Implantando DNS no Windows Server 2003

Implantando DNS
O DNS (sistema de nomes de domnio) do Microsoft Windows 2003 fornece uma resoluo de nomes
eficiente, suporte a servios de diretrio do Active Directory e interoperabilidade com outras tecnologias
baseadas em padro. A implantao de DNS em sua infra-estrutura cliente/servidor ativa recursos em uma
rede TCP/IP para localizar outros recursos na rede, usando resoluo de nomes de host para endereo IP e de
endereo IP para nome de host.

Informaes relacionadas nos Resource Kits

Para obter mais informaes sobre DNS, consulte "Introduction to DNS" no Networking Guide do
Microsoft Windows Server 2003 Resource Kit (ou consulte "Introduction to DNS" na Web em
http://www.microsoft.com/windows/reskits/default.asp - site em ingls).
Para obter informaes sobre servidor e cliente DNS do Windows Server 2003, consulte "Windows Server
2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003
DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp - site em ingls).
Para obter informaes sobre cliente DNS, consulte "Configuring IP Addressing and Name Resolution" em
Administering Microsoft Windows XP Professional.
Para obter informaes sobre como estabelecer diretivas de segurana, consulte "Designing an Authorization
Strategy" em Designing and Deploying Directory and Security Services, neste kit.
Para obter informaes sobre como implantar DNS especificamente para Active Directory, consulte "Criando
a estrutura lgica" em Criando e implantando servios de diretrio e de segurana.

Viso geral da implantao de DNS

DNS o principal mtodo de resoluo de nomes do Windows Server 2003. Ele tambm uma exigncia
bsica para a implantao do Active Directory, no entanto, o Active Directory no uma exigncia para a
implantao do DNS. A integrao do DNS ao Active Directory fornece a melhor combinao de segurana,
desempenho e disponibilidade para resoluo de nomes corporativa.
A implantao do DNS com o Active Directory permite usar a topologia de replicao multimaster do Active
Directory para aprimorar o desempenho e a integridade da resoluo de nomes. Implantar zonas integradas ao
Active Directory elimina a necessidade de uma topologia de transferncia de zona principal nica,
primria/secundria separada. As zonas integradas ao Active Directory armazenam dados no banco de dados
dele. Como no possvel armazenar zonas secundrias no Active Directory, para usar zonas integradas a ele
voc deve executar o servio Servidor DNS em controladores de domnio e usar zonas primrias
exclusivamente. A implantao de zonas integradas ao Active Directory tambm permite aproveitar o modelo
de segurana nativo para implementar atualizao dinmica segura, uma extenso do protocolo de atualizao
dinmica do DNS.
A implantao do DNS permite fornecer um mecanismo escalonvel para a localizao de recursos nas redes.
Ao integrar DNS ao Active Directory, voc aprimora a segurana e o desempenho do DNS.

Processo de implantao de DNS

A implantao de DNS envolve o planejamento e a criao da infra-estrutura, incluindo o espao para nome,
o posicionamento do servidor, as zonas e a configurao do cliente DNS. Alm disso, preciso planejar o
nvel de integrao ao Active Directory e identificar os requisitos de segurana, escalabilidade e desempenho,
antes de implementar a soluo DNS em um ambiente de produo. A figura 4.1 mostra o processo de
implantao de DNS.

Figura 4.1 Processo de implantao de DNS

Conceitos de DNS

O DNS do Windows Server 2003 interopera com uma ampla variedade de sistemas operacionais. Alm disso,
ele usa um banco de dados distribudo que implementa um sistema de nomenclatura hierrquico. Esse sistema
de nomenclatura permite a uma organizao expandir sua presena na Internet e permite a criao de nomes
exclusivos na Internet e nas intranets particulares baseadas em TCP/IP.
Por causa de sua estrutura distribuda e hierrquica, o DNS usado mundialmente no espao para nome da
Internet. Com o uso do DNS, qualquer computador na Internet pode pesquisar o nome de qualquer outro
computador no espao para nome da Internet. Computadores com o Windows Server 2003 e o Windows 2000
tambm usam o DNS para localizar controladores de domnio.

Novidade no Windows Server 2003

O DNS do Windows Server 2003 inclui vrios recursos novos:

Encaminhamento condicional. O encaminhamento condicional permite encaminhar consultas de

DNS com base no nome de domnio DNS da consulta. Para obter mais informaes sobre
encaminhamento condicional, consulte o Centro de ajuda e suporte do Windows Server 2003.
Zonas de stub. As zonas de stub permitem sincronizar servidores DNS que esto hospedando zonas
pai com os servidores DNS autorizados de suas respectivas zonas filha. Para obter mais informaes
sobre zonas de stub, consulte o Centro de ajuda e suporte do Windows Server 2003.
Zonas integradas ao Active Directory. As zonas integradas ao Active Directory permitem
armazenar dados no banco de dados dele. As informaes da zona sobre qualquer servidor DNS
primrio em uma zona integrada ao Active Directory so sempre replicadas. Para obter mais
informaes sobre zonas integradas ao Active Directory, consulte o Centro de ajuda e suporte do
Windows Server 2003.

Ferramentas para implantao de DNS

O Windows Server 2003 inclui algumas ferramentas para ajud-lo a implantar uma infra-estrutura de DNS.
Active Directory Sizer
O Active Directory Sizer permite estimar o hardware necessrio para implantar o Active Directory, com base
nas informaes sobre perfil e domnio da organizao e na topologia do site. Ele usa entrada do usurio e
frmulas internas para estimar o nmero de:

Controladores de domnio por domnio, por site.

Servidores de catlogo global por domnio, por site.
CPUs por computador e tipo de CPU.
Discos necessrios para o armazenamento de dados do Active Directory.

O Active Directory tambm estima:

Netdiag

A quantidade de memria necessria.

O uso de largura de banda da rede.
O tamanho do banco de dados do domnio.
O tamanho do banco de dados do catlogo global.
A largura de banda necessria para a replicao entre sites.

A ferramenta Netdiag ajuda a isolar problemas de rede e de conectividade. Ela executa vrios testes que
podem ser usados para determinar o estado do cliente da rede. Para obter mais informaes sobre Netdiag,
consulte "Ferramentas de suporte" no Centro de ajuda e suporte do Windows Server 2003.
Dnscmd.exe
Voc pode usar a ferramenta de linha de comando Dnscmd.exe para executar a maioria das tarefas que podem
ser executadas no snap-in de DNS do MMC (Console de gerenciamento Microsoft).

Termos e definies
A seguir esto os termos mais importantes relacionados a DNS:

Servidor de nomes autorizado. Um servidor que tem autorizao para resolver consultas DNS de
uma zona especificada. Um servidor de nomes autorizado contm um arquivo de zona local de
registros de recursos dos computadores da zona. Cada zona possui pelo menos um servidor de nomes
autorizado.
Encaminhamento condicional. O encaminhamento condicional permite especificar o nome de
domnio interno e o endereo IP que o encaminhador associa ao nome de domnio designado na
consulta. No DNS do Windows Server 2003, voc pode aprimorar o desempenho da resoluo de
nomes adicionando condies baseadas em nome aos encaminhadores de DNS. Quando o
encaminhador encontra correspondncia entre o nome de domnio designado na consulta e o nome
de domnio especificado na condio, ele passa a consulta para um servidor DNS no domnio
especificado. Os servidores DNS configurados para usar encaminhamento condicional podem
executar resoluo de nomes sem usar recurso.
Delegao. O processo de distribuir responsabilidade pelos nomes de domnio entre os vrios
servidores DNS da rede. Para cada nome de domnio delegado, voc precisa criar pelo menos uma
zona. Quanto mais domnios so delegados, mais zonas precisam ser criadas.
Espao para nome DNS. A estrutura hierrquica da rvores de nomes de domnio. Cada rtulo de
domnio usado em um FQDN (nome de domnio totalmente qualificado) indica um n ou uma
ramificao da rvore de espao para nome de domnio. Por exemplo, host1.contoso.com um
FQDN que representa o n host1, do n Contoso, do n com, da raiz Internet.
Resolvedor DNS. Um servio executado em computadores cliente que envia consultas DNS a um
servidor DNS.
Servidor DNS. Um computador executando o servio do Servidor DNS. Um servidor DNS mantm
informaes sobre uma parte do banco de dados DNS e resolve consultas DNS.
Espao para nome externo. Um espao para nome pblico, por exemplo, a Internet, que pode ser
acessado por qualquer dispositivo conectado. Abaixo dos domnios de nvel superior, a ICANN
(Internet Corporation for Assigned Names and Numbers) e outras autoridades de nomenclatura da
Internet delegam domnios a organizaes, tais como, provedores de servios de Internet, que, por
sua vez, delegam subdomnios aos seus clientes.
FQDN (nome de domnio totalmente qualificado). Um nome DNS que identifica exclusivamente
um n de um espao para nome DNS. O FQDN de um computador uma concatenao do nome do
computador (por exemplo, client1) com o sufixo DNS primrio dele (por exemplo, contoso.com).
Espao para nome interno. Um espao para nome no qual as organizaes podem controlar o
acesso. As organizaes podem usar o espao para nome interno para proteger os nomes e endereos
IP de seus computadores internos na Internet. Uma nica organizao pode ter vrios espaos para
nome internos. As organizaes podem criar seus prprios servidores raiz e quaisquer subdomnios,
conforme necessrio. O espao para nome interno pode coexistir com um espao para nome externo.
Servidor de nomes. Um servidor DNS que responde s solicitaes do resolvedor vindas de clientes
de uma zona especificada e resolve FQDNs em endereos IP. As zonas podem conter servidores de
nomes primrios e secundrios.

Servidor de nomes mestre. Um servidor que tem autoridade para resoluo de nomes em uma zona.
Se um servidor de nomes mestre for um servidor de nomes primrio, dever conter um arquivo de
registros de recursos da zona local. Se um servidor de nomes mestre for um servidor de nomes
secundrio, dever obter registros de recursos da zona em outro servidor de nomes mestre durante
uma transferncia de zona.
Servidor de nomes primrio. Um servidor responsvel pela resoluo de nomes da zona sobre a
qual tem autoridade. Um servidor de nomes primrio possui um banco dados DNS mestre com
registros de recursos que mapeiam nomes de host para endereos IP. Os registros do banco de dados
DNS mestre esto contidos em um arquivo da zona local.
Servidor de nomes secundrio. Um servidor que, durante uma transferncia de zona, deve obter em
um servidor de nomes mestre os registros de recursos de uma zona. Um servidor de nomes
secundrio no possui um arquivo da zona local. Se um servidor de nomes secundrio for um
servidor de nomes mestre, ele ter autoridade de resoluo de nomes sobre uma zona, mas ter que
obter registros de recursos de outro servidor de nomes mestre. Se um servidor de nomes secundrio
no for um servidor de nomes mestre, ele poder ser usado para redundncia e balanceamento de
carga.
RR (registro de recursos). Uma estrutura de banco de dados DNS padro contendo informaes
usadas para processar consultas DNS. Por exemplo, um registro de recursos de endereo (A) contm
um endereo IP correspondente a um nome de host. A maioria dos tipos bsicos de RR definida na
RFC 1035, "Domain Names - Implementation and Specification", mas h outros tipos de RR
definidos em outras RFCs e so aprovados para uso com o DNS.
Zona de stub. Uma cpia parcial de uma zona que pode ser hospedada por um servidor DNS e usada
para resolver consultas recursivas ou iterativas. As zonas de stub contm os registros de recursos
SOA (Incio de autoridade), os registros de recursos DNS que listam os servidores autorizados e os
registros de recursos de unio A (endereo) que so necessrios para contatar os servidores
autorizados da zona.
Zona. Em um banco de dados DNS, uma parte contgua da rvore DNS que administrada por um
servidor DNS como uma nica entidade separada. A zona contm registros de recursos de todos os
nomes cadastrados.
Arquivo de zona. Um arquivo que consiste em registros de recursos do banco de dados DNS que
definem a zona. Cada servidor de nomes primrio contm um arquivo de zona.
Transferncia de zona. O processo de mover o contedo do arquivo de zona localizado em um
servidor de nomes primrio para um servidor de nomes secundrio. A transferncia de zona oferece
tolerncia falhas, atravs da sincronizao do arquivo de zona de um servidor de nomes primrio
com o arquivo de zona de um servidor de nomes secundrio. O servidor de nomes secundrio poder
continuar a realizar a resoluo de nomes se o servidor de nomes primrio falhar. A transferncia de
zona tambm oferece balanceamento de carga, atravs da diviso da carga da rede entre os servidores
de nomes primrios e secundrios, durante perodos de volume intenso de consultas de resoluo de
nomes.

Examinando o ambiente atual

Antes de implantar o DNS do Windows Server 2003 no ambiente, voc deve acessar os requisitos atuais a fim
de determinar se precisa implantar sua prpria infra-estrutura de DNS ou terceirizar a administrao dele.
Alm disso, voc precisa criar um plano de implantao de DNS do Windows Server 2003 que atenda s
necessidades atuais e futuras de sua organizao. A figura 4.2 mostra o processo de exame do ambiente atual.

Figura 4.2 Examinando o ambiente atual

Determine o status da Internet

Para oferecer suporte resoluo de nomes alm do escopo do domnio interno, os endereos IP e os nomes
de domnio DNS devem ser registrados em uma autoridade de registro da Internet (registrador da Internet). Os
registradores da Internet so organizaes responsveis por:

Atribuir endereos IP.

Registrar nomes de domnio DNS.
Manter registros pblicos dos endereos IP e dos nomes de domnio registrados

Se sua rede est ou ser conectada Internet, voc deve determinar o status de registro de seus endereos IP.
Os endereos IP de sua rede sero usados por outros computadores na Internet para localizar recursos nela.
Se voc j estiver conectado Internet, sua rede uma sub-rede da rede do seu provedor de servios de
Internet. Verifique se seu provedor de servios de Internet registrou os endereos IP dessa sub-rede em um
registrador da Internet. Se registrou, voc no precisar registr-los.

Identifique o host de dados do DNS

Determine quem hospedar os dados do DNS. Voc pode hospedar seus prprios dados do DNS internamente
ou pode ter um host externo no provedor de servios de Internet. Ao hospedar seus prprios dados, voc tem
controle completo da alocao e da segurana dos recursos da rede. Use um provedor de servios de Internet
somente se tiver uma pequena rede que no ser rapidamente expandida em um futuro prximo. Se voc
decidir hospedar seus prprios dados do DNS, considere a ativao de clientes e servidores DNS para usar os
servidores DNS de um provedor de servios de Internet a fim de executar a resoluo de nomes dos hosts
externos. Essa configurao pode melhorar a utilizao da largura de banda da rede.
Se voc decidir usar um provedor de servios de Internet para hospedar os dados do DNS, certifique-se de que
a infra-estrutura de DNS dele pode oferecer suporte implantao, confirmando se o software do servidor
DNS dele compatvel com DNS do Windows Server 2003. Se for necessrio o suporte do provedor de
servios de Internet a recursos especficos do Windows Server 2003, confirme se a verso do DNS que ele usa
oferece suporte a esses recursos. Procure saber qual o software de servidor DNS que seu provedor de
servios de Internet est executando e como os recursos e as opes desse software interoperam com o DNS
do Windows Server 2003. Solues de software de servidor DNS diferentes fornecem recursos e opes
diferentes.
Se sua organizao hospeda todos os dados do DNS, voc no precisa considerar a infra-estrutura de DNS do
seu provedor de servios de Internet. Lembre-se de que, mesmo que voc esteja hospedando os dados do DNS
sem a ajuda do provedor de servios de Internet, ter que optar por ativar clientes e servidores DNS a fim de
usar os servidores DNS dele para executar resoluo de nomes dos hosts externos. Nesse caso, voc no
precisa informar ao provedor de servios de Internet essa configurao.

Analise a topologia da rede

Analise a topologia da rede existente e identifique as metas de servio e administrativas representadas pelo
design dela. Ao planejar o espao para nome DNS, no esquea de considerar as metas de servio e
administrativas da organizao. Programe a expanso antecipada do nmero de ns na hierarquia DNS,
incluindo espaos reservados para nomes de domnio entre os nomes de domnio que estiver implantando
inicialmente. Adicionar espaos reservados para nomes de domnio evita o replanejamento da infra-estrutura
do DNS para acomodar nomes de domnio adicionais.
Antecipe a possibilidade de alteraes do seu modelo de negcios, atribuindo nomes de domnio que possam
ser usados em um contexto modificado. Por exemplo, em vez de usar o nome de domnio
contabilidade.contoso.com, voc pode usar financeiro.contoso.com, antecipando a possibilidade de expanso
de contabilidade para servios financeiros.

Crie um diagrama da infra-estrutura de DNS existente

Se voc for atualizar para o Windows Server 2003, executar uma nova implantao de DNS ou integrar o
DNS do Windows Server 2003 aos servios do Active Directory, no precisa fazer alteraes na infraestrutura de DNS existente. No entanto, se voc for migrar de uma infra-estrutura de DNS de terceiros ou
integrar o DNS do Windows Server 2003 a uma infra-estrutura de DNS de terceiros, crie um diagrama da
infra-estrutura de DNS existente, incluindo domnios, servidores e clientes. Use esse diagrama para ajud-lo a
decidir se h necessidade de fazer alteraes na infra-estrutura de DNS atual ao implantar o DNS do Windows
Server 2003.

Identifique as diretivas de segurana

Identifique e documente as diretivas de segurana da organizao, antes de comear a criar e implantar a
infra-estrutura de DNS do Windows Server 2003. Dessa maneira, voc pode assegurar o suporte de servidores
DNS, zonas e registros de recursos a essas diretivas. O DNS do Windows Server 2003 inclui recursos que
permitem implantar uma infra-estrutura de DNS segura.

Criando um espao para nome DNS

Antes de implantar uma infra-estrutura de DNS, voc deve criar um espao para nome DNS. Voc pode criar
um espao para nome externo visvel aos usurios e computadores da Internet ou pode criar um espao para
nome interno que permita acesso somente aos usurios e computadores que esto no espao para nome
interno. A figura 4.3 mostra o processo de criao de um espao para nome DNS.

Figura 4.3 Criando um espao para nome DNS

Identificando as exigncias de espao para nome DNS

A primeira etapa da criao de um espao para nome DNS determinar se voc precisa de um espao para
nome novo para a organizao ou se pode manter um espao para nome DNS existente do Windows ou de
terceiros.

Se voc for atualizar para o DNS do Windows Server 2003 a partir de uma verso anterior do Windows,
talvez precise substituir um sistema de resoluo de nomes existente (ou oferecer suporte a ele), por exemplo,
o WINS (Servio de cadastramento na Internet do Windows), pela infra-estrutura de DNS do Windows Server
2003. Voc pode oferecer suporte a uma implantao de WINS existente, configurando os servidores DNS do
Windows Server 2003 para consultar servidores WINS como uma configurao de zona DNS.
Se voc for migrar ou integrar o DNS do Windows Server 2003 a uma infra-estrutura de DNS de terceiros,
no precisar alterar o design do espao para nome usado na infra-estrutura de DNS de terceiros. Se voc for
implantar uma nova infra-estrutura de DNS do Windows Server 2003, dever criar uma estratgia de
nomenclatura de domnios e computadores do DNS e planejar como esses nomes sero resolvidos na rede e
na Internet.
Se voc for implantar DNS do Windows Server 2003 para oferecer suporte ao Active Directory, dever
integrar a floresta e a nomenclatura de domnio do Active Directory infra-estrutura de DNS. Por exemplo,
voc pode modificar o design do espao para nome DNS existente a fim de acomodar os recursos da rede que
devem localizar os nomes especficos dos controladores de domnios, das OUs (unidades organizacionais),
dos sites e das sub-redes do Active Directory.
Observao preciso planejar o espao para nome DNS juntamente com a estrutura lgica
do Active Directory. Para obter mais informaes sobre como criar a estrutura lgica do
Active Directory, consulte "Criando a estrutura lgica" em Criando e implantando servios
de diretrio e de segurana.
A tabela 4.1 resume os requisitos de design do espao para nome DNS em cada cenrio possvel.
Tabela 4.1 Requisitos de design do espao para nome DNS

Cenrio
Voc vai atualizar uma infra-estrutura de
DNS existente a partir de uma verso do
Windows anterior ao Windows Server 2003.
Voc vai atualizar de uma infra-estrutura de
DNS de terceiros que usa software de DNS
que atende s diretrizes padro de
nomenclatura de domnio DNS.
O software de DNS que voc tem no est de
acordo com as diretrizes padro de
nomenclatura de domnio DNS.

Requisitos de design
O design do espao para nome DNS pode
permanecer o mesmo.
O design do espao para nome DNS pode
permanecer o mesmo.

Antes de implantar um espao para nome

DNS do Windows Server 2003, deixe o
design de espao para nome DNS existente
em conformidade com as diretrizes de
nomenclatura de domnio DNS.
Integre o DNS do Windows Server 2003
O software de DNS de terceiros que voc
tem est de acordo com as diretrizes padro sua infra-estrutura de DNS atual. Voc no
precisa alterar o design do espao para nome
de nomenclatura de domnio DNS.
da infra-estrutura de DNS de terceiros ou do
espao para nome existente.
Voc vai implantar uma nova infra-estrutura Crie uma conveno de nomenclatura lgica
de DNS do Windows Server 2003.
para o espao para nome DNS com base nas
diretrizes de nomenclatura de domnio DNS.

Crie um design de espao para nome DNS

Voc vai implantar o DNS do Windows
Server 2003 para oferecer suporte ao Active com base na conveno de nomenclatura do
Active Directory.
Directory.
Voc vai modificar o espao para nome DNS Certifique-se de que os nomes de domnio do
existente a fim de oferecer suporte ao Active Active Directory correspondem aos nomes
Directory, mas no deseja reprojetar o espao DNS existentes. Essa correspondncia
permite implantar o nvel mais alto de
para nome DNS.
segurana, usando as tcnicas de
gerenciamento mais simples.

Criando domnios internos e externos

As organizaes que exigem uma presena na Internet, bem como um espao para nome interno, devem
implantar um espao para nome DNS interno e um externo e gerenciar cada um deles separadamente. Voc
pode criar um espao para nome DNS interno e externo misto seguindo um destes trs procedimentos:

Tornando o domnio interno um subdomnio do domnio externo.

Usando nomes diferentes para os domnios internos e externos.
Usando o mesmo nome para os domnios internos e externos e usando um espao para nome
particular para a organizao. Esse mtodo no recomendado. Ele cria problemas de resoluo de
nomes porque introduz nomes DNS que no so exclusivos.

Selecione a opo de design de configurao que melhor atenda s necessidades da organizao. A tabela 4.2
lista as opes de design para a implantao de um espao para nome interno e externo e o nvel de
complexidade de gerenciamento de cada opo, juntamente com um exemplo para ilustrar cada opo.
Tabela 4.2 Opes de design misto de espao para nome DNS interno e externo

Opo de design

Complexidade de
Exemplo
gerenciamento
O domnio interno um
Essa configurao Uma organizao com um domnio
subdomnio do domnio externo. fcil de implantar e de espao para nome externo
chamado contoso.com usa o
administrar.
domnio de espao para nome
interno chamado corp.contoso.com.
Os nomes de domnio interno e Essa configurao Uma organizao usa contoso01externo no tm relao.
um pouco difcil de ext.com como seu nome de domnio
do espao para nome externo e
implantar e
contoso.com como seu nome de
administrar.
domnio do espao para nome
interno.
Essa configurao Uma organizao usa o nome de
O nome de domnio interno
igual ao externo, no entanto, a bastante difcil de
domnio contoso.com para o nome
organizao possui um espao implantar e
de domnio do espao para nome
administrar. Essa
para nome particular.
interno particular e para o nome de
opo no
domnio do espao para nome

recomendada.

externo pblico.

Usando um subdomnio interno

A melhor opo de configurao de um espao para nome DNS interno e externo misto tornar o domnio
interno um subdomnio do domnio externo. Por exemplo, uma organizao que tem um nome de domnio de
espao para nome externo de contoso.com pode usar o nome de domnio de espao para nome interno
corp.contoso.com. O uso de um domnio interno que um subdomnio de um domnio externo:

Permite registrar apenas um nico nome em uma autoridade de nomenclatura da Internet.

Garante a exclusividade global de todos os nomes de domnio interno.
Simplifica a administrao, permitindo distribuir responsabilidades administrativas pelos domnios
internos e externos.

Voc pode usar seu subdomnio interno como pai de outros domnios filho criados a fim de gerenciar divises
de sua empresa. Os domnios filho tm nomes DNS imediatamente subordinados ao nome do pai do domnio
DNS. Por exemplo, um domnio filho do departamento de Recursos Humanos adicionado ao espao para
nome us.corp.contoso.com pode ter o nome de domnio rh.us.corp.contoso.com.
Se voc usa essa opo de configurao em seu domnio interno, implante os computadores a serem expostos
Internet no domnio externo fora do firewall. Implante os computadores que no sero expostos Internet
no domnio interno do subdomnio.

Usando um domnio interno autnomo

Se no for possvel configurar seu domnio interno como um subdomnio do domnio externo, use um
domnio interno autnomo. Dessa forma, seus nomes de domnio interno e externo no tero relao. Por
exemplo, uma organizao que usa o nome de domnio contoso01-ext.com como espao para nome externo,
usa o nome contoso.com como espao para nome interno.
A vantagem desse mtodo que ele fornece um nome de domnio interno exclusivo. A desvantagem que
essa configurao exige o gerenciamento de dois espaos para nome separados. Alm disso, o uso de um
domnio interno autnomo sem relao com o domnio externo pode criar confuso entre os usurios porque
os espaos para nome no refletem uma relao entre recursos internos e externos da rede. Alm disso, voc
precisa registrar dois nomes DNS em uma autoridade de nomenclatura da Internet.

Usando nomes de domnio interno e externo idnticos

O uso de nome de domnio igual para os espaos para nomes interno e externo no recomendado. Essa
configurao causa problemas de resoluo de nomes porque introduz nomes DNS que no so exclusivos.
Quando voc usa essa configurao, um computador de seu espao para nome interno pode ter o mesmo
nome que um computador do espao para nome da Internet. Qualquer tentativa de resolver esse nome pode,
portanto, resultar em erros. Isso aumenta a sobrecarga administrativa que voc tem para antecipar todos as
duplicaes de nome possveis.
possvel usar um dos mtodos a seguir para permitir o uso do mesmo nome de domnio nos espaos para
nomes DNS interno e externo:

Se seus clientes puderem transmitir consultas para servidores externos (tais como servidores Web)
atravs de um firewall, copie os dados da zona do servidor DNS externo para o interno.

Se seus clientes no puderem transmitir consultas atravs de um firewall, duplique na rede interna
todos os dados da zona DNS pblica e todos os servios pblicos (tais como servidores Web) que
pertenam organizao.
Mantenha uma lista dos servidores pblicos que pertencem organizao no arquivo PAC de cada
um de seus clientes DNS.

O mtodo escolhido depende dos recursos de proxy do software cliente. A tabela 4.3 lista os mtodos
possveis que voc pode usar para permitir o uso do mesmo nome de domnio nos espaos para nome interno
e externo e os recursos de proxy do software cliente possveis em cada mtodo.
Tabela 4.3 Mtodos de uso do mesmo nome em espaos para nome interno e externo e recursos de
proxy compatveis

Mtodo

Usar nomes de
domnio diferentes
Copiar os dados da
zona do servidor
DNS externo para
o interno.
Duplicar todos os
dados da zona
DNS pblica e
todos os servidores
pblicos na rede
interna.
Manter a lista de
servidores pblicos
nos arquivos PAC
dos clientes DNS.

Lista de nomes
LAT
Recurso de proxy
excludos
(tabela de
do software
endereo
Sem proxy
local)

Arquivo PAC

Decidindo sobre a implantao de uma raiz DNS interna

Se voc tem uma grande rede distribuda e um espao para nome DNS complexo, melhor usar uma raiz
DNS interna que seja isolada das redes pblicas. O uso de uma raiz DNS interna descomplica a administrao
do espao para nome DNS, permitindo administrar a infra-estrutura de DNS como se o espao para nome
inteiro consistisse em dados DNS de sua rede.
Se voc usar uma raiz DNS interna, uma zona raiz DNS particular ser hospedada em um servidor DNS da
rede interna. Essa zona raiz DNS particular no exposta Internet. Assim como a zona raiz da Internet
contm delegaes para todos os nomes de domnio de nvel superior da Internet, por exemplo, .com, .net e
.org, uma zona raiz particular contm delegaes para todos os nomes de domnio de nvel superior da rede. O
servidor DNS que hospeda a zona raiz particular considerado autorizado em todos os nomes do espao para
nome DNS interno.

O uso de uma raiz DNS interna oferece os seguintes benefcios:

Escalabilidade. Uma rede grande com um espao para nome DNS interno hospedada em vrios
servidores DNS facilmente escalonvel. Se sua rede est espalhada por vrios locais, uma raiz DNS
interna o melhor mtodo de administrao de toda a atividade de DNS da rede distribuda.
Resoluo de nomes eficiente. Com uma raiz DNS interna, os clientes e servidores DNS da rede
no entram em contato com a Internet para resolver nomes internos. Dessa forma, os dados DNS da
rede no so transmitidos pela Internet. Voc pode ativar a resoluo de nomes de qualquer nome em
outro espao para nome, adicionando uma delegao de sua zona raiz. Por exemplo, se seus
computadores precisam de acesso a recursos de uma organizao parceira, voc pode adicionar uma
delegao de sua zona raiz ao nvel superior do espao para nome DNS da organizao parceira.
Eliminao de encaminhadores. O uso de uma raiz DNS interna elimina a necessidade de
encaminhadores porque a resoluo de nomes executada internamente. Os servidores DNS de um
espao para nome DNS interno so configurados com dicas de raiz que apontam para os servidores
raiz DNS internos.
Importante No repita nomes externos no espao para nome interno. Se voc repetir nomes
Internet DNS em sua intranet, isso poder resultar em erros de resoluo de nomes.

Se os computadores de sua rede no precisam acessar recursos externos ao espao para nome DNS, implante
e mantenha uma raiz DNS interna. Se seus computadores no precisam acessar recursos externos ao espao
para nome DNS, talvez voc no consiga usar uma raiz interna para resoluo de nomes, dependendo dos
recursos de proxy do computador na rede.
Se for necessria a resoluo de nomes em computadores que no oferecem suporte a proxy de software ou
em computadores que oferecem suporte somente a LATs, voc no poder usar uma raiz interna no espao
para nome DNS. Nesse caso, ser preciso configurar um ou mais servidores DNS internos para encaminhar
para a Internet consultas que no possam ser resolvidas localmente.
A tabela 4.4 lista os tipos de recursos de proxy do cliente e se voc pode usar uma raiz DNS interna para cada
tipo.
Tabela 4.4 Recursos de proxy do cliente

Recurso de proxy Software Microsoft com recursos

de proxy correspondentes
Sem proxy
LAT (tabela de
endereo local)

Lista de nomes
excludos

Arquivo PAC

Telnet genrico
Winsock Proxy (WSP) 1.x e
posterior

Encaminha
consultas

Voc pode usar

uma raiz
interna?

Internet Security and Acceleration

(ISA) Server 2000 e posterior
WSP 1.x e posterior

Internet Security and Acceleration

(ISA) Server 2000 e posterior e todas
as verses do Microsoft Internet
Explorer
WSP 2.x

Internet Security and Acceleration

(ISA) Server 2000 e posterior.
Internet Explorer 3.01 e posterior

Configurando a resoluo de nomes em vrios domnios

de nvel superior
Para criar ou mesclar dois espaos para nome DNS ao implantar DNS do Windows Server 2003, resultando
em uma infra-estrutura de DNS que inclua dois ou mais nomes de domnio DNS de nvel superior, voc deve
certificar-se de que sua resoluo de nomes interna opera corretamente. Para configurar a resoluo de nomes
em vrios domnios DNS de nvel superior, preciso executar um destes procedimentos:

Se voc tem uma raiz DNS interna, adicione delegaes de cada zona DNS de nvel superior zona
raiz DNS interna.
Configure os servidores DNS que hospedam as zonas DNS de nvel superior em um espao para
nome a fim de encaminhar as consultas de resoluo de nomes de um segundo espao para nome
para os servidores DNS que esto hospedando as zonas DNS de nvel superior do segundo espao
para nome. Em seguida, configure os servidores DNS que hospedam as zonas DNS de nvel superior
no segundo espao para nome a fim de encaminhar as consultas de resoluo de nomes do primeiro
espao para nome para os servidores DNS que esto hospedando as zonas DNS de nvel superior do
primeiro espao para nome. Voc pode usar os encaminhadores condicionais de DNS do Windows
Server 2003 para essa configurao.
Configure os servidores DNS que hospedam as zonas DNS de nvel superior nos espaos para nome
primeiro e segundo para hospedar zonas secundrias delas em cada um dos outros espaos para
nome. Nessa configurao, os servidores DNS que hospedam as zonas de nvel superior em cada
espao para nome esto cientes dos servidores DNS do outro espao para nome. Essa soluo requer
espao de armazenamento maior para hospedagem de cpias secundrias das zonas de nvel superior
em espaos para nome diferentes e gera maior trfego de transferncia de zona.

Voc pode usar as zonas de stub do DNS do Windows Server 2003 para facilitar a distribuio de dados DNS
entre espaos para nome diferentes. No entanto, o uso de zonas de stub menos eficiente que o uso de
encaminhadores condicionais do Windows Server 2003. Para obter mais informaes sobre encaminhadores
condicionais e zonas de stub, consulte o Centro de ajuda e suporte do Windows Server 2003 e "Windows
Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows
Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).

Integrando uma infra-estrutura DNS do Windows Server

2003 ao espao para nome DNS existente
O DNS do Windows Server 2003 est de acordo com os padres e interopera com outras implementaes de
DNS, incluindo Windows NT 4.0, BIND 9.1.0, BIND 8.2, BIND 8.1.2 e BIND 4.9.7. A complexidade do
processo de integrao depende, em parte, dos recursos DNS aos quais preciso oferecer suporte. Se os
computadores da infra-estrutura de DNS estiverem executando verses do DNS que oferecem suporte aos
mesmos recursos, ento a integrao da infra-estrutura de DNS do Windows Server 2003 ser um processo
simples. Porm, se estiverem executando verses do DNS que no oferecem suporte aos mesmos recursos, o
processo de integrao ser mais complexo.
A tabela 4.5 compara o suporte a recursos no DNS do Windows Server 2003 com outras implementaes.

Tabela 4.5 Suporte a recursos em outras implementaes do DNS

Recurso

Oferece suporte ao
Internet-Draft
(trabalho em
andamento) "A DNS
RR for specifying the
location of services
(DNS SRV)" da
IETF. (Registros do
servidor)
Atualizao dinmica
Atualizao dinmica
segura com base no
algoritmo TSIG.
Registros WINS e
WINS-R
Transferncia rpida
de zona
Transferncia de zona
incremental
Codificao de
caracteres UTF-8
Snap-in de DNS do
MMC
Dnscmd.exe
Zonas integradas ao
Active Directory
Armazenamento de
zonas na partio de
aplicativo do Active
Directory
Durao e eliminao
de registros obsoletos
Zonas de stub
Encaminhamento
condicional
Mecanismos de
extenso do DNS
(EDNS0)

Windows Windows Windows BIND BIND

2000
NT 4.0
9
8.2
Server
2003

BIND BIND
8.1.2 4.9.7

Criando subdomnios
Se voc pretende implantar DNS em uma grande rede corporativa ou se a expectativa de expanso da rede
inclui sub-redes e sites adicionais, precisa distribuir o gerenciamento das partes do espao para nome DNS
entre os administradores de sub-redes e sites diferentes da rede. Para distribuir o gerenciamento do espao
para nome DNS, crie subdomnios do domnio DNS inicial e delegue a autoridade desses subdomnios para
servidores DNS localizados em sub-redes ou sites diferentes. Dessa maneira, voc pode criar qualquer
quantidade de entidades diferentes e autnomas em um espao para nome DNS, sendo que cada uma delas
est autorizada em uma parte do espao para nome geral.
Criar subdomnios do domnio DNS interno permite o seguinte:

Distribuio da administrao da rede. Os subdomnios permitem a distribuio e o

gerenciamento dos recursos da rede em grupos administrativos ou departamentos. Voc pode
implantar subdomnios DNS que reflitam os departamentos administrativos existentes em sua
empresa, criando um subdomnio diferente para cada segmento da rede.
Balanceamento de carga de rede. Distribuindo a carga da rede por vrios subdomnios, voc pode
aumentar a eficincia e o desempenho do espao para nome DNS.

Se houver entidades da organizao que no momento gerenciam os prprios recursos de rede, determine se
elas precisam ter autoridade sobre a parte delas do espao para nome DNS. Se precisarem, delegue a
autoridade para esse domnio filho.

Criando nomes de domnio e de computador DNS

Antes de implantar a infra-estrutura de DNS do Windows Server 2003, preciso criar uma conveno de
nomenclatura para os domnios DNS interno e da Internet e os computadores DNS da rede. Para criar uma
conveno de nomenclatura, voc deve estabelecer o seguinte:

Um nome de domnio Internet DNS, caso sua organizao esteja conectado Internet.
Um nome de domnio DNS interno para a sua organizao.
Uma conveno de nomenclatura para computador DNS.

Alm disso, voc deve determinar se precisa oferecer suporte aos nomes NetBIOS em sua organizao.

Criando um nome de domnio Internet DNS

Se voc vai implantar uma nova infra-estrutura de DNS do Windows Server 2003 conectada Internet, deve
criar um nome de domnio Internet DNS para a organizao. Como todos os ns da rede que exigem
resoluo de nomes esto atribudos a um nome DNS que inclui o nome de domnio Internet DNS de sua
organizao, importante selecionar um nome de domnio Internet DNS que seja curto e fcil de lembrar.
Como o DNS hierrquico, os nomes de domnio DNS expandem-se medida que os subdomnios so
adicionados organizao. Nomes de domnio curtos resultam em nomes de computador fceis de lembrar, o
que facilita o acesso aos recursos.
Um espao para nome DNS conectado Internet deve ser um subdomnio de um domnio de nvel superior ou
de segundo nvel do espao para nome Internet DNS. Se voc vai implantar um novo espao para nome DNS
do Windows Server 2003, deve selecionar um domnio Internet DNS de nvel superior para registrar seu nome
de domnio Internet DNS. Por exemplo, voc pode registrar seu domnio como um subdomnio de .com, .org
ou .net ou como um subdomnio do nome de domnio atribudo ao pas/ regio, por exemplo, .au (Austrlia),
.fr (Frana) ou .ca (Canad).

Depois de selecionar o nome de domnio Internet DNS e identificar o domnio de nvel superior do qual o
domnio DNS um subdomnio, execute as etapas a seguir para registrar o nome de domnio DNS:
1.

2.

Faa uma pesquisa na Internet para confirmar se o nome de domnio DNS selecionado para sua
organizao no est registrado para outra organizao. Se o nome de domnio selecionado pertencer
a outra organizao, voc poder tentar compr-lo dela ou selecionar um nome de domnio DNS
diferente.
Configure pelos menos um servidor DNS autorizado para hospedar a zona DNS de seu nome de
domnio. O servidor DNS deve estar localizado na sua rede ou na rede do provedor de servios de
Internet.

Registre o nome de domnio DNS em um registrador da Internet (www.registro.br) e fornea a ele um nome
de domnio e um endereo IP de pelo menos um servidor DNS autorizado para o nome de domnio DNS.
necessrio ainda informar um servidor DNS secundrio (slave), podendo ser utilizado o mesmo endereo IP,
desde que de um domnio diferente.
O processo de registro de nome de domnio da Internet varia de acordo com o design do espao para nome
DNS. A tabela 4.6 lista os nomes de domnio que voc precisa registrar para cada tipo de design de espao
para nome DNS.
Tabela 4.6 Registro de nome de domnio Internet DNS

Design do espao para nome

Registro do nome
Exemplo
de domnio
O nome de domnio contoso.com
Registrar apenas o
O nome de domnio interno
usado no espao para nome externo.
nome de domnio
um subdomnio do domnio
externo.
externo.
O nome de domnio
corp.contoso.com usado no
espao para nome interno.
Os nomes de domnio interno e Registrar os nomes O nome de domnio contoso01externo no tm relao.
de domnio interno e ext.com usado no espao para
nome externo.
externo.

O nome de domnio interno

igual ao externo, no entanto, a
organizao possui um espao
para nome particular.

O nome de domnio contoso.com

usado no espao para nome interno.
Registrar o nome de O nome de domnio contoso.com
usado nos espaos para nome
domnio
interno e externo.
interno/externo.

Ao registrar o nome de domnio DNS, o registrador da Internet cria uma delegao na zona DNS que tem
autoridade sobre o domnio de nvel superior selecionado. Esse o domnio de nvel superior dos servidores
DNS autorizados para o nome de domnio Internet DNS da organizao.
Observao Se um nome de domnio a ser registrado no estiver disponvel em um
domnio de nvel superior, por exemplo, .com. no registre o mesmo nome de domnio em
outro domnio de nvel superior, por exemplo, .net. As pessoas que esto pesquisando o seu
nome de domnio podem assumir computadores e servios do domnio de nvel superior
errado como pertencentes sua empresa.

Criando nomes de domnio DNS interno

Ao criar nomes de domnios interno, use as seguintes diretrizes:

Se a sua organizao tem uma presena na Internet, use nomes relativos ao nome de domnio Internet
DNS registrado. Por exemplo, se voc registrou o nome de domnio Internet DNS contoso.com para
sua organizao, use um nome de domnio DNS como corp.contoso.com para o nome de domnio da
intranet.
Para evitar problemas de resoluo de nomes, no use como nome de domnio o nome de uma
entidade corporativa externa ou de um produto.
No use na intranet nomes de domnio da Internet de nvel superior, tais como .com, .net, .org, .us,
.fr e .gr. O uso de nomes de domnio da Internet de nvel superior em nomes de domnio da intranet
pode resultar em erros de resoluo de nomes nos computadores da rede conectados Internet.
No use acrnimos nem abreviaes nos nomes de domnio. As unidades de negcios que esses
acrnimos representam podem dificultar o reconhecimento pelos usurios.
No use nomes de unidade ou diviso de negcios nos nomes de domnio. As unidades de negcios e
outras divises mudam periodicamente e os nomes de domnio podem tornar-se obsoletos ou
errados.
No use nomes geogrficos que sejam difceis de escrever e lembrar.
Evite estender a hierarquia de nomes de domnio DNS por mais que cinco nveis a partir do domnio
raiz interno ou da Internet. Limitar a extenso da hierarquia de nomes de domnio reduz os custos
administrativos.

Se voc vai implantar DNS em uma rede particular e no planeja criar uma espao para nome externo,
recomendado registrar o nome de domnio DNS criado para o domnio interno. Se voc no registrar o nome e
depois tentar us-lo na Internet ou conectar-se a uma rede que esteja conectada Internet, talvez descubra que
o nome no est disponvel.

Criando nomes de computador DNS

importante desenvolver uma conveno de nomenclatura de computador DNS prtica para a rede. Assim, os
usurios conseguem lembrar os nomes dos computadores das redes pblicas e particulares facilmente e isso
facilita o acesso aos recursos da rede.
O processo de criao de nome de computador DNS varia de acordo com a ao: criao de uma nova infraestrutura de DNS, integrao da infra-estrutura de DNS a uma infra-estrutura de terceiros existente ou
atualizao de uma infra-estrutura de DNS existente.

Criando nomes de computador em uma nova infraestrutura de DNS do Windows Server 2003
Use as diretrizes a seguir para criar nomes de computadores DNS na nova infra-estrutura de DNS do
Windows Server 2003:

Selecione nomes de computador que sejam fceis para os usurios lembrarem.

Identifique o proprietrio de um computador no nome dele. Por exemplo, jose-oliveira-1 indica que
Jos Oliveira usa o computador.
Selecione nomes que descrevam a finalidade do computador. Por exemplo, um servidor de arquivos
chamado contas-anteriores-1 indica que o servidor de arquivos armazena informaes relacionadas a
contas anteriores.

No use diferenciao entre letras maisculas e minsculas para representar o proprietrio ou a

finalidade de um computador. O DNS no faz essa diferenciao.
Use o nome de domnio do Active Directory no sufixo DNS primrio do nome do computador. Se
um computador no fizer parte de um domnio, use um nome de domnio da Internet registrado ou
um derivado de um nome registrado no sufixo DNS primrio.
Use nomes exclusivos para todos os computadores da organizao. No atribua o mesmo nome a
computadores diferentes em domnios DNS diferentes.
Use caracteres ASCII para garantir a interoperabilidade com computadores que executam verses do
Windows anteriores ao Windows 2000. Nos nomes de computador DNS, use somente caracteres
listados na RFC 1123, "Requirements for Internet Hosts - Application and Support", que inclui A-Z,
a-z, 0-9 e o hfen (-). O DNS do Windows Server 2003 oferece suporte a quase todos os caracteres
UTF-8 de um nome. No entanto, no use caracteres ASCII ou UTF-8 estendidos, a menos que todos
os servidores DNS do seu ambiente ofeream suporte a eles.

Criando nomes de computador em uma infra-estrutura

de DNS integrada
Se voc vai criar DNS do Windows Server 2003 com uma infra-estrutura de DNS de terceiros existente, no
precisa fazer alteraes nos nomes de host DNS de terceiros. Se voc vai migrar para o DNS do Windows
Server 2003 a partir de uma infra-estrutura de DNS de terceiros, deve certificar-se de que a maioria dos
nomes de host usados na infra-estrutura de DNS de terceiros esto de acordo com os padres de nomenclatura
da Internet DNS.
Se voc vai integrar ou migrar uma infra-estrutura de DNS pblica conectada Internet infra-estrutura de
DNS existente, no precisa fazer alteraes nos nomes de domnio DNS de sua infra-estrutura.

Criando nomes de computador ao atualizar uma infraestrutura de DNS

Se voc vai atualizar para o DNS do Windows Server 2003 a partir do Windows NT 4.0, no precisa alterar
nomes de host DNS. No entanto, voc precisa converter qualquer nome NetBIOS em nomes DNS. Ambos os
tipos de nome devem estar de acordo com o padro de DNS da RFC 1123, "Requirements for Internet Hosts Application and Support". Isso inclui todas as letras maisculas (A-Z), letras minsculas (a-z), nmeros (0-9)
e o hfen (-).
A tabela 4.7 lista os diferentes conjuntos de caracteres que tm suporte do DNS padro, do DNS do Windows
Server 2003 e do NetBIOS.
Tabela 4.7 Restries de conjunto de caracteres

Restrio do DNS padro (incluindo

Windows NT 4.0)
conjunto de
caracteres
Caracteres
Suporte RFC 1123, a
permitidos
qual permite "A" a "Z",
"a" a "z", "0" a "9" e o
hfen (-).

NetBIOS
DNS no Windows 2000
e no Windows Server
2003
Suporte RFC 1123 e a No permitido:
UTF-8. Voc pode
caracteres Unicode,
configurar o servidor
nmeros, espao em
DNS do Windows 2000 branco e os smbolos: /
para permitir ou limitar o \ [ ] : | < > + = ; , ? e *)

uso de caracteres UTF-8

no servidor Windows
2000. Voc pode fazer
isso por servidor.
15 bytes.
63 octetos por rtulo. 255 O mesmo que o DNS
Tamanho
padro com a adio do
bytes por FQDN (254
mximo do
nome do host bytes para o FQDN mais suporte a UTF-8. A
contagem de caracteres
e do FQDN. um byte para o ponto
no suficiente para
final).
determinar o tamanho
porque alguns caracteres
UTF-8 excedem um
octeto. Os controladores
de domnio esto
limitados a 155 bytes
para um FQDN.
Importante Nomes codificados no formato UTF-8 no devem exceder os limites definidos
na RFC 2181, "Clarifications to the DNS Specification", a qual especifica um mximo de
63 octetos por rtulo e 255 octetos por nome. A contagem de caracteres no suficiente
para determinar o tamanho porque alguns caracteres UTF-8 excedem um octeto.

Determinando a necessidade de oferecer suporte a nomes

NetBIOS
Ao atualizar o domnio para Windows Server 2003, talvez voc precise oferecer suporte a NetBIOS na rede,
caso seu domnio inclua clientes que executam verses do Windows anteriores ao Windows 2000. Por
exemplo, se sua rede tiver vrios segmentos, ser preciso ter o WINS para criar a lista de controle do
NetBIOS. Sem o WINS, a rede contar com o Active Directory para recursos de controle. Isso pode ter um
impacto significativo sobre os clientes que executam verses do Windows anteriores ao Windows 2000.
O DNS do Windows Server 2003 compatvel com WINS, portanto, em um ambiente de rede misto, voc
pode usar uma combinao de DNS e WINS. Essa combinao permite aprimorar a capacidade da rede de
localizar recursos e servios. Os clientes baseados no Windows NT 4.0 podem registrar-se no WINS do
Windows 2000 e no WINS do Windows Server 2003. Alm disso, os computadores executando o Windows
2000 Professional ou o Windows XP Professional podem registrar-se no WINS do Windows NT 4.0. Para
manter a compatibilidade com verses anteriores, cada computador recebe um nome NetBIOS que deve ser
exclusivo no domnio ao qual pertence.
A preservao de nomes NetBIOS existentes pode ser difcil porque eles possuem um conjunto de caracteres
maior que o dos nomes DNS. Uma soluo substituir nomes NetBIOS por nomes DNS para garantir a
compatibilidade dos nomes com os padres de nomenclatura de DNS existentes. Esse um processo
demorado e no possvel para organizaes que oferecem suporte a computadores que executam verses do
Windows anteriores ao Windows 2000.
A RFC 2181, "Clarifications to the DNS Specification", expande o conjunto de caracteres permitido nos
nomes DNS a fim de incluir qualquer seqncia binria. As seqncias binrias no precisam ser
interpretadas como ASCII. O Windows 2000 e o Windows Server 2003 oferecem suporte a codificao de
caracteres UTF-8 (RFC 2044). O UTF-8 um superconjunto do ASCII e uma converso da codificao de

caracteres UCS-2 (ou Unicode). O conjunto de caracteres UTF-8 permite fazer a transio de nomes NetBIOS
do Windows NT 4.0 para nomes DNS do Windows 2000 e do Windows Server 2003.
Por padro, a verificao de nomes UTF-8 multibyte usada. Ela oferece a melhor tolerncia durante o
processamento de caracteres pelo servio DNS. o mtodo de verificao de nomes preferencial para a
maioria dos servidores DNS operados de forma particular que no estejam fornecendo servio de nome para
hosts da Internet.
Importante O DNS do Windows Server 2003 e do Windows 2000 oferece suporte a
caracteres NetBIOS e UTF-8 em nomes de computador. Outras verses do DNS oferecem
suporte apenas aos caracteres permitidos na RFC 1123. Portanto, use conjuntos de
caracteres NetBIOS e UTF-8 somente quando tiver certeza de que o DNS do Windows
Server 2003 ou do Windows 2000 o mtodo usado para resoluo de nomes. Nomes que
sero exibidos na Internet devem conter apenas caracteres ASCII, conforme recomenda a
RFC 1123.

Exemplo: mesclando espaos para nome DNS

A Contoso Corporation fundiu-se com a Acquired Corporation. Antes da fuso, cada empresa usava domnios
internos que eram subdomnios dos domnios externos. A Contoso Corporation usou uma raiz particular para
simplificar a administrao de seu servidor DNS. A Acquired Corporation encaminhou consultas para a
Internet, em vez de usar uma raiz particular, porque no queria criar e gerenciar listas de excluso ou arquivos
PAC.
O espao para nome externo da empresa que acabou de passar por uma fuso contm as zonas contoso.com e
acquired01-ext.com. Cada zona do espao para nome externo contm os registros de recursos do DNS que as
empresas desejam expor na Internet. O espao para nome interno contm as zonas internas, corp.contoso.com
e corp.acquired01-ext.com.
As divises Contoso e Acquired usam mtodos diferentes para oferecer suporte resoluo de nomes do
espao para nome. A diviso Contoso usa o nome contoso.com externamente e corp.contoso.com
internamente. Os servidores raiz internos hospedam a zona raiz. Os servidores internos tambm hospedam a
zona, corp.contoso.com. O nome contoso.com foi registrado em uma autoridade de nomenclatura da Internet.
Para certificar-se de que cada cliente da organizao pode resolver todos os nomes da organizao que acabou
de passar por uma fuso, a zona raiz particular contm uma delegao para a zona do nvel superior do espao
para nome interno da organizao que se fundiu, corp.acquired01-ext.com.
Todos os computadores da diviso Contoso oferecem suporte s listas de excluso ou aos PACs. Para resolver
nomes internos e externos, cada cliente DNS deve enviar todas as consultas aos servidores DNS internos ou a
um servidor proxy, com base em uma lista de excluso ou em um arquivo PAC. A figura 4.4 mostra essa
configurao.

Figura 4.4 Resoluo de nomes na diviso Contoso

Com base nessa configurao, os clientes internos podem consultar nomes, executando os seguintes
procedimentos:

Consultar nomes internos nos servidores DNS internos. Os servidores DNS internos resolvem a
consulta. Se um servidor DNS que recebe uma consulta no contm os dados solicitados em suas
zonas ou cache, ele executa resoluo de nomes recursiva, contatando os servidores DNS raiz
internos.
Consultar nomes da Internet em um servidor proxy. O servidor proxy encaminha a consulta para
os servidores DNS da Internet. Os servidores DNS da Internet resolvem a consulta.
Consultar nomes do espao para nome externo da diviso Contoso em um servidor proxy. O
servidor proxy encaminha a consulta para os servidores DNS da Internet. Os servidores DNS da
Internet resolvem a consulta.
Consultar nomes da diviso Acquired nos servidores DNS internos. Como os servidores raiz
contm uma delegao para o nvel superior do espao para nome DNS da diviso Acquired, os
servidores DNS internos resolvem recursivamente a consulta, contatando os servidores DNS da
diviso Acquired.

Clientes externos:

No possvel consultar nomes internos. Essa limitao ajuda a proteger a rede interna.

Consultar nomes do espao para nome externo da diviso Contoso nos servidores DNS da
Internet. Os servidores DNS da Internet resolvem a consulta.

A diviso Acquired usa o nome acquired01-ext.com externamente e o nome corp.acquired01-ext.com

internamente. O servidor DNSInterno.corp.acquired01-ext.com hospeda a zona corp.acquired01-ext.com. A
diviso Acquired no possui uma raiz particular.
Para simplificar o gerenciamento de clientes e servidores DNS, os administradores da diviso Acquired
decidem usar encaminhamento condicional. Os administradores configuram o servidor DNS
DNSInterno.corp.acquired01-ext.com para encaminhar consultas da seguinte maneira:

O servidor encaminha todas as consultas destinadas diviso Contoso para um servidor DNS dela.
Por exemplo, o servidor encaminha consultas destinadas a corp.contoso.com para
DNSInterno.corp.contoso.com.
Ao mesmo tempo, o servidor encaminha todas as outras consultas destinadas a contoso.com para um
servidor DNS da Internet.

A figura 4.5 mostra essa configurao.

Figura 4.5 Encaminhamento condicional na diviso Acquired

Criando servidores DNS

Os servidores DNS armazenam informaes sobre o espao para nome DNS e usam as informaes para
responder consultas de clientes DNS. Onde voc deseja armazenar informaes sobre sua parte do espao

para nome DNS, quantos clientes DNS tem e onde esses clientes esto fisicamente localizados, todas essas
informaes causam impacto na topologia de servidor DNS.
Planejar o design dos servidores DNS permite criar uma distribuio de dados DNS efetiva e atualizar a
topologia, bem como minimizar a distribuio e atualizar o trfego da rede. A figura 4.6 mostra o processo de
criao de servidores DNS.

Figura 4.6 Criando servidores DNS

Alocando recursos de hardware

Ao alocar recursos de hardware para seus servidores DNS, lembre-se de que as recomendaes bsicas para
hardware de servidor incluem:

Computadores com um processador com CPUs Pentium II de 400 MHz ou superior.

256 MB de RAM em cada processador.
Discos rgidos de 4 GB.

Usar CPUs mais rpidas, mais RAM e discos rgidos maiores melhora a escalabilidade e o desempenho dos
servidores DNS. Lembre-se de que os servidores DNS usam aproximadamente 100 bytes de RAM para cada
registro de recursos.
Voc pode usar computadores com dois processadores para aprimorar o desempenho dos servidores DNS,
atribuindo o servio Servidor DNS ao primeiro processador e os processos de banco de dados, tais como
transferncias de zona, ao segundo processador.

Determinando o nmero de servidores DNS necessrios

Para reduzir a sobrecarga administrativa, use o mnimo necessrio de servidores DNS. No esquea de tornar
pelo menos dois servidores DNS autorizados em cada zona para ativar a tolerncia a falhas e o
compartilhamento de carga.
Adicione outros servidores DNS para:

Fornecer redundncia, caso seu design de espao para nome precise de maior disponibilidade do
DNS.
Melhorar o tempo de resposta da consulta, caso haja necessidade de melhor desempenho do DNS.
Reduzir o trfego da WAN em locais remotos.

Use as diretrizes a seguir para determinar o nmero de servidores DNS que precisam ser implantados:

Se voc tiver um grande nmero de clientes, adicione outros servidores DNS para hospedar zonas
secundrios ou integradas ao Active Directory. Use o nmero antecipado de consultas e atualizaes
dinmicas por segundo para determinar o nmero de servidores DNS necessrios. O servio Servidor
DNS do Windows Server 2003 pode responder a mais de 10.000 consultas por segundo em um
microprocessador Pentium III de 700 MHz.

Para obter informaes sobre o planejamento de capacidade, consulte "Alocando recursos de hardware",
anteriormente, neste captulo.

Se for delegar zonas, adicione outros servidores DNS para cuidar das zonas delegadas. Lembre-se de
que voc no precisa delegar zonas quando tem vrias delas. Voc pode hospedar todas as zonas no
mesmo servidor ou servidores. Um servidor DNS do Windows Server 2003 pode hospedar 200.000
zonas contendo 6 registros de recursos.
Se voc planeja hospedar zonas integradas ao Active Directory, deve coloc-las nos servidores DNS.
Se voc no usar zonas integradas ao Active Directory, as transferncias de zona e o trfego de
consultas ao DNS podero sobrecarregar os links lentos. Se o trfego de volume intenso for uma
considerao em seu ambiente, adicione outros servidores DNS para fornecer balanceamento de
carga. Embora o DNS seja criado para ajudar a reduzir o trfego de difuso entre sub-redes locais,
ele no cria trfego entre servidores e clientes que devem ser examinados, especialmente em

complexos ambientes roteados. Alm disso, embora o servio DNS oferea suporte a IXFRs
(transferncias de zona incrementais) e clientes e servidores possam armazenar em cache os nomes
usados recentemente, as consideraes relacionadas a trfego s vezes continuam sendo um
problema. Isso ocorre especialmente com pequenas concesses de DHCP, as quais exigem
atualizaes dinmicas mais freqentes.
Se voc tem uma LAN roteada com links confiveis e de alta velocidade, um servidor DNS pode ser
o suficiente para uma rea de rede maior que inclua vrias sub-redes.
Se voc tem um nmero alto de ns de cliente em uma nica sub-rede, colocar mais que um servidor
DNS na sub-rede permite backup e failover, caso o DNS preferencial pare de responder.

Se o seu design de DNS inclui zonas primrias e secundrias e voc executa um grande nmero de servidores
secundrios em uma zona, o servidor de nomenclatura mestre primrio pode ficar sobrecarregado durante a
monitorao feita pelos servidores secundrios para verificar se os dados da zona deles esto atualizados.
possvel resolver esses problemas executando um destes trs procedimentos:

Use alguns dos servidores secundrios como servidores mestre da zona. Outros servidores
secundrios podem monitorar e solicitar atualizaes de zona a partir desses servidores mestre.
Aumente o intervalo de atualizao para que os servidores secundrios monitorem com menos
freqncia. Lembre-se, no entanto, de que um intervalo de atualizao mais longo faz com que as
zonas secundrias fiquem desatualizadas com mais freqncia.
Crie servidores DNS somente de cache. Os locais remotos podem beneficiar-se de um servidor DNS
local somente de cache, alm dos servidores DNS que voc adicionou para garantir a
disponibilidade.

Determinando o posicionamento do servidor DNS

O posicionamento dos servidores DNS e a quantidade que pode ser implantada afeta a disponibilidade, a
segurana e o desempenho do DNS. importante no esquecer de planejar o posicionamento dos servidores
DNS para permitir disponibilidade do DNS e do Active Directory.

Posicionando servidores DNS para obter disponibilidade

Para garantir a disponibilidade contnua do DNS, certifique-se de que sua infra-estrutura de DNS no inclui
pontos de falha nicos. Para melhorar a tolerncia a falhas e o balanceamento de carga, crie pelo menos dois
servidores DNS autorizados em cada zona, executando um destes procedimentos:

Se voc tem uma LAN, coloque os dois servidores DNS em sub-redes diferentes.
Se voc tem uma WAN, coloque os dois servidores DNS autorizados de cada zona em redes
diferentes.

Certifique-se de que pelo menos um servidor DNS est disponvel em cada rede. Essa precauo remove
roteadores como um ponto de falha. Sempre que possvel, distribua os servidores DNS por diferentes
localizaes geogrficas. Essa distribuio permita que as comunicaes continuem em caso de um desastre
natural.
Se voc identificar pontos de falha nicos na rede, determine se eles afetam somente o DNS ou todos os
servios da rede. Se um roteador for desativado e seus clientes no puderem acessar servios da rede, ento a
falha do DNS no ser um problema. Se um roteador for desativado e os servidores DNS no estiverem
disponveis, mas outros servios da rede estiverem, seus clientes no podero acessar os recursos da rede
necessrios porque no conseguiro pesquisar nomes DNS.

Se voc tiver uma presena na Internet, o DNS dever estar funcionando corretamente para que os clientes
acessem seus servidores Web, enviem email e localizem outros servios. Portanto, recomenda-se a execuo
de um servidor DNS secundrio off-site. Se voc tiver uma relao comercial com uma organizao na
Internet, parceiros comerciais ou provedores de servios de Internet, talvez eles concordem em executar um
servidor secundrio para voc. No entanto, certifique-se de que os dados no servidor da organizao esto
protegidos contra invasores da Internet.
Para garantir a disponibilidade do DNS, caso seus servidores DNS primrios off-site estejam desativados,
considere a implantao de um servidor DNS secundrio off-site. Essa medida de precauo recomendada
mesmo que voc no tenha uma presena na Internet.

Posicionando servidores DNS para obter disponibilidade

do Active Directory
A disponibilidade do DNS causa impacto direto na disponibilidade do Active Directory. Os clientes contam
com o DNS para localizar controladores de domnio e esses, por sua vez, contam com o DNS para localizar
outros controladores de domnio. Por essa razo, talvez seja necessrio ajustar a quantidade e o
posicionamento de seus servidores DNS a fim de atender s necessidades dos clientes e dos controladores de
domnio do Active Directory.
melhor colocar pelo menos um servidor DNS em cada site. Certifique-se de que os servidores DNS do site
esto autorizados nos registros de localizador dos domnios do site para que os clientes no precisem
consultar servidores DNS off-site para localizar controladores de domnio que esto em um site. Os
controladores de domnio verificam periodicamente se as entradas de cada registro de localizador esto
corretas.
Observao Voc pode executar o servio Servidor DNS do Windows Server 2003 em um
ou mais controladores de domnio de cada site e, em seguida, adicionar zonas integradas ao
Active Directory do nome de zona que corresponde ao domnio do Active Directory. Essa
uma configurao simples que atende a todas as exigncias. Geralmente, o trfego de
replicao extra criado pelo adio do DNS a um controlador de domnio mnimo.

Usando encaminhamento
Se um servidor DNS estiver configurado corretamente, mas no puder resolver uma consulta usando seu
cache ou suas zonas, ele encaminhar uma consulta para outro servidor, chamado de encaminhador. Os
encaminhadores so servidores DNS comuns e no precisam de configurao especial. Um servidor DNS
chamado de encaminhador porque o destinatrio de uma consulta encaminhada para outro servidor DNS.
til usar encaminhamento para trfego off-site ou da Internet. Por exemplo, o servidor DNS de uma filial
pode encaminhar todo o trfego off-site para um encaminhador na matriz da empresa e um servidor DNS
interno pode encaminhar todo o trfego da Internet para um encaminhador na Internet. Para garantir a
disponibilidade, uma boa idia encaminhar consultas para mais de um encaminhador.
Use encaminhadores em cadeia para limitar o nmero de servidores que devem enviar consultas off-site. Por
exemplo, seus servidores DNS internos podem encaminhar todas as consultas para um ou dois
encaminhadores que, sucessivamente, encaminham consultas para um servidor na Internet. Dessa forma, os
servidores DNS internos no precisam consultar a Internet diretamente. Dependendo dos padres de trfego, o
uso de encaminhadores pode minimizar o volume de trfego off-site na organizao.

Os encaminhadores fornecem tambm segurana adicional da rede, minimizando a lista de servidores DNS
que podem comunicar-se por um firewall.
Voc pode usar o encaminhamento condicional para controlar o processo de resoluo de nomes em um nvel
mais granular. O encaminhamento condicional permite atribuir domnios especficos aos encaminhadores.
Voc pode usar encaminhamento condicional para resolver o seguinte:

Consultas de nomes em domnios internos off-site.

Consultas de nomes em outros espaos para nome.

Usando encaminhamento condicional para consultar

nomes em domnios internos off-site
Use o encaminhamento condicional para permitir que os servidores consultem nomes nos domnios internos
off-site a fim de eliminar o trfego desnecessrio das consultas na WAN. No DNS do Windows Server 2003,
os servidores no raiz (que no possuam a zona raiz, ou ".") resolvem nomes para os quais no esto
autorizados, no possuem uma delegao e no contm cache, executando um destes procedimentos:

Consultando um servidor raiz.

Encaminhando consultas para um encaminhador.

Isso gera trfego adicional na rede. Por exemplo, um servidor no raiz no Site A est configurado para
encaminhar consultas para um encaminhador no Site B e ele deve resolver um nome em uma zona hospedada
pelo servidor no Site C. Como o servidor no raiz pode encaminhar consultas somente para o Site B, ele no
pode consultar diretamente o servidor no Site C. Em vez disso, ele encaminha a consulta para o encaminhador
no Site B e o encaminhador consulta o servidor no Site C.
Ao usar encaminhamento condicional, voc pode configurar os servidores DNS para encaminhar consultas
para servidores diferentes, com base no nome de domnio especificado na consulta. Isso elimina etapas na
cadeia de encaminhamento e reduz o trfego da rede. Quando o encaminhamento condicional aplicado, o
servidor do Site A pode encaminhar consultas para encaminhadores do Site B ou do Site C, conforme
apropriado.
Por exemplo, os computadores do site de Seville da Contoso Corporation precisam consultar computadores no
site da R.A.E. de Hong Kong, na sia. Ambos os sites usam um servidor DNS raiz comum,
DNS3.Seville.avionics01-int.com, localizado em Seattle.
Antes da Contoso atualizar para o Windows Server 2003, o servidor de Seville encaminhava todas as
consultas que no podia resolver para seu servidor pai, DNS1.avionics01-int.com, em Seattle. Quando o
servidor de Seville consultava nomes no domnio Avionics (na R.A.E de Hong Kong e em Tquio), o servidor
de Seville encaminhava essas consultas primeiro para Seattle.
Depois da atualizao para o Windows Server 2003, os administradores configuraram o servidor DNS de
Seville para encaminhar consultas destinadas R.A.E. de Hong Kong diretamente para um servidor desse site,
em vez de primeiro desviar para Seattle, conforme mostra a figura 4.7.

Figura 4.7 Encaminhamento condicional para um servidor off-site

Os administradores configuraram DNS3.Seville.avionics01-int.com para encaminhar qualquer consulta de
acquired01-int.com para DNS5.acquired01-int.com ou DNS6.acquired01-int.com. DNS3.Seville.avionics01int.com encaminha todas as outras consultas para DNS1.avionics01-int.com ou DNS2.avionics01-int.com.
Para obter mais informaes sobre encaminhamento condicional, consulte "Windows Server 2003 DNS" no
Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003 DNS" na Web
em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).

Usando encaminhamento condicional para consultar

nomes em outros espaos para nome
Se a rede interna no tiver uma raiz particular e os usurios precisarem de acesso a outros espaos para nome,
por exemplo, uma rede que pertence a uma empresa parceira, use o encaminhamento condicional para
permitir que os servidores consultem nomes em outros espaos para nome.
Antes do encaminhamento condicional, os servidores DNS encaminhavam consultas para um nico servidor.
Por causa dessa limitao, era comum configurar servidores para encaminhar todas as consultas que no
conseguiam resolver (todas as consultas fora do espao para nome deles) para um servidor na Internet. Dessa
forma, os servidores DNS internos resolviam nomes dos espaos para nome interno e da Internet. No entanto,
para resolver nomes em outros espaos para nome, todos os servidores DNS que hospedavam o domnio de
nvel superior da empresa tambm tinham que hospedar uma zona secundria do domnio de nvel superior da

empresa parceira. Essa soluo exigia espao de armazenamento adicional no servidor DNS e trfego
adicional da transferncia de zona. Com o encaminhamento condicional, os servidores DNS podem
encaminhar consultas para outros servidores com base no nome do domnio, eliminando a necessidade de
zonas secundrias.
Por exemplo, a Contoso Corporation inclui dois espaos para nome: Contoso e Acquired. Os computadores de
cada diviso precisam acessar o outro espao para nome. Alm disso, os computadores de ambas as divises
precisam acessar computadores do espao para nome particular Fornecedor.
Antes de atualizar para o Windows Server 2003, a diviso Acquired criou zonas secundrias para que os
computadores dos espaos para nome Contoso e Acquired pudessem resolver nomes nos espaos para nome
Contoso, Acquired e Fornecedor. Depois de atualizar para o Windows Server 2003, a diviso Acquired
excluiu suas zonas secundrias e, no lugar, configurou o encaminhamento condicional.

Atualizando servidores DNS para o DNS do Windows

Server 2003
Voc pode atualizar o servidores DNS para o DNS do Windows Server 2003 executando um destes dois
procedimentos:

Execute uma atualizao in-loco do DNS do Windows NT 4.0 ou do Windows 2000 para o DNS do
Windows Server 2003.
Migre um servidor inteiro.

Faa backup da configurao existente para poder restaurar, caso algo d errado. Faa o planejamento da
agenda da migrao de forma que os clientes DNS tenham acesso contnuo ao servidor DNS. Por exemplo,
voc pode adiar a colocao do servidor DNS existente offline at ter certeza de que o servidor DNS do
Windows Server 2003 est funcionando corretamente.
Depois de atualizar e migrar os servidores, teste-os para certificar-se de que esto executando corretamente.
Para obter mais informaes sobre como testar o desempenho do servidor DNS, consulte "Monitorar
servidores" no Centro de ajuda e suporte do Windows Server 2003 e "Troubleshooting Windows Server 2003
DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Troubleshooting Windows
Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).

Migrando servidores DNS de terceiros para o DNS do

Windows Server 2003
Para migrar servidores DNS que no sejam da Microsoft para o DNS do Windows Server 2003, primeiro
introduza os servidores DNS do Windows Server 2003 como servidores secundrios das zonas de
sobreposio. Configure a transferncia de zona dos servidores DNS primrios de terceiros para os servidores
DNS secundrios do Windows Server 2003. Depois de transferir as zonas, certifique-se de que o processo de
transferncia de zona no gerou erros. Podem ocorrer erros durante esse processo, caso o servidor DNS do
Windows Server 2003 no consiga reconhecer registros enviados pelo servidor DNS de terceiros. Modifique
os registros de terceiros para corresponder ao DNS do Windows Server 2003 ou remova os registros da zona
para certificar-se de que a transferncia de zona seja bem-sucedida.
Depois de confirmar que as zonas foram transferidas para os servidores DNS do Windows Server 2003,
atualize as zonas secundrias para as zonas integradas ao Active Directory. Nesse ponto, voc pode remover
da rede os servidores DNS de terceiros com segurana.

Observao Se voc for usar o arquivo de inicializao de BIND com o servio DNS do
Windows Server 2003, outras limitaes se aplicaro ao uso desse arquivo pelo servio
DNS. Por exemplo, no h suporte para algumas diretivas de inicializao de BIND. Para
obter mais informaes sobre como usar arquivos de inicializao de BIND com o DNS do
Windows Server 2003, consulte o link do Microsoft Knowledge Base na pgina Web
Resources em http://support.microsoft.com/default.aspx?scid=fh;ENUS;kbhowto&sd=GN&ln=EN-US&FR=1 e procure pelos artigos Q194513, "The Structure
of a Domain Name System Boot File", e Q234144, "DNS Boot File Directives and
Configuration for Windows NT 4.0".

Criando zonas DNS

Cada tipo de zona disponvel no DNS do Windows Server 2003 possui uma finalidade especfica. Selecionar
o tipo de zona a ser implantado determina a finalidade prtica da zona.
A figura 4.8 mostra o processo de criao de zonas DNS.

Figura 4.8 Criando zonas DNS

Escolhendo um tipo de zona

Crie zonas que correspondam infra-estrutura de administrao da rede. Se um site da rede for administrado
localmente, implante uma zona para o subdomnio. Se um departamento tiver um subdomnio, mas nenhum
administrador, mantenha o subdomnio na zona pai. Faa o planejamento de zonas de pesquisa inversa, se
necessrio, e decida ser ir armazenar as zonas no Active Directory. O Active Directory distribui os dados
usando um modelo de replicao multicontrole que fornece mais segurana que o DNS padro. Com exceo

das zonas secundrias, voc pode armazenar todos os tipos de zona no Active Directory. Ao criar zonas DNS,
hospede cada uma delas em mais que um servidor DNS.
Decida o tipo de zona a ser usado com base na estrutura do domnio. Para cada tipo de zona, com exceo das
secundrias, decida se ir implant-las com base em arquivo ou integradas ao Active Directory.

Zonas primrias
Implante zonas primrias que correspondam aos nomes de domnio DNS planejados. Voc no pode
armazenar uma cpia primria integrada ao Active Directory e com base em arquivo da mesma zona.

Zonas secundrias
Adicione zonas secundrias se no tiver uma infra-estrutura do Active Directory. Se voc no tiver uma infraestrutura do Active Directory, use zonas secundrios em servidores DNS que no estejam agindo como
controladores de domnio. Uma zona secundria contm uma cpia completa de uma zona. Portanto, use
zonas secundrias para melhorar a disponibilidade da zona em sites remotos, caso no queira que os dados
delas sejam replicados por um link da WAN, atravs da replicao do Active Directory.
melhor adicionar zonas secundrias para a maioria das zonas primrias ou todas elas. Esse design permite a
tolerncia a falhas, a distribuio geogrfica de hosts da rede e o balanceamento de carga.

Zonas de stub
Uma zona de stub uma cpia de uma zona que contm somente o registro de recursos SOA (incio de
autoridade), os registros de recursos NS (servidor de nomes) listando os servidores autorizados da zona e os
registros de recursos de host (A) necessrios para identificar esses servidores autorizados.
Um servidor DNS que hospeda uma zona de stub configurado com o endereo IP do servidor autorizado do
qual carregado. possvel atualizar manualmente a zona de stub. Quando um servidor DNS que hospeda
uma zona de stub recebe uma consulta de um nome de computador na zona qual a zona de stub se refere, ele
usa o endereo IP para consultar o servidor autorizado ou, se a consulta for iterativa, retorna uma referncia
para os servidores DNS listados na zona de stub. Os servidores DNS podem usar zonas de stub para consultas
iterativas e recursivas.
As zonas de stub so atualizadas em intervalos regulares, determinados pelo intervalo de atualizao do
registro de recursos SOA dela. Quando um servidor DNS carrega uma zona de stub, ele consulta registros de
recursos SOA nos servidores mestre da zona, registros de recursos NS na raiz dela e registros de recursos A.
O servidor DNS tenta atualizar seus registros de recursos no fim do intervalo de atualizao do registro de
recursos SOA. Para atualizar seus registros, o servidor DNS consulta os registros de recursos listados
anteriormente nos servidores mestre.
Voc pode usar zonas de stub para certificar-se de que o servidor autorizado em uma zona pai recebe
automaticamente atualizaes sobre os servidores de nomes autorizados em uma zona filha. Para isso,
adicione as zonas de stub aos servidores que esto hospedando a zona pai. As zonas de stub podem ser
baseadas em arquivo ou integradas ao Active Directory. Se voc usar zonas de stub integradas ao Active
Directory, poder configur-las em um computador e permitir que a replicao do Active Directory as
propaguem para outros servidores DNS que estejam sendo executados nos controladores de domnio.
Voc tambm pode usar as zonas de stub para certificar-se de que os servidores esto cientes de outros
espaos para nome, embora o encaminhamento condicional seja o mtodo preferencial para isso. Para obter

mais informaes sobre como usar zonas de stub, consulte o Centro de ajuda e suporte do Windows Server
2003.
Observao Apenas servidores DNS do Windows Server 2003 oferecem suporte a zonas de
stub.

Zonas de pesquisa inversa

As zonas de pesquisa inversa contm as informaes necessrias para executar pesquisas inversas. Uma
pesquisa inversa usa o endereo IP do computador para localizar seu nome DNS. As zonas de pesquisa
inversa no so necessrias nas redes Windows ou para suporte do Active Directory.
Para obter mais informaes sobre zonas de pesquisa inversa, consulte o Centro de ajuda e suporte do
Windows Server 2003.
Se a sua topologia de DNS inclui o Active Directory, use zonas integradas a ele. Como a replicao de DNS
possui um nico mestre, um servidor DNS primrio em uma zona DNS primria padro pode ser um nico
ponto de falha. Em uma zona integrada ao Active Directory, um servidor DNS primrio no pode ser um
nico ponto de falha porque o Active Directory usa uma replicao multicontrole. As atualizaes feitas em
qualquer controlador de domnio so replicadas em todos os controladores de domnio e as informaes sobre
a zona de qualquer servidor DNS primrio de uma zona integrada ao Active Directory so sempre replicadas.
As zonas integradas ao Active Directory:

Permitem proteger as zonas, usando a atualizao dinmica segura.

Fornecem maior tolerncia a falhas. Cada zona integrada ao Active Directory pode ser replicada em
todos os controladores de domnio do domnio ou da floresta do Active Directory. Todos os
servidores DNS executados nesses controladores de domnio podem agir como servidores primrios
da zona e aceitar atualizaes dinmicas.
Permitem a replicao que propaga somente dados alterados, compacta dados replicados e reduz o
trfego da rede.

Se voc tem uma infra-estrutura com o Active Directory, pode usar zonas integradas a ele somente nos
controladores de domnio dele. Se voc vai usar zonas integradas ao Active Directory, deve decidir se vai ou
no armazen-las na partio do diretrio de aplicativo.
Voc pode combinar zonas integradas ao Active Directory e zonas baseadas em arquivo no mesmo design.
Por exemplo, se o servidor DNS autorizado na zona raiz particular estiver sendo executado em um sistema
operacional que no seja o Windows Server 2003 ou o Windows 2000, ele no poder agir como um
controlador de domnio do Active Directory. Portanto, voc deve usar zonas baseadas em arquivo nesse
servidor. No entanto, voc pode delegar essa zona a qualquer controlador de domnio que esteja executando o
Windows Server 2003 ou o Windows 2000.
Por exemplo, os administradores de uma empresa que precisavam implantar o Active Directory, examinaram
os requisitos do DNS para oferecer suporte ao Active Directory e descobriram que o servidor DNS autorizado
para o nome, fornecedor01-int.com, estava sendo executado em um servidor BIND 4.9.7 que no oferece
suporte ao Active Directory. Eles decidiram adicionar uma delegao a partir da zona baseada em arquivo,
fornecedor01-int.com, hospedada no servidor BIND. A delegao refere-se a um Windows Server 2003
autorizado, parceiro.fornecedor01-int.com, da zona. O Windows Server 2003 tambm age como um
controlador de domnio. Dessa maneira, os administradores criaram a zona, parceiro.fornecedor01-int.com,
integrada ao Active Directory.

Escolhendo um mtodo de replicao

Depois de decidir quais zonas os servidores DNS hospedaro, decida como replic-las entre os servidores. As
zonas replicadas proporcionam maior disponibilidade, melhoram o tempo de resposta da consulta e reduzem o
trfego da rede produzido por consultas de nomes. No entanto, as zonas replicadas exigem espao de
armazenamento e aumentam o trfego da rede. Se a sua rede for distribuda e gerenciada em sites diferentes,
use subdomnios para esses sites. Se voc no tem uma rede distribuda, evite usar subdomnios quando
possvel.
A criao de replicao de zona envolve a identificao do local que usar as zonas replicadas para obter
redundncia e disponibilidade.
No Windows Server 2003, voc pode replicar zonas usando transferncia de zona baseada em arquivo ou
replicao do Active Directory. Selecione o mtodo de replicao de zona apropriado, de acordo com o
seguinte:

Se voc usa zonas baseadas em arquivo, use transferncia de zona baseada em arquivo.
Se voc tem zonas integradas ao Active Directory do Windows Server 2003 e do Windows 2000, use
a replicao do Active Directory. Voc dever estabelecer o escopo da replicao, caso use zonas
integradas ao Active Directory em um domnio do Windows Server 2003.

Transferncia de zona baseada em arquivo

O DNS do Windows Server 2003 e do Windows 2000 oferece suporte a transferncia de zona incremental e
completa de zonas baseadas em arquivo. A transferncia de zona incremental o mtodo padro, mas, se o
servidor DNS de terceiros envolvido na transferncia no oferecer suporte a ele, o DNS do Windows Server
2003 e do Windows 2000 usaro como padro o mtodo de transferncia de zona completa.
A transferncia de zona incremental, descrita na RFC 1995, "Incremental Zone Transfer in DNS",
proporciona melhor uso da largura de banda disponvel na rede. Em vez de enviar todo o contedo do arquivo
da zona, o servidor mestre transfere somente as alteraes incrementais dela. Isso reduz o impacto das
transferncias de zona do DNS no trfego da rede. Sem as transferncias de zona incrementais, o servidor
mestre transfere o arquivo de zona inteiro para o servidor secundrio cada vez que uma zona DNS
atualizada.
O DNS do Windows Server 2003 usa a transferncia de zona completa quando as zonas devem ser
transferidas para servidores DNS que no oferecem suporte transferncia de zona incremental, tais como
servidores DNS executados no Windows NT 4.0 ou no BIND 8.12 e verses anteriores.

Replicao do Active Directory

A replicao do Active Directory propaga alteraes da zona entre controladores de domnio. O processo de
replicao difere das transferncias de zona completas do DNS, nas quais o servidor DNS transfere a zona
inteira. O processo de replicao tambm difere das transferncias de zona incrementais, nas quais o servidor
transfere todas as alteraes feitas desde a ltima alterao.
A replicao de zona do Active Directory proporciona os seguintes benefcios adicionais:

H uma reduo no trfego da rede porque os controladores de domnio enviam somente o resultado
final de todas as alteraes.
Quando uma zona armazenada no Active Directory, a replicao ocorre automaticamente. No h
necessidade de configurao adicional.

Quando a replicao de zona do Active Directory ocorre entre sites, os dados da zona que so
maiores que os da transferncia padro so automaticamente compactados antes de serem
transferidos. Essa compactao reduz a carga do trfego da rede.

Depois de anlise cuidadosa, voc pode particionar e delegar as zonas DNS com base em o que necessrio
para fornecer servio de nomenclatura eficiente e tolerante a falhas em cada local ou site.
Se voc estiver usando zonas integradas ao Active Directory em um domnio do Windows Server 2003,
dever selecionar um escopo de replicao de zona integrada ao Active Directory usando o MMC. Ao
selecionar um escopo de replicao, lembre-se de que, quanto maior o escopo da replicao, maior o trfego
de rede que ela produz. Por exemplo, se voc optar por replicar dados de zona DNS integrada ao Active
Directory em todos os servidores DNS da floresta, isso produzir maior trfego na rede do que replicar os
dados da zona DNS em todos os servidores DNS de um nico domnio do Active Directory nessa floresta.
Equilibre sua necessidade de minimizar o trfego de replicao com a necessidade de minimizar o trfego de
consulta zona.
A tabela 4.8 lista as opes de replicao de dados da zona integrada ao Active Directory.
Tabela 4.8 Opes de replicao de dados da zona integrada ao Active Directory

Opo
Descrio
Todos os servidores Os dados da zona so
DNS na floresta do replicados em todos os
servidores DNS executados
Active Directory
nos controladores de domnio
baseados no Windows Server
2003 de todos os domnios da
floresta do Active Directory.

Quando usar
Voc deseja o maior escopo de
replicao. Geralmente, essa opo
produz a maior parte do trfego de
replicao da zona. Lembre-se de que
voc pode escolher essa opo somente
se todos os servidores DNS que
hospedam uma cpia integrada ao
Active Directory dessa zona
executarem o Windows Server 2003.
Todos os servidores Os dados da zona so
No preciso que a zona seja replicada
replicados em todos os
DNS de um
em toda a floresta e voc deseja limitar
servidores DNS executados o trfego de replicao dela. Essa opo
domnio
nos controladores de domnio produz menos trfego de replicao da
especificado do
baseados no Windows Server zona do que replic-la em todos os
Active Directory
2003 do domnio
servidores DNS da floresta ou em todos
especificado do Active
os controladores de domnio do
Directory. Essa opo a
domnio. Se voc escolher essa opo,
configurao padro para
os dados da zona no sero replicados
replicao de zona DNS
nos servidores DNS que executam
integrada ao Active
controladores de domnio baseados no
Directory.
Windows 2000.
O domnio especificado do
Active Directory aquele
hospedado pelo controlador
de domnio no qual o
servidor DNS que hospeda a

zona est sendo executado.

Os dados da zona so
Todos os
replicados em todos os
controladores de
domnio no domnio controladores de domnio do
do Active Directory domnio especificado do
Active Directory, no
importando se h ou no
servidores DNS sendo
executados nos controladores
de domnio do domnio.
Os dados da zona so
Todos os
replicados em todos os
controladores de
controladores de domnio
domnio
especificados no escopo de
especificados no
replicao da partio de
escopo de
replicao de uma diretrio de aplicativo.
partio de diretrio
de aplicativo

Voc hospeda uma cpia dessa zona

integrada ao Active Directory em um
servidor DNS sendo executado em um
controlador de domnio baseado no
Windows 2000.

Voc deseja personalizar o escopo de

replicao de zona de sua organizao.
Com essa opo, voc pode minimizar
o trfego de replicao de zona e, ao
mesmo tempo, maximizar a
funcionalidade. No entanto, essa opo
exige mais sobrecarga administrativa.
Voc poder escolher essa opo
somente se todos os servidores DNS
que hospedam uma cpia dessa zona
integrada ao Active Directory estiverem
executando o Windows Server 2003.

Migrando zonas para servidores DNS do Windows

Server 2003
Voc pode migrar zonas para o DNS do Windows Server 2003 executando um destes dois procedimentos:

Usando transferncia de zona.

Copiando os arquivos de zona.

Se voc copiar os arquivos de zona, dever verificar manualmente a integridade das zonas.
Independentemente do mtodo usado para migrar zonas, voc ter que decidir se deve colocar o servidor DNS
original offline ou us-lo como um servidor secundrio. Se voc determinar que o servidor DNS original de
terceiros causa problemas de interoperabilidade na rede ou se precisar usar o hardware desse servidor para
outra finalidade, coloque-o offline. Caso contrrio, mantenha-o na rede para fornecer backup para o servidor
DNS primrio do Windows Server 2003.
Para obter mais informaes sobre como usar transferncia de zona, consulte "Iniciar uma transferncia de
zona em um servidor secundrio", no Centro de ajuda e suporte do Windows Server 2003.

Configurando e gerenciando clientes DNS

Ao configurar clientes DNS, voc deve especificar uma lista de servidores DNS para eles usarem para
resolver nomes DNS. preciso especificar tambm uma lista de pesquisa de sufixo DNS a ser usada pelos

clientes em pesquisas de consulta ao DNS em busca de nomes de domnio curtos e no qualificados. Voc
tambm pode usar uma diretiva de grupo para simplificar a configurao do cliente DNS.
A figura 4.9 mostra o processo de configurao e gerenciamento de clientes DNS.

Figura 4.9 Configurando e gerenciando clientes DNS

Configurando listas de servidores DNS e de pesquisa de

sufixo do cliente
Configure as listas de servidores DNS e de pesquisa de sufixo dos clientes incluindo pelo menos dois
endereos IP de servidor DNS nos clientes e controladores de domnio: o endereo IP de um servidor
preferencial e o endereo IP de um servidor alternativo. Use um servidor executado no site local como
preferencial. O servidor alternativo pode ser executado em um site local ou remoto.
Por padro, a lista de pesquisa de sufixo DNS preenchida com base no sufixo DNS primrio do cliente e em
qualquer sufixo DNS especfico de conexo. Voc pode modificar a lista de pesquisa de sufixo DNS usando o
gerenciador DNS ou diretiva de grupo. melhor limitar o tamanho da lista de pesquisa de sufixo se possvel,
pois uma lista grande aumenta o trfego da rede.

Usando diretiva de grupo para simplificar a configurao

do cliente
O Windows Server 2003 inclui um novo conjunto de diretivas de grupo para simplificar o lanamento de
clientes DNS dele. Voc pode us-las para definir listas de servidores DNS, listas de pesquisa de sufixo,
configurao de atualizao dinmica e muitas outras configuraes. Como em todas as configuraes de
diretiva de grupo, possvel especificar configuraes diferentes com base no site, no domnio ou na OU.
Para obter mais informaes sobre essas diretivas de grupo, consulte "Windows Server 2003 DNS" no
Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003 DNS" na Web
em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).

Protegendo a infra-estrutura de DNS

Como o DNS foi criado para ser um protocolo aberto, os dados dele podem ficar vulnerveis a ataques
segurana. O DNS do Windows Server 2003 fornece recursos de segurana aprimorados para reduzir essa
vulnerabilidade. A figura 4.10 mostra o processo de proteo da infra-estrutura de DNS.

Figura 4.10 Protegendo a infra-estrutura de DNS

Identificando as ameaas segurana do DNS

Uma infra-estrutura de DNS est vulnervel aos seguintes tipos de ameaas segurana:

Footprinting. O processo de montar um diagrama ou uma base de uma infra-estrutura de DNS,

capturando dados da zona DNS, tais como nomes de domnio, nomes de computador endereos IP
dos recursos sigilosos da rede. Os nomes de domnio e de computador DNS muitas vezes indicam a
funo ou a localizao de domnios e computadores.
Ataque de negao de servio. Um ataque no qual o invasor tenta negar a disponibilidade de
servios da rede, saturando um ou mais servidores DNS da rede com consultas recursivas. Quando
um servidor DNS est saturado de consultas, a utilizao da CPU dele eventualmente atinge o
mximo e o servio torna-se indisponvel. Sem um servidor DNS completamente operacional na
rede, os servios dela que usam DNS ficam indisponveis para os usurios.
Modificao de dados. O uso de endereos IP vlidos nos pacotes IP que um invasor criou para
destruir dados ou conduzir outros ataques. Geralmente, a modificao de dados tentada em uma
infra-estrutura de DNS que j passou por footprinting. Se o ataque for bem-sucedido, os pacotes
aparentaro estar vindo de um endereo IP vlido da rede. Geralmente, isso chamado de
falsificao de IP. Com um endereo IP vlido (aquele dentro do intervalo de endereos IP de uma
sub-rede), um invasor pode obter acesso rede.
Redirecionamento. Um ataque no qual um invasor pode redirecionar consultas de nomes DNS para
servidores controlados por ele. Um mtodo de redirecionamento envolve a tentativa de corromper o
cache DNS de um servidor DNS com dados DNS errneos que podem direcionar futuras consultas
para servidores controlados por um invasor. Por exemplo, se for feita uma consulta a
exemplo.contoso.com e uma resposta de referncia fornecer um registro de um nome que est fora
do domnio contoso.com, o servidor DNS usar os dados em cache para resolver uma consulta de
nome externo. O redirecionamento conseguido quando o invasor possui acesso de gravao aos
dados DNS, por exemplo, com atualizaes dinmicas inseguras.

Para obter mais informaes sobre tipos comuns de ataques, desenvolvimento de uma diretiva de segurana e
avaliao do nvel de risco, consulte "Designing an Authentication Strategy" e "Designing an Authorization
Strategy" em Designing and Deploying Directory and Security Services.

Desenvolvendo uma diretiva de segurana para o DNS

Se os dados DNS estiverem comprometidos, os invasores podero obter informaes sobre a rede que
podero ser usadas para comprometer outros servios. Por exemplo, os invasores podem prejudicar a
organizao da seguinte maneira:

Usando transferncia de zona, eles podem obter uma lista com todos os hosts e os endereos IP deles
na rede.
Usando ataques de negao de servio, eles podem evitar que emails sejam enviados e recebidos na
rede e podem impedir a visibilidade do servidor Web.
Se eles puderem alterar os dados da zona, podero configurar servidores Web falsos ou fazer com
que os emails sejam redirecionados para os servidores deles.

O risco de ataque depende da exposio Internet. Para um servidor DNS de uma rede particular que usa um
espao para nome particular, um esquema de endereamento particular e um firewall efetivo, o risco de
ataque menor e a possibilidade de descobrir o intruso maior. Para um servidor DNS exposto Internet, o
risco maior.

O desenvolvimento de uma diretiva de segurana para o DNS envolve:

Decidir o acesso de que os clientes precisam, as relaes desejadas entre segurana e desempenho e
os dados que mais precisam de proteo.
Familiarizar-se com as questes de segurana comuns em servidores DNS internos e externos.
Estudar o trfego de resoluo de nomes para verificar quais clientes podem consultar quais
servidores.

Voc pode optar por adotar uma diretiva de segurana de DNS de nvel baixo, mdio ou alto.

Diretiva de segurana de DNS de nvel baixo

A segurana de nvel baixo no exige configurao adicional da implantao do DNS. Use esse nvel de
segurana de DNS em um ambiente de rede no qual no haja preocupao com a integridade dos dados DNS
ou em uma rede particular na qual no haja possibilidade de conectividade externa. Uma diretiva de segurana
de nvel baixo inclui as seguintes caractersticas:

A infra-estrutura de DNS da organizao est completamente exposta Internet.

Todos os servidores DNS da rede executam resoluo de DNS padro.
Todos os servidores DNS esto configurados com dicas de raiz que apontam para servidores raiz da
Internet.
Todos os servidores DNS permitem transferncias de zona para qualquer servidor.
Todos os servidores DNS esto configurados para escutar em todos os endereos IP deles.
A preveno corrupo de cache est desativada em todos os servidores DNS.
A atualizao dinmica permitida em todas as zonas DNS.
A porta 53 dos protocolos UDP e TCP/IP est aberta no firewall da rede para endereos de origem e
de destino.

Diretiva de segurana de DNS de nvel mdio

A segurana DNS de nvel mdio consiste em recursos de segurana de DNS que esto disponveis sem a
execuo de servidores DNS em controladores de domnio e o armazenamento de zonas DNS no Active
Directory. Uma diretiva de segurana de nvel mdio inclui as seguintes caractersticas:

A infra-estrutura de DNS da organizao possui exposio limitada Internet.

Todos os servidores DNS esto configurados para usar encaminhadores a fim de apontar para uma
lista especfica de servidores DNS internos quando no conseguirem resolver nomes localmente.
Todos os servidores DNS limitam transferncias de zona aos servidores listados nos registros NS das
zonas deles.
Os servidores DNS esto configurados para escutar endereos IP especificados.
A preveno corrupo de cache est ativada em todos os servidores DNS.
A atualizao dinmica no permitida em zona DNS alguma.
Os servidores DNS internos comunicam-se com servidores DNS externos, atravs do firewall, com
uma lista limitada de endereos permitidos de origem e de destino.
Os servidores DNS externos na frente do firewall esto configurados com dicas de raiz que apontam
para servidores raiz da Internet.
Toda a resoluo de nomes da Internet realizada por servidores proxy e gateways.

Diretiva de segurana de DNS de nvel alto

A segurana DNS de nvel alto usa a mesma configurao que a segurana de nvel mdio e usa tambm os
recursos de segurana disponveis quando o servio Servidor DNS est sendo executado em um controlador
de domnio e as zonas DNS esto armazenadas no Active Directory. Alm disso, a segurana de nvel alto
elimina completamente a comunicao do DNS com a Internet. No uma configurao comum, mas a
recomendada sempre que a conectividade com a Internet no necessria. Uma diretiva de segurana de nvel
alto inclui as seguintes caractersticas:

A infra-estrutura de DNS da organizao no possui comunicao com a Internet atravs de

servidores DNS internos.
A rede usa raiz e espao para nome DNS internos, onde toda a autoridade das zonas DNS interna.
Os servidores DNS configurados com encaminhadores usam somente endereos IP de servidor DNS.
Todos os servidores DNS limitam transferncias de zona aos endereos IP especificados.
Os servidores DNS esto configurados para escutar endereos IP especificados.
A preveno corrupo de cache est ativada em todos os servidores DNS.
Os servidores DNS esto configurados com dicas de raiz que apontam para servidores DNS internos
que hospedam a zona raiz do espao para nome interno.
Todos os servidores DNS esto sendo executados em controladores de domnio. Uma DACL (lista
de controle de acesso condicional) est configurada no servio Servidor DNS para permitir que
somente pessoas especficas executem tarefas administrativas nos servidores DNS.
Todas as zonas DNS esto armazenadas no Active Directory. Uma DACL est configurada para
permitir que somente pessoas especficas criem, excluam ou modifiquem zonas DNS.
As DACLs esto configuradas nos registros de recursos DNS para permitir que somente pessoas
especficas criem, excluam ou modifiquem dados DNS.
A atualizao dinmica segura est configurada em todas as zonas DNS, exceto as zonas raiz e de
nvel superior, as quais no permitem de forma alguma atualizaes dinmicas.

Protegendo os servidores DNS expostos Internet

Os servidores DNS expostos Internet esto especialmente vulnerveis ao ataque. Voc pode proteger os
servidores DNS expostos Internet seguindo um destes procedimentos:

Coloque o servidor de nomes em uma rede de permetro, em vez de colocar na rede interna.
Para obter mais informaes sobre redes de permetro, consulte "Deploying ISA Servers", neste
manual.
Use um servidor DNS para servios acessados publicamente dentro da rede de permetro e um
servidor DNS separado para a rede interna particular. Isso reduz o risco de exposio do espao para
nome particular, o qual pode expor nomes e endereos IP sigilosos aos usurios baseados na Internet.
Tambm aumenta o desempenho, porque reduz o nmero de registros de recursos no servidor DNS.

Adicione um servidor secundrio em outra sub-rede ou rede ou em um provedor de servios de

Internet. Isso protege contra ataques de negao de servio.
Elimine pontos de falha nicos, protegendo roteadores e servidores DNS e distribuindo os servidores
DNS geograficamente. Adicione cpias secundrias das zonas a pelo menos um servidor DNS offsite.
Criptografe o trfego de replicao da zona,usando tneis IPSec ou VPN para ocultar os nomes e
endereos IP dos usurios baseados na Internet.
Configure firewalls para aplicar a filtragem de pacotes porta 53 de UDP e TCP.
Restrinja a lista de servidores DNS que tm permisso para iniciar uma transferncia de zona no
servidor DNS. Faa isso em cada zona da rede.
Monitore os logs DNS e os servidores DNS externos, usando o Visualizador de Eventos.

Protegendo os servidores DNS internos

Os servidores DNS internos so menos vulnerveis aos ataques que os externos, mas mesmo assim precisam
de proteo. Para proteger os servidores DNS internos:

Elimine qualquer ponto de falha nico. Lembre-se, no entanto, de que a redundncia de DNS no
ajudar se os clientes no puderem acessar servios da rede. Pense sobre a localizao dos clientes
em cada zona DNS e como eles resolvero nomes se o servidor DNS estiver comprometido e no
puder responder s consultas.
Impea o acesso no autorizado aos servidores. Permita somente atualizao dinmica segura das
zonas e limite a lista de servidores DNS que tm permisso para obter uma transferncia de zona.
Monitore os logs DNS e os servidores DNS internos, usando o Visualizador de Eventos. A
monitorao dos logs e do servidor pode ajudar a detectar modificaes no autorizadas no servidor
DNS ou nos arquivos de zona.
Implemente zonas integradas ao Active Directory com atualizao dinmica segura.

Protegendo as zonas DNS atualizadas dinamicamente

O uso de atualizao dinmica insegura apresenta novos riscos segurana. Como qualquer computador pode
modificar qualquer registro, um invasor pode modificar dados da zona e representar servidores existentes. Por
exemplo, se voc instalar o servidor Web, web.contoso.com, e ele registrar seu endereo IP no DNS usando
atualizao dinmica, um invasor poder instalar um segundo servidor Web, tambm com o nome
web.contoso.com, e usar a atualizao dinmica para modificar o endereo IP correspondente no registro do
DNS. Dessa forma, o invasor poder representar o servidor Web original e capturar informaes seguras. Por
essa razo, importante implementar a atualizao dinmica segura.
Para evitar a representao de servidor, use zonas integradas ao Active Directory e configure-as para
atualizao dinmica segura. Com a atualizao dinmica segura, somente computadores e usurios
especificados em uma ACL (lista de controle de acesso) poder criar ou modificar objetos de uma zona.
Se sua diretiva de segurana exigir segurana mais rigorosa, modifique essas configuraes para restringir
ainda mais o acesso. Restrinja o acesso por computador, grupo ou conta de usurio e atribua permisses para
a zona DNS inteira e para nomes DNS individuais da zona.
Para obter mais informaes sobre como proteger zonas DNS atualizadas dinamicamente, consulte "Windows
Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows
Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp) (site em ingls).

Protegendo a replicao da zona DNS

A replicao de zona pode ocorrer por meio de transferncia de zona ou como parte da replicao do Active
Directory. Se voc no proteger a replicao de zona, correr o risco de expor nomes e endereos IP do
computador aos invasores. Voc pode proteger a replicao de zona DNS seguindo estes procedimentos:

Usando replicao do Active Directory.

Criptografando replicao de zona enviada por redes pblicas, tais como a Internet.
Restringindo a transferncia de zona a servidores autorizados.

Usando replicao do Active Directory

A replicao de zonas como parte da replicao do Active Directory proporciona os seguintes benefcios de
segurana:

O trfego de replicao do Active Directory criptografado, portanto, o trfego da replicao de

zona criptografado automaticamente.
Somente um nmero limitado de pessoas pode afetar a replicao do Active Directory. Os servidores
DNS que hospedam zonas integradas ao Active Directory devem ser controladores de domnio, o que
significa que a replicao do Active Directory pode ocorrer somente entre controladores de domnio.
Portanto, somente administradores autorizados a gerenciar controladores de domnio podem afetar a
replicao do Active Directory.
Os controladores de domnio do Active Directory que executam replicao so mutuamente
autenticados e a representao no possvel.
Observao Use as zonas integradas ao Active Directory sempre que possvel porque elas
so replicadas como parte da replicao do Active Directory, que mais segura que a
transferncia de zona baseada em arquivo.

Criptografando trfego de replicao enviado por redes

pblicas
Criptografe todo o trfego de replicao enviado por redes pblicas, usando tneis IPSec ou VPN. Ao
criptografar trfego de replicao enviado por redes pblicas:

Use o nvel maior de criptografia ou autenticao de tnel VPN ao qual os servidores ofeream
suporte.
Use o servio Roteamento e acesso remoto do Windows Server 2003 para criar o tnel IPSec ou
VPN.

Restringindo a transferncia de zona a servidores

autorizados
Se voc tiver servidores secundrios e replicar dados da zona usando transferncia de zona, configure os
servidores para especificar aqueles que esto autorizados a receber transferncias de zona. Isso impede um
invasor de usar a transferncia de zona para baixar dados da zona. Mas, se voc estiver usando zonas
integradas ao Active Directory, configure os servidores para no permitir transferncia de zona.

Integrando o DNS a outros servios do

Windows Server 2003
Ao implantar o DNS do Windows Server 2003, importante integrar o servio DNS a outros servios do
Windows Server 2003, tais como DHCP e WINS. A figura 4.11 mostra o processo de integrao do DNS do
Windows Server 2003 a outros servios dele.

Figura 4.11 Integrando o DNS a outros servios do Windows Server 2003

Integrando DNS a DHCP

O DNS do Windows Server 2003 oferece suporte a DHCP por meio de atualizao dinmica das zonas DNS.
Integrando DHCP e DNS em uma implantao de DNS, voc pode fornecer aos recursos da rede informaes

sobre endereamento dinmico armazenadas no DNS. Para permitir essa integrao, voc pode usar o servio
DHCP do Windows Server 2003.
O padro de atualizao dinmica, especificado na RFC 2136, "Dynamic Updates in the Domain Name
System (DNS UPDATE)", atualiza automaticamente os registros DNS. O Windows Server 2003 e o Windows
2000 oferecem suporte a atualizao dinmica e clientes e servidores DHCP podem enviar atualizaes
dinmicas quando os endereos IP deles mudam. Sozinha a atualizao dinmica no segura porque
qualquer cliente pode modificar registros DNS. Para proteger atualizaes dinmicas, voc pode usar o
recurso de atualizao dinmica segura fornecido no Windows Server 2003. Para excluir registros
desatualizados, voc pode usar os recursos de durao e eliminao do servidor DNS.
A atualizao dinmica permite aos servidores DHCP registrar registros de recursos A e PTR em nome dos
clientes DHCP. Esse processo requer o uso da opo 81 de FQDN do cliente DHCP. A opo permite ao
cliente fornecer seu FQDN ao servidor DHCP. O cliente fornece tambm instrues para o servidor,
descrevendo como processar atualizaes dinmicas de DNS em nome do cliente DHCP.
Quando a opo 81 emitida por um cliente DHCP qualificado, ela processada e interpretada por um
servidor DHCP do Windows Server 2003 para determinar como o servidor inicia atualizaes em nome do
cliente. Se o servidor estiver configurado para executar atualizaes dinmicas de DNS, ele executar uma
das seguintes aes:

O servidor DHCP atualiza registros A e PTR do DNS se solicitado por clientes que esto usando a
opo 81.
O servidor DHCP atualiza registros A e PTR do DNS independentemente do cliente solicitar essa
ao ou no.

Alm disso, o servidor DHCP pode atualizar dinamicamente registros A e PTR do DNS em nome dos clientes
herdados que no so capazes de enviar a opo 81 ao servidor. Voc tambm pode configurar o servidor
DHCP para descartar registros A e PTR do cliente quando a concesso dele for excluda. Isso reduz o tempo
necessrio para gerenciar esses recursos manualmente e fornece suporte a clientes DHCP que no podem
executar atualizaes dinmicas. Alm disso, a atualizao dinmica simplifica a configurao do Active
Directory, permitindo aos controladores de domnio o registro dinmico com registros do servidor.

Integrando DNS a WINS

Ao atualizar para o DNS do Windows Server 2003 a partir de uma verso anterior do Windows, talvez seja
necessrio continuar a oferecer suporte a uma infra-estrutura do WINS existente. O DNS do Windows Server
2003 permite oferecer suporte a uma implantao existente do WINS, permitindo configurar um servidor
DNS para consultar um servidor WINS como uma configurao de zona DNS.
O WINS fornece resoluo de nomes NetBIOS dinmica. Se sua organizao oferece suporte a clientes e
programas que usam WINS para resoluo de nomes NetBIOS, preciso continuar a oferecer suporte a ele.
Se alguns de seus clientes estiverem registrados no WINS e outros precisarem resolver os nomes, mas no
tiverem capacidade para resoluo de nomes NetBIOS, voc poder usar a pesquisa do WINS para permitir
que o servidor DNS procure por nomes no espao para nome WINS.
Esse recurso ser particularmente til se alguns de seus clientes que exigem resoluo de nomes NetBIOS no
puderem usar o WINS ou se alguns de seus clientes no puderem registrar-se no DNS (por exemplo, clientes
Microsoft Windows 95 ou Windows 98). A referncia do WINS ser o mtodo preferencial se alguns
servidores DNS no oferecerem suporte aos registros de recursos usados na pesquisa e na pesquisa reversa do
WINS.

Pesquisa e pesquisa reversa do WINS

Configurando o servidor DNS para pesquisa do WINS, voc pode direcionar o DNS para consultar resoluo
de nomes no WINS para que os clientes DNS possam procurar por nomes e endereos IP dos clientes WINS.
Para direcionar o DNS para consultar a resoluo de nomes do WINS, adicione um registro de pesquisa do
WINS zona autorizada. Quando um servidor DNS autorizado para essa zona receber a consulta de um nome,
ele verificar a zona autorizada. Se o servidor DNS no localizar o nome na zona autorizada, mas a zona
contiver um registro de pesquisa do WINS, o servidor DNS consultar o servidor WINS. Se o nome estiver
registrado no WINS, o servidor WINS retornar o registro associado ao servidor DNS.
Em seguida, o servidor DNS compilar e retornar o registro DNS correspondente em resposta solicitao
DNS original. Os clientes DNS no precisam saber se um cliente est registrado no WINS ou no DNS nem
precisam consultar o servidor WINS.
Voc tambm pode configurar o servidor DNS para pesquisas reversas do WINS. As pesquisas reversas
funcionam de forma um pouco diferente. Quando um servidor DNS autorizado consultado por causa de um
registro PTR no existente e a zona autorizada contm o registro WINS-R, o servidor DNS usa uma pesquisa
de status do adaptador de n NetBIOS.
Observao Para tolerncia a falhas, voc pode especificar vrios servidores WINS no
registro de pesquisa do WINS. O servidor que est executando o servio DNS do Windows
2000 ou do Windows Server 2003 tenta localizar o nome, pesquisando os servidores WINS
na ordem especificada pela lista.

Configurando referncia do WINS

Os computadores que executam implementaes de terceiros dos servidores DNS no oferecem suporte a
registros usados pela pesquisa e pela pesquisa reversa do WINS. Se voc tentar usar uma combinao de
servidores DNS da Microsoft e de terceiros para hospedar uma zona que contenha esses registros, a mistura
poder causar erros de dados ou transferncias de zona com falha nos servidores DNS de terceiros.
Se voc tiver essa combinao, poder usar a referncia do WINS para criar e delegar uma zona WINS
especial que faa referncia de pesquisas DNS ao WINS. Essa zona no executa qualquer registro ou
atualizao. Em seguida, voc configura todos os clientes DNS para anexar o nome da zona de referncia do
WINS a consultas no qualificadas. Dessa forma, o cliente pode consultar DNS e WINS ao mesmo tempo,
usando uma consulta DNS. Para simplificar a administrao, voc pode usar DHCP ou diretiva de grupo para
configurar os clientes a fim de executar a configurao.
Para obter mais informaes sobre DHCP, consulte "Implantando DHCP", neste manual. Para obter mais
informaes sobre diretiva de grupo, consulte "Designing a Group Policy Infrastructure" em Designing a
Managed Environment, neste kit.
Observao A zona WINS deve ser hospedada em um DNS do Windows Server 2003 ou
do Windows 2000 e no deve ser replicada em servidores DNS de outros fornecedores. Os
servidores DNS de outros fornecedores no oferecem suporte a registros de recursos do
WINS e talvez no consigam hospedar a zona.

Implementando DNS do Windows Server

2003

Depois de testar sua configurao em um ambiente de teste, voc pode lanar as alteraes no ambiente de
produo. A figura 4.9 mostra o processo de implementao do DNS do Windows Server 2003.

Figura 4.12 Implementando DNS do Windows Server 2003

Preparando-se para implantar o DNS do Windows

Server 2003
Prepare seu ambiente de implantao do DNS do Windows Server 2003 certificando-se de ter backups
confiveis de tudo o que ser alterado, incluindo servidores e zonas. Teste os backups antes de continuar a
implantao. Alm disso, crie um plano de configurao de contingncias, tais como perda de dados, falha do
servidor e falha das conexes de rede.
Antes de lanar a implantao do DNS, certifique-se de que os links de roteamento entre os servidores a
serem implantados esto no lugar e funcionando corretamente. Dependendo da forma de configurao da
infra-estrutura DNS, talvez os servidores DNS precisem estar aptos a consultar o seguinte:

Servidores raiz
Encaminhadores
Servidores que hospedam zonas pai
Servidores que hospedam zonas filha
Servidores que hospedam zonas mestre
Servidores que hospedam outras cpias da mesma zona integradas ao Active Directory, caso o
servidor esteja integrado ao Active Directory
Servidores na Internet

Se voc espera que os clientes consultem nomes na Internet e planeja usar um servidor proxy, certifique-se de
que ele est no lugar.
Por convenincia, voc pode optar por instalar o DNS em controladores de domnio, como parte da instalao
do Active Directory. Se for essa a sua escolha, no esquea que voc no pode alterar o nome do computador
aps a instalao do Active Directory nele.

Configurando o servidor DNS

Antes de instalar o DNS, certifique-se de que o computador foi nomeado corretamente e de que voc pode
efetuar ping em outros computadores da rede que os servidores DNS talvez precisem consultar. Como os
clientes localizam servidores DNS por endereo IP, certifique-se de ter dado a cada servidor DNS um
endereo IP esttico.
Voc pode configurar o servidor DNS executando um destes quatro procedimentos:

Instale o DNS em um servidor usando o Assistente para Instalao do Active Directory para instalar
o Active Directory.
Esse assistente cria automaticamente uma cpia da zona de pesquisa direta integrada ao Active
Directory, que corresponde ao nome de domnio do Active Directory, e a configura para atualizao
dinmica segura. Alm disso, o assistente cria as zonas de pesquisa reversa padro recomendadas
pelas RFCs de DNS. Em alguns casos, o assistente configura o servidor como raiz ou inicializa as
dicas de raiz com os nomes dos servidores raiz.
Voc pode iniciar o Assistente para Instalao do Active Directory executando um arquivo de
resposta, um arquivo que contm respostas a todas as perguntas que o assistente faz. Para obter mais
informaes sobre como usar o arquivo de resposta, consulte "Active Directory Data Storage" no
Distributed Services Guide do Windows Server 2003 Resource Kit (ou consulte "Active Directory
Data Storage" na Web em http://www.microsoft.com/windows/reskits/default.asp (site em ingls).

Antes ou depois de instalar o Active Directory no servidor, voc pode usar a ferramenta Adicionar
ou Remover Programas para instalar o servio Servidor DNS e, em seguida, executar o Assistente
para Configurao de Servidor DNS a fim de configurar suas zonas. Como o Assistente para
Instalao do Active Directory, o Assistente para Configurao de Servidor DNS cria as zonas de
pesquisa reversa padro recomendadas pelas RFCs de DNS e configura o servidor como raiz ou
inicializa as dicas de raiz.
Voc pode usar a ferramenta de linha de comando Dnscmd.exe para configurar o servidor DNS.
Voc pode usar VBScript ou outras linguagens de script atravs do provedor WMI fornecido com o
Windows Server 2003.

Depois de instalar o servidor DNS, examine se a zona raiz existe. Se o servidor estiver configurado como raiz
e voc no aceitar essa opo, exclua a zona raiz.
Para obter mais informaes sobre essas opes e informaes sobre como o Assistente para Instalao do
Active Directory e o Assistente para Configurao de Servidor DNS determinam se devem ou no inicializar
as dicas de raiz, consulte "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003
Resource Kit (ou consulte "Windows Server 2003 DNS" na Web em
http://www.microsoft.com/windows/reskits/default.asp) (site em ingls).

Configurando zonas
Se voc instalar o DNS usando o Assistente para Instalao do Active Directory, o assistente criar zonas
DNS que correspondem aos domnios do Active Directory especificados. Se as zonas especificadas durante a
fase de planejamento de zona da implantao ainda no existirem, crie-as agora.
Se a zona criada pelo assistente no for do tipo desejado, altere-a agora. Por exemplo, talvez seja necessrio
converter uma zona primria padro em uma zona integrada ao Active Directory. Se o assistente de instalao
criou a zona, mas no adicionou a delegao, adicione-a agora.
Para cada zona criada, adicione os registros de recursos apropriados e ative ou desative a atualizao dinmica
ou a atualizao dinmica segura, conforme apropriado. Para enviar atualizaes aos servidores secundrios
de uma zona, configure a notificao de DNS no servidor primrio.
Para obter mais informaes sobre como adicionar e remover zonas, consulte o Centro de ajuda e suporte do
Windows Server 2003.

Configurando o encaminhamento
Se algum servidor precisar encaminhar consultas para outro, configure o encaminhamento nos servidores que
devem encaminhar as consultas. Para que o servidor encaminhe consultas para outros servidores, dependendo
do sufixo DNS especificado na consulta, configure o encaminhamento condicional corretamente.
Para obter mais informaes sobre encaminhamento condicional, consulte "Usando encaminhamento" neste
captulo e "Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit (ou
consulte "Windows Server 2003 DNS" na Web em http://www.microsoft.com/windows/reskits/default.asp)
(site em ingls).

Configurando o servidor DNS para atualizao dinmica

Dependendo da forma de configurao das zonas e dos servidores, talvez as zonas j estejam configuradas
para atualizao dinmica ou dinmica segura. Se no estiverem configuradas de forma apropriada, faa as
alteraes necessrias.
Para obter informaes sobre como configurar atualizao dinmica e dinmica segura, consulte o Centro de
ajuda e suporte do Windows Server 2003.

Configurando durao e eliminao

Com a atualizao dinmica, sempre que um computador ingressa na rede e registra-se no DHCP, o servidor
DNS adiciona registros zona automaticamente. No entanto, em alguns casos, o servidor DNS no os exclui
automaticamente e, portanto, podem se tornar desatualizados. Os registros de recursos desatualizados ocupam
espao no servidor e um servidor pode usar um registro de recursos desatualizado para responder a uma
consulta. Como resultado, o desempenho do servidor DNS sofre. Para resolver esses problemas, o servidor
DNS do Windows Server 2003 pode eliminar registros desatualizados, procurando no banco de dados os
registros obsoletos e excluindo-os.
Voc pode configurar a durao e a eliminao no Gerenciador DNS ou usando Dnscmd.exe.
Para obter mais informaes sobre como usar durao e eliminao, consulte "Windows Server 2003 DNS"
no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "Windows Server 2003 DNS" na
Web em http://www.microsoft.com/windows/reskits/default.asp) (site em ingls).

Configurando replicao de zona

Se voc usa zonas primrias ou secundrias baseadas em arquivo, configure cada servidor mestre para
permitir transferncias de zona em cada servidor secundrio. Em seguida,configure cada servidor secundrio
de uma zona com uma lista de servidores mestre para ela.
Se voc usa a replicao do Active Directory em um domnio do Windows Server 2003, configure o escopo
de replicao de zona. Se voc optar por usar parties de diretrio de aplicativo, precisar ter credenciais de
administrador corporativo para configurar o escopo de replicao de zona. Voc tambm precisar ter
credenciais de administrador corporativo, caso as parties de diretrio de aplicativo no estejam disponveis
no Active Directory e o servidor DNS no as crie automaticamente.
Para obter mais informaes sobre armazenamento e replicao de zona DNS no Active Directory, inscrio
de um servidor DNS em uma partio de diretrio de aplicativo DNS, remoo de um servidor DNS de uma
partio de diretrio de aplicativo DNS ou alterao de escopo de replicao, consulte o Centro de ajuda e
suporte do Windows Server 2003.

Verificando se o servidor DNS est funcionando

corretamente
Depois de instalar e configurar o servidor DNS, verifique se ele est funcionando corretamente. Use os
recursos de monitorao do snap-in de DNS do MMC, tais como teste de consulta simples ou recursiva. Voc
tambm pode examinar o log de eventos ou o arquivo de log de depurao ou usar a ferramenta de linha de
comando Nslookup para tentar consultas. Para acessar os recursos de monitorao do snap-in de DNS do
MMC, clique em Propriedades no menu Ao e clique na guia Monitorando.

Para obter mais informaes sobre como verificar a operao do servidor DNS, consulte "DNS
Troubleshooting" no Networking Guide do Windows Server 2003 Resource Kit (ou consulte "DNS
Troubleshooting" na Web em http://www.microsoft.com/windows/reskits/default.asp) (site em ingls).

Configurando clientes DNS

Configure cada cliente DNS com o seguinte:

Nome de host e sufixo DNS

Servidores DNS preferenciais e alternativos
Como opo, arquivo de configurao automtica do proxy ou lista de nomes excludos (se for um
cliente proxy)

Voc pode usar qualquer um dos mtodos a seguir para configurar clientes DNS:

Use as configuraes de TCP/IP do cliente

Use a diretiva de grupo para configurar grupos de clientes
Use o servio Servidor DHCP para configurar algumas configuraes do cliente automaticamente.

Para obter mais informaes sobre como instalar e configurar clientes DNS, consulte o Centro de ajuda e
suporte do Windows Server 2003.

Usando ferramentas de linha de comando para implantar

DNS
Voc pode usar a ferramenta de linha de comando Dnscmd.exe para executar a maioria das tarefas que podem
ser executadas no snap-in de DNS do MMC. Com Dnscmd.exe, voc pode criar, excluir e exibir zonas e
registros e redefinir propriedades de servidor e zona. Voc tambm pode executar operaes de administrao
rotineiras, tais como criao ou atualizao de zona, recarregamento de zona, atualizao de zona, gravao
de zona novamente em um arquivo do Active Directory, pausa e reincio de zona, limpeza de cache, adio de
registros s dicas de raiz, parada e inicializao do servio DNS e exibio de estatsticas.
Voc tambm pode usar Dnscmd.exe para gravar scripts de arquivo em lotes e para administrao remota.
Para obter mais informaes sobre Dnscmd.exe, clique em Ferramentas em Centro de ajuda e suporte e, em
seguida, clique em Ferramentas de Suporte do Windows. Para obter informaes sobre como instalar e usar
as ferramentas de suporte do Windows Server 2003 e a ajuda delas, consulte o arquivo Sreadme.doc na pasta
\Suporte\Ferramentas do CD do sistema operacional Windows Server 2003.
Voc pode usar Nslookup.exe para executar teste de consulta do espao para nome DNS e para exibir
informaes de diagnstico.

Recursos adicionais
Esses recursos contm informaes adicionais e ferramentas relacionadas a este captulo.
Informaes relacionadas nos Resource Kits
"Windows Server 2003 DNS" no Networking Guide do Windows Server 2003 Resource Kit para obter
informaes sobre o servio Servidor DNS.

"Configuring IP Addressing and Name Resolution" em Administering Microsoft Windows XP Professional

para obter informaes sobre o cliente DNS.
Informaes relacionadas fora dos Resource Kits

RFC 1035: "Domain Names - Implementation and Specification".

DNS e BIND, 4a ed., de Paul Albitz e Cricket Liu, 2001, Sebastopol, CA: O'Reilly & Associates para
obter mais informaes sobre DNS.
Windows 2000 TCP/IP Protocols and Services, de Thomas Lee and Joseph Davies, 2000, Redmond,
Washington: Microsoft Press para obter mais informaes sobre o protocolo fsico de DNS.

O link da IETF (Internet Engineering Task Force) na pgina Web Resources em

http://www.microsoft.com/windows/reskits/webresources/ (site em ingls) para obter mais informaes sobre
documentos da RFC e trabalhos em andamento da IETF.
Ferramentas relacionadas
Para obter informaes sobre como instalar e usar as ferramentas de suporte do Windows Server 2003 e a
ajuda delas, consulte o arquivo Sreadme.doc na pasta \Suporte\Ferramentas do CD do sistema operacional
Windows Server 2003.

Active Directory Sizer

Voc pode usar o Active Directory Sizer para estimar o hardware necessrio para implantar o Active
Directory, com base nas informaes sobre perfil e domnio da organizao e na topologia do site.

Netdiag.exe
O Netdiag.exe ajuda a isolar problemas de rede e de conectividade, executando vrios testes para
determinar o estado do cliente da rede e se ele est funcionando.

Dnscmd.exe
Voc pode usar a ferramenta de linha de comando Dnscmd.exe para executar a maioria das tarefas
que podem ser executadas no snap-in de DNS do MMC.

Nslookup.exe
Use Nslookup para executar teste de consulta do espao para nome DNS e para diagnosticar
problemas nos servidores de nomes.

Aviso de iseno de responsabilidade da verso Beta

Esta documentao uma verso antecipada da documentao final e pode ser alterada substancialmente
antes da verso comercial final. Alm disso, informao confidencial de propriedade da Microsoft
Corporation. Ela divulgada conforme descrito no acordo de no-divulgao estabelecido entre o adquirente
e a Microsoft. Este documento fornecido somente para fins informativos e a Microsoft no oferece nele
quaisquer garantias, explcitas ou implcitas. As informaes contidas neste documento, incluindo o URL e
outras referncias a site, esto sujeitas a alteraes sem aviso prvio. O usurio assume inteiro risco quanto ao

uso e aos resultados do uso deste documento. Salvo indicao em contrrio, os exemplos de empresas,
organizaes, produtos, pessoas e acontecimentos aqui mencionados so fictcios. Nenhuma associao com
qualquer empresa, organizao, produto, pessoa ou acontecimento real intencional ou deve ser inferida.
Obedecer a todas as leis de direitos autorais aplicveis responsabilidade do usurio. Sem limitar os direitos
autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um sistema de
recuperao, ou transmitida de qualquer forma por qualquer meio (eletrnico, mecnico, fotocpia, gravao
ou qualquer outro), ou para qualquer propsito, sem a permisso expressa, por escrito, da Microsoft
Corporation.
A Microsoft pode ter patentes ou requisies para obteno de patente, marcas comerciais, direitos autorais ou
outros direitos de propriedade intelectual que abrangem o contedo deste documento. A posse deste
documento no lhe confere direito algum sobre as citadas patentes, marcas comerciais, direitos autorais ou
outros direitos de propriedade intelectual, salvo aqueles expressamente mencionados em um contrato de
licena, por escrito, da Microsoft.
2002 Microsoft Corporation. Todos os direitos reservados.
Active Accessibility, Active Channel, Active Client, Active Desktop, Active Directory, ActiveMovie,
ActiveX, Authenticode, BackOffice, Direct3D, DirectAnimation, DirectDraw, DirectInput, DirectMusic,
DirectPlay, DirectShow, DirectSound, DirectX, DoubleSpace, DriveSpace, FrontPage, IntelliMirror,
IntelliMouse, IntelliSense, JScript, Links, Microsoft, Microsoft Press, Microsoft QuickBasic, MSDN, MSDOS, MSN, Natural, NetMeeting, NetShow, OpenType, Outlook, PowerPoint, SideWinder, Slate,
TrueImage, Verdana, Visual Basic, Visual C++, Visual FoxPro, Visual InterDev, Visual J++, Visual Studio,
WebBot, Win32, Windows, Windows Media, Windows NT so marcas registradas ou comerciais da
Microsoft Corporation nos Estados Unidos e/ou em outros pases.
Os nomes de empresas e produtos reais aqui mencionados podem ser marcas comerciais de seus respectivos
proprietrios.
Agradecemos sua reviso da documentao desenvolvida pela equipe dos Windows Resource Kits. Caso
tenha comentrios sobre a relevncia, a utilidade ou a abrangncia do contedo, envie-os para
docbeta@microsoft.com. Lembre-se de especificar o ttulo do captulo na linha de assunto da mensagem.
Favor incluir os nmeros de pgina relevantes nos comentrios. Voc tambm pode enviar seus comentrios
como anexo.
1985-2002 Microsoft Corporation. Todos os direitos reservados.