Os computadores cliente DNS podem usar a atualização dinâmica para registrar e atualizar dinamicamente seus registros de recursos em um servidor DNS sempre que houver alguma alteração. Isso reduz a necessidade da administração manual de registros de zona, especialmente para clientes que estão constantemente se movendo ou mudando de local, usando o protocolo DHCP para obter um endereço IP.

O serviço Cliente DNS e o serviço Servidor DNS oferecem suporte para o uso de atualizações dinâmicas, como descrito na RFC (Solicitação de comentários) 2136, "Atualizações dinâmicas no Sistema de Nomes de Domínio" (este texto pode estar em inglês). O serviço de Servidor DNS permite que a atualização dinâmica seja habilitada ou desabilitada por zonas em cada servidor que esteja configurado para carregar zonas primárias padrão ou integradas ao diretório. Por padrão, o serviço de Cliente DNS atualiza dinamicamente os registros de recursos de host (A) no DNS quando o serviço está configurado para TCP/IP.

Como os computadores cliente e servidor atualizam seus nomes DNS

Por padrão, os computadores que estão estaticamente configurados para TCP/IP tentam dinamicamente registrar registros de recursos de host (A) e de ponteiro (PTR) dos endereços IP configurados e usados por suas conexões de rede instaladas. Por padrão, todos os computadores registram registros com base em seu nome de domínio totalmente qualificado (FQDN).

O nome completo primário do computador, um FQDN, é baseado no sufixo DNS primário do computador, acrescentado ao seu nome de computador.

Considerações adicionais:

  • Por padrão, o cliente DNS não tenta fazer uma atualização dinâmica das zonas de domínio de nível superior (TLD). Qualquer zona que possua um nome de rótulo único é considerada uma zona TLD, por exemplo, edu, blank, my-company. Para configurar um cliente DNS para permitir a atualização dinâmica de zonas TLD, você pode usar a configuração de diretiva Atualizar Zonas de Domínio de Nível Superior ou pode modificar o Registro.

  • Por padrão, a parte do sufixo DNS primário do FQDN de um computador é igual ao nome do domínio AD DS (serviços de domínio Active Directory) do qual o computador faz parte. Para permitir o uso de sufixos DNS primários diferentes, o administrador do domínio pode criar uma lista restrita de sufixos permitidos modificando o atributo msDS-AllowedDNSSuffixes no contêiner do objeto de domínio. Esse atributo é gerenciado pelo administrador do domínio por meio das interfaces de serviço do Active Directory (ADSI) ou do LDAP (Lightweight Directory Access Protocol).

As atualizações dinâmicas podem ser enviadas por qualquer um dos motivos ou eventos a seguir:

  • Um endereço IP é adicionado, removido ou modificado na configuração das propriedades TCP/IP de qualquer uma das conexões de rede instaladas.

  • A concessão de um endereço IP muda ou renova com o servidor DHCP qualquer uma das conexões de rede instaladas. Por exemplo, quando computador é iniciado ou se o comando ipconfig /renew é usado.

  • O comando ipconfig /registerdns é usado para obrigar manualmente a atualização do registro de nome do cliente no DNS.

  • Na hora da inicialização, quando o computador é ligado.

  • Um servidor membro é promovido para controlador de domínio.

Quando um dos eventos anteriores dispara uma atualização dinâmica, o serviço de Cliente DHCP (não o serviço de Cliente DNS) envia atualizações. Isto é projetado para que se a mudança de informações de endereço IP ocorrer devido ao DHCP, sejam realizadas atualizações correspondentes no DNS para sincronizar os mapeamentos de nome-para-endereço do computador. O serviço de Cliente DHCP realiza esta função para todas as conexões de rede no sistema, incluindo as conexões que não estão configuradas para usar o DHCP.

Exemplo: Como a atualização dinâmica funciona

Normalmente, as atualizações dinâmicas são solicitadas quando muda o nome DNS ou o endereço IP do computador. Por exemplo, suponha que um cliente denominado oldhost seja configurado inicialmente nas Propriedades do sistema com os seguintes nomes.

Nome do computador

oldhost

Nome do domínio DNS do computador

tailspintoys.com

Nome completo do computador

oldhost.tailspintoys.com 

Neste exemplo, nenhum nome de domínio DNS específico da conexão está configurado para o computador. Posteriormente, o computador é renomeado de oldhost para newhost, resultando nas seguintes alterações de nome no sistema.

Nome do computador

newhost

Nome do domínio DNS do computador

tailspintoys.com

Nome completo do computador

newhost.tailspintoys.com 

Após aplicar a alteração de nome em Propriedades do sistema, você será solicitado a reiniciar o computador. Quando o computador reiniciar o Windows, o serviço de Cliente DHCP realizará a seguinte sequência para atualizar o DNS:

  1. O serviço de Cliente DHCP envia uma consulta do tipo início de autoridade (SOA) usando o nome de domínio DNS do computador.

    O computador cliente usa o FQDN atualmente configurado do computador (como newhost.tailspintoys.com) como o nome que está especificado nesta consulta.

  2. O servidor DNS autoritativo da zona que contém o FQDN do cliente responde à consulta do tipo SOA.

    Para as zonas primárias padrão, o servidor primário (proprietário) que é retornado na resposta da consulta SOA é fixo e estático. Ele sempre corresponde ao nome DNS exato conforme ele aparece no registro de recurso SOA que está armazenado com a zona. Se, contudo, a zona sendo atualizada estiver integrada ao diretório, qualquer servidor DNS que estiver carregando a zona poderá responder e inserir dinamicamente seu próprio nome como o servidor primário (proprietário) da zona na resposta da consulta SOA.

  3. O serviço de Cliente DHCP em seguida tenta contatar o servidor DNS primário.

    O cliente processa a resposta da consulta SOA para seu nome para determinar o endereço IP do servidor DNS que está autorizado como o servidor primário para aceitar seu nome. Em seguida, ele passa a realizar a seguinte sequência de etapas conforme o necessário para contatar e atualizar dinamicamente seu servidor primário:

    1. Ele envia uma solicitação de atualização dinâmica para o servidor primário que está determinado na resposta da consulta SOA.

      Se a atualização for bem-sucedida, nenhuma outra ação será executada.

    2. Se esta atualização falhar, o cliente em seguida enviará uma consulta do tipo servidor de nomes (NS) para o nome da zona que estiver especificada no registro SOA.

    3. Quando receber a resposta desta consulta, enviará uma consulta SOA para o primeiro servidor DNS que estiver listado na resposta.

    4. Depois que a consulta SOA for resolvida, o cliente enviará uma atualização dinâmica para o servidor que estiver especificado no registro SOA retornado.

      Se a atualização for bem-sucedida, nenhuma outra ação será executada.

    5. Se esta atualização falhar, o cliente repetirá o processo de consulta SOA enviando para o próximo servidor DNS que estiver listado na resposta.

  4. Depois que for contatado o servidor primário que pode realizar a atualização, o cliente enviará a solicitação de atualização e o servidor a processará.

    O conteúdo da solicitação de atualização inclui instruções para adicionar registros de recursos de host (A) (e possivelmente de ponteiro (PTR)) de newhost.tailspintoys.com e para remover estes mesmos tipos de registro de oldhost.tailspintoys.com, o nome que estava registrado anteriormente.

    O servidor também verifica para assegurar que as atualizações são permitidas para a solicitação do cliente. Para zonas primárias padrão, as atualizações dinâmicas não são protegidas; portanto, qualquer tentativa de atualização pelo cliente é bem-sucedida. Para zonas integradas ao AD DS, as atualizações são protegidas e realizadas usando configurações de segurança baseadas em diretório.

As atualizações dinâmicas são enviadas ou atualizadas periodicamente. Por padrão, os computadores enviam uma atualização uma vez a cada sete dias. Se a atualização não resultar em alterações nos dados da zona, a zona permanecerá em sua versão atual e nenhuma alteração será gravada. As atualizações só resultam em alterações de zona reais ou em maior transferência de zona se os nomes ou endereços realmente mudarem.

Quando o serviço de Cliente DHCP registra registros de recursos de host (A) e ponteiro (PTR) do computador, ele usa uma vida útil (TTL) do cache padrão de 15 minutos para registros de host. Isto determina o tempo que outros servidores e clientes DNS têm para armazenar em cache os registros do computador quando os registros estão incluídos na resposta da consulta.

Atualização dinâmica segura

A segurança para as atualizações DNS só está disponível para as zonas que estão integradas ao AD DS. Ao integrar uma zona ao diretório, estão disponíveis recursos de edição para a lista de controle de acesso (ACL) no Gerenciador DNS para que você possa adicionar ou remover usuários ou grupos da ACL de uma zona ou de um registro de recurso específicos.

Por padrão, a segurança das atualizações dinâmicas para servidores e clientes DNS pode ser tratada da seguinte maneira:

  • Os clientes DNS tentam usar primeiro a atualização dinâmica não segura. Se a atualização não segura for recusada, os clientes tentarão usar a atualização segura.

    Além disso, os clientes usam uma política de atualização padrão que permite que eles tentem substituir um registro de recurso anteriormente registrado, a não ser que eles sejam especificamente bloqueados pela segurança da atualização.

  • Após a zona tornar-se integrada ao AD DS, os servidores DNS executando o Windows Server® 2008, por padrão, só permitirão atualizações dinâmicas seguras.

    Quando você usa o armazenamento de zona padrão, o serviço de Servidor DNS, por padrão, não permite atualizações dinâmicas em suas zonas. Para as zonas que estão integradas ao diretório ou que usam armazenamento padrão baseado em arquivos, você pode alterar a zona para permitir todas as atualizações dinâmicas, permitindo que todas as atualizações sejam aceitas.


Sumário