Os computadores cliente de DNS (Sistema de Nomes de Domínio) podem utilizar actualização dinâmica para registar e actualizar dinamicamente os respectivos registos de recursos com um servidor DNS sempre que ocorre uma alteração. Isto reduz a necessidade de administração manual dos registos da zona, especialmente para clientes que movem ou alteram frequentemente as localizações e utilizam DHCP (Dynamic Host Configuration Protocol) para obter um endereço IP.

O serviço Cliente DNS e o serviço Servidor DNS suportam a utilização de actualizações dinâmicas, conforme descrito no RFC (Request for Comments) 2136, "Actualizações Dinâmicas no Sistema de Nomes de Domínio". O serviço Servidor DNS permite a activação ou desactivação da actualização dinâmica por zona em cada servidor configurado para carregar uma zona primária padrão ou uma zona integrada no directório. Por predefinição, o serviço Cliente de DNS actualiza dinamicamente os registos de recursos do anfitrião (A) no DNS quando o serviço está configurado para TCP/IP.

Como os computadores cliente e servidor actualizam os respectivos nomes de DNS

Por predefinição, os computadores que estão configurados estaticamente para TCP/IP tentam registar dinamicamente registos de recursos de anfitrião (A) e registos de recursos de apontador (PTR) para endereços IP que são configurados e utilizados pelas respectivas ligações de rede instaladas. Por predefinição, todos os computadores registam recursos com base no nome de domínio completamente qualificado (FQDN).

O nome completo do computador principal, um FQDN, baseia-se no sufixo de DNS primário de um computador, anexado ao respectivo nome do computador.

Considerações adicionais:

  • Por predefinição, o cliente de DNS não tenta actualização dinâmica de zonas de domínio de nível superior (TLD). Qualquer zona que seja nomeada com um nome simples é considerada como uma zona de TLD, por exemplo, com, edu, blank, minha-empresa. Para configurar um cliente de DNS de modo a permitir a actualização dinâmica de zonas de TLD, pode utilizar a definição de política Actualizar Zonas de Domínio de Nível Superior ou pode modificar o registo.

  • Por predefinição, a parte do sufixo de DNS primário do FQDN de um computador é igual ao nome do domínio de Serviços de Domínio do Active Directory (AD DS) ao qual o computador foi associado. Para permitir a utilização de sufixos de DNS primários diferentes, um administrador de domínio pode criar uma lista restrita de sufixos permitidos modificando o atributo msDS-AllowedDNSSuffixes no contentor do objecto de domínio. Este atributo é gerido pelo administrador de domínio utilizando Interfaces de Serviço do Active Directory (ADSI) ou o protocolo LDAP (Lightweight Directory Access Protocol).

As actualizações dinâmicas podem ser enviadas por qualquer uma das seguintes razões ou eventos:

  • Um endereço IP é adicionado, removido ou modificado na configuração das propriedades de TCP/IP de qualquer uma das ligações de rede instaladas.

  • Uma concessão de endereço IP muda ou renova no servidor de DHCP qualquer uma das ligações de rede instaladas. Por exemplo, quando o computador é iniciado ou se o comando ipconfig /renew for utilizado.

  • O comando ipconfig /registerdns é utilizado para forçar manualmente uma actualização do registo de nome do cliente no DNS.

  • No momento do arranque, quando o computador é ligado.

  • Um servidor membro é promovido a controlador de domínio.

Quando um dos eventos anteriores acciona uma actualização dinâmica, o serviço Cliente de DHCP (não o serviço Cliente de DNS) envia actualizações. Isto foi concebido de forma a que, se ocorrer uma alteração à informação de endereço IP por causa do DHCP, são efectuadas as actualizações de DNS correspondentes para sincronizar os mapeamentos de nomes e endereços do computador. O serviço Cliente de DHCP executa esta função para todas as ligações de rede no sistema, incluindo ligações que não estão configuradas para utilizar DHCP.

Exemplo: Como funciona a actualização dinâmica

Normalmente, as actualizações dinâmicas são solicitadas quando um nome de DNS ou um endereço IP muda no computador. Por exemplo, suponha que um cliente chamado oldhost é configurado pela primeira vez nas Propriedades do sistema com os seguintes nomes.

Nome do computador

oldhost

Nome do domínio DNS do computador

tailspintoys.com

Nome completo do computador

oldhost.tailspintoys.com 

Neste exemplo, não estão configurados nomes de domínio de DNS específicos de ligação para o computador. Mais tarde, o nome do computador é alterado de oldhost para newhost, o que resulta nas seguintes alterações de nome no sistema.

Nome do computador

newhost

Nome do domínio DNS do computador

tailspintoys.com

Nome completo do computador

newhost.tailspintoys.com 

Depois de aplicar a alteração de nome em Propriedades do sistema, é-lhe pedido para reiniciar o computador. Quando o computador reinicia o Windows, o serviço Cliente de DHCP efectua a seguinte sequência para actualizar o DNS:

  1. O serviço Cliente de DHCP envia uma consulta de tipo início de autoridade (SOA) utilizando o nome do domínio de DNS do computador.

    O computador cliente utiliza o FQDN presentemente configurado do computador (tal como, newhost.tailspintoys.com) como o nome que é especificado nesta consulta.

  2. O servidor DNS autoritativo da zona que contém o FQDN do cliente responde à consulta de tipo SOA.

    Para zonas primárias padrão, o servidor primário (proprietário) que é devolvido na resposta à consulta SOA é fixo e estático. Corresponde sempre ao nome de DNS exacto, tal como aparece no registo de recursos de SOA que foi armazenado com a zona. No entanto, se a zona que está a ser actualizada está integrada num directório, qualquer servidor DNS que esteja a carregar a zona poderá responder e inserir dinamicamente o respectivo nome como servidor primário (proprietário) da zona na resposta à consulta SOA.

  3. O serviço Cliente de DHP tenta, em seguida, contactar o servidor DNS primário.

    O cliente processa a resposta à consulta SOA para o seu nome, para determinar o endereço IP do servidor DNS que está autorizado como o servidor primário para aceitar o seu nome. Continua, em seguida, com a seguinte sequência de passos, que são necessários para contactar e actualizar dinamicamente o respectivo servidor primário.

    1. Envia um pedido de actualização dinâmica para o servidor primário que é determinado na resposta à consulta SOA.

      Se a actualização for bem sucedida, não será efectuada mais nenhuma acção.

    2. Se esta actualização falhar, o cliente envia em seguida uma consulta de tipo de servidor de nomes (NS) para o nome da zona especificado no registo SOA.

    3. Quando recebe uma resposta a esta consulta, envia uma consulta SOA ao primeiro servidor DNS que está listado na resposta.

    4. Depois da consulta ser resolvida, o cliente envia uma actualização dinâmica para o servidor que está especificado no registo SOA devolvido.

      Se a actualização for bem sucedida, não será efectuada mais nenhuma acção.

    5. Se esta actualização falhar, o cliente repete o processo de consulta SOA enviando para o servidor de DNS seguinte listado na resposta.

  4. Depois do servidor primário que pode efectuar a actualização ser contactado, o cliente envia o pedido de actualização e o servidor processa-o.

    O conteúdo do pedido de actualização inclui instruções para adicionar registos de recursos de anfitrião (A) (e possivelmente de apontador (PTR)) a newhost.tailspintoys.com e para remover esses mesmos tipos de registo de oldhost.tailspintoys.com, o nome que foi registado anteriormente.

    O servidor também faz uma verificação para garantir que são permitidas actualizações para o pedido do cliente. Para zonas primárias padrão, as actualizações dinâmicas não são protegidas; por isso, qualquer tentativa de cliente de actualizar é bem sucedida. No caso de zonas integradas em AD DS, as actualizações são seguras e efectuadas utilizando definições de segurança baseadas no directório.

As actualizações dinâmicas são enviadas ou actualizadas periodicamente. Por predefinição, os computadores enviam uma actualização semanal (sete dias). Se a actualização resultar em nenhuma alteração aos dados da zona, esta permanece na versão actual e não são escritas alterações. As actualizações só resultam em alterações de zona ou em aumento de transferência de zonas, se os nomes ou endereços mudarem realmente.

Quando o serviço Cliente de DHCP registar registos de recursos de anfitrião (A) e de apontador (PTR) para um computador, ele utiliza uma colocação em cache predefinida TTL de 15 minutos para os registos do anfitrião. Isto determina quanto tempo outros servidores e clientes DNS levam a colocar em cache os registos de um computador, quando os registos estão incluídos numa resposta a uma consulta.

Actualização dinâmica segura

A segurança de actualização de DNS apenas está disponível para zonas que estão integradas no AD DS. Quando integra uma zona num directório, estão disponíveis funcionalidades de edição da lista de controlo de acesso (ACL) no Gestor de DNS, para poder adicionar ou remover utilizadores ou grupos da ACL para uma zona ou registo de recursos especificado.

Por predefinição, a segurança de actualização dinâmica de servidores e clientes de DNS pode ser tratada da seguinte maneira:

  • Os clientes de DNS tentam utilizar primeiro actualização dinâmica não segura. Se uma actualização não segura é recusada, os clientes tentam utilizar actualização segura.

    Além disso, os clientes utilizam uma política de actualização predefinida que lhes permite tentar substituir um registo de recursos registado anteriormente, a menos que sejam especificamente bloqueados pela segurança de actualização.

  • Depois de uma zona se tornar integrada no AD DS, os servidores DNS que executam o Windows Server® 2008 assumem a predefinição de permitir apenas actualizações dinâmicas seguras.

    Quando utiliza armazenamento de zonas padrão, a predefinição para o serviço Servidor DNS é não permitir actualizações dinâmicas nas respectivas zonas. No caso de zonas que estão integradas no directório ou que utilizam armazenamento padrão baseado em ficheiro, pode alterar a zona para permitir todas as actualizações dinâmicas, o que permite que todas as actualizações sejam aceites.


Sumário