Pergunta. Eu tenho um Windows AD Domain e há uma parte que é um mistério para mim: como o Windows Domain / DNS Server está fazendo pesquisas de domínios fora do domínio do Windows?
Em uma rede doméstica simples, o roteamento de solicitação de DNS é fácil de entender:
Generic Example: Client machine -> (defined DNS or from DHCP) ->
->Router / Gateway -> (usually ISP DNS) -> DNS root servers -> Internet
Specific Example: 192.168.1.101 -> 192.168.1.1 -> 8.8.8.8 -> DNS root servers -> Internet
Em contraste, o caminho que vejo atualmente para minha rede AD é este:
Client Machine -> Windows Domain / DNS -> ??????? -> DNS root servers -> Internet
Se eu verificar as configurações de rede no meu servidor de domínio, o DNS será definido para o servidor DNS alternativo (servidor de domínio secundário), ele mesmo e o loopback e nada mais.
Minha internet funciona, então, de alguma forma, o servidor de domínio do Windows é inteligente o suficiente para obter informações de DNS de um servidor upstream, mas onde e como isso é definido?
Várias maneiras pelas quais seus controladores de domínio podem consultar um servidor de nomes externo:
Vou adivinhar o número 1 ou o número 2. Sua pergunta inclui apenas a verificação das configurações de rede - você verificou o gerenciador de DNS nos DCs?
Se todos os itens acima estiverem em branco, há algo não intencional acontecendo e talvez você deva rastrear as consultas de DNS de saída usando o wireshark.
O DNS consiste em duas partes bastante diferentes. Uma parte é responsável por publicar os dados e a outra parte é responsável por aceitar solicitações de DNS de clientes e tentar responder a essas solicitações coletando dados. Os servidores DNS que executam a função de publicação de dados geralmente são chamados de servidores "autoritários", embora esse não seja um nome tecnicamente correto. Pessoalmente, prefiro o nome "servidor de conteúdo DNS", mas esse termo não é muito usado. Os servidores que aceitam e respondem a solicitações de clientes geralmente são chamados de servidores de "resolução".
Na verdade, isso é bastante semelhante ao funcionamento dos servidores HTTP e proxies HTTP: os servidores HTTP publicam os dados e os proxies HTTP aceitam solicitações de clientes (navegadores) e entrarão em contato com os servidores para coletar os dados solicitados pelo cliente. Uma diferença entre navegadores da Web e clientes DNS é que um cliente DNS não é capaz de contatar os servidores DNS de conteúdo sozinho. Um cliente DNS precisa usar um servidor de resolução de DNS, enquanto um navegador da Web é perfeitamente capaz de funcionar sem um proxy HTTP.
Como as informações do DNS são armazenadas de maneira hierárquica e distribuída, para responder a uma única consulta, você precisará de informações de vários servidores de conteúdo DNS, provavelmente localizados em todo o mundo. Quando um cliente DNS deseja saber o endereço de "www.serverfault.com", basta enviar essa solicitação para um servidor de resolução de DNS. Esse servidor de resolução de DNS precisa executar o trabalho real de contatar os servidores DNS em todo o mundo.
Primeiro, o servidor DNS de resolução envia toda a consulta para um servidor raiz (que é um servidor DNS de conteúdo). Esse servidor raiz não tem uma resposta completa, mas sabe quais servidores de conteúdo DNS têm mais informações sobre nomes no domínio ".com". Portanto, o resolvedor de DNS agora envia toda a consulta para um dos servidores DNS de conteúdo ".com". Esse servidor também não tem uma resposta completa, mas sabe quais servidores de conteúdo DNS têm mais informações sobre nomes no
servervault.comdomínio. O servidor DNS de resolução continuará perguntando aos servidores DNS de conteúdo em todo o mundo até que tenha uma resposta completa para o cliente. Obviamente, o servidor DNS de resolução armazenará informações em cache ao longo do caminho: ele não entrará em contato com os servidores DNS de conteúdo raiz para cada consulta em um domínio ".com" se souber de seu cache onde estão os servidores DNS de conteúdo ".com".Um "encaminhador" é simplesmente um servidor DNS de resolução que envia consultas de clientes para outro servidor DNS de resolução (pré-configurado), em vez de tentar respondê-las entrando em contato com servidores DNS de conteúdo em todo o mundo. Os roteadores domésticos geralmente contêm um servidor DNS de resolução, que é configurado para usar o servidor DNS de resolução do ISP como um encaminhador.
Pode ficar confuso quando as duas funções diferentes (servir conteúdo e resolver) se juntam em um servidor DNS. Isso é mais ou menos o que acontece com o Active Directory. No Active Directory, o DNS é usado para publicar informações sobre onde determinados serviços podem ser encontrados. Por exemplo, quando um cliente no domínio
ad.example.comdeseja entrar em contato com um servidor de alteração de senha Kerberos para seu domínio, ele emite uma solicitação de DNS para um registro SRV chamado_kpasswd._tcp.ad.example.com. Essa solicitação de DNS é enviada, como qualquer outra solicitação de DNS, para o servidor DNS de resolução configurado no cliente. O servidor DNS de resolução então começa a trabalhar tentando responder à solicitação.É aqui que pode ficar um pouco confuso. O servidor de resolução de DNS pode saber que faz parte de um domínio específico do Active Directory, o que significa que pode reconhecer as consultas recebidas de nomes nesse domínio. Se o resolvedor receber essa consulta, ele não entrará em contato com servidores DNS externos, mas poderá responder diretamente com informações do banco de dados do Active Directory. Se uma consulta recebida não for para um nome no domínio, o resolvedor tenta responder à pergunta entrando em contato com os servidores DNS de conteúdo ou (no caso de estar configurado para usar um encaminhador) apenas envia a consulta para outro servidor de resolução DNS . Isso é provavelmente o que acontece no seu cenário.
O que pode confundir ainda mais as coisas são as atualizações dinâmicas. Em qualquer domínio não trivial, os serviços não são estáticos. Controladores de domínio podem ser adicionados ou removidos, etc. O mesmo se aplica às estações de trabalho. Isso significa que as informações no DNS precisam ser atualizadas para refletir isso. As atualizações dinâmicas são um protocolo que permite que um cliente modifique as informações publicadas no DNS. Um cliente envia uma consulta ao seu servidor DNS de resolução para descobrir para qual servidor DNS de conteúdo ele pode enviar as novas informações. No caso de uma infraestrutura de DNS integrada ao Active Directory, o servidor DNS de resolução pode muito bem ter acesso ao próprio banco de dados: nesse caso, o servidor DNS de resolução informa ao cliente que ele pode atualizar as informações por conta própria.