Implantando DNS no Windows Server 2003

Implantando DNS O DNS (sistema de nomes de domnio) do Microsoft Windows 2003 fornece uma resoluo de nomes eficiente, suporte a servios de diretrio do Active Directory e interoperabilidade com outras tecnologias baseadas em padro. A implantao de DNS em sua infra-estrutura cliente/servidor ativa recursos em uma rede TCP/IP para localizar outros recursos na rede, usando resoluo de nomes de host para endereo IP e de endereo IP para nome de host.

Informaes relacionadas nos Resource Kits

Para obter mais informaes sobre DNS, consulte "Introduction to DNS" no Networking Guide do Microsoft Windows Server 2003 Resource Kit (ou consulte "Introduction to DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp - site em ingls). Para obter informaes sobre servidor e cliente DNS do Windows Server 2003, consulte "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp - site em ingls). Para obter informaes sobre cliente DNS, consulte "Configuring IP Addressing and Name Resolution" em Administering Microsoft Windows XP Professional. Para obter informaes sobre como estabelecer diretivas de segurana, consulte "Designing an Authorization Strategy" em Designing and Deploying Directory and Security Services, neste kit. Para obter informaes sobre como implantar DNS especificamente para Active Directory, consulte "Criando a estrutura lgica" em Criando e implantando servios de diretrio e de segurana.

Viso geral da implantao de DNS

DNS o principal mtodo de resoluo de nomes do Windows Server 2003. Ele tambm uma exigncia bsica para a implantao do Active Directory, no entanto, o Active Directory no uma exigncia para a implantao do DNS. A integrao do DNS ao Active Directory fornece a melhor combinao de segurana, desempenho e disponibilidade para resoluo de nomes corporativa. A implantao do DNS com o Active Directory permite usar a topologia de replicao multimaster do Active Directory para aprimorar o desempenho e a integridade da resoluo de nomes. Implantar zonas integradas ao Active Directory elimina a necessidade de uma topologia de transferncia de zona principal nica, primria/secundria separada. As zonas integradas ao Active Directory armazenam dados no banco de dados dele. Como no possvel armazenar zonas secundrias no Active Directory, para usar zonas integradas a ele voc deve executar o servio Servidor DNS em controladores de domnio e usar zonas primrias exclusivamente. A implantao de zonas integradas ao Active Directory tambm permite aproveitar o modelo de segurana nativo para implementar atualizao dinmica segura, uma extenso do protocolo de atualizao dinmica do DNS. A implantao do DNS permite fornecer um mecanismo escalonvel para a localizao de recursos nas redes. Ao integrar DNS ao Active Directory, voc aprimora a segurana e o desempenho do DNS.

Processo de implantao de DNS

A implantao de DNS envolve o planejamento e a criao da infra-estrutura, incluindo o espao para nome, o posicionamento do servidor, as zonas e a configurao do cliente DNS. Alm disso, preciso planejar o nvel de integrao ao Active Directory e identificar os requisitos de segurana, escalabilidade e desempenho, antes de implementar a soluo DNS em um ambiente de produo. A figura 4.1 mostra o processo de implantao de DNS.

Figura 4.1 Processo de implantao de DNS

Conceitos de DNS

O DNS do Windows Server 2003 interopera com uma ampla variedade de sistemas operacionais. Alm disso, ele usa um banco de dados distribudo que implementa um sistema de nomenclatura hierrquico. Esse sistema de nomenclatura permite a uma organizao expandir sua presena na Internet e permite a criao de nomes exclusivos na Internet e nas intranets particulares baseadas em TCP/IP. Por causa de sua estrutura distribuda e hierrquica, o DNS usado mundialmente no espao para nome da Internet. Com o uso do DNS, qualquer computador na Internet pode pesquisar o nome de qualquer outro computador no espao para nome da Internet. Computadores com o Windows Server 2003 e o Windows 2000 tambm usam o DNS para localizar controladores de domnio.

Novidade no Windows Server 2003

O DNS do Windows Server 2003 inclui vrios recursos novos: Encaminhamento condicional. O encaminhamento condicional permite encaminhar consultas de DNS com base no nome de domnio DNS da consulta. Para obter mais informaes sobre encaminhamento condicional, consulte o Centro de ajuda e suporte do Windows Server 2003. Zonas de stub. As zonas de stub permitem sincronizar servidores DNS que esto hospedando zonas pai com os servidores DNS autorizados de suas respectivas zonas filha. Para obter mais informaes sobre zonas de stub, consulte o Centro de ajuda e suporte do Windows Server 2003. Zonas integradas ao Active Directory. As zonas integradas ao Active Directory permitem armazenar dados no banco de dados dele. As informaes da zona sobre qualquer servidor DNS primrio em uma zona integrada ao Active Directory so sempre replicadas. Para obter mais informaes sobre zonas integradas ao Active Directory, consulte o Centro de ajuda e suporte do Windows Server 2003.

Ferramentas para implantao de DNS

O Windows Server 2003 inclui algumas ferramentas para ajud-lo a implantar uma infra-estrutura de DNS. Active Directory Sizer O Active Directory Sizer permite estimar o hardware necessrio para implantar o Active Directory, com base nas informaes sobre perfil e domnio da organizao e na topologia do site. Ele usa entrada do usurio e frmulas internas para estimar o nmero de: Controladores de domnio por domnio, por site. Servidores de catlogo global por domnio, por site. CPUs por computador e tipo de CPU. Discos necessrios para o armazenamento de dados do Active Directory.

O Active Directory tambm estima: Netdiag A quantidade de memria necessria. O uso de largura de banda da rede. O tamanho do banco de dados do domnio. O tamanho do banco de dados do catlogo global. A largura de banda necessria para a replicao entre sites.

A ferramenta Netdiag ajuda a isolar problemas de rede e de conectividade. Ela executa vrios testes que podem ser usados para determinar o estado do cliente da rede. Para obter mais informaes sobre Netdiag, consulte "Ferramentas de suporte" no Centro de ajuda e suporte do Windows Server 2003. Dnscmd.exe Voc pode usar a ferramenta de linha de comando Dnscmd.exe para executar a maioria das tarefas que podem ser executadas no snap-in de DNS do MMC (Console de gerenciamento Microsoft).

Termos e definies
A seguir esto os termos mais importantes relacionados a DNS: Servidor de nomes autorizado. Um servidor que tem autorizao para resolver consultas DNS de uma zona especificada. Um servidor de nomes autorizado contm um arquivo de zona local de registros de recursos dos computadores da zona. Cada zona possui pelo menos um servidor de nomes autorizado. Encaminhamento condicional. O encaminhamento condicional permite especificar o nome de domnio interno e o endereo IP que o encaminhador associa ao nome de domnio designado na consulta. No DNS do Windows Server 2003, voc pode aprimorar o desempenho da resoluo de nomes adicionando condies baseadas em nome aos encaminhadores de DNS. Quando o encaminhador encontra correspondncia entre o nome de domnio designado na consulta e o nome de domnio especificado na condio, ele passa a consulta para um servidor DNS no domnio especificado. Os servidores DNS configurados para usar encaminhamento condicional podem executar resoluo de nomes sem usar recurso. Delegao. O processo de distribuir responsabilidade pelos nomes de domnio entre os vrios servidores DNS da rede. Para cada nome de domnio delegado, voc precisa criar pelo menos uma zona. Quanto mais domnios so delegados, mais zonas precisam ser criadas. Espao para nome DNS. A estrutura hierrquica da rvores de nomes de domnio. Cada rtulo de domnio usado em um FQDN (nome de domnio totalmente qualificado) indica um n ou uma ramificao da rvore de espao para nome de domnio. Por exemplo, host1.contoso.com um FQDN que representa o n host1, do n Contoso, do n com, da raiz Internet. Resolvedor DNS. Um servio executado em computadores cliente que envia consultas DNS a um servidor DNS. Servidor DNS. Um computador executando o servio do Servidor DNS. Um servidor DNS mantm informaes sobre uma parte do banco de dados DNS e resolve consultas DNS. Espao para nome externo. Um espao para nome pblico, por exemplo, a Internet, que pode ser acessado por qualquer dispositivo conectado. Abaixo dos domnios de nvel superior, a ICANN (Internet Corporation for Assigned Names and Numbers) e outras autoridades de nomenclatura da Internet delegam domnios a organizaes, tais como, provedores de servios de Internet, que, por sua vez, delegam subdomnios aos seus clientes. FQDN (nome de domnio totalmente qualificado). Um nome DNS que identifica exclusivamente um n de um espao para nome DNS. O FQDN de um computador uma concatenao do nome do computador (por exemplo, client1) com o sufixo DNS primrio dele (por exemplo, contoso.com). Espao para nome interno. Um espao para nome no qual as organizaes podem controlar o acesso. As organizaes podem usar o espao para nome interno para proteger os nomes e endereos IP de seus computadores internos na Internet. Uma nica organizao pode ter vrios espaos para nome internos. As organizaes podem criar seus prprios servidores raiz e quaisquer subdomnios, conforme necessrio. O espao para nome interno pode coexistir com um espao para nome externo. Servidor de nomes. Um servidor DNS que responde s solicitaes do resolvedor vindas de clientes de uma zona especificada e resolve FQDNs em endereos IP. As zonas podem conter servidores de nomes primrios e secundrios.

Servidor de nomes mestre. Um servidor que tem autoridade para resoluo de nomes em uma zona. Se um servidor de nomes mestre for um servidor de nomes primrio, dever conter um arquivo de registros de recursos da zona local. Se um servidor de nomes mestre for um servidor de nomes secundrio, dever obter registros de recursos da zona em outro servidor de nomes mestre durante uma transferncia de zona. Servidor de nomes primrio. Um servidor responsvel pela resoluo de nomes da zona sobre a qual tem autoridade. Um servidor de nomes primrio possui um banco dados DNS mestre com registros de recursos que mapeiam nomes de host para endereos IP. Os registros do banco de dados DNS mestre esto contidos em um arquivo da zona local. Servidor de nomes secundrio. Um servidor que, durante uma transferncia de zona, deve obter em um servidor de nomes mestre os registros de recursos de uma zona. Um servidor de nomes secundrio no possui um arquivo da zona local. Se um servidor de nomes secundrio for um servidor de nomes mestre, ele ter autoridade de resoluo de nomes sobre uma zona, mas ter que obter registros de recursos de outro servidor de nomes mestre. Se um servidor de nomes secundrio no for um servidor de nomes mestre, ele poder ser usado para redundncia e balanceamento de carga. RR (registro de recursos). Uma estrutura de banco de dados DNS padro contendo informaes usadas para processar consultas DNS. Por exemplo, um registro de recursos de endereo (A) contm um endereo IP correspondente a um nome de host. A maioria dos tipos bsicos de RR definida na RFC 1035, "Domain Names - Implementation and Specification", mas h outros tipos de RR definidos em outras RFCs e so aprovados para uso com o DNS. Zona de stub. Uma cpia parcial de uma zona que pode ser hospedada por um servidor DNS e usada para resolver consultas recursivas ou iterativas. As zonas de stub contm os registros de recursos SOA (Incio de autoridade), os registros de recursos DNS que listam os servidores autorizados e os registros de recursos de unio A (endereo) que so necessrios para contatar os servidores autorizados da zona. Zona. Em um banco de dados DNS, uma parte contgua da rvore DNS que administrada por um servidor DNS como uma nica entidade separada. A zona contm registros de recursos de todos os nomes cadastrados. Arquivo de zona. Um arquivo que consiste em registros de recursos do banco de dados DNS que definem a zona. Cada servidor de nomes primrio contm um arquivo de zona. Transferncia de zona. O processo de mover o contedo do arquivo de zona localizado em um servidor de nomes primrio para um servidor de nomes secundrio. A transferncia de zona oferece tolerncia falhas, atravs da sincronizao do arquivo de zona de um servidor de nomes primrio com o arquivo de zona de um servidor de nomes secundrio. O servidor de nomes secundrio poder continuar a realizar a resoluo de nomes se o servidor de nomes primrio falhar. A transferncia de zona tambm oferece balanceamento de carga, atravs da diviso da carga da rede entre os servidores de nomes primrios e secundrios, durante perodos de volume intenso de consultas de resoluo de nomes.

Examinando o ambiente atual

Antes de implantar o DNS do Windows Server 2003 no ambiente, voc deve acessar os requisitos atuais a fim de determinar se precisa implantar sua prpria infra-estrutura de DNS ou terceirizar a administrao dele. Alm disso, voc precisa criar um plano de implantao de DNS do Windows Server 2003 que atenda s necessidades atuais e futuras de sua organizao. A figura 4.2 mostra o processo de exame do ambiente atual.

Figura 4.2 Examinando o ambiente atual

Determine o status da Internet

Para oferecer suporte resoluo de nomes alm do escopo do domnio interno, os endereos IP e os nomes de domnio DNS devem ser registrados em uma autoridade de registro da Internet (registrador da Internet). Os registradores da Internet so organizaes responsveis por:

Atribuir endereos IP. Registrar nomes de domnio DNS. Manter registros pblicos dos endereos IP e dos nomes de domnio registrados

Se sua rede est ou ser conectada Internet, voc deve determinar o status de registro de seus endereos IP. Os endereos IP de sua rede sero usados por outros computadores na Internet para localizar recursos nela. Se voc j estiver conectado Internet, sua rede uma sub-rede da rede do seu provedor de servios de Internet. Verifique se seu provedor de servios de Internet registrou os endereos IP dessa sub-rede em um registrador da Internet. Se registrou, voc no precisar registr-los.

Identifique o host de dados do DNS

Determine quem hospedar os dados do DNS. Voc pode hospedar seus prprios dados do DNS internamente ou pode ter um host externo no provedor de servios de Internet. Ao hospedar seus prprios dados, voc tem controle completo da alocao e da segurana dos recursos da rede. Use um provedor de servios de Internet somente se tiver uma pequena rede que no ser rapidamente expandida em um futuro prximo. Se voc decidir hospedar seus prprios dados do DNS, considere a ativao de clientes e servidores DNS para usar os servidores DNS de um provedor de servios de Internet a fim de executar a resoluo de nomes dos hosts externos. Essa configurao pode melhorar a utilizao da largura de banda da rede. Se voc decidir usar um provedor de servios de Internet para hospedar os dados do DNS, certifique-se de que a infra-estrutura de DNS dele pode oferecer suporte implantao, confirmando se o software do servidor DNS dele compatvel com DNS do Windows Server 2003. Se for necessrio o suporte do provedor de servios de Internet a recursos especficos do Windows Server 2003, confirme se a verso do DNS que ele usa oferece suporte a esses recursos. Procure saber qual o software de servidor DNS que seu provedor de servios de Internet est executando e como os recursos e as opes desse software interoperam com o DNS do Windows Server 2003. Solues de software de servidor DNS diferentes fornecem recursos e opes diferentes. Se sua organizao hospeda todos os dados do DNS, voc no precisa considerar a infra-estrutura de DNS do seu provedor de servios de Internet. Lembre-se de que, mesmo que voc esteja hospedando os dados do DNS sem a ajuda do provedor de servios de Internet, ter que optar por ativar clientes e servidores DNS a fim de usar os servidores DNS dele para executar resoluo de nomes dos hosts externos. Nesse caso, voc no precisa informar ao provedor de servios de Internet essa configurao.

Analise a topologia da rede

Analise a topologia da rede existente e identifique as metas de servio e administrativas representadas pelo design dela. Ao planejar o espao para nome DNS, no esquea de considerar as metas de servio e administrativas da organizao. Programe a expanso antecipada do nmero de ns na hierarquia DNS, incluindo espaos reservados para nomes de domnio entre os nomes de domnio que estiver implantando inicialmente. Adicionar espaos reservados para nomes de domnio evita o replanejamento da infra-estrutura do DNS para acomodar nomes de domnio adicionais. Antecipe a possibilidade de alteraes do seu modelo de negcios, atribuindo nomes de domnio que possam ser usados em um contexto modificado. Por exemplo, em vez de usar o nome de domnio contabilidade.contoso.com, voc pode usar financeiro.contoso.com, antecipando a possibilidade de expanso de contabilidade para servios financeiros.

Crie um diagrama da infra-estrutura de DNS existente

Se voc for atualizar para o Windows Server 2003, executar uma nova implantao de DNS ou integrar o DNS do Windows Server 2003 aos servios do Active Directory, no precisa fazer alteraes na infraestrutura de DNS existente. No entanto, se voc for migrar de uma infra-estrutura de DNS de terceiros ou integrar o DNS do Windows Server 2003 a uma infra-estrutura de DNS de terceiros, crie um diagrama da infra-estrutura de DNS existente, incluindo domnios, servidores e clientes. Use esse diagrama para ajud-lo a decidir se h necessidade de fazer alteraes na infra-estrutura de DNS atual ao implantar o DNS do Windows Server 2003.

Identifique as diretivas de segurana

Identifique e documente as diretivas de segurana da organizao, antes de comear a criar e implantar a infra-estrutura de DNS do Windows Server 2003. Dessa maneira, voc pode assegurar o suporte de servidores DNS, zonas e registros de recursos a essas diretivas. O DNS do Windows Server 2003 inclui recursos que permitem implantar uma infra-estrutura de DNS segura.

Criando um espao para nome DNS

Antes de implantar uma infra-estrutura de DNS, voc deve criar um espao para nome DNS. Voc pode criar um espao para nome externo visvel aos usurios e computadores da Internet ou pode criar um espao para nome interno que permita acesso somente aos usurios e computadores que esto no espao para nome interno. A figura 4.3 mostra o processo de criao de um espao para nome DNS.

Figura 4.3 Criando um espao para nome DNS

Identificando as exigncias de espao para nome DNS

A primeira etapa da criao de um espao para nome DNS determinar se voc precisa de um espao para nome novo para a organizao ou se pode manter um espao para nome DNS existente do Windows ou de terceiros.

Se voc for atualizar para o DNS do Windows Server 2003 a partir de uma verso anterior do Windows, talvez precise substituir um sistema de resoluo de nomes existente (ou oferecer suporte a ele), por exemplo, o WINS (Servio de cadastramento na Internet do Windows), pela infra-estrutura de DNS do Windows Server 2003. Voc pode oferecer suporte a uma implantao de WINS existente, configurando os servidores DNS do Windows Server 2003 para consultar servidores WINS como uma configurao de zona DNS. Se voc for migrar ou integrar o DNS do Windows Server 2003 a uma infra-estrutura de DNS de terceiros, no precisar alterar o design do espao para nome usado na infra-estrutura de DNS de terceiros. Se voc for implantar uma nova infra-estrutura de DNS do Windows Server 2003, dever criar uma estratgia de nomenclatura de domnios e computadores do DNS e planejar como esses nomes sero resolvidos na rede e na Internet. Se voc for implantar DNS do Windows Server 2003 para oferecer suporte ao Active Directory, dever integrar a floresta e a nomenclatura de domnio do Active Directory infra-estrutura de DNS. Por exemplo, voc pode modificar o design do espao para nome DNS existente a fim de acomodar os recursos da rede que devem localizar os nomes especficos dos controladores de domnios, das OUs (unidades organizacionais), dos sites e das sub-redes do Active Directory. Observao preciso planejar o espao para nome DNS juntamente com a estrutura lgica do Active Directory. Para obter mais informaes sobre como criar a estrutura lgica do Active Directory, consulte "Criando a estrutura lgica" em Criando e implantando servios de diretrio e de segurana. A tabela 4.1 resume os requisitos de design do espao para nome DNS em cada cenrio possvel. Tabela 4.1 Requisitos de design do espao para nome DNS

Cenrio Voc vai atualizar uma infra-estrutura de DNS existente a partir de uma verso do Windows anterior ao Windows Server 2003. Voc vai atualizar de uma infra-estrutura de DNS de terceiros que usa software de DNS que atende s diretrizes padro de nomenclatura de domnio DNS. O software de DNS que voc tem no est de acordo com as diretrizes padro de nomenclatura de domnio DNS.

Requisitos de design O design do espao para nome DNS pode permanecer o mesmo. O design do espao para nome DNS pode permanecer o mesmo.

Antes de implantar um espao para nome DNS do Windows Server 2003, deixe o design de espao para nome DNS existente em conformidade com as diretrizes de nomenclatura de domnio DNS. Integre o DNS do Windows Server 2003 O software de DNS de terceiros que voc tem est de acordo com as diretrizes padro sua infra-estrutura de DNS atual. Voc no precisa alterar o design do espao para nome de nomenclatura de domnio DNS. da infra-estrutura de DNS de terceiros ou do espao para nome existente. Voc vai implantar uma nova infra-estrutura Crie uma conveno de nomenclatura lgica de DNS do Windows Server 2003. para o espao para nome DNS com base nas diretrizes de nomenclatura de domnio DNS.

Crie um design de espao para nome DNS Voc vai implantar o DNS do Windows Server 2003 para oferecer suporte ao Active com base na conveno de nomenclatura do Active Directory. Directory. Voc vai modificar o espao para nome DNS Certifique-se de que os nomes de domnio do existente a fim de oferecer suporte ao Active Active Directory correspondem aos nomes Directory, mas no deseja reprojetar o espao DNS existentes. Essa correspondncia permite implantar o nvel mais alto de para nome DNS. segurana, usando as tcnicas de gerenciamento mais simples.

Criando domnios internos e externos

As organizaes que exigem uma presena na Internet, bem como um espao para nome interno, devem implantar um espao para nome DNS interno e um externo e gerenciar cada um deles separadamente. Voc pode criar um espao para nome DNS interno e externo misto seguindo um destes trs procedimentos: Tornando o domnio interno um subdomnio do domnio externo. Usando nomes diferentes para os domnios internos e externos. Usando o mesmo nome para os domnios internos e externos e usando um espao para nome particular para a organizao. Esse mtodo no recomendado. Ele cria problemas de resoluo de nomes porque introduz nomes DNS que no so exclusivos.

Selecione a opo de design de configurao que melhor atenda s necessidades da organizao. A tabela 4.2 lista as opes de design para a implantao de um espao para nome interno e externo e o nvel de complexidade de gerenciamento de cada opo, juntamente com um exemplo para ilustrar cada opo. Tabela 4.2 Opes de design misto de espao para nome DNS interno e externo

Complexidade de Exemplo gerenciamento O domnio interno um Essa configurao Uma organizao com um domnio subdomnio do domnio externo. fcil de implantar e de espao para nome externo chamado contoso.com usa o administrar. domnio de espao para nome interno chamado corp.contoso.com. Os nomes de domnio interno e Essa configurao Uma organizao usa contoso01externo no tm relao. um pouco difcil de ext.com como seu nome de domnio do espao para nome externo e implantar e contoso.com como seu nome de administrar. domnio do espao para nome interno. Essa configurao Uma organizao usa o nome de O nome de domnio interno igual ao externo, no entanto, a bastante difcil de domnio contoso.com para o nome organizao possui um espao implantar e de domnio do espao para nome administrar. Essa para nome particular. interno particular e para o nome de opo no domnio do espao para nome

Opo de design

recomendada.

externo pblico.

Usando um subdomnio interno

A melhor opo de configurao de um espao para nome DNS interno e externo misto tornar o domnio interno um subdomnio do domnio externo. Por exemplo, uma organizao que tem um nome de domnio de espao para nome externo de contoso.com pode usar o nome de domnio de espao para nome interno corp.contoso.com. O uso de um domnio interno que um subdomnio de um domnio externo: Permite registrar apenas um nico nome em uma autoridade de nomenclatura da Internet. Garante a exclusividade global de todos os nomes de domnio interno. Simplifica a administrao, permitindo distribuir responsabilidades administrativas pelos domnios internos e externos.

Voc pode usar seu subdomnio interno como pai de outros domnios filho criados a fim de gerenciar divises de sua empresa. Os domnios filho tm nomes DNS imediatamente subordinados ao nome do pai do domnio DNS. Por exemplo, um domnio filho do departamento de Recursos Humanos adicionado ao espao para nome us.corp.contoso.com pode ter o nome de domnio rh.us.corp.contoso.com. Se voc usa essa opo de configurao em seu domnio interno, implante os computadores a serem expostos Internet no domnio externo fora do firewall. Implante os computadores que no sero expostos Internet no domnio interno do subdomnio.

Usando um domnio interno autnomo

Se no for possvel configurar seu domnio interno como um subdomnio do domnio externo, use um domnio interno autnomo. Dessa forma, seus nomes de domnio interno e externo no tero relao. Por exemplo, uma organizao que usa o nome de domnio contoso01-ext.com como espao para nome externo, usa o nome contoso.com como espao para nome interno. A vantagem desse mtodo que ele fornece um nome de domnio interno exclusivo. A desvantagem que essa configurao exige o gerenciamento de dois espaos para nome separados. Alm disso, o uso de um domnio interno autnomo sem relao com o domnio externo pode criar confuso entre os usurios porque os espaos para nome no refletem uma relao entre recursos internos e externos da rede. Alm disso, voc precisa registrar dois nomes DNS em uma autoridade de nomenclatura da Internet.

Usando nomes de domnio interno e externo idnticos

O uso de nome de domnio igual para os espaos para nomes interno e externo no recomendado. Essa configurao causa problemas de resoluo de nomes porque introduz nomes DNS que no so exclusivos. Quando voc usa essa configurao, um computador de seu espao para nome interno pode ter o mesmo nome que um computador do espao para nome da Internet. Qualquer tentativa de resolver esse nome pode, portanto, resultar em erros. Isso aumenta a sobrecarga administrativa que voc tem para antecipar todos as duplicaes de nome possveis. possvel usar um dos mtodos a seguir para permitir o uso do mesmo nome de domnio nos espaos para nomes DNS interno e externo: Se seus clientes puderem transmitir consultas para servidores externos (tais como servidores Web) atravs de um firewall, copie os dados da zona do servidor DNS externo para o interno.

Se seus clientes no puderem transmitir consultas atravs de um firewall, duplique na rede interna todos os dados da zona DNS pblica e todos os servios pblicos (tais como servidores Web) que pertenam organizao. Mantenha uma lista dos servidores pblicos que pertencem organizao no arquivo PAC de cada um de seus clientes DNS.

O mtodo escolhido depende dos recursos de proxy do software cliente. A tabela 4.3 lista os mtodos possveis que voc pode usar para permitir o uso do mesmo nome de domnio nos espaos para nome interno e externo e os recursos de proxy do software cliente possveis em cada mtodo. Tabela 4.3 Mtodos de uso do mesmo nome em espaos para nome interno e externo e recursos de proxy compatveis

Mtodo

Usar nomes de domnio diferentes Copiar os dados da zona do servidor DNS externo para o interno. Duplicar todos os dados da zona DNS pblica e todos os servidores pblicos na rede interna. Manter a lista de servidores pblicos nos arquivos PAC dos clientes DNS.

Lista de nomes LAT Recurso de proxy excludos (tabela de do software endereo Sem proxy local)

Arquivo PAC

Decidindo sobre a implantao de uma raiz DNS interna

Se voc tem uma grande rede distribuda e um espao para nome DNS complexo, melhor usar uma raiz DNS interna que seja isolada das redes pblicas. O uso de uma raiz DNS interna descomplica a administrao do espao para nome DNS, permitindo administrar a infra-estrutura de DNS como se o espao para nome inteiro consistisse em dados DNS de sua rede. Se voc usar uma raiz DNS interna, uma zona raiz DNS particular ser hospedada em um servidor DNS da rede interna. Essa zona raiz DNS particular no exposta Internet. Assim como a zona raiz da Internet contm delegaes para todos os nomes de domnio de nvel superior da Internet, por exemplo, .com, .net e .org, uma zona raiz particular contm delegaes para todos os nomes de domnio de nvel superior da rede. O servidor DNS que hospeda a zona raiz particular considerado autorizado em todos os nomes do espao para nome DNS interno.

O uso de uma raiz DNS interna oferece os seguintes benefcios: Escalabilidade. Uma rede grande com um espao para nome DNS interno hospedada em vrios servidores DNS facilmente escalonvel. Se sua rede est espalhada por vrios locais, uma raiz DNS interna o melhor mtodo de administrao de toda a atividade de DNS da rede distribuda. Resoluo de nomes eficiente. Com uma raiz DNS interna, os clientes e servidores DNS da rede no entram em contato com a Internet para resolver nomes internos. Dessa forma, os dados DNS da rede no so transmitidos pela Internet. Voc pode ativar a resoluo de nomes de qualquer nome em outro espao para nome, adicionando uma delegao de sua zona raiz. Por exemplo, se seus computadores precisam de acesso a recursos de uma organizao parceira, voc pode adicionar uma delegao de sua zona raiz ao nvel superior do espao para nome DNS da organizao parceira. Eliminao de encaminhadores. O uso de uma raiz DNS interna elimina a necessidade de encaminhadores porque a resoluo de nomes executada internamente. Os servidores DNS de um espao para nome DNS interno so configurados com dicas de raiz que apontam para os servidores raiz DNS internos. Importante No repita nomes externos no espao para nome interno. Se voc repetir nomes Internet DNS em sua intranet, isso poder resultar em erros de resoluo de nomes. Se os computadores de sua rede no precisam acessar recursos externos ao espao para nome DNS, implante e mantenha uma raiz DNS interna. Se seus computadores no precisam acessar recursos externos ao espao para nome DNS, talvez voc no consiga usar uma raiz interna para resoluo de nomes, dependendo dos recursos de proxy do computador na rede. Se for necessria a resoluo de nomes em computadores que no oferecem suporte a proxy de software ou em computadores que oferecem suporte somente a LATs, voc no poder usar uma raiz interna no espao para nome DNS. Nesse caso, ser preciso configurar um ou mais servidores DNS internos para encaminhar para a Internet consultas que no possam ser resolvidas localmente. A tabela 4.4 lista os tipos de recursos de proxy do cliente e se voc pode usar uma raiz DNS interna para cada tipo. Tabela 4.4 Recursos de proxy do cliente

Recurso de proxy Software Microsoft com recursos de proxy correspondentes Sem proxy LAT (tabela de endereo local) Telnet genrico Winsock Proxy (WSP) 1.x e posterior Internet Security and Acceleration (ISA) Server 2000 e posterior WSP 1.x e posterior Internet Security and Acceleration (ISA) Server 2000 e posterior e todas as verses do Microsoft Internet Explorer WSP 2.x

Encaminha consultas

Voc pode usar uma raiz interna?

Lista de nomes excludos

Arquivo PAC

Internet Security and Acceleration (ISA) Server 2000 e posterior. Internet Explorer 3.01 e posterior

Configurando a resoluo de nomes em vrios domnios de nvel superior

Para criar ou mesclar dois espaos para nome DNS ao implantar DNS do Windows Server 2003, resultando em uma infra-estrutura de DNS que inclua dois ou mais nomes de domnio DNS de nvel superior, voc deve certificar-se de que sua resoluo de nomes interna opera corretamente. Para configurar a resoluo de nomes em vrios domnios DNS de nvel superior, preciso executar um destes procedimentos: Se voc tem uma raiz DNS interna, adicione delegaes de cada zona DNS de nvel superior zona raiz DNS interna. Configure os servidores DNS que hospedam as zonas DNS de nvel superior em um espao para nome a fim de encaminhar as consultas de resoluo de nomes de um segundo espao para nome para os servidores DNS que esto hospedando as zonas DNS de nvel superior do segundo espao para nome. Em seguida, configure os servidores DNS que hospedam as zonas DNS de nvel superior no segundo espao para nome a fim de encaminhar as consultas de resoluo de nomes do primeiro espao para nome para os servidores DNS que esto hospedando as zonas DNS de nvel superior do primeiro espao para nome. Voc pode usar os encaminhadores condicionais de DNS do Windows Server 2003 para essa configurao. Configure os servidores DNS que hospedam as zonas DNS de nvel superior nos espaos para nome primeiro e segundo para hospedar zonas secundrias delas em cada um dos outros espaos para nome. Nessa configurao, os servidores DNS que hospedam as zonas de nvel superior em cada espao para nome esto cientes dos servidores DNS do outro espao para nome. Essa soluo requer espao de armazenamento maior para hospedagem de cpias secundrias das zonas de nvel superior em espaos para nome diferentes e gera maior trfego de transferncia de zona.

Voc pode usar as zonas de stub do DNS do Windows Server 2003 para facilitar a distribuio de dados DNS entre espaos para nome diferentes. No entanto, o uso de zonas de stub menos eficiente que o uso de encaminhadores condicionais do Windows Server 2003. Para obter mais informaes sobre encaminhadores condicionais e zonas de stub, consulte o Centro de ajuda e suporte do Windows Server 2003 e "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).

Integrando uma infra-estrutura DNS do Windows Server 2003 ao espao para nome DNS existente
O DNS do Windows Server 2003 est de acordo com os padres e interopera com outras implementaes de DNS, incluindo Windows NT 4.0, BIND 9.1.0, BIND 8.2, BIND 8.1.2 e BIND 4.9.7. A complexidade do processo de integrao depende, em parte, dos recursos DNS aos quais preciso oferecer suporte. Se os computadores da infra-estrutura de DNS estiverem executando verses do DNS que oferecem suporte aos mesmos recursos, ento a integrao da infra-estrutura de DNS do Windows Server 2003 ser um processo simples. Porm, se estiverem executando verses do DNS que no oferecem suporte aos mesmos recursos, o processo de integrao ser mais complexo. A tabela 4.5 compara o suporte a recursos no DNS do Windows Server 2003 com outras implementaes.

Tabela 4.5 Suporte a recursos em outras implementaes do DNS

Recurso

Oferece suporte ao Internet-Draft (trabalho em andamento) "A DNS RR for specifying the location of services (DNS SRV)" da IETF. (Registros do servidor) Atualizao dinmica Atualizao dinmica segura com base no algoritmo TSIG. Registros WINS e WINS-R Transferncia rpida de zona Transferncia de zona incremental Codificao de caracteres UTF-8 Snap-in de DNS do MMC Dnscmd.exe Zonas integradas ao Active Directory Armazenamento de zonas na partio de aplicativo do Active Directory Durao e eliminao de registros obsoletos Zonas de stub Encaminhamento condicional Mecanismos de extenso do DNS (EDNS0)

Windows Windows Windows BIND BIND 2000 NT 4.0 9 8.2 Server 2003

BIND BIND 8.1.2 4.9.7

Criando subdomnios
Se voc pretende implantar DNS em uma grande rede corporativa ou se a expectativa de expanso da rede inclui sub-redes e sites adicionais, precisa distribuir o gerenciamento das partes do espao para nome DNS entre os administradores de sub-redes e sites diferentes da rede. Para distribuir o gerenciamento do espao para nome DNS, crie subdomnios do domnio DNS inicial e delegue a autoridade desses subdomnios para servidores DNS localizados em sub-redes ou sites diferentes. Dessa maneira, voc pode criar qualquer quantidade de entidades diferentes e autnomas em um espao para nome DNS, sendo que cada uma delas est autorizada em uma parte do espao para nome geral. Criar subdomnios do domnio DNS interno permite o seguinte: Distribuio da administrao da rede. Os subdomnios permitem a distribuio e o gerenciamento dos recursos da rede em grupos administrativos ou departamentos. Voc pode implantar subdomnios DNS que reflitam os departamentos administrativos existentes em sua empresa, criando um subdomnio diferente para cada segmento da rede. Balanceamento de carga de rede. Distribuindo a carga da rede por vrios subdomnios, voc pode aumentar a eficincia e o desempenho do espao para nome DNS.

Se houver entidades da organizao que no momento gerenciam os prprios recursos de rede, determine se elas precisam ter autoridade sobre a parte delas do espao para nome DNS. Se precisarem, delegue a autoridade para esse domnio filho.

Criando nomes de domnio e de computador DNS

Antes de implantar a infra-estrutura de DNS do Windows Server 2003, preciso criar uma conveno de nomenclatura para os domnios DNS interno e da Internet e os computadores DNS da rede. Para criar uma conveno de nomenclatura, voc deve estabelecer o seguinte: Um nome de domnio Internet DNS, caso sua organizao esteja conectado Internet. Um nome de domnio DNS interno para a sua organizao. Uma conveno de nomenclatura para computador DNS.

Alm disso, voc deve determinar se precisa oferecer suporte aos nomes NetBIOS em sua organizao.

Criando um nome de domnio Internet DNS

Se voc vai implantar uma nova infra-estrutura de DNS do Windows Server 2003 conectada Internet, deve criar um nome de domnio Internet DNS para a organizao. Como todos os ns da rede que exigem resoluo de nomes esto atribudos a um nome DNS que inclui o nome de domnio Internet DNS de sua organizao, importante selecionar um nome de domnio Internet DNS que seja curto e fcil de lembrar. Como o DNS hierrquico, os nomes de domnio DNS expandem-se medida que os subdomnios so adicionados organizao. Nomes de domnio curtos resultam em nomes de computador fceis de lembrar, o que facilita o acesso aos recursos. Um espao para nome DNS conectado Internet deve ser um subdomnio de um domnio de nvel superior ou de segundo nvel do espao para nome Internet DNS. Se voc vai implantar um novo espao para nome DNS do Windows Server 2003, deve selecionar um domnio Internet DNS de nvel superior para registrar seu nome de domnio Internet DNS. Por exemplo, voc pode registrar seu domnio como um subdomnio de .com, .org ou .net ou como um subdomnio do nome de domnio atribudo ao pas/ regio, por exemplo, .au (Austrlia), .fr (Frana) ou .ca (Canad).

Depois de selecionar o nome de domnio Internet DNS e identificar o domnio de nvel superior do qual o domnio DNS um subdomnio, execute as etapas a seguir para registrar o nome de domnio DNS: 1. Faa uma pesquisa na Internet para confirmar se o nome de domnio DNS selecionado para sua organizao no est registrado para outra organizao. Se o nome de domnio selecionado pertencer a outra organizao, voc poder tentar compr-lo dela ou selecionar um nome de domnio DNS diferente. Configure pelos menos um servidor DNS autorizado para hospedar a zona DNS de seu nome de domnio. O servidor DNS deve estar localizado na sua rede ou na rede do provedor de servios de Internet.

2.

Registre o nome de domnio DNS em um registrador da Internet (www.registro.br) e fornea a ele um nome de domnio e um endereo IP de pelo menos um servidor DNS autorizado para o nome de domnio DNS. necessrio ainda informar um servidor DNS secundrio (slave), podendo ser utilizado o mesmo endereo IP, desde que de um domnio diferente. O processo de registro de nome de domnio da Internet varia de acordo com o design do espao para nome DNS. A tabela 4.6 lista os nomes de domnio que voc precisa registrar para cada tipo de design de espao para nome DNS. Tabela 4.6 Registro de nome de domnio Internet DNS

Registro do nome Exemplo de domnio O nome de domnio contoso.com Registrar apenas o O nome de domnio interno usado no espao para nome externo. nome de domnio um subdomnio do domnio externo. externo. O nome de domnio corp.contoso.com usado no espao para nome interno. Os nomes de domnio interno e Registrar os nomes O nome de domnio contoso01externo no tm relao. de domnio interno e ext.com usado no espao para nome externo. externo. O nome de domnio contoso.com usado no espao para nome interno. Registrar o nome de O nome de domnio contoso.com usado nos espaos para nome domnio interno e externo. interno/externo.

Design do espao para nome

O nome de domnio interno igual ao externo, no entanto, a organizao possui um espao para nome particular.

Ao registrar o nome de domnio DNS, o registrador da Internet cria uma delegao na zona DNS que tem autoridade sobre o domnio de nvel superior selecionado. Esse o domnio de nvel superior dos servidores DNS autorizados para o nome de domnio Internet DNS da organizao. Observao Se um nome de domnio a ser registrado no estiver disponvel em um domnio de nvel superior, por exemplo, .com. no registre o mesmo nome de domnio em outro domnio de nvel superior, por exemplo, .net. As pessoas que esto pesquisando o seu nome de domnio podem assumir computadores e servios do domnio de nvel superior errado como pertencentes sua empresa.

Criando nomes de domnio DNS interno

Ao criar nomes de domnios interno, use as seguintes diretrizes: Se a sua organizao tem uma presena na Internet, use nomes relativos ao nome de domnio Internet DNS registrado. Por exemplo, se voc registrou o nome de domnio Internet DNS contoso.com para sua organizao, use um nome de domnio DNS como corp.contoso.com para o nome de domnio da intranet. Para evitar problemas de resoluo de nomes, no use como nome de domnio o nome de uma entidade corporativa externa ou de um produto. No use na intranet nomes de domnio da Internet de nvel superior, tais como .com, .net, .org, .us, .fr e .gr. O uso de nomes de domnio da Internet de nvel superior em nomes de domnio da intranet pode resultar em erros de resoluo de nomes nos computadores da rede conectados Internet. No use acrnimos nem abreviaes nos nomes de domnio. As unidades de negcios que esses acrnimos representam podem dificultar o reconhecimento pelos usurios. No use nomes de unidade ou diviso de negcios nos nomes de domnio. As unidades de negcios e outras divises mudam periodicamente e os nomes de domnio podem tornar-se obsoletos ou errados. No use nomes geogrficos que sejam difceis de escrever e lembrar. Evite estender a hierarquia de nomes de domnio DNS por mais que cinco nveis a partir do domnio raiz interno ou da Internet. Limitar a extenso da hierarquia de nomes de domnio reduz os custos administrativos.

Se voc vai implantar DNS em uma rede particular e no planeja criar uma espao para nome externo, recomendado registrar o nome de domnio DNS criado para o domnio interno. Se voc no registrar o nome e depois tentar us-lo na Internet ou conectar-se a uma rede que esteja conectada Internet, talvez descubra que o nome no est disponvel.

Criando nomes de computador DNS

importante desenvolver uma conveno de nomenclatura de computador DNS prtica para a rede. Assim, os usurios conseguem lembrar os nomes dos computadores das redes pblicas e particulares facilmente e isso facilita o acesso aos recursos da rede. O processo de criao de nome de computador DNS varia de acordo com a ao: criao de uma nova infraestrutura de DNS, integrao da infra-estrutura de DNS a uma infra-estrutura de terceiros existente ou atualizao de uma infra-estrutura de DNS existente.

Criando nomes de computador em uma nova infraestrutura de DNS do Windows Server 2003
Use as diretrizes a seguir para criar nomes de computadores DNS na nova infra-estrutura de DNS do Windows Server 2003: Selecione nomes de computador que sejam fceis para os usurios lembrarem. Identifique o proprietrio de um computador no nome dele. Por exemplo, jose-oliveira-1 indica que Jos Oliveira usa o computador. Selecione nomes que descrevam a finalidade do computador. Por exemplo, um servidor de arquivos chamado contas-anteriores-1 indica que o servidor de arquivos armazena informaes relacionadas a contas anteriores.

No use diferenciao entre letras maisculas e minsculas para representar o proprietrio ou a finalidade de um computador. O DNS no faz essa diferenciao. Use o nome de domnio do Active Directory no sufixo DNS primrio do nome do computador. Se um computador no fizer parte de um domnio, use um nome de domnio da Internet registrado ou um derivado de um nome registrado no sufixo DNS primrio. Use nomes exclusivos para todos os computadores da organizao. No atribua o mesmo nome a computadores diferentes em domnios DNS diferentes. Use caracteres ASCII para garantir a interoperabilidade com computadores que executam verses do Windows anteriores ao Windows 2000. Nos nomes de computador DNS, use somente caracteres listados na RFC 1123, "Requirements for Internet Hosts - Application and Support", que inclui A-Z, a-z, 0-9 e o hfen (-). O DNS do Windows Server 2003 oferece suporte a quase todos os caracteres UTF-8 de um nome. No entanto, no use caracteres ASCII ou UTF-8 estendidos, a menos que todos os servidores DNS do seu ambiente ofeream suporte a eles.

Criando nomes de computador em uma infra-estrutura de DNS integrada

Se voc vai criar DNS do Windows Server 2003 com uma infra-estrutura de DNS de terceiros existente, no precisa fazer alteraes nos nomes de host DNS de terceiros. Se voc vai migrar para o DNS do Windows Server 2003 a partir de uma infra-estrutura de DNS de terceiros, deve certificar-se de que a maioria dos nomes de host usados na infra-estrutura de DNS de terceiros esto de acordo com os padres de nomenclatura da Internet DNS. Se voc vai integrar ou migrar uma infra-estrutura de DNS pblica conectada Internet infra-estrutura de DNS existente, no precisa fazer alteraes nos nomes de domnio DNS de sua infra-estrutura.

Criando nomes de computador ao atualizar uma infraestrutura de DNS

Se voc vai atualizar para o DNS do Windows Server 2003 a partir do Windows NT 4.0, no precisa alterar nomes de host DNS. No entanto, voc precisa converter qualquer nome NetBIOS em nomes DNS. Ambos os tipos de nome devem estar de acordo com o padro de DNS da RFC 1123, "Requirements for Internet Hosts Application and Support". Isso inclui todas as letras maisculas (A-Z), letras minsculas (a-z), nmeros (0-9) e o hfen (-). A tabela 4.7 lista os diferentes conjuntos de caracteres que tm suporte do DNS padro, do DNS do Windows Server 2003 e do NetBIOS. Tabela 4.7 Restries de conjunto de caracteres

Restrio do DNS padro (incluindo Windows NT 4.0) conjunto de caracteres Caracteres Suporte RFC 1123, a permitidos qual permite "A" a "Z", "a" a "z", "0" a "9" e o hfen (-).

NetBIOS DNS no Windows 2000 e no Windows Server 2003 Suporte RFC 1123 e a No permitido: UTF-8. Voc pode caracteres Unicode, configurar o servidor nmeros, espao em DNS do Windows 2000 branco e os smbolos: / para permitir ou limitar o \ [ ] : | < > + = ; , ? e *)

uso de caracteres UTF-8 no servidor Windows 2000. Voc pode fazer isso por servidor. 15 bytes. 63 octetos por rtulo. 255 O mesmo que o DNS Tamanho padro com a adio do bytes por FQDN (254 mximo do nome do host bytes para o FQDN mais suporte a UTF-8. A contagem de caracteres e do FQDN. um byte para o ponto no suficiente para final). determinar o tamanho porque alguns caracteres UTF-8 excedem um octeto. Os controladores de domnio esto limitados a 155 bytes para um FQDN.
Importante Nomes codificados no formato UTF-8 no devem exceder os limites definidos na RFC 2181, "Clarifications to the DNS Specification", a qual especifica um mximo de 63 octetos por rtulo e 255 octetos por nome. A contagem de caracteres no suficiente para determinar o tamanho porque alguns caracteres UTF-8 excedem um octeto.

Determinando a necessidade de oferecer suporte a nomes NetBIOS

Ao atualizar o domnio para Windows Server 2003, talvez voc precise oferecer suporte a NetBIOS na rede, caso seu domnio inclua clientes que executam verses do Windows anteriores ao Windows 2000. Por exemplo, se sua rede tiver vrios segmentos, ser preciso ter o WINS para criar a lista de controle do NetBIOS. Sem o WINS, a rede contar com o Active Directory para recursos de controle. Isso pode ter um impacto significativo sobre os clientes que executam verses do Windows anteriores ao Windows 2000. O DNS do Windows Server 2003 compatvel com WINS, portanto, em um ambiente de rede misto, voc pode usar uma combinao de DNS e WINS. Essa combinao permite aprimorar a capacidade da rede de localizar recursos e servios. Os clientes baseados no Windows NT 4.0 podem registrar-se no WINS do Windows 2000 e no WINS do Windows Server 2003. Alm disso, os computadores executando o Windows 2000 Professional ou o Windows XP Professional podem registrar-se no WINS do Windows NT 4.0. Para manter a compatibilidade com verses anteriores, cada computador recebe um nome NetBIOS que deve ser exclusivo no domnio ao qual pertence. A preservao de nomes NetBIOS existentes pode ser difcil porque eles possuem um conjunto de caracteres maior que o dos nomes DNS. Uma soluo substituir nomes NetBIOS por nomes DNS para garantir a compatibilidade dos nomes com os padres de nomenclatura de DNS existentes. Esse um processo demorado e no possvel para organizaes que oferecem suporte a computadores que executam verses do Windows anteriores ao Windows 2000. A RFC 2181, "Clarifications to the DNS Specification", expande o conjunto de caracteres permitido nos nomes DNS a fim de incluir qualquer seqncia binria. As seqncias binrias no precisam ser interpretadas como ASCII. O Windows 2000 e o Windows Server 2003 oferecem suporte a codificao de caracteres UTF-8 (RFC 2044). O UTF-8 um superconjunto do ASCII e uma converso da codificao de

caracteres UCS-2 (ou Unicode). O conjunto de caracteres UTF-8 permite fazer a transio de nomes NetBIOS do Windows NT 4.0 para nomes DNS do Windows 2000 e do Windows Server 2003. Por padro, a verificao de nomes UTF-8 multibyte usada. Ela oferece a melhor tolerncia durante o processamento de caracteres pelo servio DNS. o mtodo de verificao de nomes preferencial para a maioria dos servidores DNS operados de forma particular que no estejam fornecendo servio de nome para hosts da Internet. Importante O DNS do Windows Server 2003 e do Windows 2000 oferece suporte a caracteres NetBIOS e UTF-8 em nomes de computador. Outras verses do DNS oferecem suporte apenas aos caracteres permitidos na RFC 1123. Portanto, use conjuntos de caracteres NetBIOS e UTF-8 somente quando tiver certeza de que o DNS do Windows Server 2003 ou do Windows 2000 o mtodo usado para resoluo de nomes. Nomes que sero exibidos na Internet devem conter apenas caracteres ASCII, conforme recomenda a RFC 1123.

Exemplo: mesclando espaos para nome DNS

A Contoso Corporation fundiu-se com a Acquired Corporation. Antes da fuso, cada empresa usava domnios internos que eram subdomnios dos domnios externos. A Contoso Corporation usou uma raiz particular para simplificar a administrao de seu servidor DNS. A Acquired Corporation encaminhou consultas para a Internet, em vez de usar uma raiz particular, porque no queria criar e gerenciar listas de excluso ou arquivos PAC. O espao para nome externo da empresa que acabou de passar por uma fuso contm as zonas contoso.com e acquired01-ext.com. Cada zona do espao para nome externo contm os registros de recursos do DNS que as empresas desejam expor na Internet. O espao para nome interno contm as zonas internas, corp.contoso.com e corp.acquired01-ext.com. As divises Contoso e Acquired usam mtodos diferentes para oferecer suporte resoluo de nomes do espao para nome. A diviso Contoso usa o nome contoso.com externamente e corp.contoso.com internamente. Os servidores raiz internos hospedam a zona raiz. Os servidores internos tambm hospedam a zona, corp.contoso.com. O nome contoso.com foi registrado em uma autoridade de nomenclatura da Internet. Para certificar-se de que cada cliente da organizao pode resolver todos os nomes da organizao que acabou de passar por uma fuso, a zona raiz particular contm uma delegao para a zona do nvel superior do espao para nome interno da organizao que se fundiu, corp.acquired01-ext.com. Todos os computadores da diviso Contoso oferecem suporte s listas de excluso ou aos PACs. Para resolver nomes internos e externos, cada cliente DNS deve enviar todas as consultas aos servidores DNS internos ou a um servidor proxy, com base em uma lista de excluso ou em um arquivo PAC. A figura 4.4 mostra essa configurao.

Figura 4.4 Resoluo de nomes na diviso Contoso Com base nessa configurao, os clientes internos podem consultar nomes, executando os seguintes procedimentos: Consultar nomes internos nos servidores DNS internos. Os servidores DNS internos resolvem a consulta. Se um servidor DNS que recebe uma consulta no contm os dados solicitados em suas zonas ou cache, ele executa resoluo de nomes recursiva, contatando os servidores DNS raiz internos. Consultar nomes da Internet em um servidor proxy. O servidor proxy encaminha a consulta para os servidores DNS da Internet. Os servidores DNS da Internet resolvem a consulta. Consultar nomes do espao para nome externo da diviso Contoso em um servidor proxy. O servidor proxy encaminha a consulta para os servidores DNS da Internet. Os servidores DNS da Internet resolvem a consulta. Consultar nomes da diviso Acquired nos servidores DNS internos. Como os servidores raiz contm uma delegao para o nvel superior do espao para nome DNS da diviso Acquired, os servidores DNS internos resolvem recursivamente a consulta, contatando os servidores DNS da diviso Acquired.

Clientes externos: No possvel consultar nomes internos. Essa limitao ajuda a proteger a rede interna.

Consultar nomes do espao para nome externo da diviso Contoso nos servidores DNS da Internet. Os servidores DNS da Internet resolvem a consulta.

A diviso Acquired usa o nome acquired01-ext.com externamente e o nome corp.acquired01-ext.com internamente. O servidor DNSInterno.corp.acquired01-ext.com hospeda a zona corp.acquired01-ext.com. A diviso Acquired no possui uma raiz particular. Para simplificar o gerenciamento de clientes e servidores DNS, os administradores da diviso Acquired decidem usar encaminhamento condicional. Os administradores configuram o servidor DNS DNSInterno.corp.acquired01-ext.com para encaminhar consultas da seguinte maneira: O servidor encaminha todas as consultas destinadas diviso Contoso para um servidor DNS dela. Por exemplo, o servidor encaminha consultas destinadas a corp.contoso.com para DNSInterno.corp.contoso.com. Ao mesmo tempo, o servidor encaminha todas as outras consultas destinadas a contoso.com para um servidor DNS da Internet.

A figura 4.5 mostra essa configurao.

Figura 4.5 Encaminhamento condicional na diviso Acquired

Criando servidores DNS

Os servidores DNS armazenam informaes sobre o espao para nome DNS e usam as informaes para responder consultas de clientes DNS. Onde voc deseja armazenar informaes sobre sua parte do espao

para nome DNS, quantos clientes DNS tem e onde esses clientes esto fisicamente localizados, todas essas informaes causam impacto na topologia de servidor DNS. Planejar o design dos servidores DNS permite criar uma distribuio de dados DNS efetiva e atualizar a topologia, bem como minimizar a distribuio e atualizar o trfego da rede. A figura 4.6 mostra o processo de criao de servidores DNS.

Figura 4.6 Criando servidores DNS

Alocando recursos de hardware

Ao alocar recursos de hardware para seus servidores DNS, lembre-se de que as recomendaes bsicas para hardware de servidor incluem: Computadores com um processador com CPUs Pentium II de 400 MHz ou superior. 256 MB de RAM em cada processador. Discos rgidos de 4 GB.

Usar CPUs mais rpidas, mais RAM e discos rgidos maiores melhora a escalabilidade e o desempenho dos servidores DNS. Lembre-se de que os servidores DNS usam aproximadamente 100 bytes de RAM para cada registro de recursos. Voc pode usar computadores com dois processadores para aprimorar o desempenho dos servidores DNS, atribuindo o servio Servidor DNS ao primeiro processador e os processos de banco de dados, tais como transferncias de zona, ao segundo processador.

Determinando o nmero de servidores DNS necessrios

Para reduzir a sobrecarga administrativa, use o mnimo necessrio de servidores DNS. No esquea de tornar pelo menos dois servidores DNS autorizados em cada zona para ativar a tolerncia a falhas e o compartilhamento de carga. Adicione outros servidores DNS para: Fornecer redundncia, caso seu design de espao para nome precise de maior disponibilidade do DNS. Melhorar o tempo de resposta da consulta, caso haja necessidade de melhor desempenho do DNS. Reduzir o trfego da WAN em locais remotos.

Use as diretrizes a seguir para determinar o nmero de servidores DNS que precisam ser implantados: Se voc tiver um grande nmero de clientes, adicione outros servidores DNS para hospedar zonas secundrios ou integradas ao Active Directory. Use o nmero antecipado de consultas e atualizaes dinmicas por segundo para determinar o nmero de servidores DNS necessrios. O servio Servidor DNS do Windows Server 2003 pode responder a mais de 10.000 consultas por segundo em um microprocessador Pentium III de 700 MHz.

Para obter informaes sobre o planejamento de capacidade, consulte "Alocando recursos de hardware", anteriormente, neste captulo. Se for delegar zonas, adicione outros servidores DNS para cuidar das zonas delegadas. Lembre-se de que voc no precisa delegar zonas quando tem vrias delas. Voc pode hospedar todas as zonas no mesmo servidor ou servidores. Um servidor DNS do Windows Server 2003 pode hospedar 200.000 zonas contendo 6 registros de recursos. Se voc planeja hospedar zonas integradas ao Active Directory, deve coloc-las nos servidores DNS. Se voc no usar zonas integradas ao Active Directory, as transferncias de zona e o trfego de consultas ao DNS podero sobrecarregar os links lentos. Se o trfego de volume intenso for uma considerao em seu ambiente, adicione outros servidores DNS para fornecer balanceamento de carga. Embora o DNS seja criado para ajudar a reduzir o trfego de difuso entre sub-redes locais, ele no cria trfego entre servidores e clientes que devem ser examinados, especialmente em

complexos ambientes roteados. Alm disso, embora o servio DNS oferea suporte a IXFRs (transferncias de zona incrementais) e clientes e servidores possam armazenar em cache os nomes usados recentemente, as consideraes relacionadas a trfego s vezes continuam sendo um problema. Isso ocorre especialmente com pequenas concesses de DHCP, as quais exigem atualizaes dinmicas mais freqentes. Se voc tem uma LAN roteada com links confiveis e de alta velocidade, um servidor DNS pode ser o suficiente para uma rea de rede maior que inclua vrias sub-redes. Se voc tem um nmero alto de ns de cliente em uma nica sub-rede, colocar mais que um servidor DNS na sub-rede permite backup e failover, caso o DNS preferencial pare de responder.

Se o seu design de DNS inclui zonas primrias e secundrias e voc executa um grande nmero de servidores secundrios em uma zona, o servidor de nomenclatura mestre primrio pode ficar sobrecarregado durante a monitorao feita pelos servidores secundrios para verificar se os dados da zona deles esto atualizados. possvel resolver esses problemas executando um destes trs procedimentos: Use alguns dos servidores secundrios como servidores mestre da zona. Outros servidores secundrios podem monitorar e solicitar atualizaes de zona a partir desses servidores mestre. Aumente o intervalo de atualizao para que os servidores secundrios monitorem com menos freqncia. Lembre-se, no entanto, de que um intervalo de atualizao mais longo faz com que as zonas secundrias fiquem desatualizadas com mais freqncia. Crie servidores DNS somente de cache. Os locais remotos podem beneficiar-se de um servidor DNS local somente de cache, alm dos servidores DNS que voc adicionou para garantir a disponibilidade.

Determinando o posicionamento do servidor DNS

O posicionamento dos servidores DNS e a quantidade que pode ser implantada afeta a disponibilidade, a segurana e o desempenho do DNS. importante no esquecer de planejar o posicionamento dos servidores DNS para permitir disponibilidade do DNS e do Active Directory.

Posicionando servidores DNS para obter disponibilidade

Para garantir a disponibilidade contnua do DNS, certifique-se de que sua infra-estrutura de DNS no inclui pontos de falha nicos. Para melhorar a tolerncia a falhas e o balanceamento de carga, crie pelo menos dois servidores DNS autorizados em cada zona, executando um destes procedimentos: Se voc tem uma LAN, coloque os dois servidores DNS em sub-redes diferentes. Se voc tem uma WAN, coloque os dois servidores DNS autorizados de cada zona em redes diferentes.

Certifique-se de que pelo menos um servidor DNS est disponvel em cada rede. Essa precauo remove roteadores como um ponto de falha. Sempre que possvel, distribua os servidores DNS por diferentes localizaes geogrficas. Essa distribuio permita que as comunicaes continuem em caso de um desastre natural. Se voc identificar pontos de falha nicos na rede, determine se eles afetam somente o DNS ou todos os servios da rede. Se um roteador for desativado e seus clientes no puderem acessar servios da rede, ento a falha do DNS no ser um problema. Se um roteador for desativado e os servidores DNS no estiverem disponveis, mas outros servios da rede estiverem, seus clientes no podero acessar os recursos da rede necessrios porque no conseguiro pesquisar nomes DNS.

Se voc tiver uma presena na Internet, o DNS dever estar funcionando corretamente para que os clientes acessem seus servidores Web, enviem email e localizem outros servios. Portanto, recomenda-se a execuo de um servidor DNS secundrio off-site. Se voc tiver uma relao comercial com uma organizao na Internet, parceiros comerciais ou provedores de servios de Internet, talvez eles concordem em executar um servidor secundrio para voc. No entanto, certifique-se de que os dados no servidor da organizao esto protegidos contra invasores da Internet. Para garantir a disponibilidade do DNS, caso seus servidores DNS primrios off-site estejam desativados, considere a implantao de um servidor DNS secundrio off-site. Essa medida de precauo recomendada mesmo que voc no tenha uma presena na Internet.

Posicionando servidores DNS para obter disponibilidade do Active Directory

A disponibilidade do DNS causa impacto direto na disponibilidade do Active Directory. Os clientes contam com o DNS para localizar controladores de domnio e esses, por sua vez, contam com o DNS para localizar outros controladores de domnio. Por essa razo, talvez seja necessrio ajustar a quantidade e o posicionamento de seus servidores DNS a fim de atender s necessidades dos clientes e dos controladores de domnio do Active Directory. melhor colocar pelo menos um servidor DNS em cada site. Certifique-se de que os servidores DNS do site esto autorizados nos registros de localizador dos domnios do site para que os clientes no precisem consultar servidores DNS off-site para localizar controladores de domnio que esto em um site. Os controladores de domnio verificam periodicamente se as entradas de cada registro de localizador esto corretas. Observao Voc pode executar o servio Servidor DNS do Windows Server 2003 em um ou mais controladores de domnio de cada site e, em seguida, adicionar zonas integradas ao Active Directory do nome de zona que corresponde ao domnio do Active Directory. Essa uma configurao simples que atende a todas as exigncias. Geralmente, o trfego de replicao extra criado pelo adio do DNS a um controlador de domnio mnimo.

Usando encaminhamento
Se um servidor DNS estiver configurado corretamente, mas no puder resolver uma consulta usando seu cache ou suas zonas, ele encaminhar uma consulta para outro servidor, chamado de encaminhador. Os encaminhadores so servidores DNS comuns e no precisam de configurao especial. Um servidor DNS chamado de encaminhador porque o destinatrio de uma consulta encaminhada para outro servidor DNS. til usar encaminhamento para trfego off-site ou da Internet. Por exemplo, o servidor DNS de uma filial pode encaminhar todo o trfego off-site para um encaminhador na matriz da empresa e um servidor DNS interno pode encaminhar todo o trfego da Internet para um encaminhador na Internet. Para garantir a disponibilidade, uma boa idia encaminhar consultas para mais de um encaminhador. Use encaminhadores em cadeia para limitar o nmero de servidores que devem enviar consultas off-site. Por exemplo, seus servidores DNS internos podem encaminhar todas as consultas para um ou dois encaminhadores que, sucessivamente, encaminham consultas para um servidor na Internet. Dessa forma, os servidores DNS internos no precisam consultar a Internet diretamente. Dependendo dos padres de trfego, o uso de encaminhadores pode minimizar o volume de trfego off-site na organizao.

Os encaminhadores fornecem tambm segurana adicional da rede, minimizando a lista de servidores DNS que podem comunicar-se por um firewall. Voc pode usar o encaminhamento condicional para controlar o processo de resoluo de nomes em um nvel mais granular. O encaminhamento condicional permite atribuir domnios especficos aos encaminhadores. Voc pode usar encaminhamento condicional para resolver o seguinte: Consultas de nomes em domnios internos off-site. Consultas de nomes em outros espaos para nome.

Usando encaminhamento condicional para consultar nomes em domnios internos off-site

Use o encaminhamento condicional para permitir que os servidores consultem nomes nos domnios internos off-site a fim de eliminar o trfego desnecessrio das consultas na WAN. No DNS do Windows Server 2003, os servidores no raiz (que no possuam a zona raiz, ou ".") resolvem nomes para os quais no esto autorizados, no possuem uma delegao e no contm cache, executando um destes procedimentos: Consultando um servidor raiz. Encaminhando consultas para um encaminhador.

Isso gera trfego adicional na rede. Por exemplo, um servidor no raiz no Site A est configurado para encaminhar consultas para um encaminhador no Site B e ele deve resolver um nome em uma zona hospedada pelo servidor no Site C. Como o servidor no raiz pode encaminhar consultas somente para o Site B, ele no pode consultar diretamente o servidor no Site C. Em vez disso, ele encaminha a consulta para o encaminhador no Site B e o encaminhador consulta o servidor no Site C. Ao usar encaminhamento condicional, voc pode configurar os servidores DNS para encaminhar consultas para servidores diferentes, com base no nome de domnio especificado na consulta. Isso elimina etapas na cadeia de encaminhamento e reduz o trfego da rede. Quando o encaminhamento condicional aplicado, o servidor do Site A pode encaminhar consultas para encaminhadores do Site B ou do Site C, conforme apropriado. Por exemplo, os computadores do site de Seville da Contoso Corporation precisam consultar computadores no site da R.A.E. de Hong Kong, na sia. Ambos os sites usam um servidor DNS raiz comum, DNS3.Seville.avionics01-int.com, localizado em Seattle. Antes da Contoso atualizar para o Windows Server 2003, o servidor de Seville encaminhava todas as consultas que no podia resolver para seu servidor pai, DNS1.avionics01-int.com, em Seattle. Quando o servidor de Seville consultava nomes no domnio Avionics (na R.A.E de Hong Kong e em Tquio), o servidor de Seville encaminhava essas consultas primeiro para Seattle. Depois da atualizao para o Windows Server 2003, os administradores configuraram o servidor DNS de Seville para encaminhar consultas destinadas R.A.E. de Hong Kong diretamente para um servidor desse site, em vez de primeiro desviar para Seattle, conforme mostra a figura 4.7.

Figura 4.7 Encaminhamento condicional para um servidor off-site Os administradores configuraram DNS3.Seville.avionics01-int.com para encaminhar qualquer consulta de acquired01-int.com para DNS5.acquired01-int.com ou DNS6.acquired01-int.com. DNS3.Seville.avionics01int.com encaminha todas as outras consultas para DNS1.avionics01-int.com ou DNS2.avionics01-int.com. Para obter mais informaes sobre encaminhamento condicional, consulte "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).

Usando encaminhamento condicional para consultar nomes em outros espaos para nome
Se a rede interna no tiver uma raiz particular e os usurios precisarem de acesso a outros espaos para nome, por exemplo, uma rede que pertence a uma empresa parceira, use o encaminhamento condicional para permitir que os servidores consultem nomes em outros espaos para nome. Antes do encaminhamento condicional, os servidores DNS encaminhavam consultas para um nico servidor. Por causa dessa limitao, era comum configurar servidores para encaminhar todas as consultas que no conseguiam resolver (todas as consultas fora do espao para nome deles) para um servidor na Internet. Dessa forma, os servidores DNS internos resolviam nomes dos espaos para nome interno e da Internet. No entanto, para resolver nomes em outros espaos para nome, todos os servidores DNS que hospedavam o domnio de nvel superior da empresa tambm tinham que hospedar uma zona secundria do domnio de nvel superior da

empresa parceira. Essa soluo exigia espao de armazenamento adicional no servidor DNS e trfego adicional da transferncia de zona. Com o encaminhamento condicional, os servidores DNS podem encaminhar consultas para outros servidores com base no nome do domnio, eliminando a necessidade de zonas secundrias. Por exemplo, a Contoso Corporation inclui dois espaos para nome: Contoso e Acquired. Os computadores de cada diviso precisam acessar o outro espao para nome. Alm disso, os computadores de ambas as divises precisam acessar computadores do espao para nome particular Fornecedor. Antes de atualizar para o Windows Server 2003, a diviso Acquired criou zonas secundrias para que os computadores dos espaos para nome Contoso e Acquired pudessem resolver nomes nos espaos para nome Contoso, Acquired e Fornecedor. Depois de atualizar para o Windows Server 2003, a diviso Acquired excluiu suas zonas secundrias e, no lugar, configurou o encaminhamento condicional.

Atualizando servidores DNS para o DNS do Windows Server 2003

Voc pode atualizar o servidores DNS para o DNS do Windows Server 2003 executando um destes dois procedimentos: Execute uma atualizao in-loco do DNS do Windows NT 4.0 ou do Windows 2000 para o DNS do Windows Server 2003. Migre um servidor inteiro.

Faa backup da configurao existente para poder restaurar, caso algo d errado. Faa o planejamento da agenda da migrao de forma que os clientes DNS tenham acesso contnuo ao servidor DNS. Por exemplo, voc pode adiar a colocao do servidor DNS existente offline at ter certeza de que o servidor DNS do Windows Server 2003 est funcionando corretamente. Depois de atualizar e migrar os servidores, teste-os para certificar-se de que esto executando corretamente. Para obter mais informaes sobre como testar o desempenho do servidor DNS, consulte "Monitorar servidores" no Centro de ajuda e suporte do Windows Server 2003 e "Troubleshooting Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Troubleshooting Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).

Migrando servidores DNS de terceiros para o DNS do Windows Server 2003

Para migrar servidores DNS que no sejam da Microsoft para o DNS do Windows Server 2003, primeiro introduza os servidores DNS do Windows Server 2003 como servidores secundrios das zonas de sobreposio. Configure a transferncia de zona dos servidores DNS primrios de terceiros para os servidores DNS secundrios do Windows Server 2003. Depois de transferir as zonas, certifique-se de que o processo de transferncia de zona no gerou erros. Podem ocorrer erros durante esse processo, caso o servidor DNS do Windows Server 2003 no consiga reconhecer registros enviados pelo servidor DNS de terceiros. Modifique os registros de terceiros para corresponder ao DNS do Windows Server 2003 ou remova os registros da zona para certificar-se de que a transferncia de zona seja bem-sucedida. Depois de confirmar que as zonas foram transferidas para os servidores DNS do Windows Server 2003, atualize as zonas secundrias para as zonas integradas ao Active Directory. Nesse ponto, voc pode remover da rede os servidores DNS de terceiros com segurana.

Observao Se voc for usar o arquivo de inicializao de BIND com o servio DNS do Windows Server 2003, outras limitaes se aplicaro ao uso desse arquivo pelo servio DNS. Por exemplo, no h suporte para algumas diretivas de inicializao de BIND. Para obter mais informaes sobre como usar arquivos de inicializao de BIND com o DNS do Windows Server 2003, consulte o link do Microsoft Knowledge Base na pgina Web Resources em http://support.microsoft.com/default.aspx?scid=fh;ENUS;kbhowto&sd=GN&ln=EN-US&FR=1 e procure pelos artigos Q194513, "The Structure of a Domain Name System Boot File", e Q234144, "DNS Boot File Directives and Configuration for Windows NT 4.0".

Criando zonas DNS

Cada tipo de zona disponvel no DNS do Windows Server 2003 possui uma finalidade especfica. Selecionar o tipo de zona a ser implantado determina a finalidade prtica da zona. A figura 4.8 mostra o processo de criao de zonas DNS.

Figura 4.8 Criando zonas DNS

Escolhendo um tipo de zona

Crie zonas que correspondam infra-estrutura de administrao da rede. Se um site da rede for administrado localmente, implante uma zona para o subdomnio. Se um departamento tiver um subdomnio, mas nenhum administrador, mantenha o subdomnio na zona pai. Faa o planejamento de zonas de pesquisa inversa, se necessrio, e decida ser ir armazenar as zonas no Active Directory. O Active Directory distribui os dados usando um modelo de replicao multicontrole que fornece mais segurana que o DNS padro. Com exceo

das zonas secundrias, voc pode armazenar todos os tipos de zona no Active Directory. Ao criar zonas DNS, hospede cada uma delas em mais que um servidor DNS. Decida o tipo de zona a ser usado com base na estrutura do domnio. Para cada tipo de zona, com exceo das secundrias, decida se ir implant-las com base em arquivo ou integradas ao Active Directory.

Zonas primrias
Implante zonas primrias que correspondam aos nomes de domnio DNS planejados. Voc no pode armazenar uma cpia primria integrada ao Active Directory e com base em arquivo da mesma zona.

Zonas secundrias
Adicione zonas secundrias se no tiver uma infra-estrutura do Active Directory. Se voc no tiver uma infraestrutura do Active Directory, use zonas secundrios em servidores DNS que no estejam agindo como controladores de domnio. Uma zona secundria contm uma cpia completa de uma zona. Portanto, use zonas secundrias para melhorar a disponibilidade da zona em sites remotos, caso no queira que os dados delas sejam replicados por um link da WAN, atravs da replicao do Active Directory. melhor adicionar zonas secundrias para a maioria das zonas primrias ou todas elas. Esse design permite a tolerncia a falhas, a distribuio geogrfica de hosts da rede e o balanceamento de carga.

Zonas de stub
Uma zona de stub uma cpia de uma zona que contm somente o registro de recursos SOA (incio de autoridade), os registros de recursos NS (servidor de nomes) listando os servidores autorizados da zona e os registros de recursos de host (A) necessrios para identificar esses servidores autorizados. Um servidor DNS que hospeda uma zona de stub configurado com o endereo IP do servidor autorizado do qual carregado. possvel atualizar manualmente a zona de stub. Quando um servidor DNS que hospeda uma zona de stub recebe uma consulta de um nome de computador na zona qual a zona de stub se refere, ele usa o endereo IP para consultar o servidor autorizado ou, se a consulta for iterativa, retorna uma referncia para os servidores DNS listados na zona de stub. Os servidores DNS podem usar zonas de stub para consultas iterativas e recursivas. As zonas de stub so atualizadas em intervalos regulares, determinados pelo intervalo de atualizao do registro de recursos SOA dela. Quando um servidor DNS carrega uma zona de stub, ele consulta registros de recursos SOA nos servidores mestre da zona, registros de recursos NS na raiz dela e registros de recursos A. O servidor DNS tenta atualizar seus registros de recursos no fim do intervalo de atualizao do registro de recursos SOA. Para atualizar seus registros, o servidor DNS consulta os registros de recursos listados anteriormente nos servidores mestre. Voc pode usar zonas de stub para certificar-se de que o servidor autorizado em uma zona pai recebe automaticamente atualizaes sobre os servidores de nomes autorizados em uma zona filha. Para isso, adicione as zonas de stub aos servidores que esto hospedando a zona pai. As zonas de stub podem ser baseadas em arquivo ou integradas ao Active Directory. Se voc usar zonas de stub integradas ao Active Directory, poder configur-las em um computador e permitir que a replicao do Active Directory as propaguem para outros servidores DNS que estejam sendo executados nos controladores de domnio. Voc tambm pode usar as zonas de stub para certificar-se de que os servidores esto cientes de outros espaos para nome, embora o encaminhamento condicional seja o mtodo preferencial para isso. Para obter

mais informaes sobre como usar zonas de stub, consulte o Centro de ajuda e suporte do Windows Server 2003. Observao Apenas servidores DNS do Windows Server 2003 oferecem suporte a zonas de stub.

Zonas de pesquisa inversa

As zonas de pesquisa inversa contm as informaes necessrias para executar pesquisas inversas. Uma pesquisa inversa usa o endereo IP do computador para localizar seu nome DNS. As zonas de pesquisa inversa no so necessrias nas redes Windows ou para suporte do Active Directory. Para obter mais informaes sobre zonas de pesquisa inversa, consulte o Centro de ajuda e suporte do Windows Server 2003. Se a sua topologia de DNS inclui o Active Directory, use zonas integradas a ele. Como a replicao de DNS possui um nico mestre, um servidor DNS primrio em uma zona DNS primria padro pode ser um nico ponto de falha. Em uma zona integrada ao Active Directory, um servidor DNS primrio no pode ser um nico ponto de falha porque o Active Directory usa uma replicao multicontrole. As atualizaes feitas em qualquer controlador de domnio so replicadas em todos os controladores de domnio e as informaes sobre a zona de qualquer servidor DNS primrio de uma zona integrada ao Active Directory so sempre replicadas. As zonas integradas ao Active Directory: Permitem proteger as zonas, usando a atualizao dinmica segura. Fornecem maior tolerncia a falhas. Cada zona integrada ao Active Directory pode ser replicada em todos os controladores de domnio do domnio ou da floresta do Active Directory. Todos os servidores DNS executados nesses controladores de domnio podem agir como servidores primrios da zona e aceitar atualizaes dinmicas. Permitem a replicao que propaga somente dados alterados, compacta dados replicados e reduz o trfego da rede.

Se voc tem uma infra-estrutura com o Active Directory, pode usar zonas integradas a ele somente nos controladores de domnio dele. Se voc vai usar zonas integradas ao Active Directory, deve decidir se vai ou no armazen-las na partio do diretrio de aplicativo. Voc pode combinar zonas integradas ao Active Directory e zonas baseadas em arquivo no mesmo design. Por exemplo, se o servidor DNS autorizado na zona raiz particular estiver sendo executado em um sistema operacional que no seja o Windows Server 2003 ou o Windows 2000, ele no poder agir como um controlador de domnio do Active Directory. Portanto, voc deve usar zonas baseadas em arquivo nesse servidor. No entanto, voc pode delegar essa zona a qualquer controlador de domnio que esteja executando o Windows Server 2003 ou o Windows 2000. Por exemplo, os administradores de uma empresa que precisavam implantar o Active Directory, examinaram os requisitos do DNS para oferecer suporte ao Active Directory e descobriram que o servidor DNS autorizado para o nome, fornecedor01-int.com, estava sendo executado em um servidor BIND 4.9.7 que no oferece suporte ao Active Directory. Eles decidiram adicionar uma delegao a partir da zona baseada em arquivo, fornecedor01-int.com, hospedada no servidor BIND. A delegao refere-se a um Windows Server 2003 autorizado, parceiro.fornecedor01-int.com, da zona. O Windows Server 2003 tambm age como um controlador de domnio. Dessa maneira, os administradores criaram a zona, parceiro.fornecedor01-int.com, integrada ao Active Directory.

Escolhendo um mtodo de replicao

Depois de decidir quais zonas os servidores DNS hospedaro, decida como replic-las entre os servidores. As zonas replicadas proporcionam maior disponibilidade, melhoram o tempo de resposta da consulta e reduzem o trfego da rede produzido por consultas de nomes. No entanto, as zonas replicadas exigem espao de armazenamento e aumentam o trfego da rede. Se a sua rede for distribuda e gerenciada em sites diferentes, use subdomnios para esses sites. Se voc no tem uma rede distribuda, evite usar subdomnios quando possvel. A criao de replicao de zona envolve a identificao do local que usar as zonas replicadas para obter redundncia e disponibilidade. No Windows Server 2003, voc pode replicar zonas usando transferncia de zona baseada em arquivo ou replicao do Active Directory. Selecione o mtodo de replicao de zona apropriado, de acordo com o seguinte: Se voc usa zonas baseadas em arquivo, use transferncia de zona baseada em arquivo. Se voc tem zonas integradas ao Active Directory do Windows Server 2003 e do Windows 2000, use a replicao do Active Directory. Voc dever estabelecer o escopo da replicao, caso use zonas integradas ao Active Directory em um domnio do Windows Server 2003.

Transferncia de zona baseada em arquivo

O DNS do Windows Server 2003 e do Windows 2000 oferece suporte a transferncia de zona incremental e completa de zonas baseadas em arquivo. A transferncia de zona incremental o mtodo padro, mas, se o servidor DNS de terceiros envolvido na transferncia no oferecer suporte a ele, o DNS do Windows Server 2003 e do Windows 2000 usaro como padro o mtodo de transferncia de zona completa. A transferncia de zona incremental, descrita na RFC 1995, "Incremental Zone Transfer in DNS", proporciona melhor uso da largura de banda disponvel na rede. Em vez de enviar todo o contedo do arquivo da zona, o servidor mestre transfere somente as alteraes incrementais dela. Isso reduz o impacto das transferncias de zona do DNS no trfego da rede. Sem as transferncias de zona incrementais, o servidor mestre transfere o arquivo de zona inteiro para o servidor secundrio cada vez que uma zona DNS atualizada. O DNS do Windows Server 2003 usa a transferncia de zona completa quando as zonas devem ser transferidas para servidores DNS que no oferecem suporte transferncia de zona incremental, tais como servidores DNS executados no Windows NT 4.0 ou no BIND 8.12 e verses anteriores.

Replicao do Active Directory

A replicao do Active Directory propaga alteraes da zona entre controladores de domnio. O processo de replicao difere das transferncias de zona completas do DNS, nas quais o servidor DNS transfere a zona inteira. O processo de replicao tambm difere das transferncias de zona incrementais, nas quais o servidor transfere todas as alteraes feitas desde a ltima alterao. A replicao de zona do Active Directory proporciona os seguintes benefcios adicionais: H uma reduo no trfego da rede porque os controladores de domnio enviam somente o resultado final de todas as alteraes. Quando uma zona armazenada no Active Directory, a replicao ocorre automaticamente. No h necessidade de configurao adicional.

Quando a replicao de zona do Active Directory ocorre entre sites, os dados da zona que so maiores que os da transferncia padro so automaticamente compactados antes de serem transferidos. Essa compactao reduz a carga do trfego da rede.

Depois de anlise cuidadosa, voc pode particionar e delegar as zonas DNS com base em o que necessrio para fornecer servio de nomenclatura eficiente e tolerante a falhas em cada local ou site. Se voc estiver usando zonas integradas ao Active Directory em um domnio do Windows Server 2003, dever selecionar um escopo de replicao de zona integrada ao Active Directory usando o MMC. Ao selecionar um escopo de replicao, lembre-se de que, quanto maior o escopo da replicao, maior o trfego de rede que ela produz. Por exemplo, se voc optar por replicar dados de zona DNS integrada ao Active Directory em todos os servidores DNS da floresta, isso produzir maior trfego na rede do que replicar os dados da zona DNS em todos os servidores DNS de um nico domnio do Active Directory nessa floresta. Equilibre sua necessidade de minimizar o trfego de replicao com a necessidade de minimizar o trfego de consulta zona. A tabela 4.8 lista as opes de replicao de dados da zona integrada ao Active Directory. Tabela 4.8 Opes de replicao de dados da zona integrada ao Active Directory

Opo Descrio Todos os servidores Os dados da zona so DNS na floresta do replicados em todos os servidores DNS executados Active Directory nos controladores de domnio baseados no Windows Server 2003 de todos os domnios da floresta do Active Directory.

Quando usar Voc deseja o maior escopo de replicao. Geralmente, essa opo produz a maior parte do trfego de replicao da zona. Lembre-se de que voc pode escolher essa opo somente se todos os servidores DNS que hospedam uma cpia integrada ao Active Directory dessa zona executarem o Windows Server 2003. Todos os servidores Os dados da zona so No preciso que a zona seja replicada replicados em todos os DNS de um em toda a floresta e voc deseja limitar servidores DNS executados o trfego de replicao dela. Essa opo domnio nos controladores de domnio produz menos trfego de replicao da especificado do baseados no Windows Server zona do que replic-la em todos os Active Directory 2003 do domnio servidores DNS da floresta ou em todos especificado do Active os controladores de domnio do Directory. Essa opo a domnio. Se voc escolher essa opo, configurao padro para os dados da zona no sero replicados replicao de zona DNS nos servidores DNS que executam integrada ao Active controladores de domnio baseados no Directory. Windows 2000. O domnio especificado do Active Directory aquele hospedado pelo controlador de domnio no qual o servidor DNS que hospeda a

zona est sendo executado. Os dados da zona so Todos os replicados em todos os controladores de domnio no domnio controladores de domnio do do Active Directory domnio especificado do Active Directory, no importando se h ou no servidores DNS sendo executados nos controladores de domnio do domnio. Os dados da zona so Todos os replicados em todos os controladores de controladores de domnio domnio especificados no escopo de especificados no replicao da partio de escopo de replicao de uma diretrio de aplicativo. partio de diretrio de aplicativo

Voc hospeda uma cpia dessa zona integrada ao Active Directory em um servidor DNS sendo executado em um controlador de domnio baseado no Windows 2000.

Voc deseja personalizar o escopo de replicao de zona de sua organizao. Com essa opo, voc pode minimizar o trfego de replicao de zona e, ao mesmo tempo, maximizar a funcionalidade. No entanto, essa opo exige mais sobrecarga administrativa. Voc poder escolher essa opo somente se todos os servidores DNS que hospedam uma cpia dessa zona integrada ao Active Directory estiverem executando o Windows Server 2003.

Migrando zonas para servidores DNS do Windows Server 2003

Voc pode migrar zonas para o DNS do Windows Server 2003 executando um destes dois procedimentos: Usando transferncia de zona. Copiando os arquivos de zona.

Se voc copiar os arquivos de zona, dever verificar manualmente a integridade das zonas. Independentemente do mtodo usado para migrar zonas, voc ter que decidir se deve colocar o servidor DNS original offline ou us-lo como um servidor secundrio. Se voc determinar que o servidor DNS original de terceiros causa problemas de interoperabilidade na rede ou se precisar usar o hardware desse servidor para outra finalidade, coloque-o offline. Caso contrrio, mantenha-o na rede para fornecer backup para o servidor DNS primrio do Windows Server 2003. Para obter mais informaes sobre como usar transferncia de zona, consulte "Iniciar uma transferncia de zona em um servidor secundrio", no Centro de ajuda e suporte do Windows Server 2003.

Configurando e gerenciando clientes DNS

Ao configurar clientes DNS, voc deve especificar uma lista de servidores DNS para eles usarem para resolver nomes DNS. preciso especificar tambm uma lista de pesquisa de sufixo DNS a ser usada pelos

clientes em pesquisas de consulta ao DNS em busca de nomes de domnio curtos e no qualificados. Voc tambm pode usar uma diretiva de grupo para simplificar a configurao do cliente DNS. A figura 4.9 mostra o processo de configurao e gerenciamento de clientes DNS.

Figura 4.9 Configurando e gerenciando clientes DNS

Configurando listas de servidores DNS e de pesquisa de sufixo do cliente

Configure as listas de servidores DNS e de pesquisa de sufixo dos clientes incluindo pelo menos dois endereos IP de servidor DNS nos clientes e controladores de domnio: o endereo IP de um servidor preferencial e o endereo IP de um servidor alternativo. Use um servidor executado no site local como preferencial. O servidor alternativo pode ser executado em um site local ou remoto. Por padro, a lista de pesquisa de sufixo DNS preenchida com base no sufixo DNS primrio do cliente e em qualquer sufixo DNS especfico de conexo. Voc pode modificar a lista de pesquisa de sufixo DNS usando o gerenciador DNS ou diretiva de grupo. melhor limitar o tamanho da lista de pesquisa de sufixo se possvel, pois uma lista grande aumenta o trfego da rede.

Usando diretiva de grupo para simplificar a configurao do cliente

O Windows Server 2003 inclui um novo conjunto de diretivas de grupo para simplificar o lanamento de clientes DNS dele. Voc pode us-las para definir listas de servidores DNS, listas de pesquisa de sufixo, configurao de atualizao dinmica e muitas outras configuraes. Como em todas as configuraes de diretiva de grupo, possvel especificar configuraes diferentes com base no site, no domnio ou na OU. Para obter mais informaes sobre essas diretivas de grupo, consulte "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).

Protegendo a infra-estrutura de DNS

Como o DNS foi criado para ser um protocolo aberto, os dados dele podem ficar vulnerveis a ataques segurana. O DNS do Windows Server 2003 fornece recursos de segurana aprimorados para reduzir essa vulnerabilidade. A figura 4.10 mostra o processo de proteo da infra-estrutura de DNS.

Figura 4.10 Protegendo a infra-estrutura de DNS

Identificando as ameaas segurana do DNS

Uma infra-estrutura de DNS est vulnervel aos seguintes tipos de ameaas segurana: Footprinting. O processo de montar um diagrama ou uma base de uma infra-estrutura de DNS, capturando dados da zona DNS, tais como nomes de domnio, nomes de computador endereos IP dos recursos sigilosos da rede. Os nomes de domnio e de computador DNS muitas vezes indicam a funo ou a localizao de domnios e computadores. Ataque de negao de servio. Um ataque no qual o invasor tenta negar a disponibilidade de servios da rede, saturando um ou mais servidores DNS da rede com consultas recursivas. Quando um servidor DNS est saturado de consultas, a utilizao da CPU dele eventualmente atinge o mximo e o servio torna-se indisponvel. Sem um servidor DNS completamente operacional na rede, os servios dela que usam DNS ficam indisponveis para os usurios. Modificao de dados. O uso de endereos IP vlidos nos pacotes IP que um invasor criou para destruir dados ou conduzir outros ataques. Geralmente, a modificao de dados tentada em uma infra-estrutura de DNS que j passou por footprinting. Se o ataque for bem-sucedido, os pacotes aparentaro estar vindo de um endereo IP vlido da rede. Geralmente, isso chamado de falsificao de IP. Com um endereo IP vlido (aquele dentro do intervalo de endereos IP de uma sub-rede), um invasor pode obter acesso rede. Redirecionamento. Um ataque no qual um invasor pode redirecionar consultas de nomes DNS para servidores controlados por ele. Um mtodo de redirecionamento envolve a tentativa de corromper o cache DNS de um servidor DNS com dados DNS errneos que podem direcionar futuras consultas para servidores controlados por um invasor. Por exemplo, se for feita uma consulta a exemplo.contoso.com e uma resposta de referncia fornecer um registro de um nome que est fora do domnio contoso.com, o servidor DNS usar os dados em cache para resolver uma consulta de nome externo. O redirecionamento conseguido quando o invasor possui acesso de gravao aos dados DNS, por exemplo, com atualizaes dinmicas inseguras.

Para obter mais informaes sobre tipos comuns de ataques, desenvolvimento de uma diretiva de segurana e avaliao do nvel de risco, consulte "Designing an Authentication Strategy" e "Designing an Authorization Strategy" em Designing and Deploying Directory and Security Services.

Desenvolvendo uma diretiva de segurana para o DNS

Se os dados DNS estiverem comprometidos, os invasores podero obter informaes sobre a rede que podero ser usadas para comprometer outros servios. Por exemplo, os invasores podem prejudicar a organizao da seguinte maneira: Usando transferncia de zona, eles podem obter uma lista com todos os hosts e os endereos IP deles na rede. Usando ataques de negao de servio, eles podem evitar que emails sejam enviados e recebidos na rede e podem impedir a visibilidade do servidor Web. Se eles puderem alterar os dados da zona, podero configurar servidores Web falsos ou fazer com que os emails sejam redirecionados para os servidores deles.

O risco de ataque depende da exposio Internet. Para um servidor DNS de uma rede particular que usa um espao para nome particular, um esquema de endereamento particular e um firewall efetivo, o risco de ataque menor e a possibilidade de descobrir o intruso maior. Para um servidor DNS exposto Internet, o risco maior.

O desenvolvimento de uma diretiva de segurana para o DNS envolve: Decidir o acesso de que os clientes precisam, as relaes desejadas entre segurana e desempenho e os dados que mais precisam de proteo. Familiarizar-se com as questes de segurana comuns em servidores DNS internos e externos. Estudar o trfego de resoluo de nomes para verificar quais clientes podem consultar quais servidores.

Voc pode optar por adotar uma diretiva de segurana de DNS de nvel baixo, mdio ou alto.

Diretiva de segurana de DNS de nvel baixo

A segurana de nvel baixo no exige configurao adicional da implantao do DNS. Use esse nvel de segurana de DNS em um ambiente de rede no qual no haja preocupao com a integridade dos dados DNS ou em uma rede particular na qual no haja possibilidade de conectividade externa. Uma diretiva de segurana de nvel baixo inclui as seguintes caractersticas: A infra-estrutura de DNS da organizao est completamente exposta Internet. Todos os servidores DNS da rede executam resoluo de DNS padro. Todos os servidores DNS esto configurados com dicas de raiz que apontam para servidores raiz da Internet. Todos os servidores DNS permitem transferncias de zona para qualquer servidor. Todos os servidores DNS esto configurados para escutar em todos os endereos IP deles. A preveno corrupo de cache est desativada em todos os servidores DNS. A atualizao dinmica permitida em todas as zonas DNS. A porta 53 dos protocolos UDP e TCP/IP est aberta no firewall da rede para endereos de origem e de destino.

Diretiva de segurana de DNS de nvel mdio

A segurana DNS de nvel mdio consiste em recursos de segurana de DNS que esto disponveis sem a execuo de servidores DNS em controladores de domnio e o armazenamento de zonas DNS no Active Directory. Uma diretiva de segurana de nvel mdio inclui as seguintes caractersticas: A infra-estrutura de DNS da organizao possui exposio limitada Internet. Todos os servidores DNS esto configurados para usar encaminhadores a fim de apontar para uma lista especfica de servidores DNS internos quando no conseguirem resolver nomes localmente. Todos os servidores DNS limitam transferncias de zona aos servidores listados nos registros NS das zonas deles. Os servidores DNS esto configurados para escutar endereos IP especificados. A preveno corrupo de cache est ativada em todos os servidores DNS. A atualizao dinmica no permitida em zona DNS alguma. Os servidores DNS internos comunicam-se com servidores DNS externos, atravs do firewall, com uma lista limitada de endereos permitidos de origem e de destino. Os servidores DNS externos na frente do firewall esto configurados com dicas de raiz que apontam para servidores raiz da Internet. Toda a resoluo de nomes da Internet realizada por servidores proxy e gateways.

Diretiva de segurana de DNS de nvel alto

A segurana DNS de nvel alto usa a mesma configurao que a segurana de nvel mdio e usa tambm os recursos de segurana disponveis quando o servio Servidor DNS est sendo executado em um controlador de domnio e as zonas DNS esto armazenadas no Active Directory. Alm disso, a segurana de nvel alto elimina completamente a comunicao do DNS com a Internet. No uma configurao comum, mas a recomendada sempre que a conectividade com a Internet no necessria. Uma diretiva de segurana de nvel alto inclui as seguintes caractersticas: A infra-estrutura de DNS da organizao no possui comunicao com a Internet atravs de servidores DNS internos. A rede usa raiz e espao para nome DNS internos, onde toda a autoridade das zonas DNS interna. Os servidores DNS configurados com encaminhadores usam somente endereos IP de servidor DNS. Todos os servidores DNS limitam transferncias de zona aos endereos IP especificados. Os servidores DNS esto configurados para escutar endereos IP especificados. A preveno corrupo de cache est ativada em todos os servidores DNS. Os servidores DNS esto configurados com dicas de raiz que apontam para servidores DNS internos que hospedam a zona raiz do espao para nome interno. Todos os servidores DNS esto sendo executados em controladores de domnio. Uma DACL (lista de controle de acesso condicional) est configurada no servio Servidor DNS para permitir que somente pessoas especficas executem tarefas administrativas nos servidores DNS. Todas as zonas DNS esto armazenadas no Active Directory. Uma DACL est configurada para permitir que somente pessoas especficas criem, excluam ou modifiquem zonas DNS. As DACLs esto configuradas nos registros de recursos DNS para permitir que somente pessoas especficas criem, excluam ou modifiquem dados DNS. A atualizao dinmica segura est configurada em todas as zonas DNS, exceto as zonas raiz e de nvel superior, as quais no permitem de forma alguma atualizaes dinmicas.

Protegendo os servidores DNS expostos Internet

Os servidores DNS expostos Internet esto especialmente vulnerveis ao ataque. Voc pode proteger os servidores DNS expostos Internet seguindo um destes procedimentos: Coloque o servidor de nomes em uma rede de permetro, em vez de colocar na rede interna. Para obter mais informaes sobre redes de permetro, consulte "Deploying ISA Servers", neste manual. Use um servidor DNS para servios acessados publicamente dentro da rede de permetro e um servidor DNS separado para a rede interna particular. Isso reduz o risco de exposio do espao para nome particular, o qual pode expor nomes e endereos IP sigilosos aos usurios baseados na Internet. Tambm aumenta o desempenho, porque reduz o nmero de registros de recursos no servidor DNS. Adicione um servidor secundrio em outra sub-rede ou rede ou em um provedor de servios de Internet. Isso protege contra ataques de negao de servio. Elimine pontos de falha nicos, protegendo roteadores e servidores DNS e distribuindo os servidores DNS geograficamente. Adicione cpias secundrias das zonas a pelo menos um servidor DNS offsite. Criptografe o trfego de replicao da zona,usando tneis IPSec ou VPN para ocultar os nomes e endereos IP dos usurios baseados na Internet. Configure firewalls para aplicar a filtragem de pacotes porta 53 de UDP e TCP. Restrinja a lista de servidores DNS que tm permisso para iniciar uma transferncia de zona no servidor DNS. Faa isso em cada zona da rede. Monitore os logs DNS e os servidores DNS externos, usando o Visualizador de Eventos.

Protegendo os servidores DNS internos

Os servidores DNS internos so menos vulnerveis aos ataques que os externos, mas mesmo assim precisam de proteo. Para proteger os servidores DNS internos: Elimine qualquer ponto de falha nico. Lembre-se, no entanto, de que a redundncia de DNS no ajudar se os clientes no puderem acessar servios da rede. Pense sobre a localizao dos clientes em cada zona DNS e como eles resolvero nomes se o servidor DNS estiver comprometido e no puder responder s consultas. Impea o acesso no autorizado aos servidores. Permita somente atualizao dinmica segura das zonas e limite a lista de servidores DNS que tm permisso para obter uma transferncia de zona. Monitore os logs DNS e os servidores DNS internos, usando o Visualizador de Eventos. A monitorao dos logs e do servidor pode ajudar a detectar modificaes no autorizadas no servidor DNS ou nos arquivos de zona. Implemente zonas integradas ao Active Directory com atualizao dinmica segura.

Protegendo as zonas DNS atualizadas dinamicamente

O uso de atualizao dinmica insegura apresenta novos riscos segurana. Como qualquer computador pode modificar qualquer registro, um invasor pode modificar dados da zona e representar servidores existentes. Por exemplo, se voc instalar o servidor Web, web.contoso.com, e ele registrar seu endereo IP no DNS usando atualizao dinmica, um invasor poder instalar um segundo servidor Web, tambm com o nome web.contoso.com, e usar a atualizao dinmica para modificar o endereo IP correspondente no registro do DNS. Dessa forma, o invasor poder representar o servidor Web original e capturar informaes seguras. Por essa razo, importante implementar a atualizao dinmica segura. Para evitar a representao de servidor, use zonas integradas ao Active Directory e configure-as para atualizao dinmica segura. Com a atualizao dinmica segura, somente computadores e usurios especificados em uma ACL (lista de controle de acesso) poder criar ou modificar objetos de uma zona. Se sua diretiva de segurana exigir segurana mais rigorosa, modifique essas configuraes para restringir ainda mais o acesso. Restrinja o acesso por computador, grupo ou conta de usurio e atribua permisses para a zona DNS inteira e para nomes DNS individuais da zona. Para obter mais informaes sobre como proteger zonas DNS atualizadas dinamicamente, consulte "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp) (site em ingls).

Protegendo a replicao da zona DNS

A replicao de zona pode ocorrer por meio de transferncia de zona ou como parte da replicao do Active Directory. Se voc no proteger a replicao de zona, correr o risco de expor nomes e endereos IP do computador aos invasores. Voc pode proteger a replicao de zona DNS seguindo estes procedimentos: Usando replicao do Active Directory. Criptografando replicao de zona enviada por redes pblicas, tais como a Internet. Restringindo a transferncia de zona a servidores autorizados.

Usando replicao do Active Directory

A replicao de zonas como parte da replicao do Active Directory proporciona os seguintes benefcios de segurana: O trfego de replicao do Active Directory criptografado, portanto, o trfego da replicao de zona criptografado automaticamente. Somente um nmero limitado de pessoas pode afetar a replicao do Active Directory. Os servidores DNS que hospedam zonas integradas ao Active Directory devem ser controladores de domnio, o que significa que a replicao do Active Directory pode ocorrer somente entre controladores de domnio. Portanto, somente administradores autorizados a gerenciar controladores de domnio podem afetar a replicao do Active Directory. Os controladores de domnio do Active Directory que executam replicao so mutuamente autenticados e a representao no possvel. Observao Use as zonas integradas ao Active Directory sempre que possvel porque elas so replicadas como parte da replicao do Active Directory, que mais segura que a transferncia de zona baseada em arquivo.

Criptografando trfego de replicao enviado por redes pblicas

Criptografe todo o trfego de replicao enviado por redes pblicas, usando tneis IPSec ou VPN. Ao criptografar trfego de replicao enviado por redes pblicas: Use o nvel maior de criptografia ou autenticao de tnel VPN ao qual os servidores ofeream suporte. Use o servio Roteamento e acesso remoto do Windows Server 2003 para criar o tnel IPSec ou VPN.

Restringindo a transferncia de zona a servidores autorizados

Se voc tiver servidores secundrios e replicar dados da zona usando transferncia de zona, configure os servidores para especificar aqueles que esto autorizados a receber transferncias de zona. Isso impede um invasor de usar a transferncia de zona para baixar dados da zona. Mas, se voc estiver usando zonas integradas ao Active Directory, configure os servidores para no permitir transferncia de zona.

Integrando o DNS a outros servios do Windows Server 2003

Ao implantar o DNS do Windows Server 2003, importante integrar o servio DNS a outros servios do Windows Server 2003, tais como DHCP e WINS. A figura 4.11 mostra o processo de integrao do DNS do Windows Server 2003 a outros servios dele.

Figura 4.11 Integrando o DNS a outros servios do Windows Server 2003

Integrando DNS a DHCP

O DNS do Windows Server 2003 oferece suporte a DHCP por meio de atualizao dinmica das zonas DNS. Integrando DHCP e DNS em uma implantao de DNS, voc pode fornecer aos recursos da rede informaes

sobre endereamento dinmico armazenadas no DNS. Para permitir essa integrao, voc pode usar o servio DHCP do Windows Server 2003. O padro de atualizao dinmica, especificado na RFC 2136, "Dynamic Updates in the Domain Name System (DNS UPDATE)", atualiza automaticamente os registros DNS. O Windows Server 2003 e o Windows 2000 oferecem suporte a atualizao dinmica e clientes e servidores DHCP podem enviar atualizaes dinmicas quando os endereos IP deles mudam. Sozinha a atualizao dinmica no segura porque qualquer cliente pode modificar registros DNS. Para proteger atualizaes dinmicas, voc pode usar o recurso de atualizao dinmica segura fornecido no Windows Server 2003. Para excluir registros desatualizados, voc pode usar os recursos de durao e eliminao do servidor DNS. A atualizao dinmica permite aos servidores DHCP registrar registros de recursos A e PTR em nome dos clientes DHCP. Esse processo requer o uso da opo 81 de FQDN do cliente DHCP. A opo permite ao cliente fornecer seu FQDN ao servidor DHCP. O cliente fornece tambm instrues para o servidor, descrevendo como processar atualizaes dinmicas de DNS em nome do cliente DHCP. Quando a opo 81 emitida por um cliente DHCP qualificado, ela processada e interpretada por um servidor DHCP do Windows Server 2003 para determinar como o servidor inicia atualizaes em nome do cliente. Se o servidor estiver configurado para executar atualizaes dinmicas de DNS, ele executar uma das seguintes aes: O servidor DHCP atualiza registros A e PTR do DNS se solicitado por clientes que esto usando a opo 81. O servidor DHCP atualiza registros A e PTR do DNS independentemente do cliente solicitar essa ao ou no.

Alm disso, o servidor DHCP pode atualizar dinamicamente registros A e PTR do DNS em nome dos clientes herdados que no so capazes de enviar a opo 81 ao servidor. Voc tambm pode configurar o servidor DHCP para descartar registros A e PTR do cliente quando a concesso dele for excluda. Isso reduz o tempo necessrio para gerenciar esses recursos manualmente e fornece suporte a clientes DHCP que no podem executar atualizaes dinmicas. Alm disso, a atualizao dinmica simplifica a configurao do Active Directory, permitindo aos controladores de domnio o registro dinmico com registros do servidor.

Integrando DNS a WINS

Ao atualizar para o DNS do Windows Server 2003 a partir de uma verso anterior do Windows, talvez seja necessrio continuar a oferecer suporte a uma infra-estrutura do WINS existente. O DNS do Windows Server 2003 permite oferecer suporte a uma implantao existente do WINS, permitindo configurar um servidor DNS para consultar um servidor WINS como uma configurao de zona DNS. O WINS fornece resoluo de nomes NetBIOS dinmica. Se sua organizao oferece suporte a clientes e programas que usam WINS para resoluo de nomes NetBIOS, preciso continuar a oferecer suporte a ele. Se alguns de seus clientes estiverem registrados no WINS e outros precisarem resolver os nomes, mas no tiverem capacidade para resoluo de nomes NetBIOS, voc poder usar a pesquisa do WINS para permitir que o servidor DNS procure por nomes no espao para nome WINS. Esse recurso ser particularmente til se alguns de seus clientes que exigem resoluo de nomes NetBIOS no puderem usar o WINS ou se alguns de seus clientes no puderem registrar-se no DNS (por exemplo, clientes Microsoft Windows 95 ou Windows 98). A referncia do WINS ser o mtodo preferencial se alguns servidores DNS no oferecerem suporte aos registros de recursos usados na pesquisa e na pesquisa reversa do WINS.

Pesquisa e pesquisa reversa do WINS

Configurando o servidor DNS para pesquisa do WINS, voc pode direcionar o DNS para consultar resoluo de nomes no WINS para que os clientes DNS possam procurar por nomes e endereos IP dos clientes WINS. Para direcionar o DNS para consultar a resoluo de nomes do WINS, adicione um registro de pesquisa do WINS zona autorizada. Quando um servidor DNS autorizado para essa zona receber a consulta de um nome, ele verificar a zona autorizada. Se o servidor DNS no localizar o nome na zona autorizada, mas a zona contiver um registro de pesquisa do WINS, o servidor DNS consultar o servidor WINS. Se o nome estiver registrado no WINS, o servidor WINS retornar o registro associado ao servidor DNS. Em seguida, o servidor DNS compilar e retornar o registro DNS correspondente em resposta solicitao DNS original. Os clientes DNS no precisam saber se um cliente est registrado no WINS ou no DNS nem precisam consultar o servidor WINS. Voc tambm pode configurar o servidor DNS para pesquisas reversas do WINS. As pesquisas reversas funcionam de forma um pouco diferente. Quando um servidor DNS autorizado consultado por causa de um registro PTR no existente e a zona autorizada contm o registro WINS-R, o servidor DNS usa uma pesquisa de status do adaptador de n NetBIOS. Observao Para tolerncia a falhas, voc pode especificar vrios servidores WINS no registro de pesquisa do WINS. O servidor que est executando o servio DNS do Windows 2000 ou do Windows Server 2003 tenta localizar o nome, pesquisando os servidores WINS na ordem especificada pela lista.

Configurando referncia do WINS

Os computadores que executam implementaes de terceiros dos servidores DNS no oferecem suporte a registros usados pela pesquisa e pela pesquisa reversa do WINS. Se voc tentar usar uma combinao de servidores DNS da Microsoft e de terceiros para hospedar uma zona que contenha esses registros, a mistura poder causar erros de dados ou transferncias de zona com falha nos servidores DNS de terceiros. Se voc tiver essa combinao, poder usar a referncia do WINS para criar e delegar uma zona WINS especial que faa referncia de pesquisas DNS ao WINS. Essa zona no executa qualquer registro ou atualizao. Em seguida, voc configura todos os clientes DNS para anexar o nome da zona de referncia do WINS a consultas no qualificadas. Dessa forma, o cliente pode consultar DNS e WINS ao mesmo tempo, usando uma consulta DNS. Para simplificar a administrao, voc pode usar DHCP ou diretiva de grupo para configurar os clientes a fim de executar a configurao. Para obter mais informaes sobre DHCP, consulte "Implantando DHCP", neste manual. Para obter mais informaes sobre diretiva de grupo, consulte "Designing a Group Policy Infrastructure" em Designing a Managed Environment, neste kit. Observao A zona WINS deve ser hospedada em um DNS do Windows Server 2003 ou do Windows 2000 e no deve ser replicada em servidores DNS de outros fornecedores. Os servidores DNS de outros fornecedores no oferecem suporte a registros de recursos do WINS e talvez no consigam hospedar a zona.

Implementando DNS do Windows Server 2003

Depois de testar sua configurao em um ambiente de teste, voc pode lanar as alteraes no ambiente de produo. A figura 4.9 mostra o processo de implementao do DNS do Windows Server 2003.

Figura 4.12 Implementando DNS do Windows Server 2003

Preparando-se para implantar o DNS do Windows Server 2003

Prepare seu ambiente de implantao do DNS do Windows Server 2003 certificando-se de ter backups confiveis de tudo o que ser alterado, incluindo servidores e zonas. Teste os backups antes de continuar a implantao. Alm disso, crie um plano de configurao de contingncias, tais como perda de dados, falha do servidor e falha das conexes de rede. Antes de lanar a implantao do DNS, certifique-se de que os links de roteamento entre os servidores a serem implantados esto no lugar e funcionando corretamente. Dependendo da forma de configurao da infra-estrutura DNS, talvez os servidores DNS precisem estar aptos a consultar o seguinte: Servidores raiz Encaminhadores Servidores que hospedam zonas pai Servidores que hospedam zonas filha Servidores que hospedam zonas mestre Servidores que hospedam outras cpias da mesma zona integradas ao Active Directory, caso o servidor esteja integrado ao Active Directory Servidores na Internet

Se voc espera que os clientes consultem nomes na Internet e planeja usar um servidor proxy, certifique-se de que ele est no lugar. Por convenincia, voc pode optar por instalar o DNS em controladores de domnio, como parte da instalao do Active Directory. Se for essa a sua escolha, no esquea que voc no pode alterar o nome do computador aps a instalao do Active Directory nele.

Configurando o servidor DNS

Antes de instalar o DNS, certifique-se de que o computador foi nomeado corretamente e de que voc pode efetuar ping em outros computadores da rede que os servidores DNS talvez precisem consultar. Como os clientes localizam servidores DNS por endereo IP, certifique-se de ter dado a cada servidor DNS um endereo IP esttico. Voc pode configurar o servidor DNS executando um destes quatro procedimentos: Instale o DNS em um servidor usando o Assistente para Instalao do Active Directory para instalar o Active Directory. Esse assistente cria automaticamente uma cpia da zona de pesquisa direta integrada ao Active Directory, que corresponde ao nome de domnio do Active Directory, e a configura para atualizao dinmica segura. Alm disso, o assistente cria as zonas de pesquisa reversa padro recomendadas pelas RFCs de DNS. Em alguns casos, o assistente configura o servidor como raiz ou inicializa as dicas de raiz com os nomes dos servidores raiz. Voc pode iniciar o Assistente para Instalao do Active Directory executando um arquivo de resposta, um arquivo que contm respostas a todas as perguntas que o assistente faz. Para obter mais informaes sobre como usar o arquivo de resposta, consulte "Active Directory Data Storage" no Distributed Services Guide do Windows Server 2003 Resource Kit (ou consulte "Active Directory Data Storage" na Web em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).

Antes ou depois de instalar o Active Directory no servidor, voc pode usar a ferramenta Adicionar ou Remover Programas para instalar o servio Servidor DNS e, em seguida, executar o Assistente para Configurao de Servidor DNS a fim de configurar suas zonas. Como o Assistente para Instalao do Active Directory, o Assistente para Configurao de Servidor DNS cria as zonas de pesquisa reversa padro recomendadas pelas RFCs de DNS e configura o servidor como raiz ou inicializa as dicas de raiz. Voc pode usar a ferramenta de linha de comando Dnscmd.exe para configurar o servidor DNS. Voc pode usar VBScript ou outras linguagens de script atravs do provedor WMI fornecido com o Windows Server 2003.

Depois de instalar o servidor DNS, examine se a zona raiz existe. Se o servidor estiver configurado como raiz e voc no aceitar essa opo, exclua a zona raiz. Para obter mais informaes sobre essas opes e informaes sobre como o Assistente para Instalao do Active Directory e o Assistente para Configurao de Servidor DNS determinam se devem ou no inicializar as dicas de raiz, consulte "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp) (site em ingls).

Configurando zonas
Se voc instalar o DNS usando o Assistente para Instalao do Active Directory, o assistente criar zonas DNS que correspondem aos domnios do Active Directory especificados. Se as zonas especificadas durante a fase de planejamento de zona da implantao ainda no existirem, crie-as agora. Se a zona criada pelo assistente no for do tipo desejado, altere-a agora. Por exemplo, talvez seja necessrio converter uma zona primria padro em uma zona integrada ao Active Directory. Se o assistente de instalao criou a zona, mas no adicionou a delegao, adicione-a agora. Para cada zona criada, adicione os registros de recursos apropriados e ative ou desative a atualizao dinmica ou a atualizao dinmica segura, conforme apropriado. Para enviar atualizaes aos servidores secundrios de uma zona, configure a notificao de DNS no servidor primrio. Para obter mais informaes sobre como adicionar e remover zonas, consulte o Centro de ajuda e suporte do Windows Server 2003.

Configurando o encaminhamento
Se algum servidor precisar encaminhar consultas para outro, configure o encaminhamento nos servidores que devem encaminhar as consultas. Para que o servidor encaminhe consultas para outros servidores, dependendo do sufixo DNS especificado na consulta, configure o encaminhamento condicional corretamente. Para obter mais informaes sobre encaminhamento condicional, consulte "Usando encaminhamento" neste captulo e "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp) (site em ingls).

Configurando o servidor DNS para atualizao dinmica

Dependendo da forma de configurao das zonas e dos servidores, talvez as zonas j estejam configuradas para atualizao dinmica ou dinmica segura. Se no estiverem configuradas de forma apropriada, faa as alteraes necessrias. Para obter informaes sobre como configurar atualizao dinmica e dinmica segura, consulte o Centro de ajuda e suporte do Windows Server 2003.

Configurando durao e eliminao

Com a atualizao dinmica, sempre que um computador ingressa na rede e registra-se no DHCP, o servidor DNS adiciona registros zona automaticamente. No entanto, em alguns casos, o servidor DNS no os exclui automaticamente e, portanto, podem se tornar desatualizados. Os registros de recursos desatualizados ocupam espao no servidor e um servidor pode usar um registro de recursos desatualizado para responder a uma consulta. Como resultado, o desempenho do servidor DNS sofre. Para resolver esses problemas, o servidor DNS do Windows Server 2003 pode eliminar registros desatualizados, procurando no banco de dados os registros obsoletos e excluindo-os. Voc pode configurar a durao e a eliminao no Gerenciador DNS ou usando Dnscmd.exe. Para obter mais informaes sobre como usar durao e eliminao, consulte "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp) (site em ingls).

Configurando replicao de zona

Se voc usa zonas primrias ou secundrias baseadas em arquivo, configure cada servidor mestre para permitir transferncias de zona em cada servidor secundrio. Em seguida,configure cada servidor secundrio de uma zona com uma lista de servidores mestre para ela. Se voc usa a replicao do Active Directory em um domnio do Windows Server 2003, configure o escopo de replicao de zona. Se voc optar por usar parties de diretrio de aplicativo, precisar ter credenciais de administrador corporativo para configurar o escopo de replicao de zona. Voc tambm precisar ter credenciais de administrador corporativo, caso as parties de diretrio de aplicativo no estejam disponveis no Active Directory e o servidor DNS no as crie automaticamente. Para obter mais informaes sobre armazenamento e replicao de zona DNS no Active Directory, inscrio de um servidor DNS em uma partio de diretrio de aplicativo DNS, remoo de um servidor DNS de uma partio de diretrio de aplicativo DNS ou alterao de escopo de replicao, consulte o Centro de ajuda e suporte do Windows Server 2003.

Verificando se o servidor DNS est funcionando corretamente

Depois de instalar e configurar o servidor DNS, verifique se ele est funcionando corretamente. Use os recursos de monitorao do snap-in de DNS do MMC, tais como teste de consulta simples ou recursiva. Voc tambm pode examinar o log de eventos ou o arquivo de log de depurao ou usar a ferramenta de linha de comando Nslookup para tentar consultas. Para acessar os recursos de monitorao do snap-in de DNS do MMC, clique em Propriedades no menu Ao e clique na guia Monitorando.

Para obter mais informaes sobre como verificar a operao do servidor DNS, consulte "DNS Troubleshooting" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "DNS Troubleshooting" na Web em http://www.microsoft.com/windows/reskits/default.asp) (site em ingls).

Configurando clientes DNS

Configure cada cliente DNS com o seguinte: Nome de host e sufixo DNS Servidores DNS preferenciais e alternativos Como opo, arquivo de configurao automtica do proxy ou lista de nomes excludos (se for um cliente proxy)

Voc pode usar qualquer um dos mtodos a seguir para configurar clientes DNS: Use as configuraes de TCP/IP do cliente Use a diretiva de grupo para configurar grupos de clientes Use o servio Servidor DHCP para configurar algumas configuraes do cliente automaticamente.

Para obter mais informaes sobre como instalar e configurar clientes DNS, consulte o Centro de ajuda e suporte do Windows Server 2003.

Usando ferramentas de linha de comando para implantar DNS

Voc pode usar a ferramenta de linha de comando Dnscmd.exe para executar a maioria das tarefas que podem ser executadas no snap-in de DNS do MMC. Com Dnscmd.exe, voc pode criar, excluir e exibir zonas e registros e redefinir propriedades de servidor e zona. Voc tambm pode executar operaes de administrao rotineiras, tais como criao ou atualizao de zona, recarregamento de zona, atualizao de zona, gravao de zona novamente em um arquivo do Active Directory, pausa e reincio de zona, limpeza de cache, adio de registros s dicas de raiz, parada e inicializao do servio DNS e exibio de estatsticas. Voc tambm pode usar Dnscmd.exe para gravar scripts de arquivo em lotes e para administrao remota. Para obter mais informaes sobre Dnscmd.exe, clique em Ferramentas em Centro de ajuda e suporte e, em seguida, clique em Ferramentas de Suporte do Windows. Para obter informaes sobre como instalar e usar as ferramentas de suporte do Windows Server 2003 e a ajuda delas, consulte o arquivo Sreadme.doc na pasta \Suporte\Ferramentas do CD do sistema operacional Windows Server 2003. Voc pode usar Nslookup.exe para executar teste de consulta do espao para nome DNS e para exibir informaes de diagnstico.

Recursos adicionais
Esses recursos contm informaes adicionais e ferramentas relacionadas a este captulo. Informaes relacionadas nos Resource Kits "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit para obter informaes sobre o servio Servidor DNS.

"Configuring IP Addressing and Name Resolution" em Administering Microsoft Windows XP Professional para obter informaes sobre o cliente DNS. Informaes relacionadas fora dos Resource Kits RFC 1035: "Domain Names - Implementation and Specification". DNS e BIND, 4a ed., de Paul Albitz e Cricket Liu, 2001, Sebastopol, CA: O'Reilly & Associates para obter mais informaes sobre DNS. Windows 2000 TCP/IP Protocols and Services, de Thomas Lee and Joseph Davies, 2000, Redmond, Washington: Microsoft Press para obter mais informaes sobre o protocolo fsico de DNS.

O link da IETF (Internet Engineering Task Force) na pgina Web Resources em http://www.microsoft.com/windows/reskits/webresources/ (site em ingls) para obter mais informaes sobre documentos da RFC e trabalhos em andamento da IETF. Ferramentas relacionadas Para obter informaes sobre como instalar e usar as ferramentas de suporte do Windows Server 2003 e a ajuda delas, consulte o arquivo Sreadme.doc na pasta \Suporte\Ferramentas do CD do sistema operacional Windows Server 2003. Active Directory Sizer Voc pode usar o Active Directory Sizer para estimar o hardware necessrio para implantar o Active Directory, com base nas informaes sobre perfil e domnio da organizao e na topologia do site. Netdiag.exe O Netdiag.exe ajuda a isolar problemas de rede e de conectividade, executando vrios testes para determinar o estado do cliente da rede e se ele est funcionando. Dnscmd.exe Voc pode usar a ferramenta de linha de comando Dnscmd.exe para executar a maioria das tarefas que podem ser executadas no snap-in de DNS do MMC. Nslookup.exe Use Nslookup para executar teste de consulta do espao para nome DNS e para diagnosticar problemas nos servidores de nomes.

Aviso de iseno de responsabilidade da verso Beta

Esta documentao uma verso antecipada da documentao final e pode ser alterada substancialmente antes da verso comercial final. Alm disso, informao confidencial de propriedade da Microsoft Corporation. Ela divulgada conforme descrito no acordo de no-divulgao estabelecido entre o adquirente e a Microsoft. Este documento fornecido somente para fins informativos e a Microsoft no oferece nele quaisquer garantias, explcitas ou implcitas. As informaes contidas neste documento, incluindo o URL e outras referncias a site, esto sujeitas a alteraes sem aviso prvio. O usurio assume inteiro risco quanto ao

uso e aos resultados do uso deste documento. Salvo indicao em contrrio, os exemplos de empresas, organizaes, produtos, pessoas e acontecimentos aqui mencionados so fictcios. Nenhuma associao com qualquer empresa, organizao, produto, pessoa ou acontecimento real intencional ou deve ser inferida. Obedecer a todas as leis de direitos autorais aplicveis responsabilidade do usurio. Sem limitar os direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um sistema de recuperao, ou transmitida de qualquer forma por qualquer meio (eletrnico, mecnico, fotocpia, gravao ou qualquer outro), ou para qualquer propsito, sem a permisso expressa, por escrito, da Microsoft Corporation. A Microsoft pode ter patentes ou requisies para obteno de patente, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual que abrangem o contedo deste documento. A posse deste documento no lhe confere direito algum sobre as citadas patentes, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual, salvo aqueles expressamente mencionados em um contrato de licena, por escrito, da Microsoft. 2002 Microsoft Corporation. Todos os direitos reservados. Active Accessibility, Active Channel, Active Client, Active Desktop, Active Directory, ActiveMovie, ActiveX, Authenticode, BackOffice, Direct3D, DirectAnimation, DirectDraw, DirectInput, DirectMusic, DirectPlay, DirectShow, DirectSound, DirectX, DoubleSpace, DriveSpace, FrontPage, IntelliMirror, IntelliMouse, IntelliSense, JScript, Links, Microsoft, Microsoft Press, Microsoft QuickBasic, MSDN, MSDOS, MSN, Natural, NetMeeting, NetShow, OpenType, Outlook, PowerPoint, SideWinder, Slate, TrueImage, Verdana, Visual Basic, Visual C++, Visual FoxPro, Visual InterDev, Visual J++, Visual Studio, WebBot, Win32, Windows, Windows Media, Windows NT so marcas registradas ou comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros pases. Os nomes de empresas e produtos reais aqui mencionados podem ser marcas comerciais de seus respectivos proprietrios. Agradecemos sua reviso da documentao desenvolvida pela equipe dos Windows Resource Kits. Caso tenha comentrios sobre a relevncia, a utilidade ou a abrangncia do contedo, envie-os para docbeta@microsoft.com. Lembre-se de especificar o ttulo do captulo na linha de assunto da mensagem. Favor incluir os nmeros de pgina relevantes nos comentrios. Voc tambm pode enviar seus comentrios como anexo. 1985-2002 Microsoft Corporation. Todos os direitos reservados.