Julho 2007

Neste artigo descreverei um cenário básico, mas que oferece um bom nível de caching para consultas DNS realizadas em uma rede local - que necessitem ou não de resolução externa.

Em um arranjo convencional, possuímos um controlador de domínio, um default gateway de saída para a internet (roteador ou firewall) e as estações propriamente ditas.

As estações possuem como DNS Primário o Controlador de Domínio, ou caso a rede possua outros controladores adicionais, estes são inseridos na lista de servidores de resolução de nomes (DNS Primário, Secundário, etc.).

Os Servidores DNS da rede possuem como Servidor Primário seu próprio IP (ou o endereço de loopback da stack TCP, como 127.0.0.1*), e no caso de consultas não resolvidas, enviam as requisições para os root-servers** ou para os encaminhadores cadastrados no snap-in do serviço DNS (forwarders). Normalmente os forwarders são os servidores DNS do Provedor de Internet (ISP).

Não entraremos em detalhes sobre os tipos de consulta (recursiva e iterativa), mas vale a pena uma estudada no assunto!

*Na verdade, toda a rede 127.0.0.0 indica o endereço reservado para loopback, e não apenas o IP 127.0.0.1.

**Root-Servers são servidores DNS geograficamente dispersos, com uma base de dados enorme e ponteiros para outros servidores DNS.

O cenário sugerido contém um ISA Server 2006 como Edge Firewall (Firewall de Borda, sendo 1 interface de rede interna e uma externa (internet). Observe que não é obrigatória a utilização do ISA Server para este cenário, mas o artigo foi elaborado utilizando tecnologias Microsoft.

Supondo o ambiente em pleno funcionamento e o ISA Server atuando como Proxy Server e Gateway de Internet, devemos instalar o serviço DNS neste servidor.

Após instalar o serviço, defina na interface local do ISA Server o DNS Primário, com o IP 127.0.0.1. Faça o mesmo na interface externa (que normalmente utiliza os DNSs do ISP). Acesse o snap-in do DNS e defina os encaminhadores (forwarders) com os IPs dos servidores DNS do ISP.

A terceira etapa consiste em configurar o serviço DNS no(s) Controlador(es) de Domínio na rede local para que utilizem o ISA Server como DNS Forwarder. Se houver outro servidor DNS, mesmo que não seja Controlador de Domínio, avalie a topologia e faça as mudanças necessárias.

Como o ISA Server por padrão libera consultas DNS oriundas do host local para todas as redes, garantimos que apenas ele fará consultas externas, no caso de consultas não resolvidas.

Além disso, caso não tenhamos o serviço DNS instalado, o ISA Server utilizará os Servidores DNS do ISP cadastrados na interface externa para as consultas solicitadas por clientes Proxy (Web Proxy clients).

Para permitir que as consultas encaminhadas pelos servidores da rede interna para o ISA Server sejam atendidas, devemos criar uma regra liberando o “Protocolo DNS” da Rede Interna para Local Host.

Após efetuar todas as configurações necessárias, o cenário ficará da seguinte maneira:

Desta forma, teremos o seguinte fluxo de resoluções de nome:

1-Estação faz uma consulta ao seu servidor DNS Primário (no caso é o DC da rede);

2-Se o servidor DNS for autoritativo para o domínio em questão ou possuir o registro (estático ou em cache), retornará uma resposta positiva ao cliente;

3-Caso não possua uma resposta, enviará a consulta ao ISA Server, visto que este é o encaminhador cadastrado em nosso DC.

4-ISA Server recebe a consulta, verifica se possui o registro (ou se é autoridade para tal) e retorna resposta. Caso não consiga resolver o nome em questão, encaminha a consulta aos encaminhadores cadastrados ou aos root-servers;

5-A consulta é resolvida e retorna ao ISA Server, onde é devolvida ao solicitante (DC) e armazenada em cachê.

6-O Controlador de Domínio também armazena a consulta em cache e devolve ao solicitante, no caso, a estação de trabalho.

Para novas resoluções, o processo é repetido e o cache aumenta de forma significativa. Com isso, evitamos ao máximo a saída de consultas de nomes para a internet, e caso haja necessidade, apenas o ISA Server ou outro Servidor DNS “dedicado” terão este trabalho. Os dados em cache ficarão armazenados tanto no ISA Server quanto em outros servidores DNS, aumentando assim a disponibilidade.