Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como integrar o DNS do Windows a uma organização que já tem um namespace DNS implementado no qual o servidor DNS autoritativo para a zona com o nome do domínio do Active Directory não dá suporte ao RFC 2136 (atualizações dinâmicas).
Número original do KB: 255913
Resumo
Um recurso do DNS (Sistema de Nomes de Domínio) do Windows é o suporte para atualizações dinâmicas de host (documentado no RFC 2136). Para aproveitar esse recurso, o DNS do Windows pode ser implantado em ambientes que não têm outros servidores DNS, bem como em ambientes que já têm servidores DNS não dinâmicos implementados (como BIND 4.9.7 e versões anteriores, e assim por diante). Ao implantar o DNS do Windows em um ambiente que já tem servidores BIND implementados, você tem várias opções de integração:
- Migre zonas de servidores DNS autoritativos não dinâmicos para servidores que executam o DNS do Windows.
- Delegue domínios DNS filho em um domínio DNS pai. Para nomes de domínio do Active Directory que não têm o mesmo nome que a raiz de uma zona, delegue o subdomínio ao DNS do Windows. Por exemplo, se o nome do domínio do Active Directory for
dev.reskit.come a zona que contém esse nome forreskit.com, deleguedev.reskit.coma um servidor baseado no Windows que executa o DNS. - Delegue cada um dos subdomínios usados pelos registros de localizador do controlador de domínio (DC) (registros SRV) a um servidor baseado em Windows. Esses subdomínios são
_msdcs.reskit.com,_sites.reskit.com,_tcp.reskit.come_udp.reskit.com. Essa opção seria usada quando os nomes de domínio do Active Directory (por exemplo,reskit.com) que são iguais ao nome da raiz de uma zona (por exemplo,reskit.com), não podem ser delegados diretamente a um servidor baseado no Windows que executa o DNS. Opcionalmente, os clientes podem ser membros do domínio do Active Directory chamadoreskit.com, mas podem se registrar na zona DNS chamadadynamic.reskit.com.
Este artigo documenta a quarta opção listada acima, como integrar o DNS do Windows em uma organização que já tem um namespace DNS implementado no qual o servidor DNS autoritativo para a zona com o nome do domínio do Active Directory não dá suporte ao RFC 2136 (atualizações dinâmicas). Este artigo também discute um cenário no qual os membros do domínio usam um sufixo DNS primário diferente do nome do domínio do Active Directory para permitir o registro dinâmico de registros DNS por computadores baseados no Windows quando o servidor DNS autoritativo para a zona com o nome do domínio do Active Directory não oferece suporte a atualizações dinâmicas de DNS.
Mais informações
Para integrar o DNS do Windows a um namespace existente com base em servidores DNS não dinâmicos, você pode delegar os subdomínios usados pelos registros do localizador (registros SRV) para que as atualizações dinâmicas (de acordo com o RFC 2136) possam ser usadas. Siga estas etapas:
No servidor DNS não dinâmico autoritativo para a zona com o nome do domínio do Active Directory, delegue as seguintes zonas a um servidor baseado no Windows 2000 que executa o DNS:
_Udp. DNSDomainName
_Tcp. DNSDomainName
_Sites. DNSDomainName
_msdcs. DNSDomainNamePor exemplo, se a zona raiz for chamada
reskit.com, delegar_udp.reskit.com,_tcp.reskit.com,_sites.reskit.com, e_msdcs.reskit.compara o servidor baseado no Windows.Você também deve delegar dois subdomínios adicionais:
ForestDnsZones. FlorestaDNSName
DomainDnsZones. DNSDomainNameNo servidor baseado em Windows, crie as zonas de encaminhamento delegadas na etapa 1 e habilite as zonas para atualização dinâmica.
Para criar as novas zonas:
Inicie o Gerenciador DNS no servidor Windows.
Expanda o servidor DNS apropriado no Gerenciador DNS.
Clique com o botão direito do mouse na pasta Zonas de Pesquisa Direta e clique em Nova Zona.
Quando o Assistente de Nova Zona for iniciado, clique em Avançar, selecione "Zona Primária" e talvez marque a caixa de seleção Armazenar a zona no Active Directory e clique em Avançar.
Para zonas integradas ao AD, selecione para onde os dados da zona devem ir, para todos os servidores DNS no domínio ou na floresta ou para todos os DCS no domínio (única opção no Windows 2000).
Digite o nome da zona na caixa de nome. Por exemplo, digite _msdcs.reskit.com.
Clique em Avançar. Depois de revisar o resumo do assistente, clique em Concluir.
Para permitir que a zona aceite atualizações dinâmicas:
- Usando o Gerenciador DNS no servidor Windows que executa o DNS, clique com o botão direito do mouse na nova zona, clique em Propriedades e clique na guia Geral.
- Na caixa Permitir Atualizações Dinâmicas, clique em Somente Atualizações Seguras (recomendado) ou Sim. A opção Somente Atualizações Seguras só estará disponível depois que o servidor tiver sido promovido a um controlador de domínio. Repita esse processo até que todas as quatro zonas descritas na etapa 1 tenham sido criadas e tenham permitido atualizações dinâmicas. Isso permite que os registros do localizador do controlador de domínio sejam registrados e cancelados dinamicamente no DNS.
Além disso, uma única zona ou várias zonas podem ser criadas e configuradas para permitir que clientes e servidores se registrem dinamicamente no servidor Windows. Por exemplo, uma zona chamada
dynamic.reskit.compode ser usada para registrar todos os clientes e servidores em uma rede por meio de atualizações dinâmicas. Para configurar essa zona:- No servidor DNS não dinâmico autoritativo para a zona pai (por exemplo,
reskit.com), delegue uma nova zona ao servidor baseado no Windows que executa o DNS. Por exemplo, delegue odynamic.reskit.com. zona para o servidor Windows. - No servidor Windows, crie uma zona de pesquisa direta para a zona delegada acima (
dynamic.reskit.com). - No servidor Windows, habilite a(s) zona(s) para atualizações dinâmicas.
- No servidor DNS não dinâmico autoritativo para a zona pai (por exemplo,
Quando os controladores de domínio do Windows são iniciados, o serviço Netlogon tenta registrar vários registros SRV na zona autoritativa. Como as zonas nas quais os registros SRV devem ser registrados foram delegadas (nas etapas 1 e 2) a um servidor Windows onde podem ser atualizados dinamicamente, esses registros serão bem-sucedidos. Além disso, um controlador de domínio tentará registrar o(s) registro(s) A listado(s) em seu arquivo Netlogon.dns na zona raiz (por exemplo
reskit.com). Nesse caso, como a zona raiz está localizada em um servidor DNS não dinâmico, essas atualizações não serão bem-sucedidas. O seguinte evento será gerado no log do sistema no DC:Tipo de Evento: Aviso
Origem do evento: NETLOGON
Categoria do Evento: Nenhum
ID do evento: 5773
Data: <Data/hora>
Hora: <Data/hora>
Usuário: N/A
Computador: DC
Descrição:
O servidor DNS para este DC não dá suporte ao DNS dinâmico. Adicione os registros DNS do arquivo %SystemRoot%\System32\Config\netlogon.dns ao servidor DNS que atende ao domínio referenciado nesse arquivo.Para corrigir esse comportamento:
Cada DC do Windows tem um arquivo Netlogon.dns localizado em sua pasta %SystemRoot%\System32\Config. Esse arquivo contém uma lista de registros DNS que o controlador de domínio tentará registrar quando o serviço Netlogon for iniciado. É uma boa ideia fazer uma cópia desse arquivo antes de fazer as alterações a seguir para que você tenha uma lista dos registros originais que o controlador de domínio tenta registrar no servidor DNS. Observe que cada controlador de domínio terá registros diferentes porque esses registros são específicos para cada adaptador de rede em cada controlador de domínio. Examine o arquivo Netlogon.dns para identificar todos os registros A no arquivo. Você pode identificar registros A pelo tipo de registro seguindo o descritor da classe "IN". Por exemplo, as duas entradas a seguir são registros A:
reskit.com. 600 EM UM 10.10.10.10
gc._msdcs.reskit.com. 600 EM UM 10.10.10.10O número de registros A no arquivo Netlogon.dns depende do número de adaptadores que o controlador de domínio tem, do número de endereços IP com os quais cada adaptador foi configurado e da função do controlador de domínio. Registro de DCs:
- Um registro A para cada um de seus endereços IP para o nome do domínio.
- Se o DC também for um servidor de catálogo global (GC), ele registrará gc._msdcs. DnsForestName para cada um de seus endereços IP.
Como o servidor DNS não dinâmico não aceitará as tentativas do controlador de domínio de registrar dinamicamente os registros A, os registros A precisam ser configurados manualmente no servidor DNS autoritativo (no exemplo deste artigo, o servidor DNS autoritativo para a zona
reskit.com). A adição do registro A correspondente ao nome do domínio (por exemplo,reskit.com) não é necessária para a implantação do Windows e pode ser necessária somente se clientes LDAP de terceiros que não dão suporte a registros DNS SRV estiverem pesquisando os DCs do Windows.No servidor Windows, crie os registros A específicos do servidor GC que foram identificados na etapa A, na zona apropriada. Por exemplo, crie um registro A para o servidor GC na zona _msdcs.reskit.com.
No servidor DNS não dinâmico autoritativo para a raiz da zona, crie registros A na zona raiz (por exemplo,
reskit.com) para os registros A específicos do servidor não GC que foram identificados na etapa A. Por exemplo, crie um registro A parareskit.comnareskit.comzona.A chave do Registro a seguir deve ser usada para desabilitar o controlador de domínio de tentar registrar os registros A vistos no arquivo Netlogon.dns. Defina o valor REG_DWORD RegisterDnsARecords como 0 (zero) em:
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Para corrigir esse comportamento: Depois de ter uma floresta e um domínio do Active Directory em vigor, você deve integrar o Active Directory aos domínios DNS pelos quais o servidor Windows que executa o DNS é responsável. Além disso, você deve reconfigurar as zonas que foram configuradas para aceitar atualizações dinâmicas para aceitar apenas atualizações dinâmicas seguras.