Pré-Requisitos: Conceitos básicos do protocolo TCP/IP e do DNS.
Metodologia: Executar as ações práticas de implementação e administração do DNS.
Técnica: Exemplos práticos, passo-a-passo.

Neste tópico você aprenderá a executar inúmeras tarefas e operações relacionadas ao DNS. Desde a instalação do serviço, a criação de zonas primárias e secundárias, até configurações avançadas do servidor DNS.

Instalação do DNS:

Por padrão, o DNS não é instalado durante a instalação do Windows Server 2003. Ao instalar o Active Directory, tornando o servidor um DC, o assistente do Active Directory precisa se comunicar com um servidor DNS  que seja a autoridade para o domínio do qual fará parte o DC. Pode ser qualquer servidor DNS da rede, inclusive servidores DNS baseados no UNIX. Somente será possível utilizar servidores DNS no UNIX, se a versão do DNS for a BIND 8.1.2 ou superior.

Se não for possível localizar um servidor DNS, o assistente do Active Directory instala o DNS no servidor que está sendo promovido a DC. O DNS é instalado como um serviço e configurado para iniciar automaticamente. A maioria das tarefas de administração do DNS podem ser executadas com o console DNS, o qual é acessado através do menu Start -> Administrative Tools (Iniciar -> Ferramentas Administrativas).

Neste ítem você aprenderá a instalar o serviço DNS em um servidor. Você verá que a instalação do DNS é extremamente simples.

Nota: Se você tem servidores DNS baseados no NT Server 4.0 ou no Windows 2000 Server, você pode fazer a migração destes servidores para o Windows Server 2003. Todas as configurações do DNS já existentes serão mantidas. Primeiro deve ser feita a migração dos servidores DNS primários (onde está a zona primária) e depois a dos servidores DNS secundários.

Instalando o DNS: Para instalar o DNS siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o Painel de Controle: Start -> Control Panel (Iniciar -> Painel de Controle).
3.         Dê um clique duplo na opção Add or remove programs (Adicionar ou remover progrmas).
4.         Será exibida a janela Add or remove programs (Adicionar ou remover progrmas). Nas opções do lado esquerdo da janela, dê um clique na opção Add/Remove Windows Components (Adicionar ou Remover Componentes do Windows)
5.         Será aberto o assistente de componentes do Windows.
6.         O DNS é classificado como um serviço de rede – Networking Services. Localize esta opção e dê um clique para marcá-la, conforme indicado na Figura 16.18.

Figura 16.18 A opção Networking Services.

7.         Clique no botão Details… (Detalhes), para exibir a lista de serviços de redes disponíveis.
8.         Será aberta a janela Networking Services. Na lista de serviços que é exibida, marque a opção Domain Name System (DNS), conforme indicado na Figura 16.19:

Figura 16.19 Selecionando o DNS para instalação.

9.         Dê um clique em OK. Você estará de volta ao assistente de componentes do Windows.
10.       Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
11.       O Windows Server 2003 inicia o processo de instalação e emite mensagens sobre o andamento da instalação. Durante a etapa de cópia dos arquivos você pode ser solicitado a inserir o CD de instalação do Windows Server 2003 no drive, conforme exemplo da Figura 16.20:

Figura 16.20 O assistente solicita o CD de instalação do Windows Server 2003.

12.       O assistente detecta que o CD foi inserido no drive e continua o processo de instalação.
13.       A tela final do assistente é exibida com uma mensagem informando que o assistente foi concluído com sucesso. Clique em Finish (Concluir) para fechar o assistente.
14.       Você estará de volta à janela Add/Remove Programs. Feche-a.

Pronto, o DNS foi instalado e está pronto para ser configurado. Não é preciso reinicializar o servidor para que o DNS possa ser utilizado. O DNS é instalado como um serviço e configurado para ser inicializado automaticamente. O serviço do DNS é configurado para executar no contexto da conta “Local System”.

Agora é hora de avançarmos um pouco mais. Você aprenderá a criar e a configurar zonas primárias e secundárias. Também aprenderá sobre o conceito de zona reversa e aprenderá a criar e a configurar zonas reversas.

Criando, administrando e configurando zonas no DNS.

Conforme descrito anteriormente, as informações sobre o DNS são armazenadas em zonas. Em uma zona pode haver informações sobre um ou mais domínios. Após a instalação do DNS, a primeira coisa que o administrador deve fazer é criar uma zona primária direta. Por exemplo, vamos supor que você está implementando a estrutura de DNS da rede da sua empresa. Você começa pelo domínio root, que é xyz.com.br. Neste caso, você tem que criar uma zona primária direta (mais adiante você aprenderá a criar zonas segundárias, aprenderá sobre o conceito de zona reversa e como criar uma zona reversa). A zona é chamada primária porque ela ainda não existe e está sendo criada para conter as informações do domínio – no nosso exemplo, o domínio xyz.com.br. Ela é chamada direta, porque conterá informações para resolução de nomes para endereço IP, ou seja, fornecido um nome no domínio xyz.com.br, esta zona conterá informações para retornar o endereço IP associado com o nome. Uma zona reversa, que será descrita mais adiante, faria o contrário, ou seja, dado um endereço IP, o DNS pesquisa na zona reversa para encontrar o nome associado ao endereço IP. As zonas secundárias somente podem ser criadas se já existir uma zona primária. As zonas secundárias contém uma cópia integral dos registros da zona primária e recebem as atualiações efetuadas na zona primária através do mecanismo de replicação de zonas.

Exemplo: Criar a zona primária direta (Forward Lookup Zone) para conter os registros do domínio xyz.com.br. Para criar esta zona siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console DNS: Start -> Administrative Tools -> DNS (Iniciar -> Ferramentas Administrativas -> DNS).
3.         Será exibido o console DNS. No painel da esquerda, por padrão, estão disponíveis as seguintes opções:

• Forward Lookup Zones (Zonas de pesquisa direta)
• Reverse Lookup Zones (Zonas de pesquisa inversa)
• Event Viewer (Visualizador de Eventos)

Nota: O console DNS pode ser utilizado para gerenciar toda a estrutura de DNS da empresa de uma maneira centralizada. O administrador pode usar o console DNS para conectar-se com outros servidores e gerenciar zonas e configurações dos diversos servidores DNS da rede, a partir de um único console DNS, centralizadamente. Na Figura 16.21 apresento um exemplo onde estou utilizando o console DNS para gerenciar dois servidores DNS diferentes. Para conectar-se a um servidor DNS remoto basta clicar com o botão direito do mouse na opção DNS (primeira opção, bem em cima, no painel da esquerda). No menu de opções que é exibido clique em Conect to DNS Server... (Conectar-se ao Servidor DNS...). Será exibida a janela Conect to DNS Server (Conectar-se ao Servidor DNS). Clique na opção The following computer (No seguinte computador). Ao lado desta opção digite o nome ou o endereço IP do servidor DNS a ser concetado. Clique em OK e pronto, agora você pode gerenciar o servidor DNS remotamente. O administrador responsável pela DNS pode criar um console personalizado, onde são adicionados os vários servidores DNS pelos quais ele é responsável.

Figura 16.21 Gerenciando vários servidores DNS em um único console.

4.         Neste exemplo você utilizará a opção Forward Lookup Zones (Zonas de pesquisa direta). Clique com o botão direito do mouse neste opção.
5.         No menu de opções que é exibido clique em New Zone... (Nova Zona...).
6.         Será aberto o assistente para a criação de uma nova zona.. A primeira tela do assistente é apenas informativa. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
7.         Na primeira etpa você deve informar o tipo de zona a ser criada. Estão disponíveis as opções Primary zone, Secondary zone e Stub zone. Você aprenderá sobre zonas secundárias e Stub zone mais adiante. Se o servidor que você está utilzando for um DC, estará disponível a opção Store de zone in Active Directory. Você também aprenderá sobre esta opção mais adiante e sobre a integração do DNS com o Active Directory. Para o nosso exemplo, defina as configurações indicadas na Figura 16.22:

Figura 16.22 Criando uma zona primária, não integrada com o Active Directory.

8.         Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
9.         Nesta etapa será solicitado o nome da zona. Digite xyz.com.br no campo Zone name (Nome da Zona) e c10.            lique em Next (Avançar), para seguir para a próxima etapa do assistente.
10.       Nesta etapa você define se deseja criar um novo arquivo onde serão gravadas as informações sobre a zona xyz.com.br ou se deseja usar um arquivo existente. Você pode utilizar um arquivo existente, caso a zona já existisse e houve problemas no servidor. Neste caso você poderá recriar a zona e mandar usar o arquivo já existente anteriormente. Ao fazer isso, todas as informações contidas anteriormente serão recuperadas a partir do arquivo já existente. No nosso exemplo vamos salvar as informações da zona em um novo arquivo. Por padrão, para o nome do arquivo, o assistente sugere o nome da zona com a extensão .dns. O arquivo será criado na pasta systemroot\System32\Dns, onde systemroot representa a pasta onde está instalado o Windows Server 2003. Vamos aceitar esta opção, conforme indicado na Figura 16.23.

Figura 16.23 Definindo o nome do arquivo onde serão salvas as informações.

11.       Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
12.       Nesta etapa você deve definir que tipo de atualiação dinâmica será aceito pela zona que está sendo criada. Ainda não falei sobre atualizações dinâmicas e segurança no DNS. Farei isso mais adiante. Por enquanto seleciona a opção “Allow both nonsecure and secure dynamic updates” (Permitir ambas, atualizações dinâmicas seguras e não seguras) e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
13.       Será exibida a tela final do assistente. Se você quiser alterar alguma opção pode utilizar o botão Back (Voltar). Clique em Finish (Concluir), para criar a zona primária direta: xyz.com.br, conforme indicado na Figura 16.24:

Figura 16.24 A zona xyz.com.br, recém criada.

Muito bem, a zona xyz.com.br foi criada. Mas criar somente a zona tem pouca (para não dizer nenhuma) utilidade. Uma zona deve conter registros, os quais serão consultados para responder às consultas enviadas pelos clientes. Este será o nosso próximo estudo, ou seja, estudar os tipos de registros que podem ser criados em uma zona e quais os procedimentos práticos para criar, editar e excluir registros.

Trabalhando com registros do DNS.

Um banco de dados de um servidor DNS é constituído por uma ou mais zonas, conforme já descrito anteriormente. Em cada zona ficam armazenados os registros do DNS. Os registros armazenam informações de uma maneira estruturada. O DNS do Windows Server 2003 suporta uma série de registros. Neste item vou destacar os principais tipos de registros suportados pelo DNS do Windows Server 2003. Na Ajuda do DNS (menu Ajuda do console DNS), você encontra uma referência completa, de todos os registros suportados pelo DNS.

Todos os registros do DNS tem uma estrutura padrão, com um conjunto determinado de campos de informação. Até podemos fazer a analogia com uma tabela de dados, no modelo relacional de dados, onde cada registro é determinado por um conjunto de campos de informação.

Os registros  do DNS no Windows Server 2003, contém os seguintes campos de informação:

• Owner: Indica o nome do domínio DNS no qual o registro se encontra, ou em outras palavras, o domínio DNS que é dono (owner) do registro. Este é o nome que é exibido no console DNS.
• Time to Live (TTL): Para a maior parte dos tipos de registro este campo é opcional. Este campo é utilizado por outros servidores DNS, para determinar por quanto tempo o registro será armazanado no cache destes servidores, após o registro ter sido carregado em resposta a uma consulta. Transcorrido o tempo definido neste campo, o registro é descartado. A maioria dos registros criados pelo DNS herdam o valor padrão para o TTL que é de uma hora (3600 segundos). Este valor é herdado da definição do TTL do registro SOA – Start of Authority, que é o principal registro de uma zona, registro que define uma série de características de uma zona.  Você pode definir individualmente, para cada registro, um valor de TTL diferente do valor herdado do registro SOA. Você também pode definir um valor igual a zero (0), para registros que não devam ser mantidos no cache dos servidores DNS.
• Class: Contém um texto padrão, indicativo da classe do registro. Por exemplo, um valor igual a “IN”, indica que o registro pertence a classe Internet, aliás única classe suportada pelo DNS do Windows Server 2003. Este campo é obrigatório, embora tenha sempre o mesmo valor no DNS do Windows Server 2003.
• Type: Contém um texto padrão, indicativo do tipo do registro. Por exemplo, um tipo igual a “A” indica um registro que armazena informações de endereço. É o tipo mais comum, onde é gravado um número IP associado com um nome. Este campo é obrigatório.

Record-specific data: Contém os dados do registro. Por exemplo, para um registro do tipo “A”, conterá o nome e o número IP associado com o nome. É obrigatório.

Agora que você já conhece a estrutura de um registro do DNS, é hora de aprender sobre os principais tipos de registros. Conforme descrito anteriormente, você encontra uma referência completa sobre todos os tipos de registros, na Ajuda do DNS.

Descrição de alguns dos principais tipos de registros do DNS do Windows Server 2003:

A

Descrição: Host address (A) resource record. É o tipo mais utilizado, faz o mapeamento de um nome DNS para um endereço IP versão 4, de 32 bits.

Exemplos:

host1.example.microsoft.com.   IN   A          127.0.0.1
srv01.abc.com.br                    IN   A 100.100.200.150
srv02.abc.com.br                    IN   A 100.100.200.151

AAAA
Descrição: IPv6 host address (AAAA).

Faz o mapeamento de um nome DNS para um endereço IP versão 6, de 128 bits.

Exemplo:

ipv6_host1.example.microsoft.com.     IN  AAAA  4321:0:1:2:3:4:567:89ab

CNAME

Descrição: Canonical name (CNAME): Mapeia um alias (apelido) ou nome DNS alternativo. Por exemplo, suponha que o site da empresa esteja no servidor srv01.abc.com.br. Porém na internet, os usuários irão utilizar o nome www.abc.com.br. Neste caso basta criar um alias www que faz referência ao nome srv01.abc.com.br. Pronto, quando os usuários digitarem www.abc.com.br estarão acessando, na verdade, o endereço srv01.abc.com.br. Porém para o usuário, tudo ocorre transparentemente, como se o nome fosse realmente www.abc.com.br.

Exemplo:

www.abc.com.br. CNAME   srv01.abc.com.br.

HINFO

Descrição: Host information (HINFO): Utilizado para armazenar informações sobre o hardware do servidor DNS, tais como tipo de CPU, tipo e versão do sistema operacional e assim por diante. Estas informações pode ser utilizadas por protocolos como por exemplo o ftp, o qual utiliza procedimentos diferentes, para diferentes sistemas operacionais
 
Exemplo:
my-computer-name.example.microsoft.com.    HINFO   INTEL-386  WIN32

MX

Descrição: Mail exchanger (MX): Fornece informações utilizadas pelos servidores de e-mail, para o roteamento de mensagens. Cada host definido em um registro MX deve ter um correspondente registro do tipo A em uma zona válida, no servidor DNS.

Exemplo:
example.microsoft.com.    MX  10 mailserver1.example.microsoft.com

Nota: O número de dois dígitos após o MX, é um indicativo da ordem de preferência quando mais de um registro MX é configurado na mesma zona.

NS

Descrição: É utilizado para relacionar um nome DNS com o seu dono, ou seja, o servidor que é a autoridade para o nome DNS. Ou em outras palavras, o servidor DNS onde está a zona primária do nome.
 
Exemplo:

example.microsoft.com.    IN NS  nameserver1.example.microsoft.com
PTR

Descrição: Pointer (PTR): É utilizado em zonas reversas, para fazer o mapeamento ao contrário, ou seja, o mapeamento de um número IP para um nome. Ao criar um registro do tipo A, em uma zona direta, você pode criar, automaticamente, o registro PTR associad, se já houver uma zona reversa configurada.

Exemplo:
10.20.20.10.in-addr.arpa.    PTR  host.example.microsoft.com.

Nota: Logo em seguida você aprenderá sobre zonas reversas.

SOA

Descrição: Start of authority (SOA): O principal registro, o registro que define mutas das característias de uma zona. Contém o nome da zona e o nome do servidor que é a autoridade para a referida zona, ou seja, o servidor DNS onde está a zona foi criada originalmente. Contém também a definição de outras características básicas da zona. É sempre o primeiro registro da zona, pois é criado durante a criação da zona. Define características tais como o número serial da zona (que é um indicativo se houve ou não alterações na zona. Este número é utilizado para controlar a replicação entre a zona primária e as zonas secundárias), o valor do TTL para os demais registros da zona e assim por diante.

Exampl0:
@   IN  SOA     nameserver.example.microsoft.com.  postmaster.example.microsoft.com. (
                               1            ; serial number
                               3600         ; refresh   [1h]
                               600          ; retry     [10m]
                               86400        ; expire    [1d]
                               3600 )       ; min TTL   [1h]

Sobre registros do DNS era isso. Agora você aprenderá sobre zona reversas e aprenderá a criar zonas reversas. Em seguida aprenderá a criar registros, tanto em uma zona direta, quanto em uma zona reversa.

Zonas de pesquisa inversa – Reverse Lookup Zones.

A maioria das consultas para resolução de nomes, realizadas pelos clientes são consultas diretas – Forward Lookup. Neste tipo de consulta o cliente tem um nome DNS e quer pesquisar uma informação associada com o nome, normalmente um endereço IP. Ou seja, a resposta esperada é o endereço IP associado com o nome pesquisado.

O DNS também dá suporta as chamadas pesquisas inversas (Reverse Lookup), na qual o cliente tem um endereço IP válido e deseja localizar o nome associado com o endereço IP. Vejam que é o contrário da pesquisa direta (por isso que o nome é pesquisa reversa). Na pesquisa direta o cliente tem o nome e deseja localizar o endereço IP associado. Na pesquisa reversa o usuário tem o endereço IP e deseja localizar o nome associado.

Originalmente o DNS não foi projetado para dar suporte a este tipo de consulta. Pela maneira hierárquica como o DNS está organizado, a única maneira para responder este tipo de consulta, se fossem utilizadas apenas as zonas diretas, seria pesquisar todos os servidores DNS existentes o que faria com que o tempo de consulta fosse por demais longo.

Para resolver esta qustão foi criado um domínio especial, com o nome de in-addr.arpa. Este domínio faz parte das definições atuais do DNS e foi a maneira encontrada para fornecer a resolução reversa de nomes, sem que houvesse a necessidade de pesquisar em todos os servidores DNS.

Para criar o espaço de nomes reverso, são criados subdomínios do domínio especial in-addr.arpa. O nome destes subdomínios é formado pela ordem inversa do número IP da rede. Por exemplo, considere a rede 100.20.50.0/255.255.255.0. A zona para resolução reversa desta rede seria a seguinte:

50.20.100.in-addr.arpa

Observe que coloquei os números da rede de trás para a frente como um sub-domínio do domínio especial in-addr.arpa. Esta ordem inversa é necessária porque, você deve estar lembrado do tópico sobre como são resolvidas as consultas do DNS, que a resolução é feita de trás para frente. Ao reverter os números, para formar o sub-domínio, quando os números são lidos de trás para a frente eles ficam na ordem certa. Por exemplo, lendo 50.20.100 de trás para frente fica: 100.20.50, ou seja, o número da rede na ordem certa.

Nota: O uso do domínio in-addr.arpa é aplicato a todas as redes baseadas no protocolo IP versão 4 (IPv4), que utiliza endereços IP de 32 bits, conforme descrito no Capítulo 2.

Importante: Os mecanismos de recursão e interação, utilizados para a resolução direta de nomes, também são utilizados para a resolução reversa.

Criando uma zona reversa.

A seguir você aprenderá a criar uma zona reversa. Você criará uma zona reversá para a rede 120.200.35.0/255.255.255.0. A primeira etapa é determinar o nome da zona reversa (na prática isso não seria necessário, pois o assistente de criação nós dá uma ajuda neste sentido). A determinação do nome da zone reversa é bastante simples:

1.         Inverta os octetos que compõem a rede: 35.200.120
2.         O número já invertido é criado com um sub-domínio do domínio in-addr.arpa: 35.200.120.in-addr.arpa.

Para criar a zona reversa 35.200.120.in-addr.arpa, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console DNS: Start -> Administrative Tools -> DNS (Iniciar -> Ferramentas Administrativas -> DNS).
3.         Será exibido o console DNS. No painel da esquerda, por padrão, estão disponíveis as seguintes opções:

• Forward Lookup Zones (Zonas de pesquisa direta)
• Reverse Lookup Zones (Zonas de pesquisa inversa)
• Event Viewer (Visualizador de Eventos)

4.         Neste exemplo você utilizará a opção Reverse Lookup Zones (Zonas de pesquisa inversa). Clique com o botão direito do mouse neste opção.
5.         No menu de opções que é exibido clique em New Zone... (Nova Zona...).
6.         Será aberto o assistente para a criação de uma nova zona.. A primeira tela do assistente é apenas informativa. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
7.         Na primeira etpa você deve informar o tipo de zona a ser criada. Estão disponíveis as opções Primary zone, Secondary zone e Stub zone. Você aprenderá sobre zonas secundárias e Stub zone mais adiante. Se o servidor que você está utilzando for um DC, estará disponível a opção Store de zone in Active Directory. Você também aprenderá sobre esta opção mais adiante e sobre a integração do DNS com o Active Directory. Para o nosso exemplo, defina as configurações indicadas na Figura 16.25:

Figura 16.25 Criando uma zona primária, não integrada com o Active Directory.

8.         Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
9.         Nesta etapa será solicitado que você digite a identificação da rede. Digite a identificação na ordem normal. O próprio assistente se encarrega de inverter a ordem dos octetos da rede, para formar o nome da zona reversa. Digite, por exemplo 35.200.120 e o assistente gera o nome da zona reversa, conforme exemplo da Figura 16.26: .

Figura 16.26 Geração automática do nome da zona reversa.

10.       Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
11.       Nesta etapa você define se deseja criar um novo arquivo onde serão gravadas as informações sobre a 120.200.35.in-addr.arpa ou se deseja usar um arquivo já existente. Você pode utilizar um arquivo existente, caso a zona já existisse previamente e houve problemas no servidor DNS. Neste caso você poderá recriar a zona e mandar usar o arquivo já existente anteriormente. Ao fazer isso, todas as informações contidas anteriormente serão recuperadas a partir do arquivo já existente. No nosso exemplo vamos salvar as informações da zona em um novo arquivo. Por padrão, para o nome do arquivo, o assistente sugere o nome da zona com a extensão .dns. O arquivo será criado na pasta systemroot\System32\Dns, onde systemroot representa a pasta onde está instalado o Windows Server 2003. Vamos aceitar esta opção, conforme indicado na Figura 16.27.

Figura 16.27 Definindo o nome do arquivo onde serão salvas as informações.

12.       Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
13.       Nesta etapa você deve definir que tipo de atualiação dinâmica será aceito pela zona que está sendo criada. Ainda não falei sobre atualizações dinâmicas e segurança no DNS. Farei isso mais adiante. Por enquanto seleciona a opção “Allow both nonsecure and secure dynamic updates” (Permitir ambas, atualizações dinâmicas seguras e não seguras) e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
14.       Será exibida a tela final do assistente. Se você quiser alterar alguma opção pode utilizar o botão Back (Voltar). Clique em Finish (Concluir), para criar a zona primária reversa: 120.200.35.in-addr.arpa.dns, conforme indicado na Figura 16.28:

Figura 16.28 A zona 120.200.35.in-addr.arpa.dns, recém criada.

Criando registros em uma zona.

Muito bem, você já aprendeu a criar uma zona primária e a criar uma zona secundária. Agora é hora de aprender a criar registros em uma zona do DNS. Neste item, através de um exemplo prático, você aprenderá a verificar e alterar o registro SOA de uma zona direta, o qual é criado automaticamente quando a zona é criada e também aprenderá a criar registros em uma zona.

Para acessar o registro SOA de uma zona, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console DNS: Start -> Administrative Tools -> DNS (Iniciar -> Ferramentas Administrativas -> DNS).
3.         Será exibido o console DNS. Clique no sinal de + ao lado da opção Forward Lookup Zones (Zonas de pesquisa direta).
4.         Serão exibidas as zonas de pesquisa direta existentes no servidor.
5.         Clique com o botão direito do mouse na zona xyz.com.br criada anteriormente. No menu de opções que é exibido clique na opção Properties (Propriedades).
6.         Será exibida a janela de propriedades para a zona xyz.com.br. Clique na guia Start of Authority (SOA).
7.         Será exibida a guia com os valores para os campos do registro SOA, da zona xyz.com.br, conforme indicado na Figura 16.29:

Figura 16.29 O registro SOA para o domínio xyz.com.br

8.         Estes são os valores padrão, definidos pelo assistente de criação da zona direta de pesquisa. A seguir descrevo, em detalhes, os campos do registro SOA:

• Serial number: Este campo exibe o número serial do registro SOA. É como se fosse um número de versão do registro. Cada vez que a zona é alterada, este número tem o seu valor aumentado por um incremento de 1, indicando que existe uma nova versão da zona. Este número é verificado periodicamente e comparado com o número serial das zonas secundárias. Se o número da zona secundária for menor do que o da zona primária, isso indica que existem alterações na zona primária, alterações estas que devem ser replicadas para a zona secundária. O adminstrador pode clicar no botão Increment para manualmente aumentar o valor deste número, mesmo que não tenha havido alterações na zona primária.
• Primary server: Contém o nome do servidor que contém a zona primária, isto é, a cópia da zona que pode ser alterada.
• Responsible person: O email do responsável pela administração da zona. O endereço de email utiliza o ponto ao invés do sinal de @. Por exemplo, o email: julio@abc.com é digitado neste compo como julio.abc.com.
• Refresh interval: Define o intervalo para que o DNS verifique se os dados nas zonas secundárias estão atualizados. Se os dados não estiverem atualizados, o servidor onde está a zona primária, irá “notificar” o servidor onde está a zona secundária que existem alterações. O servidor da zona secundária ira puchar (pull) as alterações para deixar a zona secundária sincronizada com a zona primária. Somente as alterações serão replicadas e não todo o conteúdo da zona. O valor padrão para novas zonas é 15 minutos.
• Retry interval: Se o servidor DNS não conseguir atualizar a zona secundário no tempo especificado no campo Refresh interval, uma nova tentativa será feita no tempo definido no campo Retry Interval. O valor padrão para novas zonas é 10 minutos.
• Expires after: Determina o tempo que as informações serão mantidas nas zonas secundárias, sem que tenha sido possível fazer uma sincronização com a zona primária. O padrão é 24 horas. Isso significa que se dentro de um período de 24 horas não for possível fazer uma sincronização de uma zona secundária com a zona primária, os dados da zona primária irão expirar e não poderão mais ser utilizados para resolução de nomes. Este parâmetro evita que valores desatualizados continuem sendo utilizados nas zonas secundárias em caso de impossibilidade de sincronização com a zona primária.
• Minimum (default) TTL: Determina o TTL mínimo para os registros da zona. Este valor é utilizado quando um registro da zona é acessado por um servidor DNS remoto. O servidor DNS que usou acessou o registro, irá mantê-lo em cache pelo período definido neste parâmetro. Por exemplo, suponha que você está na sua empresa (abc.com) e tenta acessar o site da Microsoft: www.microsoft.com. Usando o processo de recursão, descrito anteriormente, o servidor da microsoft responde com o endereço IP associado ao nome www.microsoft.com. Estas informações ficarão no cache do servidor DNS da empresa abc.com, pelo período definido no parâmetro TTL da zona microsoft.com, do servidor DNS da Microsoft.

TTL for this record: Permite que seja definido um TTL específico para o registro SOA, que pode ser diferente do TTL padrão definido para os demais registros da zona.

9.         Após ter feito as alterações desejadas clique em OK para fechar a janela de propriedades da zona.

Nota: Mais adiante você aprenderá sobre as demais propriedades de uma zona.

Para criar novos registros em uma zona, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console DNS: Start -> Administrative Tools -> DNS (Iniciar -> Ferramentas Administrativas -> DNS).
3.         Será exibido o console DNS. Clique no sinal de + ao lado da opção Forward Lookup Zones (Zonas de pesquisa direta) se você quiser criar um registro em uma zona direta ou no sinal de + ao lado da opção Reverse Lookup Zones (Zonas de pesquisa inversa), se você deseja criar um registro em uma zona inversa.
4.         Serão exibidas as zonas da opção selecioanda.
5.        Clique com o botão direito do mouse na zona onde você deseja criar o registro. Observe que já existem opções diretamente para criar os tipos de registros mais utilizados:

• New Host (A)..., para criar um registro do tipo A.
• New Alias (CNAME)..., para criar um novo registro do tipo CNAME.
• New Mail Exchanger (MX)..., para criar um novo registro do tipo MX.
• Other New Records..., para criar qualquer tipo de registro, inclusive um dos três tipos anteriores.

A título de exemplo você irá criar dois novos tipos de registro em uma zona direta: um registro do tipo A e outro do tipo HINFO.

6.         Clique com o botão direito do mouse em uma zona de pesquisa direta.
7.         No menu de opções que é exibido clique na opção New Host (A)...
8.         Será exibida a janela New Host. Digite o nome e o endereço IP associado, conforme exemplo da Figura 16.30. É importante salientar que você deve digitar apenas o host name (primeira parte do nome). O próprio DNS completa o nome (no campo Full qualified domain name), anexando o nome da zona ao nome de host.

Figura 16.30 Criando um registro do tipo A.

9.         Nesta janela você também tem a opção “Create associated pointer  (PTR) record”. Se você marcar esta opção será criado um registro do tipo PTR na zona inversa correspondente. Esse registro permitirá a resolução inversa, ou seja, dado o número IP será retornado o nome associado com o número IP.
10.       Defina as opções desejadas e clique em Add Host (Adicionar Host). A janela New Host (Novo Host) continua aberta. Clique em Done (Fechar) para fechá-la.
11.       Pronto, o registro do tipo A foi criado, conforme indicado na Figura 16.31.

Figura 16.31 Registro do tipo A, recém criado.

12.       Agora vamos criar um registro do tipo HINFO.
13.       Clique com o botão direito do mouse na zona de pesquisa direta, onde o registro HINFO será criado.
14.       No menu de opções que é exibido clique na opção Other New Records... (Outros novos registros...)
15.       Será exibida a janela Resource Record Type. Na lista de tipos de registro clique na opção Host Information (HINFO), conforme ilustrado na Figura 16.32:

Figura 16.32 Criando um novo registro do tipo HINFO.

16.       Clique no botão Create Record...
17.       Será aberta a janela para você inserir as informações sobre o registro HINFO. Defina as informações, conforme exemplo da Figura 16.33:

Figura 16.33 Definindo informações para o registro HINFO.

18.       Clique em OK. O registro do tipo HINFO será criado e você estará de volta à janela Resource Record Type. Clique em Done (Concluído) para fechar esta janela.
19.       O registro do tipo HINFO já é exibido no console DNS, conforme indicado na Figura 16.34:

Figura 16.34 Registro do tipo HINFO, recém criado.

20.       Feche o console do DNS.

Muito bem, agora você já sabe criar zonas diretas e inversas e também aprendeu a criar registros em uma zona. O próximo passo é aprender a configurar as propriedades de uma zona e as propriedades do servidor DNS.

Configurando as propriedades de uma zona.

Uma zona do DNS apresenta diversas propriedades que você pode configurar. Por exemplo, você pode configurar uma zona para aceitar ou não atualizações dinâmicas (novidade disponível a partir do DNS do Windows 2000). Se você habilitar a atualização dinâmica, o DHCP poderá criar registros automaticamente no DNS, para os clientes configurados via DHCP.

Neste item você aprenderá a configurar as propriedades de uma zona do DNS.

Antes de ir para a parte prática, você precisa aprender um pouco mais sobre Atualizações dinâmicas, Expiração e eliminação de registros (Scavenging) e sobre segurança no DNS.

Atualizações dinâmicas no DNS:

A possibilidade de atualização dinâmica no DNS passou a estar disponível para o mundo Windows, a partir do Windows 2000 Server. Com este mecanismo, os clientes da rede podem dinâmicamente registrar e atualizar seus registros no servidor DNS. Isso reduz a necessidade de o administrador manualmente criar entradas e fazer alterações no DNS, sempre que o nome ou número IP de um computador é alterado.

A atualização dinâmica pode ser habilitada a nível de zona, ou seja, posso ter duas zonas no mesmo servidor DNS, uma com atualização dinâmica habilitada e outra não. O cliente DNS, na estação de trabalho do usuário, é capaz de registrar um registro do tipo A (na zona direta) e o registro correspondente do tipo PTR (na zona inversa). Alguns clientes DNS mais antigos não tem suporte para criação e atualizção dinâmica de registros no DNS. O Windows 2000, o Windows XP e o Windows Server 2003 são as versões do Windows cujo client DNS dá suporte a atualização dinâmica. A criação dos registros do tipo A e do tipo PTR é feita pelo cliente DHCP, durante a inicialização de um computador com uma destas versões do Windows (2000, XP ou 2003) e é atualizado a cada 24 horas. Mesmo que você use um endereço IP fixo, configurado manualmente, o cliente DHCP fará o registro dinâmico, a não ser que ele seja desabilitado. Os DCs atualizam seus registros no DNS a cada hora. Esta atualização é controlada pelo serviço Netlogon (sobre o qual falarei um pouco mais no Capítulo 19).

Versões do Windows mais antigas (Windows 95, 98, 3.11, etc) podem ter suas informações registradas dinamicamente no DNS. Porém este registro tem que ser feito pelo servidor DHCP. Neste caso o servidor DHCP deve ser configurado para dar suporte a este tipo de funcionalidade e ser capaz de criar registros do tipo A e do tipo PTR para clientes com versões do Windows onde o cliente DNS não dá suporte a atualização dinâmica. Você aprenderá a configurar o DHCP mais adiante, neste capítulo.

O registro dinâmico é feito utilizando o nome completo do computador. Por exemplo, um computador com nome de host comp01, em um domínio abc.com.br, será registrado como compo01.abc.com.br. O endereço IP associado ao nome será obtido a partir das configurações do protocolo TCP/IP, quer elas tenham sido obtidas a partir de um servidor DHCP ou quer tenham sido configuradas manualmente. Lembrando que para versões do Windows mais antigas, somente quando as configurações são feitas via DHCP é que haverá o registro dinãmico no DNS (se o servidor DHCP estiver configurado para tal).

Uma atualização dinâmica será enviada para o servidor DNS, quando uma das situações a seguir ocorrer:

• Um endereço IP for adicionado, removido ou modificado nas propriedades do TCP/IP de uma das conexões de rede do computador.
• Houver uma renovação ou troca de endereço IP, obtido a partir do servidor DHCP em qualque das conexões de rede. Por exemplo, quando o computador for inicializado (o endereço IP é obtido a partir do servidor DHCP) ou quando o comando ipconfig/renew for utilizado.
• Quando for utilizado o comando ipconfig /registerdns para forçar uma atualização do nome do computador com o servidor DNS.
• Quando o computador é inicializado.
• Quando um member server for promovido a DC.

Algumas regras são aplicadas quando um registro é dinamicamen criado no DNS:

• Quando um cliente tenta criar dinamicamente um novo registro e o registro ainda não existe, o DNS server cria o novo registro sem problemas.
• Se o registro já existe, porém com um nome diferente e com o mesmo endereço IP, o novo registro é adicionado e o registro antigo será mantido.
• Se o registro já existe com o mesmo nome, mas com um endereço IP diferente, o registro anterior será sobrescrito com as novas informações.

Somente o servidor onde está a zona DNS primária é que pode fazer as atualizações dinâmicas. Porém, pode acontecer, de um cliente estar utilizando um servidor DNS onde está uma zona secundária para o domínio do cliente. Neste caso a solicitação de atualização é enviada para o servidor onde está a zona secundária. Este repassa a mensagem de atualização para o servidor DNS onde está a zona primária. As atualiações são feitas na zona primária. Após ter sido atualizada a zona primária, mensagens sãoenviadas para os servidores onde existem zonas secundárias, notificando que novas atualiações estão disponíveis. As alterações são copiadas da zona primária para todas as zonas secundárias.

Nota: Caso o cliente esteja utilizando um servidor DNS que não é autoridade para a zona a ser atualizada dinamicamente, com um servidor DNS somente cache (que será explicado mais adiante), o servidor que não é autoridade para a zona não irá repassar a mensagem de atualização para o servidor DNS onde está a zona primária a ser atualizada e, portanto, as atualizações não serão efetudas.

Nos DNSé feito o registro automático dos registros do tipo A, tipo PTR e tipo SRV. Este registro é feito pelo serviço Netlogon que roda em todos os DCs. Os registros são atualizados sempre que o serviço Netlogon for inicializado e depois automaticamente a cada hora.

Se você fizer alterações no DNS de um controlador de domínio e quiser que estas alterações sejam enviadas imediatamente para o servidor DNS, basta parar e inicializar novamente o serviço Netlogon. Enquanto o serviço Netlogon estiver parado, clientes com o Windows 2000, XP Professional ou Windows Server 2003 continuarão sendo autenticados sem problemas (estes clientes são autenticados pelo protocolo Kerberos), já clientes mais antigos, como o Windows 95 ou 98 (que dependem do serviço Netlogon), não poderão ser autenticados enquanto o serviço Netlogon não tiver sido reinicializado.

Expiração e eliminação de registros (Scavenging):

Os servidores DNS do Windows Server 2003 (a exemplo do DNS do Windows 2000) fornecem suporte aos recursos de expiração e eliminação. Esses recursos são fornecidos como um mecanismo para executar limpeza e remoção de registros não atualizados e que podem se acumular nos dados de zona ao longo do tempo. Em outras palavras: lixo.

Com a atualização dinâmica, os registros são automaticamente adicionados às zonas, conforme descrito anteriormente. Esse registro normalmente acontece durante a inicialização do computador. No entanto, em alguns casos (como por exemplo em uma queda de energia), eles não são automaticamente removidos quando os computadores são desligados ou desconectados da rede. Por exemplo, se um computador registra um registro do tipo A na inicialização e depois é desconectado de maneira inadequada da rede, este registro não é excluído. Em uma rede com muitos usuários e computadores móveis, essa situação pode ocorrer com freqüência.

Se forem deixados sem gerenciamento, a presença de registros não atualizados em dados de zona poderá causar alguns problemas, como por exemplo:

• Se um grande número de registros não atualizados permanecer em zonas de servidores, poderão eventualmente ocupar o espaço em disco do servidor e provocar longas e desnecessárias transferências de zonas. Por exemplo, quando uma nova zona secundária for criada, será transmitida uma grande quantidade de registros que já não são mais necessários.
• Os servidores DNS que tem zonas com registros não atualizados poderão usar informações desatualizadas para responder a consultas de clientes, acarretando possíveis problemas de resolução de nomes na rede.
• O acúmulo de registros não atualizados no servidor DNS pode diminuir seu desempenho e velocidade na resolução de consultas enviadas pelos clientes.
• Em alguns casos, a presença de um registro não atualizado em uma zona pode impedir que um nome de domínio DNS seja usado por outro computador ou dispositivo de host.

Para resolver esses problemas, o serviço Servidor DNS tem os seguintes recursos:

• Carimbo de data/hora, baseado na data e hora atuais definidos no computador servidor, para quaisquer registros adicionados dinamicamente às zonas tipo primárias. Além disso, os carimbos de data/hora são gravados nas zonas primárias padrão onde expiração/eliminação estão ativados.
• Para os registros que você adiciona manualmente, é usado um valor de carimbo de data/hora igual a zero indicando que eles não são afetados pelo processo de expiração e podem permanecer sem limitação nos dados da zona a menos que você altere seus carimbos de data/hora ou os exclua.
• A expiração dos registros nos dados locais, baseada em um período de tempo de renovação especificado, para todas as zonas qualificadas. Somente zonas primárias participam deste processo.
• Eliminação de todos os registros que persistirem além do período de renovação especificado.

Quando um servidor DNS do Windows Server 2003 executa uma operação de eliminação, ele pode determinar que os registros expiraram (se não foram atualizados) e removê-los dos dados da zona. Os servidores podem ser configurados para executar operações de eliminação recorrentes automaticamente ou você pode iniciar uma operação de eliminação imediata no servidor.

Cuidado: Por padrão, o mecanismo de expiração e eliminação está desativado nos servidores DNS no Windows Server 2003. Ele só deve ser ativado quando todos os parâmetros estiverem totalmente entendidos. Caso contrário, o servidor poderá ser acidentalmente configurado para excluir registros que não devem ser excluídos. Se um registro for acidentalmente excluído, não apenas ocorrerá uma falha quando os usuários tentarem fazer consultas sobre esse registro como qualquer usuário poderá criar o registro e obter sua propriedade, mesmo em zonas configuradas para atualização segura dinâmica.

O servidor usa o conteúdo do carimbo de data/hora específico de cada registro, junto com outras propriedades de expiração/eliminação que você pode ajustar ou configurar, para determinar quando eliminar os registros.

Antes que os recursos de expiração e eliminação do DNS possam ser usados, várias condições devem ser atendidas:

• A eliminação e a expiração devem estar ativadas no servidor DNS e na zona. Por padrão, a expiração e a eliminação dos registros de recursos estão desativados.
• Os registros de recursos devem ser adicionados dinamicamente às zonas ou manualmente modificados para serem usados nas operações de expiração e eliminação.
• Normalmente, apenas aqueles registros de recursos adicionados dinamicamente usando o protocolo de atualização dinâmica DNS estão sujeitos a expiração e eliminação.

Observação: No caso de alterar uma zona de zona primária padrão para zona integrada ao Active Directory (conforme você aprenderá mais adiante), você talvez queira ativar a eliminação de todos os registros de recursos existentes na zona. Para ativar a expiração para todos os registros de recursos existentes em uma zona, você pode usar o comando AgeAllRecords que está disponível por meio da ferramenta de linha de comando dnscmd, o qual será visto mais adiante.

Segurança no acesso ao DNS

As zonas do DNS contém muitas informações sobre a rede da sua empresa e sobre os servidores da empresa, principalmente nomes e endereços IP. Estas informações podem ser de “grande valor” para hackers que queiram realizar ataques maliciosos contra a rede da sua empresa. Por isso proteger as informações do DNS é de fundamental importância para a segurança da sua rede. Quando tratamos sobre segurança no DNS, três pontos devem ser levados em consideração:

• Limitar o número de usuários com permissão de administração do DNS e que podem fazer alterações nas zonas do DNS.
• Tomar precauções para que as informações contidas nas zonas do DNS não sejam acessadas por usuários não autorizados.
• Questões de segurança relacionadas com as atualizações dinâmicas, para evitar que sejam enviadas atualizações dinâmicas por usuários/computadores não autorizados.

Você pode definir configurações de segurança para limitar  o acesso aos servidores DNS. Por padrão, os grupos Domain Admins (Administradores do domínio), Enterprise Admins (Administradores de empresa), DNS Admins (Administradores do DNS) e o grupo Administrators tem permissão de controle total nos servidores DNS. Você pode retirar as permissões de todos os grupos deixando apenas as permissões do grupo DNS Admins (e talvez também a do grupo Administrators). Com isso você pode controlar quais usuários tem acesso para fazer alterações nos servidores DNS, simplesmente incluindo os usuários que devem ter acesso no grupo DNS Admins.

O grupo DNS Admins é automaticamente criado no Active Directory, quando o DNS é instalado. Por padrão o usuário Administrator (Administrador) é membro do grupo DNS Admin. Este grupo tem permissão de controle total em todos os servidores DNS do domínio. Este grupo também tem permissão de controle total em todas as zonas do DNS integradas com o Active Directory (você aprenderá mais sobre a integração do DNS com o Active Directory mais adiante).

Importante: Ao configurar as permissões de acesso em um servidor DNS, mantenha o grupo Authenticated Users (Usuários Autenticados) na lista com permissão de acesso e mantenha as permissões padrão atribuídas a este grupo. Se você retirar este grupo, os usuários da rede não conseguirão ler informações no servidor DNS, ou seja, as consultas dos clientes não serão respondidas. Na prática é como se o servidor DNS estivesse desligado.

Você também pode configurara quais servidores DNS poderão conter zonas secundárias e efetuar transferência de zonas. Ao limitar os servidores que podem conter zonas secundárias, você evita que alguém de fora da empresa consiga trasferir uma cópia integral das zonas DNS dos servidores da empresa. Ao transferir uma cópia das zonas DNS, o hacker terá acesso a muitas informações importantes, tais como o número IP de diversos servidores. Estas informações facilitarão o trabalho do hacker em uma tentativa de invadir a rede da empresa.]

Outro controle que é muito importante é em relação a quais clientes terão permissão para incluir registros dinamicamente no DNS. Sem um controle de quem pode fazer atualiações dinâmicas, um usuário mal intencionado poderá registrar uma série de registros falos ou até mesmo registrar milhares de registros em um ataque do tipo “Denial of service”, apenas com o objetivo de paralisar o servidor DNS e com isso os serviços que dependem do DNS. Muitos hackers fazem este tipo de ataque, mesmo sem obter nenhuma informação valiosa ou vantagem financeira, apenas por prazer,  para testar seus conhecimentos e sua capacidade. Você tem que estar protegido contra este tipo de ataque.

No Windows Server 2003 você pode fazer com que o DNS somente aceite atualizações dinâmicas enviadas por computadores autenticados no domínio. Este tipo de atualização é conhecido como atualização dinâmica segura (Security Dynamic Update). Porém este tipo de atualização somente está disponível em zonas DNS integradas como Active Directory. Em zonas integradas com o Active Directory você pode definir uma lista de permissão de acesso (semelhante a uma lista de permissões NTFS em uma pasta). Com isso você tem um controle bem maior sobre a segurança no acesso ás informações das zonas do DNS.

Neste capítulo você aprenderá a criar uma zona integrada com o Active Directory, a transformar uma zona primária padrão em uma zona integrada com o Active Directory e a configurar as permissões de acesso a uma zona integrada com o Active Directory.

Bem, vamos fazer um exemplo prático, onde você irá verificar as propriedades de configuração disponíveis para uma zona do DNS.

Para acessar e configurar as propriedades de uma zona do DNS, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console DNS: Start -> Administrative Tools -> DNS (Iniciar -> Ferramentas Administrativas -> DNS).
3.         Será exibido o console DNS. Clique no sinal de + ao lado da opção Forward Lookup Zones (Zonas de pesquisa direta) se você deseja configurar as propriedades de uma zona direta (ou clique no sinal de + ao lado da opção Reverse Lookup Zones (Zonas de pesquisa inversa), se você deseja configurar as propriedades de uma zona inversa. Neste exemplo você irá configurar as propriedades de uma zona direta).
4.         Serão exibidas as zonas de pesquisa direta existentes no servidor.
5.         Clique com o botão direito do mouse na zona a ser configurada. No menu de opções que é exibido clique na opção Properties (Propriedades).
6.         Será exibida a janela de propriedades da zona, com a guia General (Geral) selecionada, conforme indicado na Figura 16.35:

Figura 16.35 A guia geral de propriedades de uma zona direta do DNS.

7.         Nesta guia é informado o nome da zona e a lista Dynamic updates, na qual você pode habilitar ou não as atualizações dinâmicas na zona e escolher o tipo de atualização dinâmica a ser utilizada. Para desabilitar as atualizações dinâmicas (descritas anteriormente), selecione a opção None (Não). Existe também a opção Nonsecure e secure (Segura e não segura). Esta opção aceita atualizações dinâmicas mesmo de computadores não autenticados no domínio, o que pode ser um problema de segurança. O ideal é aceitar apenas atualizações seguras (enviadas por computadores autenticados no domínio). Para aceitar apenas atualizações seguras, a zona deve ser integrada com o Active Directory. Você aprenderá a integrar uma zona com o Active Directory mais adiante.
8.         Clique no botão Aging... (Duração...)
9.         Será aberta a janela Zone Aging/Scavenging Properties (Duração de zona/propriedades de eliminação), indicada na Figura 16.36:

Figura 16.36 A janela para configurações de duração de zona e eliminação de registros.

Nesta janela estão disponíveis as seguintes opções:

• Scavenge stale resource records (Eliminar registros de recursos fora de uso): Especifica se os registros de recurso não atualizados devem ser removidos do banco de dados DNS. Quando configurada para propriedades do servidor (na janela de propriedades do servidor, que apresentarei no próximo item), esta definição aplica-se como valor padrão para todas as zonas do servidor DNS. Quando configurada em uma zona específica (exemplo deste item), esta definição aplica-se somente àquela zona. Marque esta opção para habilitar a eliminação de registros não utilizados na zona que está sendo configurada.
• No-refresh interval (Intervalo sem atualização): Fornece um espaço para você selecionar ou digitar um intervalo de tempo em dias ou em horas. Quando um registro de recurso é atualizado, ele não será atualizado novamente até que esse intervalo de tempo tenha decorrido. Quando configurado para propriedades do servidor, este valor aplica-se como o valor padrão para todas as zonas do servidor. Quando configurado em uma zona específica, este valor aplica-se somente àquela zona que está sendo configurada. Se esse intervalo for aumentado, ele pode fazer com que registros de recursos não atualizados permaneçam no banco de dados DNS por um período de tempo maior.
• Refresh interval (Intervalo de atualização): Fornece um espaço para você selecionar ou digitar um intervalo de tempo em dias ou em horas. Após o intervalo sem atualização expirar, espera-se que os registros de recurso permaneçam no banco de dados DNS por pelo menos o período de tempo especificado neste campo. Quando configurado para propriedades do servidor, este valor aplica-se como o valor padrão para todas as zonas do servidor. Quando configurado em uma zona específica, este valor aplica-se somente àquela zona. Este intervalo não deve ser menor que o período máximo de atualização para quaisquer registros de recurso. Na maioria das redes, esse intervalo corresponde ao intervalo de renovação de concessão de endereços IP pelo DHCP. Para servidores DHCP do Windows Server 2003, o intervalo de renovação padrão é de quatro dias.

10.       Defina as configurações desejadas e clique em OK.
11.       A janela Zone Aging/Scavenging Properties (Duração de zona/propriedades de eliminação) será fechada e você estará de volta à guia General (Geral).
12.       A guia Start of Authority (SOA) foi descrita no item sobre a criação de zonas primárias.
13.       Clique na guia Name Servers.
14.       Será exibida a janela indicada na Figura 16.37:

Figura 16.37 A guia Name Servers.

15.       Nesta guia são listados o nome e o número IP dos servidores que são “autoridade” para a zona. São autoridade o servidor DNS onde está a zona primária e os servidores DNS onde foram criadas zonas secundárias. É importante lembrar que as alterações somente podem ser feitas na zona primária, porém qualque servidor que contenha uma cópia da zona primária (a cópia é chamada de zona secundária), pode responder ”com autoridade” a consultas para os registros da respectiva zona. Em um dos próximos itens você aprenderá a criar zonas secundárias. Você pode usar o botão Add.. (Adicionar) para adicionar um novo servidor, o botão Edit... (Editar) para alterar o nome de um servidor da lista ou o botão Remove (Remover) para excluir um dos servidores da lista. Faça as alterações desajadas e clique na guia WINS.

16.       Será exibida a janela indicada na Figura 16.38:

Figura 16.38 A guia WINS.

O DNS pode “pedir socorro” ao WINS (caso o WINS esteja instalado), quando o DNS não consegue resolver um nome. Na prática, quando for habilitada a integração entre o DNS e o WINS, primeiro o DNS tenta resolver o nome usando um dos processos descritos anteriormente (recursão ou interação). Caso o DNS não consiga resolver o nome, se a integração com o WINS estiver habilitada, o DNS consulta o WINS como uma tentativa final de resolução do nome. Se o WINS conseguir resolver o nome, o DNS responde positivamente a consulta para o cliente, caso contrário o DNS responde negativamente (“não consegui resolver o nome”) para o cliente. Este processo também é conhecido como “Integração da pesquisa WINS”.

O suporte ao uso do Windows Internet Name Serviceé fornecido para pesquisar nomes DNS  que não podem ser resolvidos por meio de consulta ao espaço de nomes de domínio DNS. Para executar uma pesquisa WINS, dois tipos de registros de recursos específicos são usados e podem ser ativados para toda zona carregada pelo serviço DNS.

O registro de recurso WINS, que pode ser ativado para integrar a pesquisa WINS em zonas de pesquisa direta.

O registro de recurso WINS-R, que pode ser ativado para integrar a pesquisa inversa WINS em zonas de pesquisa inversa.

O registro de recurso WINS:

Os serviços WINS e DNS são usados para fornecer resolução de nomes para o espaço de nomes NetBIOS (Network Basic Input Output System) e o espaço de nomes de domínio DNS, respectivamente. Embora tanto o DNS quanto o WINS possam fornecer um serviço de nomes útil e independente aos clientes, o WINS é principalmente necessário porque fornece suporte a clientes e programas mais antigos que exigem suporte para nomes NetBIOS.

Nota: Os conceitos teóricos e as operações práticas com o WINS serão apresentadas neste capítulo.

No entanto, o serviço DNS pode funcionar integrado com o WINS para fornecer pesquisas de nome combinadas nos dois espaços de nomes durante a resolução de um nome de domínio não encontrado nas informações da zona. Para fornecer essa interoperabilidade, um novo registro (o registro WINS) foi definido como parte do arquivo de banco de dados da zona.

A presença de um registro de recurso WINS é que orienta o serviço DNS a usar o WINS para pesquisar quaisquer consultas diretas para nomes de host ou nomes que não foram encontrados no banco de dados da zona. Essa funcionalidade é particularmente útil no caso de resolução de nomes exigida por clientes que não reconhecem o WINS (por exemplo, UNIX) para nomes de computadores não registrados no DNS, como computadores do Windows 95 ou Windows 98.

Como a pesquisa WINS funciona:

Um cliente envia uma pesquisa para o servidor DNS. O servidor DNS tenta resolver a consulta usando o processo normal de resolução de nomes no DNS, descrito anteriormente. Se o servidor que é autoridade para o nome pesquisado não puder responder a consulta (ou seja, o registro não existe na zona pesquisada) e a integração com o WINS estiver ativada, as seguintes etapas serão executadas:

• O servidor DNS separa a parte host do nome no nome de domínio totalmente qualificado contido na consulta DNS. Apenas para recordar, o parte host do nome é a primeira parte do nome. Por exemplo, o nome host para srv01.abc.com.br é srv01.
• O servidor então envia uma solicitação de nome NetBIOS para o servidor WINS usando o nome do host identificado no item anterior.
• Se o servidor WINS puder resolver o nome, ele retorna o endereço IP associado com o nome, para o servidor DNS.
• O servidor DNS então retorna essa informação de endereço IP para o cliente.

Como a pesquisa inversa WINS funciona:

Há também um registro WINS-R ou uma entrada de pesquisa inversa WINS que pode ser ativada e adicionada às zonas de pesquisa inversa. No entanto, como o banco de dados WINS não é indexado por endereço IP, o serviço DNS não pode enviar uma pesquisa de nome inversa para o WINS obter o nome de um computador a partir de seu endereço IP.

Como o WINS não fornece recursos de pesquisa inversa, o serviço DNS, em vez disso, envia uma solicitação de status do adaptador do nó diretamente para o endereço IP implicado na consulta inversa DNS. Quando o servidor DNS obtém o nome NetBIOS a partir da resposta de status do nó, ele anexa o nome de domínio DNS ao nome NetBIOS fornecido na resposta de status do nó e encaminha o resultado para o cliente solicitante.

Observação: Os registros de recursos WINS e WINS-R são proprietários do serviço DNS fornecido pelo DNS do Windows 2000 Server e do Windows Server 2003 e versões anteriores do Windows NT Server.

17.       Feitas as explicações sobre a integração do DNS com o WINS, é nesta guia que você habilita ou não a integração para a zona que está sendo configurada. Para ativar a integração com o WINS, basta marcar a opção Use WINS forward lookup (Usar pesquisa direta WINS). Ao marcar esta opção, a opção Do not replicate this record (Não duplicar este registro) será habilitada. Esta opção especifica se o servidor DNS  replica algum dado de registro de recurso específico do WINS  que ele usa para outros servidores DNS durante transferências de zonas. Selecionar esta opção pode ser útil para prevenir falhas de atualização de zonas ou erros de dados de zona quando você estiver usando uma combinação de servidores Microsoft e outros DNS na sua rede para carregar a zona. O próximo passo é inserir o número IP de um ou mais servidores WINS que serão consultados para a integração do DNS com o WINS. Basta digitar o número IP do servidor DNS e clicar no botão Add (Adicionar). Você pode utilizar o botão Remove (Remover) para excluir um dos endereços IP da lista e os botões Up (Para cima) e Down (Para baixo), para alterar a posição dos servidores na lista. Clique no botão Advanced (Avançado).
18.       Será exibida a janela indicada na Figura 16.39:

Figura 16.39 A janela de configurações avançadas da integração DNS x WINS.

19.       No campo Cache time-out (Tempo limite de cache)você deve digitar um valor Time-To-Live (TTL, tempo de vida) que possa ser utilizado por outros servidores DNS e por alguns clientes DNS para determinar por quanto tempo eles devem armazenar informações em cache nesse registro de recurso retornado através do uso da integração de pesquisa WINS. O formato de tempo digitado deve ser em dias (DDDDDD), horas (HH), minutos (MM) e segundos (SS). No campo Lookup time-out (Tempo limite de pesquisa) você pode digitar uma quantidade de tempo para controlar por quanto tempo o servidor DNS  esperará por uma resposta do WINS  antes de retornar uma mensagem de erro "nome não encontrado" ao solicitante. O formato de tempo que você digita deve ser em dias (DDDDDD), horas (HH), minutos (MM) e segundos (SS).
20.       Defina as opções desejadas na janela de configurações avançadas e clique em OK. Você estará de volta à janela de propriedades da zona.
21.       Clique na guia Zone Transfer (Transferência de zona). Será exibida a janela indicada na Figura 16.40:

Figura 16.40 A guia para configuração de transferência de zonas.

22.       Esta guia tem uma relação direta com a segurança no DNS. Nesta guia você pode limitar quais servidores estão autorizados a efetuar uma transferência de uma ou mais zonas do servidor DNS. Na prática você está limitando em quais servidores podem ser criadas zonas secundárias, das zonas primárias existentes no servidor DNS. Estas configurações podem ser utilizadas para evitar que usuários externos possam copiar informações de zonas inteiras. Estas informações seriam de grande ajuda para um hacker que está com a intenção de invadir a rede da empresa. Limitando os servidores que podem copiar informações das zonas do servidor DNS, você está fechando mais uma porta e dificultando mais a vida dos hackers. Por padrão, a opção Allow zone transfer (Permitir transferência de zona) é marcada. Se esta opção estiver marcada, será permitido que sejam criadas zonas secundárias desta zona em outros servidores. Se esta opção for desmarcada, isso impedirá que as informações nesta zona repliquem para outros servidores. Você também pode definir quais servidoes terão permissão para copiar informações desta zona. As opções disponíveis são as seguintes:

• To any server (Para qualquer servidor): Evidentemente que esta é a opção menos segura, ou seja, qualquer servidor DNS poderá criar uma zona secundária e copiar todas as informações da zona que está sendo configurada. Por incrívil que pareça, esta é a opção padrão no DNS do Windows 2000 Server. Já no Windows Server 2003 a opção padrão é somente para servidores listados na guia Name Servers (Servidores de nome), descrita anteriormente.
• Only to servers listed in the Name Servers tab (Somente para servidores listados na guia ‘Servidores de nome’): Esta opção especifica que as transferências de zona só são permitidas a servidores nomeados na guia Name Servers (Servidores de nomes). Essa ação permite a você restringir transferências de zona dessa zona para uma lista de servidores de nomes para esse domínio. Se você marcar esta opção, deve informar na lista Name Servers (Servidores de nomes), quais os servidores terão permissão para copiar informações desta zona. Se um servidor tentar copiar informações desta zona, sem ter as devidas permissões, as informações não serão copiadas e a zona fica marcada (no servidor que tentou copiar, não a zona original) com um sinal de erro, conforme exemplo da Figura 16.41:

Figura 16.41 Tentativa de copiar uma zona sem permissão.

• Only to following servers (Somente para os servidores a seguir): Ao marcar esta opção, você pode especificar uma lista de servidores os quais estarão autorizados a transferir informações sobre a zona que está sendo configurada, ou seja, servidores que estarão autorizados a criar zonas secundárias da zona que está sendo configurada. Para inserir servidores na lista basta digitar o número IP do servidor e clicar no botão Add (Adicionar).

Nesta guia você também tem o botão Notify... (Notificar). Ao clicar neste botão será aberta a janela Notify (Notificar), indicada na Figura 16.42:

Figura 16.42 A janela Notify.

Nesta guia você define quais servidores devem ser notificados automaticamente sobre as alterações efetudas na zona. Você pode limitar a notificação apenas aos servidores listados na guia Server Names (Servidores de Nomes) ou pode especificar uma lista de servidores a serem notificados.

23.       Defina as configurações desejadas na janela Notify (Notificar) e clique em OK.
24.       Você estará de volta à guia Zone Transfer. Defina as configurações desejadas e clique em OK.
25.       Pronto. Sobre configurações das propriedades de uma zona é isso.

Configurando as propriedades do servidor DNS.

No item anterior você aprendeu a configurar as propriedades de uma zona. Estas configurações afetam apenas a zona que está sendo configurada. Quando você configura as propriedades do servidor DNS, você está alterando opções que afetam todas as zonas do servidor. Existem algumas proprieadades que são relacionadas com a maneira de operação do servidor DNS e não com as configurações de zonas especificamente. Neste item você aprenderá a configurar as propriedades do servidor DNS.

Para acessar e configurar as propriedades do servidor DNS, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console DNS: Start -> Administrative Tools -> DNS (Iniciar -> Ferramentas Administrativas -> DNS).
3.         Será exibido o console DNS. Clique com o botão direito do mouse no nome do servidor DNS a ser configurado (lembrando que você pode utilizar o console DNS para se conectar e administrar vários servidores DNS, centralizadamente a partir de um único console).
4.         No menu de opções que é exibido clique em Properties (Propriedades).
5.         Será exibida a janela de propriedades do servidor DNS, com a guia Interfaces (Interfaces) já selecionada, conforme indicado na Figura 16.43:

Figura 16.43 A guia de interfaces.

Um servidor com o Windows Server 2003 instalado pode ter mais de uma placa de rede instalada e pode também ter mais de um endereço IP configurado em uma mesma placa de rede. Cada endereço IP representa uma interface. Você pode configurar o DNS para responder à consultas enviadas por todas as interfaces (que é a opção padrão) ou apenas à conultas enviadas através das interfaces que você configurar nesta guia.

6.         Para que o DNS responda à consultas enviadas por qualquer interface, certifique-se de que a opção All IP Address (Em todos os endereços IP) esteja selecionada. Para fazer comque o DNS responda apenas à determinadas interfaces, marque a opção Only the following IP address (Somente nos seguintes endereços IP) e informe os endereços IP. Para adicionar um novo endereço IP digite o endereço e clique no botão Add (Adicionar). Para remover um endereço IP da lista basta selecioná-lo e clicar no botão Remove (Remover).
7.         Clique na guia Forwarders (Encaminhadores – a tradução é realmente um ‘horror’). Será exibida a janela indicada na Figura 16.44:

Figura 16.44 A guia Forwarders.

Aqui é preciso um pouco mais de detalhes sobre o conceito de Forward em um servidor DNS. Então vamos à teoria do uso de Forwarders (ou se preferirem: Encaminhadores).

Os servidores DNS podem ser configurados para enviar todas as consultas recursivas a uma lista selecionada de servidores, conhecidos como encaminhadores. Os servidores usados na lista de encaminhadores fornecem pesquisa recursiva para todas as consultas que um servidor DNS recebe e que não pode responder com base em suas zonas locais. Durante o processo de encaminhamento, um servidor DNS configurado para usar encaminhadores (um ou mais servidores, com base na lista de encaminhadores) se comporta essencialmente como um cliente DNS para seus encaminhadores.

Benefícios de usar encaminhadores

Os encaminhadores são freqüentemente desejáveis quando o acesso a servidores DNS remotos é feito através de links de WAN de baixa velocidade, como uma rede interna de velocidade rápida vinculada à Internet por intermédio de uma conexão de velocidade relativamente baixa. O uso de encaminhadores ajuda a reduzir o tráfego de WAN, relacionado a resolução de nomes DNS, das seguintes maneiras:

• Reduz o número de consultas gerais enviadas através do link de WAN: Por exemplo, se seu servidor DNS tem uma conexão dial-up de custo elevado e lenta, com um provedor de serviços da Internet (ISP, Internet service provider). Quando o servidor DNS usado como um encaminhador da sua rede interna recebe uma consulta para um nome remoto na Internet, ele pode entrar em contato direto com servidores remotos na Internet. Ele pode repetir consultas adicionais até determinar o servidor autorizado para o nome. Após encontrar o servidor autorizado, o encaminhador entra em contato com ele e recebe uma resposta completa.

Outra opção que pode reduzir o tráfego é usar um servidor DNS na Internet como um encaminhador. Antes de decidir sobre essa configuração, obtenha permissão para usar um servidor DNS da Internet como seu encaminhador designado, como um servidor gerenciado pelo seu ISP. Nessa configuração, todas as consultas são enviadas ao servidor DNS configurado na lista de Forwareders e ele só retorna a resposta de volta para o cliente. Observe que todo o tráfego de resolução fica entre o servidor configurado como Forward do servidor DNS interno e a Internet. Entre o servidor DNS interno e o servidor DNS configurado como Forward, é transmitida somente a consulta (do servidor interno para o Forward) e a resposta à consulta (do servidor Forward para o servidor DNS interno). Cada consulta representa um único percurso de ida e volta através do link de WAN, deixando todo o tráfego de resolução entre o Forward e a Internet.

• Compartilhar resultados remotos na sua rede local: Os encaminhadores fornecem um modo de compartilhar informações sobre nomes remotos com um grupo de servidores DNS localizados na mesma área. Por exemplo, pressuponha que sua organização tem diversos servidores DNS em uma rede local. Em vez de fazer com que cada servidor envie consultas através de uma firewall e para a Internet, todos os servidores DNS são configurados para encaminhar consultas para um único servidor DNS (localizado na firewall) que faça as consultas necessárias aos servidores remotos. No processo, o encaminhador criar um cache de nomes DNS da Internet a partir das respostas recebidas. Ao longo do tempo, como os servidores DNS locais continuam a encaminhar consultas para ele, o encaminhador responde a mais consultas a partir de seu cache porque ele começa a ter um número crescente de respostas com base nas consultas anteriores para os mesmos nomes ou nomes similares. Mais uma vez a idéia é isolar o tráfego de resolução entre um único servidor DNS (configurado como Forward) e à Internet.

Mais de um encaminhador pode ser listado. Cada servidor na lista é tentado somente uma vez e todas as tentativas de repetição adicionais para o mesmo servidor só podem ocorrer repetindo seu endereço IP na lista.

Se um servidor DNS não estiver configurado para usar encaminhadores, ele usará o processo de consulta iterativa normal para responder às consultas recursivas para nomes remotos.

Usar os encaminhadores exclusivamente (sem recursão)

Quando um servidor DNS é configurado para usar encaminhadores, eles são usados antes de qualquer outro meio de resolução de nomes ser tentado. Se a lista de encaminhadores falhar ao fornecer uma resposta positiva, um servidor DNS poderá tentar resolver a consulta por si próprio usando consultas iterativas e recursão padrão.

Um servidor também pode ser configurado para não executar recursão depois que os encaminhadores falharem. Nessa configuração, o servidor não tentará nenhuma consulta recursiva adicional por si próprio para resolver o nome. Em vez disso, a consulta irá falhar se não obtiver uma resposta de consulta bem sucedida a partir de qualquer um dos encaminhadores.

Isso obrigará um servidor DNS a usar seus encaminhadores configurados exclusivamente para executar a resolução final quando resolver uma consulta de nome. Nesse modo de operação, um servidor configurado para usar encaminhadores poderá ainda verificar primeiro nas suas zonas configuradas para tentar resolver um nome consultado. Se ele localizar um correspondente nos seus dados locais (nas zonas do servidor DNS), ele poderá responder à consulta com base nessas informações.

Para tornar um servidor DNS um encaminhador exclusivo, basta marcar a opção Do not use recursion to this domain (Não usar recursão para este domínio).

Nota: Ao usar encaminhadores, as consultas são enviadas para cada encaminhador da lista, ao qual é atribuído um valor de tempo limite em segundos, dentro do qual ele deve responder antes que o próximo encaminhador seja tentado. Por padrão este tempo é de 5 segundos e é configurado no campo Number of seconds before forward queries time out, da guia Forwarders.

Conditional forwarders (Forward Condicional):

Esta é uma novidade do DNS do Windows Server 2003. Você pode configurar diferentes servidores para os quais serão encaminhadas as consultas, com base no domínio pesquisado. Por exemplo, você pode encaminhar todas as consultas para nomes do domínio abc.com.br para um servidor e para o domínio xyz.com.br para outro servidor.

As configurações para que seja feito um encaminhamento condicional são as seguintes:

• O nome do domínio.
• Um ou mais número IP de servidores DNS para os quais serão encaminhadas as consultas do domínio específico.

Quando o cliente DNS envia uma consulta, o sevidor DNS tenta resolver a consulta usando as informações contidas no cache e nas zonas do próprio servidor. Se a consulta não puder ser resolvida e o servidor DNS estiver configurado para fazer o encaminhamento condicional, a consulta será encaminhada para o servidor DNS associado com o domínio do nome que está sendo consultado. Se não for habilitada o encaminhamento condicional, a consulta será encaminhada para os servidores configurados na lista de forward, na ordem em que eles estão listados, até que a consulta seja resolvida. Se mesmo assim a consulta não for resolvida e o servidor estiver habilitado para recursão, será utilizado o método de recursão descrito anteriormente. Somente se mesmo assim não houver uma resposta para a consutla é que o servidor DNS retorna uma resposta negativa para o cliente, informando que o nome não pode ser resolvido. Ou seja, faz-se de tudo para que o nome possa ser corretamente resolvido.

Importante: Um servidor DNS não pode encaminhar consultas para nomes que façam partes de domínios para os quais o servidor é autoridade do domínio, ou seja, para zonas que estão configuradas no próprio servidor. Por exemplo, um servidor que é a autoridade para abc.com.br, não poderá encaminhar para outros servidores, consultas para nomes do domínio abc.com.br. Por exemplo, chega uma consulta para o nome srv01.abc.com.br. O servidor DNS que é autoridade para o domínio abc.com.br, não poderá encaminhar esta consulta para outros servidores DNS.

Agora vamos voltar a guia Forwarders (Encaminhadores) e ver como fazer as configurações práticas.

8          Para usar encaminhadores para qualquer domínio, ou seja, não condicional, basta manter apenas a opção All other DNS domains (Todos os outros domínios DNS) na lista DNS Domain e inserir os endereços IP dos servidores para os quais as consultas devem ser encaminhadas. Para inserir um novo número IP basta digitar o endereço IP e clicar no botão Add (Adicionar). Para remover um endereço IP basta clicar no endereço a ser removido e depois no botão Remove (Remover). Você pode alterar a ordem dos endereços listados, clicando em um dos endereços e usando os botões Up (Para cima) e Down (Para baixo).
9          Para criar um encaminhamento condicional você deve clicar no botão New (Novo). Será aberta a janela New Forwarder (Novo Encaminhador). Digite o nome do domínio, conforme indicado na Figura 16.45:

Figura 16.45 Informando um DNS para encaminhamento condicional.

10.       Digite o domínio desejado e clique em OK. Você estará de volta à guia Forwarders, com o domínio digitado já listado na lista de domínios. Clique no domínio para selecioná-lo e informe o endereço IP de um ou mais servidores para os quais serão encaminhadas consultas para o domínio selecionado. Pronto, você acabou de criar um encaminhamento condicional, conforme exemplo da Figura 16.46, onde criei um encaminhamento condicional para consultas para o domínio juliobattisti.com.br.

Figura 16.46 Configurações do Forward Condicional.

11.       Dê um clique na guia Advanced (Avançado). Nesta guia você tem uma série de configurações que afetam a maneira como o DNS trabalha e resolve as consultas (além de ser um excelente assunto para questões dos exames de certificação da Microsoft). Serão exibidas as opções de configurações avançadas, conforme indicado na Figura 26.47:

Figura 16.47 Configurações avançadas do servidor DNS.

Na lista Server options (Opções de servidor), você tem as seguintes opções disponíveis:

• Disable recursion (also disables forwarders) [Desativar recursão (também desabilitar encaminhadores)]: Esta opção determina se o servidor DNS usa ou não a recursão. Por padrão, os servidores DNS do Windows 2000 e do Windows Server 2003  são ativados para usar recursão. Você pode marcar esta opção se for necessário desativar o método de recursão para para a resolução de nomes.
• BIND secondaries (BINDs secundários): Esta opção define se será usado o formato de transferência rápido na transferência de uma zona para servidores DNS que executam implementações Berkeley Internet Name Domain (BIND) legadas, isto é, com versões mais antigas do BIND. Por padrão, todos os servidores DNS baseados em Windows usam um formato de transferência de zona rápida, que usa compactação e pode incluir vários registros por mensagem TCP (Transmission Control Protocol, protocolo de controle de transmissão) durante uma transferência conectada. Esse formato também é compatível com os servidores DNS baseados em BIND que executam versões 4.9.4 e posterior. Caso você ainda utilize algum servidor DNS com versão mais antiga do BIND e que precise receber atualizações, você deve habilitar esta opção.
• Fail on load if bad zone data (Falha na carga se ocorrerem dados de zona defeituosos): Por padrão, os servidores DNS do Windows 2000 e do Windows Server 2003,  registram os erros nos dados, ignoram todos os dados defeituosos em arquivos de zona e continuam a carregar a zona. Você pode marcar esta opção para que o Servidor DNS registre os erros e falhas ao carregar um arquivo de zona e que não continue a carregar a zona que contém erros.
• Enable round robin (Ativar round robin): Determina se o servidor DNS usará round robin para alternar e reordenar uma lista de vários registros de recursos de host (A) se um nome de host consultado for para um computador configurado com vários endereços IP (Internet Protocol, protocolo Internet). Por padrão, os servidores DNS do Windows 2000 usam round robin. A seguir apresento mais detalhes sobre o recurso de round robin.

Configurar round robin:

Round robin é um mecanismo de equilíbrio local usado pelos servidores DNS  para compartilhar e distribuir cargas entre dois ou mais servidores da rede. Por exemplo, pode ser utilizado para distribuir os acessos a um site de elevado volume de acessos entre dois ou mais servidores que contém exatamente o mesmo conteúdo. Em resumo, a um único nome DNS são associados dois ou mais endereços IP. A medida que as requisições vão chegando, o DNS responde cada consulta com um dos endereços IP. Isso proporciona uma distribuição igualitária de carga entre os diversos servidores.

Para que o round robin funcione, vários registros de recursos A para o mesmo nome devem ter sido criados na zona.

Exemplo: Rotação round-robin

Uma consulta do tipo pesquisa direta (para todos os registros do tipo A que correspondem a um único nome de domínio DNS) é feita em um computador com diversas bases que tem três endereços IP diferentes, associados ao nome. Registros do tipo A separados são usados para mapear o nome de host para cada um desses endereços IP na zona. Na zona os registros são exibidos em uma ordem fixa, conforme exemplo a seguir:

srv01   IN  A  10.10.10.1
srv01   IN  A  10.10.10.2
srv01   IN  A  10.10.10.3

O primeiro cliente DNS que consulta o servidor para resolver seu nome de host (srv01) recebe a lista na ordem padrão. Quando um segundo cliente envia uma consulta subseqüente para resolver esse nome, a lista é girada de acordo com o seguinte:

srv01   IN  A  10.10.10.2
srv01   IN  A  10.10.10.3
srv01   IN  A  10.10.10.1

e assim sucessivamente para os próximos clientes.

• Enable netmask ordering (Ativar ordem de máscara de rede): Determina se o servidor DNS reordenará uma lista de vários registros de recursos A com base na prioridade da sub-rede local se um nome de host consultado for um computador com diversas bases. Por padrão, os servidores DNS do Windows 2000 e do Windows Server 2003 usam prioridade de sub-rede local. Para obter maiores informações, consulte Atribuir prioridades a sub-redes locais. Este item merece um pouco mais de detalhes.

Atribuir prioridades a sub-redes locais

Por padrão, o serviço DNS usa a atribuição de prioridades a sub-redes locais como o método para dar preferência a endereços IP (Internet Protocol, protocolo Internet) na mesma rede quando uma consulta de cliente é resolvida para um nome de host que está mapeado para mais de um endereço IP. Ou seja, se o cliente enviou uma consulta para um nome e existem,  por exemplo, dois endereços IP associados com o nome. O servidor DNS dará preferência ao endereço IP que for da mesma rede do cliente que enviou a consulta (caso um dos endereços IP seja da mesma rede).Esse recurso permite que o aplicativo do cliente se conecte ao host que esteja usando seu endereço IP mais próximo (e normalmente o mais rápido) disponível para a conexão.

O serviço DNS usa a prioridade à sub-rede local da seguinte maneira:

I.          O serviço DNS determina se a atribuição de prioridade à sub-rede local é necessária para ordenar a resposta à consulta. Se mais de um registro de recurso do tipo A corresponder ao nome de host consultado, o serviço DNS pode reordenar os registros de acordo com sua localização na sub-rede. Se o nome de host consultado corresponder apenas a um registro de recurso A único ou se o endereço de rede IP do cliente não corresponder a um endereço de rede IP de nenhum dos endereços mapeados em uma lista de resposta de vários registros, nenhuma atribuição de prioridade será necessária.

II.        Para cada registro que faz parte da lista de respostas a serem enviadas para o cliente, o serviço DNS determina quais registros (se houver) correspondem à localização da sub-rede do cliente solicitante.

III        O serviço DNS reordena a lista de resposta para que um registro do tipo A, que corresponda à sub-rede local do cliente solicitante seja posicionado em primeiro lugar na lista de resposta.

IV.       Com atribuição de prioridade ordenada de acordo com a sub-rede, a lista de resposta é retornada ao cliente solicitante.

O resultado prático desta priorização é que se um dos endereços retornados fizer parte da mesma rede do cliente, este endereço será utilizado, preferencialmente (será o primeiro da lista).

Observação: A prioridade da sub-rede local substitui o uso da rotação round robin para nomes com vários endereços IP associados. Entretanto, quando o round robin está ativado, os registros continuam a ser alternados usando o round robin como o método de classificação secundário da lista de respostas.

• Secure cache against pollution (Proteger cache da poluição): Determina se o servidor tentará limpar as respostas para evitar poluição do cache. Por padrão, os servidores DNS do Windows 2000 e do Windows Server 2003 usam uma opção de resposta segura que elimina a adição de registros de recursos não relacionados incluídos em uma resposta de referência ao seu cache. Na maioria dos casos, todos os nomes adicionados em respostas de referência são normalmente armazenados em cache e ajudam a acelerar a velocidade de resolução das consultas DNS subseqüentes. Com esse recurso, entretanto, o servidor pode determinar que nomes referenciados são potencialmente poluentes e não seguros, e descartá-los. O servidor determina se o nome oferecido será armazenado em cache em uma referência com base no fato dele fazer parte ou não da árvore exata de nomes de domínios DNS relativa para a qual o nome original foi consultado. Por exemplo, se uma consulta foi originalmente feita para "rh.abc.com" e uma resposta de referência forneceu um registro para um nome fora da árvore de nomes de domínio "abc.com", como por exemplo xyz.com, então esse nome não deverá ser armazenado em cache, se esta opção estiver marcada.

Na lista Load zone data on startup (Carregar dados da zona ao iniciar) você pode selecionar o método de inicialização usado por este servidor DNS. Estão disponíveis os métodos From Active Directory and Registry (novidad no Windows Server 2003), From registry e From file. Por padrão, o servidor DNS usa informação gravada na registry do sistema para inicializar o serviço e carragar as informações sobre as zonas do servidor DNS. O DNS também pode ser configurado para carregar informações a partir de um arquivo ou no caso de um servidor com zonas integradas com o Active Directory, você pode usar a opção From Active Directory and Registry. Se você utilizar o método File, o arquivo de inicialiação deve ser um arquivo de texto, com o nome Boot, localizado na pasta systemroot\Windows\System32\Dns, onde systemroot representa a pasta onde o Windows Server 2003 está instalado.

Nesta guia você também pode marcar a opção Enable automatic scanvenging for stale records (Ativar eliminação automática dos registros fora de uso). Ao marcar esta opção você poderá definir o período pelo qual o registro deve ficar fora de uso antes de ser excluído.

Você também pode utilizar o botão Reset to Default, para voltar o servidor DNS a suas configurações padrão, que são as seguintes:

Propriedade                                       Valor padrão
Disable recursion                                 Off 
BIND secondaries                                  On 
Fail on load if bad zone data                     Off 
Enable round robin                                On 
Enable netmask ordering                           On 
Secure cache against pollution                    On 
Name checking Multibyte                           UTF8
Load zone data on startup                         From Active Directory and registry 
Enable automatic scavenging of  stale records     Off

12.       Defina as configurações desejadas, de acordo com as necessidades do servidor DNS que você está configurando.
13.       Clique na guia Root Hints. Será exibida a janela indicada na Figura 16.48:

Figura 16.48 Lista de servidores root do DNS.

Nota: Eu não posso deixar de registrar o meu protesto contra as traduções. No Windows 2000 Server, em Português, a tradução de Root Hints foi “Dicas de raiz”. Deus nos ajude. Tudo bem, a tradução pode até estar correta. Mas quem traduziu realmente não tinha a mínima idéia de DNS. O que significa para o DNS: Dicas de raiz”. Nada, absolutamente nada elevado ao quadrado.

Nesta janela é exibida a lista dos servidores root da Internet, utilizados no processo de recursão, descrito anteriormente. Você pode alterar as informações de um dos servidores utilizando o botão Edit (Editar), pode adicionar novos servidores usando o botão Add (Adicionar) e pode remover servidores usando o botão Remove (Remover), embora seja pouco provável que você tenha que efetuar alguma destas operações.

Por padrão, os servidores DNS implementam a lista dos servidores raiz usando um arquivo, Cache.dns, que é armazenado na pasta %SystemRoot%\System32\Dns do servidor. Esse arquivo normalmente contém os registros de recursos NS e A para os servidores raiz da Internet. Se, entretanto, você estiver usando o serviço DNS em uma rede particular, poderá editar ou substituir esse arquivo por registros similares que apontem para seus próprios servidores DNS raiz internos.

Outra configuração de servidor na qual esta lista pode ser tratada de modo diferente é aquela na qual um servidor DNS é configurado para ser usado por outros servidores DNS em um espaço de nomes interno como um encaminhador de todas as consultas de nomes DNS gerenciadas externamente (a Internet, por exemplo). Muito embora o servidor DNS usado como um encaminhador possa estar localizado internamente na mesma rede dos servidores que o utilizam como um encaminhador, ele precisa da lista de servidores raiz da Internet para funcionar corretamente e resolver nomes externos. Este é um dos exemplos que citei anteriormente, onde todos os servidores DNS interno encaminham as consultas para um único forward, para reduzir o tráfego de WAN relacionado com a resolução de nomes.

Nota: Se você está utilizando servidores raiz internos, não use a lista de servidores raiz. Em vez disso, exclua o arquivo Cache.dns inteiramente de todos os seus servidores raiz. Se um servidor DNS estiver configurado para conhecer outros servidores DNS, como através de uma lista de servidores DNS configurados nas propriedades TCP/IP dos clientes, , o serviço DNS será capaz de obter suas próprias dicas de localização de servidores raiz durante uma nova configuração do servidor. Você pode usar o Assistente para configuração de novo servidor fornecido com o console DNS para realizar essa tarefa.

14.       Defina as configurações desejadas, de acordo com as necessidades do servidor DNS que você está configurando.
15.       Clique na guia Debug Logging  Será exibida a janela indicada na Figura 16.49:

Figura 16.49 Definindo as opções de debug do Log.

16.       Nesta guia, que é novidade do DNS do Windows Server 2003, você pode definir quais pacotes de informação enviados ou recebidos pelo servidor DNS, devem ser gravados no arquivo de log. Ao marcar a opção Log packets for debugging serão habilitadas as opções para que você defina quais pacotes devem ser gravados no log.
17.       Defina as configurações desejadas, de acordo com as necessidades do servidor DNS que você está configurando.
18.       Clique na guia Event Logging  Será exibida a janela indicada na Figura 16.50:

Figura 16.50 A guia Event Logging.

Nesta guia você configura quais tipos de eventos deseja registrar no log do DNS. No events (Nenhum evento), Erros only (Somente erros), Errors and Warnings (Erros e Avisos) ou All events (Todos os eventos).
19.       Defina as configurações desejadas, de acordo com as necessidades do servidor DNS que você está configurando.
20.       Clique na guia Monitoring  Será exibida a janela indicada na Figura 16.51:

Figura 16.51 A guia Monitoring.

Esta guia é utilizada para configurar testes de resolução que o servidor DNS pode fazer periodicamente. Nesta mesma janela você define a periodicidade dos testes. Por exemplo, a cada 1 minuto, a cada 5 minutos, a cada hora e assim por diante. O resultado dos testes é exibido na lista Test results. Você pode habilitar teste de uma simples consulta no servidor DNS ou de uma consulta usando recursão.

21.       Defina as configurações desejadas, de acordo com as necessidades do servidor DNS que você está configurando.
22.       Clique na guia Security.  Será exibida a janela indicada na Figura 16.52:

Figura 16.52 A guia Security.

23.       Nesta guia são exibidos os grupos e usuários e as respectivas permissões de acesso aos recursos do servidor DNS. Esta é uma lista de permissões ou tecnicamente conhecida como ACL – Access Control List (Lista de Controle de Acesso), similar as utilizadas para definir permissões NTFS em pastas e arquivos. Você pode utilizar esta lista para restringir quais usuários e grupos podem ter acesso e fazer alterações nas configurações do servidor DNS.

24.       Defina as configurações desejadas, de acordo com as necessidades do servidor DNS que você está configurando e clique em OK para fechar a janela de propriedades.
25.       É isso, agora você já sabe todas as opções de configuração do servidor DNS.

Criando zonas secundárias.

Quando você cria a zona pela primeira vez, ele é uma zona primária. Somente na zona primária é permitido fazer alterações nos registros da zona. Além da zona primária, o DNS permite que sejam feitas cópias da zona em outros servidores DNS. Estas cópias são as zonas secundárias. Por exemplo, você pode ter uma zona primária no servidor DNS da matriz da empresa e querer criar uma zona secundária (cópia da zona primária), nos servidores DNS de cada filial, para reduzir o tráfego devido a resolução de nomes DNS, no link de WAN. As zonas secundárias são reconhecidas como autoridades para o domínio (ou domínios) que gravm informações na zona e pode responder às consultas enviadas pelos clientes. A únida diferença, em relação a zona primária, é que não podem ser feitas alterações, adições de novos registros e exclusões nas zonas secundárias. Sempre que houver alterações na zona primária, o servidor DNS onde está a zona primária, notifica os servidores DNS onde existem zonas secundárias. Os servidor DNS da zona secundário solicita que as alterações sejam envidas a partir da zona primária. Com isso o DNS mantém as zonas sincronizadas, ou seja, alterações feitas nas zonas primárias são repassadas para as zonas secundárias. O DNS usa um mecanismo de replicação incremental, ou seja, somente as alterações são replicadas e não todo o conteúdo da zona. este item você aprenderá a criar uma zona secundária.

Para criar uma zona secundária, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console DNS: Start -> Administrative Tools -> DNS (Iniciar -> Ferramentas Administrativas -> DNS).
3.         Será exibido o console DNS.
4.         Neste exemplo você criará uma zona secundária direta. Clique com o botão direito do mouse na opção Forward Lookup Zones (Zonas de resolução direta).
5.         No menu de opções que é exibido clique em New Zone... (Nova Zona...).
6.         Será aberto o assistente para a criação de uma nova zona.. A primeira tela do assistente é apenas informativa. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
7.         Nesttpa você deve informar o tipo de zona a ser criada. Estão disponíveis as opções Primary zone, Secondary zone e Stub zone. Você aprenderá sobre Stub zone mais adiante. Se o servidor que você está utilzando for um DC, e a zona a ser criada for uma zona primária, estará habilitada a opção Store de zone in Active Directory. Você também aprenderá sobre esta opção mais adiante e sobre a integração do DNS com o Active Directory. Para o nosso exemplo, defina as configurações indicadas na Figura 16.53:

Figura 16.53 Criando uma zona secundária.

8.         Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
9.         Nesta etapa será solicitado o nome da zona. O nome a ser digitado deve ser o mesmo nome da zona primária. Digite o nome da zona e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
10.       Nesta etapa você informa o endereço IP do servidor DNS onde está a zona primária. Informe o endereço IP do servidor e clique no botão Add (Adicionar), conforme exemplo da Figura 16.54 e clique em Next (Avançar), para seguir para a próxima etapa do assistente.

Figura 16.54 Informando o número IP do servidor onde está a zona primária.

11.       Será exibida a tela final do assistente. Se você quiser alterar alguma configuração utilize o botão Back (Voltar). Para encerrar o assistente e criar a zona secundária clique em Finish (Concluir).
12.       A nova zona será criada e já será exibida na lista de zonas do servidor DNS. Se houver uma mensagem de erro, juntamente com um pequeno x branco, dentro de um círculo vermelho, significa que houve algum problema na hora de copiar os dados da zona primária para a zona secundária recém criada. Na maioria das vezes, se a zona primária estiver em um servidor DNS remoto, ligado através de um link de WAN de baixa velocidade, pode demorar algum tempo até que as informações sejam copiadas e a zona esteja disponível. Na Figura 16.55 é indicada a zona secundária groza.com recém criada e com as informações já disponíveis, ou seja, já foram copiadas a partir da zona primária.

Figura 16.55 Zona secundária groza.com, recém criada.

Integração do DNS com o Active Directory.

No Windows 2000 Server e também no Windows Server 2003, o serviço Servidor DNS foi cuidadosamente integrado à criação e implementação do Active Directory.

Existem dois pontos fundamentais a serem considerados na integração do DNS com o Active Directory:

• O DNS é necessário para localização dos DCs do domínio.
• O serviço Netlogon usa o novo suporte ao servidor DNS para fornecer registro de controladores de domínio no seu espaço de nomes de domínio DNS.

As zonas do DNS podem ser armazenadas na base de dados do Active Directory. Esta integração fornece vantagens adicionais, tais como a utilização dos sofisticados recursos de replcação do Active Directory, maior segurança, pois zonas integradas com o Active Directory somente aceitam atualizações dinâmicas seguras, ou seja, de computadores autenticados no domínio e o uso dos recursos de expiração e eliminação de registros baseados em informações de validade.

Como o DNS é integrado ao Active Directory

A integração inicia no momento da instalação do Active Directory em um member server, para torná-lo um DC. O assistente de localização do Active Directory solicita que você informe o nome DNS do domínio para o qual está sendo criado um novo DC. Durante a instalação o assistente deve ser capaz de se conectar a um servidor DNS que seja autoridade para o domínio informado. Se isso não for possível, o assistente irá se oferecer para instalar e configurar o DNS no próprio servidor que está sendo promovido a DC. Se isso também não for possível, o Active Directory não poderá ser instalado. Ou seja, se não for possível localizar o servidor DNS que é autoridade pelo domínio ou instalá-lo no próprio DC, o Active Directory não poderá ser instalado.

Depois que tiver instalado o Active Directory, você tem duas opções para armazenar e duplicar suas zonas quando operar o servidor DNS no novo controlador de domínio.

• Armazenamento de zona padrão usando um arquivo baseado em texto. As zonas armazenadas dessa maneira estão localizadas em arquivos de texto, com a extensão .Dns que são armazenados na pasta %SystemRoot%\System32\Dns em cada computador que opera um servidor DNS. Os nomes de arquivo de zona correspondem ao nome que você escolhe para a zona durante a sua criação, como Exemplo.abc.com.dns é o arquivo que armazena informações para a zona abc.com.
• Armazenamento de zona integrada ao diretório usando o banco de dados do Active Directory.
  As zonas armazenadas dessa maneira estão localizadas na árvore do Active Directory . Cada zona integrada ao diretório é armazenada em um objeto do tipo dnsZone identificado pelo nome que você escolhe para a zona durante a sua criação.

Benefícios da integração ao Active Directory

Em redes que distribuem o DNS para oferecer suporte ao Active Directory, as zonas primárias integradas ao diretório são especcialmente recomendadas e proporcionam os seguintes benefícios:

• Atualizações multi-master baseada na replicação do Active Directory. e recursos de segurança avançada baseadas nos recursos do Active Directory. Para zonas não integradas, o modelo de atualização é do tipo single-master. Somente a zona primária sofre alterações e repassa estas alterações para as zonas secundárias. Se o servidor onde está a zona primária apresentar problemas, novas atualizações dinâmicas e outras alterações não poderão ser processadas, enquanto este servidor não for recuperado. Já com zonas integradas ao Active Directory, podem ser feitas alterações em qualquer cópia da zona e existe uma cópia em todos os DCs do domínio, onde o DNS estiver instalado. Além disso, alterações podem ser feitas em qualquer uma das cópias da zona. O mecanismo de replicação do Active Directory se encarrega de manter as várias cópias sincronizadas.

Com esse modelo, qualquer servidor DNS que contenha uma zona integrada ao Active Directory, poderá receber atualizações dinâmicas enviadas pelos clientes. Com isso não haverá um ponto único de falha, como no caso do modelo baseado em zonas padrão.

Outra vantagem das zonas integradas é que todo objeto do Active Directory possui uma ACL – Access Control List (idêntica a lista de permissões NTFS para uma pasta ou arquivo). Você pode editar esta ACL para as zonas do DNS integradas ao Active Directory, para ter um controle mais refinado sobre quem tem acesso e qual o nível de acesso.

A replicação do Active Directory é mais rápida, mais eficiente e mais segura do que o mecanismo de transferência de zonas padrão do DNS.

Nota: Apenas as zonas primárias podem ser armazenadas no diretório. Um servidor DNS não pode armazenar zonas secundárias no diretório. Ele deverá armazená-las em arquivos de texto padrão.

Você pode definir que uma zona será integrada ao Active Directory, durante a criação da zona. Para isso basta marcar a opção Store de zone in Active Directory (Armazenar a zona no Active Directory), durante a criação da zona, conforme indicado na Figura 16.56, onde estou criando uma zona primária integrada ao Active Directory.

Figura 16.56 Zona primária integrada ao Active Directory.

Você também pode converter uma zona padrão para uma zona integrada com o Active Directory.

Para alterar uma zona de padrão para integrada com o Active Directory, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console DNS: Start -> Administrative Tools -> DNS (Iniciar -> Ferramentas Administrativas -> DNS).
3.         Será exibido o console DNS. Clique no sinal de + ao lado da opção Forward Lookup Zones (Zonas de pesquisa direta).
4.         Serão exibidas as zonas de pesquisa direta existentes no servidor.
5.         Clique com o botão direito do mouse na zona a ser configurada. No menu de opções que é exibido clique na opção Properties (Propriedades).
6.         Será exibida a janela de propriedades da zona, com a guia General (Geral) selecionada.
7.         Clique no botão Type (Tipo), abaixo do botão Pause (Pausa). Será exibida Change Zona Type (Alterar o tipo da zona), indicada na Figura 16.57:

Figura 16.57 Alterando a zona de padrão para integrada com o Active Directory.

8.         Para integrar a zona com o Active Directory, marque a opção Store the zone in Active Directory... (Armazenar a zona no Active Directory...) e clique em OK. Será exibida uma janela pedindo confirmação, conforme indicado na Figura 16.58:

Figura 16.58 Confirmando a integração com o Active Directory.

9.         Clique em Yes (Sim) para confirmar a integração.
10.       Você estará de volta à janela de propriedades da zona. Clique em OK para fechá-lo. Pronto, a zona passará a armazenar suas informações no Active Directory.

Entendendo e configurando zonas stub – stub zones.

O conceito de stub zone é novo no DNS do Windows Server 2003. Uma zona deste tipo não contém os registros dos computadores do domínio, contém informações que permitem localizar o servidor DNS que á a autoridade para o domínio. Este tipo de zona contém apenas uma lista de servidores para os quais devem ser repassadas consultas para domínios específicos. Por exemplo, uma stub zone não tem informações sobre os registros do domínio abc.com.br, mas tem informações sobre o servidor que é autoridade para este domínio e é capaz de repassar as consultas para este servidor. Um stub zone contém apenas registros do tipo SOA, NS e os chamdos registros cola (glue records), que são os registros A associados a um registro NS. O registro NS tem o nome do servidor DNS e o registro A, o endereço IP do servidor DNS. O servidor que contém uma stub zone para uma zona específica não é autoridade para esta zona.

Como funciona o processo de resolução de nomes usando stub zones:

Quando o cliente DNS envia uma consulta recursiva para o servidor DNS que contém uma stub zone, o servidor DNS usa os registros da stub zone para tentar resolver a consulta. Como a stub zone não tem registros de nomes (apenas o SOA, e um NS associado com um A), o servidor DNS envia uma consulta interativa para o servidor DNS especificado no registro NS da stub zone. Se por algum motivo o servidor DNS não conseguir contato com o servidor DNS que é autoridade para a zona, o servidor DNS iniciará um processo de resolução usando o mecanismo de recursão, com base nos servidores root hints, conforme descrito anteriormente.

O servidor DNS recebe uma resposta à consulta e armazena esta resposta no seu cache. É imporante salientar que a resposta não é armazenada na stub zone. A stub zone, mais uma vez, contém apenas o registro SOA, o registro NS e o registro A, associado com o registro NS (Glue Record). O registro é retornado para o cliente, em resposta a consulta. O registro permance no cache do servidor DNS, pelo tempo configurado pelo parâmetro TTL do registro SOA da zona do servidor que é autoridade para a zona.

Se a consulta enviada pelo cliente for uma consulta interativa, o servidor DNS onde está a stub zone, retorna uma referência aos servidores configurados na stub zone. Simplificando, a stub zone não resolve, mas informa quem é capaz de resolver.

O objetivo principal do uso de stub zones é facilitar o processo de enviar consultas para um grupo específico de servidores DNS. O grupo de servidores que receberá as consultas é especificado na stub zone.

Para criar uma stub zone, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console DNS: Start -> Administrative Tools -> DNS (Iniciar -> Ferramentas Administrativas -> DNS).
3.         Será exibido o console DNS.
4.         Neste exemplo você criará uma zona do tipo stub zone. Clique com o botão direito do mouse na opção Forward Lookup Zones (Zonas de resolução direta).
5.         No menu de opções que é exibido clique em New Zone... (Nova Zona...).
6.         Será aberto o assistente para a criação de uma nova zona.. A primeira tela do assistente é apenas informativa. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
7.         Nesttpa você deve informar o tipo de zona a ser criada. Marque a opção  Stub zone, indicada na Figura 16.59:

Figura 16.59 Criando uma zona do tipo stub zone.

8.         Clique em Next (Avançar) para seguir para a próxima etapa do assistente.
9.         Digite o nome da zone e clique em Next (Avançar) para seguir para a próxima etapa do assistente.
10.       Nesta etapa você informa o nome do arquivo onde serão gravadas informações sobre a zona. Aceita as configurações sugeridas e clique em Next (Avançar) para seguir para a próxima etapa do assistente.
11.       Informe o número IP dos servidores a partir dos quais os registros serão copiados, conforme exemplo da Figura 16.60:

Figura 16.60 Informando o númeor IP dos servidores DNS.

12.       Clique em Next (Avançar) para seguir para a próxima etapa do assistente.
13.       Será exibida a tela final do assistente. Se você quiser alterar alguma configuração utilize o botão Back (Voltar). Para encerrar o assistente e criar a zona secundária clique em Finish (Concluir).
14.       OK. Somente os registros SOA, NS e A associado ao NS, da zona especificada serão copiados a partir do servidor informado no passo 11, conforme exemplo da Figura 16.61, onde a zona groza.com foi criada com uma zona do tipo stub zone.Observe que somente os registros SOA e NS e A associados foram copiados.

Figura 16.61 Zona stub zone groza.com.

Nota: Você também pode alterar o tipo de uma zona de secundária para stub zone. Para isso basta acessar as propriedades da zona. Na guia General (Geral), clique no botão Change (Alterar), ao lado do botão Pause (Pausar). Será exibida a janela Change zone type (Alterar o tipo da zona). Selecione o tipo stub zone e clique em OK. Você estará de volta à janela de propriedades. Clique em OK e pronto. Observe que todos os registros da zona são descartados, com exeção dos registros SOA, NS e A associado ao NS.

Configurando um servidor DNS somente Cache.

Um servidor DNS somente cache é um servidor que não tem nenhuma zona configurado.  A função deste servidor é resolver consultas utilizando um dos métodos descritos anteriormente (forwareders, recursão, interação, etc) e armazenar os resultados obtidos no cache do servidor DNS. O cliente envia a consulta para o servidor DNS somente cache, este servidor se utiliza de outros servidores DNS para resolver o nome. O nome é armazenado no cache do servidor DNS e a resposta é retornada para o cliente que fez a consulta.

O servidro DNS somente cache deve ter quantidade suficiente de memória RAM para exercer esta função, pois toda a informação do cache do DNS é criada e mantida na memória RAM do servidor. Para limpar o cache do DNS você pode usar o console Services para parar e iniciar novamente o serviço DNS ou utilizar o comando dnscmd /clearcache. O servidor DNS somente cache não armazena nenhuma zona e não é autoridade para nenhum domínio. Para instalar um servidor DNS como sendo um servidor somente cache, basta seguir os passos a seguir:

1.         Instale o serviço DNS no servidor.
2.         Não configure o servidor DNS (como você faria normalmente) para carregar quaisquer zonas. Ou seja, nenhuma zona será criada no servidor DNS somente cache.
3.         Verifique se os root hints (descritos anteriormente) estão configurados e atualizados corretamente.
4.         Pronto, está configurado o servidor DNS somente cache.

Configurações e considerações sobre a configuração do DNS nos clientes.

Para clientes do Windows 2000 ou Windows Server 2003 , a configuração do DNS envolve as seguintes tarefas ao configurar as propriedades do TCP/IP do computador cliente:

• Configurar um nome (de host) DNS para cada computador.
• Configurar um sufixo DNS primário para o computador, que é posicionado após o nome de host ou do computador para formar o nome de domínio totalmente qualificado (FQDN). Por exemplo, o nome do computador pode ser micro01 e o sufixo DNS ser abc.com.br. Com isso o nome completo (FQDN) será: micro01.abc.com.br.
• Configurar uma lista de servidores DNS para que os clientes usarão ao resolver nomes DNS, como um servidor DNS primári e todos os servidores DNS alternativos a serem usados se o servidor primário não estiver disponível.
• Configurar a lista ou método de pesquisa de sufixo DNS a ser usado pelo cliente quando ele executa pesquisas de Consultas DNS para nomes de domínio curtos não qualificados.

Configurar nomes dos computadores

Ao configurar nomes dos computadores para o DNS, é útil pensar no nome como a parte mais à esquerda de um “fully qualified domain name” (FQDN, nome de domínio totalmente qualificado). Por exemplo, em micro01.abc.com.br., a primeira parte do nome que precede o primeiro ponto (.) no FQDN (micr01) é o nome de host do computador. Este primeiro nome é conhecido como nome de host do computador.

Você pode configurar todos os clientes DNS do Windows com um nome do computador baseado nos caracteres padrão com suporte definidos na RFC 1.123 para uso do DNS da Internet. Esses caracteres incluem o uso de:

• Letras maiúsculas, de A a Z
• Letras minúsculas, de a a z
• Números, 0 a 9
• Hífens (-)

Se a sua rede oferece suporte a espaços de nome NetBIOS e DNS, você poderá usar um nome de computador diferente dentro de cada espaço de nome. No entanto, é recomendável, sempre que possível, tentar usar os nomes de computador que possuem 15 caracteres ou menos (que é o limite para nomes NetBios, utilizados pelo WINS, conforme descrevereu no tópico sobre WINS, enste capítulo), além de seguir os requisitos de nomes definidos acima.
Por padrão, no Windows Server 2003, o rótulo mais à esquerda no nome completo do computador DNS de clientes é igual ao nome do computador NetBIOS, a menos que esse rótulo tenha 16 caracteres ou mais. Quando esses rótulos excedem o comprimento máximo para o NetBIOS (que é de 15 caracteres), o nome do computador NetBIOS é truncado com base no rótulo total especificado.

Na prática, todo computador terá dois nomes. Um nome NetBios que é configurado na guia Computer Name (Nome do computador), na janela de propriedades do Meu computador e um nome de host, o qual é configurado na janela de propriedades avançadas do protocolo TCP/IP, na guia DNS. Evidentemente que estes nomes devem ser iguais.

Se a integração do DNS com o WINS estiver ativada (conforme descrito anteriormente), será preciso usar nomes de host e NetBios iguais para o computador. De outra forma, os resultados obtidos nas consultas do DNS ao WINS poderão ser inconsistentes.

Configurar uma lista de servidores DNS

Estas configurações são feitas nas propriedades do protocolo TCP/IP. Para acesssar as propriedades do TCP/IP clique com o botão direito do mouse na opção My Network Places (Meus locais de rede) e, no menu que é exibido, clique em Properties (Propriedades). Será exibida a janela com as conexões disponíveis no computador. Clique com o botão direito do mouse na conexão de rede local a ser configurada. No menu de opções que é exibido clique em Propriedades. Será exibida a janela de propriedades da conexão. Marque a opção Internet Protocol (TCP/IP) para marcá-la e depois clique no botão Properties (Propriedades). Será exibida a janela de propriedades do protocolo TCP/IP. Clique no botão Advanced (Avançado). Será exibida a janela de propriedades avançadas do TCP/IP. Clique na guia DNS. Será exibida a janela de propriedades do cliente DNS, indicada na Figura 16.62:

Figura 16.62 Configurando as propriedades do DNS no cliente.

Para que clientes DNS operem efetivamente, uma lista de servidores de nomes DNS ordenada por prioridade deve ser configurada para uso em cada computador ao processar consultas e resolver nomes DNS. Na maioria dos casos, o computador cliente entra em contato e usa seu servidor DNS primário, que é o primeiro servidor DNS na sua lista configurada localmente (o cliente também pode receber esta lista a partir do servidor DHCP, conforme você aprenderá a configurar na parte final do capítulo). Entra-se em contato com os servidores DNS alternativos listados e eles são usados quando o servidor DNS primário não estiver disponível.

Em computadores executando o Windows 2000 ou o Windows Server 2003, a lista de servidores DNS é usada pelos clientes apenas para resolver nomes DNS. Quando os clientes enviam atualizações dinâmicas, por exemplo, ao alterar seu nome de domínio DNS ou um endereço IP configurado, eles devem contatar esses servidores ou outros servidores DNS conforme necessário para atualizar seus registros de recursos. É sempre importante lembrar que alterações, exclusões e adições somente podem ser feitas na zona primária e não em zonas secundárias.

Quando os clientes DNS são configurados dinamicamente usando um servidor DHCP (Dynamic Host Configuration Protocol, protocolo de configuração dinâmica de hosts), é possível ter uma lista maior de servidores DNS. Para fornecer uma lista de endereços IP de servidores DNS aos seus clientes DHCP, ative o código de opção 6 nos tipos de opções configurados fornecidos pelo seu servidor DHCP. Em servidores DHCP do Windows, você pode configurar uma lista de até 25 servidores DNS para cada cliente com essa opção. Você aprenderá a configurar estas opções no tópico sobre DHCP, na parte final deste capítulo.

Configurar uma lista de pesquisa de sufixos DNS

Para clientes Windows, você pode configurar uma lista de pesquisa de sufixos de domínio DNS (os sufixos são, no exemplo da Figura 16.62, abc.com.br, rh.abc.com.br e sul.rh.abc.com.br) que estende ou revisa suas capacidades de pesquisa DNS. Ao acrescentar sufixos adicionais à lista, você pode pesquisar nomes de computador curtos não qualificados em mais de um domínio DNS especificado. Em seguida, se uma consulta DNS não tiver êxito, o serviço de cliente DNS poderá usar essa lista para anexar outras terminações de sufixos de nome ao nome original e repetir as consultas DNS ao servidor DNS sobre esses FQDNs alternativos. No exemplo da figura 16.62, se você fizer uma pesquisa usando apenas o nome micro01. Primeiro será pesquisado o nome micro01.sul.rh.abc.com.br, se não houver resposta o DNS tenta micro01.rh.abc.com e ainda não havendo resposta, o DNS tenta micro01.abc.com.br.

Quando a lista de pesquisa de sufixos está vazia ou não está especificada, o sufixo DNS primário do computador é anexado a nomes curtos não qualificados e a consulta DNS é usada para resolver o FQDN resultante. Se essa consulta falhar, o computador pode tentar consultas adicionais para FQDNs alternativos anexando qualquer sufixo DNS específico de conexão configurado para conexões de rede.

Se nenhum sufixo específico da conexão estiver configurado, ou as consultas para esses FQDNs específicos da conexão resultantes falharem, o cliente poderá, então, começar a tentar novamente as consultas com base na redução sistemática do sufixo primário (também conhecida como devolução).

Por exemplo, se o sufixo primário for "example.microsoft.com", o processo de devolução será capaz de tentar novamente consultas de nome curto pesquisando nos domínios "microsoft.com" e "com".

Quando a lista de pesquisa de sufixo não está vazia e tem pelo menos um sufixo DNS especificado, as tentativas de qualificar e resolver nomes DNS curtos são limitadas à pesquisa somente daqueles FQDNs tornados possíveis pela lista de sufixos especificada. Se as consultas para qualquer FQDN que forem resultado do acréscimo e uso de cada sufixo na lista falharem, o processo de consulta produz um resultado "nome não encontrado".

Se a lista de sufixos de domínios é usada, os clientes continuam a enviar consultas alternativas adicionais com base em nomes de domínio DNS diferentes quando uma consulta não é respondida ou resolvida. Após um nome ser resolvido usando uma entrada na lista de sufixos, as entradas não utilizadas da lista não são tentadas. Por esse motivo, é mais eficiente ordenar a lista com base na sua prioridade de uso, ou seja, os sufixos mais utilizados no início da lista de sufixos.

As pesquisas de sufixos de nomes de domínios são usadas apenas quando uma entrada de nome DNS não é totalmente qualificada. Para qualificar totalmente um nome DNS, um ponto (.) é inserido no final do nome. Por exemplo, se você pesquisa o nome micro01.abc.com.br. , não será feita nenhuma tentativa de resolução baseada na lista de sufixos, se a pesquisa do nome digitado falhar na priemeira tentativa de resolução.

Comandos para trabalhar com o DNS.

Existem alguns comandos relacionados diretamente com o DNS, tanto com o cliente DNS, nas estações de trabalho da rede, quanto no servidor DNS. Neste item apresentarei as utilizações básicas dos seguintes comandos:

• ipconfig
• nslookup
• dnscmd

Os comandos ipconfig e nslookup são utilizados nas estações de trabalho, para pesquisar o DNS e resolver problemas relacionados ao DNS. O comando dnscmd é utilizado no servidor DNS. Na prática, qualquer configuração ou ação que você faz com o console DNS é possível de ser feita com o comando dnscmd. Este comando é indicado para situações onde o administrador irá configurar vários servidores DNS com a mesma configuração (por exemplo, vários servidores DNS com zonas secundárias). Nesta situação o administrador pode criar um script que utiliza o comando dnscmd para executar as tarefas necessárias. Depois é só enviar o script para o administrador de cada localidade onde o DNS será configurado. O administrador local executa o script e pronto, o DNS é configurado.

IMPORTANTE: O comand dnscmd não está disponível, por padrão, após a instalação do Windows Server 2003 e do DNS. Este comando faz parte de um pacote de utilitários conhecidos como Supprt Tools (Ferramentas de suporte). Estas ferramentas não são instaladas automaticamente. Para instalar as ferramentas de suporte, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Insira o CD de instalação do Windows Server 2003. Se for aberta uma tela de instalação do Windows Server 2003, feche-a.
3.         Abra o Windows Explorer e acesse o drive de CD onde está o CD de instalação do Windows Server 2003.
4.         Acesse a pasta \Support\Tools.
5.         As ferramentas de suporte estão contidas no arquivo SUPTOOLS.MSE. Clique com o botão direito do mouse neste arquivo e, no menu de opções que é exibido, clique em Install (Instalar).
6.         Siga as etapas do assistente para concluir a instalação das ferramentas de suporte. Pronto, agora o comando dnscmd estará disponível para utilização no servidor onde as ferramentas de suporte foram instaladas.

O comando ipconfig.

Neste item falarei das opções do comando ipconfig, relacionadas com o DNS. O comando ipconfig já foi descrito no Capítulo 2, na introdução ao protocolo TCP/IP. Este comando é utilizado, basicamente, para exibir as configurações do protocolo TCP/IP de um computador. Porém ele tem opções relacionadas ao DNS e também ao DHCP. Neste item mostrarei as opções relacionadas ao DNS.

Anteriormente, na parte teórica sobre o DNS, descrevi que o cliente DNS mantém um cache local de DNS, para agilizar a resolução de nomes, evitando que nomes já resolvidos tenham que passar por todo o processo de resolução novamente. Você pode exibir o cache local do DNS, utilizando o seguinte comando:

ipconfig/displaydns

Será listado o cache do DNS local, no formato indicado a seguir, onde apresento a parte inicial da listagem do cache local do DNS de uma estação de trabalho:

Windows IP Configuration

   activex.microsoft.com
    ----------------------------------------
    Record Name . . . . . : activex.microsoft.com
    Record Type . . . . . : 1
    Time To Live  . . . . : 6105
    Data Length . . . . . : 4
    Section . . . . . . . : Answer

    A (Host) Record . . . : 207.46.196.108

    codecs.microsoft.com
    ----------------------------------------
    Record Name . . . . . : codecs.microsoft.com
    Record Type . . . . . : 1
    Time To Live  . . . . : 6106
    Data Length . . . . . : 4
    Section . . . . . . . : Answer

    A (Host) Record . . . : 207.46.196.120

    loginnet.passport.com
    ----------------------------------------
    Record Name . . . . . : loginnet.passport.com
    Record Type . . . . . : 1
    Time To Live  . . . . : 164
    Data Length . . . . . : 4
    Section . . . . . . . : Answer

    A (Host) Record . . . : 65.54.226.247

    1.0.0.127.in-addr.arpa
    ----------------------------------------
    Record Name . . . . . : 1.0.0.127.in-addr.arpa.
    Record Type . . . . . : 12
    Time To Live  . . . . : 596929
    Data Length . . . . . : 4
    Section . . . . . . . : Answer

    PTR Record  . . . . . : localhost

Outra opção do comando ipconfig, relacionada com o DNS é a opção flushdns. Esta opção limpa o cache local do DNS. Esta opção é especialmente útil em uma situação em que houve problemas com o servidor DNS e após a resolução do problema, os clientes reclamam que conseguem acessar alguns sites e não conseguem acessar outros sites. Isso acontece porque no cache local do cliente, existem registros que podem não ser mais válidos. Neste caso a solução é limpar o cache local do DNS. Para limpar o cache local do DNS, basta utilizar o comando indicado a seguir:

ipconfig /flushdns

Este comando limpa o cache do DNS e retorna a mensagem indicada a seguir:

Windows IP Configuration

Successfully flushed the DNS Resolver Cache.

O comando nslookup.

O comando nslookup é utilizado para obter informações de um servidor DNS. As informações obtidas com o comando nslookup, normalmente são utilizadas para a resolução de problemas relacionados com o DNS. Com o comando nslookup você pode retornar partes selecionadas dos registros de uma zona, você pode verificar se um servidor DNS está funcionando normalmente e responden às consultas, você pode obter informações sobre as zonas existentes em um servidor DNS.

Vamos aprender a utilizar o comando nslookup, através de alguns exemplos práticos.

 Para utilizar o comando nslookup, siga os passos indicados a seguir:

1.         Faça o logon como Administrador ou com uma conta com permissão de administrador.
2.         Abra um Prompt de comando.
3.         Podemos utilizar o comando nslookup em dois modos diferentes. No modo direto, digitamos o comando e mais alguns parâmetros, e o Windows Server 2003 retorna um determinado resultado. Considere o exemplo da Figura 16.63, onde digitei o seguinte comando nslookup server2. O Windows Server 2003 retorna diversas informações. Nas duas primeiras linhas, é retornado o nome e o endereço IP do servidor DNS pesquisado. Na segunda linha é retornado o nome e o endereço IP do servidor server2.

Figura 16.63 Utilizando o comando nslookup, no modo direto.

4.         Caso tenhamos que fazer várias pesquisas de nome, pode ser mais interessante utilizar o comando nslookup no modo interativo. Neste modo, digite simplesmente nslookup e tecle Enter. O Windows Server 2003 exibe o nome e o número IP do servidor DNS configurado como DNS primário, nas propriedades do TCP/IP e abre um prompt indicado pelo sinal de maior (>), conforme indicado pela Figura 16.64.

Figura 16.64 Utilizando o comando nslookup, no modo interativo.

5.         No modo interativo, no prompt >, digite help e tecle Enter, será exibida uma listagem com os diversos comandos disponíveis no modo interativo.
6.         Para achar o endereço IP de um computador da rede, simplesmente digite o nome do computador e tecle Enter.
7.         Experimento o comando ls –d abc.com (troque abc.com pelo nome do seu domínio DNS) e tecle Enter. Este comando irá listar todos os registros DNS do domínio abc.com, inclusive alguns registros criados pelo Windows Server 2003 para uso interno do Active Directory.
8.         Para sair do modo interativo digite exit e tecle Enter.
9.         Para sair do Prompt de comando, digite exit e tecle Enter.

O comando dnscmd

Com o comando dnscmd você pode fazer, literalmente, qualque configuração que possa ser feita utilizando o console gráfico do DNS. Este comando, conforme descrito anteriormente, é recomendado para a criação de scripts que irão automatizar tarefas de configuração e manutenção de servidores DNS. Veja o aviso anterior, onde descrevi que este comando não é automaticamente instalado, durante a instalação do Windows Server 2003.

Para exibir uma lista das opções (que são inúmeras) do comando dnscmd, digite o seguinte comando:

dnscmd /?

Será exibida uma extensa lista de opções. Para cada opção existem diferentes maneiras de utilizar o comando. Por exemplo, vamos supor que você queira saber como usar a opção /ZoneInfo. É só digitar o seguinte comando:

dnscmd /zoneinfo /?

Serão exibidas informações sobre a opção zoneinfo, conforme indicado a seguir:

Usage: DnsCmd <Server> /ZoneInfo <ZoneName> [<Property>]

<Property> -- zone property to view
 Examples:
    AllowUpdate
    DsIntegrated
    Aging
    RefreshInterval
    NoRefreshInterval

Agora experimente o comando:

dnscmd /zoneinfo abc.com

Serão exibidas uma série de informações sobre as propriedades da zona abc.com (do servidor DNS onde o comando foi executado), conforme exemplo a seguir:

Zone query result:
Zone info:
        ptr                       = 00083040
        zone name             = abc.com
        zone type                        = 1
        update                = 2
        DS integrated         = 1
        data file               = (null)
        using WINS           = 0
        using Nbstat                    = 0
        aging                   = 0
        refresh interval               = 168
        no refresh          = 168
          scavenge available  = 3527990
        Zone Masters
        NULL IP Array.
        Zone Secondaries
        NULL IP Array.
        secure secs                      = 0
        directory partition  = AD-Domain     flags 00000015
        zone DN                         = DC=abc.com,cn=MicrosoftDNS,DC=DomainDnsZones,DC=
abc,DC=com
Command completed successfully.

Na ajuda do DNS você encontra uma referência completa a todas as opções do comando dnscmd, bem como exemplos de utilização de cada um dos parâmetros disponíveis. A ajuda do DNS está disponível diretamente no console DNS, através do comando Help -> Help Topics (Ajuda -> Tópicos de ajuda).

Sobre DNS era isso. Agora vamos ao estudo do WINS – Windows Internet Name Service.