The Cable Guy: Alterações ao Serviço do cliente DNS no Windows 7 e no Windows Server 2008 R2

  • Artigo

Joseph Davies

Há diversos fatores críticos, de novos no serviço de cliente DNS (Domain Name System) no Windows 7 e no Windows Server 2008 R2:

  • Alterações de comportamento de devolução de nome
  • A tabela de diretiva de resolução de nomes (NRPT)
  • Segurança do DNS (DNSSEC)

Explorando a cada um desses detalhes pode ajudá-lo a trabalhar com o DNS mais eficiência.

Alterações de comportamento de devolução de nome

Devolução de nome é um comportamento de serviço de cliente DNS no Windows que permite que um usuário do serviço de domínio do Active Directory (AD DS) especificar um nome de rótulo único, não qualificado para um recurso em vez de seu nome de domínio totalmente qualificado (FQDN). Quando a devolução de nome estiver habilitada, o Windows acrescenta partes de sufixo de domínio primário do computador com o nome de rótulo único e envia consultas DNS separadas para os FQDNs resultantes.

Por exemplo, um usuário em um computador que seja membro do domínio corp.contoso.com pode usar o servidor1 nome e devolução de nome automaticamente consultas server1.corp.contoso.com e server1.contoso.com no nome do usuário.

Devolução de nome ocorre somente para o sufixo de domínio primário. Não ocorre quando não houver nenhum sufixo de domínio primário, de sufixos DNS específicos da conexão, ou quando você configurou uma lista de pesquisa de sufixo de global.

Nas versões do Windows anteriores ao Windows 7 e o Windows Server 2008 R2, a devolução de nome continua com o nome de domínio de segundo nível para o sufixo de domínio primário. Por exemplo, se o computador é membro do domínio wcoast.corp.contoso.com e digitar ping servidor1 de em um prompt de comando, o serviço cliente DNS envia consultas DNS separadas para server1.wcoast.corp.contoso.com, server1.corp.contoso.com e server1.contoso.com.

O nível de devolução é o número de etiquetas no sufixo de domínio primário em que deixa de devolução de nome. Para versões do Windows anteriores ao Windows 7 e o Windows Server 2008 R2 sem o 971888 comunicado de segurança translation from VPE for picture itExclMark: Atualização para a devolução DNS instalado, o nível de devolução de nome for 2 e não é possível configurar esse nível. Isso é um problema.

Problemas de segurança com nível de devolução 2

Devolução de nível 2 e novos tipos de nomes de Internet podem resultar em um computador associado a domínio conectando-se com computadores potencialmente mal-intencionados na Internet. Por exemplo, se o sufixo de domínio primário do computador é westcoast.corp.contoso.co.us e o usuário tenta se conectar a server1, devolução de nome DNS ao nível 2 tente os seguintes nomes:

  • Server1.westCoast.corp.contoso.co.US
  • Server1.corp.contoso.co.US
  • Server1.contoso.co.US
  • Server1.co.US

O nome da último tentado, server1.co.us, está fora do controle da Contoso Corporation. Se alguém tiver registrado server1.co.us, a resolução de nome DNS seja bem-sucedida e o computador tentará uma conexão. Se o proprietário do servidor server1.co.us mal-intencionado, ele pode tentar falsificar um servidor de intranet.

O novo comportamento de devolução de nome

O novo comportamento padrão para a devolução DNS bloqueia essa possibilidade. Como ele funciona em computadores que executam o Windows 7, o Windows Server 2008 ou uma versão anterior do Windows com o 971888 comunicado de segurança translation from VPE for picture itExclMark: Atualização para a devolução DNS instalada:

  1. Se é o número de etiquetas no domínio raiz da floresta do AD DS) ou o sufixo DNS primário não termina com o domínio raiz da floresta, a devolução será desabilitada.
  2. Se o sufixo DNS primário for encerrada com o domínio raiz da floresta, o nível de devolução é definido para o número de etiquetas no domínio raiz da floresta.

Por exemplo, se o computador é membro do domínio westcoast.corp.contoso.co.us e o nome de domínio da raiz de floresta é US, o nível de devolução é 4 (o número de etiquetas em US). Se o computador é membro do westcoast.corp.contoso.com e o nome de domínio da raiz de floresta é US, devolução está desabilitada (westcoast.corp.contoso.com não termina com US). Esse comportamento padrão garante que o nível de devolução não levar a uma tentativa de resolver um nome fora do controle de uma organização.

Manualmente, você pode definir o nível de devolução com a configuração de diretiva de grupo do Primary DNS Suffix devolução nível. Se você especificar manualmente um nível de devolução, no entanto, tenha em mente que as alterações feitas no valor de nível de devolução podem afetar a capacidade de resolver nomes de recursos em um domínio de seus computadores cliente. Se você definir o nível de devolução muito alto, a devolução de nome pode ser prejudicada.

Por exemplo, se um computador é um membro da wcoast.corp.contoso.com e definir o nível de devolução de 4, quando um usuário tenta se conectar a server1, server1.wcoast.corp.contoso.com é o FQDN apenas tentado. Se o FQDN do servidor servidor1 server1.corp.contoso.com, o usuário deve usar o FQDN do server1.corp.contoso.com, em vez de server1.

Configurar o comportamento de devolução de nome

Você pode habilitar a devolução de nome a partir da guia de DNS para as propriedades avançadas do TCP/IPv4 ou protocolos TCP/IPv6. A Figura 1 mostra um exemplo.

Figure 1 DNS devolution settings on the DNS tab

Figura 1 as configurações de devolução DNS na guia DNS.

Quando você clica de Acrescentar primários e sufixos DNS específicos da conexão e selecione Acrescentar sufixos pai do sufixo DNS primário de , isso permite que a devolução de nome.

Você também pode configurar a devolução de nome com as seguintes configurações de diretiva de grupo no computador cliente da Templates\Network\DNS Configuration\Policies\Administrative:

  • Nível de devolução de sufixo DNS primário

Definir de não configurado, mas com um padrão de nível 2. Você também pode definir essa configuração com valor de registro HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient\UseDomainNameDevolution (REG_DWORD) (1 habilitado, desabilitado 0).

  • Devolução de sufixo DNS primária

Definido como de não configurado por padrão. Você também pode definir essa configuração com valor de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DomainNameDevolutionLevel (REG_DWORD).

Se as configurações de diretiva de grupo estiverem configuradas, as configurações do Registro local são ignoradas. Para as versões do Windows anteriores ao Windows 7 ou no Windows Server 2008 R2, os nível de devolução de sufixo DNS primário e de devolução de sufixo DNS primário configurações aplicam-se a computadores com o 971888 comunicado de segurança translation from VPE for picture itExclMark: Atualização para a devolução DNS instalada.

Tabela de diretivas de resolução de nome

Para as tecnologias que requerem tratamento especial para consultas de nomes de partes específicas do espaço de nomes DNS, o Windows 7 e o Windows Server 2008 R2 incluem o nome de resolução de diretiva de tabela (NRPT). DirectAccess e DNSSEC, use o NRPT para o seguinte:

  • Quando, na Internet, clientes DirectAccess enviam consultas DNS para nomes de intranet para os servidores DNS da intranet através de uma conexão criptografada ao servidor DirectAccess. As regras na NRPT especificam o namespace da intranet e o conjunto de servidores DNS da intranet.
  • Computadores baseados em 7 do Windows enviam consultas a nomes DNS com base no DNSSEC nos espaços para nome especificados para autenticar o servidor DNS e certifique-se de que a validação do DNSSEC foi realizada pelo resolvedor DNS validação. As regras na NRPT especificam o namespace para consultas baseadas no DNSSEC e se será exigida a validação do DNSSEC.

O NRPT contém regras para nomes ou de espaços para nome e as configurações para o tratamento especial necessária. Ao executar a resolução de nomes DNS, o serviço cliente DNS verifica o NRPT antes de enviar uma consulta de nome DNS e ao processar a resposta. Consultas e respostas que correspondam a uma entrada NRPT obtém o tratamento especial especificado aplicado. Consultas e respostas não coincidem com uma entrada NRPT são normalmente processadas.

Você pode configurar o NRPT com diretiva de grupo (Configuration\Policies\Windows Settings\Name resolução de diretiva do computador), por meio do registro do Windows ou de entradas de DirectAccess, usando o Assistente para instalação DirectAccess. Para entradas com base no DNSSEC, a diretiva de grupo é o método preferencial de configuração. Entradas de DirectAccess, o Assistente para instalação de DirectAccess é o método preferencial de configuração.

A Figura 2 mostra a configuração de diretiva de grupo do NRPT.

Figure 2 Group Policy-based configuration of the NRPT

A Figura 2 configuração baseada em diretiva de grupo do NRPT.

Para obter mais informações, consulte o para A tabela de diretivas de resolução de nomes, o 2010 fevereiro “ The Cable Guy ”.

Segurança do DNS

O protocolo DNS não foi projetado para fornecer autenticação ou a verificação de respostas de resolução de nome autênticas. Vários tipos de ataques que tentam falsificar um recurso de Internet tiverem explorado essa falta de segurança no passado.

DNSSEC é um conjunto de padrões de Internet Engineering Task Force (IETF) (4033 RFCs, 4034 e 4035) que fornecem as seguintes informações sobre os dados enviados como o tráfego de rede ou no cache do DNS:

  • **Autenticação de origem:**Confirmação de que a resposta enviada como tráfego de rede teve origem no servidor DNS esperado.
  • **Autenticado negação da existência:**A resposta foi o nome não encontrado, e isso foi autenticado pelo servidor DNS autoritativo.
  • **Integridade de dados:**A resposta não foi modificada em trânsito.

DNSSEC usa criptografia de chave pública para fornecer esses serviços de segurança. Quando um cliente DNS envia uma consulta de nomes DNS específicos do DNSSEC, a resposta contém uma assinatura digital associada. O resolvedor DNS de validação — um servidor DNS com base no Windows Server 2008 R2 — valida a assinatura usando uma âncora de confiança pré-configurado, um computador que possui a chave pública inicial em uma cadeia de autenticação para o servidor DNS autoritativo.

Para obter mais informações sobre como funciona o DNSSEC, consulte o Apêndice Rever os principais conceitos do DNSSEC.

Para obter informações sobre a implantação do DNSSEC em servidores DNS que executam o Windows Server 2008 R2, consulte o Guia de implantação do DNS seguro .

Configurando o serviço de cliente DNS para usar o DNSSEC

Você pode configurar o comportamento do DNSSEC para o serviço cliente DNS no Windows 7 e no Windows Server 2008 R2 com o NRPT. Consulte a seção NRPT neste artigo para obter mais informações.

A Figura 3 mostra as definições de configuração para DNSSEC dentro de uma regra NRPT.

Figure 3 Enabling DNSSEC in an NRPT rule

A Figura 3 **Ativando DNSSEC em uma regra NRPT.  **

Para uma parte especificada do espaço de nomes DNS definido pela regra NRPT, habilite o DNSSEC do DNSSEC ativar nesta regra. Em seguida, você pode exigir validação com do DNS requer clientes para verificar o nome e endereço de dados foi validados.

Você também pode especificar que o cliente DNS proteger o tráfego entre si e o servidor DNS com o do UseIPsec na comunicação entre o cliente DNS e o servidor DNS e, em seguida, especifique o tipo de proteção. Você também pode especificar a autoridade de certificação (CA) do qual o cliente DNS aceitará certificados ao executar a autenticação de IPsec em de de autoridade de certificação (veja a do Figura 2).

Joseph Davies é uma escritora técnica principal do Windows translation from VPE for picture itExclMark equipe da escrita de rede. Ele é autor e co-autor de vários livros publicados pela translation from VPE for picture itExclMark Press, incluindo “ Windows Server 2008 acesso à rede e Network Access Protection (NAP), ” “ Noções básicas sobre IPv6, segunda edição ” “ protocolos do Windows Server 2008 TCP/IP e serviços. ”

Conteúdo relacionado