11/03/2013

Viso geral do mdulo

Reviso de conceitos, componentes e processos do DNS Instalao e configurao de servidor DNS em um domnio

do AD DS
AD DS, DNS e Windows

Configurao do DNS (Sistema de Nomes de Domnio)

Configurao e administrao avanadas do DNS

Reviso de conceitos, componentes e processos do DNS

Por que DNS? A hierarquia do DNS Zonas Registros de recurso (RRs) Gerenciamento de registros de recurso Replicao de zona Subdomnios Posicionamento de zonas e servidores DNS Cliente DNS (Resolvedor) Consulta a servidor DNS Resoluo de servidor DNS Recurso

Por que DNS?

Os computadores utilizam endereos IP para se conectarem As pessoas usam nomes O DNS resolve nomes como endereos IP

technet.microsoft.com?

207.46.16.252

Cliente

Servidor DNS

technet.microsoft.com 207.46.16.252

11/03/2013

A hierarquia do DNS
Raiz Root .

Zonas
Um banco de dados armazenado em um servidor DNS D suporte resoluo de uma parte do namespace DNS

comeando por um domnio: contoso.com

.uk .co.uk .microsoft.co.uk contoso.com

.com microsoft.com

Um servidor que hospeda uma zona de um domnio

autoritativo para esse domnio

Servidor DNS

Registros de recurso (RRs)

De host ou de endereo (A ou AAAA): nome-para-endereo

Gerenciamento de registros de recurso

Manual Dinmico O cliente registra seus prprios registros Atualizaes dinmicas seguras: impedem a falsificao

IPv4/IPv6
Nome: hqdc01 Dados: 10.0.0.11 De alias ou de nome cannico (CNAME): alias-para-nome Nome: ftp Dados: internetserver.contoso.com MX: apontam para o servidor de email Dados: exchange.contoso.com NS: apontam para um servidor de nomes Nome: contoso.com Dados: nameserver01.contoso.com

11/03/2013

Replicao de zona
Zona baseada em arquivo Zona primria: cpia gravvel da zona hospedada por um (e somente um) servidor DNS Zona secundria: cpia somente leitura da zona hospedada por zero ou mais servidores DNS A transferncia de zona copia dados de zona da zona primria para as secundrias

Subdomnios
Uma zona d suporte resoluo de uma parte do namespace

DNS, comeando por um domnio: contoso.com

europe.contoso.com? Subdomnio

Registros para dar suporte resoluo do subdomnio

Requer permisso no servidor de origem da zona Tradicionalmente, a zona inteira (que pode ser muito grande) copiada

Delegao

Registros NS que apontam para servidor(es) de nomes do subdomnio A lista de servidores de nomes esttica e atualizada manualmente

Zona integrada ao Active Directory A zona hospedada em controladores de domnio Replicao de vrios mestres: importante em ambientes de atualizao dinmica Dados replicados com o uso de processos de topologia de replicao do Active Directory eficientes Atualizaes incrementais

Zona de stub

Registros NS que apontam para servidor(es) de nomes do subdomnio A lista de servidores de nomes atualizada manualmente Requer que a porta TCP 53 esteja aberta entre o servidor DNS (pai) do host e todos os servidores de nomes no domnio de stub

Posicionamento de zonas e servidores DNS

Acessibilidade de servidores DNS a clientes Administrao, replicao e eficincia da resoluo

Cliente DNS (Resolvedor)

O aplicativo cliente faz a solicitao O servio do cliente DNS examina o cache do resolvedor DNS Pr-carregado com o arquivo HOSTS quando o servio iniciado ou o arquivo HOSTS alterado Armazena em cache as respostas da consulta (inclusive respostas negativas!) ipconfig /flushdns
technet.microsoft.com? Servio do cliente DNS

Cache do resolvedor DNS

nslookup.exe Consulta o servidor DNS sem verificar o cache do resolvedor DNS

Arquivo HOSTS

11/03/2013

Consulta a servidor DNS

O cliente DNS consulta o servidor DNS primrio Solicita consulta iterativa ou recursiva

Resoluo de servidor DNS

O servidor DNS verifica as respectivas zonas locais Resoluo retornada como uma resposta autoritativa O servidor DNS verifica o respectivo cache Resoluo retornada como uma resposta positiva Se nenhuma resoluo for encontrada Consulta iterativa: o servidor DNS retorna sua melhor alternativa Consulta recursiva: o servidor DNS executa a consulta

Recursiva: o servidor DNS continua executando consulta sobre o cliente e retorna uma resposta definitiva Iterativa: o servidor DNS retorna apenas o que sabe (melhor alternativa) e o cliente continua a consulta

Consulta o servidor DNS secundrio somente se o servidor primrio no responder

Se o servidor primrio retornar uma resposta negativa, o servidor secundrio no ser consultado como segunda opinio Garanta que cada servidor possa resolver todas as consultas de cliente
Servidor DNS

Servio do cliente DNS

technet.microsoft.com? Servio do cliente DNS Servidor DNS do cliente Cache do servidor DNS

Recurso
Consulta iterativa a servidores DNS raiz Servidores DNS raiz configurados nas dicas de raiz do servidor DNS O servidor DNS retorna referncia a servidores de nomes .com Consulta iterativa a servidor .com .com retorna referncia a servidores de nomes microsoft.com Consulta iterativa a servidor microsoft.com Resposta do cache Retorno para o cliente como resposta positiva
Root DNS server . . Servidor DNS raiz
microsoft.com contoso.com tailspintoys.com
.com .edu .ca .uk

Instalao e configurao de servidor DNS em um domnio do AD DS

Instalao e gerenciamento da funo de servidor DNS Criao de uma zona Criao de uma zona: atualizao dinmica Criao de registros de recurso Configurao de servidores DNS redundantes Configurao de encaminhadores Configurao do cliente

com DNS Server Servidor DNS .com

Servidor DNS microsoft.com microsoft.com DNS Server Servio do DNS Client service DNS cliente

technet www msdn

Servidor DNS do cliente Clients DNS Server

technet.microsoft.com?

11/03/2013

Instalao e gerenciamento da funo de servidor DNS

Mtodos Gerenciador de Servidores Funes Adicionar Funo

Criao de uma zona

Clique com o boto direito

no mouse em Zonas de Pesquisa Direta

Selecione o tipo de zona Especifique a replicao

Assistente de Instalao dos Servios de Domnio Active Directory Snap-in Gerenciador DNS Gerenciador de Servidores Console do Gerenciador DNS (dnsmgmt.msc) dnscmd.exe

(somente zonas integradas ao Active Directory)

Todos os servidores DNS na floresta Todos os servidores DNS no domnio Todos os controladores de domnio no domnio (para compatibilidade com controladores de domnio do Windows 2000) Digite o nome de zona (nome de domnio DNS) Gerencie as atualizaes

Criao de uma zona: atualizao dinmica

Criao de registros de recurso

Clique com o boto direito no mouse na zona Ser exibida uma caixa de dilogo especfica para o tipo

de registro escolhido

11/03/2013

Configurao de servidores DNS redundantes

Zona integrada ao Active Directory Adicione o servidor DNS a outro controlador de domnio Zona primria padro Adicione registros NS referentes a servidores secundrios Servidor principal O servidor do qual a zona ser copiada No precisa ser o servidor primrio. Permita transferncias de zona Servidor secundrio Crie uma nova zona de pesquisa direta Escolha uma zona secundria Configure o servidor mestre

Configurao de encaminhadores
Clique com o boto direito do mouse no servidor DNS

Propriedades

Encaminhadores

Para todos os nomes que no estejam no seu domnio,

resolva usando os servidores DNS do ISP (provedor de servios de Internet)

Se no houver encaminhadores

disponveis, use servidores raiz baseados em dicas de raiz

Configurao do cliente
Configurao de IP do cliente
netsh interface ipv4 set dns "Local Area Connection" static 10.0.0.11 primary netsh interface ipv4 add dns "Local Area Connection" 10.0.0.12

AD DS, DNS e Windows

AD DS, DNS e Windows Integrao do AD DS e do namespace DNS DNS de redes separadas ("split-brain") Criao de uma delegao para um domnio do Active Directory Zonas integradas ao Active Directory Parties de aplicativos para zonas DNS Parties de aplicativos DNS Atualizaes dinmicas Carregamento de zona em segundo plano Registros SRV Demonstrao: Registros de recurso SRV registrados por

Dynamic Host Configuration Protocol

(DHCP) scope option 6

controladores de domnio do AD DS
Localizao de controlador de domnio Zonas DNS somente leitura

11/03/2013

AD DS, DNS e Windows

Um domnio do AD DS tem um nome de domnio DNS As zonas DNS podem ser armazenadas no banco de dados do

Integrao do AD DS e do namespace DNS

Um domnio do Active Directory deve ter um nome de

domnio DNS
Nome de domnio do Active Directory versus namespace DNS

Active Directory
O Active Directory pode replicar zonas DNS em controladores

externo
O Active Directory usa o mesmo nome de domnio O Active Directory usa subdomnio do domnio pblico O Active Directory usa nome de domnio separado

de domnio especficos
Os clientes Windows podem atualizar seus prprios registros

DNS
O Active Directory pode carregar grandes zonas integradas ao

contoso.com

Active Directory em segundo plano

Os controladores de domnio registram registros SRV no DNS Os clientes usam esses registros para localizar os controladores contoso.com ad.contoso.com contoso.net

de domnio
Os RODCs (controladores de domnio somente leitura) podem

dar suporte ao DNS mesmo em uma zona de atualizao dinmica

DNS de redes separadas ("split-brain")

A zona que d suporte ao AD DS Protegida contra exposio na Internet Dinmica Totalmente populada com registros de servio, de servidor e de cliente do AD DS A zona que d suporte ao namespace externo Segura Esttica Populada com os registros relacionados a recursos externos Alguma duplicao de registros (mantidos manualmente),

Criao de uma delegao para um domnio do Active Directory

Necessria caso a zona do domnio filho esteja hospedada em

servidores DNS diferentes

Crie a delegao no domnio DNS (zona) pai
Clique com o boto direito do mouse na zona Nova Delegao Faa referncia ao servidor que /ser o servidor DNS do domnio filho

Configure o cliente DNS no servidor do domnio filho

O servidor DNS primrio deve ser o servidor DNS pai

Instale a zona e a funo DNS

Gerenciador de Servidores: adicione a funo e depois crie a zona primria ou O DCPromo pode instalar o DNS durante a promoo a um controlador de domnio

como www
contoso.com hqdc01 filesvr01 desktop101 www

contoso.com www ftp portal

Opcional mas configurao tpica

Reconfigure o cliente DNS filho para fazer referncia a si mesmo como servidor DNS primrio Adicione o servidor DNS como encaminhador no servidor filho Configure a nova zona para ser integrada ao Active Directory e atualizao dinmica segura

contoso.com

11/03/2013

Zonas integradas ao Active Directory

Os dados de zona DNS so armazenados no AD DS Permitem gravaes de vrios mestres na zona Replicam informaes da zona DNS usando a replicao do AD DS Aproveitam a topologia de replicao eficiente Usam processos de replicao do Active Directory eficientes: atualizaes incrementais Habilitam atualizaes dinmicas seguras Segurana: podem delegar zonas, domnios, RRs

Parties de aplicativos para zonas DNS

Armazene zonas DNS em uma das parties de aplicativos

padro
O escopo de replicao a diferena Ou crie uma partio personalizada e defina seu escopo
Para todos os controladores de domnio no domnio do AD DS (como no Windows 2000) Domnio Configurao Esquema DomainDNSZone ForestDNSZones Partio personalizada Para todos os controladores de domnio que so servidores DNS no domnio do AD DS Para todos os controladores de domnio que so servidores DNS na floresta do AD DS Para todos os controladores de domnio no escopo de replicao da partio de aplicativos

Parties de aplicativos DNS

Crie uma partio de aplicativos
dnscmd ServerName /CreateDirectoryPartition FQDN

Atualizaes dinmicas
O servio do cliente DHCP registra registros do cliente Durante a inicializao do cliente Se houver um endereo IP novo/alterado (fixo/DHCP) em qualquer conexo de rede Se ipconfig /registerdns for executado

1 2 3

O cliente envia consulta SOA O servidor DNS retorna RR SOA O cliente envia solicitao (es) de atualizao dinmica para identificar o servidor DNS primrio O servidor DNS responde que pode executar a atualizao O cliente envia atualizao no segura ao servidor DNS Se a zona permitir somente atualizaes seguras, a atualizao ser recusada O cliente envia atualizao segura ao servidor DNS

Altere o escopo de replicao

da zona
Propriedades da zona Geral Alterar replicao

4 5 6

Servidor DNS

Registros de recurso

11/03/2013

Carregamento de zona em segundo plano

Registros SRV
Os registros de recurso SRV permitem que clientes DNS localizem servios baseados em TCP/IP. Eles so usados quando:
Um controlador de domnio precisa localizar parceiros de replicao Um computador cliente autenticado no AD DS Um usurio altera a prpria senha Um servidor Microsoft Exchange executa uma pesquisa de diretrio Um administrador abre Usurios e Computadores do Active Directory
Sintaxe de registro SRV:

Quando um controlador de domnio com zonas DNS integradas ao Active Directory iniciado, ele:
Enumera todas as zonas a serem carregadas Carrega dicas de raiz a partir de arquivos ou servidores do AD DS Carrega todas as zonas que estejam armazenadas em arquivos em vez de no AD DS Comea respondendo a consultas e RPCs (chamadas de procedimento remoto) Inicia um ou mais threads para carregar as zonas que estejam armazenadas no AD DS

protocol.service.name TTL class type priority weight

Exemplo de registro SRV

port target

_ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com

Demonstrao: Registros de recurso SRV registrados por controladores de domnio do AD DS

Nesta demonstrao, voc ir:
Examinar os registros SRV registrados em
_tcp.contoso.com: todos os controladores de domnio no domnio _tcp.NomeDoSite._sites.contoso.com: todos os controladores de domnio no site NomeDoSite

Localizao de controlador de domnio

Simular uma consulta do cliente ao DNS sobre controladores de domnio Aprender a registrar registros SRV de forma dinmica ou esttica Exibir %systemroot%\system32\config\netlogon.dns

Servidor DNS local

NYC-DC1 Site NYC

MIA-DC1 Site Miami

11/03/2013

Localizao de controlador de domnio

1.

Zonas DNS somente leitura

Servidor DNS em um RODC com zonas integradas ao Active

O novo cliente consulta sobre todos os controladores de domnio no domnio

Recupera SRVs de _tcp.domnio

5.

O cliente consulta sobre todos os controladores de domnio no site

Recupera SRVs de _tcp.site._sites.domnio

Directory
O RODC pode resolver consultas de cliente No so permitidas alteraes na zona DNS somente leitura No possvel adicionar registros manualmente No possvel fazer atualizaes dinmicas As atualizaes dinmicas so referenciadas no controlador

6. 7.

2. 3.

Tenta uma associao LDAP com todos Primeiro controlador de domnio a responder
Examina as definies de IP e de sub-rede do cliente Faz referncia ao cliente em um site

Tenta uma associao LDAP com todos Primeiro controlador de domnio a responder
Autentica o cliente O cliente forma afinidade

8.

Consequentemente
O cliente se associa ao controlador de domnio de afinidade Controlador de domnio offline? O cliente consulta sobre controladores de domnio no site armazenado no registro O cliente foi movido para outro site? O controlador de domnio faz referncia a outro site

de domnio gravvel
O cliente tenta atualizar O RODC retorna um SOA de um controlador de domnio do Windows Server 2008 gravvel O RODC executa uma operao RSO (replicar objeto nico) Replica o registro DNS atualizado relativo ao cliente de cujo controlador de domnio ele fez referncia ao cliente referenciado

4.

O cliente armazena o site no registro

Configurao e administrao avanadas do DNS

Resoluo de nomes de rtulo nico Resoluo de nomes fora do domnio Zona de pesquisa inversa Manuteno de zonas e do servidor DNS Teste e soluo de problemas do servidor DNS Teste e soluo de problemas do cliente DNS

Resoluo de nomes de rtulo nico

http://legalapp
Processo de resoluo do lado do cliente
1.

Consulte o DNS com o FQDN (nome de domnio totalmente qualificado) criado adicionando:

Sufixo DNS de cliente: ad.contoso.com

- Devoluo de nome de domnio

ad.contoso.com e, em seguida, contoso.com ou Ordem de pesquisa de sufixo DNS

- Gerenciamento com diretiva de grupo WINS 12 segundos= tempo limite!

2.

Resoluo do lado do servidor

Zona GlobalNames: especializada com RRs CNAME de rtulo nico Pesquisa direta WINS: se a pesquisa de zona falhar, o DNS consultar o WINS

10

11/03/2013

Resoluo de nomes fora do domnio

Zona secundria
Cria uma cpia de uma zona a partir de outro servidor DNS Requer permisses do servidor DNS mestre

Zona de pesquisa inversa

Consulta sobre endereo IP, resposta com nome do host O endereo IP invertido (especfico para genrico) e

acrescentado ao domnio in-addr.arpa

Endereo IP: 10.0.1.34 Consulta: 34.1.0.10.in-addr.arpa Domnio especial para dar suporte a: in-addr.arpa Registro PTR com nome (octeto IP) e dados (nome de host) O cliente fixo registra seu respectivo PTR O servidor DHCP registra o PTR do cliente
file34.contoso.com 34.1.0.10.in-addr.arpa

Encaminhadores
Enviam consulta no resolvida como recursiva para outro(s) servidor(es) DNS

Dicas de raiz
Iniciam consultas iterativas em servidores de nomes . raiz O servidor DNS tem uma lista de servidores raiz atualizados com o Windows Update

Encaminhadores condicionais
Enviam consulta no resolvida sobre determinado domnio para outro(s) servidor(es)

No necessrio, mas recomendado Os servios/aplicativos usam pesquisa inversa como verificao de segurana: De quem vem esta solicitao?
Cliente Servidor DNS

Zona de stub
Pode ser para qualquer domnio; atualiza registros NS dinamicamente Requer que a porta TCP 53 esteja aberta para todos os servidores de nomes no domnio

Manuteno de zonas e do servidor DNS

Elimine registros de recurso obsoletos
Importantes em ambientes dinmicos, principalmente para RRs SRV Propriedades de eliminao e de durao do servidor

Teste e soluo de problemas do servidor DNS

Logs de eventos Visveis no Gerenciador DNS, no Gerenciador de Servidores e no Visualizar Eventos Log de depurao Caixa de dilogo Propriedades do servidor Testes de consulta recursiva e iterativa Caixa de dilogo Propriedades do servidor
dcdiag.exe /test:DNS

Padres para zonas integradas ao Active Directory

Propriedades de eliminao e de durao da zona A zona integrada ao Active Directory herda a propriedade do servidor ou definida por zona A zona primria ignora a propriedade do servidor; deve ser definida por zona.

Eliminao

Configure a eliminao automtica: Propriedades do servidor Avanado Inicie manualmente a eliminao: Clique com o boto direito do mouse no servidor

Executa uma variedade de testes para garantir que o AD DS e o DNS esto funcionando bem em conjunto Monitor de Rede (captura de pacote)

Gerencie o cache
Exiba o cache: menu Exibir Recursos Avanados Exiba o cache do servidor: clique com o boto direito do mouse no servidor ou no n Pesquisas em Cache

11