Escolar Documentos
Profissional Documentos
Cultura Documentos
Dns 2003
Dns 2003
Implantando DNS
O DNS (sistema de nomes de domnio) do Microsoft Windows 2003 fornece uma resoluo de nomes
eficiente, suporte a servios de diretrio do Active Directory e interoperabilidade com outras tecnologias
baseadas em padro. A implantao de DNS em sua infra-estrutura cliente/servidor ativa recursos em uma
rede TCP/IP para localizar outros recursos na rede, usando resoluo de nomes de host para endereo IP e de
endereo IP para nome de host.
A implantao de DNS envolve o planejamento e a criao da infra-estrutura, incluindo o espao para nome,
o posicionamento do servidor, as zonas e a configurao do cliente DNS. Alm disso, preciso planejar o
nvel de integrao ao Active Directory e identificar os requisitos de segurana, escalabilidade e desempenho,
antes de implementar a soluo DNS em um ambiente de produo. A figura 4.1 mostra o processo de
implantao de DNS.
Conceitos de DNS
O DNS do Windows Server 2003 interopera com uma ampla variedade de sistemas operacionais. Alm disso,
ele usa um banco de dados distribudo que implementa um sistema de nomenclatura hierrquico. Esse sistema
de nomenclatura permite a uma organizao expandir sua presena na Internet e permite a criao de nomes
exclusivos na Internet e nas intranets particulares baseadas em TCP/IP.
Por causa de sua estrutura distribuda e hierrquica, o DNS usado mundialmente no espao para nome da
Internet. Com o uso do DNS, qualquer computador na Internet pode pesquisar o nome de qualquer outro
computador no espao para nome da Internet. Computadores com o Windows Server 2003 e o Windows 2000
tambm usam o DNS para localizar controladores de domnio.
Netdiag
A ferramenta Netdiag ajuda a isolar problemas de rede e de conectividade. Ela executa vrios testes que
podem ser usados para determinar o estado do cliente da rede. Para obter mais informaes sobre Netdiag,
consulte "Ferramentas de suporte" no Centro de ajuda e suporte do Windows Server 2003.
Dnscmd.exe
Voc pode usar a ferramenta de linha de comando Dnscmd.exe para executar a maioria das tarefas que podem
ser executadas no snap-in de DNS do MMC (Console de gerenciamento Microsoft).
Termos e definies
A seguir esto os termos mais importantes relacionados a DNS:
Servidor de nomes autorizado. Um servidor que tem autorizao para resolver consultas DNS de
uma zona especificada. Um servidor de nomes autorizado contm um arquivo de zona local de
registros de recursos dos computadores da zona. Cada zona possui pelo menos um servidor de nomes
autorizado.
Encaminhamento condicional. O encaminhamento condicional permite especificar o nome de
domnio interno e o endereo IP que o encaminhador associa ao nome de domnio designado na
consulta. No DNS do Windows Server 2003, voc pode aprimorar o desempenho da resoluo de
nomes adicionando condies baseadas em nome aos encaminhadores de DNS. Quando o
encaminhador encontra correspondncia entre o nome de domnio designado na consulta e o nome
de domnio especificado na condio, ele passa a consulta para um servidor DNS no domnio
especificado. Os servidores DNS configurados para usar encaminhamento condicional podem
executar resoluo de nomes sem usar recurso.
Delegao. O processo de distribuir responsabilidade pelos nomes de domnio entre os vrios
servidores DNS da rede. Para cada nome de domnio delegado, voc precisa criar pelo menos uma
zona. Quanto mais domnios so delegados, mais zonas precisam ser criadas.
Espao para nome DNS. A estrutura hierrquica da rvores de nomes de domnio. Cada rtulo de
domnio usado em um FQDN (nome de domnio totalmente qualificado) indica um n ou uma
ramificao da rvore de espao para nome de domnio. Por exemplo, host1.contoso.com um
FQDN que representa o n host1, do n Contoso, do n com, da raiz Internet.
Resolvedor DNS. Um servio executado em computadores cliente que envia consultas DNS a um
servidor DNS.
Servidor DNS. Um computador executando o servio do Servidor DNS. Um servidor DNS mantm
informaes sobre uma parte do banco de dados DNS e resolve consultas DNS.
Espao para nome externo. Um espao para nome pblico, por exemplo, a Internet, que pode ser
acessado por qualquer dispositivo conectado. Abaixo dos domnios de nvel superior, a ICANN
(Internet Corporation for Assigned Names and Numbers) e outras autoridades de nomenclatura da
Internet delegam domnios a organizaes, tais como, provedores de servios de Internet, que, por
sua vez, delegam subdomnios aos seus clientes.
FQDN (nome de domnio totalmente qualificado). Um nome DNS que identifica exclusivamente
um n de um espao para nome DNS. O FQDN de um computador uma concatenao do nome do
computador (por exemplo, client1) com o sufixo DNS primrio dele (por exemplo, contoso.com).
Espao para nome interno. Um espao para nome no qual as organizaes podem controlar o
acesso. As organizaes podem usar o espao para nome interno para proteger os nomes e endereos
IP de seus computadores internos na Internet. Uma nica organizao pode ter vrios espaos para
nome internos. As organizaes podem criar seus prprios servidores raiz e quaisquer subdomnios,
conforme necessrio. O espao para nome interno pode coexistir com um espao para nome externo.
Servidor de nomes. Um servidor DNS que responde s solicitaes do resolvedor vindas de clientes
de uma zona especificada e resolve FQDNs em endereos IP. As zonas podem conter servidores de
nomes primrios e secundrios.
Servidor de nomes mestre. Um servidor que tem autoridade para resoluo de nomes em uma zona.
Se um servidor de nomes mestre for um servidor de nomes primrio, dever conter um arquivo de
registros de recursos da zona local. Se um servidor de nomes mestre for um servidor de nomes
secundrio, dever obter registros de recursos da zona em outro servidor de nomes mestre durante
uma transferncia de zona.
Servidor de nomes primrio. Um servidor responsvel pela resoluo de nomes da zona sobre a
qual tem autoridade. Um servidor de nomes primrio possui um banco dados DNS mestre com
registros de recursos que mapeiam nomes de host para endereos IP. Os registros do banco de dados
DNS mestre esto contidos em um arquivo da zona local.
Servidor de nomes secundrio. Um servidor que, durante uma transferncia de zona, deve obter em
um servidor de nomes mestre os registros de recursos de uma zona. Um servidor de nomes
secundrio no possui um arquivo da zona local. Se um servidor de nomes secundrio for um
servidor de nomes mestre, ele ter autoridade de resoluo de nomes sobre uma zona, mas ter que
obter registros de recursos de outro servidor de nomes mestre. Se um servidor de nomes secundrio
no for um servidor de nomes mestre, ele poder ser usado para redundncia e balanceamento de
carga.
RR (registro de recursos). Uma estrutura de banco de dados DNS padro contendo informaes
usadas para processar consultas DNS. Por exemplo, um registro de recursos de endereo (A) contm
um endereo IP correspondente a um nome de host. A maioria dos tipos bsicos de RR definida na
RFC 1035, "Domain Names - Implementation and Specification", mas h outros tipos de RR
definidos em outras RFCs e so aprovados para uso com o DNS.
Zona de stub. Uma cpia parcial de uma zona que pode ser hospedada por um servidor DNS e usada
para resolver consultas recursivas ou iterativas. As zonas de stub contm os registros de recursos
SOA (Incio de autoridade), os registros de recursos DNS que listam os servidores autorizados e os
registros de recursos de unio A (endereo) que so necessrios para contatar os servidores
autorizados da zona.
Zona. Em um banco de dados DNS, uma parte contgua da rvore DNS que administrada por um
servidor DNS como uma nica entidade separada. A zona contm registros de recursos de todos os
nomes cadastrados.
Arquivo de zona. Um arquivo que consiste em registros de recursos do banco de dados DNS que
definem a zona. Cada servidor de nomes primrio contm um arquivo de zona.
Transferncia de zona. O processo de mover o contedo do arquivo de zona localizado em um
servidor de nomes primrio para um servidor de nomes secundrio. A transferncia de zona oferece
tolerncia falhas, atravs da sincronizao do arquivo de zona de um servidor de nomes primrio
com o arquivo de zona de um servidor de nomes secundrio. O servidor de nomes secundrio poder
continuar a realizar a resoluo de nomes se o servidor de nomes primrio falhar. A transferncia de
zona tambm oferece balanceamento de carga, atravs da diviso da carga da rede entre os servidores
de nomes primrios e secundrios, durante perodos de volume intenso de consultas de resoluo de
nomes.
Se sua rede est ou ser conectada Internet, voc deve determinar o status de registro de seus endereos IP.
Os endereos IP de sua rede sero usados por outros computadores na Internet para localizar recursos nela.
Se voc j estiver conectado Internet, sua rede uma sub-rede da rede do seu provedor de servios de
Internet. Verifique se seu provedor de servios de Internet registrou os endereos IP dessa sub-rede em um
registrador da Internet. Se registrou, voc no precisar registr-los.
Se voc for atualizar para o Windows Server 2003, executar uma nova implantao de DNS ou integrar o
DNS do Windows Server 2003 aos servios do Active Directory, no precisa fazer alteraes na infraestrutura de DNS existente. No entanto, se voc for migrar de uma infra-estrutura de DNS de terceiros ou
integrar o DNS do Windows Server 2003 a uma infra-estrutura de DNS de terceiros, crie um diagrama da
infra-estrutura de DNS existente, incluindo domnios, servidores e clientes. Use esse diagrama para ajud-lo a
decidir se h necessidade de fazer alteraes na infra-estrutura de DNS atual ao implantar o DNS do Windows
Server 2003.
Se voc for atualizar para o DNS do Windows Server 2003 a partir de uma verso anterior do Windows,
talvez precise substituir um sistema de resoluo de nomes existente (ou oferecer suporte a ele), por exemplo,
o WINS (Servio de cadastramento na Internet do Windows), pela infra-estrutura de DNS do Windows Server
2003. Voc pode oferecer suporte a uma implantao de WINS existente, configurando os servidores DNS do
Windows Server 2003 para consultar servidores WINS como uma configurao de zona DNS.
Se voc for migrar ou integrar o DNS do Windows Server 2003 a uma infra-estrutura de DNS de terceiros,
no precisar alterar o design do espao para nome usado na infra-estrutura de DNS de terceiros. Se voc for
implantar uma nova infra-estrutura de DNS do Windows Server 2003, dever criar uma estratgia de
nomenclatura de domnios e computadores do DNS e planejar como esses nomes sero resolvidos na rede e
na Internet.
Se voc for implantar DNS do Windows Server 2003 para oferecer suporte ao Active Directory, dever
integrar a floresta e a nomenclatura de domnio do Active Directory infra-estrutura de DNS. Por exemplo,
voc pode modificar o design do espao para nome DNS existente a fim de acomodar os recursos da rede que
devem localizar os nomes especficos dos controladores de domnios, das OUs (unidades organizacionais),
dos sites e das sub-redes do Active Directory.
Observao preciso planejar o espao para nome DNS juntamente com a estrutura lgica
do Active Directory. Para obter mais informaes sobre como criar a estrutura lgica do
Active Directory, consulte "Criando a estrutura lgica" em Criando e implantando servios
de diretrio e de segurana.
A tabela 4.1 resume os requisitos de design do espao para nome DNS em cada cenrio possvel.
Tabela 4.1 Requisitos de design do espao para nome DNS
Cenrio
Voc vai atualizar uma infra-estrutura de
DNS existente a partir de uma verso do
Windows anterior ao Windows Server 2003.
Voc vai atualizar de uma infra-estrutura de
DNS de terceiros que usa software de DNS
que atende s diretrizes padro de
nomenclatura de domnio DNS.
O software de DNS que voc tem no est de
acordo com as diretrizes padro de
nomenclatura de domnio DNS.
Requisitos de design
O design do espao para nome DNS pode
permanecer o mesmo.
O design do espao para nome DNS pode
permanecer o mesmo.
Selecione a opo de design de configurao que melhor atenda s necessidades da organizao. A tabela 4.2
lista as opes de design para a implantao de um espao para nome interno e externo e o nvel de
complexidade de gerenciamento de cada opo, juntamente com um exemplo para ilustrar cada opo.
Tabela 4.2 Opes de design misto de espao para nome DNS interno e externo
Opo de design
Complexidade de
Exemplo
gerenciamento
O domnio interno um
Essa configurao Uma organizao com um domnio
subdomnio do domnio externo. fcil de implantar e de espao para nome externo
chamado contoso.com usa o
administrar.
domnio de espao para nome
interno chamado corp.contoso.com.
Os nomes de domnio interno e Essa configurao Uma organizao usa contoso01externo no tm relao.
um pouco difcil de ext.com como seu nome de domnio
do espao para nome externo e
implantar e
contoso.com como seu nome de
administrar.
domnio do espao para nome
interno.
Essa configurao Uma organizao usa o nome de
O nome de domnio interno
igual ao externo, no entanto, a bastante difcil de
domnio contoso.com para o nome
organizao possui um espao implantar e
de domnio do espao para nome
administrar. Essa
para nome particular.
interno particular e para o nome de
opo no
domnio do espao para nome
recomendada.
externo pblico.
Voc pode usar seu subdomnio interno como pai de outros domnios filho criados a fim de gerenciar divises
de sua empresa. Os domnios filho tm nomes DNS imediatamente subordinados ao nome do pai do domnio
DNS. Por exemplo, um domnio filho do departamento de Recursos Humanos adicionado ao espao para
nome us.corp.contoso.com pode ter o nome de domnio rh.us.corp.contoso.com.
Se voc usa essa opo de configurao em seu domnio interno, implante os computadores a serem expostos
Internet no domnio externo fora do firewall. Implante os computadores que no sero expostos Internet
no domnio interno do subdomnio.
Se seus clientes puderem transmitir consultas para servidores externos (tais como servidores Web)
atravs de um firewall, copie os dados da zona do servidor DNS externo para o interno.
Se seus clientes no puderem transmitir consultas atravs de um firewall, duplique na rede interna
todos os dados da zona DNS pblica e todos os servios pblicos (tais como servidores Web) que
pertenam organizao.
Mantenha uma lista dos servidores pblicos que pertencem organizao no arquivo PAC de cada
um de seus clientes DNS.
O mtodo escolhido depende dos recursos de proxy do software cliente. A tabela 4.3 lista os mtodos
possveis que voc pode usar para permitir o uso do mesmo nome de domnio nos espaos para nome interno
e externo e os recursos de proxy do software cliente possveis em cada mtodo.
Tabela 4.3 Mtodos de uso do mesmo nome em espaos para nome interno e externo e recursos de
proxy compatveis
Mtodo
Usar nomes de
domnio diferentes
Copiar os dados da
zona do servidor
DNS externo para
o interno.
Duplicar todos os
dados da zona
DNS pblica e
todos os servidores
pblicos na rede
interna.
Manter a lista de
servidores pblicos
nos arquivos PAC
dos clientes DNS.
Lista de nomes
LAT
Recurso de proxy
excludos
(tabela de
do software
endereo
Sem proxy
local)
Arquivo PAC
Escalabilidade. Uma rede grande com um espao para nome DNS interno hospedada em vrios
servidores DNS facilmente escalonvel. Se sua rede est espalhada por vrios locais, uma raiz DNS
interna o melhor mtodo de administrao de toda a atividade de DNS da rede distribuda.
Resoluo de nomes eficiente. Com uma raiz DNS interna, os clientes e servidores DNS da rede
no entram em contato com a Internet para resolver nomes internos. Dessa forma, os dados DNS da
rede no so transmitidos pela Internet. Voc pode ativar a resoluo de nomes de qualquer nome em
outro espao para nome, adicionando uma delegao de sua zona raiz. Por exemplo, se seus
computadores precisam de acesso a recursos de uma organizao parceira, voc pode adicionar uma
delegao de sua zona raiz ao nvel superior do espao para nome DNS da organizao parceira.
Eliminao de encaminhadores. O uso de uma raiz DNS interna elimina a necessidade de
encaminhadores porque a resoluo de nomes executada internamente. Os servidores DNS de um
espao para nome DNS interno so configurados com dicas de raiz que apontam para os servidores
raiz DNS internos.
Importante No repita nomes externos no espao para nome interno. Se voc repetir nomes
Internet DNS em sua intranet, isso poder resultar em erros de resoluo de nomes.
Se os computadores de sua rede no precisam acessar recursos externos ao espao para nome DNS, implante
e mantenha uma raiz DNS interna. Se seus computadores no precisam acessar recursos externos ao espao
para nome DNS, talvez voc no consiga usar uma raiz interna para resoluo de nomes, dependendo dos
recursos de proxy do computador na rede.
Se for necessria a resoluo de nomes em computadores que no oferecem suporte a proxy de software ou
em computadores que oferecem suporte somente a LATs, voc no poder usar uma raiz interna no espao
para nome DNS. Nesse caso, ser preciso configurar um ou mais servidores DNS internos para encaminhar
para a Internet consultas que no possam ser resolvidas localmente.
A tabela 4.4 lista os tipos de recursos de proxy do cliente e se voc pode usar uma raiz DNS interna para cada
tipo.
Tabela 4.4 Recursos de proxy do cliente
Lista de nomes
excludos
Arquivo PAC
Telnet genrico
Winsock Proxy (WSP) 1.x e
posterior
Encaminha
consultas
Se voc tem uma raiz DNS interna, adicione delegaes de cada zona DNS de nvel superior zona
raiz DNS interna.
Configure os servidores DNS que hospedam as zonas DNS de nvel superior em um espao para
nome a fim de encaminhar as consultas de resoluo de nomes de um segundo espao para nome
para os servidores DNS que esto hospedando as zonas DNS de nvel superior do segundo espao
para nome. Em seguida, configure os servidores DNS que hospedam as zonas DNS de nvel superior
no segundo espao para nome a fim de encaminhar as consultas de resoluo de nomes do primeiro
espao para nome para os servidores DNS que esto hospedando as zonas DNS de nvel superior do
primeiro espao para nome. Voc pode usar os encaminhadores condicionais de DNS do Windows
Server 2003 para essa configurao.
Configure os servidores DNS que hospedam as zonas DNS de nvel superior nos espaos para nome
primeiro e segundo para hospedar zonas secundrias delas em cada um dos outros espaos para
nome. Nessa configurao, os servidores DNS que hospedam as zonas de nvel superior em cada
espao para nome esto cientes dos servidores DNS do outro espao para nome. Essa soluo requer
espao de armazenamento maior para hospedagem de cpias secundrias das zonas de nvel superior
em espaos para nome diferentes e gera maior trfego de transferncia de zona.
Voc pode usar as zonas de stub do DNS do Windows Server 2003 para facilitar a distribuio de dados DNS
entre espaos para nome diferentes. No entanto, o uso de zonas de stub menos eficiente que o uso de
encaminhadores condicionais do Windows Server 2003. Para obter mais informaes sobre encaminhadores
condicionais e zonas de stub, consulte o Centro de ajuda e suporte do Windows Server 2003 e "Windows
Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows
Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).
Recurso
Oferece suporte ao
Internet-Draft
(trabalho em
andamento) "A DNS
RR for specifying the
location of services
(DNS SRV)" da
IETF. (Registros do
servidor)
Atualizao dinmica
Atualizao dinmica
segura com base no
algoritmo TSIG.
Registros WINS e
WINS-R
Transferncia rpida
de zona
Transferncia de zona
incremental
Codificao de
caracteres UTF-8
Snap-in de DNS do
MMC
Dnscmd.exe
Zonas integradas ao
Active Directory
Armazenamento de
zonas na partio de
aplicativo do Active
Directory
Durao e eliminao
de registros obsoletos
Zonas de stub
Encaminhamento
condicional
Mecanismos de
extenso do DNS
(EDNS0)
BIND BIND
8.1.2 4.9.7
Criando subdomnios
Se voc pretende implantar DNS em uma grande rede corporativa ou se a expectativa de expanso da rede
inclui sub-redes e sites adicionais, precisa distribuir o gerenciamento das partes do espao para nome DNS
entre os administradores de sub-redes e sites diferentes da rede. Para distribuir o gerenciamento do espao
para nome DNS, crie subdomnios do domnio DNS inicial e delegue a autoridade desses subdomnios para
servidores DNS localizados em sub-redes ou sites diferentes. Dessa maneira, voc pode criar qualquer
quantidade de entidades diferentes e autnomas em um espao para nome DNS, sendo que cada uma delas
est autorizada em uma parte do espao para nome geral.
Criar subdomnios do domnio DNS interno permite o seguinte:
Se houver entidades da organizao que no momento gerenciam os prprios recursos de rede, determine se
elas precisam ter autoridade sobre a parte delas do espao para nome DNS. Se precisarem, delegue a
autoridade para esse domnio filho.
Um nome de domnio Internet DNS, caso sua organizao esteja conectado Internet.
Um nome de domnio DNS interno para a sua organizao.
Uma conveno de nomenclatura para computador DNS.
Alm disso, voc deve determinar se precisa oferecer suporte aos nomes NetBIOS em sua organizao.
Depois de selecionar o nome de domnio Internet DNS e identificar o domnio de nvel superior do qual o
domnio DNS um subdomnio, execute as etapas a seguir para registrar o nome de domnio DNS:
1.
2.
Faa uma pesquisa na Internet para confirmar se o nome de domnio DNS selecionado para sua
organizao no est registrado para outra organizao. Se o nome de domnio selecionado pertencer
a outra organizao, voc poder tentar compr-lo dela ou selecionar um nome de domnio DNS
diferente.
Configure pelos menos um servidor DNS autorizado para hospedar a zona DNS de seu nome de
domnio. O servidor DNS deve estar localizado na sua rede ou na rede do provedor de servios de
Internet.
Registre o nome de domnio DNS em um registrador da Internet (www.registro.br) e fornea a ele um nome
de domnio e um endereo IP de pelo menos um servidor DNS autorizado para o nome de domnio DNS.
necessrio ainda informar um servidor DNS secundrio (slave), podendo ser utilizado o mesmo endereo IP,
desde que de um domnio diferente.
O processo de registro de nome de domnio da Internet varia de acordo com o design do espao para nome
DNS. A tabela 4.6 lista os nomes de domnio que voc precisa registrar para cada tipo de design de espao
para nome DNS.
Tabela 4.6 Registro de nome de domnio Internet DNS
Registro do nome
Exemplo
de domnio
O nome de domnio contoso.com
Registrar apenas o
O nome de domnio interno
usado no espao para nome externo.
nome de domnio
um subdomnio do domnio
externo.
externo.
O nome de domnio
corp.contoso.com usado no
espao para nome interno.
Os nomes de domnio interno e Registrar os nomes O nome de domnio contoso01externo no tm relao.
de domnio interno e ext.com usado no espao para
nome externo.
externo.
Ao registrar o nome de domnio DNS, o registrador da Internet cria uma delegao na zona DNS que tem
autoridade sobre o domnio de nvel superior selecionado. Esse o domnio de nvel superior dos servidores
DNS autorizados para o nome de domnio Internet DNS da organizao.
Observao Se um nome de domnio a ser registrado no estiver disponvel em um
domnio de nvel superior, por exemplo, .com. no registre o mesmo nome de domnio em
outro domnio de nvel superior, por exemplo, .net. As pessoas que esto pesquisando o seu
nome de domnio podem assumir computadores e servios do domnio de nvel superior
errado como pertencentes sua empresa.
Se a sua organizao tem uma presena na Internet, use nomes relativos ao nome de domnio Internet
DNS registrado. Por exemplo, se voc registrou o nome de domnio Internet DNS contoso.com para
sua organizao, use um nome de domnio DNS como corp.contoso.com para o nome de domnio da
intranet.
Para evitar problemas de resoluo de nomes, no use como nome de domnio o nome de uma
entidade corporativa externa ou de um produto.
No use na intranet nomes de domnio da Internet de nvel superior, tais como .com, .net, .org, .us,
.fr e .gr. O uso de nomes de domnio da Internet de nvel superior em nomes de domnio da intranet
pode resultar em erros de resoluo de nomes nos computadores da rede conectados Internet.
No use acrnimos nem abreviaes nos nomes de domnio. As unidades de negcios que esses
acrnimos representam podem dificultar o reconhecimento pelos usurios.
No use nomes de unidade ou diviso de negcios nos nomes de domnio. As unidades de negcios e
outras divises mudam periodicamente e os nomes de domnio podem tornar-se obsoletos ou
errados.
No use nomes geogrficos que sejam difceis de escrever e lembrar.
Evite estender a hierarquia de nomes de domnio DNS por mais que cinco nveis a partir do domnio
raiz interno ou da Internet. Limitar a extenso da hierarquia de nomes de domnio reduz os custos
administrativos.
Se voc vai implantar DNS em uma rede particular e no planeja criar uma espao para nome externo,
recomendado registrar o nome de domnio DNS criado para o domnio interno. Se voc no registrar o nome e
depois tentar us-lo na Internet ou conectar-se a uma rede que esteja conectada Internet, talvez descubra que
o nome no est disponvel.
Criando nomes de computador em uma nova infraestrutura de DNS do Windows Server 2003
Use as diretrizes a seguir para criar nomes de computadores DNS na nova infra-estrutura de DNS do
Windows Server 2003:
NetBIOS
DNS no Windows 2000
e no Windows Server
2003
Suporte RFC 1123 e a No permitido:
UTF-8. Voc pode
caracteres Unicode,
configurar o servidor
nmeros, espao em
DNS do Windows 2000 branco e os smbolos: /
para permitir ou limitar o \ [ ] : | < > + = ; , ? e *)
caracteres UCS-2 (ou Unicode). O conjunto de caracteres UTF-8 permite fazer a transio de nomes NetBIOS
do Windows NT 4.0 para nomes DNS do Windows 2000 e do Windows Server 2003.
Por padro, a verificao de nomes UTF-8 multibyte usada. Ela oferece a melhor tolerncia durante o
processamento de caracteres pelo servio DNS. o mtodo de verificao de nomes preferencial para a
maioria dos servidores DNS operados de forma particular que no estejam fornecendo servio de nome para
hosts da Internet.
Importante O DNS do Windows Server 2003 e do Windows 2000 oferece suporte a
caracteres NetBIOS e UTF-8 em nomes de computador. Outras verses do DNS oferecem
suporte apenas aos caracteres permitidos na RFC 1123. Portanto, use conjuntos de
caracteres NetBIOS e UTF-8 somente quando tiver certeza de que o DNS do Windows
Server 2003 ou do Windows 2000 o mtodo usado para resoluo de nomes. Nomes que
sero exibidos na Internet devem conter apenas caracteres ASCII, conforme recomenda a
RFC 1123.
Consultar nomes internos nos servidores DNS internos. Os servidores DNS internos resolvem a
consulta. Se um servidor DNS que recebe uma consulta no contm os dados solicitados em suas
zonas ou cache, ele executa resoluo de nomes recursiva, contatando os servidores DNS raiz
internos.
Consultar nomes da Internet em um servidor proxy. O servidor proxy encaminha a consulta para
os servidores DNS da Internet. Os servidores DNS da Internet resolvem a consulta.
Consultar nomes do espao para nome externo da diviso Contoso em um servidor proxy. O
servidor proxy encaminha a consulta para os servidores DNS da Internet. Os servidores DNS da
Internet resolvem a consulta.
Consultar nomes da diviso Acquired nos servidores DNS internos. Como os servidores raiz
contm uma delegao para o nvel superior do espao para nome DNS da diviso Acquired, os
servidores DNS internos resolvem recursivamente a consulta, contatando os servidores DNS da
diviso Acquired.
Clientes externos:
No possvel consultar nomes internos. Essa limitao ajuda a proteger a rede interna.
Consultar nomes do espao para nome externo da diviso Contoso nos servidores DNS da
Internet. Os servidores DNS da Internet resolvem a consulta.
O servidor encaminha todas as consultas destinadas diviso Contoso para um servidor DNS dela.
Por exemplo, o servidor encaminha consultas destinadas a corp.contoso.com para
DNSInterno.corp.contoso.com.
Ao mesmo tempo, o servidor encaminha todas as outras consultas destinadas a contoso.com para um
servidor DNS da Internet.
para nome DNS, quantos clientes DNS tem e onde esses clientes esto fisicamente localizados, todas essas
informaes causam impacto na topologia de servidor DNS.
Planejar o design dos servidores DNS permite criar uma distribuio de dados DNS efetiva e atualizar a
topologia, bem como minimizar a distribuio e atualizar o trfego da rede. A figura 4.6 mostra o processo de
criao de servidores DNS.
Usar CPUs mais rpidas, mais RAM e discos rgidos maiores melhora a escalabilidade e o desempenho dos
servidores DNS. Lembre-se de que os servidores DNS usam aproximadamente 100 bytes de RAM para cada
registro de recursos.
Voc pode usar computadores com dois processadores para aprimorar o desempenho dos servidores DNS,
atribuindo o servio Servidor DNS ao primeiro processador e os processos de banco de dados, tais como
transferncias de zona, ao segundo processador.
Fornecer redundncia, caso seu design de espao para nome precise de maior disponibilidade do
DNS.
Melhorar o tempo de resposta da consulta, caso haja necessidade de melhor desempenho do DNS.
Reduzir o trfego da WAN em locais remotos.
Use as diretrizes a seguir para determinar o nmero de servidores DNS que precisam ser implantados:
Se voc tiver um grande nmero de clientes, adicione outros servidores DNS para hospedar zonas
secundrios ou integradas ao Active Directory. Use o nmero antecipado de consultas e atualizaes
dinmicas por segundo para determinar o nmero de servidores DNS necessrios. O servio Servidor
DNS do Windows Server 2003 pode responder a mais de 10.000 consultas por segundo em um
microprocessador Pentium III de 700 MHz.
Para obter informaes sobre o planejamento de capacidade, consulte "Alocando recursos de hardware",
anteriormente, neste captulo.
Se for delegar zonas, adicione outros servidores DNS para cuidar das zonas delegadas. Lembre-se de
que voc no precisa delegar zonas quando tem vrias delas. Voc pode hospedar todas as zonas no
mesmo servidor ou servidores. Um servidor DNS do Windows Server 2003 pode hospedar 200.000
zonas contendo 6 registros de recursos.
Se voc planeja hospedar zonas integradas ao Active Directory, deve coloc-las nos servidores DNS.
Se voc no usar zonas integradas ao Active Directory, as transferncias de zona e o trfego de
consultas ao DNS podero sobrecarregar os links lentos. Se o trfego de volume intenso for uma
considerao em seu ambiente, adicione outros servidores DNS para fornecer balanceamento de
carga. Embora o DNS seja criado para ajudar a reduzir o trfego de difuso entre sub-redes locais,
ele no cria trfego entre servidores e clientes que devem ser examinados, especialmente em
complexos ambientes roteados. Alm disso, embora o servio DNS oferea suporte a IXFRs
(transferncias de zona incrementais) e clientes e servidores possam armazenar em cache os nomes
usados recentemente, as consideraes relacionadas a trfego s vezes continuam sendo um
problema. Isso ocorre especialmente com pequenas concesses de DHCP, as quais exigem
atualizaes dinmicas mais freqentes.
Se voc tem uma LAN roteada com links confiveis e de alta velocidade, um servidor DNS pode ser
o suficiente para uma rea de rede maior que inclua vrias sub-redes.
Se voc tem um nmero alto de ns de cliente em uma nica sub-rede, colocar mais que um servidor
DNS na sub-rede permite backup e failover, caso o DNS preferencial pare de responder.
Se o seu design de DNS inclui zonas primrias e secundrias e voc executa um grande nmero de servidores
secundrios em uma zona, o servidor de nomenclatura mestre primrio pode ficar sobrecarregado durante a
monitorao feita pelos servidores secundrios para verificar se os dados da zona deles esto atualizados.
possvel resolver esses problemas executando um destes trs procedimentos:
Use alguns dos servidores secundrios como servidores mestre da zona. Outros servidores
secundrios podem monitorar e solicitar atualizaes de zona a partir desses servidores mestre.
Aumente o intervalo de atualizao para que os servidores secundrios monitorem com menos
freqncia. Lembre-se, no entanto, de que um intervalo de atualizao mais longo faz com que as
zonas secundrias fiquem desatualizadas com mais freqncia.
Crie servidores DNS somente de cache. Os locais remotos podem beneficiar-se de um servidor DNS
local somente de cache, alm dos servidores DNS que voc adicionou para garantir a
disponibilidade.
Se voc tem uma LAN, coloque os dois servidores DNS em sub-redes diferentes.
Se voc tem uma WAN, coloque os dois servidores DNS autorizados de cada zona em redes
diferentes.
Certifique-se de que pelo menos um servidor DNS est disponvel em cada rede. Essa precauo remove
roteadores como um ponto de falha. Sempre que possvel, distribua os servidores DNS por diferentes
localizaes geogrficas. Essa distribuio permita que as comunicaes continuem em caso de um desastre
natural.
Se voc identificar pontos de falha nicos na rede, determine se eles afetam somente o DNS ou todos os
servios da rede. Se um roteador for desativado e seus clientes no puderem acessar servios da rede, ento a
falha do DNS no ser um problema. Se um roteador for desativado e os servidores DNS no estiverem
disponveis, mas outros servios da rede estiverem, seus clientes no podero acessar os recursos da rede
necessrios porque no conseguiro pesquisar nomes DNS.
Se voc tiver uma presena na Internet, o DNS dever estar funcionando corretamente para que os clientes
acessem seus servidores Web, enviem email e localizem outros servios. Portanto, recomenda-se a execuo
de um servidor DNS secundrio off-site. Se voc tiver uma relao comercial com uma organizao na
Internet, parceiros comerciais ou provedores de servios de Internet, talvez eles concordem em executar um
servidor secundrio para voc. No entanto, certifique-se de que os dados no servidor da organizao esto
protegidos contra invasores da Internet.
Para garantir a disponibilidade do DNS, caso seus servidores DNS primrios off-site estejam desativados,
considere a implantao de um servidor DNS secundrio off-site. Essa medida de precauo recomendada
mesmo que voc no tenha uma presena na Internet.
Usando encaminhamento
Se um servidor DNS estiver configurado corretamente, mas no puder resolver uma consulta usando seu
cache ou suas zonas, ele encaminhar uma consulta para outro servidor, chamado de encaminhador. Os
encaminhadores so servidores DNS comuns e no precisam de configurao especial. Um servidor DNS
chamado de encaminhador porque o destinatrio de uma consulta encaminhada para outro servidor DNS.
til usar encaminhamento para trfego off-site ou da Internet. Por exemplo, o servidor DNS de uma filial
pode encaminhar todo o trfego off-site para um encaminhador na matriz da empresa e um servidor DNS
interno pode encaminhar todo o trfego da Internet para um encaminhador na Internet. Para garantir a
disponibilidade, uma boa idia encaminhar consultas para mais de um encaminhador.
Use encaminhadores em cadeia para limitar o nmero de servidores que devem enviar consultas off-site. Por
exemplo, seus servidores DNS internos podem encaminhar todas as consultas para um ou dois
encaminhadores que, sucessivamente, encaminham consultas para um servidor na Internet. Dessa forma, os
servidores DNS internos no precisam consultar a Internet diretamente. Dependendo dos padres de trfego, o
uso de encaminhadores pode minimizar o volume de trfego off-site na organizao.
Os encaminhadores fornecem tambm segurana adicional da rede, minimizando a lista de servidores DNS
que podem comunicar-se por um firewall.
Voc pode usar o encaminhamento condicional para controlar o processo de resoluo de nomes em um nvel
mais granular. O encaminhamento condicional permite atribuir domnios especficos aos encaminhadores.
Voc pode usar encaminhamento condicional para resolver o seguinte:
Isso gera trfego adicional na rede. Por exemplo, um servidor no raiz no Site A est configurado para
encaminhar consultas para um encaminhador no Site B e ele deve resolver um nome em uma zona hospedada
pelo servidor no Site C. Como o servidor no raiz pode encaminhar consultas somente para o Site B, ele no
pode consultar diretamente o servidor no Site C. Em vez disso, ele encaminha a consulta para o encaminhador
no Site B e o encaminhador consulta o servidor no Site C.
Ao usar encaminhamento condicional, voc pode configurar os servidores DNS para encaminhar consultas
para servidores diferentes, com base no nome de domnio especificado na consulta. Isso elimina etapas na
cadeia de encaminhamento e reduz o trfego da rede. Quando o encaminhamento condicional aplicado, o
servidor do Site A pode encaminhar consultas para encaminhadores do Site B ou do Site C, conforme
apropriado.
Por exemplo, os computadores do site de Seville da Contoso Corporation precisam consultar computadores no
site da R.A.E. de Hong Kong, na sia. Ambos os sites usam um servidor DNS raiz comum,
DNS3.Seville.avionics01-int.com, localizado em Seattle.
Antes da Contoso atualizar para o Windows Server 2003, o servidor de Seville encaminhava todas as
consultas que no podia resolver para seu servidor pai, DNS1.avionics01-int.com, em Seattle. Quando o
servidor de Seville consultava nomes no domnio Avionics (na R.A.E de Hong Kong e em Tquio), o servidor
de Seville encaminhava essas consultas primeiro para Seattle.
Depois da atualizao para o Windows Server 2003, os administradores configuraram o servidor DNS de
Seville para encaminhar consultas destinadas R.A.E. de Hong Kong diretamente para um servidor desse site,
em vez de primeiro desviar para Seattle, conforme mostra a figura 4.7.
empresa parceira. Essa soluo exigia espao de armazenamento adicional no servidor DNS e trfego
adicional da transferncia de zona. Com o encaminhamento condicional, os servidores DNS podem
encaminhar consultas para outros servidores com base no nome do domnio, eliminando a necessidade de
zonas secundrias.
Por exemplo, a Contoso Corporation inclui dois espaos para nome: Contoso e Acquired. Os computadores de
cada diviso precisam acessar o outro espao para nome. Alm disso, os computadores de ambas as divises
precisam acessar computadores do espao para nome particular Fornecedor.
Antes de atualizar para o Windows Server 2003, a diviso Acquired criou zonas secundrias para que os
computadores dos espaos para nome Contoso e Acquired pudessem resolver nomes nos espaos para nome
Contoso, Acquired e Fornecedor. Depois de atualizar para o Windows Server 2003, a diviso Acquired
excluiu suas zonas secundrias e, no lugar, configurou o encaminhamento condicional.
Execute uma atualizao in-loco do DNS do Windows NT 4.0 ou do Windows 2000 para o DNS do
Windows Server 2003.
Migre um servidor inteiro.
Faa backup da configurao existente para poder restaurar, caso algo d errado. Faa o planejamento da
agenda da migrao de forma que os clientes DNS tenham acesso contnuo ao servidor DNS. Por exemplo,
voc pode adiar a colocao do servidor DNS existente offline at ter certeza de que o servidor DNS do
Windows Server 2003 est funcionando corretamente.
Depois de atualizar e migrar os servidores, teste-os para certificar-se de que esto executando corretamente.
Para obter mais informaes sobre como testar o desempenho do servidor DNS, consulte "Monitorar
servidores" no Centro de ajuda e suporte do Windows Server 2003 e "Troubleshooting Windows Server 2003
DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Troubleshooting Windows
Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).
Observao Se voc for usar o arquivo de inicializao de BIND com o servio DNS do
Windows Server 2003, outras limitaes se aplicaro ao uso desse arquivo pelo servio
DNS. Por exemplo, no h suporte para algumas diretivas de inicializao de BIND. Para
obter mais informaes sobre como usar arquivos de inicializao de BIND com o DNS do
Windows Server 2003, consulte o link do Microsoft Knowledge Base na pgina Web
Resources em http://support.microsoft.com/default.aspx?scid=fh;ENUS;kbhowto&sd=GN&ln=EN-US&FR=1 e procure pelos artigos Q194513, "The Structure
of a Domain Name System Boot File", e Q234144, "DNS Boot File Directives and
Configuration for Windows NT 4.0".
das zonas secundrias, voc pode armazenar todos os tipos de zona no Active Directory. Ao criar zonas DNS,
hospede cada uma delas em mais que um servidor DNS.
Decida o tipo de zona a ser usado com base na estrutura do domnio. Para cada tipo de zona, com exceo das
secundrias, decida se ir implant-las com base em arquivo ou integradas ao Active Directory.
Zonas primrias
Implante zonas primrias que correspondam aos nomes de domnio DNS planejados. Voc no pode
armazenar uma cpia primria integrada ao Active Directory e com base em arquivo da mesma zona.
Zonas secundrias
Adicione zonas secundrias se no tiver uma infra-estrutura do Active Directory. Se voc no tiver uma infraestrutura do Active Directory, use zonas secundrios em servidores DNS que no estejam agindo como
controladores de domnio. Uma zona secundria contm uma cpia completa de uma zona. Portanto, use
zonas secundrias para melhorar a disponibilidade da zona em sites remotos, caso no queira que os dados
delas sejam replicados por um link da WAN, atravs da replicao do Active Directory.
melhor adicionar zonas secundrias para a maioria das zonas primrias ou todas elas. Esse design permite a
tolerncia a falhas, a distribuio geogrfica de hosts da rede e o balanceamento de carga.
Zonas de stub
Uma zona de stub uma cpia de uma zona que contm somente o registro de recursos SOA (incio de
autoridade), os registros de recursos NS (servidor de nomes) listando os servidores autorizados da zona e os
registros de recursos de host (A) necessrios para identificar esses servidores autorizados.
Um servidor DNS que hospeda uma zona de stub configurado com o endereo IP do servidor autorizado do
qual carregado. possvel atualizar manualmente a zona de stub. Quando um servidor DNS que hospeda
uma zona de stub recebe uma consulta de um nome de computador na zona qual a zona de stub se refere, ele
usa o endereo IP para consultar o servidor autorizado ou, se a consulta for iterativa, retorna uma referncia
para os servidores DNS listados na zona de stub. Os servidores DNS podem usar zonas de stub para consultas
iterativas e recursivas.
As zonas de stub so atualizadas em intervalos regulares, determinados pelo intervalo de atualizao do
registro de recursos SOA dela. Quando um servidor DNS carrega uma zona de stub, ele consulta registros de
recursos SOA nos servidores mestre da zona, registros de recursos NS na raiz dela e registros de recursos A.
O servidor DNS tenta atualizar seus registros de recursos no fim do intervalo de atualizao do registro de
recursos SOA. Para atualizar seus registros, o servidor DNS consulta os registros de recursos listados
anteriormente nos servidores mestre.
Voc pode usar zonas de stub para certificar-se de que o servidor autorizado em uma zona pai recebe
automaticamente atualizaes sobre os servidores de nomes autorizados em uma zona filha. Para isso,
adicione as zonas de stub aos servidores que esto hospedando a zona pai. As zonas de stub podem ser
baseadas em arquivo ou integradas ao Active Directory. Se voc usar zonas de stub integradas ao Active
Directory, poder configur-las em um computador e permitir que a replicao do Active Directory as
propaguem para outros servidores DNS que estejam sendo executados nos controladores de domnio.
Voc tambm pode usar as zonas de stub para certificar-se de que os servidores esto cientes de outros
espaos para nome, embora o encaminhamento condicional seja o mtodo preferencial para isso. Para obter
mais informaes sobre como usar zonas de stub, consulte o Centro de ajuda e suporte do Windows Server
2003.
Observao Apenas servidores DNS do Windows Server 2003 oferecem suporte a zonas de
stub.
Se voc tem uma infra-estrutura com o Active Directory, pode usar zonas integradas a ele somente nos
controladores de domnio dele. Se voc vai usar zonas integradas ao Active Directory, deve decidir se vai ou
no armazen-las na partio do diretrio de aplicativo.
Voc pode combinar zonas integradas ao Active Directory e zonas baseadas em arquivo no mesmo design.
Por exemplo, se o servidor DNS autorizado na zona raiz particular estiver sendo executado em um sistema
operacional que no seja o Windows Server 2003 ou o Windows 2000, ele no poder agir como um
controlador de domnio do Active Directory. Portanto, voc deve usar zonas baseadas em arquivo nesse
servidor. No entanto, voc pode delegar essa zona a qualquer controlador de domnio que esteja executando o
Windows Server 2003 ou o Windows 2000.
Por exemplo, os administradores de uma empresa que precisavam implantar o Active Directory, examinaram
os requisitos do DNS para oferecer suporte ao Active Directory e descobriram que o servidor DNS autorizado
para o nome, fornecedor01-int.com, estava sendo executado em um servidor BIND 4.9.7 que no oferece
suporte ao Active Directory. Eles decidiram adicionar uma delegao a partir da zona baseada em arquivo,
fornecedor01-int.com, hospedada no servidor BIND. A delegao refere-se a um Windows Server 2003
autorizado, parceiro.fornecedor01-int.com, da zona. O Windows Server 2003 tambm age como um
controlador de domnio. Dessa maneira, os administradores criaram a zona, parceiro.fornecedor01-int.com,
integrada ao Active Directory.
Depois de decidir quais zonas os servidores DNS hospedaro, decida como replic-las entre os servidores. As
zonas replicadas proporcionam maior disponibilidade, melhoram o tempo de resposta da consulta e reduzem o
trfego da rede produzido por consultas de nomes. No entanto, as zonas replicadas exigem espao de
armazenamento e aumentam o trfego da rede. Se a sua rede for distribuda e gerenciada em sites diferentes,
use subdomnios para esses sites. Se voc no tem uma rede distribuda, evite usar subdomnios quando
possvel.
A criao de replicao de zona envolve a identificao do local que usar as zonas replicadas para obter
redundncia e disponibilidade.
No Windows Server 2003, voc pode replicar zonas usando transferncia de zona baseada em arquivo ou
replicao do Active Directory. Selecione o mtodo de replicao de zona apropriado, de acordo com o
seguinte:
Se voc usa zonas baseadas em arquivo, use transferncia de zona baseada em arquivo.
Se voc tem zonas integradas ao Active Directory do Windows Server 2003 e do Windows 2000, use
a replicao do Active Directory. Voc dever estabelecer o escopo da replicao, caso use zonas
integradas ao Active Directory em um domnio do Windows Server 2003.
H uma reduo no trfego da rede porque os controladores de domnio enviam somente o resultado
final de todas as alteraes.
Quando uma zona armazenada no Active Directory, a replicao ocorre automaticamente. No h
necessidade de configurao adicional.
Quando a replicao de zona do Active Directory ocorre entre sites, os dados da zona que so
maiores que os da transferncia padro so automaticamente compactados antes de serem
transferidos. Essa compactao reduz a carga do trfego da rede.
Depois de anlise cuidadosa, voc pode particionar e delegar as zonas DNS com base em o que necessrio
para fornecer servio de nomenclatura eficiente e tolerante a falhas em cada local ou site.
Se voc estiver usando zonas integradas ao Active Directory em um domnio do Windows Server 2003,
dever selecionar um escopo de replicao de zona integrada ao Active Directory usando o MMC. Ao
selecionar um escopo de replicao, lembre-se de que, quanto maior o escopo da replicao, maior o trfego
de rede que ela produz. Por exemplo, se voc optar por replicar dados de zona DNS integrada ao Active
Directory em todos os servidores DNS da floresta, isso produzir maior trfego na rede do que replicar os
dados da zona DNS em todos os servidores DNS de um nico domnio do Active Directory nessa floresta.
Equilibre sua necessidade de minimizar o trfego de replicao com a necessidade de minimizar o trfego de
consulta zona.
A tabela 4.8 lista as opes de replicao de dados da zona integrada ao Active Directory.
Tabela 4.8 Opes de replicao de dados da zona integrada ao Active Directory
Opo
Descrio
Todos os servidores Os dados da zona so
DNS na floresta do replicados em todos os
servidores DNS executados
Active Directory
nos controladores de domnio
baseados no Windows Server
2003 de todos os domnios da
floresta do Active Directory.
Quando usar
Voc deseja o maior escopo de
replicao. Geralmente, essa opo
produz a maior parte do trfego de
replicao da zona. Lembre-se de que
voc pode escolher essa opo somente
se todos os servidores DNS que
hospedam uma cpia integrada ao
Active Directory dessa zona
executarem o Windows Server 2003.
Todos os servidores Os dados da zona so
No preciso que a zona seja replicada
replicados em todos os
DNS de um
em toda a floresta e voc deseja limitar
servidores DNS executados o trfego de replicao dela. Essa opo
domnio
nos controladores de domnio produz menos trfego de replicao da
especificado do
baseados no Windows Server zona do que replic-la em todos os
Active Directory
2003 do domnio
servidores DNS da floresta ou em todos
especificado do Active
os controladores de domnio do
Directory. Essa opo a
domnio. Se voc escolher essa opo,
configurao padro para
os dados da zona no sero replicados
replicao de zona DNS
nos servidores DNS que executam
integrada ao Active
controladores de domnio baseados no
Directory.
Windows 2000.
O domnio especificado do
Active Directory aquele
hospedado pelo controlador
de domnio no qual o
servidor DNS que hospeda a
Se voc copiar os arquivos de zona, dever verificar manualmente a integridade das zonas.
Independentemente do mtodo usado para migrar zonas, voc ter que decidir se deve colocar o servidor DNS
original offline ou us-lo como um servidor secundrio. Se voc determinar que o servidor DNS original de
terceiros causa problemas de interoperabilidade na rede ou se precisar usar o hardware desse servidor para
outra finalidade, coloque-o offline. Caso contrrio, mantenha-o na rede para fornecer backup para o servidor
DNS primrio do Windows Server 2003.
Para obter mais informaes sobre como usar transferncia de zona, consulte "Iniciar uma transferncia de
zona em um servidor secundrio", no Centro de ajuda e suporte do Windows Server 2003.
clientes em pesquisas de consulta ao DNS em busca de nomes de domnio curtos e no qualificados. Voc
tambm pode usar uma diretiva de grupo para simplificar a configurao do cliente DNS.
A figura 4.9 mostra o processo de configurao e gerenciamento de clientes DNS.
Para obter mais informaes sobre tipos comuns de ataques, desenvolvimento de uma diretiva de segurana e
avaliao do nvel de risco, consulte "Designing an Authentication Strategy" e "Designing an Authorization
Strategy" em Designing and Deploying Directory and Security Services.
Usando transferncia de zona, eles podem obter uma lista com todos os hosts e os endereos IP deles
na rede.
Usando ataques de negao de servio, eles podem evitar que emails sejam enviados e recebidos na
rede e podem impedir a visibilidade do servidor Web.
Se eles puderem alterar os dados da zona, podero configurar servidores Web falsos ou fazer com
que os emails sejam redirecionados para os servidores deles.
O risco de ataque depende da exposio Internet. Para um servidor DNS de uma rede particular que usa um
espao para nome particular, um esquema de endereamento particular e um firewall efetivo, o risco de
ataque menor e a possibilidade de descobrir o intruso maior. Para um servidor DNS exposto Internet, o
risco maior.
Decidir o acesso de que os clientes precisam, as relaes desejadas entre segurana e desempenho e
os dados que mais precisam de proteo.
Familiarizar-se com as questes de segurana comuns em servidores DNS internos e externos.
Estudar o trfego de resoluo de nomes para verificar quais clientes podem consultar quais
servidores.
Voc pode optar por adotar uma diretiva de segurana de DNS de nvel baixo, mdio ou alto.
A segurana DNS de nvel alto usa a mesma configurao que a segurana de nvel mdio e usa tambm os
recursos de segurana disponveis quando o servio Servidor DNS est sendo executado em um controlador
de domnio e as zonas DNS esto armazenadas no Active Directory. Alm disso, a segurana de nvel alto
elimina completamente a comunicao do DNS com a Internet. No uma configurao comum, mas a
recomendada sempre que a conectividade com a Internet no necessria. Uma diretiva de segurana de nvel
alto inclui as seguintes caractersticas:
Coloque o servidor de nomes em uma rede de permetro, em vez de colocar na rede interna.
Para obter mais informaes sobre redes de permetro, consulte "Deploying ISA Servers", neste
manual.
Use um servidor DNS para servios acessados publicamente dentro da rede de permetro e um
servidor DNS separado para a rede interna particular. Isso reduz o risco de exposio do espao para
nome particular, o qual pode expor nomes e endereos IP sigilosos aos usurios baseados na Internet.
Tambm aumenta o desempenho, porque reduz o nmero de registros de recursos no servidor DNS.
Elimine qualquer ponto de falha nico. Lembre-se, no entanto, de que a redundncia de DNS no
ajudar se os clientes no puderem acessar servios da rede. Pense sobre a localizao dos clientes
em cada zona DNS e como eles resolvero nomes se o servidor DNS estiver comprometido e no
puder responder s consultas.
Impea o acesso no autorizado aos servidores. Permita somente atualizao dinmica segura das
zonas e limite a lista de servidores DNS que tm permisso para obter uma transferncia de zona.
Monitore os logs DNS e os servidores DNS internos, usando o Visualizador de Eventos. A
monitorao dos logs e do servidor pode ajudar a detectar modificaes no autorizadas no servidor
DNS ou nos arquivos de zona.
Implemente zonas integradas ao Active Directory com atualizao dinmica segura.
A replicao de zonas como parte da replicao do Active Directory proporciona os seguintes benefcios de
segurana:
Use o nvel maior de criptografia ou autenticao de tnel VPN ao qual os servidores ofeream
suporte.
Use o servio Roteamento e acesso remoto do Windows Server 2003 para criar o tnel IPSec ou
VPN.
sobre endereamento dinmico armazenadas no DNS. Para permitir essa integrao, voc pode usar o servio
DHCP do Windows Server 2003.
O padro de atualizao dinmica, especificado na RFC 2136, "Dynamic Updates in the Domain Name
System (DNS UPDATE)", atualiza automaticamente os registros DNS. O Windows Server 2003 e o Windows
2000 oferecem suporte a atualizao dinmica e clientes e servidores DHCP podem enviar atualizaes
dinmicas quando os endereos IP deles mudam. Sozinha a atualizao dinmica no segura porque
qualquer cliente pode modificar registros DNS. Para proteger atualizaes dinmicas, voc pode usar o
recurso de atualizao dinmica segura fornecido no Windows Server 2003. Para excluir registros
desatualizados, voc pode usar os recursos de durao e eliminao do servidor DNS.
A atualizao dinmica permite aos servidores DHCP registrar registros de recursos A e PTR em nome dos
clientes DHCP. Esse processo requer o uso da opo 81 de FQDN do cliente DHCP. A opo permite ao
cliente fornecer seu FQDN ao servidor DHCP. O cliente fornece tambm instrues para o servidor,
descrevendo como processar atualizaes dinmicas de DNS em nome do cliente DHCP.
Quando a opo 81 emitida por um cliente DHCP qualificado, ela processada e interpretada por um
servidor DHCP do Windows Server 2003 para determinar como o servidor inicia atualizaes em nome do
cliente. Se o servidor estiver configurado para executar atualizaes dinmicas de DNS, ele executar uma
das seguintes aes:
O servidor DHCP atualiza registros A e PTR do DNS se solicitado por clientes que esto usando a
opo 81.
O servidor DHCP atualiza registros A e PTR do DNS independentemente do cliente solicitar essa
ao ou no.
Alm disso, o servidor DHCP pode atualizar dinamicamente registros A e PTR do DNS em nome dos clientes
herdados que no so capazes de enviar a opo 81 ao servidor. Voc tambm pode configurar o servidor
DHCP para descartar registros A e PTR do cliente quando a concesso dele for excluda. Isso reduz o tempo
necessrio para gerenciar esses recursos manualmente e fornece suporte a clientes DHCP que no podem
executar atualizaes dinmicas. Alm disso, a atualizao dinmica simplifica a configurao do Active
Directory, permitindo aos controladores de domnio o registro dinmico com registros do servidor.
Depois de testar sua configurao em um ambiente de teste, voc pode lanar as alteraes no ambiente de
produo. A figura 4.9 mostra o processo de implementao do DNS do Windows Server 2003.
Servidores raiz
Encaminhadores
Servidores que hospedam zonas pai
Servidores que hospedam zonas filha
Servidores que hospedam zonas mestre
Servidores que hospedam outras cpias da mesma zona integradas ao Active Directory, caso o
servidor esteja integrado ao Active Directory
Servidores na Internet
Se voc espera que os clientes consultem nomes na Internet e planeja usar um servidor proxy, certifique-se de
que ele est no lugar.
Por convenincia, voc pode optar por instalar o DNS em controladores de domnio, como parte da instalao
do Active Directory. Se for essa a sua escolha, no esquea que voc no pode alterar o nome do computador
aps a instalao do Active Directory nele.
Instale o DNS em um servidor usando o Assistente para Instalao do Active Directory para instalar
o Active Directory.
Esse assistente cria automaticamente uma cpia da zona de pesquisa direta integrada ao Active
Directory, que corresponde ao nome de domnio do Active Directory, e a configura para atualizao
dinmica segura. Alm disso, o assistente cria as zonas de pesquisa reversa padro recomendadas
pelas RFCs de DNS. Em alguns casos, o assistente configura o servidor como raiz ou inicializa as
dicas de raiz com os nomes dos servidores raiz.
Voc pode iniciar o Assistente para Instalao do Active Directory executando um arquivo de
resposta, um arquivo que contm respostas a todas as perguntas que o assistente faz. Para obter mais
informaes sobre como usar o arquivo de resposta, consulte "Active Directory Data Storage" no
Distributed Services Guide do Windows Server 2003 Resource Kit (ou consulte "Active Directory
Data Storage" na Web em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).
Antes ou depois de instalar o Active Directory no servidor, voc pode usar a ferramenta Adicionar
ou Remover Programas para instalar o servio Servidor DNS e, em seguida, executar o Assistente
para Configurao de Servidor DNS a fim de configurar suas zonas. Como o Assistente para
Instalao do Active Directory, o Assistente para Configurao de Servidor DNS cria as zonas de
pesquisa reversa padro recomendadas pelas RFCs de DNS e configura o servidor como raiz ou
inicializa as dicas de raiz.
Voc pode usar a ferramenta de linha de comando Dnscmd.exe para configurar o servidor DNS.
Voc pode usar VBScript ou outras linguagens de script atravs do provedor WMI fornecido com o
Windows Server 2003.
Depois de instalar o servidor DNS, examine se a zona raiz existe. Se o servidor estiver configurado como raiz
e voc no aceitar essa opo, exclua a zona raiz.
Para obter mais informaes sobre essas opes e informaes sobre como o Assistente para Instalao do
Active Directory e o Assistente para Configurao de Servidor DNS determinam se devem ou no inicializar
as dicas de raiz, consulte "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003
Resource Kit (ou consulte "Windows Server 2003 DNS" na Web em
http://www.microsoft.com/windows/reskits/default.asp) (site em ingls).
Configurando zonas
Se voc instalar o DNS usando o Assistente para Instalao do Active Directory, o assistente criar zonas
DNS que correspondem aos domnios do Active Directory especificados. Se as zonas especificadas durante a
fase de planejamento de zona da implantao ainda no existirem, crie-as agora.
Se a zona criada pelo assistente no for do tipo desejado, altere-a agora. Por exemplo, talvez seja necessrio
converter uma zona primria padro em uma zona integrada ao Active Directory. Se o assistente de instalao
criou a zona, mas no adicionou a delegao, adicione-a agora.
Para cada zona criada, adicione os registros de recursos apropriados e ative ou desative a atualizao dinmica
ou a atualizao dinmica segura, conforme apropriado. Para enviar atualizaes aos servidores secundrios
de uma zona, configure a notificao de DNS no servidor primrio.
Para obter mais informaes sobre como adicionar e remover zonas, consulte o Centro de ajuda e suporte do
Windows Server 2003.
Configurando o encaminhamento
Se algum servidor precisar encaminhar consultas para outro, configure o encaminhamento nos servidores que
devem encaminhar as consultas. Para que o servidor encaminhe consultas para outros servidores, dependendo
do sufixo DNS especificado na consulta, configure o encaminhamento condicional corretamente.
Para obter mais informaes sobre encaminhamento condicional, consulte "Usando encaminhamento" neste
captulo e "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou
consulte "Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp)
(site em ingls).
Dependendo da forma de configurao das zonas e dos servidores, talvez as zonas j estejam configuradas
para atualizao dinmica ou dinmica segura. Se no estiverem configuradas de forma apropriada, faa as
alteraes necessrias.
Para obter informaes sobre como configurar atualizao dinmica e dinmica segura, consulte o Centro de
ajuda e suporte do Windows Server 2003.
Para obter mais informaes sobre como verificar a operao do servidor DNS, consulte "DNS
Troubleshooting" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "DNS
Troubleshooting" na Web em http://www.microsoft.com/windows/reskits/default.asp) (site em ingls).
Voc pode usar qualquer um dos mtodos a seguir para configurar clientes DNS:
Para obter mais informaes sobre como instalar e configurar clientes DNS, consulte o Centro de ajuda e
suporte do Windows Server 2003.
Recursos adicionais
Esses recursos contm informaes adicionais e ferramentas relacionadas a este captulo.
Informaes relacionadas nos Resource Kits
"Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit para obter
informaes sobre o servio Servidor DNS.
Netdiag.exe
O Netdiag.exe ajuda a isolar problemas de rede e de conectividade, executando vrios testes para
determinar o estado do cliente da rede e se ele est funcionando.
Dnscmd.exe
Voc pode usar a ferramenta de linha de comando Dnscmd.exe para executar a maioria das tarefas
que podem ser executadas no snap-in de DNS do MMC.
Nslookup.exe
Use Nslookup para executar teste de consulta do espao para nome DNS e para diagnosticar
problemas nos servidores de nomes.
uso e aos resultados do uso deste documento. Salvo indicao em contrrio, os exemplos de empresas,
organizaes, produtos, pessoas e acontecimentos aqui mencionados so fictcios. Nenhuma associao com
qualquer empresa, organizao, produto, pessoa ou acontecimento real intencional ou deve ser inferida.
Obedecer a todas as leis de direitos autorais aplicveis responsabilidade do usurio. Sem limitar os direitos
autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um sistema de
recuperao, ou transmitida de qualquer forma por qualquer meio (eletrnico, mecnico, fotocpia, gravao
ou qualquer outro), ou para qualquer propsito, sem a permisso expressa, por escrito, da Microsoft
Corporation.
A Microsoft pode ter patentes ou requisies para obteno de patente, marcas comerciais, direitos autorais ou
outros direitos de propriedade intelectual que abrangem o contedo deste documento. A posse deste
documento no lhe confere direito algum sobre as citadas patentes, marcas comerciais, direitos autorais ou
outros direitos de propriedade intelectual, salvo aqueles expressamente mencionados em um contrato de
licena, por escrito, da Microsoft.
2002 Microsoft Corporation. Todos os direitos reservados.
Active Accessibility, Active Channel, Active Client, Active Desktop, Active Directory, ActiveMovie,
ActiveX, Authenticode, BackOffice, Direct3D, DirectAnimation, DirectDraw, DirectInput, DirectMusic,
DirectPlay, DirectShow, DirectSound, DirectX, DoubleSpace, DriveSpace, FrontPage, IntelliMirror,
IntelliMouse, IntelliSense, JScript, Links, Microsoft, Microsoft Press, Microsoft QuickBasic, MSDN, MSDOS, MSN, Natural, NetMeeting, NetShow, OpenType, Outlook, PowerPoint, SideWinder, Slate,
TrueImage, Verdana, Visual Basic, Visual C++, Visual FoxPro, Visual InterDev, Visual J++, Visual Studio,
WebBot, Win32, Windows, Windows Media, Windows NT so marcas registradas ou comerciais da
Microsoft Corporation nos Estados Unidos e/ou em outros pases.
Os nomes de empresas e produtos reais aqui mencionados podem ser marcas comerciais de seus respectivos
proprietrios.
Agradecemos sua reviso da documentao desenvolvida pela equipe dos Windows Resource Kits. Caso
tenha comentrios sobre a relevncia, a utilidade ou a abrangncia do contedo, envie-os para
docbeta@microsoft.com. Lembre-se de especificar o ttulo do captulo na linha de assunto da mensagem.
Favor incluir os nmeros de pgina relevantes nos comentrios. Voc tambm pode enviar seus comentrios
como anexo.
1985-2002 Microsoft Corporation. Todos os direitos reservados.