70-413 - DNS

70-413 DNS

Este documento é fornecido "no estado em que se encontra". As informações e ideias expressas neste documento, inclusive referências a URLs e a outros sitesda Internet, podem ser alteradas sem aviso prévio. Este documento não lhe concede nenhum direito legal sobre nenhuma propriedade intelectual ou sobre

produtos ou nomes de produtos da Microsoft. Você pode copiar e usar este documento para suas finalidades internas e de referência. Você pode modificareste documento para suas finalidades internas e de referência. © 2013 Microsoft. Todos os direitos reservados. Termos de uso

(http://technet.microsoft.com/cc300389.aspx) | Marcas comerciais (http://www.microsoft.com/library/toolbar/3.0/trademarks/en-us.mspx)

Table Of ContentsCriando o design de uma infraestrutura DND

Revisando conceitos de DNS

Criando o design de uma infra-estrutura de DNS

DNS e AD DS

http://technet.microsoft.com/pt-br/library/cc731879(v=ws.10).aspx



Criando o design de uma infraestrutura DND

Revisando conceitos de DNSAtualizado: abril de 2012

Aplica-se a: Windows Server 2008, Windows Server 2008 R2, Windows Server 8 Beta

O DNS ﴾sistema de nomes de domínios﴿ é um banco de dados distribuído que representa um namespace. O namespace contém todas as informações necessárias paraos clientes pesquisarem qualquer nome. Qualquer servidor DNS pode responder a consultas sobre qualquer nome contido no namespace. Um servidor DNS responde a

consultas de uma destas formas:

Se a resposta estiver em cache, ele responderá à consulta a partir do cache.

Se a resposta estiver em uma zona hospedada pelo servidor DNS, ele responderá à consulta a partir dessa zona. Uma zona é uma parte da árvore DNSarmazenada em um servidor DNS. Quando um servidor DNS hospeda uma zona, ele é autoritativo em relação aos nomes dessa zona, ou seja, o servidor DNSpode responder às consultas de quaisquer nomes contidos na zona. Por exemplo, um servidor que hospede a zona contoso.com pode responder a consultas dequaisquer nomes contidos em contoso.com.

Se não for possível o servidor responder à consulta a partir de seu cache ou suas zonas, ele consultará outros servidores para obter resposta.

É importante conhecer os principais recursos do DNS, como a delegação, a resolução recursiva de nomes e as zonas DNS integradas ao Active Directory, porque elesimpactam diretamente o design da estrutura lógica do Active Directory.

Para obter mais informações sobre o DNS e o AD DS ﴾Serviços de Domínio Active Directory﴿, consulte DNS e AD DS.

Delegação

Para que um servidor DNS responda a consultas de nomes, ele precisa ter um caminho direto ou indireto para todas as zonas do namespace. Esses caminhos sãocriados por meio da delegação. Uma delegação é um registro de uma zona pai que relaciona um servidor de nomes que é autoritativo para a zona no nível seguinteda hierarquia. As delegações permitem que os servidores de uma zona façam referência a clientes para servidores de outras zonas. A ilustração a seguir mostra umexemplo de delegação.

O servidor DNS raiz hospeda a zona raiz representada por um ponto ﴾ . ﴿. A zona raiz contém uma delegação para uma zona no nível seguinte da hierarquia, a zonacom. A delegação da zona raiz informa ao servidor DNS raiz que, para localizar a zona com, é necessário entrar em contato com o servidor Com. Da mesma forma, adelegação da zona com informa o servidor Com que, para localizar a zona contoso.com, é necessário entrar em contato com o servidor Contoso.

Observação

Uma delegação utiliza dois tipos de registro. O registro de recurso do servidor de nomes ﴾NS﴿ fornece o nome de um servidor autoritativo. Os registros de recursode hosts ﴾A﴿ e ﴾AAAA﴿ fornecem endereços IP versão 4 ﴾IPv4﴿ e versão 6 ﴾IPv6﴿ de um servidor autoritativo.

Esse sistema de zonas e delegações cria uma árvore hierárquica que representa o namespace DNS. Cada zona representa uma camada da hierarquia e cadadelegação representa uma ramificação da árvore.

O servidor DNS raiz pode localizar qualquer nome no namespace DNS usando a hierarquia de zonas e delegações. A zona raiz inclui delegações que levam, direta ouindiretamente, a todas as outras zonas da hierarquia. Qualquer servidor que pode consultar o servidor DNS raiz pode usar as informações nas delegações paralocalizar quaisquer nomes contidos no namespace.

Resolução recursiva de nomes

A resolução recursiva de nomes é o processo pelo qual um servidor DNS utiliza a hierarquia de zonas e delegações para responder a consultas para as quais ele nãoé autoritativo.

Em algumas configurações, os servidores DNS incluem dicas de raiz, ou seja, uma lista de nomes e endereços IP, que lhes permite consultar os servidores DNS raiz. Emoutras configurações, os servidores encaminham todas as consultas que eles não podem responder para outro servidor. O encaminhamento e as dicas de raiz sãométodos que os servidores DNS podem utilizar para resolver consultas para as quais eles não são autoritativos.


Resolvendo nomes usando dicas de raiz

As dicas de raiz permitem que qualquer servidor DNS localize os servidores DNS raiz. Depois que um servidor DNS localiza o servidor DNS raiz, ele pode resolver

qualquer consulta relativa a esse namespace. A ilustração a seguir descreve como o DNS resolve um nome usando dicas de raiz.

Neste exemplo, ocorrem os seguintes eventos:

1. Um cliente envia uma consulta recursiva a um servidor DNS para solicitar o endereço IP correspondente ao nome ftp.contoso.com. Uma consulta recursivaindica que o cliente deseja uma resposta definitiva para a consulta. A resposta à consulta recursiva deverá ser um endereço válido ou uma mensagemindicando que não foi possível localizar o endereço.

2. Como o servidor DNS não é autoritativo em relação ao nome e não tem a resposta em cache, ele usa as dicas de raiz para localizar o endereço IP doservidor DNS raiz.

3. O servidor DNS utiliza uma consulta iterativa para solicitar ao servidor DNS raiz a resolução do nome ftp.contoso.com. Uma consulta iterativa indica que oservidor aceitará uma referência a outro servidor em lugar de uma resposta definitiva para a consulta. Como o nome ftp.contoso.com termina com o rótulocom, o servidor DNS raiz retorna uma referência ao servidor Com que hospeda a zona com.

4. O servidor DNS utiliza uma consulta iterativa para solicitar ao servidor Com a resolução do nome ftp.contoso.com. Como o nome ftp.contoso.com terminacom o nome contoso.com, o servidor Com retorna uma referência ao servidor Contoso que hospeda a zona contoso.com.

5. O servidor DNS utiliza uma consulta iterativa para solicitar ao servidor Contoso a resolução do nome ftp.contoso.com. O servidor Contoso localiza a respostanos dados da zona e a retorna para o servidor.

6. Em seguida, o servidor retorna o resultado ao cliente.

Resolvendo nomes usando o encaminhamento

O encaminhamento permite rotear a resolução de nomes por meio de servidores específicos, em vez de usar dicas de raiz. A ilustração a seguir descreve como oDNS resolve um nome usando o encaminhamento.


1. Um cliente consulta o nome ftp.contoso.com em um servidor DNS.

2. O servidor DNS encaminha a consulta para outro servidor DNS, conhecido como encaminhador.

3. Como o encaminhador não é autoritativo em relação ao nome e não tem a resposta em cache, ele usa as dicas de raiz para localizar o endereço IP doservidor DNS raiz.

4. O encaminhador utiliza uma consulta iterativa para solicitar ao servidor DNS raiz a resolução do nome ftp.contoso.com. Como o nome ftp.contoso.comtermina com o nome com, o servidor DNS raiz retorna uma referência ao servidor Com que hospeda a zona com.

5. O encaminhador utiliza uma consulta iterativa para solicitar ao servidor Com a resolução do nome ftp.contoso.com. Como o nome ftp.contoso.com terminacom o nome contoso.com, o servidor Com retorna uma referência ao servidor Contoso que hospeda a zona contoso.com.

6. O encaminhador utiliza uma consulta iterativa para solicitar ao servidor Contoso a resolução do nome ftp.contoso.com. O servidor Contoso localiza aresposta nos arquivos da zona e a retorna para o servidor.

7. Em seguida, o encaminhador retorna o resultado ao servidor DNS original.

8. Por fim, o servidor DNS original retorna o resultado ao cliente.

© 2014 Microsoft

Criando o design de uma infra-estrutura de DNSAtualizado: abril de 2012


Depois de criar os designs de floresta e de domínios do Active Directory, é necessário projetar uma infra‐estrutura DNS ﴾sistema de nomes de domínios﴿ para darsuporte à estrutura lógica do Active Directory. O DNS permite que os usuários usem nomes amigáveis que sejam fáceis de lembrar ao conectar‐se a computadores e aoutros recursos de redes IP. O AD DS ﴾Serviços de Domínio Active Directory﴿ no Windows Server 2008 requer o DNS.

O processo de design do DNS para dar suporte ao AD DS varia de acordo com o fato de a organização já ter um serviço Servidor DNS ou se está sendo implantado umnovo serviço Servidor DNS:

Se já houver uma infra‐estrutura DNS, integre o namespace do Active Directory a esse ambiente. Para obter mais informações, consulte Integrando o AD DS a uma

infra-estrutura de DNS existente.

Se você não tiver uma infra‐estrutura DNS, deverá projetá‐la e implantá‐la para oferecer suporte ao AD DS. Para obter mais informações, consulte Implantando osistema de nomes de domínios ﴾DNS﴿ ﴾http://go.microsoft.com/fwlink/?LinkId=93656; essa página pode estar em inglês﴿.

Se a organização tiver uma infra‐estrutura DNS, você precisa compreender como a infra‐estrutura DNS interagirá com o namespace do Active Directory. Para obter umaplanilha que o ajude a documentar o design da infra‐estrutura DNS existente, faça download do arquivoJob_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip nos Auxílios de trabalho do Kit de Implantação do Windows Server 2003(http://go.microsoft.com/fwlink/?LinkID=102558; essa página pode estar em inglês﴿ e abra "Inventário de DNS" ﴾DSSLOGI_8.doc﴿.

Observação

Além dos endereços IP versão 4 ﴾IPv4﴿, o Windows Server 2008 oferece suporte também para endereços IP versão 6 ﴾IPv6﴿. Para obter uma planilha que o ajude nalistagem dos endereços IPv6 durante a documentação do método de resolução recursiva de nomes da estrutura DNS atual, consulte o Apêndice A: inventário DNS.

Antes de projetar a infra‐estrutura DNS para dar suporte ao AD DS, pode ser útil você ler sobre a hierarquia DNS, o processo de resolução de nomes DNS e como oDNS dá suporte ao AD DS. Para obter mais informações sobre a hierarquia DNS e o processo de resolução de nomes, consulte a Referência técnica do DNS(http://go.microsoft.com/fwlink/?LinkId=48145; essa página pode estar em inglês﴿. Para obter mais informações sobre como o DNS dá suporte ao AD DS, consulte aReferência técnica de suporte do DNS ao Active Directory ﴾http://go.microsoft.com/fwlink/?LinkId=48147; essa página pode estar em inglês﴿.

Nesta seção

Revisando conceitos de DNS

DNS e AD DS

Atribuindo o DNS para a Função de Proprietário do AD DS

Integrando o AD DS a uma infra-estrutura de DNS existente

© 2014 Microsoft


http://go.microsoft.com/fwlink/?LinkId=93656

http://go.microsoft.com/fwlink/?LinkID=102558








Revisando conceitos de DNSAtualizado: abril de 2012


O DNS ﴾sistema de nomes de domínios﴿ é um banco de dados distribuído que representa um namespace. O namespace contém todas as informações necessárias paraos clientes pesquisarem qualquer nome. Qualquer servidor DNS pode responder a consultas sobre qualquer nome contido no namespace. Um servidor DNS responde a

consultas de uma destas formas:

Se a resposta estiver em cache, ele responderá à consulta a partir do cache.

Se a resposta estiver em uma zona hospedada pelo servidor DNS, ele responderá à consulta a partir dessa zona. Uma zona é uma parte da árvore DNSarmazenada em um servidor DNS. Quando um servidor DNS hospeda uma zona, ele é autoritativo em relação aos nomes dessa zona, ou seja, o servidor DNSpode responder às consultas de quaisquer nomes contidos na zona. Por exemplo, um servidor que hospede a zona contoso.com pode responder a consultas dequaisquer nomes contidos em contoso.com.

Se não for possível o servidor responder à consulta a partir de seu cache ou suas zonas, ele consultará outros servidores para obter resposta.

É importante conhecer os principais recursos do DNS, como a delegação, a resolução recursiva de nomes e as zonas DNS integradas ao Active Directory, porque elesimpactam diretamente o design da estrutura lógica do Active Directory.

Para obter mais informações sobre o DNS e o AD DS ﴾Serviços de Domínio Active Directory﴿, consulte DNS e AD DS.

Delegação

Para que um servidor DNS responda a consultas de nomes, ele precisa ter um caminho direto ou indireto para todas as zonas do namespace. Esses caminhos sãocriados por meio da delegação. Uma delegação é um registro de uma zona pai que relaciona um servidor de nomes que é autoritativo para a zona no nível seguinteda hierarquia. As delegações permitem que os servidores de uma zona façam referência a clientes para servidores de outras zonas. A ilustração a seguir mostra umexemplo de delegação.

O servidor DNS raiz hospeda a zona raiz representada por um ponto ﴾ . ﴿. A zona raiz contém uma delegação para uma zona no nível seguinte da hierarquia, a zonacom. A delegação da zona raiz informa ao servidor DNS raiz que, para localizar a zona com, é necessário entrar em contato com o servidor Com. Da mesma forma, adelegação da zona com informa o servidor Com que, para localizar a zona contoso.com, é necessário entrar em contato com o servidor Contoso.

Observação

Uma delegação utiliza dois tipos de registro. O registro de recurso do servidor de nomes ﴾NS﴿ fornece o nome de um servidor autoritativo. Os registros de recursode hosts ﴾A﴿ e ﴾AAAA﴿ fornecem endereços IP versão 4 ﴾IPv4﴿ e versão 6 ﴾IPv6﴿ de um servidor autoritativo.

Esse sistema de zonas e delegações cria uma árvore hierárquica que representa o namespace DNS. Cada zona representa uma camada da hierarquia e cadadelegação representa uma ramificação da árvore.

O servidor DNS raiz pode localizar qualquer nome no namespace DNS usando a hierarquia de zonas e delegações. A zona raiz inclui delegações que levam, direta ouindiretamente, a todas as outras zonas da hierarquia. Qualquer servidor que pode consultar o servidor DNS raiz pode usar as informações nas delegações paralocalizar quaisquer nomes contidos no namespace.

Resolução recursiva de nomes

A resolução recursiva de nomes é o processo pelo qual um servidor DNS utiliza a hierarquia de zonas e delegações para responder a consultas para as quais ele nãoé autoritativo.

Em algumas configurações, os servidores DNS incluem dicas de raiz, ou seja, uma lista de nomes e endereços IP, que lhes permite consultar os servidores DNS raiz. Emoutras configurações, os servidores encaminham todas as consultas que eles não podem responder para outro servidor. O encaminhamento e as dicas de raiz sãométodos que os servidores DNS podem utilizar para resolver consultas para as quais eles não são autoritativos.


Resolvendo nomes usando dicas de raiz

As dicas de raiz permitem que qualquer servidor DNS localize os servidores DNS raiz. Depois que um servidor DNS localiza o servidor DNS raiz, ele pode resolver

qualquer consulta relativa a esse namespace. A ilustração a seguir descreve como o DNS resolve um nome usando dicas de raiz.


1. Um cliente envia uma consulta recursiva a um servidor DNS para solicitar o endereço IP correspondente ao nome ftp.contoso.com. Uma consulta recursivaindica que o cliente deseja uma resposta definitiva para a consulta. A resposta à consulta recursiva deverá ser um endereço válido ou uma mensagemindicando que não foi possível localizar o endereço.

2. Como o servidor DNS não é autoritativo em relação ao nome e não tem a resposta em cache, ele usa as dicas de raiz para localizar o endereço IP doservidor DNS raiz.

3. O servidor DNS utiliza uma consulta iterativa para solicitar ao servidor DNS raiz a resolução do nome ftp.contoso.com. Uma consulta iterativa indica que oservidor aceitará uma referência a outro servidor em lugar de uma resposta definitiva para a consulta. Como o nome ftp.contoso.com termina com o rótulocom, o servidor DNS raiz retorna uma referência ao servidor Com que hospeda a zona com.

4. O servidor DNS utiliza uma consulta iterativa para solicitar ao servidor Com a resolução do nome ftp.contoso.com. Como o nome ftp.contoso.com terminacom o nome contoso.com, o servidor Com retorna uma referência ao servidor Contoso que hospeda a zona contoso.com.

5. O servidor DNS utiliza uma consulta iterativa para solicitar ao servidor Contoso a resolução do nome ftp.contoso.com. O servidor Contoso localiza a respostanos dados da zona e a retorna para o servidor.

6. Em seguida, o servidor retorna o resultado ao cliente.

Resolvendo nomes usando o encaminhamento

O encaminhamento permite rotear a resolução de nomes por meio de servidores específicos, em vez de usar dicas de raiz. A ilustração a seguir descreve como oDNS resolve um nome usando o encaminhamento.


1. Um cliente consulta o nome ftp.contoso.com em um servidor DNS.

2. O servidor DNS encaminha a consulta para outro servidor DNS, conhecido como encaminhador.

3. Como o encaminhador não é autoritativo em relação ao nome e não tem a resposta em cache, ele usa as dicas de raiz para localizar o endereço IP doservidor DNS raiz.

4. O encaminhador utiliza uma consulta iterativa para solicitar ao servidor DNS raiz a resolução do nome ftp.contoso.com. Como o nome ftp.contoso.comtermina com o nome com, o servidor DNS raiz retorna uma referência ao servidor Com que hospeda a zona com.

5. O encaminhador utiliza uma consulta iterativa para solicitar ao servidor Com a resolução do nome ftp.contoso.com. Como o nome ftp.contoso.com terminacom o nome contoso.com, o servidor Com retorna uma referência ao servidor Contoso que hospeda a zona contoso.com.

6. O encaminhador utiliza uma consulta iterativa para solicitar ao servidor Contoso a resolução do nome ftp.contoso.com. O servidor Contoso localiza aresposta nos arquivos da zona e a retorna para o servidor.

7. Em seguida, o encaminhador retorna o resultado ao servidor DNS original.

8. Por fim, o servidor DNS original retorna o resultado ao cliente.

© 2014 Microsoft

DNS e AD DSAtualizado: abril de 2012


Os Serviços de Domínio do Active Directory ﴾AD DS﴿ usam os serviços de resolução de nomes DNS ﴾sistema de nomes de domínio﴿ para permitir que clientes localizemcontroladores de domínio e para que os controladores de domínio que hospedam o serviço de diretório possam se comunicar entre si.

O AD DS permite a integração fácil do namespace do Active Directory a um namespace DNS existente. Recursos como as zonas DNS integradas ao Active Directory facilitaa implantação do DNS, pois eliminam a necessidade de configuração de zonas secundárias e de transferências entre zonas.

Para obter informações sobre como o DNS oferece suporte ao AD DS, consulte a Referência Técnica sobre o Suporte DNS para Active Directory(http://go.microsoft.com/fwlink/?LinkID=48147).

Observação

Se você implementar um namespace separado no qual o nome do domínio AD DS é difernete do sufixo DNS primário usado pelos clientes, a integração do AD DS aoDNS será mais complexa. Para obter mais informações, consulte Separar namespace.

Nesta seção

Local do controlador de domínio

Zonas DNS integradas ao Active Directory

Nomenclatura de computador

Separar namespace

© 2014 Microsoft







Local do controlador de domínioAtualizado: abril de 2012


Os clientes usam o DNS ﴾Sistema de Nomes de Domínio﴿ para localizar controladores de domínio e concluir operações como o processamento de solicitações de logonou a pesquisa do diretório em busca de recursos publicados. Os controladores de domínio gravam uma variedade de registros no DNS para ajudar os clientes e outroscomputadores a localizá‐los. Esses registros são conhecidos coletivamente como os registros do localizador.

Os controladores de domínio também usam o DNS para localizar outros controladores de domínio e para executar tarefas como a replicação. O processo pelo qual oscontroladores de domínio localizam outros controladores de domínio é igual ao processo pelo qual os clientes localizam controladores de domínio.

© 2014 Microsoft

Zonas DNS integradas ao Active DirectoryAtualizado: abril de 2012


Os servidores DNS ﴾sistemas de nomes de domínios﴿ executados em controladores de domínio podem armazenar suas zonas no AD DS ﴾Serviços de Domínio ActiveDirectory﴿. Dessa forma, não é necessário configurar uma topologia de replicação do DNS separada que utilize transferências comuns de zona DNS, porque todos osdados de zona são replicados automaticamente por meio da replicação do Active Directory. Isso simplifica o processo de implantação do DNS e proporciona asseguintes vantagens:

Vários mestres são criados para replicação do DNS. Portanto, qualquer controlador do domínio que execute o serviço Servidor DNS pode gravar atualizações naszonas DNS integradas ao ActiveDirectory do nome do domínio para o qual ele seja autoritativo. Não é necessária uma topologia separada de transferência dezona DNS.

Há suporte para atualizações dinâmicas seguras. As atualizações dinâmicas seguras permitem ao administrador controlar os computadores que atualizarão osnomes e impedem que computadores não autorizados substituam nomes existentes no DNS.

O DNS integrado ao Active Directory no Windows Server 2008 armazena dados de zona nas partições de diretório de aplicativos. ﴾Não há mudanças comportamentais daintegração do DNS baseado em Windows Server 2003 ao Active Directory.﴿ As seguintes partições de diretório de aplicativos específicas do DNS são criadas durante ainstalação do AD DS:

Uma partição de diretório de aplicativos de toda a floresta chamada ForestDnsZones

Partições de diretório de aplicativos de todo o domínio, relativas a cada domínio da floresta, chamadas DomainDnsZones

Para obter mais informações sobre como o AD DS armazena informações do DNS nas partições de aplicativos, consulte a Referência técnica do DNS(http://go.microsoft.com/fwlink/?LinkId=106636; essa página pode estar em inglês﴿.

Observação

É recomendável instalar o DNS quando executar o Assistente de Instalação dos Serviços de Domínio Active Directory ﴾Dcpromo.exe﴿. Com isso, o assistente cria adelegação de zona DNS automaticamente. Para obter mais informações, consulte Implantando um domínio raiz da floresta do Windows Server 2008(http://go.microsoft.com/fwlink/?LinkId=89028; essa página pode estar em inglês﴿.

© 2014 Microsoft



Nomenclatura de computadorAtualizado: abril de 2012


Quando um computador que esteja executando o sistema operacional Windows 2000, Windows XP, Windows Server 2003, Windows Server 2008 ou o Windows Vista®ingressa em um domínio, por padrão ele se atribui um nome. O nome que ele atribui a si mesmo compreende o nome de host do computador ﴾ou seja, o Nome doComputador nas Propriedades do Sistema﴿ e o nome DNS ﴾Sistema de Nomes de Domínio﴿ do domínio do Active Directory em que o computador ingressou ﴾ou seja, oSufixo DNS Primário nas Propriedades do Sistema﴿. A concatenação do nome do host e do nome DNS do domínio é conhecido como FQDN ﴾nome de domíniototalmente qualificado﴿. Por exemplo, se um computador com o nome do host Servidor1 ingressar no domínio corp.contoso.com, o FQDN do computador seráservidor1.corp.contoso.com.

Se um computador já tiver um nome de domínio DNS diferente inserido de forma estática em uma zona DNS ou registrado por um serviço Servidor DNS/DHCPintegrado, seu FQDN será distinto do nome registrado anteriormente. O computador poderá ser referenciado por ambos os nomes.

Para obter mais informações sobre convenções de nomenclatura no AD DS ﴾Serviços de Domínio Active Directory﴿, consulte Convenções de nomenclatura noActive Directory para computadores, domínios, sites e unidades organizacionais ﴾http://go.microsoft.com/fwlink/?LinkID=106629).

© 2014 Microsoft


Separar namespaceAtualizado: agosto de 2011

Aplica-se a: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2

Um namespace separado ocorre quando um ou mais computadores membros do domínio têm um sufixo do sistema de nomes de domínios ﴾DNS﴿ primário que nãocorresponde ao nome DNS do domínio do Active Directory do qual os computadores são membros. Por exemplo, um computador membro que usa um sufixo do DNSprimário corp.fabrikam.com em um domínio do Active Directory chamado na.corp.fabrikam.com está usando um namespace separado.

É mais complexo administrar, manter e solucionar problemas de um namespace separado do que de um namespace contíguo. Em um namespace contíguo, o sufixo doDNS primário corresponde ao nome do domínio do Active Directory. Os aplicativos de rede que são projetados para considerar que o namespace do Active Directory éidêntico ao sufixo do DNS primário para todos os computadores membros do domínio não funcionam corretamente em um namespace separado.

Suporte para namespaces separadosOs computadores membros do domínio, incluindo controladores de domínio, podem funcionar em um namespace separado. Os computadores membros do domíniopodem registrar os respectivos registros de recurso de host ﴾A﴿ e de IP versão 6 ﴾IPv6﴿ ﴾AAAA﴿ em um namespace DNS separado. Quando os computadores membros dodomínio registram dessa forma os registros de recurso, os controladores de domínio continuam armazenando registros de recurso de serviço global e específico do site﴾SRV﴿ na zona DNS que é idêntico ao nome do domínio do Active Directory.

Por exemplo, suponhamos que um controlador de domínio do domínio do Active Directory chamado na.corp.fabrikam.com, que usa um sufixo do DNS primáriocorp.fabrikam.com, armazene os registros de recurso de host ﴾A﴿ e de IPv6 ﴾AAAA﴿ na zona DNS corp.fabrikam.com. O controlador de domínio continua armazenando osregistros de recurso de serviço global e específico do site ﴾SRV﴿ nas zonas DNS _msdcs.na.corp.fabrikam.com e na.corp.fabrikam.com, o que possibilita a localização doserviço.

Importante

Embora os sistemas operacionais Windows possam dar suporte a um namespace separado, os aplicativos projetados para considerar que o sufixo do DNS primário éigual ao sufixo do domínio do Active Directory poderão não funcionar nesse ambiente. Por esse motivo, teste cuidadosamente todos os aplicativos e os respectivossistemas operacionais antes de implantar um namespace separado.

Um namespace separado deverá funcionar ﴾e ter suporte﴿ nas seguintes situações:

Quando uma floresta com vários domínios do Active Directory usar um único namespace DNS, também conhecido como zona DNS

Um exemplo disso é uma empresa que usa domínios regionais com nomes como na.corp.fabrikam.com, sa.corp.fabrikam.com e asia.corp.fabrikam.com, e usa umúnico namespace DNS, como corp.fabrikam.com.

Quando um único domínio do Active Directory é dividido em namespaces DNS separados

Um exemplo disso é uma empresa com um domínio do Active Directory corp.contoso.com que usa zonas DNS como hr.corp.contoso.com,production.corp.contoso.com e it.corp.contoso.com.

Um namespace separado não funciona corretamente ﴾e não tem suporte﴿ nas seguintes situações:

Quando controladores de domínio no mesmo domínio não usam o mesmo sufixo do DNS primário

Quando servidores de autoridade de certificação ﴾CA﴿ membros do domínio não usam o mesmo sufixo do DNS primário usado pelos controladores do domíniodo qual os servidores de CA são membros

Considerações sobre namespaces separadosAs considerações a seguir podem ajudá‐lo na decisão sobre usar ou não um namespace separado.

Compatibilidade de aplicativos

Conforme mencionado anteriormente, um namespace separado pode causar problemas para quaisquer aplicativos e serviços projetados para considerar que o sufixo doDNS primário de um computador é idêntico ao nome do domínio do qual ele é membro. Antes de implantar um namespace separado, verifique se não há problemas decompatibilidade dos aplicativos. Além disso, verifique a compatibilidade de todos os aplicativos que você usa na realização de análises. Isso inclui aplicativos da Microsofte de outros desenvolvedores de software.

Vantagens de namespaces separados

O uso de um namespace separado pode apresentar as seguintes vantagens:

Como o sufixo do DNS primário de um computador pode indicar informações diferentes, você pode gerenciar o namespace DNS separadamente do nome dodomínio do Active Directory.

Você pode separar o namespace DNS com base na estrutura da empresa ou localização geográfica. Por exemplo, você pode separar o namespace com base nosnomes de unidade de negócio ou na localização física, como continente, país/região ou prédio.

Desvantagens de namespaces separados

O uso de um namespace separado pode apresentar as seguintes desvantagens:

É necessário criar e gerenciar zonas DNS separadas para cada domínio do Active Directory da floresta que tenha computadores membros que usam um

namespace separado. ﴾Ou seja, isso requer uma configuração adicional mais complexa.﴿

É necessário executar etapas manuais para modificar e gerenciar o atributo do Active Directory que permita aos membros do domínio usarem sufixos do DNSprimário especificados.

Para otimizar a resolução de nomes, é necessário executar etapas manuais de modificação e manutenção da Diretiva de Grupo para configurar os computadoresmembros com sufixos do DNS primário alternativos.

Observação

O serviço WINS ﴾Windows Internet Name Service﴿ pode ser usado para compensar essa desvantagem, resolvendo nomes com rótulo único. Para obter maisinformações sobre o WINS, consulte a Referência técnica do WINS ﴾http://go.microsoft.com/fwlink/?LinkId=102303; essa página pode estar em inglês﴿.

Quando o ambiente requerer vários sufixos do DNS primário, é necessário configurar a ordem de pesquisa de sufixo DNS para todos os domínios do ActiveDirectory na floresta de forma apropriada.

Para definir a ordem de pesquisa de sufixo DNS, use os objetos de Diretiva de Grupo ou os parâmetros de serviço do servidor DHCP. Você pode tambémmodificar o Registro.

É necessário testar cuidadosamente todos os aplicativos quanto a problemas de compatibilidade.

Para obter mais informações sobre as etapas que você pode seguir para solucionar essas desvantagens, consulte Criar um namespace separado(http://go.microsoft.com/fwlink/?LinkId=106638; essa página pode estar em inglês﴿.

Planejando uma transição de namespaceAntes de modificar um namespace, analise as seguintes considerações que se aplicam às transições de namespaces contíguos para namespaces separados ﴾ou oinverso):

Os nomes principais de serviço ﴾SPNs﴿ configurados podem deixar de corresponder aos nomes DNS após uma alteração de namespace. Isso pode causar falhasde autenticação.

Para obter mais informações, consulte Falha de logon de serviço devido a SPNs definidos incorretamente ﴾http://go.microsoft.com/fwlink/?LinkId=102304; essa

página pode estar em inglês﴿.

Se você usa computadores com Windows Server 2003 e com delegação restrita, esses computadores podem requerer configuração adicional para alterarSPNs. Para obter mais informações, consulte o artigo 936628 na Base de Dados de Conhecimento Microsoft ﴾http://go.microsoft.com/fwlink/?LinkId=102306;

essa página pode estar em inglês﴿.

Para delegar permissões de modificação de SPNs a administradores subordinados, consulte Delegando autoridade para modificar SPNs(http://go.microsoft.com/fwlink/?LinkId=106639; essa página pode estar em inglês﴿.

Se você usa o protocolo LDAP ﴾Lightweight Directory Access Protocol﴿ sobre SSL ﴾Secure Sockets Layer﴿, conhecido como LDAPS, com uma CA em uma implantaçãoque tenha controladores de domínio configurados em namespace separado, será necessário usar o nome do domínio do Active Directory e o sufixo do DNSprimário apropriados ao configurar os certificados LDAPS.

Para obter mais informações sobre requisitos de certificados do controlador de domínio, consulte o artigo 321051 na Base de Dados de Conhecimento Microsoft(http://go.microsoft.com/fwlink/?LinkId=102307; essa página pode estar em inglês﴿.

Observação

Os controladores de domínio que utilizam certificados de LDAPS podem requerer nova implantação dos certificados. Quando você faz isso, os controladores dedomínio podem não selecionar um certificado apropriado até que sejam reiniciados. Para obter mais informações sobre a autenticação LDAPS e a atualizaçãorelacionada do Windows Server 2003, consulte o artigo 932834 na Base de Dados de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?LinkId=102308;


Planejando implantações de namespace separadoTome as seguintes precauções ao implantar computadores em um ambiente que tenha um namespace separado:

1. Notifique todos os seus fornecedores de software sobre a necessidade de testar e dar suporte a um namespace separado. Solicite a eles que confirmem se dãosuporte aos aplicativos em ambientes que utilizam namespaces separados.

2. Teste todas as versões de sistemas operacionais e aplicativos em ambientes de laboratório de namespace separado. Ao fazer isso, siga estas recomendações:

a. Solucione todos os problemas do software antes de implantá‐lo no ambiente.

b. Quando for possível, participe dos testes de versão beta dos sistemas operacionais e aplicativos que você planeja implantar em namespaces separados.

3. Verifique se os administradores e o pessoal de suporte técnico estão informados sobre o namespace separado e o respectivo impacto.

4. Crie um plano que possibilite a transição de um namespace separado para um namespace contíguo, se for necessário.

5. Enfatize a importância do suporte ao namespace separado para os fornecedores de sistemas operacionais e aplicativos.

© 2014 Microsoft








Atribuindo o DNS para a Função de Proprietário do AD DSAtualizado: abril de 2012


O proprietário da floresta atribui um DNS ﴾sistema de nomes de domínios﴿ ao proprietário do AD DS ﴾Serviços de Domínio Active Directory﴿ da floresta. O proprietáriodo DNS para AD DS da floresta é uma pessoa ﴾ou grupo de pessoas﴿ responsável pela supervisão da implantação da infra‐estrutura DNS para AD DS e pela confirmação﴾se necessário﴿ de que os nomes de domínio estão registrados nas autoridades apropriadas da Internet.

O proprietário do DNS para AD DS é responsável pelo design de DNS para AD DS da floresta. Se a organização estiver operando no momento um serviço Servidor DNS,o designer de DNS do serviço Servidor DNS existente trabalhará com o proprietário do DNS para AD DS para delegar o nome DNS da raiz de floresta aos servidoresDNS em execução nos controladores de domínio.

O proprietário do DNS para AD DS da floresta também mantém contato com o grupo DHCP ﴾Dynamic Host Configuration Protocol﴿ e o grupo DNS da organização ecoordena os planos dos proprietários do DNS individuais de cada domínio da floresta ﴾se houver﴿ com esses grupos. O proprietário do DNS da floresta assegura que osgrupos DHCP e DNS estejam envolvidos no processo de design do DNS para AD DS, de forma que cada grupo esteja informado sobre o plano de design do DNS e

possa fornecer informações antecipadamente.

© 2014 Microsoft

Integrando o AD DS a uma infra-estrutura de DNS existenteAtualizado: abril de 2012


Se a sua organização já tem um serviço Servidor DNS ﴾sistema de nome de domínio﴿, o proprietário do DNS dos Serviços de Domínio Active Directory ﴾AD DS﴿ devetrabalhar com o proprietário do DNS de sua organização para integrar o AD DS à infra‐estrutura existente. Isso envolve criar uma configuração de servidor e cliente DNS.

Criando uma configuração de servidor DNS

Ao integrar o AD DS a um namespace do DNS já existente, recomendamos fazer o seguinte:

Instale o serviço Servidor DNS em cada controlador de domínio da floresta. Assim, você terá tolerância a falhas caso um dos servidores DNS não estejadisponível. Dessa maneira, os controladores de domínio não precisarão dos outros servidores DNS para resolução de nomes. Isso também simplifica oambiente de gerenciamento, pois todos os controladores de domínio têm uma configuração uniforme.

Configure o controlador de domínio raiz da floresta do Active Directory para hospedar a zona do DNS da floresta do Active Directory.

Configure o controlador de domínio de cada domínio regional para hospedar as zonas de DNS que correspondem aos seus domínios do Active Directory.

Configure a zona que contém os registros de localizador da floresta toda do Active Directory ﴾ou seja, a zona _msdcs.nomedafloresta) para replicar em cada

servidor DNS da floresta usando a partição de diretório de aplicativo do DNS da floresta toda.

Observação

Quando o serviço Servidor DNS é instalado com o Assistente de Instalação dos Serviços de Domínio Active Directory ﴾recomendamos essa opção﴿, todas astarefas anteriores são executadas automaticamente. Para obter mais informações, consulte o artigo sobre como implantar um domínio raiz da floresta doWindows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=89028; esta página pode estar em inglês﴿.

Observação

O AD DS usa os registros de localização de toda a floresta para que parceiros de replicação possam localizar uns aos outros e para que clientes localizemservidores de catálogo global. O AD DS armazena os registros de localização de toda a floresta na zona _msdcs.nomedafloresta. Como as informações dazona precisam estar amplamente disponíveis, essa zona é replicada em todos os servidores DNS da floresta por meio da partição de diretório de aplicativodo DNS da floresta toda.

A estrutura do DNS já existente permanece intacta. Você não precisa mover servidores nem zonas. Basta criar uma delegação para as zonas do DNS integradas aoActive Directory por meio da hierarquia do DNS existente.

Criando uma configuração de cliente DNS

Para configurar o DNS nos computadores cliente, o proprietário do DNS para AD DS deve especificar o esquema de nomeação de computador e como os clienteslocalizarão os servidores DNS. A tabela a seguir lista nossas configurações recomendadas para esses elementos de design.

Elemento de

designConfiguração

Nomeação decomputadores

Usar nomeação padrão. Quando um computador baseado no Windows 2000, Windows XP, Windows Server 2003, Windows Server 2008 ouWindows Vista ingressa em um domínio, o computar atribui a si próprio um nome de domínio totalmente qualificado ﴾FQDN﴿ que é formado pelonome de host do computador e o nome do domínio do Active Directory.

Configuraçãode resolvedor

de cliente

Configure os computadores cliente para apontarem para qualquer servidor DNS da rede.

Observação

Os clientes e os controladores de domínio do Active Directory podem registrar dinamicamente os nomes DNS deles, mesmo que não estejam apontando para oservidor DNS autoritativo de seus nomes.

Um computador poderá ter um nome DNS diferente, caso a organização tenha anteriormente registrado estaticamente o computador no DNS ou implantadoanteriormente uma solução integrada de protocolo DHCP. Se os seus computadores cliente tiverem um nome DNS registrado, quando o domínio no qual ingressaramfor atualizado para o AD DS do Windows Server 2008, eles terão dois nomes diferentes:

O nome do DNS existente.

O novo nome de domínio totalmente qualificado ﴾FQDN﴿.


Os clientes ainda poderão ser localizados por ambos os nomes. Qualquer solução existente de DNS, DHCP ou de DNS/DHCP integrados será mantida intacta. Osnovos nomes principais são criados automaticamente e atualizados por atualização dinâmica. A limpeza deles também é automática.

Para aproveitar a autenticação Kerberos durante a conexão com um servidor com Windows 2000, Windows Server 2003 ou Windows Server 2008, você deve secertificar de que o cliente se conecte ao servidor usando o nome principal.

© 2014 Microsoft

DNS e AD DSAtualizado: abril de 2012


Os Serviços de Domínio do Active Directory ﴾AD DS﴿ usam os serviços de resolução de nomes DNS ﴾sistema de nomes de domínio﴿ para permitir que clientes localizemcontroladores de domínio e para que os controladores de domínio que hospedam o serviço de diretório possam se comunicar entre si.

O AD DS permite a integração fácil do namespace do Active Directory a um namespace DNS existente. Recursos como as zonas DNS integradas ao Active Directory facilitaa implantação do DNS, pois eliminam a necessidade de configuração de zonas secundárias e de transferências entre zonas.

Para obter informações sobre como o DNS oferece suporte ao AD DS, consulte a Referência Técnica sobre o Suporte DNS para Active Directory(http://go.microsoft.com/fwlink/?LinkID=48147).

Observação

Se você implementar um namespace separado no qual o nome do domínio AD DS é difernete do sufixo DNS primário usado pelos clientes, a integração do AD DS aoDNS será mais complexa. Para obter mais informações, consulte Separar namespace.

Nesta seção

Local do controlador de domínio

Zonas DNS integradas ao Active Directory

Nomenclatura de computador

Separar namespace

© 2014 Microsoft







Local do controlador de domínioAtualizado: abril de 2012


Os clientes usam o DNS ﴾Sistema de Nomes de Domínio﴿ para localizar controladores de domínio e concluir operações como o processamento de solicitações de logonou a pesquisa do diretório em busca de recursos publicados. Os controladores de domínio gravam uma variedade de registros no DNS para ajudar os clientes e outroscomputadores a localizá‐los. Esses registros são conhecidos coletivamente como os registros do localizador.

Os controladores de domínio também usam o DNS para localizar outros controladores de domínio e para executar tarefas como a replicação. O processo pelo qual oscontroladores de domínio localizam outros controladores de domínio é igual ao processo pelo qual os clientes localizam controladores de domínio.

© 2014 Microsoft

Zonas DNS integradas ao Active DirectoryAtualizado: abril de 2012


Os servidores DNS ﴾sistemas de nomes de domínios﴿ executados em controladores de domínio podem armazenar suas zonas no AD DS ﴾Serviços de Domínio ActiveDirectory﴿. Dessa forma, não é necessário configurar uma topologia de replicação do DNS separada que utilize transferências comuns de zona DNS, porque todos osdados de zona são replicados automaticamente por meio da replicação do Active Directory. Isso simplifica o processo de implantação do DNS e proporciona asseguintes vantagens:

Vários mestres são criados para replicação do DNS. Portanto, qualquer controlador do domínio que execute o serviço Servidor DNS pode gravar atualizações naszonas DNS integradas ao ActiveDirectory do nome do domínio para o qual ele seja autoritativo. Não é necessária uma topologia separada de transferência dezona DNS.

Há suporte para atualizações dinâmicas seguras. As atualizações dinâmicas seguras permitem ao administrador controlar os computadores que atualizarão osnomes e impedem que computadores não autorizados substituam nomes existentes no DNS.

O DNS integrado ao Active Directory no Windows Server 2008 armazena dados de zona nas partições de diretório de aplicativos. ﴾Não há mudanças comportamentais daintegração do DNS baseado em Windows Server 2003 ao Active Directory.﴿ As seguintes partições de diretório de aplicativos específicas do DNS são criadas durante ainstalação do AD DS:

Uma partição de diretório de aplicativos de toda a floresta chamada ForestDnsZones

Partições de diretório de aplicativos de todo o domínio, relativas a cada domínio da floresta, chamadas DomainDnsZones

Para obter mais informações sobre como o AD DS armazena informações do DNS nas partições de aplicativos, consulte a Referência técnica do DNS(http://go.microsoft.com/fwlink/?LinkId=106636; essa página pode estar em inglês﴿.

Observação

É recomendável instalar o DNS quando executar o Assistente de Instalação dos Serviços de Domínio Active Directory ﴾Dcpromo.exe﴿. Com isso, o assistente cria adelegação de zona DNS automaticamente. Para obter mais informações, consulte Implantando um domínio raiz da floresta do Windows Server 2008(http://go.microsoft.com/fwlink/?LinkId=89028; essa página pode estar em inglês﴿.

© 2014 Microsoft



Nomenclatura de computadorAtualizado: abril de 2012


Quando um computador que esteja executando o sistema operacional Windows 2000, Windows XP, Windows Server 2003, Windows Server 2008 ou o Windows Vista®ingressa em um domínio, por padrão ele se atribui um nome. O nome que ele atribui a si mesmo compreende o nome de host do computador ﴾ou seja, o Nome doComputador nas Propriedades do Sistema﴿ e o nome DNS ﴾Sistema de Nomes de Domínio﴿ do domínio do Active Directory em que o computador ingressou ﴾ou seja, oSufixo DNS Primário nas Propriedades do Sistema﴿. A concatenação do nome do host e do nome DNS do domínio é conhecido como FQDN ﴾nome de domíniototalmente qualificado﴿. Por exemplo, se um computador com o nome do host Servidor1 ingressar no domínio corp.contoso.com, o FQDN do computador seráservidor1.corp.contoso.com.

Se um computador já tiver um nome de domínio DNS diferente inserido de forma estática em uma zona DNS ou registrado por um serviço Servidor DNS/DHCPintegrado, seu FQDN será distinto do nome registrado anteriormente. O computador poderá ser referenciado por ambos os nomes.

Para obter mais informações sobre convenções de nomenclatura no AD DS ﴾Serviços de Domínio Active Directory﴿, consulte Convenções de nomenclatura noActive Directory para computadores, domínios, sites e unidades organizacionais ﴾http://go.microsoft.com/fwlink/?LinkID=106629).

© 2014 Microsoft


Separar namespaceAtualizado: agosto de 2011

Aplica-se a: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2

Um namespace separado ocorre quando um ou mais computadores membros do domínio têm um sufixo do sistema de nomes de domínios ﴾DNS﴿ primário que nãocorresponde ao nome DNS do domínio do Active Directory do qual os computadores são membros. Por exemplo, um computador membro que usa um sufixo do DNSprimário corp.fabrikam.com em um domínio do Active Directory chamado na.corp.fabrikam.com está usando um namespace separado.

É mais complexo administrar, manter e solucionar problemas de um namespace separado do que de um namespace contíguo. Em um namespace contíguo, o sufixo doDNS primário corresponde ao nome do domínio do Active Directory. Os aplicativos de rede que são projetados para considerar que o namespace do Active Directory éidêntico ao sufixo do DNS primário para todos os computadores membros do domínio não funcionam corretamente em um namespace separado.

Suporte para namespaces separadosOs computadores membros do domínio, incluindo controladores de domínio, podem funcionar em um namespace separado. Os computadores membros do domíniopodem registrar os respectivos registros de recurso de host ﴾A﴿ e de IP versão 6 ﴾IPv6﴿ ﴾AAAA﴿ em um namespace DNS separado. Quando os computadores membros dodomínio registram dessa forma os registros de recurso, os controladores de domínio continuam armazenando registros de recurso de serviço global e específico do site﴾SRV﴿ na zona DNS que é idêntico ao nome do domínio do Active Directory.

Por exemplo, suponhamos que um controlador de domínio do domínio do Active Directory chamado na.corp.fabrikam.com, que usa um sufixo do DNS primáriocorp.fabrikam.com, armazene os registros de recurso de host ﴾A﴿ e de IPv6 ﴾AAAA﴿ na zona DNS corp.fabrikam.com. O controlador de domínio continua armazenando osregistros de recurso de serviço global e específico do site ﴾SRV﴿ nas zonas DNS _msdcs.na.corp.fabrikam.com e na.corp.fabrikam.com, o que possibilita a localização doserviço.

Importante

Embora os sistemas operacionais Windows possam dar suporte a um namespace separado, os aplicativos projetados para considerar que o sufixo do DNS primário éigual ao sufixo do domínio do Active Directory poderão não funcionar nesse ambiente. Por esse motivo, teste cuidadosamente todos os aplicativos e os respectivossistemas operacionais antes de implantar um namespace separado.

Um namespace separado deverá funcionar ﴾e ter suporte﴿ nas seguintes situações:

Quando uma floresta com vários domínios do Active Directory usar um único namespace DNS, também conhecido como zona DNS

Um exemplo disso é uma empresa que usa domínios regionais com nomes como na.corp.fabrikam.com, sa.corp.fabrikam.com e asia.corp.fabrikam.com, e usa umúnico namespace DNS, como corp.fabrikam.com.

Quando um único domínio do Active Directory é dividido em namespaces DNS separados

Um exemplo disso é uma empresa com um domínio do Active Directory corp.contoso.com que usa zonas DNS como hr.corp.contoso.com,production.corp.contoso.com e it.corp.contoso.com.

Um namespace separado não funciona corretamente ﴾e não tem suporte﴿ nas seguintes situações:

Quando controladores de domínio no mesmo domínio não usam o mesmo sufixo do DNS primário

Quando servidores de autoridade de certificação ﴾CA﴿ membros do domínio não usam o mesmo sufixo do DNS primário usado pelos controladores do domíniodo qual os servidores de CA são membros

Considerações sobre namespaces separadosAs considerações a seguir podem ajudá‐lo na decisão sobre usar ou não um namespace separado.

Compatibilidade de aplicativos

Conforme mencionado anteriormente, um namespace separado pode causar problemas para quaisquer aplicativos e serviços projetados para considerar que o sufixo doDNS primário de um computador é idêntico ao nome do domínio do qual ele é membro. Antes de implantar um namespace separado, verifique se não há problemas decompatibilidade dos aplicativos. Além disso, verifique a compatibilidade de todos os aplicativos que você usa na realização de análises. Isso inclui aplicativos da Microsofte de outros desenvolvedores de software.

Vantagens de namespaces separados

O uso de um namespace separado pode apresentar as seguintes vantagens:

Como o sufixo do DNS primário de um computador pode indicar informações diferentes, você pode gerenciar o namespace DNS separadamente do nome dodomínio do Active Directory.

Você pode separar o namespace DNS com base na estrutura da empresa ou localização geográfica. Por exemplo, você pode separar o namespace com base nosnomes de unidade de negócio ou na localização física, como continente, país/região ou prédio.

Desvantagens de namespaces separados

O uso de um namespace separado pode apresentar as seguintes desvantagens:

É necessário criar e gerenciar zonas DNS separadas para cada domínio do Active Directory da floresta que tenha computadores membros que usam um

namespace separado. ﴾Ou seja, isso requer uma configuração adicional mais complexa.﴿

É necessário executar etapas manuais para modificar e gerenciar o atributo do Active Directory que permita aos membros do domínio usarem sufixos do DNSprimário especificados.

Para otimizar a resolução de nomes, é necessário executar etapas manuais de modificação e manutenção da Diretiva de Grupo para configurar os computadoresmembros com sufixos do DNS primário alternativos.

Observação

O serviço WINS ﴾Windows Internet Name Service﴿ pode ser usado para compensar essa desvantagem, resolvendo nomes com rótulo único. Para obter maisinformações sobre o WINS, consulte a Referência técnica do WINS ﴾http://go.microsoft.com/fwlink/?LinkId=102303; essa página pode estar em inglês﴿.

Quando o ambiente requerer vários sufixos do DNS primário, é necessário configurar a ordem de pesquisa de sufixo DNS para todos os domínios do ActiveDirectory na floresta de forma apropriada.

Para definir a ordem de pesquisa de sufixo DNS, use os objetos de Diretiva de Grupo ou os parâmetros de serviço do servidor DHCP. Você pode tambémmodificar o Registro.

É necessário testar cuidadosamente todos os aplicativos quanto a problemas de compatibilidade.

Para obter mais informações sobre as etapas que você pode seguir para solucionar essas desvantagens, consulte Criar um namespace separado(http://go.microsoft.com/fwlink/?LinkId=106638; essa página pode estar em inglês﴿.

Planejando uma transição de namespaceAntes de modificar um namespace, analise as seguintes considerações que se aplicam às transições de namespaces contíguos para namespaces separados ﴾ou oinverso):

Os nomes principais de serviço ﴾SPNs﴿ configurados podem deixar de corresponder aos nomes DNS após uma alteração de namespace. Isso pode causar falhasde autenticação.

Para obter mais informações, consulte Falha de logon de serviço devido a SPNs definidos incorretamente ﴾http://go.microsoft.com/fwlink/?LinkId=102304; essa

página pode estar em inglês﴿.

Se você usa computadores com Windows Server 2003 e com delegação restrita, esses computadores podem requerer configuração adicional para alterarSPNs. Para obter mais informações, consulte o artigo 936628 na Base de Dados de Conhecimento Microsoft ﴾http://go.microsoft.com/fwlink/?LinkId=102306;


Para delegar permissões de modificação de SPNs a administradores subordinados, consulte Delegando autoridade para modificar SPNs(http://go.microsoft.com/fwlink/?LinkId=106639; essa página pode estar em inglês﴿.

Se você usa o protocolo LDAP ﴾Lightweight Directory Access Protocol﴿ sobre SSL ﴾Secure Sockets Layer﴿, conhecido como LDAPS, com uma CA em uma implantaçãoque tenha controladores de domínio configurados em namespace separado, será necessário usar o nome do domínio do Active Directory e o sufixo do DNSprimário apropriados ao configurar os certificados LDAPS.

Para obter mais informações sobre requisitos de certificados do controlador de domínio, consulte o artigo 321051 na Base de Dados de Conhecimento Microsoft(http://go.microsoft.com/fwlink/?LinkId=102307; essa página pode estar em inglês﴿.

Observação

Os controladores de domínio que utilizam certificados de LDAPS podem requerer nova implantação dos certificados. Quando você faz isso, os controladores dedomínio podem não selecionar um certificado apropriado até que sejam reiniciados. Para obter mais informações sobre a autenticação LDAPS e a atualizaçãorelacionada do Windows Server 2003, consulte o artigo 932834 na Base de Dados de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?LinkId=102308;


Planejando implantações de namespace separadoTome as seguintes precauções ao implantar computadores em um ambiente que tenha um namespace separado:

1. Notifique todos os seus fornecedores de software sobre a necessidade de testar e dar suporte a um namespace separado. Solicite a eles que confirmem se dãosuporte aos aplicativos em ambientes que utilizam namespaces separados.

2. Teste todas as versões de sistemas operacionais e aplicativos em ambientes de laboratório de namespace separado. Ao fazer isso, siga estas recomendações:

a. Solucione todos os problemas do software antes de implantá‐lo no ambiente.

b. Quando for possível, participe dos testes de versão beta dos sistemas operacionais e aplicativos que você planeja implantar em namespaces separados.

3. Verifique se os administradores e o pessoal de suporte técnico estão informados sobre o namespace separado e o respectivo impacto.

4. Crie um plano que possibilite a transição de um namespace separado para um namespace contíguo, se for necessário.

5. Enfatize a importância do suporte ao namespace separado para os fornecedores de sistemas operacionais e aplicativos.

© 2014 Microsoft








70-413 - DNS

Documents

Transcript of 70-413 - DNS