Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma zona DNS é a parte específica de um namespace DNS hospedado em um servidor DNS. Uma zona DNS contém registros de recursos e o servidor DNS responde a consultas para registros nesse namespace. Por exemplo, o servidor DNS que é autoritativo para resolver www.contoso.com
para um endereço IP hospedaria a zona contoso.com
.
O conteúdo da zona DNS pode ser armazenado em um arquivo ou no AD DS (Active Directory Domain Services). Quando o servidor DNS armazena a zona em um arquivo:
- Esse arquivo está em uma pasta local no servidor.
- Somente uma cópia da zona é gravável.
- Outras cópias, que são apenas para leitura, são chamadas de zonas secundárias.
As zonas DNS armazenadas no AD DS são conhecidas como zonas integradas ao Active Directory. As zonas integradas ao Active Directory estão disponíveis somente em controladores de domínio com a função de servidor DNS instalada.
Tipos de zona DNS
O serviço servidor DNS dá suporte aos seguintes tipos de zona:
- Zona primária.
- Zona secundária.
- Zona de stub.
- Zona de pesquisa inversa.
Zonas primárias
Um servidor DNS que hospeda uma zona primária é a fonte primária para obter informações sobre essa zona. Ele armazena os dados de zona em um arquivo local ou no AD DS. Para criar, editar ou excluir registros de recursos, você deve usar a zona primária. Zonas secundárias são cópias somente leitura de zonas primárias.
Você pode armazenar uma zona primária padrão em um arquivo local ou armazenar dados de zona no AD DS. Quando você armazena dados de zona no AD DS, outros recursos estão disponíveis, como atualizações dinâmicas seguras e a capacidade de cada controlador de domínio que hospeda a zona funcionar como um primário e ser capaz de processar atualizações para a zona. Quando a zona é armazenada em um arquivo, por padrão, o arquivo de zona primária é nomeado zone_name.dns
e está localizado na pasta %windir%\System32\Dns
no servidor.
Quando você implanta o Active Directory, uma zona DNS associada ao nome de domínio do AD DS da sua organização é criada automaticamente. Por padrão, a zona DNS do AD DS é replicada para qualquer outro controlador de domínio configurado como um servidor DNS no domínio. Você também pode configurar zonas DNS integradas do Active Directory para replicar para todos os controladores de domínio em uma floresta do AD DS ou controladores de domínio específicos registrados em uma partição de domínio do AD DS específica.
Zona secundária
Uma zona secundária é uma cópia somente leitura de uma zona primária. Quando uma zona que esse servidor DNS hospeda é uma zona secundária, esse servidor DNS é uma fonte secundária para obter informações sobre essa zona. A zona neste servidor deve ser obtida de outro computador de servidor DNS remoto que também hospeda a zona. Esse servidor DNS deve ter acesso de rede ao servidor DNS remoto que fornece a esse servidor informações atualizadas sobre a zona. Como uma zona secundária é apenas uma cópia de uma zona primária hospedada em outro servidor, ela não pode ser armazenada no AD DS como uma zona integrada do Active Directory.
Na maioria dos casos, uma zona secundária copia periodicamente registros de recursos diretamente da zona primária. Mas em algumas configurações complexas, uma zona secundária pode copiar registros de recursos de outra zona secundária.
Zona de stub
Uma zona de stub contém apenas informações sobre os servidores de nomes autoritativos para a zona. A zona hospedada pelo servidor DNS deve obter suas informações de outro servidor DNS que hospeda a zona. Esse servidor DNS deve ter acesso de rede ao servidor DNS remoto para copiar as informações do servidor de nome autoritativo sobre a zona.
Você pode usar zonas stub para:
- Mantenha as informações da zona delegada atualizadas. O servidor DNS atualiza regularmente os registros stub para suas zonas filhas. O servidor DNS que hospeda tanto a zona pai quanto a zona stub mantém uma lista atual de servidores DNS autoritativos para a zona filha.
- Aprimore a resolução de nomes. As zonas stub permitem que um servidor DNS execute a recursão usando a lista de servidores de nomes da zona stub, sem precisar consultar a Internet ou um servidor raiz interno para o namespace DNS.
- Simplifique a administração de DNS. Usando zonas stub em toda a infraestrutura DNS, você pode distribuir uma lista dos servidores DNS autoritativos para uma zona sem usar zonas secundárias. No entanto, as zonas stub não atendem à mesma finalidade que as zonas secundárias e não são uma alternativa para melhorar a redundância e o compartilhamento de carga.
Há duas listas de servidores DNS envolvidos no carregamento e manutenção de uma zona stub:
- A lista de servidores de nomes de onde o servidor DNS carrega e atualiza uma zona stub. Um servidor de nomes pode ser um servidor DNS primário ou secundário para a zona. Em ambos os casos, ele tem uma lista completa dos servidores DNS para a zona.
- A lista dos servidores DNS autoritativos para uma zona. Essa lista está contida na zona stub usando registros de recursos do servidor de nomes (NS).
Quando um servidor DNS carrega uma zona stub, como widgets.tailspintoys.com
, ele consulta os servidores de nome, que podem estar em locais diferentes, para os registros de recursos necessários dos servidores autoritativos para a zona widgets.tailspintoys.com
. A lista de servidores de nomes pode conter um único servidor ou vários servidores e pode ser alterada a qualquer momento.
Uma zona stub é uma cópia de uma zona que contém apenas os registros de recursos necessários para identificar os servidores do DNS (Sistema de Nomes de Domínio) autoritativos para essa zona. Normalmente, você usa uma zona stub para resolver nomes entre namespaces DNS separados.
Ao trabalhar com sub-zonas, você deve considerar:
- A zona stub não pode ser hospedada em um servidor DNS que seja autoritativo para a mesma zona.
- Se você integrar a zona stub ao AD DS, poderá especificar se o servidor DNS que hospeda a zona stub usará uma lista local de servidores de nomes ou a lista armazenada no AD DS. Se você quiser usar uma lista de servidores de nomes locais, deverá ter os endereços IP para cada servidor de nomes.
Zonas de pesquisa reversa
Na maioria das pesquisas do DNS (Sistema de Nomes de Domínio), os clientes normalmente executam uma pesquisa avançada, que é uma pesquisa baseada no nome DNS de outro computador, pois ela é armazenada em um registro de recurso de host (A). Esse tipo de consulta espera um endereço IP como os dados de recurso para a resposta respondida.
O DNS também fornece um processo de pesquisa reversa, no qual os clientes usam um endereço IP conhecido e pesquisam um nome de computador com base em seu endereço. Uma pesquisa inversa assume a forma de uma pergunta, como "Você pode me dizer o nome DNS do computador que usa o endereço IP 192.168.1.20?"
O domínio in-addr.arpa
foi definido nos padrões DNS e reservado no namespace DNS da Internet para fornecer uma maneira prática e confiável de executar consultas inversas. Para criar o namespace inverso, os subdomínios no domínio in-addr.arpa
são formados usando a ordenação inversa dos números na notação decimal pontilhada de endereços IP.
O domínio in-addr.arpa
aplica-se a todas as redes TCP/IP baseadas no endereçamento IPv4 (Protocolo de Internet 4). O Assistente de Nova Zona assume automaticamente que você está usando esse domínio ao criar uma nova zona de pesquisa inversa.
A ordem dos octetos de endereço IP deve ser revertida quando a árvore de domínio in-addr.arpa
é criada. Os endereços IP da árvore de in-addr.arpa
DNS podem ser delegados às organizações, pois recebem um conjunto específico ou limitado de endereços IP dentro das classes de endereços definidas pela Internet.
Replicar o banco de dados DNS
Pode haver várias zonas que representam a mesma parte do namespace. Entre essas zonas há três tipos:
- Primário
- Secundário
- Esboço
A zona primária é aquela em que são feitas todas as atualizações dos registros pertencentes a essa zona. Uma zona secundária é uma cópia somente leitura da zona primária. Uma zona stub é uma cópia somente leitura da zona primária que contém apenas os registros de recursos que identificam os servidores DNS que são autoritativos para um nome de domínio DNS. Todas as alterações feitas no arquivo de zona primária são replicadas para o arquivo de zona secundária. Os servidores DNS que hospedam uma zona primária, secundária ou stub são considerados autoritativos para os nomes DNS na zona.
Como um servidor DNS pode hospedar várias zonas, ele pode hospedar uma zona primária (que tem a cópia gravável de um arquivo de zona) e uma zona secundária separada (que obtém uma cópia somente leitura de um arquivo de zona). Um servidor DNS que hospeda uma zona primária é considerado o servidor DNS primário dessa zona, e um servidor DNS que hospeda uma zona secundária é considerado o servidor DNS secundário dessa zona.
Nota
Uma zona secundária ou stub não pode ser hospedada em um servidor DNS que hospeda uma zona primária para o mesmo nome de domínio.
Transferência de zona
O processo de replicação de um arquivo de zona para vários servidores DNS é chamado de transferência de zona. A transferência de zona é obtida copiando o arquivo de zona de um servidor DNS para um segundo servidor DNS. As transferências de zona podem ser feitas de servidores DNS primários e secundários.
Um servidor DNS primário é qualquer servidor autoritativo configurado para ser a origem da transferência de zona. Se o servidor DNS for um servidor DNS primário, a transferência de zona será proveniente diretamente do servidor DNS que hospeda a zona primária. Se o servidor primário estiver hospedando uma zona DNS secundária, o arquivo de zona recebido do servidor DNS primário com uma transferência de zona será uma cópia do arquivo de zona secundária somente leitura.
A transferência de zona é iniciada de uma das seguintes maneiras:
- O servidor DNS primário envia uma notificação (RFC 1996) para um ou mais servidores DNS secundários de uma alteração no arquivo de zona.
- Quando o serviço servidor DNS no servidor DNS secundário é iniciado ou o intervalo de atualização da zona expira, o servidor DNS secundário consulta o servidor DNS primário para as alterações. Por padrão, o intervalo de atualização é definido como 15 minutos no SOA RR da zona.
Configurações de transferência de zona
As transferências de zona permitem controlar as circunstâncias em que uma zona secundária será replicada de uma zona primária. Para melhorar a segurança da infraestrutura DNS, permita transferências de zona somente para os servidores DNS nos registros de recursos do servidor de nomes (NS) para uma zona ou para servidores DNS especificados. Se você permitir que qualquer servidor DNS execute uma transferência de zona, permitirá que informações de rede internas sejam transferidas para qualquer host que possa entrar em contato com o servidor DNS.
Tipos de replicação de arquivo de zona
Existem dois tipos de replicação de arquivos de zona. O primeiro, uma transferência de zona completa (AXFR), replica todo o arquivo de zona. O segundo, uma IXFR (transferência de zona incremental), replica apenas os registros que foram modificados.
O BIND 4.9.3 e o software de servidor DNS anterior e o DNS do Windows NT 4.0 dão suporte apenas à transferência de zona completa (AXFR). Há dois tipos de AXFR: um requer um único registro por pacote, o outro permite vários registros por pacote. O serviço DNS Server em servidores Windows dá suporte a ambos os tipos de transferência de zona, mas por padrão usa vários registros por pacote. Ele pode ser configurado de forma diferente para compatibilidade com servidores que não permitem vários registros por pacote, como as versões 4.9.4 e anteriores dos servidores BIND.
Delegação de zona
Você pode dividir o namespace do DNS (Sistema de Nomes de Domínio) em uma ou mais zonas. Você pode delegar o gerenciamento de parte do namespace para outro local ou departamento em sua organização delegando o gerenciamento da zona correspondente. Por exemplo, delegar a zona australia.contoso.com
a partir da zona contoso.com
.
Ao delegar uma zona, lembre-se de que, para cada nova zona criada, você precisa de registros de delegação em outras zonas que apontem para os servidores DNS autoritativos para a nova zona. Os registros de delegação são necessários tanto para transferir a autoridade quanto para possibilitar o encaminhamento correto para outros servidores DNS e clientes dos novos servidores que estão se tornando autoritativos para a nova zona.
Acesso a zonas e nomes
O acesso às zonas DNS e aos registros de recursos armazenados no Active Directory é controlado com ACLs (listas de controle de acesso). As ACLs podem ser especificadas para o serviço servidor DNS, uma zona inteira ou para nomes DNS específicos. Por padrão, qualquer usuário autenticado do Active Directory pode criar as RRs A ou PTR em qualquer zona. Quando um proprietário cria um registro A ou PTR (independentemente do tipo de registro de recurso), somente os usuários ou grupos especificados na ACL para esse nome que têm permissão de gravação são habilitados para modificar registros correspondentes a esse nome. Embora essa abordagem seja desejável na maioria dos cenários, algumas situações precisam ser consideradas separadamente.
Grupo DNSAdmins
Por padrão, o grupo DNSAdmins tem controle total de todas as zonas e registros no domínio do Active Directory. Para que um usuário possa enumerar zonas em um domínio específico, o usuário (ou um grupo ao qual o usuário pertence) deve ser inscrito no grupo DNSAdmin.
Talvez um administrador de domínio não queira conceder controle total a todos os usuários listados no grupo DNSAdmins. Em vez disso, um administrador de domínio pode querer conceder um conjunto específico de usuários controle total para uma zona e permissões somente leitura para outras zonas. Para configurar essas permissões, o administrador de domínio pode criar um grupo separado para cada uma das zonas e adicionar usuários específicos a cada grupo. Em seguida, a ACL para cada zona contém um grupo com controle total somente para essa zona. Todos os grupos são adicionados ao grupo DNSAdmins, que pode ser configurado apenas com permissões de leitura. A ACL de uma zona sempre contém o grupo DNSAdmins, o que significa que todos os usuários inscritos nos grupos específicos da zona têm a capacidade de ler todas as zonas no domínio.
Reservar nomes
Ambientes que exigem um alto nível de segurança podem precisar reservar nomes em uma zona e impedir que usuários autenticados criem novos nomes nessa zona, que é o comportamento padrão. Para proteger os registros DNS, a ACL padrão pode ser alterada para permitir a criação de objetos apenas por determinados grupos ou usuários. A administração por nome de ACLs fornece outra solução para esse problema. Um administrador pode reservar um nome em uma zona deixando o restante da zona aberta para a criação de novos objetos por todos os usuários autenticados. Um administrador cria um registro para o nome reservado e define a lista apropriada de grupos ou usuários na ACL. Ou seja, somente os usuários listados na ACL podem registrar outro registro no nome reservado.
Próximas etapas
- Gerenciar zonas DNS usando o servidor DNS
- Visão geral das políticas DNS
- Visão geral do DNS do Anycast