Exportar (0) Imprimir
Expandir Todos

Função de Servidor DNS

Actualizado: Janeiro de 2008

Aplica-se a: Windows Server 2008

O DNS (Sistema de Nomes de Domínio) é um sistema para atribuição de nomes a computadores e serviços de rede, organizado numa hierarquia de domínios. As redes TCP/IP, tais como a Internet, utilizam o DNS para localizarem computadores e serviços através de nomes amigáveis.

Para facilitar a utilização de recursos de rede, os sistemas de nome como o DNS fornecem um método simples de mapear o nome amigável de um computador ou serviço com outras informações associadas a esse nome, tal como o endereço IP. Um nome amigável é mais fácil de aprender e memorizar do que os endereços numéricos que os computadores utilizam para comunicar através de uma rede. A maior parte das pessoas preferem utilizar um nome amigável (por exemplo, sales.fabrikam.com) para localizarem um servidor de correio electrónico ou servidor Web numa rede do que um endereço IP, tal como 157.60.0.1. Quando um utilizador introduz um nome DNS amigável numa aplicação, os serviços de DNS resolvem o nome para o respectivo endereço numérico.

Um servidor DNS fornece a resolução de nomes para redes baseadas em TCP/IP. Por outras palavras, permite que os computadores cliente utilizem nomes, em vez de endereços IP numéricos, para identificarem sistemas anfitriões remotos. Um computador cliente envia o nome de um anfitrião remoto para um servidor DNS, que responde com o endereço IP correspondente. O computador cliente poderá então enviar mensagens directamente para o endereço IP do anfitrião remoto. Se o servidor DNS não tiver uma entrada para o anfitrião remoto na base de dados, poderá responder ao cliente com o endereço de um servidor DNS que tenha mais probabilidades de possuir informações sobre esse anfitrião remoto ou poderá consultar ele próprio o outro servidor DNS. Este processo poderá ser efectuado recursivamente até que o computador cliente receba o endereço IP ou que seja estabelecido com o nome consultado não pertence a um anfitrião existente no espaço de nomes DNS específico.

O servidor DNS do sistema operativo Windows Server® 2008 é compatível com o conjunto de RFCs (Requests for Comments) que definem e padronizam o protocolo DNS. Uma vez que o serviço Servidor DNS é compatível com RFCs e pode utilizar formatos de registos de recursos e ficheiros de dados DNS padrão, pode trabalhar com êxito com a maioria das implementações de servidor DNS, como as que utilizam software BIND (Berkeley Internet Name Domain).

Para além disso, o servidor DNS do Windows Server 2008 fornece as vantagens especiais seguintes numa rede baseada no Windows®:

  • Suporte para os Serviços de Domínio do Active Directory® (AD DS)

    O DNS é necessário para o suporte do AD DS. Se instalar a função de Serviços de Domínio do Active Directory num servidor, poderá instalar e configurar automaticamente um servidor DNS se não for possível localizar um servidor DNS que satisfaça os requisitos do AD DS.

    As zonas DNS podem ser armazenadas nas partições do directório de aplicações ou de domínio dos AD DS. Uma partição é um contentor de dados do AD DS utilizado para distinguir dados para várias finalidades de replicação. Pode especificar a partição do directório de aplicações dos Active Directory em que pretende armazenar a zona e, consequentemente, o conjunto de controladores de domínio entre os quais os dados dessa zona serão replicados.

    De uma maneira geral, a utilização do serviço de Servidor DNS do Windows Server 2008 é vivamente recomendada para a melhor integração possível e suporte do AD DS e das funcionalidades avançadas do servidor DNS. Pode, no entanto, utilizar outro tipo de servidor DNS para suportar a implementação dos AD DS.

  • Zonas de stub

    O DNS em execução no Windows Server 2008 suporta um tipo de zona chamado zona de stub. Uma zona de stub é uma cópia de uma zona que contém apenas os registos de recursos necessários para identificar os servidores DNS autoritativos para essa zona. Uma zona de stub mantém um servidor DNS que aloja uma zona principal ciente dos servidores DNS autoritativos da respectiva zona subordinada. Isto ajuda a manter a eficiência da resolução de nomes DNS.

  • Integração com outros serviços de rede da Microsoft

    O serviço de Servidor DNS proporciona integração com outros serviços e contém outras funcionalidades além das especificadas nos RFCs relacionados com o DNS. Estas funcionalidades incluem a integração com outros serviços, tais como o AD DS, WINS (Windows Internet Name Service) e DHCP (Dynamic Host Configuration Protocol).

  • Facilidade de administração melhorada

    O snap-in DNS da MMC (Microsoft Management Console) oferece uma GUI (graphical user interface) para gestão do serviço de Servidor DNS. Existem também vários assistentes de configuração para efectuarem tarefas de administração de servidor comuns. Além da consola DNS, são fornecidas outras ferramentas para o ajudar a gerir e suportar os servidores e clientes DNS existentes na rede.

  • Suporte do protocolo de actualização dinâmica compatível com RFC

    Os clientes podem utilizar o serviço de Servidor DNS para actualizarem dinamicamente os registos dos recursos, com base no protocolo de actualização dinâmica (RFC 2136). Este método melhora a administração de DNS reduzindo o tempo necessário para gerir esses registos manualmente. Os computadores com o serviço Cliente DNS podem registar os respectivos nomes DNS e endereços IP de forma dinâmica. Para além disso, o serviço de Servidor DNS e os clientes DNS podem ser configurados para efectuarem actualizações dinâmicas seguras, uma capacidade que permite que apenas os utilizadores autenticados com direitos apropriados actualizem registos de recursos no servidor. As actualizações dinâmicas seguras só estão disponíveis em zonas integradas com o AD DS.

  • Suporte para transferência de zona incremental entre servidores

    As transferências de zona replicam informações sobre uma parte do espaço de nomes DNS entre servidores DNS. As transferências de zona incrementais replicam apenas as partes alteradas de uma zona, o que poupa largura de banda da rede.

  • Reencaminhadores condicionais

    O serviço de Servidor DNS expande uma configuração de reencaminhador padrão com reencaminhadores condicionais. Um reencaminhador condicional é um servidor DNS numa rede que reencaminha consultas DNS de acordo com o nome de domínio DNS da consulta. Por exemplo, um servidor DNS pode ser configurado para reencaminhar todas as consultas recebidas de nomes que terminem em sales.fabrikam.com para o endereço IP de um servidor DNS específico ou para os endereços IP de vários servidores DNS.

Todas as redes TCP/IP, à excepção das mais simples, necessitam de acesso a um ou mais servidores DNS para funcionarem correctamente. Sem a resolução de nomes e os outros serviços fornecidos pelos servidores DNS, o acesso dos clientes aos computadores anfitriões remotos seria proibitivamente difícil. Por exemplo, sem o acesso a um servidor DNS, a navegação na World Wide Web seria praticamente impossível: a maior parte das hiperligações publicadas na Web utilizam o nome DNS dos anfitriões Web, em vez dos respectivos endereços IP. O mesmo princípio aplica-se às intranets, porque os utilizadores dos computadores raramente conhecem os endereços IP dos computadores existentes na respectiva rede local.

Considere em implementar o serviço de Servidor DNS no Windows Server 2008 se a sua rede for composta por qualquer um dos seguintes itens:

  • Computadores associados a um domínio

  • Computadores cliente DHCP baseados no Windows

  • Computadores ligados à Internet

  • Sucursais ou domínios localizados numa WAN (wide area network)

Se pretender integrar o serviço de Servidor DNS com o AD DS, poderá instalar o DNS ao mesmo tempo que instala o AD DS; alternativamente, poderá instalar o DNS depois de instalar o AD DS e, em seguida, integrar o DNS como um passo separado. Poderá instalar servidores DNS apoiados em ficheiros (ou seja, servidores DNS que não estão integrados com o AD DS) em quaisquer computadores existentes na rede. Como é óbvio, terá de tomar em consideração a topologia da rede e a distribuição do tráfego quando decidir o local de implementação dos servidores DNS.

O serviço de Servidor DNS do Windows Server 2008 inclui várias funcionalidades novas e melhoradas, quando comparado com o serviço de Servidor DNS que estava disponível nos sistemas operativos Microsoft® Windows NT® Server, Windows 2000 Server e Windows Server® 2003. As secções seguintes descrevem estas funcionalidades.

As organizações de dimensões muito grandes, com zonas extremamente grandes que armazenam os dados de DNS no AD DS, descobrem por vezes que reiniciar um servidor DNS pode demorar uma hora ou mais, enquanto os dados de DNS são obtidos a partir do serviço de directório. O resultado é que o servidor DNS está indisponível para servir os pedidos dos clientes enquanto está a carregar as zonas baseadas no AD DS.

Um servidor DNS que esteja a executar o Windows Server 2008 carrega agora os dados das zonas em segundo plano enquanto é reiniciado, para poder responder a pedidos de dados de outras zonas. Quando o servidor de DNS é iniciado:

  • Enumera todas as zonas a carregar.

  • Carrega sugestões de raiz a partir de ficheiros ou do armazenamento do AD DS.

  • Carrega todas as zonas apoiadas em ficheiros, ou seja, zonas armazenadas em ficheiros e não no AD DS.

  • Começa a responder a consultas e RPCs (remote procedure calls).

  • Gera um ou mais threads para carregar as zonas armazenadas no AD DS.

Visto que a tarefa de carregamento de zonas é efectuada por módulos separados, o servidor DNS consegue responder às consultas enquanto o carregamento das zonas está em curso. Se um cliente DNS solicitar dados relativos a um anfitrião existente numa zona que já tenha sido carregada, o servidor DNS responde com os dados (ou com uma resposta negativa, se for adequado), conforme esperado. Se o pedido disser respeito a um nó que ainda não tenha sido carregado na memória, o servidor DNS lê os dados do nó a partir do AD DS e actualiza a lista de registos do nó em conformidade.

O servidor DNS pode utilizar o carregamento de zonas em segundo plano para começar a responder às consultas quase imediatamente depois de ser reiniciado, em vez de aguardar até que as respectivas zonas tenham sido totalmente carregadas. O servidor DNS pode responder a consultas relativas aos nós que carregou ou que podem ser obtidos a partir do AD DS. Esta funcionalidade também fornece outra vantagem quando os dados da zona estão armazenados no AD DS e não num ficheiro: o AD DS pode ser acedido assincronamente e imediatamente quando uma consulta é recebida, enquanto que os dados de zona baseados em ficheiros só podem ser acedidos através de uma leitura sequencial do ficheiro.

O IPv6 (IP version 6) especifica endereços com 128 bits de comprimento, contrariamente aos endereços IPv4, que têm 32 bits de comprimento. Este maior comprimento dos endereços permite a existência de um número muito maior de endereços globalmente exclusivos, destinado a acomodar o crescimento explosivo da Internet em todo o mundo.

Os servidores DNS que estiverem a executar o Windows Server 2008 suportam agora endereços IPv6 como suportam endereços IPv4. Por exemplo, sempre que um endereço IP é introduzido ou apresentado no snap-in DNS, este pode assumir a forma de um endereço IPv4 ou de um endereço IPv6. A ferramenta de linha de comandos dnscmd também aceita endereços em qualquer um dos formatos. Para além disso, os servidores DNS podem agora enviar consultas recursivas para servidores apenas IPv6 e a lista de reencaminhadores de servidores pode conter endereços IPv4 e IPv6. Os clientes DHCP também podem registar endereços IPv6 para além de (ou em substituição de) endereços IPv4. Finalmente, os servidores DNS suportam agora o espaço de nomes de domínio ip6.arpa para mapeamento inverso.

O protocolo de endereçamento IPv6 é emergente como factor importante no crescimento da Internet. O suporte para o endereçamento IPv6 no Windows Server 2008 assegura que os servidores DNS poderão suportar clientes DNS presentes e futuros concebidos para tirar partido das vantagens dos endereços IPv6.

Visto que os servidores DNS podem agora devolver registos de recursos de anfitrião IPv4 (A) e registos de recursos de anfitrião IPv6 (AAAA) em resposta às consultas, certifique-se de que o software cliente de DNS existente na sua rede pode processar estas respostas adequadamente. Poderá ser necessário actualizar ou substituir software cliente de DNS antigo para garantir a compatibilidade com esta alteração.

O Windows Server 2008 introduz um novo tipo de controlador de domínio, o RODC (read-only domain controller). Na realidade, um RODC fornece uma cópia sombra de um controlador de domínio que não pode ser configurado directamente, o que o torna menos vulnerável a ataques. Pode instalar um RODC em localizações onde não é possível garantir a segurança física do controlador de domínio.

Para suportar RODCs, um servidor DNS que esteja a executar o Windows Server 2008 suporta um novo tipo de zona, a zona primária só de leitura (por vezes também referida como zona de sucursal). Quando um computador é transformado num RODC, replica uma cópia completa só de leitura das partições do directório de aplicações utilizado pelo DNS, incluindo a partição de domínio, ForestDNSZones e DomainDNSZones. Isto assegura que o servidor DNS em execução no RODC tem uma cópia completa só de leitura de todas as zonas DNS armazenadas num controlador de domínio central existente nessas partições do directório. O administrador de um RODC pode ver o conteúdo de uma zona primária só de leitura; no entanto, o administrador só pode alterar o conteúdo alterando a zona no controlador de domínio localizado centralmente.

O AD DS depende do DNS para fornecer serviços de resolução de nomes aos clientes de rede. As alterações ao serviço de Servidor DNS são necessárias para suportar o AD DS num RODC.

Actualmente, muitos clientes da Microsoft implementam o WINS nas respectivas redes. Como protocolo de resolução de nomes, o WINS é frequentemente utilizado como protocolo secundário de resolução de nomes, juntamente com o DNS. O WINS é um protocolo mais antigo e utiliza o NetBT (NetBIOS over TCP/IP). Consequentemente, está praticamente a tornar-se obsoleto. No entanto, as organizações continuam a utilizar o WINS porque apreciam os registos estáticos globais, com nomes simples, fornecidos pelo WINS.

Para que as organizações possam passar para um ambiente totalmente DNS (ou para proporcionar as vantagens de nomes globais simples para redes totalmente DNS), o serviço de Servidor DNS existente no Windows Server 2008 suporta agora uma zona, chamada GlobalNames, para conter nomes simples. Em casos típicos, o âmbito de replicação desta zona é a floresta completa, o que garante que a zona tem o efeito desejado de fornecer nomes simples exclusivos na totalidade da floresta. Para além disso, a zona GlobalNames pode suportar a resolução de nomes simples através de uma organização que contenha várias florestas, quando utiliza registos de recursos SRV (Service Location) para publicar a localização da zona GlobalNames.

Contrariamente ao WINS, a zona GlobalNames destina-se a fornecer resolução de nomes simples para um conjunto limitado de nomes de anfitriões, tipicamente servidores empresariais e Web sites geridos centralmente (TI). A zona GlobalNames não se destina a ser utilizada para resolução de nomes ponto-a-ponto, tal como a resolução de nomes para estações de trabalho, e as actualizações dinâmicas não são suportadas na zona GlobalNames. Em vez disso, a zona GlobalNames é mais frequentemente utilizada para conter recursos de registos CNAME, para mapear um nome simples para um FQDN (fully qualified domain name). Em redes que estejam actualmente a utilizar o WINS, a zona GlobalNames contém normalmente registos de recursos para nomes geridos por TI que já estão configurados estaticamente no WINS.

Quando a zona GlobalNames é implementada, a resolução de nomes simples pelos clientes funciona do seguinte modo:

  1. O sufixo DNS primário do cliente é anexado ao nome simples e a consulta é submetida ao servidor DNS.

  2. Se esse FQDN não for resolvido, o cliente solicita a resolução utilizando as respectivas listas de procura de sufixos DNS (tais como as especificadas pela Política de Grupo), se existirem.

  3. Se nenhum destes nomes for resolvido, o cliente solicita a resolução utilizando o nome simples.

  4. Se o nome simples aparecer na zona GlobalNames, o servidor DNS que aloja a zona resolve o nome. Caso contrário, a consulta efectua a activação pós-falha para o WINS.

Não são necessárias alterações ao software cliente para activar o nome simples com esta funcionalidade.

A zona GlobalNames só fornece resolução de nomes simples quando todos os servidores DNS autoritativos estão a executar o Windows Server 2008. No entanto, outros servidores DNS (ou seja, servidores que não sejam autoritativos para qualquer zona) podem estar a executar outros sistemas operativos. Como é óbvio, a zona GlobalNames tem de ser a única zona com esse nome na floresta.

Para fornecer o desempenho e escalabilidade máximos, recomendamos que a zona GlobalNames seja integrada com o AD DS e que cada servidor DNS autoritativo seja configurado com uma cópia local da zona GlobalNames. A integração da zona GlobalNames com o AD DS é necessária para suportar a implementação da zona GlobalNames através de várias florestas.

A maioria das redes TCP/IP suporta a funcionalidade de actualização dinâmica do DNS porque esta é conveniente tanto para os administradores de rede como para os utilizadores. A actualização dinâmica possibilita aos computadores cliente de DNS registar e actualizar dinamicamente os respectivos registos de recursos com um servidor DNS sempre que um cliente altere o respectivo endereço de rede ou nome de anfitrião. Isto reduz a necessidade de administração manual dos registos de zona, especialmente para clientes que mudem frequentemente de localização e utilizem DHCP para obter um endereço IP. No entanto, esta comodidade tem um custo, dado que um cliente autorizado pode registar qualquer nome de anfitrião não utilizado, até mesmo um que possa ter um significado especial para determinadas aplicações. Isto poderá permitir que um utilizador mal intencionado assuma o controlo não autorizado de um nome especial e desvie determinados tipos de tráfego de rede para o computador desse utilizador.

Dois protocolos de implementação comum são particularmente vulneráveis a ataques deste tipo: o protocolo WPAD (Web Proxy Auto-Discovery) e o protocolo ISATAP (Intra-site Automatic Tunnel Addressing Protocol). Mesmo que uma rede não implemente estes protocolos, os clientes configurados para os utilizar são vulneráveis a estes ataques de controlo não autorizado que a actualização dinâmica de DNS permite. Para impedir este tipo de ataques, a função de servidor DNS do Windows Server 2008 inclui uma lista de bloqueio de consultas global que pode ajudar a impedir que um utilizador mal intencionado assuma o controlo não autorizado de nomes de DNS que tenham um significado especial.

Na configuração predefinida, o serviço Servidor DNS do Windows Server 2008 mantém uma lista de nomes que, efectivamente, ignora quando recebe uma consulta para resolver o nome em qualquer zona para a qual o servidor seja autoritativo. Para o conseguir, o serviço Servidor DNS verifica primeiro as consultas em relação à lista. Em seguida, se a parte mais à esquerda do nome corresponder a uma entrada da lista, o serviço Servidor DNS responde à consulta como se não existisse um registo de recursos, mesmo que exista um registo de recursos de anfitrião (A) ou (AAAA) na zona para esse nome. Desta forma, se existir um registo de recursos de anfitrião (A) ou (AAAA) na zona devido ao facto de um anfitrião ter utilizado actualização dinâmica para se registar com um nome bloqueado, o serviço Servidor DNS não resolve o nome. O conteúdo inicial da lista de bloqueio depende de o protocolo WPAD ou ISATAP já estar implementado quando adicionar a função de Servidor DNS a uma implementação existente do Windows Server 2008 ou actualizar uma versão anterior do Windows Server com o serviço Servidor DNS. Além disso, utilizando a ferramenta de linha de comandos dnscmd, pode adicionar ou remover entradas da lista ou desactivar a imposição da lista de bloqueio. Todos os servidores DNS que sejam autoritativos para uma zona têm de ter o Windows Server 2008 e estar configurados com a mesma lista de bloqueio para garantir resultados consistentes quando os clientes efectuarem consultas de resolução de nomes da lista de bloqueio.

Apesar de não ser uma consequência directa das alterações do DNS relativas à função de servidor DNS, os sistemas operativos Windows Vista® e Windows Server 2008 introduzem funcionalidades adicionais ao software de cliente DNS, conforme descrito nas secções seguintes.

Os computadores cliente de DNS podem utilizar o LLMNR (link-local multicast name resolution), também conhecido como multicast DNS ou mDNS, para resolver nomes num segmento de rede local quando um servidor DNS não está disponível. Por exemplo, se um router falhar, retirando uma sub-rede de todos os servidores DNS existentes na rede, os clientes existentes na rede que suporta LLMNR poderão continuar a resolver nomes numa base ponto-a-ponto até que a ligação de rede seja restaurada.

Para além de fornecer resolução de nomes em caso de falha da rede, o LLMNR também pode ser útil para estabelecer ligações ad-hoc ponto-a-ponto (por exemplo, numa área de espera de um aeroporto).

Em circunstâncias pouco usuais, o modo como os clientes DNS localizam controladores de domínio podem ter um impacto no desempenho da rede:

  • Um componente Localizador de DC de um computador cliente com o Windows Vista ou o Windows Server 2008 procura periodicamente um controlador de domínio no domínio a que pertence. Esta funcionalidade ajuda a evitar problemas de desempenho que poderão ocorrer quando um cliente localiza o respectivo controlador de domínio durante um período de falha de rede, associando consequentemente o cliente a um controlador de domínio distante localizado numa ligação lenta. Anteriormente, esta associação continuava até que o cliente fosse forçado a procurar um novo controlador de domínio; por exemplo, quando o computador cliente era desligado da rede durante um longo período de tempo. Renovando periodicamente a sua associação a um controlador de domínio, um cliente pode agora reduzir a probabilidade de vir a ser associado a um controlador de domínio inadequado.

  • Um computador cliente com o Windows Vista ou o Windows Server 2008 pode ser configurado (por programação, com uma definição do registo ou pela Política de Grupo) para localizar o controlador de domínio mais próximo, em vez de procurar aleatoriamente. Esta funcionalidade poderá melhorar o desempenho da rede em redes que contenham domínios existentes em ligações lentas. No entanto, visto que a própria localização do controlador de domínio mais próximo pode ter um impacto negativo no desempenho da rede, esta funcionalidade não está activada por predefinição.

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft