Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
O que é DNS no Active Directory?

O que é DNS no Active Directory?

Feb 17, 2017

Os administradores de TI têm trabalhado com e em torno do Active Directory desde a introdução da tecnologia no Windows 2000 Server. O Windows 2000 Server foi lançado em 17 de fevereiro de 2000, mas muitos administradores começaram a trabalhar com o Active Directory no final de 1999, quando foi lançado para fabricação (RTM) em 15 de dezembro de 1999.

O que é Active Directory DNS?

AD DS oferece um método integrado de armazenamento e replicação de DNS records utilizando zonas de DNS integradas ao Active Directory.

Todos os registros e dados de zona armazenados dentro da zona são replicados para outros servidores DNS usando o serviço nativo de AD DS replication service. Cada DC armazena uma cópia editável dos dados da zona DNS para os namespaces para os quais são autoritativos. Zonas integradas ao Active Directory também oferecem a capacidade de usar atualizações dinâmicas seguras, o que suporta o controle de quais computadores podem fazer atualizações e impede que alterações não autorizadas sejam feitas.

Os dados da zona DNS são armazenados em uma partição de diretório de aplicação. Uma partição de âmbito florestal chamada ForestDnsZones é utilizada para os dados da zona. Para cada domínio AD DS, é criada uma partição de domínio denominada DomainDnsZones.

Normalmente, as implementações de DNS são usadas com um contiguous namespace.

Por exemplo, o Fully Qualified Domain Name (FQDN) de um domínio AD DS pode ser corp.contoso.com, e o FQDN de um cliente nesse domínio seria client.corp.contoso.com. No entanto, AD DS e zonas DNS integradas ao Active Directory suportam disjoint namespaces. Nesse cenário, o FQDN do domínio AD DS poderia ser na.corp.contoso.com, enquanto um FQDN de cliente poderia ser client.corp.contoso.com. Observe que a parte “na” do FQDN não está presente no FQDN do cliente. Existem vários requisitos e considerações ao usar um disjoint namespace.

Para mais informações, consulte https://technet.microsoft.com/en-us/library/cc731125%28v=ws.10%29.aspx.

Três componentes específicos de DNS

AD DS requer DNS para funcionar e utiliza três componentes específicos para a infraestrutura do AD DS:

  • Localizador de controlador de domínio.

O Locator é implementado no serviço Net Logon e fornece os nomes dos DCs em um ambiente AD DS. O Locator utiliza registros de recursos DNS de endereço (A) e serviço (SRV) para identificar DCs em um ambiente AD DS.

  • Nomes de domínio do Active Directory em DNS.

Os nomes de domínio AD DS no DNS são o FQDN que discutimos anteriormente.

  • Objetos DNS do Active Directory.

Embora os domínios DNS e os domínios AD DS geralmente tenham o mesmo nome, são dois objetos separados com funções diferentes. O DNS armazena zonas e dados de zonas necessários pelo AD DS e responde a consultas DNS de clientes. O AD DS armazena nomes de objetos e registros de objetos e usa consultas LDAP para recuperar ou modificar dados. Zonas DNS que são armazenadas no AD DS têm um objeto contêiner que está na classe dnsZone. O objeto dnsZone possui um nó DNS, que utiliza a classe dnsNode. Cada nome único em uma zona DNS tem um objeto dnsNode único. Para o AD DS, isso também inclui funções individuais. Portanto, um DC pode ter múltiplos papéis, como ser um catálogo global servidor, o que é indicado no objeto dnsNode.

Registros DNS no Active Directory

Como mencionado anteriormente, os DCs são identificados pelos registros SRV em uma zona de DNS. Os componentes do AD DS são armazenados no DNS usando o seguinte formato no subdomínio _msdcs: _Service.Protocol.DcType._msdsc.DnsDomainName.

Por exemplo, o serviço Lightweight Directory Access Protocol (LDAP) do Primary Domain Controller (PDC) no domínio AD DS contoso.com seria _ldap._tcp.pdc.contoso.com. As strings de serviço e protocolo usam sublinhados (_) como prefixo para evitar possíveis colisões com recursos ou registros existentes no namespace.

O serviço Net Logon requer 17 diferentes registros SRV para realizar buscas. Uma lista completa dos registros SRV pode ser encontrada em https://technet.microsoft.com/en-us/library/cc759550%28v=ws.10%29.aspx.

Além dos registros SRV, o serviço Net Logon também requer dois registros A para clientes que podem não estar cientes de SRV. Isso inclui um registro para o DnsDomainName, e um registro para gc._msdsc.DnsForestName. Isso permite que clientes não cientes de SRV localizem um controlador de domínio ou servidor de catálogo global usando um registro A.

Melhores práticas

O DNS é suscetível a ameaças de segurança, como mapeamento, ataques de negação de serviço, modificação de dados e redirecionamento.

Para mitigar essas ameaças, as zonas DNS podem ser protegidas usando secure dynamic updates, restringindo transferências de zona, além de implementar delegação de zona e DNS Security Extensions (DNSSEC). Ao usar secure dynamic updates, os computadores serão autenticados através do Active Directory, e as configurações de segurança serão aplicadas ao realizar uma transferência de zona.

Além disso, as transferências de zona também podem ser restritas a endereços IP específicos dentro da rede. A delegação de zona pode ser abordada usando dois métodos.

Primeiro, é limitar as alterações de DNS a uma única equipe ou entidade, com todas as alterações rastreadas e aprovadas. Este método limita a quantidade de pessoas fazendo alterações, mas permite um único ponto de falha.

Em segundo lugar, as zonas podem ser delegadas a indivíduos que estarão gerenciando cada componente de uma rede ou domínio. Embora as alterações ainda precisem ser aprovadas e rastreadas, isso distribui o risco entre várias pessoas e pode limitar o dano se apenas um componente for comprometido.

DNSSEC

DNSSEC valida as respostas do DNS fornecendo autoridade de origem, integridade de dados e negação de existência autenticada. A implementação de DNSSEC no Windows Server 2012 atende aos padrões para RFC 4033, 4034, e 4035.

Existem seis tipos de registros de recursos que são usados especificamente com DNSSEC:

  • Assinatura de registro de recurso (RRSIG)
  • Next Secure (NSEC)
  • Next Secure 3 (NSEC3)
  • Next Secure 3 Parameter (NSEC3PARAM)
  • Chave DNS (DNSKEY)
  • Delegation Signer (DS)

Para mais informações sobre cada um dos tipos de registro e seu uso, consulte https://technet.microsoft.com/en-us/library/jj200221.aspx.

Mais informações sobre os conceitos básicos do Active Directory podem ser encontradas em nosso AD tutorial for beginners.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Brian Svidergol

TI

Especialista em infraestrutura Microsoft e soluções baseadas na nuvem construídas em torno do Windows, Active Directory, Azure, Microsoft Exchange, System Center, virtualização e MDOP. Além de escrever livros, Brian produz conteúdo de treinamento, white papers e é revisor técnico em um grande número de livros e publicações.

Saiba mais sobre este assunto

Criar usuários do AD em massa e enviar suas credenciais por e-mail usando PowerShell

Como criar, alterar e testar senhas usando PowerShell

Como adicionar e remover grupos AD e objetos nos grupos com PowerShell

Confianças no Active Directory

Ataques de ransomware ao Active Directory

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança