Tutorial de TCP/IP – Parte 32 – Integração do DNS com o Active Directory


Introdução:

 

Prezados leitores, esta √© a d√©cima segunda parte, desta segunda etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o m√≥dulo que eu classifiquei como Introdu√ß√£o ao TCP/IP. O objetivo do  primeiro m√≥dulo (Parte 01 a 20) foi apresentar o TCP/IP, mostrar como √© o funcionamento dos servi√ßos b√°sicos, tais como endere√ßamento IP e Roteamento e fazer uma apresenta√ß√£o dos servi√ßos relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conex√£o Internet e NAT. Nesta segunda parte da s√©rie, que ir√° da parte 20 at√© a parte 40 ou 50 (ou quem sabe at√© 60), apresentarei as a√ß√Ķes pr√°ticas, relacionadas com os servi√ßos DNS, DHCP e WINS no Windows 2000 Server.

 

 

Para um curso completo sobre a instalação e Administração do DNS,no Windows 2000 Server, consulte, um dos livros indicados a seguir.

LIVRO IMPRESSO

MANUAL DE ESTUDOS PARA O EXAME 70-217 ‚Äď 752 p√°ginas

Um curso completo de Active Directory no Windows 2000 Server

E-BOOK EM FORMATO PDF

MANUAL DE ESTUDOS PARA O EXAME 70-216 ‚Äď 712 p√°ginas

Aprenda sobre o DNS, DHCP, WINS, RRAS, Roteamento, IPSEc, etc.

 

Nesta parte desta segunda série de tutoriais, darei continuidade a parte prática de Administração do DNS, no Windows 2000 Server. Nesta parte do tutorial, você aprenderá sobre o importante conceito de Integração do DNS com o Active Directory. Mostrarei como esta opção melhora, bastante, a segurança no uso do DNS.

 

 

Integração do DNS com o Active Directory

 

No Windows 2000 Server, o Servidor DNS foi cuidadosamente integrado à criação e implementação do Active Directory.

Existem dois pontos fundamentais a serem considerados na integração do DNS com o Active Directory:

  • O DNS √© necess√°rio, obrigat√≥rio, para localiza√ß√£o dos DCs do dom√≠nio.
  • O servi√ßo Netlogon usa o novo suporte ao servidor DNS para fornecer registro de controladores de dom√≠nio no seu espa√ßo de nomes de dom√≠nio DNS.

As zonas do DNS podem ser armazenadas na base de dados do Active Directory. Esta integra√ß√£o fornece vantagens adicionais, tais como a utiliza√ß√£o dos sofisticados recursos de replica√ß√£o do Active Directory, maior seguran√ßa, pois zonas integradas com o Active Directory somente aceitam atualiza√ß√Ķes din√Ęmicas seguras, ou seja, de computadores autenticados no dom√≠nio e o uso dos recursos de expira√ß√£o e elimina√ß√£o de registros baseados em informa√ß√Ķes de validade.

 

 

Como o DNS é integrado ao Active Directory

 

A integração inicia no momento da instalação do Active Directory em um member server, para torná-lo um DC. O assistente de instalação do Active Directory solicita que você informe o nome DNS do domínio para o qual está sendo criado um novo DC. Durante a instalação o assistente deve ser capaz de se conectar a um servidor DNS que seja autoridade para o domínio informado. Se isso não for possível, o assistente irá se oferecer para instalar e configurar o DNS no próprio servidor que está sendo promovido a DC. Se isso também não for possível, o Active Directory não poderá ser instalado. Ou seja, se não for possível localizar o servidor DNS que é autoridade pelo domínio ou instalá-lo no próprio DC, o Active Directory não poderá ser instalado.

 

Depois que tiver instalado o Active Directory, voc√™ tem duas op√ß√Ķes para armazenar e duplicar zonas do DNS quando operar o servidor DNS no novo controlador de dom√≠nio.

  • Armazenamento de zona padr√£o usando um arquivo baseado em texto: As zonas armazenadas dessa maneira est√£o localizadas em arquivos de texto, com a extens√£o .Dns, os quais s√£o armazenados na pasta %SystemRoot%\System32\Dns em cada computador que opera um servidor DNS. Os nomes de arquivo de zona correspondem ao nome que voc√™ escolhe para a zona durante a sua cria√ß√£o, como Exemplo.abc.com.dns √© o arquivo que armazena informa√ß√Ķes para a zona abc.com.
  • Armazenamento de zona integrada ao diret√≥rio usando o banco de dados do Active Directory: As zonas armazenadas dessa maneira est√£o localizadas na √°rvore do Active Directory . Cada zona integrada ao diret√≥rio √© armazenada em um objeto do tipo dnsZone identificado pelo nome que voc√™ escolhe para a zona durante a sua cria√ß√£o.

 

Benefícios da integração ao Active Directory

 

Em redes que distribuem o DNS para oferecer suporte ao Active Directory, as zonas primárias integradas ao diretório são especcialmente recomendadas e proporcionam os seguintes benefícios:

  • Atualiza√ß√Ķes multi-master baseada na replica√ß√£o do Active Directory. e recursos de seguran√ßa avan√ßada, baseados nos recursos do Active Directory. Para zonas n√£o integradas, o modelo de atualiza√ß√£o √© do tipo single-master. Somente a zona prim√°ria sofre altera√ß√Ķes e repassa estas altera√ß√Ķes para as zonas secund√°rias. Se o servidor onde est√° a zona prim√°ria apresentar problemas, novas atualiza√ß√Ķes din√Ęmicas e outras altera√ß√Ķes n√£o poder√£o ser processadas, enquanto este servidor n√£o for recuperado. J√° com zonas integradas ao Active Directory, podem ser feitas altera√ß√Ķes em qualquer c√≥pia da zona e existe uma c√≥pia em todos os DCs do dom√≠nio, onde o DNS estiver instalado. Al√©m disso, altera√ß√Ķes podem ser feitas em qualquer uma das c√≥pias da zona. O mecanismo de replica√ß√£o do Active Directory se encarrega de manter as v√°rias c√≥pias sincronizadas.
  • Com esse modelo, qualquer servidor DNS que contenha uma zona integrada ao Active Directory, poder√° receber atualiza√ß√Ķes din√Ęmicas enviadas pelos clientes. Com isso n√£o haver√° um ponto √ļnico de falha, como no caso do modelo baseado em zonas padr√£o.
  • Outra vantagem das zonas integradas √© que todo objeto do Active Directory possui uma ACL ‚Äď Access Control List (id√™ntica a lista de permiss√Ķes NTFS para uma pasta ou arquivo). Voc√™ pode editar esta ACL para as zonas do DNS integradas ao Active Directory, para ter um controle mais refinado sobre quem tem acesso e qual o n√≠vel de acesso.
  • A replica√ß√£o do Active Directory √© mais r√°pida, mais eficiente e mais segura do que o mecanismo de transfer√™ncia de zonas padr√£o do DNS.

Nota: Apenas as zonas primárias podem ser armazenadas no Active Directory. Um servidor DNS não pode armazenar zonas secundárias no diretório. Ele deverá armazená-las em arquivos de texto padrão.

Você pode definir que uma zona será integrada ao Active Directory, durante a criação da zona. Para isso basta marcar a opção Integrada ao Active Directory, durante a criação da zona, conforme indicado na Figura a seguir, onde estou criando uma zona primária integrada ao Active Directory.

 


Figura - Zona integrada ao Active Directory.

Você também pode converter uma zona padrão para uma zona integrada com o Active Directory.

 

Para alterar uma zona de padr√£o para integrada com o Active Directory, siga os passos indicados a seguir:

 

1.       Fa√ßa o logon como administrador ou com uma conta com permiss√£o de administrador.

2.       Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS.

3.       Ser√° exibido o console DNS. Clique no sinal de + ao lado da op√ß√£o Zonas de pesquisa direta.

4.       Ser√£o exibidas as zonas de pesquisa direta existentes no servidor.

5.       Clique com o bot√£o direito do mouse na zona a ser configurada. No menu de op√ß√Ķes que √© exibido clique na op√ß√£o Propriedades.

6.       Ser√° exibida a janela de propriedades da zona, com a guia Geral selecionada.

7.       Clique no bot√£o Alterar... Ser√° exibida a janela Alterar o tipo da zona, indicada na Figura a seguir:

 

 


Figura - Alterando a zona de padr√£o para integrada com o Active Directory.

 

8.       Para integrar a zona com o Active Directory, marque a op√ß√£o Integrada ao Active Directory e clique em OK. Ser√° exibida uma janela pedindo confirma√ß√£o, conforme indicado na Figura a seguir:

 


Figura - Confirmando a integração com o Active Directory.

 

9.       Clique em OK para confirmar a integra√ß√£o.

10.     Voc√™ estar√° de volta √† janela de propriedades da zona. Clique em OK para fech√°-la. Pronto, a zona passar√° a armazenar suas informa√ß√Ķes no Active Directory.

 

Conclus√£o

Neste parte do tutorial você aprendeu sobre conceitos importantes, tais como:

  • Integra√ß√£o do DNS com o Active Directory
  • Cria√ß√£o de zonas DNS integradas ao Active Directory
  • Convers√£o de zonas padr√£o em zonas integradas ao Active Directory