Por padrão, um serviço de Servidor DNS que está sendo executado em um computador multihomed é configurado para escutar consultas DNS usando todos os endereços IP. Você pode tornar o servidor DNS mais seguro limitando os endereços IP nos quais o serviço de Servidor DNS escuta ao endereço IP usado pelos clientes DNS, como o servidor DNS preferencial.
Ser membro do grupo Administradores ou equivalente é o mínimo exigido para execução deste procedimento. Revise os detalhes sobre o uso de contas e associações a grupos apropriadas em
Restringindo um servidor DNS a escutar somente em endereços selecionados
Para restringir um servidor DNS a escutar somente em endereços selecionados, usando a interface do Windows |
Abra o Gerenciador de DNS.
Na árvore de console, clique no servidor DNS aplicável.
Onde?
-
DNS/servidor DNS aplicável
-
DNS/servidor DNS aplicável
No menu Ação, clique em Propriedades.
Na guia Interfaces, clique em Apenas nos seguintes endereços IP:.
Em Endereço IP, digite um endereço IP que será ativado para esse servidor DNS e, em seguida, clique em Adicionar.
Repita a etapa anterior, conforme necessário, para especificar outros endereços IP de servidor a serem ativados para esse servidor DNS.
Para remover um endereço IP da lista, clique nele e em Remover.
Considerações adicionais
-
Para abrir o Gerenciador de DNS, clique em Iniciar, aponte para Ferramentas Administrativas e clique em DNS.
-
Por padrão, o serviço de Servidor DNS escuta comunicações de mensagem DNS em todos os endereços IP configurados para o computador servidor.
-
Os endereços IP de servidor adicionados aqui devem ser gerenciados estaticamente. Se, posteriormente, você alterar ou remover os endereços especificados aqui das configurações de TCP/IP que são mantidas nesse servidor, atualize essa lista também.
-
Depois de atualizar ou alterar a lista de interfaces restritas, interrompa o servidor DNS e reinicie-o para aplicar a nova lista.
-
A restrição do serviço de Servidor DNS para escutar somente em endereços IP específicos é uma medida eficaz de segurança, porque apenas os hosts da mesma sub-rede da rede ou os hosts com um roteador que os conecta ao mesmo segmento terão acesso ao servidor.
Para restringir um servidor DNS a escutar somente em endereços selecionados, usando uma linha de comando |
Abra um prompt de comando.
Digite o comando a seguir e pressione ENTER:
dnscmd <ServerName> /ResetListenAddresses [<ListenAddress> ...]
Parâmetro | Descrição |
---|---|
dnscmd |
Especifica o nome da ferramenta de linha de comando para gerenciar servidores DNS. |
<ServerName> |
Obrigatório. Especifica o nome de host DNS do servidor DNS. Você pode também digitar o endereço IP do servidor DNS. Para especificar o servidor DNS no computador local, digite um ponto (.). |
/ResetListenAddresses |
Obrigatório. Redefine os endereços IP das interfaces em que o servidor DNS escuta. |
<ListenAddress> ... |
Especifica um ou mais endereços IP das interfaces em que o servidor DNS deverá escutar. Por padrão, o serviço de Servidor DNS escuta comunicações de mensagem DNS em todos os endereços IP configurados para o computador servidor. |
Para ver a sintaxe completa deste comando, no prompt de comando, digite o comando a seguir e pressione ENTER:
dnscmd <ServerName> /ResetListenAddresses /help
Considerações adicionais
-
Para abrir uma janela de Prompt de Comando privilegiada, clique em Iniciar, aponte para Todos os Programas, clique em Acessórios, clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador.
-
Os endereços IP de servidor adicionados aqui devem ser gerenciados estaticamente. Se, posteriormente, você alterar ou remover os endereços especificados aqui das configurações de TCP/IP que são mantidas nesse servidor, atualize essa lista também.
-
Depois de atualizar ou alterar a lista de interfaces restritas, interrompa o servidor DNS e reinicie-o para aplicar a nova lista.
-
A restrição do serviço de Servidor DNS para escutar somente em endereços IP específicos é uma medida eficaz de segurança, porque apenas os hosts da mesma sub-rede da rede ou os hosts com um roteador que os conecta ao mesmo segmento terão acesso ao servidor.