Escolar Documentos
Profissional Documentos
Cultura Documentos
Implantando DNS O DNS (sistema de nomes de domnio) do Microsoft Windows 2003 fornece uma resoluo de nomes eficiente, suporte a servios de diretrio do Active Directory e interoperabilidade com outras tecnologias baseadas em padro. A implantao de DNS em sua infra-estrutura cliente/servidor ativa recursos em uma rede TCP/IP para localizar outros recursos na rede, usando resoluo de nomes de host para endereo IP e de endereo IP para nome de host.
A implantao de DNS envolve o planejamento e a criao da infra-estrutura, incluindo o espao para nome, o posicionamento do servidor, as zonas e a configurao do cliente DNS. Alm disso, preciso planejar o nvel de integrao ao Active Directory e identificar os requisitos de segurana, escalabilidade e desempenho, antes de implementar a soluo DNS em um ambiente de produo. A figura 4.1 mostra o processo de implantao de DNS.
Conceitos de DNS
O DNS do Windows Server 2003 interopera com uma ampla variedade de sistemas operacionais. Alm disso, ele usa um banco de dados distribudo que implementa um sistema de nomenclatura hierrquico. Esse sistema de nomenclatura permite a uma organizao expandir sua presena na Internet e permite a criao de nomes exclusivos na Internet e nas intranets particulares baseadas em TCP/IP. Por causa de sua estrutura distribuda e hierrquica, o DNS usado mundialmente no espao para nome da Internet. Com o uso do DNS, qualquer computador na Internet pode pesquisar o nome de qualquer outro computador no espao para nome da Internet. Computadores com o Windows Server 2003 e o Windows 2000 tambm usam o DNS para localizar controladores de domnio.
O Active Directory tambm estima: Netdiag A quantidade de memria necessria. O uso de largura de banda da rede. O tamanho do banco de dados do domnio. O tamanho do banco de dados do catlogo global. A largura de banda necessria para a replicao entre sites.
A ferramenta Netdiag ajuda a isolar problemas de rede e de conectividade. Ela executa vrios testes que podem ser usados para determinar o estado do cliente da rede. Para obter mais informaes sobre Netdiag, consulte "Ferramentas de suporte" no Centro de ajuda e suporte do Windows Server 2003. Dnscmd.exe Voc pode usar a ferramenta de linha de comando Dnscmd.exe para executar a maioria das tarefas que podem ser executadas no snap-in de DNS do MMC (Console de gerenciamento Microsoft).
Termos e definies
A seguir esto os termos mais importantes relacionados a DNS: Servidor de nomes autorizado. Um servidor que tem autorizao para resolver consultas DNS de uma zona especificada. Um servidor de nomes autorizado contm um arquivo de zona local de registros de recursos dos computadores da zona. Cada zona possui pelo menos um servidor de nomes autorizado. Encaminhamento condicional. O encaminhamento condicional permite especificar o nome de domnio interno e o endereo IP que o encaminhador associa ao nome de domnio designado na consulta. No DNS do Windows Server 2003, voc pode aprimorar o desempenho da resoluo de nomes adicionando condies baseadas em nome aos encaminhadores de DNS. Quando o encaminhador encontra correspondncia entre o nome de domnio designado na consulta e o nome de domnio especificado na condio, ele passa a consulta para um servidor DNS no domnio especificado. Os servidores DNS configurados para usar encaminhamento condicional podem executar resoluo de nomes sem usar recurso. Delegao. O processo de distribuir responsabilidade pelos nomes de domnio entre os vrios servidores DNS da rede. Para cada nome de domnio delegado, voc precisa criar pelo menos uma zona. Quanto mais domnios so delegados, mais zonas precisam ser criadas. Espao para nome DNS. A estrutura hierrquica da rvores de nomes de domnio. Cada rtulo de domnio usado em um FQDN (nome de domnio totalmente qualificado) indica um n ou uma ramificao da rvore de espao para nome de domnio. Por exemplo, host1.contoso.com um FQDN que representa o n host1, do n Contoso, do n com, da raiz Internet. Resolvedor DNS. Um servio executado em computadores cliente que envia consultas DNS a um servidor DNS. Servidor DNS. Um computador executando o servio do Servidor DNS. Um servidor DNS mantm informaes sobre uma parte do banco de dados DNS e resolve consultas DNS. Espao para nome externo. Um espao para nome pblico, por exemplo, a Internet, que pode ser acessado por qualquer dispositivo conectado. Abaixo dos domnios de nvel superior, a ICANN (Internet Corporation for Assigned Names and Numbers) e outras autoridades de nomenclatura da Internet delegam domnios a organizaes, tais como, provedores de servios de Internet, que, por sua vez, delegam subdomnios aos seus clientes. FQDN (nome de domnio totalmente qualificado). Um nome DNS que identifica exclusivamente um n de um espao para nome DNS. O FQDN de um computador uma concatenao do nome do computador (por exemplo, client1) com o sufixo DNS primrio dele (por exemplo, contoso.com). Espao para nome interno. Um espao para nome no qual as organizaes podem controlar o acesso. As organizaes podem usar o espao para nome interno para proteger os nomes e endereos IP de seus computadores internos na Internet. Uma nica organizao pode ter vrios espaos para nome internos. As organizaes podem criar seus prprios servidores raiz e quaisquer subdomnios, conforme necessrio. O espao para nome interno pode coexistir com um espao para nome externo. Servidor de nomes. Um servidor DNS que responde s solicitaes do resolvedor vindas de clientes de uma zona especificada e resolve FQDNs em endereos IP. As zonas podem conter servidores de nomes primrios e secundrios.
Servidor de nomes mestre. Um servidor que tem autoridade para resoluo de nomes em uma zona. Se um servidor de nomes mestre for um servidor de nomes primrio, dever conter um arquivo de registros de recursos da zona local. Se um servidor de nomes mestre for um servidor de nomes secundrio, dever obter registros de recursos da zona em outro servidor de nomes mestre durante uma transferncia de zona. Servidor de nomes primrio. Um servidor responsvel pela resoluo de nomes da zona sobre a qual tem autoridade. Um servidor de nomes primrio possui um banco dados DNS mestre com registros de recursos que mapeiam nomes de host para endereos IP. Os registros do banco de dados DNS mestre esto contidos em um arquivo da zona local. Servidor de nomes secundrio. Um servidor que, durante uma transferncia de zona, deve obter em um servidor de nomes mestre os registros de recursos de uma zona. Um servidor de nomes secundrio no possui um arquivo da zona local. Se um servidor de nomes secundrio for um servidor de nomes mestre, ele ter autoridade de resoluo de nomes sobre uma zona, mas ter que obter registros de recursos de outro servidor de nomes mestre. Se um servidor de nomes secundrio no for um servidor de nomes mestre, ele poder ser usado para redundncia e balanceamento de carga. RR (registro de recursos). Uma estrutura de banco de dados DNS padro contendo informaes usadas para processar consultas DNS. Por exemplo, um registro de recursos de endereo (A) contm um endereo IP correspondente a um nome de host. A maioria dos tipos bsicos de RR definida na RFC 1035, "Domain Names - Implementation and Specification", mas h outros tipos de RR definidos em outras RFCs e so aprovados para uso com o DNS. Zona de stub. Uma cpia parcial de uma zona que pode ser hospedada por um servidor DNS e usada para resolver consultas recursivas ou iterativas. As zonas de stub contm os registros de recursos SOA (Incio de autoridade), os registros de recursos DNS que listam os servidores autorizados e os registros de recursos de unio A (endereo) que so necessrios para contatar os servidores autorizados da zona. Zona. Em um banco de dados DNS, uma parte contgua da rvore DNS que administrada por um servidor DNS como uma nica entidade separada. A zona contm registros de recursos de todos os nomes cadastrados. Arquivo de zona. Um arquivo que consiste em registros de recursos do banco de dados DNS que definem a zona. Cada servidor de nomes primrio contm um arquivo de zona. Transferncia de zona. O processo de mover o contedo do arquivo de zona localizado em um servidor de nomes primrio para um servidor de nomes secundrio. A transferncia de zona oferece tolerncia falhas, atravs da sincronizao do arquivo de zona de um servidor de nomes primrio com o arquivo de zona de um servidor de nomes secundrio. O servidor de nomes secundrio poder continuar a realizar a resoluo de nomes se o servidor de nomes primrio falhar. A transferncia de zona tambm oferece balanceamento de carga, atravs da diviso da carga da rede entre os servidores de nomes primrios e secundrios, durante perodos de volume intenso de consultas de resoluo de nomes.
Atribuir endereos IP. Registrar nomes de domnio DNS. Manter registros pblicos dos endereos IP e dos nomes de domnio registrados
Se sua rede est ou ser conectada Internet, voc deve determinar o status de registro de seus endereos IP. Os endereos IP de sua rede sero usados por outros computadores na Internet para localizar recursos nela. Se voc j estiver conectado Internet, sua rede uma sub-rede da rede do seu provedor de servios de Internet. Verifique se seu provedor de servios de Internet registrou os endereos IP dessa sub-rede em um registrador da Internet. Se registrou, voc no precisar registr-los.
Se voc for atualizar para o Windows Server 2003, executar uma nova implantao de DNS ou integrar o DNS do Windows Server 2003 aos servios do Active Directory, no precisa fazer alteraes na infraestrutura de DNS existente. No entanto, se voc for migrar de uma infra-estrutura de DNS de terceiros ou integrar o DNS do Windows Server 2003 a uma infra-estrutura de DNS de terceiros, crie um diagrama da infra-estrutura de DNS existente, incluindo domnios, servidores e clientes. Use esse diagrama para ajud-lo a decidir se h necessidade de fazer alteraes na infra-estrutura de DNS atual ao implantar o DNS do Windows Server 2003.
Se voc for atualizar para o DNS do Windows Server 2003 a partir de uma verso anterior do Windows, talvez precise substituir um sistema de resoluo de nomes existente (ou oferecer suporte a ele), por exemplo, o WINS (Servio de cadastramento na Internet do Windows), pela infra-estrutura de DNS do Windows Server 2003. Voc pode oferecer suporte a uma implantao de WINS existente, configurando os servidores DNS do Windows Server 2003 para consultar servidores WINS como uma configurao de zona DNS. Se voc for migrar ou integrar o DNS do Windows Server 2003 a uma infra-estrutura de DNS de terceiros, no precisar alterar o design do espao para nome usado na infra-estrutura de DNS de terceiros. Se voc for implantar uma nova infra-estrutura de DNS do Windows Server 2003, dever criar uma estratgia de nomenclatura de domnios e computadores do DNS e planejar como esses nomes sero resolvidos na rede e na Internet. Se voc for implantar DNS do Windows Server 2003 para oferecer suporte ao Active Directory, dever integrar a floresta e a nomenclatura de domnio do Active Directory infra-estrutura de DNS. Por exemplo, voc pode modificar o design do espao para nome DNS existente a fim de acomodar os recursos da rede que devem localizar os nomes especficos dos controladores de domnios, das OUs (unidades organizacionais), dos sites e das sub-redes do Active Directory. Observao preciso planejar o espao para nome DNS juntamente com a estrutura lgica do Active Directory. Para obter mais informaes sobre como criar a estrutura lgica do Active Directory, consulte "Criando a estrutura lgica" em Criando e implantando servios de diretrio e de segurana. A tabela 4.1 resume os requisitos de design do espao para nome DNS em cada cenrio possvel. Tabela 4.1 Requisitos de design do espao para nome DNS
Cenrio Voc vai atualizar uma infra-estrutura de DNS existente a partir de uma verso do Windows anterior ao Windows Server 2003. Voc vai atualizar de uma infra-estrutura de DNS de terceiros que usa software de DNS que atende s diretrizes padro de nomenclatura de domnio DNS. O software de DNS que voc tem no est de acordo com as diretrizes padro de nomenclatura de domnio DNS.
Requisitos de design O design do espao para nome DNS pode permanecer o mesmo. O design do espao para nome DNS pode permanecer o mesmo.
Antes de implantar um espao para nome DNS do Windows Server 2003, deixe o design de espao para nome DNS existente em conformidade com as diretrizes de nomenclatura de domnio DNS. Integre o DNS do Windows Server 2003 O software de DNS de terceiros que voc tem est de acordo com as diretrizes padro sua infra-estrutura de DNS atual. Voc no precisa alterar o design do espao para nome de nomenclatura de domnio DNS. da infra-estrutura de DNS de terceiros ou do espao para nome existente. Voc vai implantar uma nova infra-estrutura Crie uma conveno de nomenclatura lgica de DNS do Windows Server 2003. para o espao para nome DNS com base nas diretrizes de nomenclatura de domnio DNS.
Crie um design de espao para nome DNS Voc vai implantar o DNS do Windows Server 2003 para oferecer suporte ao Active com base na conveno de nomenclatura do Active Directory. Directory. Voc vai modificar o espao para nome DNS Certifique-se de que os nomes de domnio do existente a fim de oferecer suporte ao Active Active Directory correspondem aos nomes Directory, mas no deseja reprojetar o espao DNS existentes. Essa correspondncia permite implantar o nvel mais alto de para nome DNS. segurana, usando as tcnicas de gerenciamento mais simples.
Selecione a opo de design de configurao que melhor atenda s necessidades da organizao. A tabela 4.2 lista as opes de design para a implantao de um espao para nome interno e externo e o nvel de complexidade de gerenciamento de cada opo, juntamente com um exemplo para ilustrar cada opo. Tabela 4.2 Opes de design misto de espao para nome DNS interno e externo
Complexidade de Exemplo gerenciamento O domnio interno um Essa configurao Uma organizao com um domnio subdomnio do domnio externo. fcil de implantar e de espao para nome externo chamado contoso.com usa o administrar. domnio de espao para nome interno chamado corp.contoso.com. Os nomes de domnio interno e Essa configurao Uma organizao usa contoso01externo no tm relao. um pouco difcil de ext.com como seu nome de domnio do espao para nome externo e implantar e contoso.com como seu nome de administrar. domnio do espao para nome interno. Essa configurao Uma organizao usa o nome de O nome de domnio interno igual ao externo, no entanto, a bastante difcil de domnio contoso.com para o nome organizao possui um espao implantar e de domnio do espao para nome administrar. Essa para nome particular. interno particular e para o nome de opo no domnio do espao para nome
Opo de design
recomendada.
externo pblico.
Voc pode usar seu subdomnio interno como pai de outros domnios filho criados a fim de gerenciar divises de sua empresa. Os domnios filho tm nomes DNS imediatamente subordinados ao nome do pai do domnio DNS. Por exemplo, um domnio filho do departamento de Recursos Humanos adicionado ao espao para nome us.corp.contoso.com pode ter o nome de domnio rh.us.corp.contoso.com. Se voc usa essa opo de configurao em seu domnio interno, implante os computadores a serem expostos Internet no domnio externo fora do firewall. Implante os computadores que no sero expostos Internet no domnio interno do subdomnio.
Se seus clientes no puderem transmitir consultas atravs de um firewall, duplique na rede interna todos os dados da zona DNS pblica e todos os servios pblicos (tais como servidores Web) que pertenam organizao. Mantenha uma lista dos servidores pblicos que pertencem organizao no arquivo PAC de cada um de seus clientes DNS.
O mtodo escolhido depende dos recursos de proxy do software cliente. A tabela 4.3 lista os mtodos possveis que voc pode usar para permitir o uso do mesmo nome de domnio nos espaos para nome interno e externo e os recursos de proxy do software cliente possveis em cada mtodo. Tabela 4.3 Mtodos de uso do mesmo nome em espaos para nome interno e externo e recursos de proxy compatveis
Mtodo
Usar nomes de domnio diferentes Copiar os dados da zona do servidor DNS externo para o interno. Duplicar todos os dados da zona DNS pblica e todos os servidores pblicos na rede interna. Manter a lista de servidores pblicos nos arquivos PAC dos clientes DNS.
Lista de nomes LAT Recurso de proxy excludos (tabela de do software endereo Sem proxy local)
Arquivo PAC
O uso de uma raiz DNS interna oferece os seguintes benefcios: Escalabilidade. Uma rede grande com um espao para nome DNS interno hospedada em vrios servidores DNS facilmente escalonvel. Se sua rede est espalhada por vrios locais, uma raiz DNS interna o melhor mtodo de administrao de toda a atividade de DNS da rede distribuda. Resoluo de nomes eficiente. Com uma raiz DNS interna, os clientes e servidores DNS da rede no entram em contato com a Internet para resolver nomes internos. Dessa forma, os dados DNS da rede no so transmitidos pela Internet. Voc pode ativar a resoluo de nomes de qualquer nome em outro espao para nome, adicionando uma delegao de sua zona raiz. Por exemplo, se seus computadores precisam de acesso a recursos de uma organizao parceira, voc pode adicionar uma delegao de sua zona raiz ao nvel superior do espao para nome DNS da organizao parceira. Eliminao de encaminhadores. O uso de uma raiz DNS interna elimina a necessidade de encaminhadores porque a resoluo de nomes executada internamente. Os servidores DNS de um espao para nome DNS interno so configurados com dicas de raiz que apontam para os servidores raiz DNS internos. Importante No repita nomes externos no espao para nome interno. Se voc repetir nomes Internet DNS em sua intranet, isso poder resultar em erros de resoluo de nomes. Se os computadores de sua rede no precisam acessar recursos externos ao espao para nome DNS, implante e mantenha uma raiz DNS interna. Se seus computadores no precisam acessar recursos externos ao espao para nome DNS, talvez voc no consiga usar uma raiz interna para resoluo de nomes, dependendo dos recursos de proxy do computador na rede. Se for necessria a resoluo de nomes em computadores que no oferecem suporte a proxy de software ou em computadores que oferecem suporte somente a LATs, voc no poder usar uma raiz interna no espao para nome DNS. Nesse caso, ser preciso configurar um ou mais servidores DNS internos para encaminhar para a Internet consultas que no possam ser resolvidas localmente. A tabela 4.4 lista os tipos de recursos de proxy do cliente e se voc pode usar uma raiz DNS interna para cada tipo. Tabela 4.4 Recursos de proxy do cliente
Recurso de proxy Software Microsoft com recursos de proxy correspondentes Sem proxy LAT (tabela de endereo local) Telnet genrico Winsock Proxy (WSP) 1.x e posterior Internet Security and Acceleration (ISA) Server 2000 e posterior WSP 1.x e posterior Internet Security and Acceleration (ISA) Server 2000 e posterior e todas as verses do Microsoft Internet Explorer WSP 2.x
Encaminha consultas
Arquivo PAC
Internet Security and Acceleration (ISA) Server 2000 e posterior. Internet Explorer 3.01 e posterior
Voc pode usar as zonas de stub do DNS do Windows Server 2003 para facilitar a distribuio de dados DNS entre espaos para nome diferentes. No entanto, o uso de zonas de stub menos eficiente que o uso de encaminhadores condicionais do Windows Server 2003. Para obter mais informaes sobre encaminhadores condicionais e zonas de stub, consulte o Centro de ajuda e suporte do Windows Server 2003 e "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).
Integrando uma infra-estrutura DNS do Windows Server 2003 ao espao para nome DNS existente
O DNS do Windows Server 2003 est de acordo com os padres e interopera com outras implementaes de DNS, incluindo Windows NT 4.0, BIND 9.1.0, BIND 8.2, BIND 8.1.2 e BIND 4.9.7. A complexidade do processo de integrao depende, em parte, dos recursos DNS aos quais preciso oferecer suporte. Se os computadores da infra-estrutura de DNS estiverem executando verses do DNS que oferecem suporte aos mesmos recursos, ento a integrao da infra-estrutura de DNS do Windows Server 2003 ser um processo simples. Porm, se estiverem executando verses do DNS que no oferecem suporte aos mesmos recursos, o processo de integrao ser mais complexo. A tabela 4.5 compara o suporte a recursos no DNS do Windows Server 2003 com outras implementaes.
Recurso
Oferece suporte ao Internet-Draft (trabalho em andamento) "A DNS RR for specifying the location of services (DNS SRV)" da IETF. (Registros do servidor) Atualizao dinmica Atualizao dinmica segura com base no algoritmo TSIG. Registros WINS e WINS-R Transferncia rpida de zona Transferncia de zona incremental Codificao de caracteres UTF-8 Snap-in de DNS do MMC Dnscmd.exe Zonas integradas ao Active Directory Armazenamento de zonas na partio de aplicativo do Active Directory Durao e eliminao de registros obsoletos Zonas de stub Encaminhamento condicional Mecanismos de extenso do DNS (EDNS0)
Windows Windows Windows BIND BIND 2000 NT 4.0 9 8.2 Server 2003
Criando subdomnios
Se voc pretende implantar DNS em uma grande rede corporativa ou se a expectativa de expanso da rede inclui sub-redes e sites adicionais, precisa distribuir o gerenciamento das partes do espao para nome DNS entre os administradores de sub-redes e sites diferentes da rede. Para distribuir o gerenciamento do espao para nome DNS, crie subdomnios do domnio DNS inicial e delegue a autoridade desses subdomnios para servidores DNS localizados em sub-redes ou sites diferentes. Dessa maneira, voc pode criar qualquer quantidade de entidades diferentes e autnomas em um espao para nome DNS, sendo que cada uma delas est autorizada em uma parte do espao para nome geral. Criar subdomnios do domnio DNS interno permite o seguinte: Distribuio da administrao da rede. Os subdomnios permitem a distribuio e o gerenciamento dos recursos da rede em grupos administrativos ou departamentos. Voc pode implantar subdomnios DNS que reflitam os departamentos administrativos existentes em sua empresa, criando um subdomnio diferente para cada segmento da rede. Balanceamento de carga de rede. Distribuindo a carga da rede por vrios subdomnios, voc pode aumentar a eficincia e o desempenho do espao para nome DNS.
Se houver entidades da organizao que no momento gerenciam os prprios recursos de rede, determine se elas precisam ter autoridade sobre a parte delas do espao para nome DNS. Se precisarem, delegue a autoridade para esse domnio filho.
Alm disso, voc deve determinar se precisa oferecer suporte aos nomes NetBIOS em sua organizao.
Depois de selecionar o nome de domnio Internet DNS e identificar o domnio de nvel superior do qual o domnio DNS um subdomnio, execute as etapas a seguir para registrar o nome de domnio DNS: 1. Faa uma pesquisa na Internet para confirmar se o nome de domnio DNS selecionado para sua organizao no est registrado para outra organizao. Se o nome de domnio selecionado pertencer a outra organizao, voc poder tentar compr-lo dela ou selecionar um nome de domnio DNS diferente. Configure pelos menos um servidor DNS autorizado para hospedar a zona DNS de seu nome de domnio. O servidor DNS deve estar localizado na sua rede ou na rede do provedor de servios de Internet.
2.
Registre o nome de domnio DNS em um registrador da Internet (www.registro.br) e fornea a ele um nome de domnio e um endereo IP de pelo menos um servidor DNS autorizado para o nome de domnio DNS. necessrio ainda informar um servidor DNS secundrio (slave), podendo ser utilizado o mesmo endereo IP, desde que de um domnio diferente. O processo de registro de nome de domnio da Internet varia de acordo com o design do espao para nome DNS. A tabela 4.6 lista os nomes de domnio que voc precisa registrar para cada tipo de design de espao para nome DNS. Tabela 4.6 Registro de nome de domnio Internet DNS
Registro do nome Exemplo de domnio O nome de domnio contoso.com Registrar apenas o O nome de domnio interno usado no espao para nome externo. nome de domnio um subdomnio do domnio externo. externo. O nome de domnio corp.contoso.com usado no espao para nome interno. Os nomes de domnio interno e Registrar os nomes O nome de domnio contoso01externo no tm relao. de domnio interno e ext.com usado no espao para nome externo. externo. O nome de domnio contoso.com usado no espao para nome interno. Registrar o nome de O nome de domnio contoso.com usado nos espaos para nome domnio interno e externo. interno/externo.
O nome de domnio interno igual ao externo, no entanto, a organizao possui um espao para nome particular.
Ao registrar o nome de domnio DNS, o registrador da Internet cria uma delegao na zona DNS que tem autoridade sobre o domnio de nvel superior selecionado. Esse o domnio de nvel superior dos servidores DNS autorizados para o nome de domnio Internet DNS da organizao. Observao Se um nome de domnio a ser registrado no estiver disponvel em um domnio de nvel superior, por exemplo, .com. no registre o mesmo nome de domnio em outro domnio de nvel superior, por exemplo, .net. As pessoas que esto pesquisando o seu nome de domnio podem assumir computadores e servios do domnio de nvel superior errado como pertencentes sua empresa.
Se voc vai implantar DNS em uma rede particular e no planeja criar uma espao para nome externo, recomendado registrar o nome de domnio DNS criado para o domnio interno. Se voc no registrar o nome e depois tentar us-lo na Internet ou conectar-se a uma rede que esteja conectada Internet, talvez descubra que o nome no est disponvel.
Criando nomes de computador em uma nova infraestrutura de DNS do Windows Server 2003
Use as diretrizes a seguir para criar nomes de computadores DNS na nova infra-estrutura de DNS do Windows Server 2003: Selecione nomes de computador que sejam fceis para os usurios lembrarem. Identifique o proprietrio de um computador no nome dele. Por exemplo, jose-oliveira-1 indica que Jos Oliveira usa o computador. Selecione nomes que descrevam a finalidade do computador. Por exemplo, um servidor de arquivos chamado contas-anteriores-1 indica que o servidor de arquivos armazena informaes relacionadas a contas anteriores.
No use diferenciao entre letras maisculas e minsculas para representar o proprietrio ou a finalidade de um computador. O DNS no faz essa diferenciao. Use o nome de domnio do Active Directory no sufixo DNS primrio do nome do computador. Se um computador no fizer parte de um domnio, use um nome de domnio da Internet registrado ou um derivado de um nome registrado no sufixo DNS primrio. Use nomes exclusivos para todos os computadores da organizao. No atribua o mesmo nome a computadores diferentes em domnios DNS diferentes. Use caracteres ASCII para garantir a interoperabilidade com computadores que executam verses do Windows anteriores ao Windows 2000. Nos nomes de computador DNS, use somente caracteres listados na RFC 1123, "Requirements for Internet Hosts - Application and Support", que inclui A-Z, a-z, 0-9 e o hfen (-). O DNS do Windows Server 2003 oferece suporte a quase todos os caracteres UTF-8 de um nome. No entanto, no use caracteres ASCII ou UTF-8 estendidos, a menos que todos os servidores DNS do seu ambiente ofeream suporte a eles.
Restrio do DNS padro (incluindo Windows NT 4.0) conjunto de caracteres Caracteres Suporte RFC 1123, a permitidos qual permite "A" a "Z", "a" a "z", "0" a "9" e o hfen (-).
NetBIOS DNS no Windows 2000 e no Windows Server 2003 Suporte RFC 1123 e a No permitido: UTF-8. Voc pode caracteres Unicode, configurar o servidor nmeros, espao em DNS do Windows 2000 branco e os smbolos: / para permitir ou limitar o \ [ ] : | < > + = ; , ? e *)
uso de caracteres UTF-8 no servidor Windows 2000. Voc pode fazer isso por servidor. 15 bytes. 63 octetos por rtulo. 255 O mesmo que o DNS Tamanho padro com a adio do bytes por FQDN (254 mximo do nome do host bytes para o FQDN mais suporte a UTF-8. A contagem de caracteres e do FQDN. um byte para o ponto no suficiente para final). determinar o tamanho porque alguns caracteres UTF-8 excedem um octeto. Os controladores de domnio esto limitados a 155 bytes para um FQDN.
Importante Nomes codificados no formato UTF-8 no devem exceder os limites definidos na RFC 2181, "Clarifications to the DNS Specification", a qual especifica um mximo de 63 octetos por rtulo e 255 octetos por nome. A contagem de caracteres no suficiente para determinar o tamanho porque alguns caracteres UTF-8 excedem um octeto.
caracteres UCS-2 (ou Unicode). O conjunto de caracteres UTF-8 permite fazer a transio de nomes NetBIOS do Windows NT 4.0 para nomes DNS do Windows 2000 e do Windows Server 2003. Por padro, a verificao de nomes UTF-8 multibyte usada. Ela oferece a melhor tolerncia durante o processamento de caracteres pelo servio DNS. o mtodo de verificao de nomes preferencial para a maioria dos servidores DNS operados de forma particular que no estejam fornecendo servio de nome para hosts da Internet. Importante O DNS do Windows Server 2003 e do Windows 2000 oferece suporte a caracteres NetBIOS e UTF-8 em nomes de computador. Outras verses do DNS oferecem suporte apenas aos caracteres permitidos na RFC 1123. Portanto, use conjuntos de caracteres NetBIOS e UTF-8 somente quando tiver certeza de que o DNS do Windows Server 2003 ou do Windows 2000 o mtodo usado para resoluo de nomes. Nomes que sero exibidos na Internet devem conter apenas caracteres ASCII, conforme recomenda a RFC 1123.
Figura 4.4 Resoluo de nomes na diviso Contoso Com base nessa configurao, os clientes internos podem consultar nomes, executando os seguintes procedimentos: Consultar nomes internos nos servidores DNS internos. Os servidores DNS internos resolvem a consulta. Se um servidor DNS que recebe uma consulta no contm os dados solicitados em suas zonas ou cache, ele executa resoluo de nomes recursiva, contatando os servidores DNS raiz internos. Consultar nomes da Internet em um servidor proxy. O servidor proxy encaminha a consulta para os servidores DNS da Internet. Os servidores DNS da Internet resolvem a consulta. Consultar nomes do espao para nome externo da diviso Contoso em um servidor proxy. O servidor proxy encaminha a consulta para os servidores DNS da Internet. Os servidores DNS da Internet resolvem a consulta. Consultar nomes da diviso Acquired nos servidores DNS internos. Como os servidores raiz contm uma delegao para o nvel superior do espao para nome DNS da diviso Acquired, os servidores DNS internos resolvem recursivamente a consulta, contatando os servidores DNS da diviso Acquired.
Clientes externos: No possvel consultar nomes internos. Essa limitao ajuda a proteger a rede interna.
Consultar nomes do espao para nome externo da diviso Contoso nos servidores DNS da Internet. Os servidores DNS da Internet resolvem a consulta.
A diviso Acquired usa o nome acquired01-ext.com externamente e o nome corp.acquired01-ext.com internamente. O servidor DNSInterno.corp.acquired01-ext.com hospeda a zona corp.acquired01-ext.com. A diviso Acquired no possui uma raiz particular. Para simplificar o gerenciamento de clientes e servidores DNS, os administradores da diviso Acquired decidem usar encaminhamento condicional. Os administradores configuram o servidor DNS DNSInterno.corp.acquired01-ext.com para encaminhar consultas da seguinte maneira: O servidor encaminha todas as consultas destinadas diviso Contoso para um servidor DNS dela. Por exemplo, o servidor encaminha consultas destinadas a corp.contoso.com para DNSInterno.corp.contoso.com. Ao mesmo tempo, o servidor encaminha todas as outras consultas destinadas a contoso.com para um servidor DNS da Internet.
para nome DNS, quantos clientes DNS tem e onde esses clientes esto fisicamente localizados, todas essas informaes causam impacto na topologia de servidor DNS. Planejar o design dos servidores DNS permite criar uma distribuio de dados DNS efetiva e atualizar a topologia, bem como minimizar a distribuio e atualizar o trfego da rede. A figura 4.6 mostra o processo de criao de servidores DNS.
Usar CPUs mais rpidas, mais RAM e discos rgidos maiores melhora a escalabilidade e o desempenho dos servidores DNS. Lembre-se de que os servidores DNS usam aproximadamente 100 bytes de RAM para cada registro de recursos. Voc pode usar computadores com dois processadores para aprimorar o desempenho dos servidores DNS, atribuindo o servio Servidor DNS ao primeiro processador e os processos de banco de dados, tais como transferncias de zona, ao segundo processador.
Use as diretrizes a seguir para determinar o nmero de servidores DNS que precisam ser implantados: Se voc tiver um grande nmero de clientes, adicione outros servidores DNS para hospedar zonas secundrios ou integradas ao Active Directory. Use o nmero antecipado de consultas e atualizaes dinmicas por segundo para determinar o nmero de servidores DNS necessrios. O servio Servidor DNS do Windows Server 2003 pode responder a mais de 10.000 consultas por segundo em um microprocessador Pentium III de 700 MHz.
Para obter informaes sobre o planejamento de capacidade, consulte "Alocando recursos de hardware", anteriormente, neste captulo. Se for delegar zonas, adicione outros servidores DNS para cuidar das zonas delegadas. Lembre-se de que voc no precisa delegar zonas quando tem vrias delas. Voc pode hospedar todas as zonas no mesmo servidor ou servidores. Um servidor DNS do Windows Server 2003 pode hospedar 200.000 zonas contendo 6 registros de recursos. Se voc planeja hospedar zonas integradas ao Active Directory, deve coloc-las nos servidores DNS. Se voc no usar zonas integradas ao Active Directory, as transferncias de zona e o trfego de consultas ao DNS podero sobrecarregar os links lentos. Se o trfego de volume intenso for uma considerao em seu ambiente, adicione outros servidores DNS para fornecer balanceamento de carga. Embora o DNS seja criado para ajudar a reduzir o trfego de difuso entre sub-redes locais, ele no cria trfego entre servidores e clientes que devem ser examinados, especialmente em
complexos ambientes roteados. Alm disso, embora o servio DNS oferea suporte a IXFRs (transferncias de zona incrementais) e clientes e servidores possam armazenar em cache os nomes usados recentemente, as consideraes relacionadas a trfego s vezes continuam sendo um problema. Isso ocorre especialmente com pequenas concesses de DHCP, as quais exigem atualizaes dinmicas mais freqentes. Se voc tem uma LAN roteada com links confiveis e de alta velocidade, um servidor DNS pode ser o suficiente para uma rea de rede maior que inclua vrias sub-redes. Se voc tem um nmero alto de ns de cliente em uma nica sub-rede, colocar mais que um servidor DNS na sub-rede permite backup e failover, caso o DNS preferencial pare de responder.
Se o seu design de DNS inclui zonas primrias e secundrias e voc executa um grande nmero de servidores secundrios em uma zona, o servidor de nomenclatura mestre primrio pode ficar sobrecarregado durante a monitorao feita pelos servidores secundrios para verificar se os dados da zona deles esto atualizados. possvel resolver esses problemas executando um destes trs procedimentos: Use alguns dos servidores secundrios como servidores mestre da zona. Outros servidores secundrios podem monitorar e solicitar atualizaes de zona a partir desses servidores mestre. Aumente o intervalo de atualizao para que os servidores secundrios monitorem com menos freqncia. Lembre-se, no entanto, de que um intervalo de atualizao mais longo faz com que as zonas secundrias fiquem desatualizadas com mais freqncia. Crie servidores DNS somente de cache. Os locais remotos podem beneficiar-se de um servidor DNS local somente de cache, alm dos servidores DNS que voc adicionou para garantir a disponibilidade.
Certifique-se de que pelo menos um servidor DNS est disponvel em cada rede. Essa precauo remove roteadores como um ponto de falha. Sempre que possvel, distribua os servidores DNS por diferentes localizaes geogrficas. Essa distribuio permita que as comunicaes continuem em caso de um desastre natural. Se voc identificar pontos de falha nicos na rede, determine se eles afetam somente o DNS ou todos os servios da rede. Se um roteador for desativado e seus clientes no puderem acessar servios da rede, ento a falha do DNS no ser um problema. Se um roteador for desativado e os servidores DNS no estiverem disponveis, mas outros servios da rede estiverem, seus clientes no podero acessar os recursos da rede necessrios porque no conseguiro pesquisar nomes DNS.
Se voc tiver uma presena na Internet, o DNS dever estar funcionando corretamente para que os clientes acessem seus servidores Web, enviem email e localizem outros servios. Portanto, recomenda-se a execuo de um servidor DNS secundrio off-site. Se voc tiver uma relao comercial com uma organizao na Internet, parceiros comerciais ou provedores de servios de Internet, talvez eles concordem em executar um servidor secundrio para voc. No entanto, certifique-se de que os dados no servidor da organizao esto protegidos contra invasores da Internet. Para garantir a disponibilidade do DNS, caso seus servidores DNS primrios off-site estejam desativados, considere a implantao de um servidor DNS secundrio off-site. Essa medida de precauo recomendada mesmo que voc no tenha uma presena na Internet.
Usando encaminhamento
Se um servidor DNS estiver configurado corretamente, mas no puder resolver uma consulta usando seu cache ou suas zonas, ele encaminhar uma consulta para outro servidor, chamado de encaminhador. Os encaminhadores so servidores DNS comuns e no precisam de configurao especial. Um servidor DNS chamado de encaminhador porque o destinatrio de uma consulta encaminhada para outro servidor DNS. til usar encaminhamento para trfego off-site ou da Internet. Por exemplo, o servidor DNS de uma filial pode encaminhar todo o trfego off-site para um encaminhador na matriz da empresa e um servidor DNS interno pode encaminhar todo o trfego da Internet para um encaminhador na Internet. Para garantir a disponibilidade, uma boa idia encaminhar consultas para mais de um encaminhador. Use encaminhadores em cadeia para limitar o nmero de servidores que devem enviar consultas off-site. Por exemplo, seus servidores DNS internos podem encaminhar todas as consultas para um ou dois encaminhadores que, sucessivamente, encaminham consultas para um servidor na Internet. Dessa forma, os servidores DNS internos no precisam consultar a Internet diretamente. Dependendo dos padres de trfego, o uso de encaminhadores pode minimizar o volume de trfego off-site na organizao.
Os encaminhadores fornecem tambm segurana adicional da rede, minimizando a lista de servidores DNS que podem comunicar-se por um firewall. Voc pode usar o encaminhamento condicional para controlar o processo de resoluo de nomes em um nvel mais granular. O encaminhamento condicional permite atribuir domnios especficos aos encaminhadores. Voc pode usar encaminhamento condicional para resolver o seguinte: Consultas de nomes em domnios internos off-site. Consultas de nomes em outros espaos para nome.
Isso gera trfego adicional na rede. Por exemplo, um servidor no raiz no Site A est configurado para encaminhar consultas para um encaminhador no Site B e ele deve resolver um nome em uma zona hospedada pelo servidor no Site C. Como o servidor no raiz pode encaminhar consultas somente para o Site B, ele no pode consultar diretamente o servidor no Site C. Em vez disso, ele encaminha a consulta para o encaminhador no Site B e o encaminhador consulta o servidor no Site C. Ao usar encaminhamento condicional, voc pode configurar os servidores DNS para encaminhar consultas para servidores diferentes, com base no nome de domnio especificado na consulta. Isso elimina etapas na cadeia de encaminhamento e reduz o trfego da rede. Quando o encaminhamento condicional aplicado, o servidor do Site A pode encaminhar consultas para encaminhadores do Site B ou do Site C, conforme apropriado. Por exemplo, os computadores do site de Seville da Contoso Corporation precisam consultar computadores no site da R.A.E. de Hong Kong, na sia. Ambos os sites usam um servidor DNS raiz comum, DNS3.Seville.avionics01-int.com, localizado em Seattle. Antes da Contoso atualizar para o Windows Server 2003, o servidor de Seville encaminhava todas as consultas que no podia resolver para seu servidor pai, DNS1.avionics01-int.com, em Seattle. Quando o servidor de Seville consultava nomes no domnio Avionics (na R.A.E de Hong Kong e em Tquio), o servidor de Seville encaminhava essas consultas primeiro para Seattle. Depois da atualizao para o Windows Server 2003, os administradores configuraram o servidor DNS de Seville para encaminhar consultas destinadas R.A.E. de Hong Kong diretamente para um servidor desse site, em vez de primeiro desviar para Seattle, conforme mostra a figura 4.7.
Figura 4.7 Encaminhamento condicional para um servidor off-site Os administradores configuraram DNS3.Seville.avionics01-int.com para encaminhar qualquer consulta de acquired01-int.com para DNS5.acquired01-int.com ou DNS6.acquired01-int.com. DNS3.Seville.avionics01int.com encaminha todas as outras consultas para DNS1.avionics01-int.com ou DNS2.avionics01-int.com. Para obter mais informaes sobre encaminhamento condicional, consulte "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).
Usando encaminhamento condicional para consultar nomes em outros espaos para nome
Se a rede interna no tiver uma raiz particular e os usurios precisarem de acesso a outros espaos para nome, por exemplo, uma rede que pertence a uma empresa parceira, use o encaminhamento condicional para permitir que os servidores consultem nomes em outros espaos para nome. Antes do encaminhamento condicional, os servidores DNS encaminhavam consultas para um nico servidor. Por causa dessa limitao, era comum configurar servidores para encaminhar todas as consultas que no conseguiam resolver (todas as consultas fora do espao para nome deles) para um servidor na Internet. Dessa forma, os servidores DNS internos resolviam nomes dos espaos para nome interno e da Internet. No entanto, para resolver nomes em outros espaos para nome, todos os servidores DNS que hospedavam o domnio de nvel superior da empresa tambm tinham que hospedar uma zona secundria do domnio de nvel superior da
empresa parceira. Essa soluo exigia espao de armazenamento adicional no servidor DNS e trfego adicional da transferncia de zona. Com o encaminhamento condicional, os servidores DNS podem encaminhar consultas para outros servidores com base no nome do domnio, eliminando a necessidade de zonas secundrias. Por exemplo, a Contoso Corporation inclui dois espaos para nome: Contoso e Acquired. Os computadores de cada diviso precisam acessar o outro espao para nome. Alm disso, os computadores de ambas as divises precisam acessar computadores do espao para nome particular Fornecedor. Antes de atualizar para o Windows Server 2003, a diviso Acquired criou zonas secundrias para que os computadores dos espaos para nome Contoso e Acquired pudessem resolver nomes nos espaos para nome Contoso, Acquired e Fornecedor. Depois de atualizar para o Windows Server 2003, a diviso Acquired excluiu suas zonas secundrias e, no lugar, configurou o encaminhamento condicional.
Faa backup da configurao existente para poder restaurar, caso algo d errado. Faa o planejamento da agenda da migrao de forma que os clientes DNS tenham acesso contnuo ao servidor DNS. Por exemplo, voc pode adiar a colocao do servidor DNS existente offline at ter certeza de que o servidor DNS do Windows Server 2003 est funcionando corretamente. Depois de atualizar e migrar os servidores, teste-os para certificar-se de que esto executando corretamente. Para obter mais informaes sobre como testar o desempenho do servidor DNS, consulte "Monitorar servidores" no Centro de ajuda e suporte do Windows Server 2003 e "Troubleshooting Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Troubleshooting Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).
Observao Se voc for usar o arquivo de inicializao de BIND com o servio DNS do Windows Server 2003, outras limitaes se aplicaro ao uso desse arquivo pelo servio DNS. Por exemplo, no h suporte para algumas diretivas de inicializao de BIND. Para obter mais informaes sobre como usar arquivos de inicializao de BIND com o DNS do Windows Server 2003, consulte o link do Microsoft Knowledge Base na pgina Web Resources em http://support.microsoft.com/default.aspx?scid=fh;ENUS;kbhowto&sd=GN&ln=EN-US&FR=1 e procure pelos artigos Q194513, "The Structure of a Domain Name System Boot File", e Q234144, "DNS Boot File Directives and Configuration for Windows NT 4.0".
das zonas secundrias, voc pode armazenar todos os tipos de zona no Active Directory. Ao criar zonas DNS, hospede cada uma delas em mais que um servidor DNS. Decida o tipo de zona a ser usado com base na estrutura do domnio. Para cada tipo de zona, com exceo das secundrias, decida se ir implant-las com base em arquivo ou integradas ao Active Directory.
Zonas primrias
Implante zonas primrias que correspondam aos nomes de domnio DNS planejados. Voc no pode armazenar uma cpia primria integrada ao Active Directory e com base em arquivo da mesma zona.
Zonas secundrias
Adicione zonas secundrias se no tiver uma infra-estrutura do Active Directory. Se voc no tiver uma infraestrutura do Active Directory, use zonas secundrios em servidores DNS que no estejam agindo como controladores de domnio. Uma zona secundria contm uma cpia completa de uma zona. Portanto, use zonas secundrias para melhorar a disponibilidade da zona em sites remotos, caso no queira que os dados delas sejam replicados por um link da WAN, atravs da replicao do Active Directory. melhor adicionar zonas secundrias para a maioria das zonas primrias ou todas elas. Esse design permite a tolerncia a falhas, a distribuio geogrfica de hosts da rede e o balanceamento de carga.
Zonas de stub
Uma zona de stub uma cpia de uma zona que contm somente o registro de recursos SOA (incio de autoridade), os registros de recursos NS (servidor de nomes) listando os servidores autorizados da zona e os registros de recursos de host (A) necessrios para identificar esses servidores autorizados. Um servidor DNS que hospeda uma zona de stub configurado com o endereo IP do servidor autorizado do qual carregado. possvel atualizar manualmente a zona de stub. Quando um servidor DNS que hospeda uma zona de stub recebe uma consulta de um nome de computador na zona qual a zona de stub se refere, ele usa o endereo IP para consultar o servidor autorizado ou, se a consulta for iterativa, retorna uma referncia para os servidores DNS listados na zona de stub. Os servidores DNS podem usar zonas de stub para consultas iterativas e recursivas. As zonas de stub so atualizadas em intervalos regulares, determinados pelo intervalo de atualizao do registro de recursos SOA dela. Quando um servidor DNS carrega uma zona de stub, ele consulta registros de recursos SOA nos servidores mestre da zona, registros de recursos NS na raiz dela e registros de recursos A. O servidor DNS tenta atualizar seus registros de recursos no fim do intervalo de atualizao do registro de recursos SOA. Para atualizar seus registros, o servidor DNS consulta os registros de recursos listados anteriormente nos servidores mestre. Voc pode usar zonas de stub para certificar-se de que o servidor autorizado em uma zona pai recebe automaticamente atualizaes sobre os servidores de nomes autorizados em uma zona filha. Para isso, adicione as zonas de stub aos servidores que esto hospedando a zona pai. As zonas de stub podem ser baseadas em arquivo ou integradas ao Active Directory. Se voc usar zonas de stub integradas ao Active Directory, poder configur-las em um computador e permitir que a replicao do Active Directory as propaguem para outros servidores DNS que estejam sendo executados nos controladores de domnio. Voc tambm pode usar as zonas de stub para certificar-se de que os servidores esto cientes de outros espaos para nome, embora o encaminhamento condicional seja o mtodo preferencial para isso. Para obter
mais informaes sobre como usar zonas de stub, consulte o Centro de ajuda e suporte do Windows Server 2003. Observao Apenas servidores DNS do Windows Server 2003 oferecem suporte a zonas de stub.
Se voc tem uma infra-estrutura com o Active Directory, pode usar zonas integradas a ele somente nos controladores de domnio dele. Se voc vai usar zonas integradas ao Active Directory, deve decidir se vai ou no armazen-las na partio do diretrio de aplicativo. Voc pode combinar zonas integradas ao Active Directory e zonas baseadas em arquivo no mesmo design. Por exemplo, se o servidor DNS autorizado na zona raiz particular estiver sendo executado em um sistema operacional que no seja o Windows Server 2003 ou o Windows 2000, ele no poder agir como um controlador de domnio do Active Directory. Portanto, voc deve usar zonas baseadas em arquivo nesse servidor. No entanto, voc pode delegar essa zona a qualquer controlador de domnio que esteja executando o Windows Server 2003 ou o Windows 2000. Por exemplo, os administradores de uma empresa que precisavam implantar o Active Directory, examinaram os requisitos do DNS para oferecer suporte ao Active Directory e descobriram que o servidor DNS autorizado para o nome, fornecedor01-int.com, estava sendo executado em um servidor BIND 4.9.7 que no oferece suporte ao Active Directory. Eles decidiram adicionar uma delegao a partir da zona baseada em arquivo, fornecedor01-int.com, hospedada no servidor BIND. A delegao refere-se a um Windows Server 2003 autorizado, parceiro.fornecedor01-int.com, da zona. O Windows Server 2003 tambm age como um controlador de domnio. Dessa maneira, os administradores criaram a zona, parceiro.fornecedor01-int.com, integrada ao Active Directory.
Depois de decidir quais zonas os servidores DNS hospedaro, decida como replic-las entre os servidores. As zonas replicadas proporcionam maior disponibilidade, melhoram o tempo de resposta da consulta e reduzem o trfego da rede produzido por consultas de nomes. No entanto, as zonas replicadas exigem espao de armazenamento e aumentam o trfego da rede. Se a sua rede for distribuda e gerenciada em sites diferentes, use subdomnios para esses sites. Se voc no tem uma rede distribuda, evite usar subdomnios quando possvel. A criao de replicao de zona envolve a identificao do local que usar as zonas replicadas para obter redundncia e disponibilidade. No Windows Server 2003, voc pode replicar zonas usando transferncia de zona baseada em arquivo ou replicao do Active Directory. Selecione o mtodo de replicao de zona apropriado, de acordo com o seguinte: Se voc usa zonas baseadas em arquivo, use transferncia de zona baseada em arquivo. Se voc tem zonas integradas ao Active Directory do Windows Server 2003 e do Windows 2000, use a replicao do Active Directory. Voc dever estabelecer o escopo da replicao, caso use zonas integradas ao Active Directory em um domnio do Windows Server 2003.
Quando a replicao de zona do Active Directory ocorre entre sites, os dados da zona que so maiores que os da transferncia padro so automaticamente compactados antes de serem transferidos. Essa compactao reduz a carga do trfego da rede.
Depois de anlise cuidadosa, voc pode particionar e delegar as zonas DNS com base em o que necessrio para fornecer servio de nomenclatura eficiente e tolerante a falhas em cada local ou site. Se voc estiver usando zonas integradas ao Active Directory em um domnio do Windows Server 2003, dever selecionar um escopo de replicao de zona integrada ao Active Directory usando o MMC. Ao selecionar um escopo de replicao, lembre-se de que, quanto maior o escopo da replicao, maior o trfego de rede que ela produz. Por exemplo, se voc optar por replicar dados de zona DNS integrada ao Active Directory em todos os servidores DNS da floresta, isso produzir maior trfego na rede do que replicar os dados da zona DNS em todos os servidores DNS de um nico domnio do Active Directory nessa floresta. Equilibre sua necessidade de minimizar o trfego de replicao com a necessidade de minimizar o trfego de consulta zona. A tabela 4.8 lista as opes de replicao de dados da zona integrada ao Active Directory. Tabela 4.8 Opes de replicao de dados da zona integrada ao Active Directory
Opo Descrio Todos os servidores Os dados da zona so DNS na floresta do replicados em todos os servidores DNS executados Active Directory nos controladores de domnio baseados no Windows Server 2003 de todos os domnios da floresta do Active Directory.
Quando usar Voc deseja o maior escopo de replicao. Geralmente, essa opo produz a maior parte do trfego de replicao da zona. Lembre-se de que voc pode escolher essa opo somente se todos os servidores DNS que hospedam uma cpia integrada ao Active Directory dessa zona executarem o Windows Server 2003. Todos os servidores Os dados da zona so No preciso que a zona seja replicada replicados em todos os DNS de um em toda a floresta e voc deseja limitar servidores DNS executados o trfego de replicao dela. Essa opo domnio nos controladores de domnio produz menos trfego de replicao da especificado do baseados no Windows Server zona do que replic-la em todos os Active Directory 2003 do domnio servidores DNS da floresta ou em todos especificado do Active os controladores de domnio do Directory. Essa opo a domnio. Se voc escolher essa opo, configurao padro para os dados da zona no sero replicados replicao de zona DNS nos servidores DNS que executam integrada ao Active controladores de domnio baseados no Directory. Windows 2000. O domnio especificado do Active Directory aquele hospedado pelo controlador de domnio no qual o servidor DNS que hospeda a
zona est sendo executado. Os dados da zona so Todos os replicados em todos os controladores de domnio no domnio controladores de domnio do do Active Directory domnio especificado do Active Directory, no importando se h ou no servidores DNS sendo executados nos controladores de domnio do domnio. Os dados da zona so Todos os replicados em todos os controladores de controladores de domnio domnio especificados no escopo de especificados no replicao da partio de escopo de replicao de uma diretrio de aplicativo. partio de diretrio de aplicativo
Voc hospeda uma cpia dessa zona integrada ao Active Directory em um servidor DNS sendo executado em um controlador de domnio baseado no Windows 2000.
Voc deseja personalizar o escopo de replicao de zona de sua organizao. Com essa opo, voc pode minimizar o trfego de replicao de zona e, ao mesmo tempo, maximizar a funcionalidade. No entanto, essa opo exige mais sobrecarga administrativa. Voc poder escolher essa opo somente se todos os servidores DNS que hospedam uma cpia dessa zona integrada ao Active Directory estiverem executando o Windows Server 2003.
Se voc copiar os arquivos de zona, dever verificar manualmente a integridade das zonas. Independentemente do mtodo usado para migrar zonas, voc ter que decidir se deve colocar o servidor DNS original offline ou us-lo como um servidor secundrio. Se voc determinar que o servidor DNS original de terceiros causa problemas de interoperabilidade na rede ou se precisar usar o hardware desse servidor para outra finalidade, coloque-o offline. Caso contrrio, mantenha-o na rede para fornecer backup para o servidor DNS primrio do Windows Server 2003. Para obter mais informaes sobre como usar transferncia de zona, consulte "Iniciar uma transferncia de zona em um servidor secundrio", no Centro de ajuda e suporte do Windows Server 2003.
clientes em pesquisas de consulta ao DNS em busca de nomes de domnio curtos e no qualificados. Voc tambm pode usar uma diretiva de grupo para simplificar a configurao do cliente DNS. A figura 4.9 mostra o processo de configurao e gerenciamento de clientes DNS.
Para obter mais informaes sobre tipos comuns de ataques, desenvolvimento de uma diretiva de segurana e avaliao do nvel de risco, consulte "Designing an Authentication Strategy" e "Designing an Authorization Strategy" em Designing and Deploying Directory and Security Services.
O risco de ataque depende da exposio Internet. Para um servidor DNS de uma rede particular que usa um espao para nome particular, um esquema de endereamento particular e um firewall efetivo, o risco de ataque menor e a possibilidade de descobrir o intruso maior. Para um servidor DNS exposto Internet, o risco maior.
O desenvolvimento de uma diretiva de segurana para o DNS envolve: Decidir o acesso de que os clientes precisam, as relaes desejadas entre segurana e desempenho e os dados que mais precisam de proteo. Familiarizar-se com as questes de segurana comuns em servidores DNS internos e externos. Estudar o trfego de resoluo de nomes para verificar quais clientes podem consultar quais servidores.
Voc pode optar por adotar uma diretiva de segurana de DNS de nvel baixo, mdio ou alto.
A segurana DNS de nvel alto usa a mesma configurao que a segurana de nvel mdio e usa tambm os recursos de segurana disponveis quando o servio Servidor DNS est sendo executado em um controlador de domnio e as zonas DNS esto armazenadas no Active Directory. Alm disso, a segurana de nvel alto elimina completamente a comunicao do DNS com a Internet. No uma configurao comum, mas a recomendada sempre que a conectividade com a Internet no necessria. Uma diretiva de segurana de nvel alto inclui as seguintes caractersticas: A infra-estrutura de DNS da organizao no possui comunicao com a Internet atravs de servidores DNS internos. A rede usa raiz e espao para nome DNS internos, onde toda a autoridade das zonas DNS interna. Os servidores DNS configurados com encaminhadores usam somente endereos IP de servidor DNS. Todos os servidores DNS limitam transferncias de zona aos endereos IP especificados. Os servidores DNS esto configurados para escutar endereos IP especificados. A preveno corrupo de cache est ativada em todos os servidores DNS. Os servidores DNS esto configurados com dicas de raiz que apontam para servidores DNS internos que hospedam a zona raiz do espao para nome interno. Todos os servidores DNS esto sendo executados em controladores de domnio. Uma DACL (lista de controle de acesso condicional) est configurada no servio Servidor DNS para permitir que somente pessoas especficas executem tarefas administrativas nos servidores DNS. Todas as zonas DNS esto armazenadas no Active Directory. Uma DACL est configurada para permitir que somente pessoas especficas criem, excluam ou modifiquem zonas DNS. As DACLs esto configuradas nos registros de recursos DNS para permitir que somente pessoas especficas criem, excluam ou modifiquem dados DNS. A atualizao dinmica segura est configurada em todas as zonas DNS, exceto as zonas raiz e de nvel superior, as quais no permitem de forma alguma atualizaes dinmicas.
A replicao de zonas como parte da replicao do Active Directory proporciona os seguintes benefcios de segurana: O trfego de replicao do Active Directory criptografado, portanto, o trfego da replicao de zona criptografado automaticamente. Somente um nmero limitado de pessoas pode afetar a replicao do Active Directory. Os servidores DNS que hospedam zonas integradas ao Active Directory devem ser controladores de domnio, o que significa que a replicao do Active Directory pode ocorrer somente entre controladores de domnio. Portanto, somente administradores autorizados a gerenciar controladores de domnio podem afetar a replicao do Active Directory. Os controladores de domnio do Active Directory que executam replicao so mutuamente autenticados e a representao no possvel. Observao Use as zonas integradas ao Active Directory sempre que possvel porque elas so replicadas como parte da replicao do Active Directory, que mais segura que a transferncia de zona baseada em arquivo.
sobre endereamento dinmico armazenadas no DNS. Para permitir essa integrao, voc pode usar o servio DHCP do Windows Server 2003. O padro de atualizao dinmica, especificado na RFC 2136, "Dynamic Updates in the Domain Name System (DNS UPDATE)", atualiza automaticamente os registros DNS. O Windows Server 2003 e o Windows 2000 oferecem suporte a atualizao dinmica e clientes e servidores DHCP podem enviar atualizaes dinmicas quando os endereos IP deles mudam. Sozinha a atualizao dinmica no segura porque qualquer cliente pode modificar registros DNS. Para proteger atualizaes dinmicas, voc pode usar o recurso de atualizao dinmica segura fornecido no Windows Server 2003. Para excluir registros desatualizados, voc pode usar os recursos de durao e eliminao do servidor DNS. A atualizao dinmica permite aos servidores DHCP registrar registros de recursos A e PTR em nome dos clientes DHCP. Esse processo requer o uso da opo 81 de FQDN do cliente DHCP. A opo permite ao cliente fornecer seu FQDN ao servidor DHCP. O cliente fornece tambm instrues para o servidor, descrevendo como processar atualizaes dinmicas de DNS em nome do cliente DHCP. Quando a opo 81 emitida por um cliente DHCP qualificado, ela processada e interpretada por um servidor DHCP do Windows Server 2003 para determinar como o servidor inicia atualizaes em nome do cliente. Se o servidor estiver configurado para executar atualizaes dinmicas de DNS, ele executar uma das seguintes aes: O servidor DHCP atualiza registros A e PTR do DNS se solicitado por clientes que esto usando a opo 81. O servidor DHCP atualiza registros A e PTR do DNS independentemente do cliente solicitar essa ao ou no.
Alm disso, o servidor DHCP pode atualizar dinamicamente registros A e PTR do DNS em nome dos clientes herdados que no so capazes de enviar a opo 81 ao servidor. Voc tambm pode configurar o servidor DHCP para descartar registros A e PTR do cliente quando a concesso dele for excluda. Isso reduz o tempo necessrio para gerenciar esses recursos manualmente e fornece suporte a clientes DHCP que no podem executar atualizaes dinmicas. Alm disso, a atualizao dinmica simplifica a configurao do Active Directory, permitindo aos controladores de domnio o registro dinmico com registros do servidor.
Depois de testar sua configurao em um ambiente de teste, voc pode lanar as alteraes no ambiente de produo. A figura 4.9 mostra o processo de implementao do DNS do Windows Server 2003.
Se voc espera que os clientes consultem nomes na Internet e planeja usar um servidor proxy, certifique-se de que ele est no lugar. Por convenincia, voc pode optar por instalar o DNS em controladores de domnio, como parte da instalao do Active Directory. Se for essa a sua escolha, no esquea que voc no pode alterar o nome do computador aps a instalao do Active Directory nele.
Antes ou depois de instalar o Active Directory no servidor, voc pode usar a ferramenta Adicionar ou Remover Programas para instalar o servio Servidor DNS e, em seguida, executar o Assistente para Configurao de Servidor DNS a fim de configurar suas zonas. Como o Assistente para Instalao do Active Directory, o Assistente para Configurao de Servidor DNS cria as zonas de pesquisa reversa padro recomendadas pelas RFCs de DNS e configura o servidor como raiz ou inicializa as dicas de raiz. Voc pode usar a ferramenta de linha de comando Dnscmd.exe para configurar o servidor DNS. Voc pode usar VBScript ou outras linguagens de script atravs do provedor WMI fornecido com o Windows Server 2003.
Depois de instalar o servidor DNS, examine se a zona raiz existe. Se o servidor estiver configurado como raiz e voc no aceitar essa opo, exclua a zona raiz. Para obter mais informaes sobre essas opes e informaes sobre como o Assistente para Instalao do Active Directory e o Assistente para Configurao de Servidor DNS determinam se devem ou no inicializar as dicas de raiz, consulte "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp) (site em ingls).
Configurando zonas
Se voc instalar o DNS usando o Assistente para Instalao do Active Directory, o assistente criar zonas DNS que correspondem aos domnios do Active Directory especificados. Se as zonas especificadas durante a fase de planejamento de zona da implantao ainda no existirem, crie-as agora. Se a zona criada pelo assistente no for do tipo desejado, altere-a agora. Por exemplo, talvez seja necessrio converter uma zona primria padro em uma zona integrada ao Active Directory. Se o assistente de instalao criou a zona, mas no adicionou a delegao, adicione-a agora. Para cada zona criada, adicione os registros de recursos apropriados e ative ou desative a atualizao dinmica ou a atualizao dinmica segura, conforme apropriado. Para enviar atualizaes aos servidores secundrios de uma zona, configure a notificao de DNS no servidor primrio. Para obter mais informaes sobre como adicionar e remover zonas, consulte o Centro de ajuda e suporte do Windows Server 2003.
Configurando o encaminhamento
Se algum servidor precisar encaminhar consultas para outro, configure o encaminhamento nos servidores que devem encaminhar as consultas. Para que o servidor encaminhe consultas para outros servidores, dependendo do sufixo DNS especificado na consulta, configure o encaminhamento condicional corretamente. Para obter mais informaes sobre encaminhamento condicional, consulte "Usando encaminhamento" neste captulo e "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp) (site em ingls).
Dependendo da forma de configurao das zonas e dos servidores, talvez as zonas j estejam configuradas para atualizao dinmica ou dinmica segura. Se no estiverem configuradas de forma apropriada, faa as alteraes necessrias. Para obter informaes sobre como configurar atualizao dinmica e dinmica segura, consulte o Centro de ajuda e suporte do Windows Server 2003.
Para obter mais informaes sobre como verificar a operao do servidor DNS, consulte "DNS Troubleshooting" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "DNS Troubleshooting" na Web em http://www.microsoft.com/windows/reskits/default.asp) (site em ingls).
Voc pode usar qualquer um dos mtodos a seguir para configurar clientes DNS: Use as configuraes de TCP/IP do cliente Use a diretiva de grupo para configurar grupos de clientes Use o servio Servidor DHCP para configurar algumas configuraes do cliente automaticamente.
Para obter mais informaes sobre como instalar e configurar clientes DNS, consulte o Centro de ajuda e suporte do Windows Server 2003.
Recursos adicionais
Esses recursos contm informaes adicionais e ferramentas relacionadas a este captulo. Informaes relacionadas nos Resource Kits "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit para obter informaes sobre o servio Servidor DNS.
"Configuring IP Addressing and Name Resolution" em Administering Microsoft Windows XP Professional para obter informaes sobre o cliente DNS. Informaes relacionadas fora dos Resource Kits RFC 1035: "Domain Names - Implementation and Specification". DNS e BIND, 4a ed., de Paul Albitz e Cricket Liu, 2001, Sebastopol, CA: O'Reilly & Associates para obter mais informaes sobre DNS. Windows 2000 TCP/IP Protocols and Services, de Thomas Lee and Joseph Davies, 2000, Redmond, Washington: Microsoft Press para obter mais informaes sobre o protocolo fsico de DNS.
O link da IETF (Internet Engineering Task Force) na pgina Web Resources em http://www.microsoft.com/windows/reskits/webresources/ (site em ingls) para obter mais informaes sobre documentos da RFC e trabalhos em andamento da IETF. Ferramentas relacionadas Para obter informaes sobre como instalar e usar as ferramentas de suporte do Windows Server 2003 e a ajuda delas, consulte o arquivo Sreadme.doc na pasta \Suporte\Ferramentas do CD do sistema operacional Windows Server 2003. Active Directory Sizer Voc pode usar o Active Directory Sizer para estimar o hardware necessrio para implantar o Active Directory, com base nas informaes sobre perfil e domnio da organizao e na topologia do site. Netdiag.exe O Netdiag.exe ajuda a isolar problemas de rede e de conectividade, executando vrios testes para determinar o estado do cliente da rede e se ele est funcionando. Dnscmd.exe Voc pode usar a ferramenta de linha de comando Dnscmd.exe para executar a maioria das tarefas que podem ser executadas no snap-in de DNS do MMC. Nslookup.exe Use Nslookup para executar teste de consulta do espao para nome DNS e para diagnosticar problemas nos servidores de nomes.
uso e aos resultados do uso deste documento. Salvo indicao em contrrio, os exemplos de empresas, organizaes, produtos, pessoas e acontecimentos aqui mencionados so fictcios. Nenhuma associao com qualquer empresa, organizao, produto, pessoa ou acontecimento real intencional ou deve ser inferida. Obedecer a todas as leis de direitos autorais aplicveis responsabilidade do usurio. Sem limitar os direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um sistema de recuperao, ou transmitida de qualquer forma por qualquer meio (eletrnico, mecnico, fotocpia, gravao ou qualquer outro), ou para qualquer propsito, sem a permisso expressa, por escrito, da Microsoft Corporation. A Microsoft pode ter patentes ou requisies para obteno de patente, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual que abrangem o contedo deste documento. A posse deste documento no lhe confere direito algum sobre as citadas patentes, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual, salvo aqueles expressamente mencionados em um contrato de licena, por escrito, da Microsoft. 2002 Microsoft Corporation. Todos os direitos reservados. Active Accessibility, Active Channel, Active Client, Active Desktop, Active Directory, ActiveMovie, ActiveX, Authenticode, BackOffice, Direct3D, DirectAnimation, DirectDraw, DirectInput, DirectMusic, DirectPlay, DirectShow, DirectSound, DirectX, DoubleSpace, DriveSpace, FrontPage, IntelliMirror, IntelliMouse, IntelliSense, JScript, Links, Microsoft, Microsoft Press, Microsoft QuickBasic, MSDN, MSDOS, MSN, Natural, NetMeeting, NetShow, OpenType, Outlook, PowerPoint, SideWinder, Slate, TrueImage, Verdana, Visual Basic, Visual C++, Visual FoxPro, Visual InterDev, Visual J++, Visual Studio, WebBot, Win32, Windows, Windows Media, Windows NT so marcas registradas ou comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros pases. Os nomes de empresas e produtos reais aqui mencionados podem ser marcas comerciais de seus respectivos proprietrios. Agradecemos sua reviso da documentao desenvolvida pela equipe dos Windows Resource Kits. Caso tenha comentrios sobre a relevncia, a utilidade ou a abrangncia do contedo, envie-os para docbeta@microsoft.com. Lembre-se de especificar o ttulo do captulo na linha de assunto da mensagem. Favor incluir os nmeros de pgina relevantes nos comentrios. Voc tambm pode enviar seus comentrios como anexo. 1985-2002 Microsoft Corporation. Todos os direitos reservados.