The Cable GuyAprimoramentos do DNS no Windows Server 2008
Joseph Davies
Este artigo se baseia em uma versão de pré-lançamento do Windows Server 2008. Todas as informações deste artigo estão sujeitas a alterações.
A Microsoft tem incluído um serviço Servidor DNS (sistema de nome de domínio) em versões do Windows Server desde o Windows NT 4.0. O DNS é um banco de dados hierárquico e distribuído que contém mapeamentos de nomes de domínio DNS para vários tipos de dados, como endereços IP. Com o Windows Server 2008, o serviço Servidor DNS inclui novos recursos, como
carregamento de zona em segundo plano, aprimoramentos para oferecer suporte a IPv6, suporte a controladores de domínio somente leitura (RODCs) e a capacidade de hospedar nomes globais de rótulo único.
Carregamento de zona em segundo plano
O serviço Servidor DNS do Windows Server® 2008 acelera a recuperação de dados ao implementar o carregamento de zona em segundo plano. No passado, empresas com zonas contendo um grande número de registros no Active Directory® sofriam com atrasos de uma hora ou mais quando o serviço Servidor DNS do Windows Server 2003 tentava recuperar os dados DNS do Active Directory na reinicialização. Durante esses atrasos, o servidor DNS ficava indisponível para solicitações do cliente DNS do serviço para qualquer uma de suas zonas hospedadas.
Para resolver essa questão, o serviço Servidor DNS do Windows Server 2008 recupera dados de zona do Active Directory em segundo plano depois de iniciar para poder responder a solicitações de dados de outras zonas. Quando o serviço é iniciado, ele cria um ou mais threads de execução para carregar as zonas que são armazenadas no Active Directory. Como há threads separados para carregar as zonas baseadas no Active Directory, o serviço Servidor DNS pode responder a consultas enquanto o carregamento de zona está em andamento. Se um cliente DNS solicitar dados em uma zona que já tenha sido carregada, o servidor DNS responderá adequadamente. Caso a solicitação seja para dados em uma zona que ainda não tenha sido totalmente recuperada, o servidor DNS recuperará os dados específicos do Active Directory.
Essa capacidade de recuperar dados específicos do Active Directory durante o carregamento de zona proporciona uma vantagem adicional em relação ao armazenamento de informações de zona em arquivos: o serviço Servidor DNS pode responder a solicitações imediatamente. Quando a zona é armazenada em arquivos, o serviço precisa ler seqüencialmente o arquivo até encontrar os dados.
Suporte avançado a IPv6
O IPv6, que já foi abordado em edições anteriores desta coluna, é um novo conjunto de protocolos padrão da Internet. O IPv6 foi projetado para resolver muitos dos problemas da versão atual (IPv4), como esgotamento de endereços, segurança, configuração automática e necessidade de extensibilidade.
Uma diferença no IPv6 é que seus endereços têm 128 bits de comprimento, enquanto os endereços IPv4 têm apenas 32 bits. Os endereços IPv6 são expressos em notação hexadecimal separada por dois-pontos. Cada dígito hexadecimal corresponde a 4 bits do endereço IPv6. Um endereço IPv6 totalmente expresso tem 32 dígitos hexadecimais em 8 blocos, separados por dois-pontos. Um exemplo de endereço IPv6 totalmente expresso é FD91:2ADD:715A:2111:DD48:AB34:D07C:3914.
A resolução de nomes direta para endereços IPv6 usa o registro DNS de Host do IPv6, conhecido como registro AAAA (pronuncia-se "quatro As"). Para resolução de nomes inversa, o IPv6 usa o domínio IP6.ARPA, e cada dígito hexadecimal no endereço IPv6 de 32 dígitos se torna um nível separado na hierarquia de domínio reverso em ordem inversa. Por exemplo, o nome de domínio da zona de pesquisa inversa para o endereço FD91:2ADD:715A:2111:DD48:AB34:D07C:3914 é 4.1.9.3.C.7.0.D.4.3.B.A.8.4.D.D.1.1.1.2.A.5.1.7.D.D.A.2.1.9.D.F.IP6.ARPA.
O serviço Servidor DNS do Windows Server 2003 dá suporte a resolução de nomes direta e inversa para o IPv6, embora o suporte não seja totalmente integrado. Por exemplo, para criar um registro de endereço IPv6 (o registro AAAA que acabamos de mencionar) no snap-in Gerenciador DNS do Windows Server 2003, clique com o botão direito do mouse na zona, clique em Outros Registros Novos e depois clique duas vezes no Host do IPv6 (AAAA) como o tipo de registro do recurso. Para adicionar um registro AAAA no snap-in Gerenciador DNS do Windows Server 2008, clique com o botão direito do mouse no nome da zona e depois clique em Novo Host (A ou AAAA). Na caixa de diálogo Novo Host, você pode digitar um endereço IPv4 ou IPv6. A Figura 1 mostra um exemplo.
Figura 1** Caixa de diálogo Novo Host **
Outro exemplo de melhor suporte a IPv6 é para zonas inversas IPv6. Para criar uma zona de pesquisa inversa no snap-in Gerenciador DNS do Windows Server 2003, é preciso digitar manualmente o nome da zona inversa na página correspondente do Assistente de Nova Zona. Um exemplo de um nome de zona inversa no DNS é 1.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa (para o prefixo de sub-rede IPv6 2001:db8:0:1::/64, totalmente expresso como 2001:0db8:0000:0001::/64).
As zonas inversas IPv6 no snap-in Gerenciador DNS do Windows Server 2008 agora estão totalmente integradas ao Assistente de Nova Zona. Existe uma nova página do assistente que solicita que você selecione uma zona de pesquisa inversa IPv4 ou IPv6. No caso de uma zona de pesquisa inversa IPv6, basta digitar o prefixo de sub-rede IPv6 para que o assistente a crie automaticamente. A Figura 2 mostra um exemplo.
Figura 2** Nomeando uma zona de pesquisa inversa IPv6 **(Clique na imagem para aumentar a exibição)
Outro aprimoramento para zonas inversas é a forma como o snap-in Gerenciador DNS exibe registros ponteiro (PTR) IPv6. A Figura 3 mostra como o snap-in Gerenciador DNS do Windows Server 2003 exibe um registro PTR.
Figura 3** Registro PTR para IPv6 no Windows Server 2003 **(Clique na imagem para aumentar a exibição)
Embora essa exibição reflita com precisão a estrutura do namespace DNS para nomes de domínio inverso IPv6, ela dificulta o gerenciamento de registros PTR para endereços IPv6. A Figura 4 mostra como o snap-in Gerenciador DNS do Windows Server 2008 exibe um registro PTR.
Figura 4** Registro PTR para IPv6 no Windows Server 2008 **(Clique na imagem para aumentar a exibição)
O serviço Servidor DNS do Windows Server 2003 dá suporte a operação por IPv6, mas ela precisa ser habilitada manualmente com o comando dnscmd /config /EnableIPv6 1. O Windows Server 2008, por outro lado, oferece suporte a operação por IPv6 por padrão. A ferramenta de linha de comando Dnscmd.exe foi atualizada para aceitar endereços IPv6 em opções de linha de comando. Além disso, agora o serviço Servidor DNS pode enviar consultas recursivas a servidores somente IPv6, e a lista encaminhadora de servidores pode conter endereços tanto IPv4 como IPv6.
Para obter mais informações sobre IPv6 e como o Windows® dá suporte a ele, consulte microsoft.com/ipv6.
Suporte a controlador de domínio somente leitura
O Windows Server 2008 também introduz o RODC, um novo tipo de controlador de domínio que contém uma cópia somente leitura de informações do Active Directory e que, embora possa executar funções do Active Directory, não pode ser configurado diretamente. Os RODCs são menos vulneráveis a ataques e podem ser colocados em locais onde a segurança física do controlador de domínio não possa ser garantida ou a rede contenha hosts potencialmente mal-intencionados.
Para RODCs, o serviço Servidor DNS do Windows Server 2008 oferece suporte ao novo tipo de zona primária somente leitura. Quando um computador se torna um RODC, ele replica uma cópia somente leitura completa de todas as partições de diretório de aplicativos que o DNS usa, inclusive a partição de domínio, ForestDNSZones e DomainDNSZones. Isso garante que o serviço Servidor DNS executado no RODC tenha uma cópia somente leitura completa de qualquer zona DNS armazenada nas partições de diretório de um controlador de domínio que não seja um RODC. O conteúdo de uma zona primária somente leitura pode ser exibido em um RODC, mas não alterado. Qualquer alteração no conteúdo da zona deve ser feita em um controlador de domínio que não seja um RODC.
Zona GlobalNames
Resolução de nomes com a zona GlobalNames
Depois de implantada a zona GlobalNames, quando um cliente DNS baseado no Windows Vista tenta resolver um nome de rótulo único, ela anexa o sufixo DNS primário ao nome de rótulo único e envia a solicitação de consulta de nome ao respectivo servidor DNS.
Se o nome não for encontrado, o cliente DNS enviará solicitações adicionais para a combinação do nome de rótulo único com os sufixos na lista de pesquisa de sufixos DNS correspondente (se configurada). Caso nenhum desses nomes resolva, o cliente solicitará a resolução usando o nome de rótulo único.
O servidor DNS procura o nome de rótulo único na zona GlobalNames. Se ele aparece ali, o servidor DNS envia o FQDN ou o endereço IPv4 resolvido de volta para o cliente DNS. Caso contrário, o computador cliente DNS converte o nome para um nome NetBIOS e usa técnicas de resolução de nomes NetBIOS, como o WINS. Não é necessária nenhuma alteração no serviço Cliente DNS para habilitar a resolução de nomes de rótulo único na zona GlobalNames.
O Windows Server 2008 e o Windows Vista® dão suporte ao NetBIOS pelo protocolo TCP/IP (NetBT). O NetBT usa nomes NetBIOS para identificar aplicativos NetBIOS de camada de sessão. Embora a resolução de nomes NetBIOS com o WINS não seja necessária para versões atuais do Windows que se baseiam em DNS e em aplicativos de rede baseados no Windows Sockets para resolução de nomes, muitos clientes da Microsoft implantam o WINS em suas redes para dar suporte a aplicativos NetBT mais antigos e fornecer resolução de nomes para nomes de rótulo único em suas organizações. Normalmente, os nomes de rótulo único referem-se a servidores importantes, conhecidos e amplamente usados de uma organização, como servidores de email, servidores Web centrais ou os servidores para aplicativos de linha de negócios.
A fim de permitir que esses nomes de rótulo único sejam resolvidos em uma organização usando somente DNS, convém adicionar registros A aos vários domínios DNS da organização para que um cliente DNS baseado no Windows possa resolver o nome sem levar em conta a lista de pesquisa de sufixos ou o sufixo de domínio DNS atribuído.
Suponha, por exemplo, que a organização contoso.com tenha um servidor Web central chamado CWEB que é membro do domínio central.contoso.com. Para implementar um nome de rótulo único para o servidor CWEB quando clientes DNS puderem ser atribuídos ao sufixo de domínio DNS wcoast.contoso.com, central.contoso.com ou ecoast.contoso.com, o administrador da rede deve criar dois registros A adicionais para cweb.wcoast.contoso.com e cweb.ecoast.contoso.com. No entanto, não se esqueça de que registros A criados manualmente para nomes de rótulo único devem ser mantidos para alterações na atribuição de endereço IPv4 ou para novos nomes.
Se contoso.com já estiver usando o WINS para aplicativos NetBT mais antigos, um administrador da rede poderá implementar a resolução de nomes para o nome de rótulo único CWEB adicionando um registro WINS estático único à infra-estrutura WINS. Se o endereço IPv4 mudar, somente o registro WINS estático único precisará ser alterado. Como nomes de rótulo único são mais fáceis de gerenciar no WINS, muitas redes baseadas no Windows usam registros WINS estáticos para esses nomes.
Para fornecer uma solução de nome de rótulo único no DNS que seja gerenciada facilmente como registros WINS estáticos, o serviço Servidor DNS do Windows Server 2008 oferece suporte a uma nova zona chamada GlobalNames para armazenar nomes de rótulo único. O escopo da replicação dessa zona normalmente é uma floresta, que fornece resolução de nomes de rótulo único em uma floresta inteira do Active Directory. Além disso, a zona GlobalNames pode dar suporte a resolução de nomes de rótulo único através de uma organização que contenha várias florestas quando você usa registros de recurso de serviço local (SRV) para publicar o local da zona GlobalNames.
Ao contrário do WINS, a zona GlobalNames tem por finalidade fornecer resolução de nomes de rótulo único para um conjunto limitado de nomes de host, geralmente os servidores centrais e críticos de uma organização que são gerenciados pelo departamento de TI. A zona GlobalNames não deve ser usada para armazenar os nomes de desktops ou outros computadores cujos endereços IPv4 possam sofrer alterações. Além disso, ela não oferece suporte, sob nenhuma circunstância, a atualizações dinâmicas do DNS. Ela é mais usada para armazenar registros de recurso de alias (CNAME) que mapeiam um nome de rótulo único para um FQDN (nome de domínio totalmente qualificado). Para redes que estejam usando o WINS, a zona GlobalNames geralmente armazena registros de recurso para nomes gerenciados por TI que já estejam configurados estaticamente no WINS.
A zona GlobalNames fornecerá resolução de nomes de rótulo único somente quando todos os servidores DNS autoritativos estiverem executando o Windows Server 2008. No entanto, outros servidores DNS que não sejam autoritativos para qualquer zona podem executar versões anteriores do Windows ou outros sistemas operacionais. A zona GlobalNames deve ser exclusiva na floresta.
Para fornecer o máximo de escalabilidade e desempenho, a zona GlobalNames deve estar integrada ao Active Directory e configurar cada servidor DNS autoritativo com uma cópia local dela. A realização dessa tarefa é necessária para dar suporte à implantação da zona GlobalNames em várias florestas.
Para obter mais informações sobre o suporte a DNS no Windows e sobre como implantar a zona GlobalNames, consulte a página da Web do DNS da Microsoft em microsoft.com/dns.
Joseph Davies é redator técnico da Microsoft. Além disso, ensina e escreve sobre assuntos relacionados a sistemas de rede do Windows desde 1992. Ele tem cinco livros publicados pela Microsoft Press e é autor da coluna mensal online da TechNet, The Cable Guy.
© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..