Introdução:

 

Prezados leitores, esta é a nona parte, desta segunda etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o módulo que eu classifiquei como Introdução ao TCP/IP. O objetivo do  primeiro módulo foi apresentar o TCP/IP, mostrar como é o funcionamento dos serviços básicos, tais como endereçamento IP e Roteamento e fazer uma apresentação dos serviços relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conexão Internet e NAT. Nesta segunda parte da série, que irá da parte 20 até a parte 40 ou 50 (ou quem sabe até 60), apresentarei as ações práticas, relacionadas com os serviços DNS, DHCP e WINS no Windows 2000 Server.

 

Para um curso completo sobre a instalação e Administração do DNS,no Windows 2000 Server, consulte, um dos livros indicados a seguir.

LIVRO IMPRESSO

MANUAL DE ESTUDOS PARA O EXAME 70-217 – 752 páginas

Um curso completo de Active Directory no Windows 2000 Server

E-BOOK EM FORMATO PDF

MANUAL DE ESTUDOS PARA O EXAME 70-216 – 712 páginas

Aprenda sobre o DNS, DHCP, WINS, RRAS, Roteamento, IPSEc, etc.

 

Nesta parte desta segunda série de tutoriais, darei continuidade a parte prática de Administração do DNS, no Windows 2000 Server. Nesta parte do tutorial, você continuará a aprender sobre as opções de configuração do DNS. Este tutorial é continuação da Parte 26 e da Parte 27. Uma vez concluídas as configuração de uma zona DNS, você aprenderá a configurar as propriedades do servidor DNS como um todo.

 

Mais opções de Configuração do DNS no Windows 2000 Server:

 

Dando seqüência a configuração das propriedades do DNS, siga os seguintes passos (já estando com a janela de propriedades aberta, conforme explicado nas Partes 26 e 27):

21.     Clique na guia Transferência de zona. Será exibida a janela indicada na Figura a seguir:

 

Figura - A guia para configuração de transferência de zonas.

 

 

22.     Esta guia tem uma relação direta com a segurança no DNS. Nesta guia você pode limitar quais servidores estão autorizados a efetuar uma transferência de uma ou mais zonas primárias do teu servidor DNS. Na prática você está limitando em quais servidores podem ser criadas zonas secundárias, das zonas primárias existentes no servidor DNS. Estas configurações podem ser utilizadas para evitar que usuários externos possam copiar informações de zonas inteiras. Estas informações seriam de grande ajuda para um hacker que esteja com a intenção de invadir a rede da sua empresa. Limitando os servidores que podem copiar informações das zonas do servidor DNS, você está fechando mais uma porta e dificultando mais a vida dos hackers. Por padrão, a opção Permitir transferência de zona é marcada. Se esta opção estiver marcada, será permitido que sejam criadas zonas secundárias desta zona em outros servidores. Se esta opção for desmarcada, isso impedirá que as informações nesta zona repliquem para outros servidores. Você também pode definir quais servidoes terão permissão para copiar informações desta zona. As opções disponíveis são as seguintes:

  • Para qualquer servidor: Evidentemente que esta é a opção menos segura, ou seja, qualquer servidor DNS poderá criar uma zona secundária e copiar todas as informações da zona que está sendo configurada. Por incrível que pareça, esta é a opção padrão no DNS do Windows 2000 Server. Já no Windows Server 2003 a opção padrão é somente para servidores listados na guia Servidores de nome, descrita anteriormente.
  • Somente para servidores listados na guia ‘Servidores de nome’: Esta opção especifica que as transferências de zona só serão permitidas para servidores nomeados na guia Servidores de nomes. Essa ação permite que o administrador, restrinja transferências de zona, da zona que está sendo configurada, somente para uma lista especificada de servidores. Se você marcar esta opção, você deve informar na lista Servidores de nomes, quais os servidores terão permissão para copiar informações desta zona. Se um servidor tentar copiar informações desta zona, sem ter as devidas permissões, as informações não serão copiadas e a zona fica marcada (no servidor que tentou copiar, não a zona original) com um sinal de erro, conforme exemplo da Figura a seguir:


Figura - Tentativa de copiar uma zona sem permissão.

  • Somente para os servidores a seguir: Ao marcar esta opção, você pode especificar uma lista de servidores os quais estarão autorizados a transferir informações sobre a zona que está sendo configurada, ou seja, servidores que estarão autorizados a criar zonas secundárias da zona que está sendo configurada. Para inserir servidores na lista basta digitar o número IP do servidor e clicar no botão Adicionar.

Nesta guia você também tem o botão Notificar... Ao clicar neste botão será aberta a janela Notificar, indicada na Figura a seguir:

 

Figura - A janela Notificar.

 

Nesta guia você define quais servidores devem ser notificados automaticamente sobre as alterações efetudas na zona primária, que está sendo configurada. Você pode limitar a notificação apenas aos servidores listados na guia Servidores de Nomes ou pode especificar uma lista de servidores a serem notificados.

 

23.     Defina as configurações desejadas na janela Notificar e clique em OK.

24.     Você estará de volta à guia Transferências de zona. Defina as configurações desejadas e clique em OK.

25.     Pronto. Sobre configurações das propriedades de uma zona é isso.

 

Configurando as propriedades do servidor DNS

 

No item anterior você aprendeu a configurar as propriedades de uma zona. Estas configurações afetam apenas a zona que está sendo configurada. Quando você configura as propriedades do servidor DNS, você altera opções que afetam todas as zonas do servidor DNS. Existem algumas proprieadades que são relacionadas com a maneira de operação do servidor DNS e não com as configurações de zonas especificamente. Neste item você aprenderá a configurar as propriedades do servidor DNS.

Para acessar e configurar as propriedades do servidor DNS do Windows 2000 Server, siga os passos indicados a seguir:

1.       Faça o logon como administrador ou com uma conta com permissão de administrador.

2.       Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS.

3.       Será exibido o console DNS. Clique com o botão direito do mouse no nome do servidor DNS a ser configurado (lembrando que você pode utilizar o console DNS para se conectar e administrar vários servidores DNS da sua rede, centralizadamente a partir de um único console).

4.       No menu de opções que é exibido clique em Propriedades.

5.       Será exibida a janela de propriedades do servidor DNS, com a guia Interfaces já selecionada, conforme indicado na Figura a seguir:

 

Figura - A guia de interfaces.

 

Um servidor com o Windows 2000 Server instalado pode ter mais de uma placa de rede instalada e pode também ter mais de um endereço IP configurado em uma mesma placa de rede. Cada endereço IP representa uma interface. Você pode configurar o DNS para responder à consultas enviadas por todas as interfaces (que é a opção padrão) ou apenas à conultas enviadas através das interfaces que você configurar nesta guia.

 

6.       Para que o DNS responda à consultas enviadas por qualquer interface, certifique-se de que a opção Em todos os endereços IP esteja selecionada. Para fazer com que o DNS responda apenas à consultas enviadas para determinadas interfaces, marque a opção Apenas nos seguintes endereços IP e informe os endereços IP. Para adicionar um novo endereço IP digite o endereço e clique no botão Adicionar. Para remover um endereço IP da lista basta selecioná-lo na lista e clicar no botão Remover.

7.       Clique na guia Encaminhadores (a tradução Encaminhadores, na minha opinião é absolutamente desnecessária. Deveria ser utilizado o termo original Forwarders). Será exibida a janela indicada na Figura a seguir:

 

Figura - A guia Encaminhadores.

 

Aqui é preciso um pouco mais de detalhes sobre o conceito de Forward (Encaminhador) em um servidor DNS. Então vamos à teoria do uso de Forwarders (ou se preferirem: Encaminhadores).

 

Os servidores DNS podem ser configurados para enviar todas as consultas recursivas a uma lista selecionada de servidores, conhecidos como encaminhadores (para mais detalhes sobre Consultas Recursivas, consulte a Parte 9 desta série de tutoriais). Os servidores usados na lista de encaminhadores fornecem pesquisa recursiva para todas as consultas que um servidor DNS recebe e que não pode responder com base em suas zonas locais. Durante o processo de encaminhamento, um servidor DNS configurado para usar encaminhadores (um ou mais servidores, com base na lista de encaminhadores) se comporta essencialmente como um cliente DNS para seus encaminhadores.

 

Benefícios de usar encaminhadores:

 

Os encaminhadores são indicados quando o acesso a servidores DNS remotos é feito através de links de WAN de baixa velocidade, como uma rede local com um barramente de alta velocidade (10 MBps ou, mais comum hoje em dia, 100 MBps), ligada à Internet por intermédio de uma conexão de velocidade relativamente baixa. O uso de encaminhadores ajuda a reduzir o tráfego de WAN relacionado a resolução de nomes DNS, das seguintes maneiras:

  • Reduz o número de consultas gerais enviadas através do link de WAN: Por exemplo, se seu servidor DNS tem uma conexão dial-up de custo elevado e lenta, com um provedor de serviços da Internet (ISP, Internet service provider). Quando o servidor DNS usado como um encaminhador da sua rede interna recebe uma consulta para um nome remoto na Internet, ele pode entrar em contato direto com servidores remotos na Internet. Ele pode repetir consultas adicionais até determinar o servidor autorizado para o nome que está sendo consultado. Após encontrar o servidor autorizado, o encaminhador entra em contato com ele e recebe uma resposta completa.
  • Outra opção que pode reduzir o tráfego é usar um servidor DNS na Internet como um encaminhador. Antes de decidir sobre essa configuração, obtenha permissão para usar um servidor DNS da Internet como seu encaminhador principal, como um servidor gerenciado pelo seu ISP. Nessa configuração, todas as consultas são enviadas ao servidor DNS configurado na lista de Forwareders e ele só retorna a resposta de volta para o cliente. Observe que todo o tráfego de resolução fica entre o servidor configurado como Forward do servidor DNS interno e a Internet. Entre o servidor DNS interno e o servidor DNS configurado como Forward, é transmitida somente a consulta (do servidor interno para o Forward) e a resposta à consulta (do servidor Forward para o servidor DNS interno). Cada consulta representa um único percurso de ida e volta através do link de WAN, deixando todo o tráfego de resolução entre o Forward e a Internet.
  • Compartilhar resultados remotos na sua rede local: Os encaminhadores fornecem um modo de compartilhar informações sobre nomes remotos com um grupo de servidores DNS localizados na mesma área. Por exemplo, pressuponha que sua organização tem diversos servidores DNS em uma rede local. Em vez de fazer com que cada servidor envie consultas através de uma firewall e para a Internet, todos os servidores DNS são configurados para encaminhar consultas para um único servidor DNS (localizado na firewall) o qual, por sua vez, faz as consultas necessárias aos servidores remotos. No processo, o encaminhador criar um cache de nomes DNS da Internet a partir das respostas recebidas. Ao longo do tempo, como os servidores DNS locais continuam a encaminhar consultas para ele, o encaminhador responde a mais consultas a partir de seu cache porque ele começa a ter um número crescente de respostas com base nas consultas anteriores para os mesmos nomes ou nomes similares. Mais uma vez a idéia é isolar o tráfego de resolução entre um único servidor DNS (configurado como Forward) e à Internet.

Mais de um encaminhador pode ser listado. Cada servidor na lista é tentado somente uma vez e todas as tentativas de repetição adicionais para o mesmo servidor só podem ocorrer repetindo seu endereço IP na lista.

Se um servidor DNS não estiver configurado para usar encaminhadores, ele usará o processo de consulta iterativa normal para responder às consultas recursivas para nomes remotos. Para todos os detalhes sobre o processo de consulta interativa, consulte a Parte 9 desta série de tutoriais sobre TCP/IP.

 

 

Usar os encaminhadores exclusivamente (sem recursão):

 

Quando um servidor DNS é configurado para usar encaminhadores, eles são usados antes de qualquer outro meio de resolução de nomes ser tentado. Se a lista de encaminhadores falhar ao fornecer uma resposta positiva, um servidor DNS poderá tentar resolver a consulta por si próprio usando consultas iterativas e recursão padrão.

Um servidor também pode ser configurado para não executar recursão depois que os encaminhadores falharem. Nessa configuração, o servidor não tentará nenhuma consulta recursiva adicional por si próprio para resolver o nome. Em vez disso, a consulta irá falhar se não obtiver uma resposta de consulta bem sucedida a partir de qualquer um dos encaminhadores.

Isso obrigará o servidor DNS a usar, exclusivamente os servidores configurados como encaminhadores, sem utilizar o recurso de recursão. Nesse modo de operação, um servidor configurado para usar encaminhadores poderá ainda verificar primeiro nas suas zonas configuradas localmente, para tentar resolver um nome consultado. Se ele localizar um registro correspondente nos seus dados locais (nas zonas do próprio servidor DNS), ele poderá responder à consulta com base nessas informações.

Para tornar um servidor DNS um encaminhador exclusivo, basta marcar a opção Não usar recursão para este domínio.

Nota: Ao usar encaminhadores, as consultas são enviadas para cada encaminhador da lista, ao qual é atribuído um valor de tempo limite em segundos, dentro do qual ele deve responder antes que o próximo encaminhador seja tentado. Por padrão este tempo é de 5 segundos e é configurado no campo Tempo limite do encaminhamento da guia Encaminhadores.

 

Importante: Um servidor DNS não pode encaminhar consultas para nomes que façam partes de domínios para os quais o servidor é autoridade do domínio, ou seja, para zonas que estão configuradas no próprio servidor. Por exemplo, um servidor que é a autoridade para a zona abc.com.br, não poderá encaminhar para outros servidores, consultas para nomes do domínio abc.com.br. Por exemplo, chega uma consulta para o nome srv01.abc.com.br. O servidor DNS que é autoridade para o domínio abc.com.br, não poderá encaminhar esta consulta para outros servidores DNS.

Agora vamos voltar a guia Forwarders e ver como fazer as configurações práticas.

 

8        Para usar encaminhadores basta informar o número IP do servidor DNS a ser utilizado como encaminhador e clicar no botão Adicionar. Para remover um encaminhador da lista, clique no encaminhador a ser excluído, para selecioná-lo e clique no botão Remover. Você pode alterar a ordem dos encamihadores, usando os botões Para cima e Para baixo.

 

9.     Defina as configurações desejadas e dê um clique na guia Avançado. Nesta guia você tem uma série de configurações que afetam a maneira como o DNS trabalha e resolve as consultas (além de ser um excelente assunto para questões dos exames de certificação da Microsoft). Serão exibidas as opções de configurações avançadas, conforme indicado na Figura a seguir:

 

Figura - Configurações avançadas do servidor DNS.

 

Na lista Opções de servidor, você tem as seguintes opções disponíveis:

  • Desativar recursão: Esta opção determina se o servidor DNS usa ou não a recursão. Por padrão, os servidores DNS do Windows 2000 e do Windows Server 2003  são ativados para usar recursão. Você pode marcar esta opção se for necessário desativar o método de recursão para para a resolução de nomes.
  • Vincular secundários: Esta opção define se será usado o formato de transferência rápido na transferência de uma zona para servidores DNS que executam implementações Berkeley Internet Name Domain (BIND) legadas, isto é, com versões mais antigas do BIND. Por padrão, todos os servidores DNS baseados em Windows usam um formato de transferência de zona rápida, que usa compactação e pode incluir vários registros por mensagem TCP (Transmission Control Protocol, protocolo de controle de transmissão) durante uma transferência conectada. Esse formato também é compatível com os servidores DNS baseados em BIND que executam versões 4.9.4 e posterior. Caso você ainda utilize algum servidor DNS com versão mais antiga do BIND e que precise receber atualizações, você deve habilitar esta opção.

A seguir apresento uma descrição das diferentes versões do DNS e das principais características de cada uma:

1.      Servidor DNS do Windows 2000: Fornece funcionalidade de integração com o WINS (descrita mais adiante, atualizações seguras (para zonas integradas ao Active Directory, conforme descrito mais adiante) e integração do Active Directory.

2.      BIND 8.2.1: Nesta versão foi incluída a funcionalidade de transferência incremental de zonas, ou seja, apenas o que foi alterado é transmitido da zona primária para as zonas secundárias e não todo o conteúdo da zona. Esta transferência é controlada por um registro do tipo IXFR. Não esqueça deste detalhe para o exame, pois essa é uma nova funcionalidade do DNS, presente no DNS do Windows 2000 Server.

3.      BIND 8.1.1: Nesta versão é que foi introduzido o suporte a atualizações dinâmicas do DNS. Lembre também deste fato para o exame.

4.      BIND 4.9.7: Nesta versão é que foi introduzido o suporte aos registros do tipo SRV.

  • Falhar no carregamento se forem dados de zona danificada (mais uma tradução “cinco estrelas”): Por padrão, os servidores DNS do Windows 2000 e do Windows Server 2003,  registram os erros nos dados, ignoram todos os dados defeituosos em arquivos de zona e continuam a carregar a zona. Você pode marcar esta opção para que o Servidor DNS registre os erros e falhas ao carregar um arquivo de zona e que não continue a carregar a zona que contém erros.
  • Ativar rodízio: Determina se o servidor DNS usará round robin (rodízio) para alternar e reordenar uma lista de vários registros de recursos de host (A) se um nome de host consultado for para um computador configurado com vários endereços IP (Internet Protocol, protocolo Internet). Por padrão, os servidores DNS do Windows 2000 usam round robin. A seguir apresento mais detalhes sobre o recurso de round robin (prefiro este termo, que é bem mais conhecido em se tratando de DNS, do que rodízio).

Conclusão

Neste parte do tutorial você aprendeu a configurar importantes opções de um servidor DNS.