1) O documento discute conceitos de administração de rede no Windows 2003, incluindo Active Directory, DNS, DHCP e WINS.
2) Ele explica como o DNS é integrado ao Active Directory para permitir que registros sejam adicionados de qualquer controlador de domínio.
3) Também aborda tópicos como delegação de autoridade DNS, atualizações dinâmicas, aging e scavenging no DNS.
4. DNS
• Zonas
• Forward Lookup (pesquisa direta)
– Retorna o endereço IP de host, sendo fornecido o nome;
• Reverse Lookup (pesquisa reversa)
– Retorna o nome de um host, sendo fornecido o endereço IP;
• Recursão
– Permite que um servidor DNS consulte outros servidores quando há
requisição para um nome não atendido por sua zona
– Ainda assim, o cache local do servidor DNS é verificado
7. DNS – Integração com o AD
• Com integração AD/DNS, o processo é um pouco diferente
– A primeira mudança é que não há servidores DNS secundários
– A zona é replicada dentro do AD, então o DNS utiliza o conceito de
muitos controladores de domínio
– Logo, cada RR pode ser adicionado à zona pelo servidor AD local
– A replicação e feita conforme especificado no AD
8.
9. DNS – Delegação de autori dade
• Divisão do namespace DNS com objetivo de:
– Delegar gerenciamento de DNS para outra localidade ou
departamento;
– Dividir as zonas DNS para distribuir tráfego
– Estender o espaço de nomes em subdomínios, para melhor
organização e acomodação de novos sites
11. DNS – Atuali zações di nâmi cas
• Atualizações dinâmicas permite que hosts registrem e
atualizem seus RRs nos servidores DNS quando há uma
mudança
– Muito útil, especialmente com o uso de DHCP
– Quando há integração AD/DNS, essas atualizações são feitas de
forma segura
– No modo normal, o default é tráfego normal (not secure)
• Com uso de servidor DHCP, o DHCP envia informações do
host (A) e do RR (PTR name)
– No caso de Win2K e posterior, o próprio host envia as informações
(A) e o DHCP só a atualização do PTR
13. DNS – Agi ng and Scavengi ng
• Duração e eliminação dos RRs das entradas DNS
– Remove RRs obsoletos
• RRs são criadas com a entrada de novos hosts
– Nem sempre as entradas são removidas corretamente
• Ex. Host desconectado incorretamente da rede
• Situação comum para usuários móveis
• Problemas
– Aumento do tamanho da zona = Uso de disco no servidor e
transferências maiores
– Problemas de resolução de nomes
– Degradação na performance do servidor
– Conflitos de nome
14. DNS – Aging and Scavenging ‐ Soluções
• Timestamp
– Uso de timestamp para RRs adicionados dinamicamente
– Timestamp ZERO para resource records adicionados manualmente
• Aging (envelhecimento)
– RR tem um período de “validade”.
• Scavenging (eliminação)
– Elimina qualquer RR que persiste após o prazo de validade
– Pode ser automática ou manual
• Eliminação dos RRs é, por default, desativada
16. DNS – Op ções avançadas
• Recursão
– Permite que um servidor DNS consulte outros servidores para
atender um query de outras zonas
– Desativando, o servidor aceita apenas queries sob sua autoridade
• BIND de secundários
– Transferências de zona rápidas (default no Win2k3) não são
suportadas por servidores BIND antigos
• Fail on Load if Bad Zone Data
– Opção que, quando ativada, impede a leitura do resto da zona DNS
quando um erro for encontrado
17. DNS – Op ções avançadas
• Round Robin
– Provê balanceamento de carga de serviços, alternando as requisições
• Netmask Ordering
– Quando ativada, permite reordenamento de RRs de um mesmo host
• Ex. Quando um webserver multihomed tem dois endereços de rede em
subredes diferentes, o DNS irá responder o IP da subrede mais perto do
cliente que fez a requisição
• Secure Cache Against Pollution
– Quando ativada, o servidor DNS desconsidera RRs de servidores DNS que
não são autoridade para a zona que retornam
– Aumenta a segurança mas aumenta o tráfego e queries
19. DHCP ‐ Revi são
• Configurações automáticas na rede
• Distribuição dinâmica de IPS
• Facilidade de administração
– Configurações fáceis de alterar
– Não há necessidade de visitar as estações uma a uma
– Escopo específico para cada rede
• Funciona como cliente/servidor (request/response)
• Escopo – Conjunto de configurações aplicáveis aos clientes
DHCP
• Superescopo – Conjunto de escopos
• Tempos de lease
20. DHCP – Instalação
• DHCP é um serviço padrão, incluído no Win2k3 Server
• Não é instalado na instalação default
• Deve ser autorizado após instalação
– Evita que servidores desautorizados distribuam informações falsas
– Se for usado AD, a autorização é feita no AD
– Podem ser automaticamente autorizados
21. DHCP – Confi guração de escop os
• Escopo define o conjunto de configurações aplicáveis a
determinados clientes
• Cada escopo é definido com as seguintes informações:
– Descrição
– Endereço IP de início
– Endereço IP de término
– Máscara de subrede
– Exclusões
– Duração de lease
22. DHCP – Confi guração de escop os
• Duas estratégias básicas existem para definição do range DHCP
– Permitir toda a subrede e excluir apenas alguns endereços estáticos
– Usar apenas os endereços que não estão em uso
• Exclusões
– Previne que determinado IP seja distribuído dinamicamente
– Uso principal: máquinas com usos expecíficos
(servidores/administradores)
25. DHCP – Confi guração de escop os
• Duração de Lease
– Define por quanto tempo determinado computador pode usar o
endereço IP distribuído
– Tempo default: 8 dias
– Plenamente configurável
• Um escopo deve ser ativado antes que o DHCP possa iniciar seu
uso
30. DHCP – Outros escop os
• Superescopos
– São usados para agregar múltiplos escopos em um único escopo lógico
• Escopos de Multicast
– Usado para distribuir endereços multicast para hosts que necessitem
– Também usa Start/End, exclusões e adiciona o TTL
31. DHCP – Confi gurando op ções
• DHCP pode configurar várias opções de IP
– Por exemplo, geralmente servidores de DNS são usados por toda a rede
– DHCP leva essas configurações
• Opções
– Servidor
• DNS pode ser configurado no servidor DHCP
– Escopo
– Cliente
• Classes Vendor e User
– Vendor: Baseado no sistema operacional
– User: Baseado em conectividade ou pelo administrador
33. DHCP – Confi gurando Relay
• Pacotes DHCP normalmente não trafegam entre roteadores
– Bloqueio de broadcast
• Um servidor relay serve para que apenas um servidor DHCP
tome conta dos leases
• Um agente relay recebe o pedido DHCP em broadcast e
encaminha a um servidor DHCP como unicast
– Um agente relay não pode ser instalado no mesmo servidor do serviço
DHCP
34. WINS ‐ Instalação
• Servidor de nomes (família Windows) usando NetBios
• Servidor WINS não é instalado por padrão no Win2k3
• Podem haver múltiplos servidores, com replicação
– Push (mudanças na base), Pull (tempo) ou Push/Pull (combinação)
• Opções de renovação do nome
• Timeout de extinção
• Intervalo de verificação (validação de um nome replicado de
outro servidor)
35. Exercíci os – Aula 10
• (Pref. Vitoria/07 – Cespe) Para que a resolução de nomes seja realizada
por meio do serviço WINS, os clientes e os servidores precisam ser
configurados. Um servidor WINS pode ser usado por clientes que não
estejam na sub‐rede do servidor.
• O endereço IP e a máscara de um servidor Windows Server 2003
podem ser estáticos e configurados manualmente. Se a rede não for
segmentada, a máscara 0.0.0.0 deverá ser usada na configuração.
• Em uma rede, podem existir vários servidores Windows Server 2003
configurados como servidores DHCP. Em cada servidor, deve ser
configurado o mesmo escopo para os clientes do serviço..
36. Exercíci os – Aula 10
• (Pref. Vitoria/07 – Cespe) Para um servidor DHCP ser usado em um
domínio, ele deve ser autorizado no active directory. A autorização
informa que o servidor DHCP está apto a fornecer endereçamento
dinâmico no domínio.
• No Windows Server 2003, podem ser definidas, no active directory,
contas, que podem ser usadas para os usuários acessarem recursos no
domínio.
• Um servidor Windows Server 2003 pode ser configurado com o
endereço IP de um gateway padrão. O servidor envia para esse gateway
os pacotes destinados às máquinas na subrede do servidor.
• O active directory possibilita organizar os usuários em grupos. Se um
mesmo nome for usado para identificar diferentes grupos de usuários,
mesmo que os grupos estejam em diferentes domínios do active
directory, ocorrerá um erro.