Como desabilitar a administração remota de um serviço Servidor DNS no Windows Server 2003 e no Windows 2000 Server

Traduções deste artigo Traduções deste artigo
ID do artigo: 936263 - Exibir os produtos aos quais esse artigo se aplica.
Importante Este artigo contém informações sobre como modificar o Registro. Antes de modificá-lo, faça um backup e certifique-se de que saiba como restaurá-lo caso ocorra algum problema. Para obter mais informações sobre como fazer backup, restaurar e modificar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
256986 Descrição do Registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Este artigo descreve como desabilitar o gerenciamento remoto de DNS de um servidor DNS que está executando um dos seguintes sistemas operacionais:
  • Microsoft Windows Server 2003
  • Microsoft Windows 2000 Server
É possível usar o método mencionado neste artigo para aprimorar a segurança dos computadores que estão executando o serviço Servidor DNS em uma empresa.

Para obter mais informações sobre um problema que afeta o serviço Servidor DNS no Windows Server 2003 e no Windows 2000 Server, visite o seguinte site da Microsoft:
http://www.microsoft.com/brasil/technet/security/bulletin/ms07-029.mspx

Mais Informações

Visão Geral

Por padrão, o serviço Servidor DNS o gerenciamento remoto usando muitas interfaces. Ao iniciar, o serviço Servidor DNS é ligado a uma porta dinâmica em um intervalo efêmero. Esta porta é usada pelo snap-in MMC (Console de Gerenciamento Microsoft) e pelo provedor WMI (Instrumentação de Gerenciamento do Windows) do DNS. É possível usar a seguinte entrada do Registro para controlar se o serviço Servidor DNS permite o gerenciamento remoto:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters


Nome do valor: RpcProtocol
Tipo do valor: REG_DWORD
Dados do valor: 0x4
Os seguintes valores estão disponíveis para a entrada do Registro RpcProtocol:
  • 0x1
    Esse valor corresponde a uma configuração de DNS_RPC_USE_TCPIP
  • 0x2
    Esse valor corresponde a uma configuração de DNS_RPC_USE_NAMED_PIPE
  • 0x4
    Esse valor corresponde a uma configuração de DNS_RPC_USE_LPC
Observação Um valor de 0x4 restringe a interface DNS RPC somente para as chamadas de procedimento local. Isto permite apenas o gerenciamento local.

O efeito em desabilitar o gerenciamento remoto

Ao definir a entrada do Registro RpcProtocol para 0x4, o serviço Servidor DNS remoto será desabilitado. Por isso, não é possível usar a ROC ou o WMI para gerenciar o servidor DNS. Neste cenário, as ferramentas de gerenciamento do servidor DNS não funciona mais de um local remoto. No entanto, ainda é possível usar as ferramentas de gerenciamento local para gerenciar o servidor DNS, e realizar o gerenciamento remoto do servidor DNS usando uma conexão Serviços de Terminal.

A configuração do RpcProtocol to 0x4 não afeta as consultas DNS, as atualizações dinâmicas DNS, as transferências de zona DNS e assim por diante.

Observação A administração e configuração local do serviço Servidor DNS podem não funcionar se as seguintes condições forem verdadeiras:
  • O servidor que deseja gerenciar tem um nome do host com 15 caracteres.
  • Você seleciona o servidor usando o nome do host.
Para resolver esse problema, especifique o FQDN (nome de domínio totalmente qualificado) do computador ao gerenciá-lo usando as ferramentas administrativas de servidor DNS.

Para desabilitar o gerenciamento remoto do serviço Servidor DNS

Aviso O uso incorreto do Editor do Registro, ou outro método, pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.

Para desabilitar a funcionalidade gerenciamento remoto sobre RPC em um computador executando o serviço Servidor DNS, execute as seguintes etapas:
  1. Clique em Iniciar, em Executar, digite regedit e clique em OK.
  2. Localize e clique na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  3. No menu Editar, aponte para Novo e clique em Valor DWORD.
  4. Na caixa Novo valor #1, digite RpcProtocol e pressione ENTER.
  5. Clique com o botão direito do mouse em RpcProtocol e clique em Modificar.
  6. Na caixa Dados do valor, digite 4 e clique em OK.
  7. Saia do Editor do Registro e reinicie o serviço Servidor DNS. Para reiniciar o serviço Servidor DNS, execute as seguintes etapas:
    1. Clique em Iniciar, em Executar, digite cmd e clique em OK.
    2. No prompt do comando, digite o seguinte comando e pressione ENTER:
      net stop dns && net start dns

Para implantar o valor do Registro RpcProtocol em muitos computadores

É possível usar um script para implantar o valor do Registro RpcProtocol. Isto permite que você desabilite com mais facilidade o gerenciamento remoto do serviço Servidor DNS em muitos computadores. Para fazer isto, execute as seguintes etapas:
  1. Faça logon no domínio usando uma conta que tem direitos para modificar os servidores DNS. Por exemplo, faça logon como administrador de domínio.
  2. Crie uma lista de todos os servidores DNS. Para fazer isto, execute o seguinte comando no prompt de comando:
    dsquery * -filter "(servicePrincipalName=DNS*)" -attr dNSHostName -l > dns_servers.txt
    Se for necessário, edite manualmente o arquivo dns_servers.txt criado para especificar todos os servidores DNS. Por exemplo, esse comando apenas captura os controladores de domínio configurados como servidores DNS. Por isso, é necessário adicionar manualmente os servidores DNS configurados como servidores membro.

    Observação É possível usar a guia Servidores de nomes na caixa de diálogo Zona DNS Propriedades em cada zona no snap-in DNS para determinar os nomes dos servidores DNS que deseja adicionar à lista.
  3. Se for solicitado, use o comando cd no prompt de comando para alterar para o diretório no qual o arquivo dns_servers.txt foi salvo.
  4. Digite o seguinte comando e pressione ENTER.
    for /f %i in (dns_servers.txt) do reg add \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /t REG_DWORD /d 4 /f
    Esse comando adiciona a entrada do Registro RpcProtocol com um valor de 0x4.
  5. Interrompa o serviço Servidor DNS em todos os computadores: Para fazer isto, digite o seguinte comando e pressione ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  6. Inicie o serviço Servidor DNS em todos os computadores: Para fazer isto, digite o seguinte comando e pressione ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS

Para verificar se a entrada do Registro RpcProtocol está definida em muitos computadores

Para consultar os servidores e verificar se a entrada do Registro está definida, execute as seguintes etapas:
  1. Faça logon em um servidor DNS que tenha a entrada do Registro RpcProtocol definida.
  2. Copie o seguinte script em um arquivo de texto e nomeie-o como Dnsquery.cmd:
    Echo Comparing registry value for: > dns_errors.txt echo HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters >> dns_errors.txt 
    echo Data Value for "RpcProtocol" >> dns_errors.txt echo. >> dns_errors.txt echo. >> dns_errors.txt 
    Echo Errorlevel 1 - Failed to compare registry values >> dns_errors.txt 
    Echo Errorlevel 2 - Reg values compared are different >> dns_errors.txt echo. >> dns_errors.txt 
    echo. >> dns_errors.txt echo ===================================================== >> dns_errors.txt 
    set _MachineName= 
    for /f %%i in (dns_servers.txt) do ( call :TEST %%i )
    :TEST
    Set _MachineName=%1
    echo %_MachineName%
    reg.exe compare "HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" "\\%_MachineName%\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v RpcProtocol
    if %_MachineName% == "" echo 0 > nul
    if %errorlevel% == 0 echo 0 > nul
    if %errorlevel% == 1 Echo Computername: %_MachineName% Errorlevel returned: 1 - Failed >> dns_errors.txt
    if %errorlevel% == 2 Echo Computername: %_MachineName% Errorlevel returned: 2 - Different >> dns_errors.txt
    :End
    rem exit
    Observação Esse script compara a subchave do Registro Parameters nos computadores remotos com aquele no computador em que você executou o script.

    Importante Não deve haver nenhum caractere de espaço à direita nesse script.
  3. Clique duas vezes no arquivo Dnsquery.cmd para executá-lo.

Para remover o valor do Registro RpcProtocol de muitos computadores

Para desfazer a operação que define o valor do Registro, execute as seguinte etapas:
  1. Faça logon no domínio usando uma conta que tem direitos para modificar os servidores DNS. Por exemplo, faça logon como administrador de domínio.
  2. Inicie o prompt de comando e use o comando cd para alterar para o diretório no qual o arquivo Dns_servers.txt foi salvo.
  3. Digite o seguinte comando e pressione ENTER.
    for /f %i in (dns_servers.txt) do reg delete \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /f
  4. Interrompa o serviço Servidor DNS em todos os computadores: Para fazer isto, digite o seguinte comando e pressione ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  5. Inicie o serviço Servidor DNS em todos os computadores. Para fazer isto, digite o seguinte comando e pressione ENTER:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS

Propriedades

ID do artigo: 936263 - Última revisão: quinta-feira, 10 de maio de 2007 - Revisão: 2.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kberrmsg kbhowto kbinfo kbtshoot kbregistry KB936263

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com