Windows Server 2003 - DNS

Dirk F. Frehse
Especialista em Soluções de Infra-estrutura
Microsoft Brasil
Curso de Férias TechNet

Evento 1 - Windows Server 2003 - Visão Geral e Conceitos (Marcos)

Evento 2 - Diretivas de Grupo (Marcos)
Evento 3 - DNS/DHCP no Windows Server (Dirk)
Curso de Férias TechNet

Evento 4 - Windows Server 2003 Resolução Problemas / Planejando a instalação

Servidores (Fabio Hara – MVP )
Evento 5 - Segurança no Windows 2003 (Manzano)
Evento 6 - Windows Server 2003 Instalando e Configurando o IIS 6.0 (Guilherme
Carnevalle - MVP )
Evento 7 - Windows Server 2003 Gerenciando uma Rede Windows 2003 (Ávila)
Evento 8 - Windows Server 2003 Migração/Interoperabilidade do NT 4.0 e Windows
2003 (Airton Leal – MVP )
Evento 9 - Encerramento & Teste
Requisitos Mínimos

Microsoft Windows Server 2003

Estrutura do Active Directory
Conceitos de DNS
Agenda

Introdução
Instalando e Gerenciando DNS
Integração com o Active Directory
Características & Configurações do DNS
DNS – Melhores Práticas
Agenda

Introdução
Instalando e Gerenciando DNS
Integração com o Active Directory
Características & Configurações do DNS
DNS – Melhores Práticas
Introdução
O que é DNS?

DNS = Domain Name System, é uma base de dados

distribuída e hierárquica que contém mapeamento de
nomes de domínio para vários tipos de dados como, por
exemplo, endereço IP
Protocolo de Resolução de Nomes para redes TCP/IP,
permite a localização de computadores e serviços usando-
se nomes amigáveis, além de permitir consulta de outras
informações armazenada nessa base de dados
Servidor de DNS trabalha no modo REQUEST/
RESPONSE
Introdução
Funcionamento Básico

Forward Lookup Zone Reverse Lookup Zone

Quem é NY-CERT-01? Quem é 192.168.80.9?

TC
P/I
P

NY-CERT-01 = 192.168.80.9 =
192.168.80.6 NY-WXP-01
 Introdução
Estrutura (Namespace)
Internet Root
.
Contoso.local
Top-level
Domains
com
Second Level us.Contoso.local org
Domains gov
research.Contoso.local
Contoso.com
WideWorldImporters.com

IRS.gov
us.Contoso.com
research.Contoso.com
Sub-domains
Introdução
Consulta ao DNS Interno

contoso.com
NY-DNS-01.contoso.com
NY-DNS-01 A 192.168.80.1
NY-WEB-01 A 192.168.80.5
NY-WXP-01 A 192.168.80.6
Qu
www CNAME NY-WEB-01.contoso.com
Re

e ry
s po

:w

NY-WEB-01.contoso.com
ww
nse

.co
:1

nto
92.

s o.
16
8.8

com

TC
0.5

P/ I
P

NY-WXP-01.contoso.com
Introdução
Consulta ao DNS Externo

w . c o ntoso.com
ww
Query: 1
= 1 92 .169.80.
om
on s e : c ontoso.c
Resp
a.root-server.net
Que
Qu ry : ww
w.co
nt
ery
Re

Resp oso.
o nse: c om
s po

:w
192.
16 8 .
ww
nse

80.5
.co
:1

nto
92
.16

so.

NY-DNS-01.contoso.com
8. 8

com
0.5

TCP/IP

NY-WEB-01.contoso.com
WideWorldImporters.com
 Introdução
Registrando o Service Locator Record

NETLOGON.dns lista os SRV Records

SRV Records são registrados na Inicialização

LDAP

Kerberos

Kerberos Password

Global Catalog

LON-DC-01.WideWorldImporters.com LON-DNS-01.WideWorldImporters.com
 Introdução
Localizando Recursos no Active Directory

Service Locator Record: RFC 2782

Propriedades do SRV Record

Service
Protocol
Site TTL Priority Weight Port Host

_ldap._tcp 600 SRV 0 100 389 NY-DC-01.contoso.com.

_kerberos._tcp 600 SRV 0 100 88 NY-DC-01.contoso.com.
_kpasswd._tcp 600 SRV 0 100 464 NY-DC-01.contoso.com.
_gc._tcp 600 SRV 0 100 3268 NY-DC-01.contoso.com.
 Introdução
Localizando Recursos no Active Directory
A onde está a
NY-DC-01 & Impressora de
LON-DC-01 Rede mais
são Global próxima?
Catalogs
Query: Global Catalog
Response: Ambos GCs
TIL-DNS-01
Site Link Site Tilbury Site Link
Custo 50 Custo 25
Pesquisa no GC
por Impressora

NY-DC-01 LON-DC-01
Site Link
Cost 25
Site New York Site London
Introdução
O que é DHCP?

DHCP = Dynamic Host Configuration Protocol, é um serviço

Client/Server que mantém uma base de dados centralizada contendo
endereços IP que serão utilizados em uma ou mais sub-redes do seu
ambiente de rede.
Benefícios
Estações cliente obtém endereços IP do servidor
Automatiza configurações de TCP/IP
Administradores não precisam configurar manualmente o endereço nas
estações
Centraliza o gerenciamento de endereços IP
Mudança nas propriedades do TCP/IP são cinfiguradas no servidor
DHCP
Introdução
Escopo e Propriedades do Escopo (Scope) no DHCP

Scope
Faixa (pool) de endereços IPs que clientes podem usar
Exclusion range
Remove endereços do pool endereços do escopo
Address lease duration
Tempo com o qual um cliente pode usar um endereço IP
Reservations
Assinala um endereço IP permanentemente a um cliente
 Introdução
DHCP – Confiabilidade e Disponibilidade
LON-DC-01 NY-DC-01
Servidor DHCP Servidor DHCP
Scope 1 Scope 1
Leasing Leasing
192.168.16.2/20 192.168.80.2/20
192.168.16.1 to 192.168.16.3 p/ 192.168.29.1 p/
192.168.80.1 to

X
192.168.28.254 (80%) WRK-LON-001
192.168.16.1 192.168.80.1
WRK-LON-003 192.168.92.254 (80%)
Wide Area
Scope 2 Routers
Network Scope 2
192.168.93.1 to 192.168.29.1 to
192.168.95.254 (20%) 192.168.31.254 (20%)

Hubs

WRK-LON-001
WRK-LON-003
precisa de
endereçoprecisa
IP de
endereço IP
WRK-LON-003
WRK-LON-001

Estações
192.168.16.3 192.168.29.1
Introdução
DHCP – Integração com o DNS
Introdução
DHCP – Novas Funcionalidades

Windows 2000
Integração com DNS
Detecção de servidores DHCP não autorizados
Windows Server 2003
Backup e Restore da base de dados do DHCP a partir de
interface gráfica
Integração com o command shell NETSH
Suporte a classes opcionais especificadas pelo usuário ou
fabricante
Agenda

Introdução
Instalando e Gerenciando DNS
Integração com o Active Directory
Características & Configurações do DNS
DNS – Melhores Práticas
Instalando & Gerenciando DNS
Configure Your Server Wizard

Interface Única de Configuração

Gerencia “Papeis” de Servidores
Integrado com o Microsoft Help
Instalando & Gerenciando DNS
DNS Installation Wizard

Simplifica a Configuração de Servidores conforme “Papel”

Instala Somente Componente Requeridos
Oferece uma Configuração Segura
Instalando & Gerenciando DNS
Console de Gerenciamento do DNS

Microsoft Management Console (MMC) Snap-in

Organiza Hierarquias DNS
Gerencia Múltiplos Servidores DNS
Instalando & Gerenciando DNS
Resource Records

Start of Authority (SOA)

Name Server (NS)
Host (A)
Alias (CNAME)
Mail Exchanger (MX)
Pointer (PTR)
Service Location (SRV)
Instalando & Gerenciando DNS
Outros Tipos de Resource Records

Mailbox Information (MINFO) Host Information (HINFO)

Public Key (KEY) Integrated Services Digital
Well Known Services (WKS) Network (ISDN)

AFS Database (AFSDB) Responsible Person (RP)

Signature (SIG) Renamed Mailbox (MR)

Mailbox (MB) ATM Address (ATMA)

Route Through (RT) Mail Group (MG)

IPv6 Host (AAAA) X.25 (X25)

Text (TXT) Option (OPT)

Next Domain (NXT)

Demonstração
Instalando e Gerenciando DNS

Instalando o Servidor de DNS

Gerenciando DNS Resource Record
Agenda

Introdução
Instalando e Gerenciando DNS
Integração com o Active Directory
Características & Configurações do DNS
DNS – Melhores Práticas
Integração com o Active Directory
Zonas Primárias e Secundárias
Site London Site Seattle

Servidor DNS Primário Servidor DNS Secundário

Servidor DNS Secundário Servidor DNS Secundário

Site Tilbury Site New York

Integração com o Active Directory
Zonas Integradas com AD
Site London Site Seattle

Servidor DNS Primário Servidores DNS Primário

Servidores DNS Primário Servidores DNS Primário

Site Tilbury Site New York

Integração com o Active Directory
Estrutura de Zona Integrada com AD
NY-DNS-01
Forward Lookup Zones

Contoso.com

_msdcs

_sites

Contoso.com _tcp

_udp

DomainDnsZones

ForestDnsZones
Reverse Lookup Zones
Integração com o Active Directory
Partições do Diretório

DC=WideWorldImporters,DC=com

CN=Configuration,DC=WideWorldImporters,DC=com

CN=Schema,CD=ConfigurationDC=WideWorldImporters,DC=com

DC=DomainDnsZones,DC=WideWorldImporters,DC=com

DC=ForestDnsZones,DC=WideWorldImporters,DC=com

DC=Intranet,DC=WideWorldImporters,DC=com
Integração com o Active Directory
Forward Lookup Zones

Armazena todos os Resource Records de uma Zona

Traduz o FQDN num endereço IP
Requerido pelo AD para localizar Serviços
Integração com o Active Directory
Reverse Lookup Zones

Armazena todos os registros PTR de uma Zona

Resolve o endereço IP num FQDN
Segurança de Aplicações
Integração com o Active Directory
Stub Zones Stub Zone: research.contoso.com
Zona “Pai”: SOA: research.contoso.com
contoso.com NS: DNS01.research.contoso.com
A: 192.168.80.25
DNS01.contoso.com NS: DNS02.research.contoso.com
A: 192.168.80.25

Zone
Transfer

Zona “Filho”: research.contoso.com

SOA: research.contoso.com
NS: DNS01.research.contoso.com
A: 192.168.80.25
MX: mail.research.contoso.com
SRV: _ldap._tcp.research.contoso.com DNS01.research.contoso.com
SRV: _kerberos._tcp.research.contoso.com
NS: DNS02.research.contoso.com
A: 192.168.80.25
Integração com o Active Directory
Delegação de Autoridade

Divide o Namespace em Zonas Adicionais

Delega Gerenciamento do DNS
Divide Zonas DNS para Distribuir Tráfego
Estender o Namespace
Delegação & Registros de “cola” Adicionados
contoso.com research.contoso.com NS dns1.research.contoso.com
dns1.research.contoso.com A NS 192.168.32.1

research dns1.research.contso.com
registros de SOA para a
zona delegada.

eur asia us
Agenda

Introdução
Instalando e Gerenciando DNS
Integração com o Active Directory
Características & Configurações do DNS
DNS – Melhores Práticas
 Características & Configurações do DNS
Atualização Dinâmica

Atualização dinâmica de Resource Records no Servidor DNS

Definido pela RFC 2136

Atualização Dinâmica DNS

Pointer
do Host (A)(PTR)
name name.
e Pointer
IP Lease Request Servidor DHCP
(PTR) name.

IP Lease Reply

Atualização Dinâmica DNS

Client01.contoso.com = 192.168.80.22
do Host (A) name.

Pre-Windows
Window 2000,2000
XP, 2003 Servidor DNS
Características & Configurações do DNS
Transferências de Zona

Aplicado apenas para Zonas DNS Standard

Oferece Disponibilidade & Tolerância a Falhas
Transferência Inicial completa (AXRF)
Transferência de Zonas de forma Incremental (IXRF)

Inicia o Processo Query SOA (Mesma Zona)

de Zone Transfer

Resposta da Query
FYI: Nova para SOA
Informação ( zone
de DNS status)
Disponível.

IXFR ou AXFR Query para Zona

Servidor Servidor
Resposta da IXRF ou AXRF Query (zone transfer)
DNS DNS
Secundário Primário
Características & Configurações do DNS
Aging & Scavenging

Remove Resource Records estagnados

Dynamic Updates nem sempre remove registros
Questões Causadas por registros estagnados
Aumento no tamanho da Zona
Respostas Imprecisas do DNS
Degradação de Performance
Conflito de Nomes
Características & Configurações do DNS
Opções Avançadas

Disable Recursion
BIND Secondaries
Fail on Load if Bad Zone Date
Enable Round Robin
Enable Netmask Ordering
Secure Cache Against Pollution
Características & Configurações do DNS
Resolução de Nomes usando Root Hints
Servidor DNS
Query: www.contoso.com

Reply: com é delegado para Servidor com

Rep Que Zona “.”

ly: c ry : w
cont onto ww.
o so . s con
com o.com é toso
dele .com
Reply: 192.168.80.5

Qu g a do p Delegação
er ara
y: Serv
www.contoso.com

Re ww id o r
pl y w.
:1 co
92 nt
.1 os
68 o.
.8 co
Query:

0. m Zona com
5

Delegação

Zona contoso.com
Cliente Requisitante
Características & Configurações do DNS
Resolução de Nomes usando Forwarding
Servidor DNS Servidor DNS
Interno na DMZ

Zona “.”
www.contoso.com
Query:

Zona com

Zona contoso.com
Cliente Requisitante
Características & Configurações do DNS
Logs

Logs Avançados – Além do Event Log

Direction of Packets
Contents of Packets
Transport Protocol
Type of Packet
Filtering based on IP Address
Intensivo consumo de Recursos
Características & Configurações do DNS
Ferramentas de DNS

DNS Management Console

Utilitários de Linha de Comando
Nslookup
DNScmd
Ipconfig
Utilitários para Monitoramento de Eventos
Utilitários para Monitoramento de Performance
Windows Management Instrumentation (WMI)
Platform Software Developer Kit (SDK)
Agenda

Introdução
Instalando e Gerenciando DNS
Integração com o Active Directory
Características & Configurações do DNS
DNS – Melhores Práticas
DNS – Melhores Práticas
Planejamento, Implantação & Configuração

Use Alias Records (CNAME) de forma comedida

Padronize Suas Práticas de DNS
Replique Zonas com Active Directory
Considere Zonas Secundárias
Revise os Documentos de RFC
http://www.rfc-editor.org
http://www.ietf.org/html.charters/dnsext-charter.html
http://www.ietf.org/html.charters/dnsop-charter.html
Insira Informações de Contato do Administrador da Zona
admin@contoso.com = admin.contoso.com
DNS – Melhores Práticas
Guia de Referência

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/119050c9-7c4d-4cbf-
8f38-97c45e4d01ef.mspx
DNS – Melhores Práticas
Segurança da Infra-estrutura de DNS

Use Forwarders para Zonas na Internet

Filtre tráfego DNS no Firewall
Restrinja tráfego DNS por endereço IP
Use Recursão onde aplicável
Proteja o Cache contra poluição de Nomes
Configure DNS Interno com Internal Root Hints
DNS – Melhores Práticas
Segurança da Infra-estrutura de DNS

Use Zonas Integradas com Active Directory

Proteja o Serviço de DNS através de ACLs
Edite as Permissões do Arquivo para Zonas Padrões
<systemroot>\System32\DNS
Proteja Chaves de Registry do DNS
HKLM\System\CurrentControlSet\Services\DNS
Resumo
Instalação do DNS usando Wizards
Uso do Console de Gerenciamento do DNS
Integração de Zonas DNS no Active Directory
Configuração de Forwarding
Dynamic Updates
Aging e Scavenging
Melhores Práticas – DNS Gerenciamento
Melhores Prácticas – DNS Segurança
Seu potencial. Nossa inspiração.