Integrando o DNS do Windows a um namespace DNS existente

  • Artigo

Este artigo descreve como integrar o DNS do Windows a uma organização que já tem um namespace DNS implementado no qual o servidor DNS que é autoritativo para a zona com o nome do domínio do Active Directory não dá suporte a RFC 2136 (atualizações dinâmicas).

Aplica-se a: Windows Server 2012 R2
Número de KB original: 255913

Resumo

Um recurso do DNS (Sistema de Nomes de Domínio do Windows) é seu suporte para atualizações dinâmicas de host (documentadas no RFC 2136). Para aproveitar esse recurso, o DNS do Windows pode ser implantado em ambientes que não têm outros servidores DNS, bem como em ambientes que já têm servidores DNS não dinâmicos implementados (como BIND 4.9.7 e anteriores e assim por diante). Quando você está implantando o DNS do Windows em um ambiente que já tem servidores BIND implementados, você tem várias opções de integração:

  • Migre zonas de servidores DNS autoritativos não dinâmicos para servidores que executam o DNS do Windows.
  • Delegar domínios DNS filho em um domínio DNS pai. Para nomes de domínio do Active Directory que não têm o mesmo nome que a raiz de uma zona, delegar o subdomínio ao DNS do Windows. Por exemplo, se o nome do domínio do Active Directory for dev.reskit.com e a zona que contém esse nome for reskit.com, delegar dev.reskit.com para um servidor baseado no Windows que executa o DNS.
  • Delegar cada um dos subdomínios usados pelos registros do localizador DC (controlador de domínio) (registros SRV) para um servidor baseado no Windows. Esses subdomínios são _msdcs.reskit.com, _sites.reskit.com, , _tcp.reskit.come _udp.reskit.com. Essa opção seria usada em que os nomes de domínio do Active Directory (por exemplo, reskit.com) que são iguais ao nome da raiz de uma zona (por exemplo, reskit.com), não podem ser delegados diretamente a um servidor baseado no Windows que executa o DNS. Opcionalmente, os clientes podem ser membros do domínio do Active Directory chamado reskit.com, mas podem se registrar na zona DNS chamada dynamic.reskit.com.

Este artigo documenta a quarta opção listada acima, como integrar o DNS do Windows a uma organização que já tem um namespace DNS implementado no qual o servidor DNS que é autoritativo para a zona com o nome do domínio do Active Directory não dá suporte à RFC 2136 (atualizações dinâmicas). Este artigo também discute um cenário em que os membros do domínio usam um sufixo DNS primário diferente do nome do domínio do Active Directory para permitir o registro dinâmico de registros DNS por computadores baseados em Windows quando o autoritativo do servidor DNS para a zona com o nome do domínio do Active Directory não dá suporte a atualizações DNS dinâmicas.

Mais informações

Para integrar o DNS do Windows a um namespace existente com base em servidores DNS não dinâmicos, você pode delegar os subdomínios usados pelos registros do localizador (registros SRV) para que as atualizações dinâmicas (conforme RFC 2136) possam ser usadas. Siga estas etapas:

  1. No servidor DNS não dinâmico que é autoritativo para a zona com o nome do domínio do Active Directory, delegar as seguintes zonas a um servidor baseado no Windows 2000 que executa o DNS:

    _Udp. DNSDomainName
    _Tcp. DNSDomainName
    _Sites. DNSDomainName
    _msdcs. DNSDomainName

    Por exemplo, se a zona raiz for chamada reskit.com, delegar _udp.reskit.com, _tcp.reskit.com, _sites.reskit.come _msdcs.reskit.com para o servidor baseado no Windows.

    Você também deve delegar dois subdomínios adicionais:

    Forestdnszones. ForestDNSName
    Domaindnszones. DNSDomainName

  2. No servidor baseado no Windows, crie as zonas de encaminhamento delegadas na etapa 1 e habilite as zonas para atualização dinâmica.

    Para criar as novas zonas:

    1. Inicie o DNS Manager no servidor Windows.

    2. Expanda o servidor DNS apropriado no DNS Manager.

    3. Clique com o botão direito do mouse na pasta Zonas de Pesquisa Para a Frente e clique em Nova Zona.

    4. Quando o Assistente de Nova Zona for iniciado, clique em Avançar, selecione "Zona Primária" e, talvez, selecione Armazenar a zona na caixa marcar do Active Directory e clique em Avançar.

    5. Para zonas integradas ao AD, selecione para onde os dados de zona devem ir, para todos os servidores DNS no domínio ou na floresta ou para todos os DCS no domínio (única opção no Windows 2000).

    6. Digite o nome da zona na caixa de nome. Por exemplo, digite _msdcs.reskit.com.

    7. Clique em Avançar. Depois de examinar o resumo do assistente, clique em Concluir.

    Para permitir que a zona aceite atualizações dinâmicas:

    1. Usando o DNS Manager no servidor Windows que executa o DNS, clique com o botão direito do mouse na nova zona, clique em Propriedades e clique na guia Geral.
    2. Na caixa Permitir Atualizações Dinâmica, clique em Somente Proteger Atualizações (recomendado) ou Sim. A opção Only Secure Atualizações só está disponível após o servidor ter sido promovido a um controlador de domínio. Repita esse processo até que todas as quatro zonas descritas na etapa 1 tenham sido criadas e permitidas atualizações dinâmicas. Isso permite que os registros do localizador do controlador de domínio sejam registrados dinamicamente e desescritos no DNS.

  3. Além disso, uma única zona ou várias zonas podem ser criadas e configuradas para permitir que clientes e servidores se registrem dinamicamente no servidor Windows. Por exemplo, uma zona chamada dynamic.reskit.com pode ser usada para registrar todos os clientes e servidores em uma rede por meio de atualizações dinâmicas. Para configurar essa zona:

    1. No servidor DNS não dinâmico que é autoritativo para a zona pai (por exemplo, reskit.com), delegar uma nova zona para o servidor baseado em Windows que executa o DNS. Por exemplo, delegar o dynamic.reskit.com. zona para o servidor Windows.
    2. No servidor Windows, crie uma zona de pesquisa avançada para a zona delegada acima (dynamic.reskit.com).
    3. No servidor Windows, habilite as zonas para atualizações dinâmicas.

  4. Quando os controladores de domínio do Windows começam, o serviço Netlogon tenta registrar vários registros SRV na zona autoritária. Como as zonas nas quais os registros SRV devem ser registrados foram delegadas (nas etapas 1 e 2) para um servidor Windows em que eles podem ser atualizados dinamicamente, esses registros serão bem-sucedidos. Além disso, um DC tentará registrar os registros A listados em seu arquivo Netlogon.dns na zona raiz (por exemplo reskit.com). Nesse caso, como a zona raiz está localizada em um servidor DNS não dinâmico, essas atualizações não serão bem-sucedidas. O seguinte evento será gerado no log do sistema no DC:

    Tipo de Evento: Aviso
    Fonte do evento: NETLOGON
    Categoria de evento: Nenhum
    ID do evento: 5773
    Data: <DateTime>
    Hora: <DateTime>
    Usuário: N/A
    Computador: DC
    Descrição:
    O servidor DNS para este DC não dá suporte a DNS dinâmico. Adicione os registros DNS do arquivo %SystemRoot%\System32\Config\netlogon.dns ao servidor DNS que atende ao domínio referenciado nesse arquivo.

    Para corrigir esse comportamento:

    1. Cada Windows DC tem um arquivo Netlogon.dns localizado em sua pasta %SystemRoot%\System32\Config. Este arquivo contém uma lista de registros DNS que o DC tentará registrar quando o serviço Netlogon for iniciado. É uma boa ideia fazer uma cópia desse arquivo antes de fazer as alterações a seguir para que você tenha uma lista dos registros originais que o DC tenta registrar no servidor DNS. Observe que cada DC terá registros diferentes porque esses registros são específicos para cada adaptador de rede em cada DC. Examine o arquivo Netlogon.dns para identificar todos os registros A no arquivo. Você pode identificar um registro pelo tipo de registro seguindo o descritor de classe "IN". Por exemplo, as duas entradas a seguir são registros A:

      reskit.com. 600 EM UM 10.10.10.10
      gc._msdcs.reskit.com. 600 EM UM 10.10.10.10

      O número de registros A no arquivo Netlogon.dns depende do número de adaptadores que o DC tem, o número de endereços IP com os quais cada adaptador foi configurado e a função do DC. Os DCs registram:

      • Um registro A por cada um de seus endereços IP para o nome do domínio.
      • Se o DC também for um servidor GC (catálogo global), ele registrará gc._msdcs. DnsForestName para cada um de seus endereços IP.

    2. Como o servidor DNS não dinâmico não aceitará as tentativas do controlador de domínio de registrar dinamicamente os registros A, os registros A devem ser configurados manualmente no servidor DNS autoritativo (no exemplo deste artigo, o servidor DNS autoritativo para a zona reskit.com). A adição do registro A correspondente ao nome do domínio (por exemplo, reskit.com) não é necessária para a implantação do Windows e pode ser necessária somente se clientes LDAP de terceiros que não dão suporte a registros DNS srv estiverem procurando os DCs do Windows.

      No servidor Windows, crie os registros A específicos do servidor GC que foram identificados na etapa A, na zona apropriada. Por exemplo, crie um registro A para o servidor GC na zona _msdcs.reskit.com.

      No servidor DNS não dinâmico que é autoritativo para a raiz da zona, crie registros A na zona raiz (por exemplo, reskit.com) para os registros A não específicos do servidor GC que foram identificados na etapa A. Por exemplo, crie um registro A para reskit.com na reskit.com zona.

    3. A chave do registro a seguir deve ser usada para desabilitar o DC de tentar registrar os registros A vistos no arquivo Netlogon.dns. Defina o valor REG_DWORD RegisterDnsARecords como 0 (zero) em:

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  5. Para corrigir esse comportamento: depois de ter uma floresta e um domínio do Active Directory em vigor, você deverá integrar o Active Directory aos domínios DNS pelos quais o servidor Windows que executa o DNS é responsável. Além disso, você deve reconfigurar zonas que foram configuradas para aceitar atualizações dinâmicas para aceitar apenas atualizações dinâmicas seguras.