DNS, que é responsável pela resolução de nomes de domínio para endereços IP, não é apenas o sistema de resolução de nomes que sustenta a Internet global, ele também é um componente crítico no Windows Active Directory (AD) para localizar recursos de rede. Mas, apesar da natureza onipresente do DNS na rede do Windows na última década como um substituto para o WINS proprietário da Microsoft, o DNS é um sistema hierárquico complexo que muitos administradores juniores acham difícil de entender.
neste artigo, vamos olhar além de uma estrutura de anúncio de floresta única/domínio único, onde a configuração DNS é relativamente simples e investigar como o DNS funciona em um design de anúncio mais complexo. Ao longo do caminho, apresentaremos alguns dos novos conceitos de DNS no Windows Server 2008 R2.
Active Directory E DNS Integration
para nos ajudar a entender como o DNS se integra ao AD, vamos configurar uma estrutura de anúncios que é comumente implantada em organizações de médio e grande porte. Criaremos uma única floresta com dois domínios, como mostra a Figura 1. O primeiro domínio será o que é muitas vezes referido como uma raiz vazia, ou apenas raiz, domínio. Um domínio raiz vazio fica no topo da hierarquia de anúncios e, como o próprio nome sugere, não contém nenhum recurso. Esse tipo de domínio oferece às organizações mais flexibilidade e melhor separação de funções de segurança do que uma única floresta/domínio único. O segundo domínio ficará abaixo de nossa raiz vazia e, portanto, é um domínio filho; funcionará como o domínio principal de nossa organização, onde os recursos (por exemplo, grupos, contas de usuário e computador) estão localizados.
Figura 1: floresta Única com dois domínios
começamos por executar o Dcpromo no primeiro servidor para criar a floresta e domínio raiz vazio. Faça logon no servidor 2008 R2 como administrador. Certifique-se de ter dado ao servidor um nome apropriado, como DC1, e defina um endereço IP, máscara de sub-rede e gateway padrão no NIC do servidor. Você pode deixar as configurações de DNS da NIC vazias e deixar o Windows adicionar um endereço local.
execute o Dcpromo no menu Iniciar e crie uma nova floresta e domínio chamado ADcompany.com. observe que anexei o anúncio como um prefixo ao nome da empresa para manter os namespaces DNS internos e externos separados. A ADCOMPANY se tornará o nome NETBIOS para o domínio. Mesmo que o domínio seja destinado apenas para uso interno, é importante registrar o ADcompany.com domínio na Internet para garantir que os clientes não possam ser redirecionados acidentalmente para um dispositivo fora do controle da organização. Também é comum usar o AD.company.com hierarquia de namespace, onde AD se torna o nome NETBIOS para o domínio. Nesse caso, assumindo company.com já está registrado pela empresa na Internet, nenhuma ação adicional é necessária.
na tela Opções adicionais do controlador de domínio, verifique se a opção servidor DNS está selecionada. Depois de clicar em Avançar e o Dcpromo começar a validar as opções selecionadas, você receberá um aviso informando que uma delegação não pode ser criada porque a zona pai autorizada não pode ser encontrada. Em outras palavras, o Dcpromo não consegue encontrar um servidor DNS autoritário( ou seja, um servidor que contém uma cópia primária ou secundária de dados de zona para o domínio .com), onde pode criar uma zona de Delegação para o ADcompany.com domínio.
uma zona DNS contém todos os registros de recursos para uma parte do namespace, como ADCOMPANY ou com. Como esse é o nosso domínio de anúncio raiz interno, um registro de delegação na zona COM pública não é necessário e você pode ignorar esse aviso com segurança. Entenderemos mais claramente o que significa delegação quando criarmos nosso domínio filho.
testando com Dcdiag
depois que o Dcpromo terminar, reinicie o servidor conforme solicitado. Para garantir que tudo esteja funcionando conforme o esperado com nosso novo domínio, abra um prompt de comando e execute o Dcdiag. Será realizada uma série de testes que devem passar com sucesso se o DNS e outros componentes críticos do AD estiverem configurados corretamente.
Antes de executar o Dcdiag, convém limpar os logs de eventos de replicação do sistema e do DFS para evitar que a ferramenta relate várias falhas devido a avisos de erro registrados durante o processo de configuração do domínio. Por exemplo, os erros de replicação DFS são normalmente mostrados quando o Dcdiag é executado pela primeira vez em um novo controlador de domínio (DC)—no entanto, eles não indicam necessariamente um problema com DNS, que geralmente é a fonte de falhas de replicação. Depois que os logs de eventos forem limpos, execute
dcdiag /test:dfsrevent
este comando deve passar no teste com sucesso.
até Configurar uma fonte de tempo apropriada, você obterá erros W32tm (Windows Time service) nos testes Dcdiag para o DC do domínio raiz. Para obter informações sobre como configurar o serviço de tempo do Windows, consulte o Artigo da Microsoft “como configurar um servidor de tempo autorizado no Windows Server”.
dicas de raiz
agora que o AD DNS está em funcionamento, se o DC tiver uma conexão com a Internet, o servidor DNS instalado deve nos permitir resolver nomes de domínio da Internet, embora não tenhamos configurado nenhum remetente ou adicionado um endereço IP para o servidor DNS de um ISP nas Configurações NIC do DC. O servidor DNS inclui dicas raiz que apontam para os servidores DNS de nível superior na Internet para que ele possa resolver consultas para nomes para os quais não é autoritário e que ainda não tem em seu cache.
para ver as dicas de raiz que são carregadas a partir do cache.arquivo dns, abra DNS a partir de Ferramentas Administrativas no menu Iniciar. No console DNS, clique com o botão direito do mouse no servidor DNS no painel esquerdo e selecione Propriedades no menu. Na caixa de diálogo Propriedades do servidor, selecione a guia dicas de raiz, como mostra a Figura 2.
Figura 2: Visualização de dicas de raiz
Você também pode encontrar situações, tais como a exigência de usar um serviço como o OpenDNS para filtragem de conteúdo web, no qual você configurar um encaminhador de resolução de nomes da Internet em vez de depender de sugestões de raiz. Ao projetar sua infraestrutura DNS, lembre-se de que, se os encaminhadores estiverem configurados em um servidor DNS, eles serão usados para resolução de nome antes das dicas de raiz.
consultas iterativas e recursivas
as solicitações feitas pelo servidor DNS para resolver nomes usando dicas raiz são iterativas, o que significa que uma melhor resposta será aceita—o que pode ser uma referência a um servidor de nomes abaixo da hierarquia que pode resolver a consulta definitivamente. Isso contrasta com o cliente DNS do Windows, que envia consultas recursivas para um servidor DNS, exigindo uma resposta definitiva ou um erro informando que o recurso não existe. As consultas recursivas são normalmente enviadas por clientes DNS ou remetentes.
Configurar um Domínio Filho
Agora que interno e resolução de nomes de Internet foram testados e estão funcionando em nosso domínio raiz, é hora de adicionar um domínio filho, chamado HR (HR.ADcompany.com), onde todos os nossos recursos será localizado. Faça logon na Segunda Máquina Server 2008 R2 como administrador local e verifique se ela tem um nome apropriado, como DC2. Atribua um endereço IP e uma máscara de sub-rede e, em seguida, defina o servidor DNS primário para a NIC do servidor com o endereço IP do seu DC no domínio raiz. Quando executamos o Dcpromo, a ferramenta precisa localizar o domínio DNS raiz e o DC, portanto, um servidor DNS que possa responder a essas consultas deve ser configurado.
Antes de iniciar, podemos executar
dcdiag /test:dcpromo /dnsdomain:HR.ADcompany.com /ChildDomain
para garantir que tudo esteja configurado corretamente para Dcpromo para promover este servidor para um DC para o domínio especificado usando o switch /dnsdomain.
Figura 3: Criação de um novo domínio em uma floresta existente
Agora executar o Dcpromo a partir do menu Iniciar, desta vez optando por criar um novo domínio em uma floresta existente. Na tela credenciais de rede, insira o domínio da floresta (ADcompany.com) e uma conta que é membro do grupo Administradores Corporativos no domínio raiz, como mostra a Figura 3. Na caixa de diálogo Nome do novo domínio, insira o nome de domínio totalmente qualificado (FQDN) para o domínio raiz (ADcompany.com) e nome de rótulo único para o novo domínio filho (HR), como mostra a Figura 4. Na caixa de diálogo Opções adicionais do controlador de domínio, selecione Servidor DNS. Para o resto do assistente, aceite as configurações padrão.
Figura 4: Nomeando o novo domínio
reinicie o servidor quando solicitado e execute Dcdiag no HR DC para garantir que tudo esteja funcionando conforme o esperado, seguindo meus conselhos anteriores para executar Dcdiag. Abra um prompt de comando e execute
ipconfig /all
observe que o DNS primário NIC do servidor está definido para o endereço do servidor local e o endereço IP do servidor DNS do domínio raiz é deslocado para atuar como um servidor DNS secundário.
delegação e encaminhamento
ainda trabalhando no prompt de comando, certifique-se de que você pode fazer ping no DC no domínio raiz, usando o nome de rótulo único do DC (DC1) ou FQDN (DC1.ADcompany.com). você também deve ser capaz de fazer ping em um nome de domínio da Internet a partir do DC do domínio filho, supondo que ele tenha conectividade com a Internet. A partir do DC do domínio raiz, certifique-se de que você pode fazer ping no DC no domínio filho. O servidor DNS no domínio filho refere-se a consultas para recursos em ADcompany.com para um encaminhador, que é configurado automaticamente quando o Dcpromo é executado. Para ver essa configuração, abra o console do servidor DNS no DC do domínio filho a partir de Ferramentas Administrativas no menu Iniciar. No console DNS, clique com o botão direito do mouse no servidor no painel esquerdo e selecione Propriedades no menu. Na caixa de diálogo Propriedades, selecione a guia encaminhadores; você verá que o servidor está configurado para enviar todas as consultas que ele não pode resolver para o servidor DNS do domínio raiz. As consultas internas e da Internet são encaminhadas; isso é diferente de um encaminhador condicional, que é configurado para encaminhar consultas que não podem ser resolvidas localmente apenas para um namespace específico.
por outro lado, no servidor DNS do domínio raiz, você encontrará um registro de delegação (às vezes chamado de zona de Delegação) para o domínio de RH. Novamente, esse registro foi configurado como parte do processo Dcpromo para o DC do domínio filho e permite que o DC do domínio raiz localize recursos no domínio filho. Abra o console DNS no DC do domínio raiz; no painel esquerdo, expanda o servidor DNS, encaminhe zonas de pesquisa, ADCompany.com. clique na zona de delegação de RH na parte inferior da árvore. No painel direito, você verá um registro host (a) para o servidor DNS do domínio filho. Delegação e encaminhamento são os mecanismos padrão no Windows Server para habilitar a resolução para cima e para baixo uma ramificação de um namespace DNS contíguo, como mostra a Figura 5.
Figura 5: Delegação e encaminhamento
Devolução de DNS
devolução de DNS é uma funcionalidade do cliente de DNS do Windows. Não é novo no Server 2008 R2 ou Windows 7, mas inclui algumas alterações para melhorar a segurança. A partir do DC do domínio filho, podemos fazer ping de recursos no domínio raiz sem especificar o FQDN (ou seja ,, nós podemos ping DC1 sem ter que entrar DC1.ADcompany.com). o mesmo é verdadeiro a partir do DC do domínio raiz; podemos fazer ping no DC2 com sucesso sem o FQDN.
por padrão, a devolução tenta resolver um nome de rótulo único anexando domínios do sufixo DNS primário do cliente (PDS). Para que um computador que pertence ao AD.contoso.com domínio irá primeiro tentar resolver um nome de computador, como DC1.AD.contoso.com e, em seguida, DC1.contoso.com. Ele não vai tentar resolver DC1.com porque por padrão, o nível de devolução é de 2, que é a configuração padrão no Windows antes Server 2008 R2 e Windows 7. Em algumas situações, um nível padrão de 2 pode criar uma preocupação de segurança se os clientes DNS tentarem resolver FQDNs que estão fora do controle da organização. Por exemplo, considere o seguinte conjunto de consultas quando o nível de devolução for definido como 2: DC1.HR.company.co.us, DC1.company.co.us, DC1.co.us. a consulta final, DC1.co.us, está fora do controle da organização e pode resultar em um cliente acidentalmente se conectando a uma máquina maliciosa na Internet.
no Server 2008 R2 e Windows 7, o comportamento padrão é definir o nível de Devolução para o número de rótulos no domínio raiz da Floresta (FRD) se o PDS terminar com o FRD. Nosso PDS é HR.ADcompany.com e nosso FRD é ADcompany.com—então, de acordo com o comportamento padrão no Server 2008 R2 e Windows 7, a devolução é ativada e o nível é definido como 2 para nossos clientes DNS. A Microsoft emitiu uma atualização para alterar o comportamento de devolução de DNS no Windows Vista, Windows XP e Windows 2000. Para obter mais informações sobre a atualização, consulte o Artigo da Microsoft “comportamento pós-instalação em computadores clientes depois de instalar a atualização DNS”.
Lista de Pesquisa de Sufixo DNS
Se somarmos um terceiro domínio da nossa floresta, finance.ADcompany.com a devolução de DNS pode não ser suficiente para resolver nomes de rótulo único de recursos em HR.ADcompany.com a partir de clientes de FINANÇAS de domínio. A resolução de nome de rótulo único funciona a partir do domínio financeiro se você tentar fazer ping nos recursos do domínio de RH quando todos os dispositivos estiverem localizados na mesma sub-rede física. Isso ocorre porque o Windows transmitirá para o endereço IP se não conseguir resolver com êxito o nome do cache local da máquina ou do servidor DNS configurado.
se você usar Nslookup para testar a resolução DNS, verá que sem uma lista de pesquisa de sufixo DNS, você deve inserir o FQDN do recurso localizado no domínio HR, porque como uma ferramenta para testar a resolução de nome DNS, Nslookup usa DNS exclusivamente. Para testar o DNS com Nslookup, abra um prompt de comando no Menu Iniciar, digite
nslookup
e pressione Enter. No novo prompt, digite o nome FQDN ou single-label que você deseja resolver e pressione Enter. Nslookup retornará o endereço IP ou relatará uma falha de pesquisa.
Se a resolução de nomes de rótulo único em todos os ANÚNCIO de domínios é importante para o seu ambiente, você pode configurar a lista de pesquisa de sufixo DNS em todos os dispositivos com uma lista de sufixos DNS primários que pretende resolver (no nosso caso, finance.ADcompany.com, HR.ADcompany.com e ADcompany.com). Se uma lista de pesquisa de sufixo DNS é configurado para um cliente de DNS, o DNS de devolução é automaticamente desativado. Uma lista de pesquisa pode ser configurada manualmente (selecione Alterar configurações do adaptador no centro de rede e compartilhamento do Windows 7) para cada NIC na guia DNS na caixa de diálogo Configurações Avançadas de TCP/IP para as propriedades IPv6 e IPv4. Alternativamente, uma lista de pesquisa pode ser configurada usando uma lista delimitada por vírgulas na configuração lista de pesquisa de sufixo DNS em Configuração de Computador, Políticas, Modelos Administrativos, Rede, cliente DNS na Política de grupo (para Windows Server 2003 e XP ou posterior).
da mesma forma, se adicionarmos uma nova zona DNS, secure. HR. ADcompany.com, no servidor DNS de RH para criar uma zona separada para registros importantes de recursos do servidor que devem ser protegidos com extensões de segurança DNS (DNSSEC), precisamos implantar uma lista de pesquisa de sufixo DNS para que os clientes DNS possam localizar recursos na nova zona por nome de rótulo único. Uma nova zona DNS é necessária neste caso, porque o DNSSEC não suporta atualizações dinâmicas—a capacidade dos registros do host do cliente de atualizar automaticamente em um servidor DNS-que é a configuração padrão e desejada para zonas DNS onde os registros do host são armazenados para computadores clientes. Em circunstâncias normais, os endereços IP dos computadores do servidor não mudam, portanto as zonas seguras podem ser administradas manualmente.
Reencaminhamento Condicional
podemos ajudar o nosso filho de dois domínios, finance.ADcompany.com e HR.ADcompany.com, resolver cruz-domínio de consultas de forma mais eficiente, sem a necessidade de enviar uma consulta recursiva para o servidor DNS raiz da floresta, configurando um encaminhador condicional servidores de DNS, em ambos os domínios filho. Os remetentes condicionais têm prioridade sobre os encaminhadores no nível do servidor e são mais eficientes na medida em que podemos definir consultas para sufixos de domínio específicos a serem enviados para um servidor DNS predefinido, como mostra a Figura 6.
Figura 6: encaminhamento Condicional
O servidor de DNS no HR.ADcompany.com irá conter um encaminhador que envia todas as consultas para finance.ADcompany.com para o servidor DNS primário para o FINANCIAMENTO de domínio, e vice-versa. Para configurar um encaminhador condicional, abra o console DNS no DC no domínio HR a partir de Ferramentas Administrativas no menu Iniciar. No painel esquerdo do console DNS, expanda o servidor DNS, clique com o botão direito em encaminhadores condicionais e selecione Novo encaminhador condicional no menu. Na caixa de diálogo Novo encaminhador condicional, digite finance.adcompany.com na caixa domínio DNS. Em endereços IP dos servidores mestre, insira o endereço IP ou o nome do servidor DNS no domínio financeiro, como mostra a Figura 7, e pressione Enter. Clique em OK para concluir o procedimento. Repita o processo no servidor DNS no domínio finanças, mas digite HR.ADcompany.com na caixa domínio DNS e no endereço IP do servidor DNS no domínio HR.
Figura 7: Criação de um novo encaminhador condicional
DNS Complexidades
É impossível cobrir todas as bases em um artigo, por exemplo, há dois outros tipos de zona, secundário e as zonas de stub, que você pode usar para melhorar o desempenho no complexo de DNS implantações, bem como novas Server 2008 R2 recursos, tais como o DNSSEC. Mas ter um entendimento básico de como o DNS e o AD funcionam juntos como uma solução integrada ajudará você a projetar novas implantações de anúncios e solucionar quaisquer problemas que ocorram. Mais importante ainda, ao testar uma infraestrutura De anúncios nova ou existente, certifique-se de que, para cada domínio, você possa fazer ping de recursos em todos os outros domínios confiáveis. Além disso, implemente delegação e encaminhamento condicional para habilitar a resolução entre namespaces. Esses princípios básicos ajudarão você a usar o DNS de forma mais eficaz em ambientes de anúncios complexos.