Microsoft MCSA – 70-410 – DNS parte3

3 Flares 3 Flares ×

Fala aí, estudando bastante? Muito bem! Continue assim…

Hoje persistimos no estudo do DNS, essa é a parte 3, se estiver perdido acesse a parte 1 aqui.

Coloquei o Simulado completo para o exame 70-410 no post anterior, se ainda não baixou acesse.

Segue o conteúdo…

 

 

Introdução ao Banco de Dados de Zonas DNS

Como mencionado anteriormente, uma zona DNS é uma porção do espaço de nomes DNS sobre o qual um servidor de nomes DNS específico tem autoridade. Dentro de uma dada zona DNS, existem Registros de Recursos (RR) que definem os hosts e outros tipos de informações que constituem o banco de dados da zona. Você pode escolher dentre vários tipos de zonas. Entender as características de cada um irá te ajudar a escolher qual é certa para a sua organização.

As zonas DNS discutidas aqui são todas zonas do Windows Server 2012 / 2012 R2. Sistemas não-Windows como Unix, Linux, etc.  configuram suas zonas DNS de maneira diferente.
 

Nas seções seguintes , discutiremos os diferentes tipos de zonas e suas características.

 

Entendendo Zonas Primárias

Quando você esta aprendendo sobre tipos de zonas , as coisas podem se tornar um pouco confusas. Mas não é muito difícil de entender como funcionam e porque deve escolher um tipo de zona no lugar dos outros. Zonas são banco de dados que guardam registros. Escolhendo um tipo de zona ao invés de outro você está basicamente apenas escolhendo como o banco de dados funciona e como será armazenado no servidor.

A zona primária é responsável por manter todos os registros da zona DNS. Ela contém a cópia primária do banco de dados DNS. Todas as atualizações de registros ocorrem na zona primária. Você irá querer criar e adicionar zonas primárias sempre que criar um novo domínio DNS.

Existem dois tipos de zonas primárias:

  • Zona Primária
  • Zona Primária Integrada ao Active Directory (DNS Active Directory)

 

A partir deste ponto me refiro a uma zona primária Integrada ao Active Directory como DNS Active Directory. Quando uso apenas o termo zona primária, o Active Directory não está incluído.
 

Para instalar o DNS como uma zona primária, você deve primeiro instalar o DNS usando o Gerenciador do Servidor. Após o DNS estar instalado e rodando, você cria uma nova zona e a especifica como zona primária.

O processo de instalar o DNS e suas zonas será discutido mais tarde com um passo-a-passo. 

Zonas primárias têm vantagens e desvantagens. Conhecer as características de uma zona primária irá ajudar a decidir quando você precisa da zona e quando ela se encaixa nos planos da sua organização.

 

Banco de Dados Local

Zonas DNS primárias são armazenadas localmente em um arquivo (com o sufixo .dns) no servidor. Isso permite que você armazene uma zona primária em um controlador de domínio ou em um servidor membro. Além disso, pelo fato de colocar o DNS em um servidor membro você ajuda uma pequena empresa a conservar recursos. Tal organização pode não ter os recursos para rodar o DNS em um controlador de domínio do AD.

Infelizmente, o banco de dados local tem muitas desvantagens:

  • Falta de tolerância a falhas – pense em uma zona primária como a lista de contatos em seu smartphone. Todos os contatos na lista são registros em seu banco de dados. O problema é que, se você perde seu telefone ou se ele quebra, você perde sua lista de contatos. Até que seu telefone seja consertado ou que você expulse ou cartão de memória, os contatos estão indisponíveis.

Funciona da mesma maneira com uma zona primária. Se o servidor ficar offline ou tiver algum problema com o HD, os registros DNS naquela máquina estarão indisponíveis. Um administrador pode instalar uma zona secundária (explicada a seguir), para prover tolerância a falhas limitada. Infelizmente de a zona primária ficar fora por muito tempo, a informação do servidor secundário não será mais válida.

  • Tráfego de rede adicional – vamos imaginar que você está procurando pelo número de contato do João da Silva. O João não está listado no seu celular, mas ele está no celular do seu amigo. Você tem que contatar seu amigo para conseguir o número. Você não consegue acessar a lista de contatos do celular do seu amigo diretamente.

Quando um resolvedor manda uma consulta para o DNS para pegar o endereço TCP/IP de Jsilva (nesse caso um nome de computador) e o DNS não tem uma resposta, ele não tem a capacidade de consultar o banco de dados do outro servidor diretamente para conseguir uma resposta. Então ele encaminha o pedido para outro servidor DNS. Quando servidores DNS estão replicando banco de dados de zonas com outros servidores DNS, isso causa tráfego de rede adicional.

  • Nenhuma Segurança – continuando com o exemplo do smartphone, vamos dizer que você ligue para seu amigo perguntando pelo telefone do João da Silva. Quando seu amigo te passa o telefone do João da Silva através do telefone sem fio, alguém com um scanner pode escutar a conversa. Infelizmente, chamadas de telefone sem fio não são muito seguras.

Agora um resolvedor pede pelo endereço TCP/IP de Jsilva a uma zona primária. Se alguém na rede tem um analisador de pacotes (packet sniffer), ele pode roubar a informação sendo enviada pela rede nos pacotes DNS. Os pacotes não estão seguros a não ser que você implemente alguma forma de segurança secundária. Além disso, o servidor DNS tem a capacidade de ser dinâmico. Uma zona primária aceita todas as atualizações dos servidores DNS. Você não pode configurá-la para aceitar somente atualizações seguras.

 

Entendendo Zonas Secundárias

No DNS do Windows Server 2012 R2, você tem a capacidade de usar zonas DNS secundárias. Zonas Secundárias são cópias não-editáveis do banco de dados do DNS. Você as usa para balanceamento de carga(também chamado de distribuição de carga), que é uma forma de gerenciar sobrecargas de rede em um único servidor. Uma zona secundária recebe seu banco de dados de uma zona primária.

Uma zona secundária contém um banco de dados com todas as mesmas informações que a zona primária, e pode ser usada para resolver consultas DNS. Zonas secundárias tem as seguintes vantagens:

  • Uma zona secundária prove tolerância a falhas, então se o servidor primário se tornar indisponível, a resolução de nomes ainda pode ocorres usando o servidor de nomes secundário.
  • Servidores DNS secundários também podem aumentar o desempenho de rede por receber uma parte do tráfego que iria para o servidor primário.

 

Servidores secundários são normalmente posicionados dentro dos locais da organizações que possuem acesso á rede de alta velocidade. Isso impede que as consultas DNS tenham de passar por conexões WAN lentas. Por exemplo, se houver dois escritórios distantes dentro da organização wiseone.com, você pode querer colocar um servidor DNS secundário em cada escritório. Desta maneira, quando clientes precisarem de resolução de nomes, eles irão contatar o servidor mais próximo para essa informação de endereço IP, prevenindo assim tráfego desnecessário pelo link de WAN.

Ter muitos servidores de zona secundários pode na verdade causar um aumento no tráfego de rede devido à replicação (especialmente se a as mudanças no DNS são frequentes). Sendo assim, você deve sempre pesar os benefícios e desvantagens e planejar apropriadamente seus servidores secundários.

 

Entendendo o DNS Integrado ao Active Directory

O Windows 2000 introduziu o DNS integrado ao Active Directory ao mundo. Este tipo de zona era único e era uma escolha separada durante a instalação. No Windows Server 2003, este tipo de zona se tornou um acessório adicional para uma zona primária. No Windows Server 2012 R2, funciona da mesma maneira. Depois de escolher configurar uma zona primária, você marca a caixa de seleção chamada Armazenar a zona no Active Directory (veja a figura abaixo).

microsoft-mcsa-zone-type

 

Desvantagens do DNS Integrado ao Active Directory

A principal desvantagem do DNS integrado ao Active Directory é que tem que ficar em um controlador de domínio pelo fato do banco de dados do DNS estar armazenado no Active Directory. Como resultado, você não pode carregar/instalar este tipo de zona em um servidor membro, e pequenas organizações podem não possuir os recursos necessários para configurar um controlador de domínio  dedicado.

 

Vantagens do DNS Integrado ao Active Directory

As vantagens do DNS integrado ao Active Directory ultrapassam muito as desvantagens discutidas a pouco. Algumas das principais vantagens de uma zona integrada ao Active Directory são:

Tolerância a Falhas Completa. Pense em uma zona integrada ao Active Directory como um banco de dados no seu servidor que armazena informações de contato para todos os seus clientes. Se você precisa recuperar o número de telefone do João da Silva, desde que tenha sido preenchido, você pode pesquisar por ele no software.

Se o telefone do João da Silva fosse salvo apenas no seu computador e seu computador parasse de funcionar, ninguém  poderia acessar o número de telefone do João da Silva. Mas como o telefone do João da Silva está salvo em um banco de dados que todos tem acesso, se o seu computador parar de funcionar, outros funcionários ainda podem recuperar o telefone do João da Silva.

Uma zona integrada ao Active Directory funciona da mesma forma. Como o banco de dados do DNS está armazenado no Active Directory, todos os servidores DNS do Active Directory podem ter acesso aos mesmos dados. Se um servidor ficar offline ou você perder um disco rígido, todos os outros  servidores DNS do Active Directory ainda podem recuperar registros do DNS.

Sem tráfego de rede adicional.  Como discutido anteriormente, uma zona integrada ao Active Directory é armazenada no Active Directory. Uma vez que todos os registros são agora salvos no Active Directory, quando um resolvedor manda precisa de endereço TCP/IP de Jsilva, qualquer servidor DNS do Active Directory pode acessar o endereço de Jsilva e responder ao resolvedor.

Quando você escolha uma zona  integrada ao Active Directory, os dados do DNS podem ser replicados automaticamente aos outros servidores DNS durante o processo de replicação normal do Active Directory.

Segurança DNS. Uma zona DNS integrada ao Active Directory tem algumas vantagens de segurança sobre uma zona primária:

  • Uma zona DNS integrada ao Active Directory pode usar atualizações dinâmicas.
  • Como explicado anteriormente, o padrão do DNS dinâmico permite atualizações somente seguras ou atualizações automáticas, não ambas.
  • Se você escolher atualizações automáticas, então somente máquinas com contas no Active Directory podem se registrar no DNS. Antes do DNS registrar qualquer conta em seu banco de dados, ele checa com o Active Directory para ter certeza de que é um computador autorizado no domínio.
  • Uma zona DNS integrada ao Active Directory armazena e replica o seu banco de dados usando a replicação do Active Directory. Por causa disso, os dados são criptografados quando são enviados de um servidor para o outro.

Carregamento de Zona de Segundo Plano. Esta função permite que uma zona DNS integrada ao Active Directory seja carregada segundo plano , ou seja, de forma passiva. Como resultado, um servidor DNS pode servir pedidos de clientes enquanto a zona ainda está  sendo carregada na memória.

 

Entendendo Zonas Stub

 

Banco de dados de zonas Stub contém apenas três tipos de registros: servidor de nomes (NS), início de autoridade (SOA), e  registros de host (A). Entender estes registros irá ajudá-lo nos exames de certificação Microsoft. A Microsoft faz muitas perguntas sobre zonas Stub em todos os exames relacionados com o DNS.

Zonas Stub funcionam muito como zonas secundárias – o banco de dados é uma cópia só de leitura da zona primária. A diferença é que o banco de dados da zona stub contém apenas a informação necessária (três tipos de registros) para identificar os servidores DNS autoritativos de uma zona (veja a figura a seguir). Você não deve usar zonas stub para substituir zonas secundárias, nem deve usá-las para redundância ou balanceamento de carga.

microsoft-mcs-stub

 

Quando usar Zonas Stub

Zonas Stub se tornam particularmente úteis em alguns cenários diferentes. Considere o que acontece quando duas grandes organizações fazem uma fusão: exemplo.com e exemplo.net. Na maioria dos casos, a informação de zona DNS das duas empresas deve estar disponível para todos os funcionários. Você poderia configurar uma nova zona de cada lado que age como uma zona secundária para a zona primária do outro lado, mas administradores tendem a ser muito protetores com os seus bancos de dados do DNS, e eles provavelmente não iriam concordar com este plano.

Uma solução melhor é adicionar uma zona stub em cada lado que aponta para o servidor primário do outro lado. Quando um cliente em exemplo.com (que você ajuda a administar) faz uma consulta por um nome em exemplo.net, a zona stub no servidor DNS de exemplo.com iria mandar o cliente para o servidor DNS primário de exemplo.net sem nem resolver o nome. Neste ponto, estaria a cargo no servidor primário de exemplo.net resolver o nome.

Um beneficio adicional é que, mesmo se o administrador de exemplo.net mudar sua configuração, você não precisará fazer nada pois a mudanças serão replicadas automaticamente para a zona stub, da mesma forma que seriam com uma zona secundária.

Zonas stub também podem ser úteis quando você administra dois domínios através de  conexões lentas. Vamos mudar o exemplo anterior um pouco e assumir que você possui controle total sobre exemplo.com e sobre exemplo.net mas que eles estão conectados por uma linha de 56kbps. Neste caso, você não iria necessariamente ligar de usar zonas secundárias pois você administra a rede inteira. Entretanto, iria ser complicado replicar o arquivo da zona inteira por aquele link lento. No lugar, zonas stub iriam indicar os servidores primários corretos do outro lado da linha aos clientes que necessitassem.

 

No próximo post continuaremos o assunto falando sobre transferência de zonas DNS.

Qualquer coisa já sabe…. comente , mande email, curta lá no Face

NÃO DEIXE SEUS MEDOS SEREM MAIS FORTES DO QUE OS SEUS SONHOS

Sucesso!

Não desista…

Caso ainda não saiba aqui no blog tem um ebook com dicas para quem está se preparando para certificações Microsoft.

E tem um simulado completo para o exame 70-410.

Qualquer coisa se comunique aqui pelos comentários ou lá pelo Face ou me mande email

 

Sucesso!

Thiago

 

Para ver todos os materiais disponíveis para serem adquiridos aqui na WiseOne acesse essa página.

Links ->  Fanpage, Grupo

3 Flares Twitter 0 Facebook 3 Google+ 0 LinkedIn 0 3 Flares ×


Faça parte da nossa lista de emails e saiba tudo sobre os conteúdos disponíveis!  😎