Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Uma zona DNS é a parte específica de um namespace DNS hospedado em um servidor DNS. Uma zona DNS contém registros de recursos e o servidor DNS responde a consultas de registros nesse namespace. Por exemplo, o servidor DNS autorizado para resolver www.contoso.com a um endereço IP hospedaria a zona contoso.com.
O conteúdo da zona DNS pode ser armazenado num ficheiro ou nos Serviços de Domínio Ative Directory (AD DS). Quando o servidor DNS armazena a zona em um arquivo:
- Esse arquivo está em uma pasta local no servidor.
- Apenas uma cópia da área é gravável.
- Outras cópias, de apenas leitura, são chamadas de zonas secundárias.
As zonas DNS armazenadas no AD DS são conhecidas como zonas integradas ao Ative Directory. As zonas integradas ao Ative Directory estão disponíveis apenas em controladores de domínio com a função de Servidor DNS instalada.
Tipos de zona DNS
O serviço Servidor DNS suporta os seguintes tipos de zona:
- Zona primária.
- Zona secundária.
- Zona de esboço.
- Zona de pesquisa inversa.
Zonas primárias
Um servidor DNS que hospeda uma zona primária é a principal fonte de informações sobre essa zona. Ele armazena os dados da zona em um arquivo local ou no AD DS. Para criar, editar ou excluir registros de recursos, você deve usar a zona primária. As zonas secundárias são cópias somente leitura das zonas primárias.
Você pode armazenar uma zona primária padrão em um arquivo local ou pode armazenar dados de zona no AD DS. Quando você armazena dados de zona no AD DS, outros recursos estão disponíveis, como atualizações dinâmicas seguras e a capacidade de cada controlador de domínio que hospeda a zona funcionar como primário e processar atualizações para a zona. Quando a zona é armazenada em um arquivo, por padrão, o arquivo de zona primária é chamado zone_name.dnse está localizado na pasta %windir%\System32\Dns no servidor.
Quando você implanta o Ative Directory, uma zona DNS associada ao nome de domínio do AD DS da sua organização é criada automaticamente. Por padrão, a zona DNS do AD DS é replicada para qualquer outro controlador de domínio configurado como um servidor DNS no domínio. Você também pode configurar zonas DNS integradas do Ative Directory para replicar para todos os controladores de domínio em uma floresta do AD DS ou controladores de domínio específicos inscritos em uma determinada partição de domínio do AD DS.
Zona secundária
Uma zona secundária é uma cópia de apenas leitura de uma zona primária. Quando uma zona que este servidor DNS hospeda é uma zona secundária, esse servidor DNS é uma fonte secundária de informações sobre essa zona. A zona neste servidor deve ser obtida de outro computador servidor DNS remoto que também hospede a zona. Este servidor DNS tem de ter acesso de rede ao servidor DNS remoto que fornece a este servidor informações atualizadas sobre a zona. Como uma zona secundária é apenas uma cópia de uma zona primária hospedada em outro servidor, ela não pode ser armazenada no AD DS como uma zona integrada do Ative Directory.
Na maioria dos casos, uma zona secundária copia periodicamente os registros de recursos diretamente da zona primária. Mas em algumas configurações complexas, uma zona secundária pode copiar registros de recursos de outra zona secundária.
Zona Stub
Uma zona de stub contém apenas informações sobre os servidores de nomes autoritativos para a zona. A zona hospedada pelo servidor DNS deve obter suas informações de outro servidor DNS que hospeda a zona. Este servidor DNS deve ter acesso de rede ao servidor DNS remoto para copiar as informações do servidor de nomes autoritativo sobre a zona.
Você pode usar zonas de stub para:
- Mantenha as informações da zona delegada atualizadas. O servidor DNS atualiza os registros de stub para suas zonas filhas regularmente, o servidor DNS que hospeda a zona pai e a zona de stub mantém uma lista atual de servidores DNS autoritativos para a zona filha.
- Melhore a resolução de nomes. As zonas de stub permitem que um servidor DNS execute recursões usando a lista de servidores de nomes da zona de stub, sem precisar consultar a Internet ou um servidor raiz interno para o namespace DNS.
- Simplifique a administração de DNS. Usando zonas de stub em toda a sua infraestrutura DNS, você pode distribuir uma lista dos servidores DNS autoritativos para uma zona sem usar zonas secundárias. No entanto, as zonas de stub não têm o mesmo propósito que as zonas secundárias e não são uma alternativa para melhorar a redundância e a partilha de carga.
Existem duas listas de servidores DNS envolvidas no carregamento e manutenção de uma zona stub.
- A lista de servidores de nomes a partir dos quais o servidor DNS carrega e atualiza uma zona stub. Um servidor de nomes pode ser um servidor DNS primário ou secundário para a zona. Em ambos os casos, ele tem uma lista completa dos servidores DNS para a zona.
- A lista dos servidores DNS autoritativos para uma zona. Essa lista está contida na zona de stub usando registros de recursos do servidor de nomes (NS).
Quando um servidor DNS carrega uma zona de stub, como widgets.tailspintoys.com, ele consulta os servidores de nomes, que podem estar em locais diferentes, para obter os registros de recursos necessários dos servidores autoritativos para a zona widgets.tailspintoys.com. A lista de servidores de nomes pode conter um único servidor ou vários servidores e pode ser alterada a qualquer momento.
Uma zona de stub é uma cópia de uma zona que contém apenas os registos de recursos necessários para identificar os servidores DNS (Sistema de Nomes de Domínio) autoritativos para essa mesma zona. Normalmente, você usa uma zona de stub para resolver nomes entre namespaces DNS separados.
Ao trabalhar com subzonas, você deve considerar:
- A zona de stub não pode ser alojada num servidor DNS que seja autoritativo para a mesma zona.
- Se você integrar a zona de stub ao AD DS, poderá especificar se o servidor DNS que hospeda a zona de stub usa uma lista local de servidores de nomes ou a lista armazenada no AD DS. Se você quiser usar uma lista de servidores de nomes locais, você deve ter os endereços IP para cada servidor de nomes.
Zonas de pesquisa inversa
Na maioria das pesquisas de DNS (Sistema de Nomes de Domínio), os clientes costumam realizar uma pesquisa direta ("forward lookup"), que é uma pesquisa baseada no nome DNS de outro computador conforme armazenado em um registo de recurso de host (A). Esse tipo de consulta espera um endereço IP como os dados do recurso para a resposta respondida.
O DNS também fornece um processo de pesquisa inversa, no qual os clientes usam um endereço IP conhecido e pesquisam um nome de computador com base em seu endereço. Uma pesquisa inversa assume a forma de uma pergunta, como "Você pode me dizer o nome DNS do computador que usa o endereço IP 192.168.1.20?"
O domínio in-addr.arpa foi definido nos padrões DNS e reservado no namespace DNS da Internet para fornecer uma maneira prática e confiável de executar consultas inversas. Para criar o namespace reverso, subdomínios dentro do domínio in-addr.arpa são formados, usando a ordem inversa dos números na notação decimal pontilhada de endereços IP.
O domínio in-addr.arpa aplica-se a todas as redes TCP/IP baseadas no endereçamento IPv4 (Internet Protocol version 4). O Assistente de Nova Zona assume automaticamente que está a utilizar este domínio quando cria uma nova zona de pesquisa inversa.
A ordem dos octetos de endereço IP deve ser invertida quando a árvore de domínio in-addr.arpa é construída. Os endereços IP da árvore de in-addr.arpa DNS podem ser delegados às organizações à medida que lhes é atribuído um conjunto específico ou limitado de endereços IP dentro das classes de endereços definidas pela Internet.
Replicar o banco de dados DNS
Pode haver várias zonas representando a mesma parte do namespace. Entre estas zonas existem três tipos:
- Primário
- Secundário
- Esboço
A Zona Primária é aquela para a qual são feitas todas as atualizações dos registos que lhe pertencem. Uma zona secundária é uma cópia somente leitura da zona primária. Uma zona de stub é uma cópia somente de leitura da zona primária que contém apenas os registos de recursos que identificam os servidores DNS que são de autoridade para um nome de domínio DNS. Todas as alterações feitas no arquivo de zona primária são replicadas para o arquivo de zona secundária. Os servidores DNS que hospedam uma zona primária, secundária ou de stub são considerados autoritativos para os nomes DNS dentro da zona.
Como um servidor DNS pode hospedar várias zonas, ele pode, portanto, hospedar uma zona primária (que tem a cópia gravável de um arquivo de zona) e uma zona secundária separada (que obtém uma cópia somente leitura de um arquivo de zona). Um servidor DNS que hospeda uma zona primária é dito ser o servidor DNS primário para essa zona, e um servidor DNS que hospeda uma zona secundária é dito ser o servidor DNS secundário para essa zona.
Observação
Uma zona secundária ou de stub não pode ser hospedada em um servidor DNS que hospede uma zona primária para o mesmo nome de domínio.
Transferência de zona
O processo de replicação de um arquivo de zona para vários servidores DNS é chamado de transferência de zona. A transferência de zona é obtida copiando o arquivo de zona de um servidor DNS para um segundo servidor DNS. As transferências de zona podem ser feitas a partir de servidores DNS primários e secundários.
Um servidor DNS primário é qualquer servidor autoritativo configurado para ser a origem da transferência de zona. Se o servidor DNS for um servidor DNS primário, a transferência de zona virá diretamente do servidor DNS que hospeda a zona primária. Se o servidor primário estiver hospedando uma zona DNS secundária, o arquivo de zona recebido do servidor DNS primário com uma transferência de zona será uma cópia do arquivo de zona secundária somente leitura.
A transferência de zona é iniciada de uma das seguintes maneiras:
- O servidor DNS primário envia uma notificação (RFC 1996) para um ou mais servidores DNS secundários de uma alteração no arquivo de zona.
- Quando o serviço Servidor DNS no servidor DNS secundário é iniciado ou o intervalo de atualização da zona expira, o servidor DNS secundário consulta o servidor DNS primário para obter as alterações. Por padrão, o intervalo de atualização é definido como 15 minutos no SOA RR da zona.
Configurações de transferência de zona
As transferências de zona permitem controlar as circunstâncias em que uma zona secundária deve ser replicada a partir de uma zona primária. Para melhorar a segurança da sua infraestrutura DNS, permita transferências de zona apenas para os servidores DNS nos registos de recursos do servidor de nomes (NS) para uma zona ou para servidores DNS especificados. Se você permitir que qualquer servidor DNS execute uma transferência de zona, estará permitindo que as informações de rede interna sejam transferidas para qualquer host que possa entrar em contato com seu servidor DNS.
Tipos de replicação de arquivos de zona
Há dois tipos de replicação de arquivo de zona. O primeiro, uma transferência de zona completa (AXFR), replica todo o arquivo de zona. O segundo, uma transferência incremental de zona (IXFR), replica apenas registros que foram modificados.
O software de servidor DNS BIND 4.9.3 e anterior e o DNS do Windows NT 4.0 suportam apenas transferência de zona completa (AXFR). Existem dois tipos de AXFR: um requer um único registro por pacote, o outro permite vários registros por pacote. O serviço Servidor DNS em servidores Windows suporta ambos os tipos de transferência de zona, mas por padrão usa vários registros por pacote. Ele pode ser configurado de forma diferente para compatibilidade com servidores que não permitem vários registros por pacote, como servidores BIND versões 4.9.4 e anteriores.
Delegação de zona
Você pode dividir seu namespace DNS (Sistema de Nomes de Domínio) em uma ou mais zonas. Você pode delegar o gerenciamento de parte do seu namespace a outro local ou departamento em sua organização delegando o gerenciamento da zona correspondente. Por exemplo, delegar a zona de australia.contoso.com a partir da zona contoso.com.
Ao delegar uma zona, lembre-se de que, para cada nova zona criada, você precisa de registros de delegação em outras zonas que apontem para os servidores DNS autoritativos da nova zona. Os registros de delegação são necessários tanto para transferir autoridade quanto para fornecer referência correta a outros servidores DNS e clientes dos novos servidores que estão sendo autorizados para a nova zona.
Acesso a zonas e nomes
O acesso às zonas DNS e aos registros de recursos armazenados no Ative Directory é controlado com listas de controle de acesso (ACLs). As ACLs podem ser especificadas para o serviço Servidor DNS, uma zona inteira ou nomes DNS específicos. Por padrão, qualquer usuário autenticado do Ative Directory pode criar RRs A ou PTR em qualquer zona. Quando um proprietário cria um registro A ou PTR (independentemente do tipo de registro de recurso), somente os usuários ou grupos especificados na ACL para esse nome que têm permissão de gravação são habilitados para modificar registros correspondentes a esse nome. Embora esta abordagem seja desejável na maioria dos cenários, algumas situações têm de ser consideradas separadamente.
Grupo DNSAdmins
Por padrão, o grupo DNSAdmins tem controle total de todas as zonas e registros no domínio do Ative Directory. Para que um usuário possa enumerar zonas em um domínio específico, o usuário (ou um grupo ao qual o usuário pertence) deve ser alistado no grupo DNSAdmin.
Um administrador de domínio pode não querer conceder controle total a todos os usuários listados no grupo DNSAdmins. Em vez disso, um administrador de domínio pode querer conceder a um conjunto específico de usuários controle total para uma zona e permissões somente leitura para outras zonas. Para configurar essas permissões, o administrador do domínio pode criar um grupo separado para cada uma das zonas e adicionar usuários específicos a cada grupo. Em seguida, a ACL de cada zona contém um grupo que tem controle total apenas sobre essa zona. Todos os grupos são adicionados ao grupo DNSAdmins, que pode ser configurado apenas com permissões de leitura. A ACL de uma zona sempre contém o grupo DNSAdmins, o que significa que todos os usuários alistados nos grupos específicos da zona têm a possibilidade de ler todas as zonas no domínio.
Reservar nomes
Ambientes que exigem um alto nível de segurança podem precisar reservar nomes em uma zona e impedir que usuários autenticados criem novos nomes nessa zona, que é o comportamento padrão. Para proteger os registros DNS, a ACL padrão pode ser alterada para permitir a criação de objetos apenas por determinados grupos ou usuários. A administração por nome de ACLs fornece outra solução para esse problema. Um administrador pode reservar um nome em uma zona, deixando o restante da zona aberta para a criação de novos objetos por todos os usuários autenticados. Um administrador cria um registro para o nome reservado e define a lista apropriada de grupos ou usuários na ACL. Ou seja, apenas os usuários listados na ACL podem registrar outro registro com o nome reservado.