O Active Directory depende de uma infra-estrutura DNS adequadamente configurada e funcional . Se você tiver um problema do Active Directory, é provável que você tenha um problema de DNS. A primeira coisa que você deve verificar é o DNS. A segunda coisa que você deve verificar é o DNS. A terceira coisa que você deve verificar é o DNS.
O que exatamente é o DNS?
Este é um site para profissionais, portanto, presumo que você tenha lido pelo menos o excelente artigo da Wikipedia . Em suma, o DNS permite encontrar endereços IP procurando um dispositivo por nome. É fundamental que a Internet funcione como a conhecemos e é executada em todas, exceto na menor das LANs.
DNS, no nível mais básico, é dividido em três partes fundamentais:
Servidores DNS: esses são os servidores que mantêm registros para todos os clientes pelos quais são responsáveis. No Active Directory, você executa a função de servidor DNS em um (s) controlador (es) de domínio.
Zonas: cópias de zonas são mantidas por servidores. Se você tem um AD nomeado ad.example.com
, há uma zona nos controladores de domínio com o DNS instalado nomeado ad.example.com
. Se você tiver um computador chamado computer
e foi registrado com o servidor DNS, seria criar um registro DNS chamado computer
em ad.example.com
e você seria capaz de chegar a esse computador através do Fully Qualified Domain Name (FQDN), o que seriacomputer.ad.example.com
Registros: como mencionei acima, as zonas mantêm registros. Um registro mapeia um computador ou recursos para um endereço IP específico. O tipo mais comum de registro é um registro A, que contém um nome de host e um endereço IP. O segundo mais comum são os registros CNAME. Um CNAME contém um nome de host e outro nome de host. Quando você consulta hostname1, ele realiza outra pesquisa e retorna o endereço para hostname2. Isso é útil para ocultar recursos, como um servidor web ou compartilhamento de arquivos. Se você possui um CNAME intranet.ad.example.com
e o servidor por trás dele muda, todos podem continuar usando o nome que conhecem e você só precisa atualizar o registro CNAME para apontar para o novo servidor. Útil né?
Ok, como isso se relaciona com o Active Directory?
Quando você instala o Active Directory e a função de servidor DNS no seu primeiro controlador de domínio no domínio, ele cria automaticamente duas zonas de pesquisa direta para o seu domínio. Se o seu domínio do AD for ad.example.com
como no exemplo acima ( observe que você não deve usar apenas " example.com
" como um nome de domínio para o Active Directory ), você terá uma zona para ad.example.com
e _msdcs.ad.example.com
.
O que essas zonas fazem? GRANDE PERGUNTA! Vamos começar com a _msdcs
zona. Ele contém todos os registros que as máquinas clientes precisam para encontrar controladores de domínio. Inclui registros para localizar sites do AD. Possui registros para os diferentes detentores de funções da FSMO. Ele ainda mantém registros para seus servidores KMS, se você executar este serviço opcional. Se essa zona não existisse, não seria possível fazer logon em suas estações de trabalho ou servidores.
O que a ad.example.com
zona contém? Ele contém todos os registros dos computadores clientes, servidores membros e os registros A dos controladores de domínio. Por que essa zona é importante? Para que suas estações de trabalho e servidores possam se comunicar na rede. Se essa zona não existisse, você provavelmente poderia fazer login, mas não conseguiria fazer muito mais, exceto navegar na Internet.
Como obtenho registros nessas zonas?
Felizmente para você, é fácil. Ao instalar e definir as configurações do servidor DNS durante dcpromo
, você deve optar por permitir Secure Updates Only
se for dada a opção. Isso significa que apenas os PCs ingressados no domínio conhecidos podem criar / atualizar seus registros.
Vamos voltar por um segundo. Existem algumas maneiras pelas quais uma zona pode obter registros nela:
Eles são adicionados automaticamente pelas estações de trabalho configuradas para usar o servidor DNS. Esse é o mais comum e deve ser usado em conjunto com "Somente atualizações seguras" na maioria dos cenários. Existem alguns casos extremos em que você não deseja seguir esse caminho, mas se precisar do conhecimento nesta resposta, é assim que deseja fazê-lo. Por padrão, uma estação de trabalho ou servidor do Windows atualiza seus próprios registros a cada 24 horas ou quando um adaptador de rede recebe um endereço IP atribuído a ele , via DHCP ou estaticamente.
Você cria manualmente o registro. Isso pode acontecer se você precisar criar um CNAME ou outro tipo de registro ou se desejar um registro A que não esteja em um computador AD confiável, talvez um servidor Linux ou OS X que você deseja que seus clientes possam resolver pelo nome.
Você permite que o DHCP atualize o DNS quando são concedidas concessões. Você faz isso configurando o DHCP para atualizar os registros em nome dos clientes e adicionar o servidor DHCP ao grupo DNSUpdateProxy AD. Esta não é realmente uma boa ideia, porque ela abre para o envenenamento por zona. Envenenamento por zona (ou envenenamento por DNS) é o que acontece quando um computador cliente atualiza uma zona com um registro malicioso e tenta se passar por outro computador na sua rede. Existem maneiras de garantir isso, e ele tem seus usos, mas é melhor deixá-lo sozinho, se não souber.
Então, agora que temos isso fora do caminho, podemos voltar aos trilhos. Você configurou seus servidores AD DNS para permitir apenas atualizações seguras, sua infraestrutura está sendo executada e você percebe que possui uma tonelada de registros duplicados! O que você faz sobre isso?
Limpeza de DNS
Este artigo é leitura obrigatória . Ele detalha as práticas recomendadas e as configurações que você precisará definir para a eliminação. É para Windows Server 2003, mas ainda é aplicável. Leia-o.
A eliminação é a resposta para o problema de registro duplicado colocado acima. Imagine que você tenha um computador com um IP 192.168.1.100. Ele registrará um registro A para esse endereço. Então, imagine que ele desligou por um longo período de tempo. Quando ele é ligado novamente, esse endereço é usado por outra máquina, assim é 192.168.1.120
. Agora, existem registros A para os dois.
Se você vasculhar suas zonas, isso não será um problema. Os registros obsoletos serão removidos após um certo intervalo e você ficará bem. Apenas certifique-se de não limpar tudo por acidente, como usar um intervalo de 1 dia. Lembre-se, o AD conta com esses registros. Definitivamente configure a eliminação, mas faça-o com responsabilidade, conforme descrito no artigo acima.
Portanto, agora você tem um entendimento básico do DNS e como ele é integrado ao Active Directory. Acrescentarei pequenos pedaços no caminho, mas fique à vontade para adicionar seu próprio trabalho também.