O Windows Server 2012 foi projetado para operar mais em uma rede centrada no serviço e não em um servidor. Essa é uma mudança bem-vinda porque o gerenciamento de serviços de rede é ainda mais importante do que gerenciar qualquer servidor individual no ambiente de rede de hoje.

Este primeiro artigo da nossa série de serviços de rede é dedicado ao Sistema de Nomes de Domínio (DNS). O DNS é o cerne da maioria das redes corporativas nos dias de hoje. Sem DNS, você não poderá enviar ou receber e-mails, navegar na Internet ou ter acesso a outros serviços críticos, como o Active Directory. É o DNS que possibilitou que você encontre e leia este artigo on-line.

Por que nos tornamos tão dependentes do DNS? É realmente uma deficiência humana: não estamos tão bons em memorizar números longos. É mais fácil lembrar um nome como amazon.com em vez de um endereço IPv4, ou seja, 206.178.205.143, ou um endereço IPv6, como 2000: 12DC: 20A7: 3C48: 78DA: C096: B10A: E387. O protocolo TCP / IP que é usado na Internet por ambas as redes corporativas e milhões de casas em todo o mundo precisa desses endereços IP para se comunicar e encaminhar o tráfego da rede. O DNS fornece o serviço que permite a tradução entre nomes amigáveis ​​para usuários e esses números de endereço IP hostis.

Outro benefício do ponto de vista do usuário é que você pode usar nomes de host que não mudam enquanto os endereços IP subjacentes podem ser alterados sem que os usuários tenham que aprender o novo endereço. Com o DNS, eles não perceberão a diferença, e é assim que deve ser.

O nome do host pode ter até 255 caracteres e pode incluir caracteres alfabéticos e numéricos, períodos e hifens. O nome do host é combinado com o nome de domínio para formar um nome de domínio totalmente qualificado (FQDN). Por exemplo, http://www.google.com é um FQDN onde “www” é o host e “google.com” é o componente de domínio. O DNS do Windows Server 2012 pode ser configurado para resolver FQDNs e outros nomes de host para endereços IPv4 e IPv6.

O Windows Server 2012 adicionou alguns novos recursos de DNS avançados e um novo serviço chamado IPAM (IP Protocol) que permite que os administradores de sistemas gerenciem serviços DNS e DHCP a partir de um console central, fornecendo uma visão unificada de suas zonas DNS e configuração e uso de endereçamento IP.

O DNS é mais utilizado para:

  • Resolver nomes de host para endereços IP
  • Localize controladores de domínio e servidores de catálogo global
  • Localize servidores de correio
  • Resolver endereços IP para nomes

O DNS é um serviço cliente / servidor que pode envolver centenas de computadores, começando com um usuário tentando acessar um site dentro de um escritório corporativo, indo até os servidores raiz do DNS na Internet. Vamos rever o processo de resolução de nomes, primeiro do lado do cliente DNS e depois para o lado do servidor DNS.

Cliente DNS

Se um aplicativo requer o uso de sockets e nomes de host do Windows, os sistemas operacionais Windows tentam resolver os nomes dos hosts na seguinte ordem:

  1. Verifique se o nome do host é o mesmo que o nome do host local.
  2. Procure o cache do resolvedor do cliente DNS. Quaisquer entradas do arquivo hosts são pré-carregadas no cache do resolvedor.
  3. Envie uma consulta de resolução de nomes DNS para o servidor DNS configurado.

O cliente DNS vai de um passo para o próximo apenas se não conseguir obter o nome do host resolvido no anterior. Se nenhuma das etapas anteriores funcionar e o NetBIOS sobre TCP / IP estiver habilitado, o cliente DNS procederá da seguinte maneira:

  1. Converta o nome do host em um único rótulo (nome NetBIOS) e verifique o cache do nome NetBIOS local.
  2. Entre em contato com o servidor WINS configurado.
  3. Transmita uma consulta de nome NetBIOS até três vezes na sub-rede local.
  4. Procure o arquivo Lmhosts.

Todos os clientes do Windows desde o Windows Vista, Windows Server 2008 e Windows Server 2012 suportam a resolução de nomes para endereços IP usando o protocolo Link-Local Multicast Name Resolution (LLMNR). LLMNR pode ser usado na rede local para resolver nomes para endereços IPv4 e IPv6 quando um servidor DNS não está configurado. Este protocolo pode ser mais importante para fornecer resolução de nomes locais em redes IPv6, uma vez que o NetBIOS só funciona em ambientes IPv4. Todos os nós na sub-rede local devem ter Discovery de rede ativado para LLMNR funcionar corretamente.

Servidor DNS

Quando você instala o serviço DNS em um servidor Windows Server 2012, uma lista dos servidores raiz da Internet é pré-carregada por padrão. Esses servidores são conhecidos como dicas de raiz; Eu falarei mais sobre eles mais tarde.

Vamos seguir o processo de como este servidor DNS trataria consultas de resolução de nomes de computadores clientes e outros dispositivos.

  1. Um usuário digita algo como http://www.google.com ou clica em um hiperlink para google.com em um navegador.
  2. Se o servidor DNS local não conhece o endereço IP de http://www.google.com, ele consulta um servidor DNS raiz perguntando pela localização dos servidores DNS .com.
  3. Depois de obter uma resposta de um servidor DNS raiz, o servidor DNS local consulta um servidor DNS .com solicitando a localização dos servidores DNS google.com.
  4. Uma vez que o servidor DNS .com respondeu, o servidor DNS local entra em contato com o servidor DNS google.com solicitando o endereço IP de http://www.google.com .
  5. Depois que o servidor de DNS google.com fornecer essa informação, o servidor DNS local retorna o endereço IP do site http://www.google.com de volta ao computador do usuário para permitir que esse computador complete uma conexão com http://www.google.com.

Nem todas as consultas de resolução de nomes para um servidor DNS seguirão as etapas anteriores. A configuração de cache e encaminhamento pode alterar a forma como os servidores DNS controlam o processo.

Armazenamento em cache – Digamos que um servidor DNS local passa por essas 5 etapas para resolver um novo nome para um endereço IP. Uma vez que o servidor DNS local aprende essa informação, armazena em cache os resultados por algumas horas. A partir desse momento, qualquer nova consulta de resolução de nomes para o mesmo nome será notificada do cache do servidor DNS. Isso acelera o processo de resolução de nomes.

Encaminhamento – Quando o encaminhamento é configurado, um servidor DNS enviará solicitações de resolução de nomes para outro servidor DNS em vez de consultar os servidores raiz na Internet. É possível configurar o encaminhamento condicional; Um encaminhador condicional é um servidor DNS que encaminha consultas DNS de acordo com o nome de domínio incluído na consulta.

Zonas DNS e Registros

Os dados de DNS são mantidos em um banco de dados que pode ser armazenado em um arquivo de texto ou no banco de dados de diretório ativo quando o serviço de DNS está configurado em um controlador de domínio.

Os dados do DNS são organizados em zonas; Cada zona é uma porção específica do namespace DNS que está armazenada em um arquivo separado ou como uma unidade de replicação quando armazenada no diretório ativo. Os servidores DNS podem hospedar uma ou mais zonas de um domínio específico. Ao criar um domínio de diretório ativo, uma zona DNS correspondente com o mesmo nome que o novo domínio deve existir ou ser criada durante o processo para garantir a funcionalidade adequada dos serviços de diretório.

As zonas DNS contêm registros de recursos diferentes. Os registros de recursos especificam um tipo de recurso e o endereço IP para localizar o recurso. As zonas DNS podem resolver nomes para endereços IP ou endereços IP para nomes para dispositivos que executam o protocolo TCP / IP, como estações de trabalho, servidores, roteadores, switches, etc.

No caso dos serviços de domínio do Active Directory, um tipo especial de registro DNS (SRV) é usado para localizar controladores de domínio e servidores de catálogo global. Os dois tipos de zonas DNS comuns configuradas na maioria das implementações de DNS são as zonas de pesquisa direta e inversa.

Zonas de Busca Avançada

As zonas de pesquisa direta resolvem nomes de host para endereços IP, e eles respondem para nomear consultas respondendo com os endereços IP correspondentes que combinam os nomes nessas consultas.

As zonas de pesquisa direta hospedam registros de recursos comuns, incluindo host IPV4 (A), host IPv6 (AAAA), alias (CNAME), serviço (SRV), permutador de mensagens (MX), recurso de início de autoridade (SOA) e servidor de nomes (NS) Registros. Ambos os nomes de host IPv4 e IPv6 podem ser incluídos na mesma zona de pesquisa direta no Windows Server 2012.

Zonas de busca reversa

As zonas de pesquisa inversa resolvem endereços IP para nomes de domínio. Quando um endereço IP é parte da consulta, a zona de pesquisa inversa retorna o nome do host correspondente. As zonas de pesquisa inversa hospedam SOA, NS e os registros de recursos do ponteiro (PTR). As zonas separadas de busca inversa devem ser criadas para IPv4 e IPv6 no Windows Server 2012. É possível executar uma infra-estrutura de DNS sem configurar zonas de pesquisa inversa, mas algumas funcionalidades importantes estarão faltando como resultado e o serviço gerará inúmeros avisos e mensagens de erro .

As zonas de pesquisa inversa podem ser usadas para combater o spam. Os spammers usam relés abertos (servidores SMTP) na internet para enviar seus enormes emails não solicitados e ocultar sua identidade. Um servidor de correio pode realizar pesquisas inversas para tentar detectar relés abertos; Isso permitiria a aplicação de filtragem de tráfego a partir desses relés abertos que podem prevenir ou minimizar o spam indesejado.

Outro benefício importante das zonas de pesquisa reversa é que seus dados são freqüentemente usados ​​para validar informações da zona direta. Por exemplo, se a pesquisa direta especifica que support.mycompany.com é resolvido para 172.16.0.8, você pode usar uma pesquisa inversa para confirmar que 172.16.0.8 está realmente associado com support.mycompany.com.

Consultas de DNS recursivas e iterativas

Um servidor DNS responde consultas de DNS recursivas e iterativas. As consultas recursivas requerem um endereço IP totalmente resolvido a partir do servidor DNS. Esses tipos de consultas geralmente são originados de clientes DNS para um servidor DNS. Depois de receber uma consulta recursiva, um servidor DNS responderá com o endereço IP correspondente ou gerará uma resposta negativa. O servidor DNS não encaminhará o cliente DNS para outro servidor DNS para continuar sua consulta.

As consultas iterativas normalmente são iniciadas por um servidor DNS após receber uma consulta de resolução de nomes que não pode responder usando seu banco de dados local ou suas pesquisas de cache. Nesse caso, o servidor DNS usa uma consulta iterativa para enviar a mesma pergunta para outro servidor DNS. Se o outro servidor DNS tiver a resposta, ele responde com o endereço IP para o nome solicitado, mas se não conhece a resposta, ele envia uma referência para os servidores DNS que são responsáveis ​​pelo domínio que está sendo consultado. Este processo continua até que um DNS autorizado seja encontrado ou uma condição de tempo limite seja alcançada.

Sugestões de Raiz e Consultas Iterativas

Anteriormente, mencionei que, ao instalar DNS no Windows Server 2012, uma lista de endereços de servidor raiz da Internet (dicas de raiz) é pré-carregada por padrão. Essas dicas de raiz apontam para os servidores DNS de nível superior na internet. Esses servidores mantêm inteligência sobre os domínios de nível superior como .com, .org, .net, .edu, etc. Ao instalar o serviço DNS, essas informações são copiadas do arquivo cache.dns que está por padrão localizado no% windir% \ System32 \ dns diretório.

Os servidores de dicas de raiz não estão configurados para responder a consultas recursivas, e os servidores DNS apenas enviam consultas iterativas para as dicas de raiz. Isso pode ser um pouco confuso para algumas pessoas porque para impedir que um servidor DNS envie consultas para as dicas de raiz, a opção Não Usar Recursão para Este Domínio deve ser selecionada. No entanto, a recursão em um servidor DNS e as consultas recursivas são duas coisas diferentes.

Quando a recursão é ativada em um servidor DNS, isso significa que o servidor pode enviar consultas DNS às dicas de raiz configuradas ou a outros servidores DNS quando atua como um encaminhador. As consultas recursivas são solicitações de resolução de nomes feitas em um servidor DNS no qual o solicitante solicita ao servidor DNS que forneça uma resposta completa de sim ou não. O servidor DNS não pode responder com um encaminhamento para que o solicitante entre em contato com outro servidor DNS.

O serviço do servidor DNS não está instalado no Windows Server 2012 por padrão. Ele deve ser adicionado como uma função de servidor usando uma das seguintes opções:

  • Gerenciador do Servidor
  • Windows PowerShell
  • Assistente de instalação de serviços de domínio do Active Directory (ao promover o servidor para um controlador de domínio do Active Directory)

Uma vez que a instalação esteja completa, um console de gerenciamento da Microsoft com o snap-in do Gerenciador de DNS está disponível automaticamente no menu de ferramentas e você pode monitorar um ou mais servidores DNS no console do Gerenciador de Servidores. Digitando dnsmgmt.msc a partir do prompt de comando ou a caixa de pesquisa traz o Gerenciador de DNS.

Vamos rever as etapas para instalar o DNS usando o Gerenciador do Servidor:

1. No console do Gerenciador do Servidor, clique em Adicionar funções e recursos .

Imagem
figura 1

2. Na página Antes de começar , clique em Avançar .

3. Na página Selecionar tipo de instalação , verifique se a instalação baseada em função ou baseada em recursos está selecionada e clique em Avançar .

Imagem
Figura 2

4. Na página Selecionar servidor de destino , verifique se o servidor correto está selecionado e clique em Avançar.

Imagem
Figura 3

5. Na página Selecionar funções do servidor , selecione Servidor DNS.

Imagem
Figura 4

6. Quando o Assistente para adicionar funções e recursos for exibido, clique em Adicionar recursos e, em seguida, clique em Avançar .

Imagem
Figura 5

7. Na página Selecionar recursos , clique em Avançar .

Imagem
Figura 6

8. Na página Servidor DNS , clique em Avançar .

Imagem
Figura 7

9. Na página Confirmar seleção de instalação , clique em Instalar .

Imagem
Figura 8

10. Na página de progresso da instalação , quando a mensagem da Instalação tiver êxito , clique em Fechar.

Imagem
Figura 9

Vamos agora rever o processo de instalação do DNS usando o Windows PowerShell. Podemos verificar as funções e os recursos instalados no Windows Server 2012 digitando o seguinte a partir de um prompt do PowerShell:

Get-WindowsFeature | ? {$ _. Installed}.

Imagem
Figura 10

A figura anterior mostra os recursos instalados no Windows Server 2012 por padrão. Para adicionar a função do servidor DNS usando o Windows PowerShell, primeiro importe o módulo PowerShell ServerManager e execute o cmdlet Install-WindowsFeature como mostrado abaixo:

Imagem
Figura 11

Usando o PowerShell novamente, podemos verificar se a função DNS está agora instalada:

Imagem
Figura 12

Servidor de DNS somente em cache

Se você usa o gerenciador do servidor ou o Windows PowerShell, o servidor DNS não possui nenhuma zona configurada logo após a instalação. Sem zonas, você ainda pode usar este servidor como um DNS somente em cache.

Um servidor de DNS apenas em cache não é autoritário para nenhum domínio. Ele recebe solicitações de resolução de nomes e gera uma consulta iterativa para as dicas de raiz na Internet ou encaminha a solicitação para outro servidor DNS quando configurado como um encaminhador. O servidor DNS de cache só armazena as respostas antes de enviá-las de volta ao cliente DNS; Dessa forma, a próxima vez que uma consulta de resolução de nomes vier pedindo o mesmo nome, o servidor DNS somente em cache responde a partir de seu próprio cache em vez de gerar outra consulta iterativa ou encaminhar a solicitação.

Para verificar as dicas de raiz no servidor DNS do Windows Server 2012, use o seguinte cmdlet PowerShell:

Imagem
Figura 13

Tipos de Zonas DNS

Além das zonas de pesquisa direta e inversa que revisamos em nosso artigo de DNS anterior, existem quatro tipos de zonas diferentes que podem ser configurados em um servidor DNS Windows Server 2012.

Zona primária . Um servidor DNS pode ler e gravar dados em uma zona primária. Isso é possível porque o servidor DNS armazena a cópia mestre dos dados da zona em um arquivo de texto ou no banco de dados do Active Directory se o DNS estiver instalado em um controlador de domínio. Se um arquivo local for usado, o arquivo será nomeado com o mesmo nome que a zona usando uma extensão .dns como zone_name.dns. O arquivo de zona é salvo no diretório% windir% \ system32 \ dns por padrão.

Quando um arquivo é usado, o servidor DNS primário é o único que possui uma cópia gravável do banco de dados.

Um servidor DNS é autoritário para os registros que possui em uma zona primária. Isso significa que se o servidor DNS receber uma consulta de resolução de nomes que inclua o nome de domínio na zona principal, o servidor DNS responderá com uma resposta sim ou não. O DNS autenticado não enviará essa consulta de resolução de nomes para qualquer outro servidor DNS.

Zona secundária . Um servidor de DNS pode ler, mas não gravar dados em uma zona secundária. Uma zona secundária é uma cópia de uma zona primária que outro servidor DNS hospeda. A informação na zona secundária é obtida e atualizada através de transferências de zona de outro servidor. Um arquivo de texto somente leitura é usado para armazenar as informações localmente; As zonas secundárias não podem ser armazenadas no banco de dados do diretório ativo. Um servidor DNS é autoritário para os registros que possui em uma zona secundária.

Zona de stub . Uma zona de stub é uma cópia limitada de uma zona que consiste nos seguintes registros: registros de recursos de início de autoridade (SOA), registros de servidor de nomes (NS) e registros de nome de host (A). Esses registros são usados ​​para identificar os servidores DNS autenticados da zona. O servidor DNS que contém a zona do stub não é autoritário para essa zona. Quando este servidor DNS recebe uma consulta de resolução de nomes, ele precisa perguntar a um dos servidores DNS autorizados da zona do stub.

Zona integrada do Active Directory. As zonas integradas do diretório ativo podem ser configuradas apenas em controladores de domínio que também são servidores DNS. Esta é uma zona primária com os dados armazenados no banco de dados do diretório ativo. Veja a figura abaixo.

Imagem
Figura 14

Existem vários benefícios de usar zonas integradas de diretório ativo, entre elas:

Atualizações dinâmicas seguras. As atualizações dinâmicas permitem aos clientes DNS registrar seus registros de recursos no banco de dados DNS automaticamente sem intervenção manual. Este recurso está disponível em zonas primárias padrão; No entanto, apenas as zonas DNS integradas ao diretório ativo podem ser configuradas para atualizações dinâmicas seguras. Isso significa que você pode definir permissões na zona para permitir que apenas computadores autorizados se inscrevam no banco de dados DNS.

Topologia de replicação segura . Não é necessário configurar a transferência de zona nas zonas integradas do Active Directory da maneira que você precisa fazer com as zonas primárias padrão e as zonas secundárias. Com as zonas integradas do Active Directory, os dados DNS são transferidos automaticamente como parte da replicação do diretório ativo. Toda a replicação AD é criptografada por padrão.

Aumente a resiliência . Não há um único ponto de falha quando você tem vários controladores de domínio que mantêm zonas integradas de diretório ativo. Cada controlador de domínio possui uma cópia de leitura / gravação da zona DNS; Isso permite que as alterações e as atualizações automáticas realizadas em qualquer controlador de domínio sejam replicadas em todo o domínio ou na floresta usando o poderoso mecanismo de replicação de diretório ativo.

Permissões de segurança. Como qualquer outro objeto de diretório ativo, você pode delegar administração e aplicar permissões individuais para zonas e registros de recursos, modificando a lista de controle de acesso (ACL) na zona. Veja abaixo a guia de segurança nas propriedades de uma zona integrada de diretório ativo:

Imagem
Figura 15

Opções avançadas de configuração de DNS do Windows Server 2012

O Windows Server 2012 oferece algumas opções de configuração avançadas que permitem melhorar a segurança e o desempenho da sua infra-estrutura de DNS. Vamos rever alguns deles:

Extensões de segurança DNS (DNSSEC). O protocolo DNS não possui capacidades integradas para garantir a autenticação ou verificar a integridade das informações de DNS que são trocadas entre servidores DNS ou entregues a clientes DNS. Esta vulnerabilidade conhecida pode ser explorada por atacantes que podem seqüestrar a atividade de resolução de nomes quando os usuários estão tentando acessar um site na Internet. Uma das finalidades do atacante poderia ser assumir o controle do processo e redirecionar o navegador do usuário para um site de fraude falso onde o usuário é solicitado a inserir informações pessoais como nome de usuário, senha, cartão de crédito, conta bancária ou números de segurança social. O DNSSEC usa certificados de infra-estrutura de chave pública (PKI) com o protocolo DNS para permitir que os servidores DNS validem as respostas DNS. Com o DNSSEC, um administrador pode assinar digitalmente uma zona DNS, que é uma maneira de assinar digitalmente todos os registros dentro dessa zona.

Quando uma consulta de DNS é emitida para um registro de recurso em uma zona assinada, uma assinatura digital é retornada com a resposta para que a validação possa ser realizada. O processo de validação garante que os dados não foram modificados ou adulterados e podem ser confiáveis ​​pelo resolvedor de DNS.

DNSSEC Resource Records

Novos tipos de registros de recursos estão associados ao DNSSEC. As assinaturas que são geradas após a implementação do DNSSEC estão contidas na zona DNS como uma Assinatura do Registro de Recursos (RRSIG). Quando o servidor DNS responde a uma consulta de resolução de nomes, um ou mais registros RRSIG são retornados na resposta. Uma chave criptográfica pública que é armazenada em um registro de recurso DNSKEY é usada para verificar a assinatura. O registro DNSKEY é recuperado por um servidor DNS durante o processo de validação. Se nenhum registro de recurso correspondente for encontrado, isso significa que não há registro RRSIG, no entanto, a resposta do servidor DNS ainda deve ser validada, pois nesses casos, os registros Next Secure (NSEC) são usados. Um validador pode usar o registro NSEC como prova de que o nome não existe. O NSEC3 é uma alternativa melhor ao registro NSEC; Ambos são suportados pelo Windows Server 2012.

Pontos de Confiança e Tabela de Política de Resolução de Nomes

Dois componentes importantes de uma implementação DNSSEC são Pontos de confiança e Tabela de política de resolução de nomes.

Pontos de confiança . Estes fornecem uma maneira de compartilhar a chave pública usada para validar a assinatura digital do registro RRSIG com outros servidores de DNS confiáveis. Se o servidor DNS estiver sendo executado em um controlador de domínio, os pontos de confiança podem ser armazenados na partição do diretório de floresta nos Serviços de Domínio Active Directory (AD DS) a partir dos quais eles podem ser replicados para todos os servidores DNS que funcionam em controladores de domínio na floresta.

Tabela de política de resolução de nomes (NRPT). Ele lista zonas ou namespaces que executam consultas DNSSEC e aqueles que não. É possível usar a política de grupo ou o Windows PowerShell para configurar o NRPT para exigir que a validação DNSSEC seja realizada em respostas de DNS em espaços de nome selecionados.

Usando o Windows PowerShell, podemos verificar que uma zona DNS está atualmente sem assinatura. No prompt do PowerShell, digite: Resolve-Dnsname FQDN -server DNS_Server_name -dnssecok. Veja a saída a seguir:

Imagem
Figura 16

Agora, vamos assinar uma zona DNS com DNSSEC para verificar como essa saída muda. Aqui estão as etapas para assinar a zona:

1. Abra o Gerenciador de DNS, clique com o botão direito do mouse na zona de DNS e selecione DNSSEC – Assine a Zona.

Imagem
Figura 17

2. Na página Extensões de Segurança do DNS (DNSSEC) , clique em Avançar.

Imagem
Figura 18

3. Na página Opções de assinatura , selecione Usar configurações padrão para assinar a zona e clique em Avançar.

Imagem
Figura 19

4. Na página Extensões de Segurança do DNS (DNSSEC) , clique em Avançar.

Imagem
Figura 20

5. Na página Assinatura da Zona , clique em Concluir .

Imagem
Figura 21

Agora, podemos ver os registros de recursos RRSIG , DNSKEY e NSEC3 contidos na zona assinada.

Imagem
Figura 22

A execução do Windows PowerShell novamente verifica se a zona foi assinada digitalmente. Você pode comparar esse resultado com o resultado anterior, antes de aplicar o DNSSEC.

Imagem
Figura 23

Pool Socket DNS e bloqueio de cache

O DNSSEC foi projetado para proteger as consultas de resolução de nomes dos clientes DNS dos dados de DNS forjados, incluindo o envenenamento de cache DNS. Socket Pool e Cache Locking são duas opções de configuração mais avançadas que podem ajudar a fortalecer sua segurança DNS.

DNS Socket Pool . Este recurso permite que o servidor DNS use uma porta de origem aleatória fora de um intervalo pré-configurado ao enviar consultas de DNS. Ao não usar a mesma porta para cada nova consulta de DNS, o pool de soquetes melhora a proteção contra ataques de envenenamento de cache DNS.

A figura abaixo mostra como usar a ferramenta dnscmd para verificar e configurar o tamanho do pool de soquetes DNS.

Imagem
Figura 24

Bloqueio de cache. Quando o bloqueio do cache está ativado, o servidor DNS não permitirá que os registros em cache sejam substituídos pelo tempo do tempo para viver (TTL) no registro DNS. Esse recurso protege os registros de cache do DNS contra possíveis ataques de envenenamento de cache DNS por usuários mal-intencionados na Internet.

O bloqueio de cache é configurado como um valor percentual. Digamos que você defina o valor de bloqueio de cache em 75, o servidor DNS não substituirá uma entrada em cache por 75% da duração do TTL. Por padrão, o valor de porcentagem de bloqueio do cache é 100, o que significa que as entradas em cache não serão substituídas por toda a duração do TTL.

Você pode usar a ferramenta dnscmd para configurar o bloqueio de cache em um servidor DNS Windows Server 2012. Veja a figura abaixo.

Imagem
Figura 25

Neste artigo, passamos pelo processo de instalação da função DNS usando Windows Server 2012 Server Manager e Windows PowerShell. Usamos DNS Manager Console , PowerShell e dnscmd para concluir tarefas administrativas e revisamos alguns recursos de segurança avançados, incluindo zonas integradas de diretório ativo, DNSSEC, pool de soquetes e cache procurando.

Anúncios