Organizando o servidor DNS parte 1

  • Article

Por: Felicio Silva
Revisor Técnico: Eduardo Tavares de Almeida

Todos nós sabemos que é importante que o servidor DNS possua a informação correta sobre os hosts que o mesmo hospeda. No entanto com o passar do tempo, alguns problemas nos registros DNS passam a ocorrer. Estes problemas são muito conhecidos por nós da área de suporte. Entre eles:

A - 2 arquivos de host com o mesmo IP.
clip_image001

B - 2 arquivos de host para uma única máquina com ips diferentes:clip_image002

Essa configuração é possível, ou seja, permitida pelo servidor DNS, pois pode haver situações onde seja necessário existir dois nomes para uma mesma máquina. E pode ser também que uma máquina tenha dois IPs. Essas situações e outras acabam criando informações inconsistentes no servidor DNS, e isso pode causar falhas em outros serviços na rede como SCCM e WSUS.

Mas como evitar que isso aconteça e manter uma estrutura DNS que faça limpeza de registros errados de forma automática?

Nesse primeiro artigo, irei demonstrar como fazer a configuração de integração entre o servidor DHCP e o servidor DNS. No segundo artigo da série, irei demonstrar como funciona o processo de Aging e Scavenging no servidor DNS e como configurar essa funcionalidade.

Bem, existe uma série de ações que devem ser tomadas para que o DNS fique sempre organizado e com um alto percentual de informação correta. A primeira e mais importante ação a ser tomada é a configuração de forma adequada do Serviço DHCP, para que este possa atualizar o DNS de forma dinâmica.

Configurando o Serviço DHCP para Atualizações Dinâmicas no DNS:

Antes de saber como configurar o serviço DHCP, é importante entender como funciona a integração entre o serviço DNS e o DHCP. Quando se trata dessa integração, existem basicamente duas opções de funcionamento:

  1. O servidor DHCP vai atuar apenas removendo os registros no servidor DNS quando o período de lease de um determinado cliente expirar e a atualização do registro PTR, mas o cliente ficará responsável por atualizar no servidor DNS o registro do tipo A.
  2. O servidor DHCP vai atuar atualizando todas as alterações feitas pelo cliente, ou seja, o servidor DHCP passa a ser um porta-voz dos clientes para o Servidor DNS.

Observação! A vantagem da primeira opção é que quando utilizamos uma zona que vai exigir Atualiazações Dinamicas Seguras o processo permanece seguro, uma vez que são os clientes que estão autenticando suas contas para atualizar os registros no servidor DNS. Já na segunda opção quem estaria autenticando seria o servidor DHCP, portanto qualquer cliente que conectasse ao servidor DHCP poderia atualizar seu registro sem autenticação.

A configuração Default quando instalamos o serviço de DNS e DHCP é a mencionada na primeira opção.

clip_image004

Notem que a opção default, diz que o servidor DHCP deve atualizar os registros A e PTR somente se o cliente requisitar que o DHCP o faça. O cliente por sua vez, nessa configuração default, irá pedir ao servidor DHCP que atualize o registro PTR e vai atualizar seus próprios registros do tipo A diretamente no servidor DNS. É nessa configuração default que devemos ter muita cautela, pois caso o administrador mantenha essa configuração e configure a zona para utilizar somente atualizações seguras, a seguinte situação poderá ocorrer:

  1. O cliente desktop1, irá adquirir o ip 192.168.1.1, o servidor DHCP irá registrar o PTR e o cliente irá registrar o A.
  2. A partir desse momento, o servidor DHCP é o owner do registro PTR e o cliente é o owner do registro A. Isso significa que caso o servidor DHCP fique indisponível, ou caso você tenha outro servidor DHCP na sua rede trabalhando em conjunto com o primeiro servidor, este não terá acesso para atualizar o registro tipo PTR do desktop1. Isso fará com que o cliente atualize com sucesso o registro A, mas que o registro PTR fique com o ip incorreto.

Essa é uma das causas de registros desatualizados ou errados no servidor DNS. Para evitar que isso aconteça e também para continuar atualizando os registros de forma segura, devemos criar um usuário no AD para utilizar essa conta em todos os servidores DHCP que atualizam os registros no DNS.

Uma vez criada essa conta, dentro da console de gerenciamento do DHCP, clique com o botão direito do mouse no servidor DHCP e depois em propriedades. Clique na aba Advanced. Clique no botão Credentials. Cadastre a conta que foi criada. Repita o processo em todos os servidores DHCP que devem ter a permissão para atualizar os registros no servidor DNS.

clip_image006

Duas informações são muito importantes relacionadas à segurança dos registros DNS:

  1. Quando você adiciona os servidores DHCP ao grupo DNSupdatePRoxy os registros que os servidores DHCP irão criar, não serão protegidos. Como medida de segurança caso você esteja utilizando Atualizações Dinâmicas Seguras na sua zona DNS, evite utilizar o grupo DNSupdatePRoxy para fazer com que diversos servidores possam atualizar o mesmo registro. Ao invés do grupo, utilize uma conta que será configurada em todos os servidores, como foi descrito no anteriormente.
  2. Caso você instale o serviço de DHCP em um Domain Controller, é extremamente recomendado que você utilize o procedimento descrito anteriormente com a criação da conta e configuração da mesma nas opções do servidor DHCP. Isso é recomendável por que uma vez que o serviço DHCP é instalado em um Domain Controller, ele herdará os poderes administrativos para atualizar qualquer host, mesmo os que não foram criados pelo servidor. Portanto para reduzir o poder administrativo, utilize uma conta do AD para autenticar as alterações que o DHCP irá realizar no DNS caso o serviço DHCP seja instalado em Domain Controller.