Tutorial de TCP/IP – Parte 32 – Integração do DNS com o Active Directory

Introdução:

Prezados leitores, esta é a décima segunda parte, desta segunda etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o módulo que eu classifiquei como Introdução ao TCP/IP. O objetivo do  primeiro módulo (Parte 01 a 20) foi apresentar o TCP/IP, mostrar como é o funcionamento dos serviços básicos, tais como endereçamento IP e Roteamento e fazer uma apresentação dos serviços relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conexão Internet e NAT. Nesta segunda parte da série, que irá da parte 20 até a parte 40 ou 50 (ou quem sabe até 60), apresentarei as ações práticas, relacionadas com os serviços DNS, DHCP e WINS no Windows 2000 Server.

Nesta parte desta segunda série de tutoriais, darei continuidade a parte prática de Administração do DNS, no Windows 2000 Server. Nesta parte do tutorial, você aprenderá sobre o importante conceito de Integração do DNS com o Active Directory. Mostrarei como esta opção melhora, bastante, a segurança no uso do DNS.

Integração do DNS com o Active Directory

No Windows 2000 Server, o Servidor DNS foi cuidadosamente integrado à criação e implementação do Active Directory.

Existem dois pontos fundamentais a serem considerados na integração do DNS com o Active Directory:

• O DNS é necessário, obrigatório, para localização dos DCs do domínio.

• O serviço Netlogon usa o novo suporte ao servidor DNS para fornecer registro de controladores de domínio no seu espaço de nomes de domínio DNS.

As zonas do DNS podem ser armazenadas na base de dados do Active Directory. Esta integração fornece vantagens adicionais, tais como a utilização dos sofisticados recursos de replicação do Active Directory, maior segurança, pois zonas integradas com o Active Directory somente aceitam atualizações dinâmicas seguras, ou seja, de computadores autenticados no domínio e o uso dos recursos de expiração e eliminação de registros baseados em informações de validade.

Como o DNS é integrado ao Active Directory

A integração inicia no momento da instalação do Active Directory em um member server, para torná-lo um DC. O assistente de instalação do Active Directory solicita que você informe o nome DNS do domínio para o qual está sendo criado um novo DC. Durante a instalação o assistente deve ser capaz de se conectar a um servidor DNS que seja autoridade para o domínio informado. Se isso não for possível, o assistente irá se oferecer para instalar e configurar o DNS no próprio servidor que está sendo promovido a DC. Se isso também não for possível, o Active Directory não poderá ser instalado. Ou seja, se não for possível localizar o servidor DNS que é autoridade pelo domínio ou instalá-lo no próprio DC, o Active Directory não poderá ser instalado.

Depois que tiver instalado o Active Directory, você tem duas opções para armazenar e duplicar zonas do DNS quando operar o servidor DNS no novo controlador de domínio.

• Armazenamento de zona padrão usando um arquivo baseado em texto: As zonas armazenadas dessa maneira estão localizadas em arquivos de texto, com a extensão .Dns, os quais são armazenados na pasta %SystemRoot%\System32\Dns em cada computador que opera um servidor DNS. Os nomes de arquivo de zona correspondem ao nome que você escolhe para a zona durante a sua criação, como Exemplo.abc.com.dns é o arquivo que armazena informações para a zona abc.com.

• Armazenamento de zona integrada ao diretório usando o banco de dados do Active Directory: As zonas armazenadas dessa maneira estão localizadas na árvore do Active Directory . Cada zona integrada ao diretório é armazenada em um objeto do tipo dnsZone identificado pelo nome que você escolhe para a zona durante a sua criação.

Benefícios da integração ao Active Directory

Em redes que distribuem o DNS para oferecer suporte ao Active Directory, as zonas primárias integradas ao diretório são especcialmente recomendadas e proporcionam os seguintes benefícios:

• Atualizações multi-master baseada na replicação do Active Directory. e recursos de segurança avançada, baseados nos recursos do Active Directory. Para zonas não integradas, o modelo de atualização é do tipo single-master. Somente a zona primária sofre alterações e repassa estas alterações para as zonas secundárias. Se o servidor onde está a zona primária apresentar problemas, novas atualizações dinâmicas e outras alterações não poderão ser processadas, enquanto este servidor não for recuperado. Já com zonas integradas ao Active Directory, podem ser feitas alterações em qualquer cópia da zona e existe uma cópia em todos os DCs do domínio, onde o DNS estiver instalado. Além disso, alterações podem ser feitas em qualquer uma das cópias da zona. O mecanismo de replicação do Active Directory se encarrega de manter as várias cópias sincronizadas.

• Com esse modelo, qualquer servidor DNS que contenha uma zona integrada ao Active Directory, poderá receber atualizações dinâmicas enviadas pelos clientes. Com isso não haverá um ponto único de falha, como no caso do modelo baseado em zonas padrão.

• Outra vantagem das zonas integradas é que todo objeto do Active Directory possui uma ACL – Access Control List (idêntica a lista de permissões NTFS para uma pasta ou arquivo). Você pode editar esta ACL para as zonas do DNS integradas ao Active Directory, para ter um controle mais refinado sobre quem tem acesso e qual o nível de acesso.

• A replicação do Active Directory é mais rápida, mais eficiente e mais segura do que o mecanismo de transferência de zonas padrão do DNS.

Nota: Apenas as zonas primárias podem ser armazenadas no Active Directory. Um servidor DNS não pode armazenar zonas secundárias no diretório. Ele deverá armazená-las em arquivos de texto padrão.

Você pode definir que uma zona será integrada ao Active Directory, durante a criação da zona. Para isso basta marcar a opção Integrada ao Active Directory, durante a criação da zona, conforme indicado na Figura a seguir, onde estou criando uma zona primária integrada ao Active Directory.

Figura - Zona integrada ao Active Directory.

Você também pode converter uma zona padrão para uma zona integrada com o Active Directory.

Para alterar uma zona de padrão para integrada com o Active Directory, siga os passos indicados a seguir:

1.       Faça o logon como administrador ou com uma conta com permissão de administrador.

2.       Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS.

3.       Será exibido o console DNS. Clique no sinal de + ao lado da opção Zonas de pesquisa direta.

4.       Serão exibidas as zonas de pesquisa direta existentes no servidor.

5.       Clique com o botão direito do mouse na zona a ser configurada. No menu de opções que é exibido clique na opção Propriedades.

6.       Será exibida a janela de propriedades da zona, com a guia Geral selecionada.

7.       Clique no botão Alterar... Será exibida a janela Alterar o tipo da zona, indicada na Figura a seguir:

Figura - Alterando a zona de padrão para integrada com o Active Directory.

8.       Para integrar a zona com o Active Directory, marque a opção Integrada ao Active Directory e clique em OK. Será exibida uma janela pedindo confirmação, conforme indicado na Figura a seguir:

Figura - Confirmando a integração com o Active Directory.

9.       Clique em OK para confirmar a integração.

10.     Você estará de volta à janela de propriedades da zona. Clique em OK para fechá-la. Pronto, a zona passará a armazenar suas informações no Active Directory.

Conclusão

Neste parte do tutorial você aprendeu sobre conceitos importantes, tais como:

• Integração do DNS com o Active Directory
• Criação de zonas DNS integradas ao Active Directory
• Conversão de zonas padrão em zonas integradas ao Active Directory