Windows Server 2003 - DNS

Dirk F. Frehse Especialista em Solues de Infra-estrutura Microsoft Brasil

Curso de Frias TechNet

Evento 1 - Windows Server 2003 - Viso Geral e Conceitos (Marcos) Evento 2 - Diretivas de Grupo (Marcos) Evento 3 - DNS/DHCP no Windows Server (Dirk)

Curso de Frias TechNet

Evento 4 - Windows Server 2003 Resoluo Problemas / Planejando a instalao Servidores (Fabio Hara MVP ) Evento 5 - Segurana no Windows 2003 (Manzano) Evento 6 - Windows Server 2003 Instalando e Configurando o IIS 6.0 (Guilherme Carnevalle - MVP ) Evento 7 - Windows Server 2003 Gerenciando uma Rede Windows 2003 (vila) Evento 8 - Windows Server 2003 Migrao/Interoperabilidade do NT 4.0 e Windows 2003 (Airton Leal MVP ) Evento 9 - Encerramento & Teste

Requisitos Mnimos
Microsoft Windows Server 2003 Estrutura do Active Directory Conceitos de DNS

Agenda
Introduo Instalando e Gerenciando DNS Integrao com o Active Directory Caractersticas & Configuraes do DNS DNS Melhores Prticas

Agenda
Introduo Instalando e Gerenciando DNS Integrao com o Active Directory Caractersticas & Configuraes do DNS DNS Melhores Prticas

Introduo
O que DNS? DNS = Domain Name System, uma base de dados distribuda e hierrquica que contm mapeamento de nomes de domnio para vrios tipos de dados como, por exemplo, endereo IP Protocolo de Resoluo de Nomes para redes TCP/IP, permite a localizao de computadores e servios usandose nomes amigveis, alm de permitir consulta de outras informaes armazenada nessa base de dados Servidor de DNS trabalha no modo REQUEST/ RESPONSE

Introduo
Funcionamento Bsico
Forward Lookup Zone Reverse Lookup Zone

Quem NY-CERT-01?
TC P/I P

Quem 192.168.80.9?

NY-CERT-01 = 192.168.80.6

192.168.80.9 = NY-WXP-01

Introduo
Estrutura (Namespace)
Internet Root Contoso.local Top-level Domains Second Level Domains com us.Contoso.local org gov .

research.Contoso.local WideWorldImporters.com

Contoso.com

IRS.gov us.Contoso.com research.Contoso.com Sub-domains

Introduo
Consulta ao DNS Interno

NY-DNS-01.contoso.com
NY-DNS-01

contoso.com
A A A CNAME 192.168.80.1 192.168.80.5 192.168.80.6 NY-WEB-01.contoso.com

NY-WEB-01 NY-WXP-01

com so. nto .co 0.5 ww 8.8 :w .16 ery 192 Qu se: on

www

sp Re

NY-WEB-01.contoso.com

TC P

/IP

NY-WXP-01.contoso.com

Introduo
Consulta ao DNS Externo
toso.com ww.con w Query: 1 .169.80. m = 192 o ontoso.c ponse: c Res
w.co ntos Res o.co pons m e: 19 2.16 8.80 .5 Que ry

a.root-server.net
: ww

WideWorldImporters.com

com so. nto .5 . co .80 ww 68 :w 2.1 ery 19 Qu se: on

sp Re

NY-DNS-01.contoso.com
TCP/IP

NY-WEB-01.contoso.com

Introduo
Registrando o Service Locator Record NETLOGON.dns lista os SRV Records SRV Records so registrados na Inicializao
LDAP Kerberos Kerberos Password Global Catalog

LON-DC-01.WideWorldImporters.com

LON-DNS-01.WideWorldImporters.com

Introduo
Localizando Recursos no Active Directory Service Locator Record: RFC 2782 Propriedades do SRV Record
Service Protocol Site _ldap._tcp _kerberos._tcp _kpasswd._tcp _gc._tcp TTL 600 600 600 600 SRV SRV SRV SRV Priority 0 0 0 0 Weight 100 100 100 100 Port 389 88 464 3268 Host NY-DC-01.contoso.com. NY-DC-01.contoso.com. NY-DC-01.contoso.com. NY-DC-01.contoso.com.

Introduo
Localizando Recursos no Active Directory
NY-DC-01 & LON-DC-01 so Global Catalogs Query: Global Catalog Response: Ambos GCs TIL-DNS-01
Site Link Custo 50

A onde est a Impressora de Rede mais prxima?

Site Tilbury Pesquisa no GC por Impressora

Site Link Custo 25

NY-DC-01 Site New York

Site Link Cost 25

LON-DC-01 Site London

Introduo
O que DHCP?
DHCP = Dynamic Host Configuration Protocol, um servio Client/Server que mantm uma base de dados centralizada contendo endereos IP que sero utilizados em uma ou mais sub-redes do seu ambiente de rede. Benefcios
Estaes cliente obtm endereos IP do servidor Automatiza configuraes de TCP/IP Administradores no precisam configurar manualmente o endereo nas estaes Centraliza o gerenciamento de endereos IP Mudana nas propriedades do TCP/IP so cinfiguradas no servidor DHCP

Introduo
Escopo e Propriedades do Escopo (Scope) no DHCP Scope
Faixa (pool) de endereos IPs que clientes podem usar

Exclusion range
Remove endereos do pool endereos do escopo

Address lease duration

Tempo com o qual um cliente pode usar um endereo IP

Reservations
Assinala um endereo IP permanentemente a um cliente

Introduo
DHCP Confiabilidade e Disponibilidade
LON-DC-01
Scope 1 192.168.16.1 to 192.168.28.254 (80%) Scope 2 192.168.93.1 to 192.168.95.254 (20%) Servidor DHCP 192.168.16.2/20

NY-DC-01
Servidor DHCP

Leasing 192.168.16.3 p/ WRK-LON 192.168.16.1-001

Network Routers

Leasing 192.168.80.2/20 192.168.80.1 to 192.168.29.1 p/ 192.168.92.254 (80%) WRK 192.168.80.1 Wide Area -LON-003
Scope 2 192.168.29.1 to 192.168.31.254 (20%)

Scope 1

Hubs
WRK-LON-001 WRK precisa de -LON-003 precisa de endereo IP endereo IP

WRK- LONWRK-LON-001 WRK- LON- WRK-LON-003

Estaes
192.168.16.3 192.168.29.1

Introduo
DHCP Integrao com o DNS

Introduo
DHCP Novas Funcionalidades Windows 2000
Integrao com DNS Deteco de servidores DHCP no autorizados

Windows Server 2003

Backup e Restore da base de dados do DHCP a partir de interface grfica Integrao com o command shell NETSH Suporte a classes opcionais especificadas pelo usurio ou fabricante

Agenda
Introduo Instalando e Gerenciando DNS Integrao com o Active Directory Caractersticas & Configuraes do DNS DNS Melhores Prticas

Instalando & Gerenciando DNS

Configure Your Server Wizard Interface nica de Configurao Gerencia Papeis de Servidores Integrado com o Microsoft Help

Instalando & Gerenciando DNS

DNS Installation Wizard Simplifica a Configurao de Servidores conforme Papel Instala Somente Componente Requeridos Oferece uma Configurao Segura

Instalando & Gerenciando DNS

Console de Gerenciamento do DNS
Microsoft Management Console (MMC) Snap-in Organiza Hierarquias DNS Gerencia Mltiplos Servidores DNS

Instalando & Gerenciando DNS

Resource Records
Start of Authority (SOA) Name Server (NS) Host (A) Alias (CNAME) Mail Exchanger (MX) Pointer (PTR) Service Location (SRV)

Instalando & Gerenciando DNS

Outros Tipos de Resource Records
Mailbox Information (MINFO) Public Key (KEY) Well Known Services (WKS) AFS Database (AFSDB) Signature (SIG) Mailbox (MB) Route Through (RT) IPv6 Host (AAAA) Text (TXT) Next Domain (NXT) Host Information (HINFO) Integrated Services Digital Network (ISDN) Responsible Person (RP) Renamed Mailbox (MR) ATM Address (ATMA) Mail Group (MG) X.25 (X25) Option (OPT)

Demonstrao
Instalando e Gerenciando DNS
Instalando o Servidor de DNS Gerenciando DNS Resource Record

Agenda
Introduo Instalando e Gerenciando DNS Integrao com o Active Directory Caractersticas & Configuraes do DNS DNS Melhores Prticas

Integrao com o Active Directory

Zonas Primrias e Secundrias
Site London Servidor DNS Primrio Site Seattle Servidor DNS Secundrio

Servidor DNS Secundrio Site Tilbury

Servidor DNS Secundrio Site New York

Integrao com o Active Directory

Zonas Integradas com AD
Site London Servidor DNS Primrio Site Seattle Servidores DNS Primrio

Servidores DNS Primrio Site Tilbury

Servidores DNS Primrio Site New York

Integrao com o Active Directory

Estrutura de Zona Integrada com AD
NY-DNS-01 Forward Lookup Zones Contoso.com _msdcs _sites Contoso.com _tcp _udp DomainDnsZones ForestDnsZones Reverse Lookup Zones

Integrao com o Active Directory

Parties do Diretrio

DC=WideWorldImporters,DC=com

CN=Configuration,DC=WideWorldImporters,DC=com

CN=Schema,CD=ConfigurationDC=WideWorldImporters,DC=com

DC=DomainDnsZones,DC=WideWorldImporters,DC=com

DC=ForestDnsZones,DC=WideWorldImporters,DC=com

DC=Intranet,DC=WideWorldImporters,DC=com

Integrao com o Active Directory

Forward Lookup Zones
Armazena todos os Resource Records de uma Zona Traduz o FQDN num endereo IP Requerido pelo AD para localizar Servios

Integrao com o Active Directory

Reverse Lookup Zones
Armazena todos os registros PTR de uma Zona Resolve o endereo IP num FQDN Segurana de Aplicaes

Integrao com o Active Directory

Stub Zones
Zona Pai: contoso.com DNS01.contoso.com Stub Zone: research.contoso.com
SOA: NS: A: NS: A: research.contoso.com DNS01.research.contoso.com 192.168.80.25 DNS02.research.contoso.com 192.168.80.25

Zone Transfer

Zona Filho: research.contoso.com

SOA: NS: A: MX: SRV: SRV: NS: A: research.contoso.com DNS01.research.contoso.com 192.168.80.25 mail.research.contoso.com _ldap._tcp.research.contoso.com _kerberos._tcp.research.contoso.com DNS02.research.contoso.com 192.168.80.25

DNS01.research.contoso.com

Integrao com o Active Directory

Delegao de Autoridade
Divide o Namespace em Zonas Adicionais
Delega Gerenciamento do DNS Divide Zonas DNS para Distribuir Trfego Estender o Namespace
contoso.com Delegao & Registros de cola Adicionados research.contoso.com NS dns1.research.contoso.com dns1.research.contoso.com A NS 192.168.32.1

research

dns1.research.contso.com registros de SOA para a zona delegada.

eur

asia

us

Demonstrao
Integrao com Active Directory
Criao de um Subdomnio Delegado Segurana de Zonas DNS

Agenda
Introduo Instalando e Gerenciando DNS Integrao com o Active Directory Caractersticas & Configuraes do DNS DNS Melhores Prticas

Caractersticas & Configuraes do DNS

Atualizao Dinmica
Atualizao dinmica de Resource Records no Servidor DNS Definido pela RFC 2136

IP Lease Request

Servidor DHCP

Atualizao Dinmica DNS Pointer name e Pointer do Host (A)(PTR) name. (PTR) name.

IP Lease Reply
Atualizao Dinmica DNS do Host (A) = 192.168.80.22 Client01.contoso.com name.

Pre-Windows XP, Window 2000,20002003

Servidor DNS

Caractersticas & Configuraes do DNS

Transferncias de Zona
Aplicado apenas para Zonas DNS Standard Oferece Disponibilidade & Tolerncia a Falhas Transferncia Inicial completa (AXRF) Transferncia de Zonas de forma Incremental (IXRF)
Inicia o Processo de Zone Transfer Query SOA (Mesma Zona) Resposta da Query para SOA ( zone status) FYI: Nova Informao de DNS Disponvel. IXFR ou AXFR Query para Zona Servidor DNS Secundrio Resposta da IXRF ou AXRF Query (zone transfer) Servidor DNS Primrio

Caractersticas & Configuraes do DNS

Aging & Scavenging
Remove Resource Records estagnados Dynamic Updates nem sempre remove registros Questes Causadas por registros estagnados
Aumento no tamanho da Zona Respostas Imprecisas do DNS Degradao de Performance Conflito de Nomes

Caractersticas & Configuraes do DNS

Opes Avanadas Disable Recursion BIND Secondaries Fail on Load if Bad Zone Date Enable Round Robin Enable Netmask Ordering Secure Cache Against Pollution

Caractersticas & Configuraes do DNS

Resoluo de Nomes usando Root Hints
Servidor DNS Query: www.contoso.com Reply: com delegado para Servidor com
Rep Que ly: c ry: w onto cont ww. so.c oso. con om com toso .com dele gad Qu o pa ra S er ervid y: or ww Re ply w. co :1 nt 92 os .1 o. 68 co .8 m 0. 5

Zona .

Reply: 192.168.80.5 Query: www.contoso.com

Delegao

Zona com Delegao

Zona contoso.com Cliente Requisitante

Caractersticas & Configuraes do DNS

Resoluo de Nomes usando Forwarding
Servidor DNS Interno Servidor DNS na DMZ

Zona . Query: www.contoso.com

Zona com

Zona contoso.com Cliente Requisitante

Caractersticas & Configuraes do DNS

Logs Logs Avanados Alm do Event Log
Direction of Packets Contents of Packets Transport Protocol Type of Packet Filtering based on IP Address

Intensivo consumo de Recursos

Caractersticas & Configuraes do DNS

Ferramentas de DNS DNS Management Console Utilitrios de Linha de Comando
Nslookup DNScmd Ipconfig

Utilitrios para Monitoramento de Eventos Utilitrios para Monitoramento de Performance Windows Management Instrumentation (WMI) Platform Software Developer Kit (SDK)

Agenda
Introduo Instalando e Gerenciando DNS Integrao com o Active Directory Caractersticas & Configuraes do DNS DNS Melhores Prticas

DNS Melhores Prticas

Planejamento, Implantao & Configurao Use Alias Records (CNAME) de forma comedida Padronize Suas Prticas de DNS Replique Zonas com Active Directory Considere Zonas Secundrias Revise os Documentos de RFC
http://www.rfc-editor.org http://www.ietf.org/html.charters/dnsext-charter.html http://www.ietf.org/html.charters/dnsop-charter.html

Insira Informaes de Contato do Administrador da Zona

admin@contoso.com = admin.contoso.com

DNS Melhores Prticas

Guia de Referncia

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/119050c9-7c4d-4cbf8f38-97c45e4d01ef.mspx

DNS Melhores Prticas

Segurana da Infra-estrutura de DNS Use Forwarders para Zonas na Internet Filtre trfego DNS no Firewall Restrinja trfego DNS por endereo IP Use Recurso onde aplicvel Proteja o Cache contra poluio de Nomes Configure DNS Interno com Internal Root Hints

DNS Melhores Prticas

Segurana da Infra-estrutura de DNS Use Zonas Integradas com Active Directory Proteja o Servio de DNS atravs de ACLs Edite as Permisses do Arquivo para Zonas Padres
<systemroot>\System32\DNS

Proteja Chaves de Registry do DNS

HKLM\System\CurrentControlSet\Services\DNS

Resumo
Instalao do DNS usando Wizards Uso do Console de Gerenciamento do DNS Integrao de Zonas DNS no Active Directory Configurao de Forwarding Dynamic Updates Aging e Scavenging Melhores Prticas DNS Gerenciamento Melhores Prcticas DNS Segurana

Seu potencial. Nossa inspirao.