Infra - Redes

Tutorial de TCP/IP – Parte 30 – Configurações do Servidor DNS

Nesta parte do tutorial, você aprenderá sobre as configurações do servidor DNS.

por Júlio Cesar Fabris Battisti



Introdução

Prezados leitores, esta é a décima parte, desta segunda etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o módulo que eu classifiquei como Introdução ao TCP/IP. O objetivo do primeiro módulo (Parte 01 a 20) foi apresentar o TCP/IP, mostrar como é o funcionamento dos serviços básicos, tais como endereçamento IP e Roteamento e fazer uma apresentação dos serviços relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conexão Internet e NAT. Nesta segunda parte da série, que irá da parte 20 até a parte 40 ou 50 (ou quem sabe até 60), apresentarei as ações práticas, relacionadas com os serviços DNS, DHCP e WINS no Windows 2000 Server.

Nesta parte desta segunda série de tutoriais, darei continuidade a parte prática de Administração do DNS, no Windows 2000 Server. Nesta parte do tutorial, você aprenderá sobre as configurações do servidor DNS. Nas partes 28 e 20 você aprendeu sobre as configurações das propriedades de um zona de um servidor DNS. Em um mesmo servidor, pode haver uma ou mais zonas. Cada zona pode ser configurada individualmente. Porém existem opções que são globais ao servidor DNS e não relacionadas com as zonas do servidor. São estas configurações que você irá aprender nesta parte do tutorial, ou seja, as configurações globais de um servidor DNS do Windows 2000 Server.

Configurando as propriedades do servidor DNS:

Para acessar e configurar as propriedades do servidor DNS, siga os passos indicados a seguir:

1. Faça o logon como administrador ou com uma conta com permissão de administrador.

2. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS.

3. Será exibido o console DNS. Clique com o botão direito do mouse no nome do servidor DNS a ser configurado (lembrando que você pode utilizar o console DNS para se conectar e administrar vários servidores DNS da sua rede, centralizadamente a partir de um único console).

4. No menu de opções que é exibido clique em Propriedades.

5. Será exibida a janela de propriedades do servidor DNS, com a guia Interfaces já selecionada, conforme indicado na Figura a seguir:

Figura - A guia Interfaces.

Um servidor com o Windows 2000 Server instalado pode ter mais de uma placa de rede instalada e pode também ter mais de um endereço IP configurado em uma mesma placa de rede. Cada endereço IP representa uma interface. Você pode configurar o DNS para responder à consultas enviadas por todas as interfaces (que é a opção padrão) ou apenas à conultas enviadas através das interfaces que você configurar nesta guia.

6. Para que o DNS responda à consultas enviadas por qualquer interface, certifique-se de que a opção Em todos os endereços IP esteja selecionada. Para fazer com que o DNS responda apenas à determinadas interfaces, marque a opção Apenas nos seguintes endereços IP e informe os endereços IP. Para adicionar um novo endereço IP digite o endereço e clique no botão Adicionar. Para remover um endereço IP da lista basta selecioná-lo e clicar no botão Remover.

7. Clique na guia Encaminhadores. Será exibida a janela indicada na Figura a seguir:

Figura - A guia Encaminhadores.

Aqui é preciso um pouco mais de detalhes sobre o conceito de Forward em um servidor DNS. Então vamos à teoria do uso de Forwarders (ou se preferirem: Encaminhadores).

Os servidores DNS podem ser configurados para enviar todas as consultas recursivas a uma lista selecionada de servidores, conhecidos como Forwarders (encaminhadores). Os servidores usados na lista de encaminhadores fornecem pesquisa recursiva para todas as consultas que um servidor DNS recebe e que não pode responder com base em suas zonas locais. Durante o processo de encaminhamento, um servidor DNS configurado para usar encaminhadores (um ou mais servidores, com base na lista de encaminhadores) se comporta essencialmente como um cliente DNS para seus encaminhadores.

Benefícios de usar encaminhadores:

Os encaminhadores são indicados quando o acesso a servidores DNS remotos é feito através de links de WAN de baixa velocidade, como uma rede local com um barramente de alta velocidade (10 MBps ou, mais comum hoje em dia, 100 MBps) à Internet por intermédio de uma conexão de velocidade relativamente baixa. O uso de encaminhadores ajuda a reduzir o tráfego de WAN relacionado a resolução de nomes DNS, das seguintes maneiras:

  • Reduz o número de consultas gerais enviadas através do link de WAN: Por exemplo, se seu servidor DNS tem uma conexão dial-up de custo elevado e lenta, com um provedor de serviços da Internet (ISP, Internet service provider). Quando o servidor DNS usado como um encaminhador da sua rede interna recebe uma consulta para um nome remoto na Internet, ele pode entrar em contato direto com servidores remotos na Internet. Ele pode repetir consultas adicionais até determinar o servidor autorizado para o nome que está sendo consultado. Após encontrar o servidor autorizado, o encaminhador entra em contato com ele e recebe uma resposta completa.

Outra opção que pode reduzir o tráfego é usar um servidor DNS na Internet como um encaminhador. Antes de decidir sobre essa configuração, obtenha permissão para usar um servidor DNS da Internet como seu encaminhador designado, como um servidor gerenciado pelo seu ISP. Nessa configuração, todas as consultas são enviadas ao servidor DNS configurado na lista de Forwareders e ele só retorna a resposta de volta para o cliente. Observe que todo o tráfego de resolução fica entre o servidor configurado como Forward do servidor DNS interno e a Internet. Entre o servidor DNS interno e o servidor DNS configurado como Forward, é transmitida somente a consulta (do servidor interno para o Forward) e a resposta à consulta (do servidor Forward para o servidor DNS interno). Cada consulta representa um único percurso de ida e volta através do link de WAN, deixando todo o tráfego de resolução entre o Forward e a Internet.

  • Compartilhar resultados remotos na sua rede local: Os encaminhadores fornecem um modo de compartilhar informações sobre nomes remotos com um grupo de servidores DNS localizados na mesma rede. Por exemplo, pressuponha que sua organização tem diversos servidores DNS em uma rede local. Em vez de fazer com que cada servidor envie consultas através de uma firewall e para a Internet, todos os servidores DNS são configurados para encaminhar consultas para um único servidor DNS (localizado na firewall) o qual, por sua vez, faz as consultas necessárias em servidores DNS remotos. No processo, o encaminhador criar um cache de nomes DNS da Internet a partir das respostas recebidas dos servidores DNS remotos. Ao longo do tempo, como os servidores DNS locais continuam a encaminhar consultas para ele, o encaminhador responde a mais consultas a partir de seu cache porque ele começa a ter um número crescente de respostas com base nas consultas anteriores para os mesmos nomes ou nomes similares. Mais uma vez a idéia é isolar o tráfego de resolução entre um único servidor DNS (configurado como Forward) e à Internet.

Mais de um encaminhador pode ser listado. Cada servidor na lista é tentado somente uma vez e todas as tentativas de repetição adicionais para o mesmo servidor só podem ocorrer repetindo seu endereço IP na lista.

Se um servidor DNS não estiver configurado para usar encaminhadores, ele usará o processo de consulta iterativa normal para responder às consultas recursivas para nomes remotos.

Usar os encaminhadores exclusivamente (sem recursão):

Quando um servidor DNS é configurado para usar encaminhadores, eles são usados antes de qualquer outro meio de resolução de nomes ser tentado. Se a lista de encaminhadores falhar ao fornecer uma resposta positiva, um servidor DNS poderá tentar resolver a consulta por si próprio usando consultas iterativas e recursão padrão.

Um servidor também pode ser configurado para não executar recursão depois que os encaminhadores falharem. Nessa configuração, o servidor não tentará nenhuma consulta recursiva adicional por si próprio para resolver o nome. Em vez disso, a consulta irá falhar se não obtiver uma resposta de consulta bem sucedida a partir de qualquer um dos encaminhadores.

Isso obrigará o servidor DNS a usar, exclusivamente os servidores configurados como encaminhadores, sem utilizar a técnica de recursão. Nesse modo de operação, um servidor configurado para usar encaminhadores poderá ainda verificar primeiro nas suas zonas configuradas localmente, para tentar resolver um nome consultado. Se ele localizar um registro correspondente nos seus dados locais (nas zonas do servidor DNS), ele poderá responder à consulta com base nessas informações.

Para tornar um servidor DNS um encaminhador exclusivo, basta marcar a opção Não usar recursão para este domínio.

Nota: Ao usar encaminhadores, as consultas são enviadas para cada encaminhador da lista, ao qual é atribuído um valor de tempo limite em segundos, dentro do qual ele deve responder antes que o próximo encaminhador seja tentado. Por padrão este tempo é de 5 segundos e é configurado no campo Tempo limite do encaminhamento da guia Encaminhadores.

Importante: Um servidor DNS não pode encaminhar consultas para nomes que façam partes de domínios para os quais o servidor é autoridade do domínio, ou seja, para zonas que estão configuradas no próprio servidor. Por exemplo, um servidor que é a autoridade para a zona abc.com.br, não poderá encaminhar para outros servidores, consultas para nomes do domínio abc.com.br. Por exemplo, chega uma consulta para o nome srv01.abc.com.br. O servidor DNS que é autoridade para o domínio abc.com.br, não poderá encaminhar esta consulta para outros servidores DNS.

Agora vamos voltar a guia Forwarders e ver como fazer as configurações práticas.

8 Para usar encaminhadores basta informar o número IP do servidor DNS a ser utilizado como encaminhador e clicar no botão Adicionar. Para remover um encaminhador da lista, clique no encaminhador a ser excluído, para selecioná-lo e clique no botão Remover. Você pode alterar a ordem dos encamihadores, usando os botões Para cima e Para baixo.

9. Defina as configurações desejadas e dê um clique na guia Avançado. Nesta guia você tem uma série de configurações que afetam a maneira como o DNS trabalha e resolve as consultas (além de ser um excelente assunto para questões dos exames de certificação da Microsoft). Serão exibidas as opções de configurações avançadas, conforme indicado na Figura a seguir:

Figura - Configurações avançadas do servidor DNS.

Na lista Opções de servidor, você tem as seguintes opções disponíveis:

  • Desativar recursão: Esta opção determina se o servidor DNS usa ou não a recursão. Por padrão, os servidores DNS do Windows 2000 e do Windows Server 2003 são ativados para usar recursão. Você pode marcar esta opção se for necessário desativar o método de recursão para para a resolução de nomes.

  • Vincular secundários: Esta opção define se será usado o formato de transferência rápido na transferência de uma zona para servidores DNS que executam implementações Berkeley Internet Name Domain (BIND) legadas, isto é, com versões mais antigas do BIND. Por padrão, todos os servidores DNS baseados em Windows usam um formato de transferência de zona rápida, que usa compactação e pode incluir vários registros por mensagem do TCP (Transmission Control Protocol) durante uma mesma conexão. Esse formato também é compatível com os servidores DNS baseados em BIND que executam versões 4.9.4 e posterior. Caso você ainda utilize algum servidor DNS com versão mais antiga do BIND e que precise receber atualizações, você deve habilitar esta opção.

A seguir apresento uma descrição das diferentes versões do DNS e das principais características de cada uma:

· Servidor DNS do Windows 2000: Fornece funcionalidade de integração com o WINS (descrita mais adiante, atualizações seguras (para zonas integradas ao Active Directory, conforme descrito mais adiante) e integração do Active Directory.

· BIND 8.2.1: Nesta versão foi incluída a funcionalidade de transferência incremental de zonas, ou seja, apenas o que foi alterado é transmitido da zona primária para as zonas secundárias e não todo o conteúdo da zona. Esta transferência é controlada por um registro do tipo IXFR. Não esqueça deste detalhe para o exame, pois essa é uma nova funcionalidade do DNS, presente no DNS do Windows 2000 Server.

· BIND 8.1.1: Nesta versão é que foi introduzido o suporte a atualizações dinâmicas do DNS. Lembre também deste fato para o exame 70-216.

· BIND 4.9.7: Nesta versão é que foi introduzido o suporte aos registros do tipo SRV.

  • Falhar no carregamento se forem dados de zona danificada (mais uma tradução cinco estrelas): Por padrão, os servidores DNS do Windows 2000 e do Windows Server 2003, registram os erros nos dados, ignoram todos os dados defeituosos em arquivos de uma zona DNS e continuam a carregar a zona. Você pode marcar esta opção para que o Servidor DNS registre os erros e falhas ao carregar um arquivo de zona e que não continue a carregar a zona que contém erros.

  • Ativar rodízio: Determina se o servidor DNS usará round robin (rodízio) para alternar e reordenar uma lista de vários registros de recursos de host (A) se um nome de host consultado for para um computador configurado com vários endereços IP. Por padrão, os servidores DNS do Windows 2000 usam round robin. A seguir apresento mais detalhes sobre o recurso de round robin (prefiro este termo, que é bem mais conhecido em se tratando de DNS, do que rodízio).

Configurar round robin:

Round robin é um mecanismo de equilíbrio local de carga, usado pelos servidores DNS para compartilhar e distribuir cargas entre dois ou mais servidores da rede. Por exemplo, pode ser utilizado para distribuir os acessos a um site de elevado volume de acessos entre dois ou mais servidores que contenham exatamente o mesmo conteúdo. Em resumo, a um único nome DNS são associados dois ou mais endereços IP. A medida que as requisições vão chegando, o DNS responde cada consulta com um dos endereços IP e depois faz uma reordenação da lista de endereços, para que no próximo acesso, um endereço IP diferente seja o primeiro da lista. Isso proporciona uma distribuição igualitária de carga entre os diversos servidores.

Para que o round robin funcione, vários registros de recursos A para o mesmo nome devem ter sido criados na zona.

Exemplo: Rotação round-robin

Uma consulta do tipo pesquisa direta (para todos os registros do tipo A que correspondem a um único nome de domínio DNS) é feita em um computador com diversas bases que tem três endereços IP diferentes, associados ao nome. Registros do tipo A separados são usados para mapear o nome de host para cada um desses endereços IP na zona. Na zona os registros são exibidos em uma ordem fixa, conforme exemplo a seguir:

srv01 IN A 10.10.10.1

srv01 IN A 10.10.10.2

srv01 IN A 10.10.10.3

O primeiro cliente DNS que consulta o servidor para resolver seu nome de host (srv01) recebe a lista na ordem padrão. Quando um segundo cliente envia uma consulta subseqüente para resolver esse nome, a lista é girada de acordo com o seguinte:

srv01 IN A 10.10.10.2

srv01 IN A 10.10.10.3

srv01 IN A 10.10.10.1

e assim sucessivamente para os próximos clientes.

  • Ativar classificação de máscaras de rede: Determina se o servidor DNS reordenará uma lista de vários registros de recursos A com base na prioridade da sub-rede local se um nome de host consultado for um computador com diversos registros no DNS. Por padrão, os servidores DNS do Windows 2000 e do Windows Server 2003 usam prioridade de sub-rede local. Este item merece um pouco mais de detalhes.

Atribuir prioridades a sub-redes locais

Por padrão, o serviço DNS usa a atribuição de prioridades a sub-redes locais como o método para dar preferência a endereços IP na mesma rede, quando uma consulta de cliente é resolvida para um nome de host que está mapeado para mais de um endereço IP. Ou seja, se o cliente enviou uma consulta para um nome e existem, por exemplo, dois endereços IP associados com o nome. O servidor DNS dará preferência ao endereço IP que for da mesma rede do cliente que enviou a consulta (caso um dos endereços IP seja da mesma rede).Esse recurso permite que o aplicativo do cliente se conecte ao host que esteja usando seu endereço IP mais próximo (e normalmente o mais rápido) disponível para a conexão.

O serviço DNS usa a prioridade à sub-rede local da seguinte maneira:

I. O serviço DNS determina se a atribuição de prioridade à sub-rede local é necessária para ordenar a resposta à consulta. Se mais de um registro de recurso do tipo A corresponder ao nome de host consultado, o serviço DNS pode reordenar os registros de acordo com sua localização na sub-rede. Se o nome de host consultado corresponder apenas a um registro de recurso A único ou se o endereço de rede IP do cliente não corresponder a um endereço de rede IP de nenhum dos endereços mapeados em uma lista de resposta de vários registros, nenhuma atribuição de prioridade será necessária.

II. Para cada registro que faz parte da lista de respostas a serem enviadas para o cliente, o serviço DNS determina quais registros (se houver) correspondem à localização da sub-rede do cliente solicitante.

III O serviço DNS reordena a lista de resposta para que um registro do tipo A, que corresponda à sub-rede local do cliente solicitante seja posicionado em primeiro lugar na lista de resposta.

IV. Com atribuição de prioridade ordenada de acordo com a sub-rede, a lista de resposta é retornada ao cliente solicitante.

O resultado prático desta priorização é que se um dos endereços retornados fizer parte da mesma rede do cliente, este endereço será utilizado, preferencialmente (será o primeiro da lista).

Observação: A prioridade da sub-rede local substitui o uso da rotação round robin para nomes com vários endereços IP associados. Entretanto, quando o round robin está ativado, os registros continuam a ser alternados usando o round robin como o método de classificação secundário da lista de respostas.

  • Proteger cache contra poluição: Determina se o servidor tentará limpar as respostas para evitar poluição do cache do servidor DNS. Por padrão, os servidores DNS do Windows 2000 e do Windows Server 2003 usam uma opção de resposta segura que elimina a adição de registros no cache, de recursos não relacionados incluídos em uma resposta de referência, ou seja, recursos não diretamente relacionados com o nome pesquisado, mas sim referências a servidores que possam resolver o nome pesquisado. Na maioria dos casos, todos os nomes adicionados em respostas de referência são normalmente armazenados em cache e ajudam a acelerar a velocidade de resolução das consultas DNS subseqüentes. Com esse recurso, entretanto, o servidor pode determinar que nomes referenciados são potencialmente poluentes e não seguros, e descartá-los. O servidor determina se o nome oferecido será armazenado em cache em uma referência com base no fato dele fazer parte ou não da árvore exata de nomes de domínios DNS relativa para a qual o nome original foi consultado. Por exemplo, se uma consulta foi originalmente feita para "rh.abc.com" e uma resposta de referência forneceu um registro para um nome fora da árvore de nomes de domínio "abc.com", como por exemplo xyz.com, então esse nome não deverá ser armazenado em cache, se esta opção estiver marcada.

  • Na lista Carregar dados da zona ao iniciar, você pode selecionar o método de inicialização usado por este servidor DNS. Estão disponíveis os métodos Do Active Directory e do Registro e do Arquivo. Por padrão, o servidor DNS usa informação gravada na registry do sistema para inicializar o serviço e carragar as informações sobre as zonas do servidor DNS. O DNS também pode ser configurado para carregar informações a partir de um arquivo ou no caso de um servidor com zonas integradas com o Active Directory, você pode usar a opção Do Active Directory e do Registro. Se você utilizar o método Do arquivo, o arquivo de inicialiação deve ser um arquivo de texto, com o nome Boot, localizado na pasta systemroot\Windows\System32\Dns, onde systemroot representa a pasta onde o Windows 2000 Server está instalado.

Nesta guia você também pode marcar a opção Ativar eliminação automática dos registros fora de uso. Ao marcar esta opção você poderá definir o período pelo qual o registro deve ficar fora de uso antes de ser excluído.

Você também pode utilizar o botão Restaurar padrões, para voltar o servidor DNS a suas configurações padrão, que são as seguintes:

Propriedade Valor padrão

Habilitar recursão Desmarcada

Vincular secundários Marcada

Falha no carregamento se forem dados... Desmarcada

Ativar rodízio Marcada

Ativar classificação de máscara de rede Marcada

Proteger cache contra poluição Marcada

Verificação de nome (UTF8)

Carregar dados da zona ao iniciar Do Active Directory e do Registro

Ativar eliminação automática de registros for a de uso Desmarcada

10. Defina as configurações desejadas, de acordo com as necessidades do servidor DNS que você está configurando.

11. Clique na guia Dicas de raiz (Root Hints). Será exibida a janela indicada na Figura a seguir:

Figura - Lista de servidores root do DNS.

Nota: Eu não posso deixar de registrar o meu protesto contra as traduções. No Windows 2000 Server, em Português, a tradução de Root Hints foi “Dicas de raiz”. Deus nos ajude. Tudo bem, a tradução pode até estar correta. Mas quem traduziu realmente não tinha a mínima idéia de DNS. O que significa para o DNS: “Dicas de raiz”. Nada, absolutamente nada elevado ao quadrado.

Nesta janela é exibida a lista dos servidores root da Internet, utilizados no processo de recursão, descrito na Parte 9- Introdução ao DNS. Você pode alterar as informações de um dos servidores utilizando o botão Editar, pode adicionar novos servidores usando o botão Adicionar e pode remover servidores usando o botão Remover, embora seja pouco provável que você tenha que efetuar alguma destas operações.

Por padrão, os servidores DNS implementam a lista dos servidores raiz usando um arquivo, Cache.dns, que é armazenado na pasta %SystemRoot%\System32\Dns do servidor. Esse arquivo contém os registros de recursos NS e A para os servidores raiz da Internet. Se, entretanto, você estiver usando o serviço DNS em uma rede particular, poderá editar ou substituir esse arquivo por registros similares que apontem para seus próprios servidores DNS raiz internos.

Outra configuração de servidor na qual esta lista pode ser tratada de modo diferente é aquela na qual um servidor DNS é configurado para ser usado por outros servidores DNS em um espaço de nomes interno como um encaminhador de todas as consultas de nomes DNS gerenciadas externamente (a Internet, por exemplo). Muito embora o servidor DNS usado como um encaminhador possa estar localizado internamente na mesma rede dos servidores que o utilizam como um encaminhador, ele precisa da lista de servidores raiz da Internet para funcionar corretamente e resolver nomes externos. Este é um dos exemplos que eu citei anteriormente, onde todos os servidores DNS interno encaminham as consultas para um único encaminhador (forward), para reduzir o tráfego de WAN relacionado com a resolução de nomes.

Nota: Se você está utilizando servidores raiz internos, não use a lista de servidores raiz. Em vez disso, exclua o arquivo Cache.dns inteiramente de todos os seus servidores raiz. Se um servidor DNS estiver configurado para conhecer outros servidores DNS, como através de uma lista de servidores DNS configurados nas propriedades TCP/IP dos clientes, , o serviço DNS será capaz de obter suas próprias dicas de localização de servidores raiz durante uma nova configuração do servidor. Você pode usar o Assistente para configuração de novo servidor fornecido com o console DNS para realizar essa tarefa.

12. Defina as configurações desejadas, de acordo com as necessidades do servidor DNS que você está configurando.

13. Clique na guia Log Será exibida a janela indicada na Figura a seguir:

Figura - A guia Log.

14. Nesta guia você configura quais tipos de eventos deseja registrar no log do DNS. Defina as configurações desejadas, de acordo com as necessidades do servidor DNS que você está configurando.

15. Clique na guia Monitorando Será exibida a janela indicada na Figura a seguir:

Figura -A guia Monitoriando.

Esta guia é utilizada para configurar testes de resolução que o servidor DNS pode fazer periodicamente. Nesta mesma janela você define a periodicidade dos testes. Por exemplo, a cada 1 minuto, a cada 5 minutos, a cada hora e assim por diante. O resultado dos testes é exibido na lista Resultados do teste. Você pode habilitar teste de uma simples consulta no servidor DNS ou de uma consulta usando recursão.

16. Defina as configurações desejadas, de acordo com as necessidades do servidor DNS que você está configurando.

17. Clique na guia Segurança. Será exibida a janela indicada na Figura a seguir

Figura -A guia Segurança.

18. Nesta guia é exibida uma lista de contas de grupos e usuários e as respectivas permissões de acesso aos recursos do servidor DNS. Esta é uma lista de permissões ou tecnicamente conhecida como ACL – Access Control List (Lista de Controle de Acesso), similar a lista utilizada para definir permissões NTFS em pastas e arquivos. Você pode utilizar esta lista para restringir quais usuários e grupos podem ter acesso e fazer alterações nas configurações do servidor DNS.

19. Defina as configurações desejadas, de acordo com as necessidades do servidor DNS que você está configurando e clique em OK para fechar a janela de propriedades.

20. É isso, agora você já sabe todas as opções de configuração do servidor DNS.

Conclusão

Neste parte do tutorial você aprendeu sobre conceitos importantes, tais como:

· Configurações do Servidor DNS

· Forwarders

· Round-robin

· Prioriação de sub-redes

Júlio Cesar Fabris Battisti

Júlio Cesar Fabris Battisti