ATUALIZAES DINMICAS NO DNS A possibilidade de atualizaes dinmicas no DNS passou a estar disponvel para o mundo Windows, a partir do Windows

2000 Server. Com este mecanismo, os clientes da rede podem dinamicamente registrar e atualizar seus registros no servidor DNS (verses mais novas do Windows, tais como o Windows 2000, Windows XP e Windows Server 2003). Isso reduz a necessidade de o administrador manualmente criar entradas e fazer alteraes no DNS, sempre que o nome ou nmero IP de um computador alterado. A atualizao dinmica pode ser habilitada no nvel da zona, ou seja, podem haver duas zonas no mesmo servidor DNS, uma com atualizao dinmica habilitada e outra no. O cliente DNS, na estao de trabalho do usurio, capaz de registrar um registro do tipo A (na zona direta) e o registro correspondente do tipo PTR (na zona inversa). Alguns clientes DNS mais antigos no tm suporte para criao e atualizao dinmica de registros no DNS. O Windows 2000, o Windows XP, o Windows 2000 Server e o Windows Server 2003 so as verses do Windows cujo cliente DNS d suporte a atualizao dinmica. A criao dos registros do tipo A e do tipo PTR feita pelo cliente, durante a inicializao de um computador com uma destas verses do Windows (2000, XP ou 2003) e atualizado a cada 24 horas. Mesmo que voc use um endereo IP fixo, configurado manualmente, o cliente DHCP far o registro dinmico, a no ser que ele seja desabilitado. (OBS: O Servio DHCP um outro servio de rede que ser visto mais adiante) Verses do Windows mais antigas (Windows 95, 98, 3.11, etc) podem ter suas informaes registradas dinamicamente no DNS. Porm este registro tem que ser feito pelo servidor DHCP, pois o prprio cliente no capaz de fazer o registro, dinamicamente, no DNS. Neste caso o servidor DHCP deve ser configurado para dar suporte a este tipo de funcionalidade e ser capaz de criar registros do tipo A e do tipo PTR para clientes com verses do Windows onde o cliente DNS no d suporte a atualizao dinmica. O registro dinmico feito utilizando o nome completo do computador. Por exemplo, um computador com nome de host comp01, em um domnio xyz.com.br, ser registrado como comp01.xyz.com.br. O endereo IP associado ao nome ser obtido a partir das configuraes do protocolo TCP/IP, quer elas tenham sido obtidas a partir de um servidor DHCP ou quer tenham sido configuradas manualmente. Lembrando que para verses do Windows mais antigas, somente quando as configuraes so feitas via DHCP que haver o registro dinmico no DNS (se o servidor DHCP estiver configurado para tal). Uma atualizao dinmica ser enviada para o servidor DNS, quando uma das situaes a seguir ocorrer:

- Um endereo IP for adicionado, removido ou modificado nas propriedades do TCP/IP

de uma das conexes de rede (interfaces) do computador. - Houver uma renovao ou troca de endereo IP, obtido a partir do servidor DHCP em qualquer das conexes de rede. Por exemplo, quando o computador for inicializado (o endereo IP obtido a partir do servidor DHCP) ou quando o comando ipconfig/renew for utilizado.

- Quando for utilizado o comando ipconfig /registerdns para forar uma atualizao do
nome do computador com o servidor DNS. - Quando o computador for inicializado. - Quando um member server for promovido a DC (Active Directory a ser estudado adiante). Algumas regras so aplicadas quando um registro dinamicamente criado no DNS:

- Quando um cliente tenta criar dinamicamente um novo registro e o registro no

existe, o DNS Server cria o novo registro sem problemas. - Se o registro j existe, porm com um nome diferente e com o mesmo endereo IP, o novo registro adicionado e o registro antigo ser mantido. - Se o registro j existe com o mesmo nome, mas com um endereo IP diferente, o registro anterior ser sobrescrito com as novas informaes. Somente o servidor onde est a zona DNS primria que pode receber as atualizaes dinmicas. Porm, pode acontecer de um cliente estar utilizando um servidor DNS onde est uma zona secundria para o domnio do cliente. Neste caso a solicitao de atualizao enviada para o servidor onde est a zona secundria. Este repassa a mensagem de atualizao para o servidor DNS onde est a zona primria. As atualizaes so feitas na zona primria. Aps ter sido atualizada a zona primria, o servidor DNS primrio envia mensagens para os servidores onde existem zonas secundrias, notificando que novas atualizaes esto disponveis. As alteraes so copiadas da zona primria para todas as zonas secundrias. Expirao e eliminao de registros (Scavenging) Os servidores DNS do Windows 2003 Server (a exemplo do DNS do Windows Server 2000) fornecem suporte aos recursos de expirao e eliminao. Esses recursos so fornecidos como um mecanismo para executar uma limpeza no DNS, com a remoo de registros no atualizados e que podem se acumular nos dados de uma zona do DNS, ao longo do tempo (em outras palavras: lixo). Com a atualizao dinmica, os registros so automaticamente adicionados s zonas, conforme descrito anteriormente. Este ato de registro normalmente acontece durante a inicializao do computador. No entanto, em alguns casos (como por exemplo, em uma queda de energia), eles no so automaticamente removidos quando os computadores so desligados ou desconectados da rede. Por exemplo, se um computador registra no servidor um registro do tipo A na inicializao e depois desconectado de maneira inadequada da rede, este registro no excludo. Em uma rede com muitos usurios e computadores mveis, essa situao pode ocorrer com freqncia. Se forem deixados sem gerenciamento, a presena de registros no atualizados em dados de zona poder causar alguns problemas, como por exemplo:

- Se um grande nmero de registros no atualizados permanecer em zonas dos

servidores DNS, podero eventualmente ocupar o espao em disco do servidor e provocar longas e desnecessrias transferncias de zonas. Por exemplo, quando uma nova zona secundria for criada, ser transmitida uma grande quantidade de registros que j no so mais necessrios.

- Os servidores DNS que tem zonas com registros no atualizados podero usar
informaes desatualizadas para responder a consultas de clientes, acarretando possveis problemas de resoluo de nomes na rede. - O acmulo de registros no atualizados no servidor DNS pode diminuir seu desempenho e velocidade na resoluo de consultas enviadas pelos clientes. - Em alguns casos, a presena de um registro no atualizado em uma zona pode impedir que um nome de domnio DNS seja usado por outro computador ou dispositivo de host. Para resolver esses problemas, o servio Servidor DNS tem os seguintes recursos:

- Carimbo de data/hora, baseado na data e hora atuais definidos no computador

servidor, para quaisquer registros adicionados dinamicamente s zonas tipo primrias. Alm disso, os carimbos de data/hora so gravados nas zonas primrias padro onde os recursos de expirao/eliminao esto ativados. - Para os registros que voc adiciona manualmente, usado um valor de carimbo de data/hora igual a zero indicando que eles no so afetados pelo processo de expirao e podem permanecer sem limitao nos dados da zona a menos que voc altere seus carimbos de data/hora ou os exclua. - A expirao dos registros nos dados locais baseada em um perodo de tempo de renovao especificado, para todas as zonas qualificadas. Somente zonas primrias participam deste processo. - Eliminao de todos os registros que persistirem alm do perodo de renovao especificado. Quando um servidor DNS do Windows 2003 Server executa uma operao de eliminao, ele pode determinar que os registros expiraram (se no foram atualizados) e remov-los dos dados da zona. Os servidores podem ser configurados para executar operaes de eliminao recorrentes automaticamente ou voc pode iniciar uma operao de eliminao imediata no servidor. Cuidado: Por padro, o mecanismo de expirao e eliminao est desativado nos servidores DNS no Windows 2000 Server. Ele s deve ser ativado quando todos os parmetros estiverem totalmente entendidos, ou seja, quando o administrador entender exatamente o que significa cada parmetro. Caso contrrio, o servidor poder ser acidentalmente configurado para excluir registros que no devem ser excludos. Se um registro for acidentalmente excludo, no apenas ocorrer uma falha quando os usurios tentarem fazer consultas sobre esse registro como qualquer usurio poder criar o registro e obter sua propriedade, mesmo em zonas configuradas para atualizao segura dinmica (zonas integradas com o Active Directory). O servidor usa o contedo do carimbo de data/hora especfico de cada registro, junto com outras propriedades de expirao/eliminao que voc pode ajustar ou configurar, para determinar quando eliminar os registros. Antes que os recursos de expirao e eliminao do DNS possam ser usados, vrias condies devem ser atendidas:

- A eliminao e a expirao devem estar ativadas no servidor DNS e na zona. Por

padro, a expirao e a eliminao dos registros de recursos esto desativados. - Os registros de recursos devem ser adicionados dinamicamente s zonas ou manualmente modificados para serem usados nas operaes de expirao e

eliminao. - Normalmente, apenas aqueles registros de recursos adicionados dinamicamente usando o protocolo de atualizao dinmica do DNS esto sujeitos a expirao e eliminao.

SEGURANA NO ACESSO AO DNS As zonas do DNS contm muitas informaes sobre a rede da sua empresa e sobre os servidores da empresa, principalmente nomes e endereos IP. Estas informaes podem ser de grande valor para hackers que queiram realizar ataques maliciosos contra a rede da sua empresa. Por isso proteger as informaes do DNS de fundamental importncia para a segurana da rede. Quando tratamos sobre segurana no DNS, trs pontos devem ser levados em considerao:

- Limitar o nmero de usurios com permisso de administrao do DNS e que podem

fazer alteraes nas zonas do DNS. - Tomar precaues para que as informaes contidas nas zonas do DNS no sejam acessadas por usurios no autorizados. - Questes de segurana relacionadas com as atualizaes dinmicas, para evitar que sejam enviadas atualizaes dinmicas por usurios/computadores no autorizados. Voc pode definir configuraes de segurana para limitar o acesso aos servidores DNS. Por padro, os grupos Domain Admins (Administradores do domnio), Enterprise Admins (Administradores de empresa), DNS Admins (Administradores do DNS) e o grupo Administrators tm permisso de controle total nos servidores DNS. Voc pode retirar as permisses de todos os grupos deixando apenas as permisses do grupo DNS Admins (e talvez tambm a do grupo Administrators). Com isso voc pode controlar quais usurios tem acesso para fazer alteraes nos servidores DNS, simplesmente incluindo os usurios que devem administrar o DNS, no grupo DNS Admins. O grupo DNS Admins automaticamente criado no Active Directory, quando o DNS instalado. Por padro o usurio Administrator (Administrador) membro do grupo DNS Admin. Este grupo tem permisso de controle total em todos os servidores DNS do domnio. Este grupo tambm tem permisso de controle total em todas as zonas do DNS integradas com o Active Directory (voc aprender mais sobre a integrao do DNS com o Active Directory em uma das prximas partes deste tutorial). Importante: Ao configurar as permisses de acesso em um servidor DNS, mantenha o grupo Authenticated Users (Usurios Autenticados) na lista com permisso de acesso e mantenha as permisses padro atribudas a este grupo. Se voc retirar este grupo, os usurios da rede no conseguiro ler informaes no servidor DNS, ou seja, as consultas dos clientes no sero respondidas. Na prtica como se o servidor DNS estivesse desligado. Voc tambm pode configurar quais servidores DNS podero conter zonas secundrias e efetuar transferncia de zonas. Ao limitar os servidores que podem conter zonas secundrias, voc evita que algum de fora da empresa consiga trasferir uma cpia integral das zonas DNS dos servidores da empresa. Ao transferir uma cpia das zonas DNS, o hacker ter acesso a muitas informaes importantes, tais como o

nmero IP de diversos servidores. Estas informaes facilitaro o trabalho do hacker em uma tentativa de invadir a rede da empresa. Outro controle que muito importante em relao a quais clientes tero permisso para incluir registros dinamicamente no DNS. Sem um controle de quem pode fazer atualiaes dinmicas, um usurio mal intencionado poder registrar uma srie de registros falsos ou at mesmo registrar milhares de registros em um ataque do tipo Denial of service, apenas com o objetivo de paralisar o servidor DNS e com isso os servios que dependem do DNS. Muitos hackers fazem este tipo de ataque, mesmo sem obter nenhuma informao valiosa ou vantagem financeira, apenas por prazer, para testar seus conhecimentos e sua capacidade. Voc tem que estar protegido contra este tipo de ataque. Voc pode fazer com que o DNS somente aceite atualizaes dinmicas enviadas por computadores autenticados no domnio . Este tipo de atualizao conhecido como atualizao dinmica segura (Security Dynamic Update). Porm este tipo de atualizao somente est disponvel em zonas DNS integradas com o Active Directory. Em zonas integradas com o Active Directory voc pode definir uma lista de permisso de acesso (semelhante a uma lista de permisses NTFS em uma pasta). Com isso voc tem um controle bem maior sobre a segurana no acesso s informaes das zonas do DNS. O REGISTRO DE RECURSO WINS: Os servios WINS e DNS so usados para fornecer resoluo de nomes para o espao de nomes NetBIOS (Network Basic Input Output System) e o espao de nomes de domnio DNS, respectivamente. Embora tanto o DNS quanto o WINS possam fornecer um servio de nomes til e independente aos clientes, o WINS necessrio porque fornece suporte a clientes e programas mais antigos (Windows 3.11, Windows 95/98/Me) que exigem suporte para nomes NetBIOS. A presena de um registro de recurso WINS que orienta o servio DNS a usar o WINS para pesquisar quaisquer consultas diretas para nomes de host ou nomes que no foram encontrados no banco de dados da zona. Essa funcionalidade particularmente til no caso de resoluo de nomes exigida por clientes que no reconhecem o WINS (por exemplo, UNIX) para nomes de computadores no registrados no DNS, como computadores do Windows 95 ou Windows 98. Entendendo o funcionamento da pesquisa WINS Um cliente envia uma pesquisa para o servidor DNS. O servidor DNS tenta resolver a consulta usando o processo normal de resoluo de nomes no DNS, descrito anteriormente. Se o servidor que autoridade para o nome pesquisado no puder responder a consulta (ou seja, o registro no existe na zona pesquisada) e a integrao com o WINS estiver ativada, as seguintes etapas sero executadas:

- O servidor DNS separa a parte host do nome de domnio totalmente qualificado

contido na consulta DNS. Apenas para recordar, o parte host do nome a primeira parte do nome. Por exemplo, o nome host para srv01.abc.com.br srv01. - O servidor ento envia uma solicitao de nome NetBIOS para o servidor WINS usando o nome do host identificado no item anterior. - Se o servidor WINS puder resolver o nome, ele retorna o endereo IP associado com o nome, para o servidor DNS.

- O servidor DNS ento retorna essa informao de endereo IP para o cliente que
enviou a consulta ao servidor DNS Como a pesquisa inversa WINS funciona H tambm um registro WINS-R ou uma entrada de pesquisa inversa WINS que pode ser ativada e adicionada s zonas de pesquisa inversa. No entanto, como o banco de dados WINS no indexado por endereo IP, o servio DNS no pode enviar uma pesquisa de nome inversa para o WINS obter o nome de um computador a partir de seu endereo IP. Como o WINS no fornece recursos de pesquisa inversa, o servio DNS, em vez disso, envia uma solicitao de status do adaptador do n diretamente para o endereo IP implicado na consulta inversa DNS. Quando o servidor DNS obtm o nome NetBIOS a partir da resposta de status do n de rede, ele anexa o nome de domnio DNS ao nome NetBIOS fornecido na resposta de status do n e encaminha o resultado para o cliente solicitante. Observao: Os registros de recursos WINS e WINS-R so proprietrios do servio DNS fornecido pelo DNS do Windows 2000 Server e do Windows Server 2003 (e tambm do Windows NT Server 4.0).