Pergunta.Eu tenho um domínio Windows AD e há uma parte que é um mistério para mim: como o domínio Windows/servidor DNS está fazendo pesquisas para domínios fora do domínio Windows?
Em uma rede doméstica simples, o roteamento de solicitações DNS é fácil de entender:
Generic Example: Client machine -> (defined DNS or from DHCP) ->
->Router / Gateway -> (usually ISP DNS) -> DNS root servers -> Internet
Specific Example: 192.168.1.101 -> 192.168.1.1 -> 8.8.8.8 -> DNS root servers -> Internet
Por outro lado, o caminho que vejo atualmente para minha rede AD é este:
Client Machine -> Windows Domain / DNS -> ??????? -> DNS root servers -> Internet
Se eu verificar as configurações de rede no meu servidor de domínio, o DNS será definido para o servidor DNS alternativo (servidor de domínio secundário), ele próprio, o loopback e nada mais.
Minha internet funciona, então de alguma forma o servidor de domínio do Windows é inteligente o suficiente para obter informações de DNS de um servidor upstream, mas onde e como isso é definido?
Responder1
Várias maneiras pelas quais seus DCs podem consultar um servidor de nomes externo:
- Dicas de raiz
- Despachantes globais
- Zonas de stub, delegações ou zonas de encaminhamento condicionais explicitamente definidas
- Configurações na interface de rede do seu DC - que você verificou.
Vou adivinhar o número 1 ou o número 2. Sua pergunta inclui apenas a verificação das configurações de rede - você verificou o gerenciador DNS nos DCs?
Se todos os itens acima estiverem em branco, há algo não intencional acontecendo e talvez você deva rastrear consultas DNS de saída usando o wireshark.
Responder2
O DNS consiste em duas partes bastante diferentes. Uma parte é responsável pela publicação dos dados e a outra parte é responsável por aceitar solicitações de DNS dos clientes e tentar responder a essas solicitações coletando dados. Os servidores DNS que desempenham a função de publicar dados são frequentemente chamados de servidores “autoritários”, embora esse não seja um nome tecnicamente correto. Pessoalmente, prefiro o nome "servidor de conteúdo DNS", mas esse termo não é muito utilizado. Os servidores que aceitam e respondem às solicitações dos clientes são frequentemente chamados de servidores de "resolução".
Na verdade, isso é bastante semelhante ao funcionamento dos servidores HTTP e dos proxies HTTP: os servidores HTTP publicam os dados e os proxies HTTP aceitam solicitações de clientes (navegadores) e entrarão em contato com os servidores para coletar os dados solicitados pelo cliente. Uma diferença entre navegadores da Web e clientes DNS é que um cliente DNS não é capaz de contatar servidores DNS de conteúdo sozinho. Um cliente DNStem queuse um servidor de resolução DNS, enquanto um navegador da Web é perfeitamente capaz de funcionar sem um proxy HTTP.
Como as informações de DNS são armazenadas de forma hierárquica e distribuída, para responder a uma única consulta você precisará de informações de vários servidores de conteúdo de DNS, provavelmente localizados em todo o mundo. Quando um cliente DNS deseja saber o endereço “www.serverfault.com”, ele pode simplesmente enviar essa solicitação para um servidor de resolução DNS. Esse servidor de resolução DNS precisa então realizar o trabalho real de entrar em contato com servidores DNS em todo o mundo.
Primeiro, o servidor DNS de resolução envia toda a consulta para um servidor raiz (que é um servidor DNS de conteúdo). Esse servidor raiz não tem uma resposta completa, masfazsaiba quais servidores de conteúdo DNS possuem mais informações sobre nomes no domínio ".com". Assim, o resolvedor DNS agora envia toda a consulta para um dos servidores DNS de conteúdo “.com”. Esse servidor também não tem uma resposta completa, mas sabe quais servidores de conteúdo DNS possuem mais informações sobre nomes no servervault.comdomínio. O servidor DNS em resolução continuará perguntando aos servidores DNS de conteúdo em todo o mundo até que tenha uma resposta completa para o cliente. É claro que o servidor DNS de resolução armazenará informações em cache ao longo do caminho: ele não entrará em contato com os servidores DNS de conteúdo raiz para cada consulta em um domínio ".com" se souber pelo seu cache onde estão os servidores DNS de conteúdo ".com".
Um "encaminhador" é simplesmente um servidor DNS de resolução que envia consultas de clientes para outro servidor DNS de resolução (pré-configurado), em vez de tentar respondê-las entrando em contato com servidores DNS de conteúdo em todo o mundo. Os roteadores domésticos geralmente contêm um servidor DNS de resolução, que é configurado para usar o servidor DNS de resolução do ISP como encaminhador.
Pode ficar confuso quando as duas funções diferentes (servimento e resolução de conteúdo) se juntam em um servidor DNS. É mais ou menos isso que acontece com o Active Directory. No Active Directory, o DNS é usado para publicar informações sobre onde determinados serviços podem ser encontrados. Por exemplo, quando um cliente no domínio ad.example.comdeseja entrar em contato com um servidor de alteração de senha Kerberos para seu domínio, ele emite uma solicitação DNS para um registro SRV chamado _kpasswd._tcp.ad.example.com. Esta solicitação DNS é enviada, assim como qualquer outra solicitação DNS, para o servidor DNS de resolução configurado no cliente. O servidor DNS de resolução começa a trabalhar tentando responder à solicitação.
É aqui que pode ficar um pouco confuso. O servidor de resolução DNS pode saber que faz parte de um domínio específico do Active Directory, o que significa que pode reconhecer consultas recebidas para nomes nesse domínio. Se o resolvedor receber tal consulta, ele não entrará em contato com servidores DNS externos, mas poderá responder diretamente com informações do banco de dados do Active Directory. Se uma consulta recebida não for para um nome no domínio, o resolvedor tenta responder a pergunta entrando em contato com servidores DNS de conteúdo ou (caso esteja configurado para usar um encaminhador) apenas envia a consulta para outro servidor de resolução DNS . Provavelmente é isso que acontece no seu cenário.
O que pode confundir ainda mais as coisas são as atualizações dinâmicas. Em qualquer domínio não trivial, os serviços não são estáticos. Controladores de domínio podem ser adicionados ou removidos, etc. O mesmo se aplica às estações de trabalho. Isto significa que as informações no DNS precisam ser atualizadas para refletir isso. Atualizações Dinâmicas é um protocolo que permite a um cliente modificar as informações publicadas no DNS. Um cliente envia uma consulta ao servidor DNS de resolução para descobrir para qual servidor DNS de conteúdo ele pode enviar as novas informações. No caso de uma infraestrutura DNS integrada ao Active Directory, o servidor DNS de resolução pode muito bem ter acesso ao próprio banco de dados: nesse caso, o servidor DNS de resolução informa ao cliente que ele próprio pode atualizar as informações.