Beruflich Dokumente
Kultur Dokumente
2000 Server. Com este mecanismo, os clientes da rede podem dinamicamente registrar e atualizar seus registros no servidor DNS (verses mais novas do Windows, tais como o Windows 2000, Windows XP e Windows Server 2003). Isso reduz a necessidade de o administrador manualmente criar entradas e fazer alteraes no DNS, sempre que o nome ou nmero IP de um computador alterado. A atualizao dinmica pode ser habilitada no nvel da zona, ou seja, podem haver duas zonas no mesmo servidor DNS, uma com atualizao dinmica habilitada e outra no. O cliente DNS, na estao de trabalho do usurio, capaz de registrar um registro do tipo A (na zona direta) e o registro correspondente do tipo PTR (na zona inversa). Alguns clientes DNS mais antigos no tm suporte para criao e atualizao dinmica de registros no DNS. O Windows 2000, o Windows XP, o Windows 2000 Server e o Windows Server 2003 so as verses do Windows cujo cliente DNS d suporte a atualizao dinmica. A criao dos registros do tipo A e do tipo PTR feita pelo cliente, durante a inicializao de um computador com uma destas verses do Windows (2000, XP ou 2003) e atualizado a cada 24 horas. Mesmo que voc use um endereo IP fixo, configurado manualmente, o cliente DHCP far o registro dinmico, a no ser que ele seja desabilitado. (OBS: O Servio DHCP um outro servio de rede que ser visto mais adiante) Verses do Windows mais antigas (Windows 95, 98, 3.11, etc) podem ter suas informaes registradas dinamicamente no DNS. Porm este registro tem que ser feito pelo servidor DHCP, pois o prprio cliente no capaz de fazer o registro, dinamicamente, no DNS. Neste caso o servidor DHCP deve ser configurado para dar suporte a este tipo de funcionalidade e ser capaz de criar registros do tipo A e do tipo PTR para clientes com verses do Windows onde o cliente DNS no d suporte a atualizao dinmica. O registro dinmico feito utilizando o nome completo do computador. Por exemplo, um computador com nome de host comp01, em um domnio xyz.com.br, ser registrado como comp01.xyz.com.br. O endereo IP associado ao nome ser obtido a partir das configuraes do protocolo TCP/IP, quer elas tenham sido obtidas a partir de um servidor DHCP ou quer tenham sido configuradas manualmente. Lembrando que para verses do Windows mais antigas, somente quando as configuraes so feitas via DHCP que haver o registro dinmico no DNS (se o servidor DHCP estiver configurado para tal). Uma atualizao dinmica ser enviada para o servidor DNS, quando uma das situaes a seguir ocorrer:
- Quando for utilizado o comando ipconfig /registerdns para forar uma atualizao do
nome do computador com o servidor DNS. - Quando o computador for inicializado. - Quando um member server for promovido a DC (Active Directory a ser estudado adiante). Algumas regras so aplicadas quando um registro dinamicamente criado no DNS:
- Os servidores DNS que tem zonas com registros no atualizados podero usar
informaes desatualizadas para responder a consultas de clientes, acarretando possveis problemas de resoluo de nomes na rede. - O acmulo de registros no atualizados no servidor DNS pode diminuir seu desempenho e velocidade na resoluo de consultas enviadas pelos clientes. - Em alguns casos, a presena de um registro no atualizado em uma zona pode impedir que um nome de domnio DNS seja usado por outro computador ou dispositivo de host. Para resolver esses problemas, o servio Servidor DNS tem os seguintes recursos:
eliminao. - Normalmente, apenas aqueles registros de recursos adicionados dinamicamente usando o protocolo de atualizao dinmica do DNS esto sujeitos a expirao e eliminao.
SEGURANA NO ACESSO AO DNS As zonas do DNS contm muitas informaes sobre a rede da sua empresa e sobre os servidores da empresa, principalmente nomes e endereos IP. Estas informaes podem ser de grande valor para hackers que queiram realizar ataques maliciosos contra a rede da sua empresa. Por isso proteger as informaes do DNS de fundamental importncia para a segurana da rede. Quando tratamos sobre segurana no DNS, trs pontos devem ser levados em considerao:
nmero IP de diversos servidores. Estas informaes facilitaro o trabalho do hacker em uma tentativa de invadir a rede da empresa. Outro controle que muito importante em relao a quais clientes tero permisso para incluir registros dinamicamente no DNS. Sem um controle de quem pode fazer atualiaes dinmicas, um usurio mal intencionado poder registrar uma srie de registros falsos ou at mesmo registrar milhares de registros em um ataque do tipo Denial of service, apenas com o objetivo de paralisar o servidor DNS e com isso os servios que dependem do DNS. Muitos hackers fazem este tipo de ataque, mesmo sem obter nenhuma informao valiosa ou vantagem financeira, apenas por prazer, para testar seus conhecimentos e sua capacidade. Voc tem que estar protegido contra este tipo de ataque. Voc pode fazer com que o DNS somente aceite atualizaes dinmicas enviadas por computadores autenticados no domnio . Este tipo de atualizao conhecido como atualizao dinmica segura (Security Dynamic Update). Porm este tipo de atualizao somente est disponvel em zonas DNS integradas com o Active Directory. Em zonas integradas com o Active Directory voc pode definir uma lista de permisso de acesso (semelhante a uma lista de permisses NTFS em uma pasta). Com isso voc tem um controle bem maior sobre a segurana no acesso s informaes das zonas do DNS. O REGISTRO DE RECURSO WINS: Os servios WINS e DNS so usados para fornecer resoluo de nomes para o espao de nomes NetBIOS (Network Basic Input Output System) e o espao de nomes de domnio DNS, respectivamente. Embora tanto o DNS quanto o WINS possam fornecer um servio de nomes til e independente aos clientes, o WINS necessrio porque fornece suporte a clientes e programas mais antigos (Windows 3.11, Windows 95/98/Me) que exigem suporte para nomes NetBIOS. A presena de um registro de recurso WINS que orienta o servio DNS a usar o WINS para pesquisar quaisquer consultas diretas para nomes de host ou nomes que no foram encontrados no banco de dados da zona. Essa funcionalidade particularmente til no caso de resoluo de nomes exigida por clientes que no reconhecem o WINS (por exemplo, UNIX) para nomes de computadores no registrados no DNS, como computadores do Windows 95 ou Windows 98. Entendendo o funcionamento da pesquisa WINS Um cliente envia uma pesquisa para o servidor DNS. O servidor DNS tenta resolver a consulta usando o processo normal de resoluo de nomes no DNS, descrito anteriormente. Se o servidor que autoridade para o nome pesquisado no puder responder a consulta (ou seja, o registro no existe na zona pesquisada) e a integrao com o WINS estiver ativada, as seguintes etapas sero executadas:
- O servidor DNS ento retorna essa informao de endereo IP para o cliente que
enviou a consulta ao servidor DNS Como a pesquisa inversa WINS funciona H tambm um registro WINS-R ou uma entrada de pesquisa inversa WINS que pode ser ativada e adicionada s zonas de pesquisa inversa. No entanto, como o banco de dados WINS no indexado por endereo IP, o servio DNS no pode enviar uma pesquisa de nome inversa para o WINS obter o nome de um computador a partir de seu endereo IP. Como o WINS no fornece recursos de pesquisa inversa, o servio DNS, em vez disso, envia uma solicitao de status do adaptador do n diretamente para o endereo IP implicado na consulta inversa DNS. Quando o servidor DNS obtm o nome NetBIOS a partir da resposta de status do n de rede, ele anexa o nome de domnio DNS ao nome NetBIOS fornecido na resposta de status do n e encaminha o resultado para o cliente solicitante. Observao: Os registros de recursos WINS e WINS-R so proprietrios do servio DNS fornecido pelo DNS do Windows 2000 Server e do Windows Server 2003 (e tambm do Windows NT Server 4.0).