22
1 Redes de Computadores Resolução de nomes DNS e WINS/NetBIOS Abril de 2010 Instituto Superior de Engenharia do Porto – Departamento de Engenharia Informática – Redes de Computadores – André Moreira

DNS Wins Host

Embed Size (px)

DESCRIPTION

Como configurar os nomes DNS e Host de uma rede IP

Citation preview

  • 1Redes de Computadores

    Resoluo de nomes DNS e WINS/NetBIOSAbril de 2010

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 2Resoluo de nomesA manipulao de endereos de n pelos utilizadores e administradores no cmoda, mas em sob o ponto de vista da rede o nico elemento aceitvel para identificar um n sem ambiguidades.

    A resoluo de nomes tem como objectivo estabelecer uma ligao entre os utilizadores e os endereos de rede de tal forma que os primeiros no tenham de interagir directamente com os segundos. Apoiados neste servio os utilizadores podem usar nomes de mquinas bastante mais representativos para o ser humano.

    Aplicao de rede(Cliente)

    Nome de mquina(nome de servidor)

    Resoluo de nomes

    NomeRecurso a serviosde rede especficos

    para a resoluo do nome

    REDEEndereo

    Endereo

    NOME ENDEREOResoluo de nomes

    Utilizador

    Servidor

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 3Resoluo de nomes - NetBIOSDe entre vrios, um dos sistemas de resoluo de nomes que teve bastante sucesso foi o do sistema NetBIOS. Integrado em redes PEER-TO-PEER, em que no existem servidores, o NetBIOS envolve o envio em BROADCAST do nome a resolver (NAME QUERY), desta forma o detentor desse nome vai ter oportunidade de responder e revelar o seu endereo de n.

    Aplicao de rede(Cliente)

    Nome de mquina(nome de servidor)

    Resoluo de nomesNetBIOS

    Nome

    REDE

    EndereoUtilizador

    Nome (BROADCAST)

    Endereo (UNICAST)

    N com onome pedido

    Este mecanismo pode ser implementado sobre diversas pilhas de protocolos. Na pilha TCP/IP, mais comum actualmente, usado o protocolo UDP e o servio acessvel no porto 137.

    Endereo

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 4NetBIOS Registo de nomes

    A ausncia de qualquer resposta aos sucessivos pedidos de registo (NAME REGISTRATION), significa que o registo foi bem sucedido.

    O sistema de nomes NetBIOS foi concebido para redes sem servidores, cada n tem a misso de responder aos pedidos de rede relativos ao seu nome.

    Mesmo sem servidores h necessidade de ter algumas garantias de que os nomes so nicos, para esse efeito quando os ns arrancam enviam para a rede em BRODCAST vrios pedidos de registo com o nome pretendido, durante este processo, qualquer n que j esteja a usar o mesmo nome deve responder com uma mensagem de erro.

    Um n NetBIOS, antes de ser desligado anuncia rede a libertao do nome queestava a usar (NAME RELEASE).

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 5Tipos de Nomes NetBIOS (Windows)Os nomes NetBIOS podem ser nicos ou de grupo, os nomes de grupo so registados pela mesma forma que os nomes nicos, mas podem estar registados por vrios ns em simultneo. Trata-se de um mecanismo simples de MULTICAST que pode ser usado para definir estruturas lgicas de grupos de ns na rede, por exemplo as redes Microsoft usam nomes de grupo para implementar os conceitos de WORKGROUP e DOMAIN.Na norma original um nome NetBIOS pode ter at 16 caracteres, na implementao mais divulgada (Redes Windows) o 16 serve para identificar o tipo de nome. Habitualmente o tipo de nome representado em notao hexadecimal separado por um # do nome. Por exemplo SERVIDOR1#20 representa o nome SERVIDOR1 do tipo 20 (hexadecimal). Alguns dos tipos de nomes importantes para as redes Windows so:

    00 Nome nico de uso geral

    03 Nome de utilizador (clientes Windows antigos) e nome de n/servidor.1B Associado ao nome do domnio identifica o PDC.

    20 Nome de servidor (File Server)1E Nome de domnio ou grupo de trabalho (WORKGROUP), todos os membros possuem este nome.

    1C Associado ao nome do domnio identifica um servidor de LOGIN no domnio.

    1D Associado ao nome do domnio identifica o representante local do domnio.

    01 Associado ao nome especial __MSBROWSE__ que identifica o colector local de listas de nomes.

    Cada n de rede NetBIOS contm vrios nomes, por exemplo:

    MYSERVER#00MYSERVER#03MYSERVER#20__MSBROWSE__#01MYDOMAIN#1BMYDOMAIN#1CMYDOMAIN#1DMYDOMAIN#1EHST222#00HST222#03HST222#20

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 6WINS Servidor de nomes NetBIOSO protocolo de resoluo de nomes NetBIOS baseado em BROADCAST apresenta vrios problemas:- Insegurana e falta de fiabilidade (registo por omisso; ambiente de confiana geral entre ns)- Limitao de propagao do BROADCAST (sistema limitado a uma nica rede)- O trfego em BROADCAST penalizador para o desempenho das redes pois anula a segmentao de nvel 2.

    Para resolver estes problemas a Microsoft desenvolveu o servio WINS (Windows Internet Name Service), contendo muito poucas alteraes ao protocolo original de resoluo de nomes, a principal diferena que deixa de ser usado o BROADCAST.

    Servidor WINSClienteNAME QUERY

    ClienteNAME RELEASE

    Cliente

    NAME REGISTRATION

    Todos os pedidos so enviados em UNICAST para o servidor WINS, isso significa o servidor WINS pode encontrar-se numa rede remota e servir clientes de vrias redes.Alm desta vantagem a transio para um modelo cliente/servidor leva a um aumento geral da segurana e fiabilidade. Agora todos os pedidos tm resposta.Os registos de nomes esto associados a um tempo de vida, esgotado esse tempo so eliminados.

    Cliente

    NAME REFRESH

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 7Futuro da resoluo de nomes NetBIOSO responsvel por trazer at aos dias de hoje o NetBIOS a Microsoft e os seus sistemas operativos. A utilizao de servidores WINS em substituio do BROADCAST veio resolver quase todos os problemas e limitaes que o sistema tinha anteriormente.Os servidores WINS podem ser interligados de vrias formas (usando protocolos proprietrios), por exemplo numa perspectiva de replicao ou de consulta/registo remoto.Apesar de eficiente num ambiente limitado, a sua aplicao em larga escala problemtica por se tratar de uma estrutura de nome totalmente rasa, para suportar um milho de mquinas ser necessrio gerir uma base de dados com um milho de registos distribuda por uma grande rea (sem nunca haver registos repetidos).

    Outra lio que a histria das redes e protocolos ensinou que a coexistncia de duas implementaes paralelas que fazem o mesmo no dura muito tempo. Tal como a pilha de protocolos TCP/IP fez desaparecer outras implementaes, tambm previsvel que o sistema DNS acabe por substituir totalmente o NetBIOS. Isso j possvel nos sistemas que usam Active Directory.De momento verifica-se a coexistncia WINS/DNS, alguns servidores WINS podem ser atconfigurados para recorrer a DNS quando no conseguem resolver um nome. Os clientes Windows tambm combinam o recurso a NetBIOS em BROADCAST, WINS e DNS, criando por vezes alguma confuso.

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 8DNS Domain Name SystemO Domain Name System tem a grande vantagem de ser estruturado em rvore de tal forma que cada ramo administrativamente independente dos outros ramos. A independncia entre ramos existe porque cada nome apenas tem significado no ramo em que definido, para identificar globalmente um nome necessrio especificar no apenas o nome, mas tambm o ramo. Os ramos desta estrutura so conhecidos por nomes de domnios, a figura apresenta alguns exemplos: Raiz

    com net org edu pt fi uk es br

    com ipp upmicrosoft linuxdlink

    isep feiscap

    dei dee

    Domnios de Topo

    Os nomes das mquinas so relativos ao domnio em que se encontram, o nome qualificado de uma mquina constitudo pelo nome da mquina + a sequncia de nomes de domnio at ao domnio de topo (raiz).

    Para separar os vrios elementos do nome qualificado usa-se um ponto. Por exemplo a mquina de nome www existente no DEI tem como nome qualificado www.dei.isep.ipp.pt

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 9Servidores DNSA estrutura lgica do DNS usa como plataforma uma rede de servidores de nomes. Os vrios servidores de nomes (NS) comunicam entre si de tal forma que cada um deles capaz de resolver qualquer nome qualificado de qualquer domnio. Para um cliente poder resolver qualquer nome da INTERNET basta-lhe conhecer o endereo de um servidor de nomes.

    Aplicao de rede(Cliente)

    Nome qualificado(nome de servidor)

    Resoluo de nomes

    Nome

    REDE

    EndereoUtilizador

    Servidor

    NSNome qualificado

    Endereo

    Cada servidor de nomes (NS) contm uma base de dados com todos os registos, mas apenas dos domnios que serve (normalmente apenas um domnio). Estes servidores tm autoridade sobre o domnio (authoritative DNS servers). Isso permite-lhe responder directamente a pedidos referentes a esse domnio.Para responder relativamente a toda a INTERNET o servidor de nomes tem de recorrer a outros servidores de nomes.

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 10

    DNS Rede de NS Para que o conjunto de servidores de nomes (NS) de todos os domnios permitam o funcionamento em conjunto necessrio que cada servidor de nomes contenha a seguinte informao:

    registos (nomes) do domnio que serve (ou cpia obtida do servidor principal). endereo dos servidores de nomes da raiz (acima dos domnios de topo). endereo dos servidores de nomes de cada sub-domnio.

    NS

    ROOT NS

    NSNSNS

    ROOT NS

    Sub-domnios

    (imediatamente abaixo)

    Todos os outros domnios e servidores de nomes so desconhecidos, mesmo assim possvel resolver qualquer nome.

    A resoluo um processo descendente que comea num servidor de nomes da raiz.

    Uma vez que cada servidor de nomes obrigado a conhecer os servidores de nomes do domnio imediatamente abaixo, este processo conduz sempre ao servidor de nomes correcto.

    Domnio servido

    Domnios desconhecidosDomnios desconhecidos

    Domnios desconhecidosDomnios desconhecidos

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 11

    Resoluo de nomes DNSA resoluo de nomes funciona em sentido descendente desde os domnios de topo. Se algures na INTERNET uma aplicao necessita do endereo de www.dei.isep.ipp.pt comea por contactar o servidor de nomes local cujo endereo conhece. O NS local contacta um NS de raiz e pede-lhe um servidor de nomes de pt, o ROOT NS devolve-lhe o nome de um servidor de nomes do domnio pt. O processo repete-se at chegar ao ltimo elemento do nome.

    CLIENTE NS local

    www.dei.isep.ipp.pt

    Os servidores de nomes tm de manter em cache as respostas que vo obtendo, para o efeito cada resposta tem associado um tempo de vida (TTL). O tempo de vida definido pelo administrador de cada domnio e pode ter valores mais ou menos elevados. O cachingdas respostas reduz de forma muito significativa o recurso directo aos servidores de nomes de topo, nomeadamente os de raiz. Quanto maior for o TTL estipulado pelo administrador menor ser a quantidade de pedidos que os respectivos servidores vo receber.

    ptROOT NS

    ippPT NS

    IPP NS

    ISEP NS

    isep

    dei

    DEI NSwww

    193.136.62.3

    Quando se pede um NS de um domnio fornecido um nome e no um endereo.Se o nome do NS pertence ao domnio, ento ocorre um bloqueio do sistema devido a uma dependncia circular.Para resolver este problema adiciona-se ao domnio acima um registo com o endereo IP do NS. Este registo conhecido por gluerecord.

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 12

    Registos DNS (Resource Records)A base de dados de um servidor DNS constituda por registos de diferentes tipos com diversas finalidades (Resource Records). Cada registo (RR) tem os seguintes elementos:

    Os registos DNS (RR) so armazenados pelos servidores de nomes e so fornecidos aos clientes e outros servidores quando solicitados atravs de pedidos atravs da rede (DNS QUERY). Os servidores de nomes DNS atendem os pedidos devidamente formatados, no porto 53, normalmente as mensagens de pedido so encapsuladas em DATAGRAMAS UDP.Cada pedido contm uma ou mais perguntas segundo o formato:

    NOME (at 255 caracteres) - Nome da entidade a quem se aplica o registo (proprietrio do registo), terminado com ZERO.TIPO

    - Nmero de 16 bits que identifica a classe (RR CLASS), para no IP apenas se usa o valor 1 (classe IN)CLASSE- Nmero de 16 bits que identifica o tipo de registo (RR TYPE)

    TTL

    DADOS (comprimento varivel)

    RDLENGTH

    - Nmero de 32 bits que o tempo de vida em segundos do registo

    - Nmero de 16 bits que define o tamanho do campo de dados em octetos

    - Dados que constituem o valor do registo (RDATA)

    No campo TIPO, alm dos valores de tipo de registo (RR TYPE), podem ser usados alguns valores especiais: o valor 255 (*) representa qualquer tipo e o valor 252 (AXFR) representa todos os RR do domnio, os pedidos AXFR so usados para sincronizar os vrios servidores de nomes de um domnio, devido ao volume de registos envolvidos, neste caso recorre-se a uma ligao TCP para o mesmo nmero de porto usado em UDP.

    NOME (at 255 caracteres) TIPO CLASSE

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 13

    Tipos de Resource Record

    1 Nome de n

    TIPO(RR TYPE)

    NOME (Proprietrio) DADOS

    Endereo IPv4

    Nome do Tipo - Objectivo

    A - Endereo IPv4 correspondente um nome de n2 Nome de domnio (sub-domnio) Nome do NS (qualificado)NS - Servidor de nomes5 Nome alternativo ou apelido (alias) Nome oficial (Nome de n)CNAME - Nome alternativo (alias)6 Nome do domnio Diversos, incluindo n de srie da base de dados, SOA (Start Of Authority) define parmetros do dom.

    15 Nome do domnioMX define um mailhub do domnio

    12 Endereo (nome em IN-ADDR.ARPA.) Nome de n (qualificado)PTR nome correspondente a um endereo

    29 LOC define a localizao geogrfica do domnio Nome de domnio Coordenadas geogrficas33 SRV define um servio de rede _servio._protocolo.Nome de domnio Prioridade+Peso+Porto+Nome do servidor

    Prioridade+Nome do servidor

    99 SPF Sender Policy Framework Nome de domnio Restries ao envio de mail em nome do domnio

    16 TXT define um comentrio Nome de domnio Texto livre (comentrio)28 Nome de n Endereo IPv6AAAA - Endereo IPv6 correspondente um nome de n

    Exemplo de registo SOA em ficheiro de configurao de zona do BIND 9 em Linux

    @ 99999999 SOA picasso.dei.isep.ipp.pt. root.picasso.dei.isep.ipp.pt. (2008042402 ; serial28800 ; refresh (8 hours)7200 ; retry (2 hours)604800 ; expire (7 days)86400 ; minimum (1 day)

    )

    @ representa o nome do domnio da zona a que este registo seaplica, no caso dei.isep.ipp.pt.(directiva $ORIGIN no BIND)

    O nmero de srie usado para sincronismo, contm a identificao do dia, e um nmero de srie dentro desse dia.

    TTL sempre um valor nmericoem segundos, pode ser omitido.

    A classe foi omitida, o valorpor omisso IN.

    Servidor de nomesprimrio.

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 14

    DNS RR Nomes e apelidos

    Exemplo com endereos IPv4 (A), comentrios (TXT) e apelidos (CNAME) - configurao de zona no BIND

    mafalda2 99999999 A 193.136.62.4frodo 99999999 A 193.136.62.2

    frodo 99999999 TXT Servidor de mail e webmafalda2 99999999 TXT Servidor de contas de utilizador

    mafalda 99999999 CNAME mafalda2www 99999999 CNAME frodopop 99999999 CNAME frodomail 99999999 CNAME frodopdc 99999999 CNAME mafalda2smb 99999999 CNAME mafalda2samba 99999999 CNAME mafalda2

    Nomes cannicos(nomes reais / prprios)

    Apelidos (Alias)

    Uma vez que este exemplo se encontra associado definio da zona dei.isep.ipp.pt, entre outros, o nome www.dei.isep.ipp.pt vai ser resolvido para o endereo 193.136.62.2.

    www frodo 193.136.62.2CNAME A

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 15

    DNS RR NS e glue recordsOs registos NS so fundamentais no sistema DNS, so eles que garantem a ligao descendente entre os domnios. Para manter a ligao, cada domnio tem de conhecer os servidores de nomes dos seus sub-domnios.

    Exemplo com sub-domnio (dei.isep.ipp.pt) - configurao de zona (isep.ipp.pt) no BIND

    $ORIGIN isep.ipp.pt@ IN SOA nsrv1.isep.ipp.pt admin.isep.ipp.pt 2007120500 2h 15M 3W12h 2h20M

    @ IN NS nsrv1.isep.ipp.pt@ IN NS nsrv2.isep.ipp.pt

    nsrv1 IN A 193.136.6.40nsrv2 IN A 193.136.6.47

    dei.isep.ipp.pt IN NS picasso.dei.isep.ipp.ptdei.isep.ipp.pt IN NS slave.dei.isep.ipp.pt

    picasso.dei.isep.ipp.pt IN A 193.136.62.3slave.dei.isep.ipp.pt IN A 193.136.62.110

    Os glue records (destacados a verde) so registos de endereo (A) que no pertencem ao domnio, mas so necessrios para obter os endereos dos servidores de nomes.

    Os registos NS definem osnomes qualificados dosservidores de nomes

    dei.isep.ipp.pt picasso.dei.isep.ipp.pt 193.136.62.3NS A

    Sem o glue record a ltima resoluo no seria possvel, pois quem a deveria realizar seriam os servidores de nomes do domnio dei.isep.ipp.pt.

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 16

    DNS RR PTR e domnio IN-ADDR.ARPA. Raizcom pt

    com ipp

    ARPA

    IN-ADDR

    O domnio especial IN-ADDR.ARPA contm um registo da estrutura de endereos IPv4. Cada nvel de sub-domniocorresponde a um octeto do endereo IPv4, o octeto da esquerda corresponde ao sub-domnio superior.

    193

    136

    62

    Os nomes IN-ADDR.ARPA servem para resoluo inversa, ou seja obter o nome DNS usando o endereo como ponto de partida. Os registos PTR permitem definir estes nomes correspondentes a endereos.

    Exemplo in-addr.arpa. - configurao de zona no BIND

    2.62.136.193.in-addr.arpa IN PTR frodo.dei.isep.ipp.pt3.62.136.193.in-addr.arpa IN PTR picasso.dei.isep.ipp.pt4.62.136.193.in-addr.arpa IN PTR mafalda2.dei.isep.ipp.pt

    Exemplo in-addr.arpa. com directiva $ORIGIN - configurao de zona no BIND

    $ORIGIN 62.136.193.in-addr.arpa

    2 IN PTR frodo.dei.isep.ipp.pt3 IN PTR picasso.dei.isep.ipp.pt4 IN PTR mafalda2.dei.isep.ipp.pt5 IN PTR srv1.dei.isep.ipp.pt6 IN PTR srv2.dei.isep.ipp.pt

    Os registos PTR tm de ser consistentes com os registos A.Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 17

    Correio electrnicoOs domnios DNS so usados pelo correio electrnico da internet para identificar destinatrios no domnio (DESTINATRIO@NOME-DO-DOMNIO).

    Para entregar as mensagens de correio ao domnio necessrio identificar e contactarum dos seus servidores de correio SMTP (Simple Mail Transfer Protocol).

    Uma soluo possvel recorrer ao domnio superior e criar um registo A associado ao nome do domnio que representa o endereo IP do servidor de correio:

    Exemplo com RR A para os sub-domnios - configurao de zona (isep.ipp.pt) no BIND

    $ORIGIN isep.ipp.pt@ IN SOA nsrv1.isep.ipp.pt admin.isep.ipp.pt 2007120500 2h 15M 3W12h 2h20M

    dei.isep.ipp.pt IN A 193.136.62.2dee.isep.ipp.pt IN A 193.136.63.3

    Por exemplo, o envio de uma mensagem para [email protected], comea pela resoluo de dei.isep.ipp.pt, obtendo-se 193.136.62.2. De seguida usado o protocolo SMTP para enviar a mensagem ao n 193.136.62.2, esse o servidor de correio.

    Servidor de mail de cada sub-domnio( MTA Mail Transfer Agent ; Mail server;

    Mail Exchanger)

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 18

    DNS RR MXOs registos MX (Mail eXchanger) servem para identificar de forma mais eficiente os servidores de correio de um domnio, relativamente alternativa anterior tm a vantagem de permitir definir vrios servidores com diferentes nveis de preferncia e alm disso podem ser implementados sem recurso ao domnio superior.Um domnio pode ter vrios registos MX, cada um definindo o nome do servidor (tem de ser um nome cannico, no pode ser um apelido) e o nvel de preferncia de 16 bits (nmeros inferiores significam preferncia mais elevada).

    Exemplo de registos MX - configurao de zona no BIND

    dei.isep.ipp.pt IN MX 10 frodo.dei.isep.ipp.ptdei.isep.ipp.pt IN MX 20 picasso.dei.isep.ipp.pt

    picasso.dei.isep.ipp.pt IN A 193.136.62.3frodo.dei.isep.ipp.pt IN A 193.136.62.110

    Utilizando a informao do exemplo, quem pretender enviar correio para o domnio dei.isep.ipp.pt vai obter uma lista de dois servidores, em primeiro lugar vai tentar usar o frodo.dei.isep.ipp.pt.

    possvel definir vrios servidores de correio com a mesma preferncia, nesse caso o BIND aplica o algoritmo round-robin ordem dos registos devolvidos aos clientes, como nesta situao os clientes usam o primeiro registo consegue-se distribuir os pedidos pelos vrios servidores.

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 19

    DNS RR SRVOs registos SRV (RFC 7282) tm como objectivo permitir aos clientes identificar num domnio servidores de determinado tipo (servios). Como consequncia estes registos servem tambm para os servidores divulgarem os seus servios (Ex.: Active Directory).

    Os registos SRV so associados a nomes simblicos que representam tipos de servio no contexto de um domnio, na forma: _{Servio}._{Protocolo}.{Nome-do-domnio}O caractere sublinhado serve para evitar conflitos com nomes de domnio normais.{Servio} um identificador de servio normalizado.{Protocolo} identifica a plataforma de transporte a usar (udp ou tcp).

    O registo SRV propriamente dito contm um nvel prioridade semelhante ao dos registos MX, e um nvel de peso que se aplica entre registos com o mesmo nome e mesma prioridade. Segue-se o nmero de porto usado pelo servio e o nome cannico do servidor.

    Exemplo de registos SRV - configurao de zona no BIND

    _ldap._tcp.dei.isep.ipp.pt IN SRV 5 4 389 mafalda2.dei.isep.ipp.pt_ldap._tcp.dei.isep.ipp.pt IN SRV 5 6 389 frodo.dei.isep.ipp.pt_ldap._tcp.dei.isep.ipp.pt IN SRV 20 20 389 picasso.dei.isep.ipp.pt

    No exemplo, quando um cliente LDAP pretende encontrar um servidor no domnio dei.isep.ipp.pt pede ao servidor de nomes o registo SRV do nome _ldap._tcp.dei.isep.ipp.pt, recebendo 3 respostas, destas selecciona desde logo as de mais elevada prioridade (no caso 5) de entre elas vai entrar em considerao com os pesos (4 e 6), por isso existe 40% de probabilidade de usar o 1 e 60% de probabilidade de usar o 2.

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 20

    DNS RR SPFO documento RFC 4408 (Sender Policy Framework (SPF) for Authorizing Use of Domains in E-Mail, Version 1) define formas de os domnios divulgarem as suas politicas relativamente a quem pode emitir mensagens de correio electrnico em nome de utilizadores desse domnio.

    Quando um servidor SMTP recebe uma mensagem, deve verificar no domnio do remetente (campo From) se quem est a tentar enviar tem autorizao para tal.

    O registo DNS SPF um registo de texto associado ao nome do domnio, uma vez que este tipo de registo bastante recente, tambm pode ser implementado atravs de um registo TXT, como nem todos os clientes e servidores DNS suportam os registos SPF, aconselhvel definir os dois.

    Exemplo de registos SPF - configurao de zona no BIND

    dei.isep.ipp.pt IN SPF v=spf1 +mx alldei.isep.ipp.pt IN TXT v=spf1 +mx all

    O texto associado define quem est autorizado a enviar em nome do domnio, comea por identificar a verso (v=spf1) e depois define quem est autorizado (+) e quem no est (-). No caso apenas os MX do domnio esto autorizadas a enviar.O texto de autorizao suporta um grande nmero de possibilidades (ver RFC 4408).

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 21

    DNS RR LOCO registo LOC serve para definir a localizao geogrfica do domnio, como tal normalmente associado ao nome de domnio.

    O registo LOC contm:-Latitude em graus, minutos e segundos-Longitude em graus, minutos e segundos-Altitude em metros.-Tamanho em metros (dimetro da esfera que contm o local)-Preciso horizontal e preciso vertical

    Exemplo de registo LOC - configurao de zona no BIND

    dei.isep.ipp.pt IN LOC 41 10 39.782 N 8 36 28.578 W 50.00m 100m 10m 10m

    O registo define as caractersticas geogrficas do domnio dei.isep.ipp.pt como sendo latitude = 41 10 39,782 Norte ; longitude = 8 36 28,578 Oeste ; altitude = 50 metros; dimenso = 100 metros; preciso horizontal = 10 metros e preciso vertical = 10 metros.

    Exemplos de interrogao de registos LOC

    -bash-3.00$ host -t LOC yahoo.comyahoo.com location 37 23 30.900 N 121 59 19.000 W 7.00m 100m 100m 2m-bash-3.00$ host -t LOC ckdhr.comckdhr.com location 42 21 43.528 N 71 5 6.284 W -25.00m 1m 3000m 10m-bash-3.00$ host -t LOC dei.isep.ipp.ptdei.isep.ipp.pt location 41 10 39.782 N 8 36 28.578 W 50.00m 100m 100m 10m

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira

  • 22

    DDNS DNS Dinmico

    As bases de dados DNS foram concebidas para serem raramente alteradas, as alteraes so feitas manualmente, os valores TTL normalmente usados atestam isso mesmo.

    Existem contudo situaes em que o registo automtico do nome pelo prprio cliente seria desejvel, nomeadamente quando o cliente no possui um endereo fixo.O carcter dinmico dos registos torna a administrao muito mais simples, por exemplo com os registos SRV, os actuais servidores Windows, nomeadamente os controladores de domnio anunciam-se no servidor DNS atravs de registos SRV.

    O documento RFC 2136 adiciona ao sistema de mensagens DNS (RFC 1035) as funcionalidades necessrias para actualizaes dinmicas de registos DNS, usado pelo comando nsupdate.Os processo de alterao da base de dados esto protegidos por mecanismos de segurana dos quais se destaca o Generic Security Service Algorithm for Secret Key Transaction Authentication for DNS (GSS-TSIG) descrito no documento RFC 3645 e adoptado pela Microsoft (Microsoft DNS).

    Os servidores DNS tambm podem ser actualizados por outras vias paralelas, alteram os ficheiros de configurao DNS e obrigam o servidor DNS a reler os mesmos, por exemplo o comando ddclient funciona deste modo usando pedidos HTTP.

    Instituto Superior de Engenharia do Porto Departamento de Engenharia Informtica Redes de Computadores Andr Moreira