Início | Como Aprender Windows

Aprenda o Active Directory do Zero 100% Curso Gratuito

>> O link será enviado via Whatsapp, Para receber o link do curso preencha o campo ao lado.

Active Directory Leonardo Duarte

Práticas recomendadas de DNS do Active Directory

9 Práticas recomendadas de DNS do Active Directory

Por que a configuração do DNS é essencial?

A rede de computadores é possível através do sistema de nomes de domínio (DNS). Sem o DNS, todas as comunicações em rede seriam paralisadas. O Active Directory (AD) também depende de uma infraestrutura DNS adequada para uma operação eficaz. Um DNS mal configurado leva a uma ampla gama de problemas, como falhas de autenticação e replicação, impedindo que novos computadores sejam adicionados ao seu domínio, problemas de processamento de Diretiva de Grupo e muito mais. Aqui estão nove práticas recomendadas de servidor DNS que ajudarão você a evitar uma falha completa de DNS.

1) Garanta alta disponibilidade para uma experiência de failover perfeita

Ter apenas um servidor DNS em seu site pode afetar o funcionamento de todo o seu ambiente AD quando esse servidor ficar inativo. Garanta a redundância configurando pelo menos dois servidores DNS em um site, para que, mesmo que o servidor primário tenha um problema, o servidor secundário assuma o controle imediatamente sem interromper os serviços críticos.

2) Utilize zonas DNS integradas ao Active Directory

Ao instalar a função de servidor DNS em um controlador de domínio (DC), você pode aproveitar as zonas integradas ao AD que simplificam a replicação de DNS e oferecem segurança aprimorada. Essas zonas armazenam dados em partições de diretório no banco de dados do AD. Esses dados são replicados junto com o restante do AD, eliminando a necessidade de configurar transferências de zona. As zonas integradas ao AD também permitem atualizações dinâmicas seguras, impedindo que clientes não autorizados atualizem os registros DNS.

As zonas integradas do AD têm as seguintes vantagens:

  • Replicação: as zonas integradas do AD armazenam dados no banco de dados do AD como objetos de contêiner. Isso permite que as informações da zona sejam replicadas automaticamente para outros controladores de domínio. As informações da zona são compactadas, permitindo que os dados sejam replicados de forma rápida e segura para outros servidores.
  • Redundância: como as informações da zona são replicadas automaticamente, isso evita um único ponto de falha para o DNS. Se um servidor DNS falhar, o outro servidor terá uma cópia completa das informações DNS e poderá resolver nomes para clientes.
  • Simplicidade: as zonas AD Integradas são atualizadas automaticamente sem a necessidade de configurar transferências de zona. Isso simplifica a configuração enquanto garante a redundância.
  • Segurança: se você habilitar atualizações dinâmicas seguras, somente clientes autorizados poderão atualizar seus registros em zonas DNS. Em poucas palavras, isso significa que apenas membros do domínio DNS podem se registrar no servidor DNS. O servidor DNS nega solicitações de computadores que não fazem parte do domínio.

3) Definir endereço de loopback como DNS secundário para DCs

Para um servidor DNS, definir seu endereço de loopback como DNS primário melhora seu desempenho e aumenta sua disponibilidade. No entanto, para um DC com uma função DNS, a Microsoft sugere que seu DNS primário aponte para qualquer outro DC no site e o DNS secundário aponte para si mesmo (endereço de loopback). Isso pode ajudar a evitar atrasos durante a inicialização.

4) Aponte computadores ingressados no domínio para servidores DNS internos

Em um domínio, todos os dispositivos devem poder se comunicar entre si. Isso é obtido somente quando os computadores ingressados no domínio são configurados para usar servidores DNS internos para resolução de nomes, pois os servidores DNS externos não podem resolver nomes de host para dispositivos internos. Em ambientes internos, defina o DNS primário e secundário para servidores de nomes internos em todas as máquinas clientes no domínio.

Normalmente, se o servidor DNS primário estiver disponível, ele será usado primeiro, mas pode não responder, o que pode resultar no uso do DNS secundário. Pode ser necessário reiniciar o computador para que ele volte para o DNS primário, o que pode resultar em usuários frustrados e chamadas para o suporte técnico.

A solução recomendada é ter dois servidores DNS internos e sempre apontar clientes para eles em vez de um servidor externo.

5) Use o servidor DNS mais próximo

Em uma grande organização, as máquinas cliente que consultam um servidor remoto de um site diferente com uma solicitação de DNS aumentam o tempo de resposta. Isso ocorre porque a consulta percorre links de WAN mais lentos, levando a tempos de carregamento mais longos para os usuários. Em um ambiente de vários sites, é melhor apontar as máquinas cliente para um servidor DNS local dentro do site para reduzir o tempo de resposta.

6) Configure o envelhecimento e a eliminação de registros DNS obsoletos

É possível que as máquinas clientes registrem várias entradas DNS durante a realocação ou quando elas são removidas e adicionadas novamente ao domínio. Isso pode resultar em problemas de resolução de nomes levando a problemas de conectividade. A configuração de duração e eliminação garante que os registros DNS obsoletos (registros DNS que não estão em uso) sejam removidos do DNS automaticamente.

O envelhecimento e a eliminação de DNS permitem a remoção automática de registros DNS antigos não utilizados. Este é um processo de duas partes:

Envelhecimento: os registros DNS recém-criados recebem um carimbo de data/hora aplicado.

Limpeza: remove os registros DNS que têm um carimbo de data/hora desatualizado com base no horário configurado.

Por que isso é necessário?

Haverá momentos em que os computadores registrarão várias entradas DNS com endereços IP diferentes. Isso pode ser causado por computadores que se deslocam para locais diferentes, computadores sendo recriados, computadores sendo descartados e adicionados novamente ao domínio.

Ter várias entradas DNS causará problemas de resolução de nomes que resultam em problemas de conectividade. O envelhecimento e a eliminação do DNS resolverão isso excluindo automaticamente o registro DNS que não está em uso.

A duração e a eliminação só se aplicam a registros de recursos DNS que são adicionados dinamicamente.

7) Ativar registro de DNS

Os logs de DNS ajudam a monitorar a atividade de DNS de forma eficaz. Além de rastrear a atividade do cliente, eles fornecem informações essenciais sobre problemas envolvendo erros de DNS, consultas ou atualizações. Os logs de depuração de DNS também destacam vestígios de envenenamento de cache que ocorre quando um invasor se intromete nos dados de DNS armazenados no cache, fazendo com que os clientes sejam redirecionados para sites maliciosos. Embora o log de depuração do DNS tenha um impacto no desempenho geral do servidor, é recomendável habilitá-lo para aprimorar a segurança do DNS.

8) Configurar listas de controle de acesso (ACLs)

Os dados do servidor DNS são informações confidenciais esperando para serem exploradas por invasores. É por isso que é importante proteger seus servidores DNS permitindo o acesso apenas a seus administradores. Isso pode ser feito configurando as ACLs para permitir conexões de entrada para servidores de nomes somente de hosts específicos para que os usuários autorizados sozinhos possam acessar seus servidores DNS.

9) Acompanhe as alterações de DNS

Em um grande ambiente de TI, qualquer alteração no DNS pode facilmente passar despercebida. Quando tais alterações são feitas por usuários mal-intencionados, a segurança de toda a rede fica comprometida. Mantenha o controle de todas as alterações em seus nós DNS, zonas e permissões para garantir um ambiente AD seguro.

10) Root Hints vs DNS Forwarders

Por padrão, os servidores DNS do Windows são configurados para usar servidores de dica de raiz para pesquisas externas. Outra opção para pesquisas externas é usar encaminhadores.

Basicamente, ambas as opções são maneiras de resolver nomes de host que seus servidores internos não podem resolver.

Então qual é o melhor?

Através da minha própria experiência e pesquisa, tudo se resume a preferência pessoal.

Aqui estão algumas diretrizes gerais que ajudarão você a decidir:

  • Use dicas de raiz se sua principal preocupação for a confiabilidade (padrão do Windows)
  • Os encaminhadores podem fornecer pesquisas de DNS mais rápidas. Você pode usar ferramentas de benchmarking para testar os tempos de resposta de pesquisa, link incluído na seção de recursos.
  • Os encaminhadores também podem fornecer aprimoramentos de segurança (mais sobre isso abaixo)
  • Os encaminhadores devem ser configurados manualmente em cada DC

 

#Dns #ActiveDirectory #AD #gpo

As 25 melhores práticas recomendadas de segurança do Active Directory

Sistema de Nomes de Domínio – DNS

 

Sobre o autor | Website

Meu nome é Leonardo Duarte sou profissional de TI com mais de 18 anos de experiência em produtos da Microsoft. Possuo diversas certificações: MCP/MCT/MCTS/MCSA/MCSE

Que tal um Curso Microsoft Gratuito com Certificado Internacional? Não fiquede fora junte-se aos 1100 alunos já inscritos.

Aprenda o Active Directory do Zero - Curso 100% Gratuito Para receber o link do curso preencha o campo abaixo.




Por gentileza, se deseja alterar o arquivo do rodapé,
entre em contato com o suporte.