Conceitos Gerais 2 - DNS Interno

Hoje falaremos sobre outro assunto que causa muita dúvida, principalmente em profissionais que estão começando agora. Vamos falar sobre DNS e como configurá-lo em uma rede simples.

No nosso cenário temos uma Rede Interna com um domínio local e Active Directory. Há também uma rede DMZ e um Firewall de borda, um ISA com 3 placas de rede no perfil de "3Leg Perimeter". Veja imagem abaixo:


Para começar, vamos entender o seguinte: Muita gente acha que a resolução de nomes, se dá pelos servidores DNS disponibilizados pelos provedores de acesso a internet (ISP) como Speedy, Virtua e etc. O que precisa ser compreendido é que o serviço de DNS do Windows Server quando configurado corretamente, pode ser utilizado para resolução de nomes diretemante com servidores DNS chamados "Root Hints". Para saber mais sobre eles, clique aqui.

No exemplo acima, temos 2 Zonas DNS. Uma delas é a Zona contoso.corp. Essa é uma Zona integrada do Active Directory. Esse domínio não é um domínio válido na Internet, é apenas para utilização na rede interna.

A outra Zona é a contoso.com.br que é uma Zona DNS padrão. Veja que há 2 servidores servindo esta Zona, um com a Zona Primária e o outro com a Secundária. Coloquei desta forma pois o Registro.br, que é o orgão que controla os domínios no Brasil, pede pelo menos 2 servidores para cada domínio.

Vamos falar primeiro sobre a Zona contoso.corp. Em seu servidor DC principal, você terá algo parecido com isso no DNS:


Se você entrar nas propriedades da Zona DNS, terá o seguinte:

Veja que a Zona está configurada como "Active Directory-Integrated" e a replicação está configurada para "All DNS Servers in the Active Directory domain". Isso faz com que todos os servidores DNS no domínio possam receber uma cópia desta Zona e com isso temos uma contingência desta Zona. Além disso, para a transferência de Zona temos a aba Zone Transfer, onde habilitamos que a Zona seja replicada para os outros servidores.


Repare que está configurado para somente permitir transferência para os servidores listados na aba Name Servers.

Esta Zona DNS está configurada corretamente para funcionar como Zona de Active Directory. Antes de continuar com essa Zona, vamos falar sobre a Zona contoso.com.br. Neste Zona, abrindo as propriedades temos:


Veja que neste caso a configuração está totalmente diferente da anterior.Bom, até aqui não temos nada de mais, apenas 2 redes diferentes, cada uma com uma Zona DNS, sem comunicação entre elas. Antes de mais nada, precisamos fazer com que o servidor DNS da rede interna, resolva os nomes de internet para os clientes desta rede. Para isso faremos o seguinte: Nos servidores DNS da rede interna, abra as propriedades do servidor e clique na aba Root Hints:


Verifique se todos os servidores estão sendo exibidos como na imagem acima. Além disso, é preciso habilitar a saída de consultas DNS no ISA. Para isso crie uma regra de acesso permitindo, DNS, de internal (Ou servidor DNS) para External, para todos os usuários.

Com isso, o servidor DNS estará apto a resolver nomes de internet para os clientes internos. Agora precisamos fazer com que as requisições para o domínio contoso.com.br sejam encaminhadas para o servidor na DMZ. Para isso, acesse a aba Forwarders, e clique em New. Digite o nome do domínio e depois adicione o IP dos servidores que estão com a Zona na DMZ. Você terá algo parecido com a isso:


Com isso, sempre que um cliente da rede interna fizer uma requisição, o servidor DNS saberá onde ele deve procurar, se é na DMZ ou se irá pesquisar na internet através dos Root Hints.

Espero com esse post ter ajudado a entender o funcionamento de resolução de DNS em uma rede simples. No próximo post, vou mostrar como empresas que não tem a DMZ do caso acima, ou tem o domínio registrado em um provedor, devem fazer para que isso funcione.

Caso você tenha alguma dúvida ou sugestão, fique a vontade para utilizar os Comentários.

Até mais!