janela Notificar.

 

Nesta guia voc√™ define quais servidores devem ser notificados automaticamente sobre as altera√ß√Ķes efetudas na zona prim√°ria, que est√° sendo configurada. Voc√™ pode limitar a notifica√ß√£o apenas aos servidores listados na guia Servidores de Nomes ou pode especificar uma lista de servidores a serem notificados.

 

23.     Defina as configura√ß√Ķes desejadas na janela Notificar e clique em OK.

24.     Voc√™ estar√° de volta √† guia Transfer√™ncias de zona. Defina as configura√ß√Ķes desejadas e clique em OK.

25.     Pronto. Sobre configura√ß√Ķes das propriedades de uma zona √© isso.

 

Configurando as propriedades do servidor DNS

 

No item anterior voc√™ aprendeu a configurar as propriedades de uma zona. Estas configura√ß√Ķes afetam apenas a zona que est√° sendo configurada. Quando voc√™ configura as propriedades do servidor DNS, voc√™ altera op√ß√Ķes que afetam todas as zonas do servidor DNS. Existem algumas proprieadades que s√£o relacionadas com a maneira de opera√ß√£o do servidor DNS e n√£o com as configura√ß√Ķes de zonas especificamente. Neste item voc√™ aprender√° a configurar as propriedades do servidor DNS.

Para acessar e configurar as propriedades do servidor DNS do Windows 2000 Server, siga os passos indicados a seguir:

1.       Fa√ßa o logon como administrador ou com uma conta com permiss√£o de administrador.

2.       Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS.

3.       Ser√° exibido o console DNS. Clique com o bot√£o direito do mouse no nome do servidor DNS a ser configurado (lembrando que voc√™ pode utilizar o console DNS para se conectar e administrar v√°rios servidores DNS da sua rede, centralizadamente a partir de um √ļnico console).

4.       No menu de op√ß√Ķes que √© exibido clique em Propriedades.

5.       Ser√° exibida a janela de propriedades do servidor DNS, com a guia Interfaces j√° selecionada, conforme indicado na Figura a seguir:

 

Figura - A guia de interfaces.

 

Um servidor com o Windows 2000 Server instalado pode ter mais de uma placa de rede instalada e pode também ter mais de um endereço IP configurado em uma mesma placa de rede. Cada endereço IP representa uma interface. Você pode configurar o DNS para responder à consultas enviadas por todas as interfaces (que é a opção padrão) ou apenas à conultas enviadas através das interfaces que você configurar nesta guia.

 

6.       Para que o DNS responda √† consultas enviadas por qualquer interface, certifique-se de que a op√ß√£o Em todos os endere√ßos IP esteja selecionada. Para fazer com que o DNS responda apenas √† consultas enviadas para determinadas interfaces, marque a op√ß√£o Apenas nos seguintes endere√ßos IP e informe os endere√ßos IP. Para adicionar um novo endere√ßo IP digite o endere√ßo e clique no bot√£o Adicionar. Para remover um endere√ßo IP da lista basta selecion√°-lo na lista e clicar no bot√£o Remover.

7.       Clique na guia Encaminhadores (a tradu√ß√£o Encaminhadores, na minha opini√£o √© absolutamente desnecess√°ria. Deveria ser utilizado o termo original Forwarders). Ser√° exibida a janela indicada na Figura a seguir:

 

Figura - A guia Encaminhadores.

 

Aqui é preciso um pouco mais de detalhes sobre o conceito de Forward (Encaminhador) em um servidor DNS. Então vamos à teoria do uso de Forwarders (ou se preferirem: Encaminhadores).

 

Os servidores DNS podem ser configurados para enviar todas as consultas recursivas a uma lista selecionada de servidores, conhecidos como encaminhadores (para mais detalhes sobre Consultas Recursivas, consulte a Parte 9 desta série de tutoriais). Os servidores usados na lista de encaminhadores fornecem pesquisa recursiva para todas as consultas que um servidor DNS recebe e que não pode responder com base em suas zonas locais. Durante o processo de encaminhamento, um servidor DNS configurado para usar encaminhadores (um ou mais servidores, com base na lista de encaminhadores) se comporta essencialmente como um cliente DNS para seus encaminhadores.

 

Benefícios de usar encaminhadores:

 

Os encaminhadores são indicados quando o acesso a servidores DNS remotos é feito através de links de WAN de baixa velocidade, como uma rede local com um barramente de alta velocidade (10 MBps ou, mais comum hoje em dia, 100 MBps), ligada à Internet por intermédio de uma conexão de velocidade relativamente baixa. O uso de encaminhadores ajuda a reduzir o tráfego de WAN relacionado a resolução de nomes DNS, das seguintes maneiras:

  • Reduz o n√ļmero de consultas gerais enviadas atrav√©s do link de WAN: Por exemplo, se seu servidor DNS tem uma conex√£o dial-up de custo elevado e lenta, com um provedor de servi√ßos da Internet (ISP, Internet service provider). Quando o servidor DNS usado como um encaminhador da sua rede interna recebe uma consulta para um nome remoto na Internet, ele pode entrar em contato direto com servidores remotos na Internet. Ele pode repetir consultas adicionais at√© determinar o servidor autorizado para o nome que est√° sendo consultado. Ap√≥s encontrar o servidor autorizado, o encaminhador entra em contato com ele e recebe uma resposta completa.
  • Outra op√ß√£o que pode reduzir o tr√°fego √© usar um servidor DNS na Internet como um encaminhador. Antes de decidir sobre essa configura√ß√£o, obtenha permiss√£o para usar um servidor DNS da Internet como seu encaminhador principal, como um servidor gerenciado pelo seu ISP. Nessa configura√ß√£o, todas as consultas s√£o enviadas ao servidor DNS configurado na lista de Forwareders e ele s√≥ retorna a resposta de volta para o cliente. Observe que todo o tr√°fego de resolu√ß√£o fica entre o servidor configurado como Forward do servidor DNS interno e a Internet. Entre o servidor DNS interno e o servidor DNS configurado como Forward, √© transmitida somente a consulta (do servidor interno para o Forward) e a resposta √† consulta (do servidor Forward para o servidor DNS interno). Cada consulta representa um √ļnico percurso de ida e volta atrav√©s do link de WAN, deixando todo o tr√°fego de resolu√ß√£o entre o Forward e a Internet.
  • Compartilhar resultados remotos na sua rede local: Os encaminhadores fornecem um modo de compartilhar informa√ß√Ķes sobre nomes remotos com um grupo de servidores DNS localizados na mesma √°rea. Por exemplo, pressuponha que sua organiza√ß√£o tem diversos servidores DNS em uma rede local. Em vez de fazer com que cada servidor envie consultas atrav√©s de uma firewall e para a Internet, todos os servidores DNS s√£o configurados para encaminhar consultas para um √ļnico servidor DNS (localizado na firewall) o qual, por sua vez, faz as consultas necess√°rias aos servidores remotos. No processo, o encaminhador criar um cache de nomes DNS da Internet a partir das respostas recebidas. Ao longo do tempo, como os servidores DNS locais continuam a encaminhar consultas para ele, o encaminhador responde a mais consultas a partir de seu cache porque ele come√ßa a ter um n√ļmero crescente de respostas com base nas consultas anteriores para os mesmos nomes ou nomes similares. Mais uma vez a id√©ia √© isolar o tr√°fego de resolu√ß√£o entre um √ļnico servidor DNS (configurado como Forward) e √† Internet.

Mais de um encaminhador pode ser listado. Cada servidor na lista é tentado somente uma vez e todas as tentativas de repetição adicionais para o mesmo servidor só podem ocorrer repetindo seu endereço IP na lista.

Se um servidor DNS não estiver configurado para usar encaminhadores, ele usará o processo de consulta iterativa normal para responder às consultas recursivas para nomes remotos. Para todos os detalhes sobre o processo de consulta interativa, consulte a Parte 9 desta série de tutoriais sobre TCP/IP.

 

 

Usar os encaminhadores exclusivamente (sem recurs√£o):

 

Quando um servidor DNS é configurado para usar encaminhadores, eles são usados antes de qualquer outro meio de resolução de nomes ser tentado. Se a lista de encaminhadores falhar ao fornecer uma resposta positiva, um servidor DNS poderá tentar resolver a consulta por si próprio usando consultas iterativas e recursão padrão.

Um servidor também pode ser configurado para não executar recursão depois que os encaminhadores falharem. Nessa configuração, o servidor não tentará nenhuma consulta recursiva adicional por si próprio para resolver o nome. Em vez disso, a consulta irá falhar se não obtiver uma resposta de consulta bem sucedida a partir de qualquer um dos encaminhadores.

Isso obrigar√° o servidor DNS a usar, exclusivamente os servidores configurados como encaminhadores, sem utilizar o recurso de recurs√£o. Nesse modo de opera√ß√£o, um servidor configurado para usar encaminhadores poder√° ainda verificar primeiro nas suas zonas configuradas localmente, para tentar resolver um nome consultado. Se ele localizar um registro correspondente nos seus dados locais (nas zonas do pr√≥prio servidor DNS), ele poder√° responder √† consulta com base nessas informa√ß√Ķes.

Para tornar um servidor DNS um encaminhador exclusivo, basta marcar a opção Não usar recursão para este domínio.

Nota: Ao usar encaminhadores, as consultas são enviadas para cada encaminhador da lista, ao qual é atribuído um valor de tempo limite em segundos, dentro do qual ele deve responder antes que o próximo encaminhador seja tentado. Por padrão este tempo é de 5 segundos e é configurado no campo Tempo limite do encaminhamento da guia Encaminhadores.

 

Importante: Um servidor DNS não pode encaminhar consultas para nomes que façam partes de domínios para os quais o servidor é autoridade do domínio, ou seja, para zonas que estão configuradas no próprio servidor. Por exemplo, um servidor que é a autoridade para a zona abc.com.br, não poderá encaminhar para outros servidores, consultas para nomes do domínio abc.com.br. Por exemplo, chega uma consulta para o nome srv01.abc.com.br. O servidor DNS que é autoridade para o domínio abc.com.br, não poderá encaminhar esta consulta para outros servidores DNS.

Agora vamos voltar a guia Forwarders e ver como fazer as configura√ß√Ķes pr√°ticas.

 

8        Para usar encaminhadores basta informar o n√ļmero IP do servidor DNS a ser utilizado como encaminhador e clicar no bot√£o Adicionar. Para remover um encaminhador da lista, clique no encaminhador a ser exclu√≠do, para selecion√°-lo e clique no bot√£o Remover. Voc√™ pode alterar a ordem dos encamihadores, usando os bot√Ķes Para cima e Para baixo.

 

9.     Defina as configura√ß√Ķes desejadas e d√™ um clique na guia Avan√ßado. Nesta guia voc√™ tem uma s√©rie de configura√ß√Ķes que afetam a maneira como o DNS trabalha e resolve as consultas (al√©m de ser um excelente assunto para quest√Ķes dos exames de certifica√ß√£o da Microsoft). Ser√£o exibidas as op√ß√Ķes de configura√ß√Ķes avan√ßadas, conforme indicado na Figura a seguir:

 

Figura - Configura√ß√Ķes avan√ßadas do servidor DNS.

 

Na lista Op√ß√Ķes de servidor, voc√™ tem as seguintes op√ß√Ķes dispon√≠veis:

  • Desativar recurs√£o: Esta op√ß√£o determina se o servidor DNS usa ou n√£o a recurs√£o. Por padr√£o, os servidores DNS do Windows 2000 e do Windows Server 2003  s√£o ativados para usar recurs√£o. Voc√™ pode marcar esta op√ß√£o se for necess√°rio desativar o m√©todo de recurs√£o para para a resolu√ß√£o de nomes.
  • Vincular secund√°rios: Esta op√ß√£o define se ser√° usado o formato de transfer√™ncia r√°pido na transfer√™ncia de uma zona para servidores DNS que executam implementa√ß√Ķes Berkeley Internet Name Domain (BIND) legadas, isto √©, com vers√Ķes mais antigas do BIND. Por padr√£o, todos os servidores DNS baseados em Windows usam um formato de transfer√™ncia de zona r√°pida, que usa compacta√ß√£o e pode incluir v√°rios registros por mensagem TCP (Transmission Control Protocol, protocolo de controle de transmiss√£o) durante uma transfer√™ncia conectada. Esse formato tamb√©m √© compat√≠vel com os servidores DNS baseados em BIND que executam vers√Ķes 4.9.4 e posterior. Caso voc√™ ainda utilize algum servidor DNS com vers√£o mais antiga do BIND e que precise receber atualiza√ß√Ķes, voc√™ deve habilitar esta op√ß√£o.

A seguir apresento uma descri√ß√£o das diferentes vers√Ķes do DNS e das principais caracter√≠sticas de cada uma:

1.      Servidor DNS do Windows 2000: Fornece funcionalidade de integra√ß√£o com o WINS (descrita mais adiante, atualiza√ß√Ķes seguras (para zonas integradas ao Active Directory, conforme descrito mais adiante) e integra√ß√£o do Active Directory.

2.      BIND 8.2.1: Nesta vers√£o foi inclu√≠da a funcionalidade de transfer√™ncia incremental de zonas, ou seja, apenas o que foi alterado √© transmitido da zona prim√°ria para as zonas secund√°rias e n√£o todo o conte√ļdo da zona. Esta transfer√™ncia √© controlada por um registro do tipo IXFR. N√£o esque√ßa deste detalhe para o exame, pois essa √© uma nova funcionalidade do DNS, presente no DNS do Windows 2000 Server.

3.      BIND 8.1.1: Nesta vers√£o √© que foi introduzido o suporte a atualiza√ß√Ķes din√Ęmicas do DNS. Lembre tamb√©m deste fato para o exame.

4.      BIND 4.9.7: Nesta vers√£o √© que foi introduzido o suporte aos registros do tipo SRV.

  • Falhar no carregamento se forem dados de zona danificada (mais uma tradu√ß√£o ‚Äúcinco estrelas‚ÄĚ): Por padr√£o, os servidores DNS do Windows 2000 e do Windows Server 2003,  registram os erros nos dados, ignoram todos os dados defeituosos em arquivos de zona e continuam a carregar a zona. Voc√™ pode marcar esta op√ß√£o para que o Servidor DNS registre os erros e falhas ao carregar um arquivo de zona e que n√£o continue a carregar a zona que cont√©m erros.
  • Ativar rod√≠zio: Determina se o servidor DNS usar√° round robin (rod√≠zio) para alternar e reordenar uma lista de v√°rios registros de recursos de host (A) se um nome de host consultado for para um computador configurado com v√°rios endere√ßos IP (Internet Protocol, protocolo Internet). Por padr√£o, os servidores DNS do Windows 2000 usam round robin. A seguir apresento mais detalhes sobre o recurso de round robin (prefiro este termo, que √© bem mais conhecido em se tratando de DNS, do que rod√≠zio).

Conclus√£o

Neste parte do tutorial voc√™ aprendeu a configurar importantes op√ß√Ķes de um servidor DNS.