Escolar Documentos
Profissional Documentos
Cultura Documentos
Resolução de Nomes
• O DNS traduz nomes de computador para endereços IP
• Computadores utilizam o DNS para se localizarem na rede
-17-
Módulo 2: Implementando o DNS para Suportar o Active Directory
Convenção de Nomenclatura para Domínios do Windows Server 2003
• O Windows Server 2003 utiliza os padrões de nomenclatura DNS para nomes de
domínio
• Os domínios DNS e domínios do Active Directory compartilham uma estrutura de
nomenclatura hierárquica comum
Localizando os Componentes Físicos do Active Directory
• O DNS identifica controladores de domínio pelos serviços que eles fornecem
• Computadores utilizam o DNS para localizar controladores de domínio e servidores
de catálogo global
com.
com. Active Directory Namespace
microsoft microsoft.com
training
sales
training. microsoft.com
“.”
com.
com.
Active
Active Directory
Directory
microsoft
microsoft
training.microsoft.com
sales
sales training
training
Builtin
Computers
computer1
computer1 Computer1
Computer2
FQDN
FQDN==computer1.training.microsoft.com
computer1.training.microsoft.com
Windows
Windows2000
2000Computer
ComputerNameName==Computer1
Computer1
Pelo fato de o Windows Server 2003 integrar o DNS e o Active Directory, domínios e
computadores são representados pelos registros de recurso no espaço de nomes do DNS e
pelos objetos do Active Directory no espaço de nomes do Active Directory. Então, o nome
de host DNS para um computador é o mesmo nome que é utilizado para a conta de
computador que é armazenada no Active Directory. Note que o nome de computador do
Windows Server 2003 é o nome distinto relativo do objeto do Active Directory. O nome de
domínio DNS, que é chamado o sufixo DNS primário, é também o mesmo nome do domínio
Active Directory do qual o computador faz parte.
Em outras palavras, um computador é representado no espaço de nome DNS e no espaço de
nome do Active Directory pelo mesmo nome. Por exemplo, um computador chamado
Computer1 que é unido ao domínio training.microsoft.com tem o seguinte nome de domínio
totalmente qualificado (FQDN, fully qualified domain name):
computer1.training.microsoft.com
-20-
Módulo 2: Implementando o DNS para Suportar o Active Directory
A integração do DNS e Active Directory é essencial porque um computador cliente em uma
rede Windows Server 2003 deve ser capaz de localizar um controlador de domínio para
utilizar os serviços fornecidos pelo Active Directory. Para localizar um controlador de
domínio, um computador utiliza o DNS para localizar os endereços IP de um computador
que forneça o serviço requerido dentro do Active Directory.
Observação: Para mais informações sobre a resolução de nome DNS no Active Directory,
consulte o capítulo 3, “Name Resolution in Active Directory” em Distributed Systems
Guide no Microsoft Windows Server 2003 Server Resource Kit.
Para que o Active Directory funcione apropriadamente, os servidores DNS devem fornecer
suporte aos registros de recurso SRV (serviço). Registros SRV permitem que computadores
cliente localizem servidores que atendam a serviços específicos, como solicitações de
autenticação de logon e localização de informações no Active Directory. O Windows Server
2003 utiliza registros SRV para identificar um computador como controlador de domínio.
Registros SRV vinculam o nome de um serviço ao nome de computador DNS para o nome
do controlador de domínio que oferece este serviço.
Os registros SRV também contêm informações que permitem que um servidor DNS localize
o seguinte:
Campo Descrição
Serviço (Service) Especifica o nome para o serviço
Protocolo (Protocol) Indica o tipo de protocolo de transporte
Nome (Name) Especifica o nome de domínio
referenciado pelo registro de recurso
TTL Especifica o valor de Tempo de Vida
(Time to Live) do registro de recurso
DNS padrão
Classe (Class) Especifica o valor da classe do registro de
recurso DNS padrão
Prioridade (Priority) Especifica a prioridade do host
Carga (Weight) Especifica o mecanismo de
balanceamento de carga
Porta (Port) Exibe a porta do serviço neste host
-22-
Módulo 2: Implementando o DNS para Suportar o Active Directory
Destino (Target) Especifica o FQDN para o host que
suporta o serviço
_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft.
Todos os registros SRV utilizam um formato padrão, que consiste de campos que contêm
informações utilizadas para mapear um serviço específico para o computador que fornece o
serviço. Registros SRV utilizam o seguinte formato:
_serviço_.protocolo.nome ttl classe SRV prioridade carga porta destino
Campo Descrição
_Serviço (_Service) Especifica o nome do serviço, como
LDAP ou Kerberos, fornecido pelo
servidor que registra este registro SRV.
_Protocolo (_Protocol) Especifica o tipo de protocolo de
transporte, como Protocolo de Controle de
Transmissão (TCP, Transmission Control
Protocol) ou Protocolo de Datagrama do
Usuário (UDP, User Datagram Protocol).
Nome (Name) Especifica o nome de domínio
referenciado pelo registro de recurso.
TTL Especifica o valor de Tempo de Vida
(TTL, Time to Live) em segundos, que é
um campo padrão em um recurso DNS.
Classe (Class) Especifica o valor da classe do registro de
recurso DNS padrão, que é quase sempre
“IN” para o sistema da Internet.
Prioridade (Priority) Especifica a prioridade do servidor.
Clientes tentam contatar o host com a
prioridade mais baixa.
Carga (Weight) Denota um mecanismo de balanceamento
de carga que os clientes utilizam ao
selecionar um host de destino. Quando o
campo prioridade (priority) é o mesmo
para dois ou mais registros no mesmo
domínio, os clientes selecionam
aleatoriamente registros SRV com pesos
(weights) mais altos.
Porta (Port) Especifica a porta onde o servidor está
“escutando” este serviço.
Destino (Target) Especifica o nome de domínio totalmente
qualificado (FQDN, fully qualified
domain name) que também é chamado
nome completo do computador, do
computador que fornece o serviço.
-23-
Módulo 2: Implementando o DNS para Suportar o Active Directory
Observação: Além dos controladores de domínio do Windows Server 2003, uma rede pode
conter computadores que estão configurados como servidores LDAP e servidores de
catálogo global que não estão executando o Windows Server 2003. Então, qualquer
computador que forneça os serviços apropriados registra os recursos SRV listados na tabela
anterior.
2 Net
NetLogon
LogonCollects
CollectsClient
ClientInformation
Information
3 Sends
Sends DNS
DNS Query
Query with
with Client
Client Info
Info
SRV
SRV
DNS
DNS Queries
Queries SRV
SRV Records
Records for
for Match
Match 4 Records
Records
Returns
ReturnsList
ListofofIPIPAddresses
Addresses 5 Zone Database
6 Client
Client Contacts
Contacts Domain
Domain Controllers
Controllers DNS Server
Client Domain
DomainControllers
ControllersRespond
Respond 7
8
Client Sends LDAP Service
Request to a Running on a
Domain Controller Domain Controller
Para efetuar o logon em um domínio do Windows Server 2003 ou para pesquisar o Active
Directory, um computador cliente deve contatar um controlador de domínio. Todos os
controladores de domínio registram tanto registros de recurso A e registros SRV. O registro
de recurso A contém o FQDN do controlador de domínio e o nome do serviço deste
controlador de domínio. Então, o computador cliente pode consultar o DNS para localizar
um controlador de domínio.
-26-
Módulo 2: Implementando o DNS para Suportar o Active Directory
A seguir é descrito o processo de como um computador localiza um controlador de domínio.
1. Um usuário efetua o logon no domínio, inicia a pesquisa no Active Directory ou executa
outras tarefas que exijam um controlador de domínio. O serviço Net Logon no cliente (o
computador que está localizando o controlador de domínio) inicia a interface de
programação de aplicativo (API, application program interface) DsGetDcName.
2. O Net Logon coleta informações sobre o cliente e o serviço específico exigido; estas
informações serão incluídas na consulta DNS. Estas informações são especificadas pelos
seguintes parâmetros DsGetDcName:
• NomeDoComputador. O nome do computador cliente.
• NomeDoDomínio. O nome do domínio DNS que será consultado.
• NomeDoSite. O nome do site no qual o controlador de domínio seria localizado. Se o
site não for especificado, o controlador de domínio será localizado no site que estiver
mais perto do site no qual o computador cliente estiver localizado.
O cliente também especifica que o controlador de domínio seria um servidor LDAP no
domínio chamado NomeDoDomínio ou um servidor de catálogo global ou servidor KDC
para a floresta no qual NomeDoDomínio está localizado.
3. O serviço Net Logon envia uma consulta DNS a um servidor DNS. Esta consulta DNS
contém as informações que são coletadas a partir do cliente e especifica o serviço que é
exigido.
4. O servidor DNS consulta o banco de dados da zona DNS para os registros SRV que
correspondem ao serviço exigido pelo cliente no domínio nomeado NomeDoDomínio.
5. O servidor DNS retorna uma lista de endereços IP de controladores de domínio que
fornecem o serviço solicitado no domínio especificado pelo cliente.
6. O serviço Net Logon envia um datagrama (uma mensagem UDP do LDAP) para um ou
mais dos controladores de domínio localizados para determinar se estes estão em
execução e se estes suportam o domínio especificado.
7. Cada controlador de domínio disponível responde ao datagrama para indicar se ele está
atualmente operacional e então retorna as informações para DsGetDcName. O serviço
Net Logon retorna as informações ao cliente a partir do controlador de domínio que
responde primeiro.
8. O computador cliente seleciona o primeiro controlador de domínio que responde e
satisfaz o critério e então envia a solicitação a este controlador de domínio.
O serviço Net Logon grava em cache informações do controlador de domínio de forma que
não seja necessário que o computador cliente repita o processo de descoberta para
solicitações subseqüentes. Gravar em cache estas informações também incentiva o uso
consistente do mesmo controlador de domínio.
Importante O Active Directory deve primeiro ser instalado antes que você possa
configurar zonas integradas ao Active Directory.
Implementar uma infraestrutura do Active Directory requer que uma infraestrutura do DNS
esteja no lugar ou instalada durante a instalação do Active Directory. Para suportar o Active
Directory, sua implementação do DNS deve suportar registros SRV.
Para implementar o DNS, você deve instalar e configurar as zonas de pesquisa direta e
inversa. Pelo fato dos nomes de domínio DNS corresponderem aos nomes de domínio do
Active Directory, você pode configurar suas zonas de pesquisa direta e inversas de forma
que elas correspondam aos domínios do seu Active Directory. Entretanto, zonas DNS
também podem incluir dados sobre computadores em um ou mais domínios do Active
Directory, logo as zonas podem abranger mais do que um domínio do Active Directory.
-28-
Módulo 2: Implementando o DNS para Suportar o Active Directory
Você não pode instalar o Active Directory sem ter o DNS em sua rede porque o Active
Directory utiliza o DNS como seu serviço de localização. Para que o DNS funcione como
um serviço de localização para o Active Directory, você deve ter um servidor DNS que
suporte registros de recursos SRV.
A versão do DNS incluída no Windows Server 2003 fornece os requisitos necessários para
suportar uma instalação do Active Directory. Se você optar por não utilizar o DNS do
Windows Server 2003, você deve determinar se seu servidor DNS fornece o seguinte
suporte:
Registros SRV (RFC 2052). Registros SRV são registros DNS que mapeiam o nome de
um servidor que oferece um determinado serviço. Se seu servidor DNS existente não
suporta registros SRV, você deve alternar para um servidor DNS que suporte, ou delegar
autoridade sobre os domínios utilizados pelo Active Directory para um servidor DNS
que suporte os registros SRV.
Protocolo de atualização dinâmica (RFC 2136). O protocolo de atualização dinâmica é
opcional mas é altamente recomendado porque ele permite que os servidores e clientes
em seu ambiente adicionem recursos ao banco de dados DNS automaticamente, o que
reduz os custos de administração. Se você está utilizando um servidor DNS que suporte
registros de recurso SRV e não suporte o protocolo de atualização dinâmica, você deve
entrar com os registros de recurso SRV manualmente. Quando você instala o Active
Directory em um computador, um arquivo contendo os registros de recurso SRV é
criado como parte do processo de instalação. Este arquivo é chamado Netlogon.DNS e é
localizado na pasta raizdosistema\system32\Config.
Transferências de zona incrementais (RFC 1995). Uma transferência de zona
incremental é opcional e permite que apenas registros de recursos novos ou modificados
sejam replicados entre servidores DNS ao invés do arquivo de banco de dados de zona
inteiro.
Observação: Para obter uma cópia do RFC 2052, RFC 2136 ou RFC 1995, consulte a
página da Web da Força de Tarefa de Engenharia da Internet (IETF, Internet Engineering
Task Force) em http://www.ietf.org.
Para implementar uma infraestrutura DNS antes de você instalar o Active Directory, você
deve instalar e configurar o serviço servidor DNS em um computador executando o
Windows Server 2003 Server.
Os resultados deste comando listam o FQDN dos servidores DNS que forem autoritários
para o domínio DNS nomeado NomeDoDomínioDns.
-30-
Módulo 2: Implementando o DNS para Suportar o Active Directory
Se você não tem uma infraestrutura DNS disponível no momento que você cria o primeiro
domínio, que é o domínio raiz da floresta, o assistente de Instalação do Active Directory
pode instalar e configurar o serviço Servidor DNS no computador que você está instalando
o Active Directory.
A seguir é descrito como o assistente de Instalação do Active Directory instala e configura o
DNS:
Note que o assistente de Instalação do Active Directory não cria uma zona de pesquisa
inversa. Se você quer uma zona de pesquisa inversa, você precisará criar uma depois que
você completar a instalação do Active Directory.
Objetivos
Pré-requisitos
Antes de começar este laboratório, você precisa ter familiaridade com os conceitos e
operações do DNS.
Configuração do Laboratório
Cenário
Você identificou que para implementar o Active Directory com sucesso, você primeiro
precisa implementar uma infra-estrutura para suportar o Active Directory.
Objetivo
-32-
Módulo 2: Implementando o DNS para Suportar o Active Directory
Neste exercício, você configurará o nome do domínio DNS para seu computador e instalará
o DNS.
Cenário
Depois de instalar o DNS, você deve configurar uma zona de pesquisa direta para resolver
nomes de host para endereços IP e uma zona de pesquisa inversa para resolver endereços IP
para nomes de host.
Objetivo
Neste exercício, você configurará uma zona de pesquisa direta para seu domínio e uma zona
de pesquisa inversa para seu ID de rede.
Cenário
Depois de instalar o DNS e criar zonas de pesquisa diretas e inversas, agora você deve
configurar o DNS para suportar atualizações dinâmicas antes de implementar o Active
Directory.
Objetivo
Neste exercício, você configurará ar zonas de pesquisa direta e inversa para suportar a
atualização dinâmica.
Cenário
Depois de instalar o DNS, criar zonas de pesquisa diretas e inversas e configurar as zonas
para permitir atualizações dinâmicas, você decidiu testar o DNS antes de instalar o Active
Directory para garantir que este está funcionando apropriadamente.
Objetivo
Neste exercício, você utilizará o comando nslookup para confirmar se o DNS está
apropriadamente instalado e configurado.
-37-
Módulo 2: Implementando o DNS para Suportar o Active Directory
Práticas Recomendadas
-38-
Módulo 2: Implementando o DNS para Suportar o Active Directory
computadores servidores são utilizados em ambas as topologias, o que simplifica o
planejamento, implementação e resolução de problemas.
Se você não utiliza zonas integradas do Active Directory, certifique-se de configurar
corretamente seus clientes e compreender que uma zona primária padrão se torna um
ponto único de falha para atualizações dinâmicas e para a replicação da zona.
Configure computadores cliente para utilizar controladores de domínio localizados perto
do computador cliente como servidores DNS preferenciais e alternativos. Quando você
configura uma lista de servidores DNS preferenciais e alternativos para cada cliente,
você pode especificar servidores correspondentes a controladores de domínio
localizados perto de cada computador cliente.
Observação: Para mais informações sobre o planejamento de sua infraestrutura DNS para
suportar o Active Directory, consulte o módulo 2, “Planejando uma Estratégia de
Nomenclatura do Active Directory” (“Designing an Active Directory Naming Strategy”) no
curso 1561B, Planejando uma Infraestrutura de Serviços de Diretório no Microsoft®
Windows® 2000 (Designing a Microsoft® Windows® 2000 Directory Services
Infrastructure).
Revisão
-39-