The Cable Guy

A tabela de diretivas de resolução de nomes

Joseph Davies

Configuração do host para consultas de nome DNS (Domain Name System) geralmente consiste em especificar um ou mais endereços IPv4 ou IPv6 dos servidores DNS que servem as consultas em interfaces de rede. Essa configuração geralmente é feita automaticamente para computadores que executam o Windows Vista ou Windows Server 2008 através de DHCP (Dynamic Host Configuration Protocol) ou DHCP para IPv6 (DHCPv6). Para computadores que executam o Windows Vista ou Windows Server 2008, todas as consultas de nomes DNS para o espaço para nome DNS inteiro vá para os servidores DNS configurados através das interfaces de rede, daqui em diante conhecidas como servidores DNS interface configurada.

Algumas tecnologias exigem tratamento especial para consultas de nomes de partes específicas do espaço para nome DNS. Se o nome DNS corresponde ao especificado partes do namespace da, aplique um tratamento especial. Se o nome DNS não coincidir com partes de espaço para nome especificadas, execute uma consulta DNS normal com servidores DNS interface configurada. Para atender a essa necessidade, o Windows 7 e Windows Server 2008 R2 incluem o Name Resolution diretiva tabela (NRPT).

O NRPT contém regras configuradas por um administrador para nomes ou espaços para nome e as configurações para o tratamento especial necessária. Ao executar um DNS resolução de nomes, o serviço cliente DNS compara o nome solicitado em relação a cada regra na NRPT antes de enviar uma consulta de nome DNS. Consultas e respostas que correspondem a uma regra NRPT obtenham o tratamento especial especificado aplicado. Consultas e respostas que não correspondem a uma regra NRPT são normalmente processadas; ou seja, o serviço cliente DNS envia consultas de nomes os servidores DNS interface configurada.

No Windows Server 2008 R2 e Windows 7, DirectAccess e extensões de segurança DNS (DNSSEC) exigem tratamento especial para consultas de nomes DNS. Quando na Internet, clientes DirectAccess enviar consultas DNS para recursos da intranet para os servidores DNS especificados no NRPT. Ao resolver nomes específicos ou nomes em espaços para nome específicos, normalmente recursos de intranet alto valor e segura, o serviço cliente DNS pode usar DNSSEC para garantir que o nome resolvido foi verificado pelo servidor DNS.

Configurando o NRPT

Você pode configurar o NRPT com a diretiva de grupo através do registro do Windows (HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DnsClient\DnsPolicyConfig) ou, para regras baseadas em DirectAccess, usando o Assistente de instalação DirectAccess. Não há nenhuma interface de linha de comando para configurar o NRPT. Para regras baseadas no DNSSEC, diretiva de grupo é o método preferencial de configuração. Para regras baseadas em DirectAccess, o Assistente para instalação do DirectAccess é o método preferencial de configuração.

Para configurar NRPT através da diretiva de grupo, use o suplemento de diretiva de grupo na diretiva do computador Configuration\Policies\Windows Settings\Name resolução para o objeto de diretiva de grupo apropriado. A Figura 1 mostra um exemplo.

 

Figura 1 NRPT na diretiva de grupo

Nesta diretiva de grupo Adicionar-in, você pode criar uma nova regra NRPT e editar ou excluir regras existentes. Para cada regra, você deve especificar a parte do espaço para nome que ele se aplica, se um tratamento especial para a regra é associado a uma autoridade de certificação específica, se a regra é para DNSSEC e suas configurações associadas e se a regra é para DirectAccess e suas configurações associadas. Também há avançadas configurações globais que se aplicam a todos os clientes DNS com base no Windows Server 2008 R2 e Windows 7.

Ao especificar o namespace ao qual a regra se aplica, você pode selecionar Sufixo, FQDN, Sub-rede (IPv4), Sub-rede (IPv6), Prefixo, or Qualquer. Para especificar nomes DNS que terminem com uma seqüência de caracteres de várias partes específica, selecione Sufixo e digite o nome de sufixo. Por exemplo, para todos os nomes DNS que terminam em contoso.com, selecione Sufixo and type Contoso.com. Para especificar os nomes DNS que começam com uma seqüência de apenas uma parte específica, selecione Prefixo e digite o nome do prefixo. Por exemplo, para todos os nomes DNS que começam com “ secsvr ”, selecione Prefixo and type secsvr.

Para especificar todos os nomes DNS, selecione Qualquer. Uma regra com base em DirectAccess NRPT para Qualquer é usado somente se o Computador Configuration\Policies\Administrative Administrativos\Rede\Conexões Connections\Route todo o tráfego através da rede interna Configuração de diretiva de grupo está ativada para DirectAccess força encapsulamento. Se um nome de corresponder a várias regras, a regra com maior precedência é aplicada e a ordem de precedência é o FQDN, prefixo, sufixo e, em seguida, qualquer.

Para especificar os nomes DNS para resolução inversa para uma sub-rede IPv4, selecione Sub-rede (IPv4) e prefixo de sub-rede de tipo IPv4 usando a notação de comprimento de prefixo de rede. Por exemplo, para todos os nomes DNS que terminem com 17.168.192.in-addr.arpa, selecione Sub-rede (IPv4) and type 192.168.17.0/24. Para especificar os nomes DNS para resolução inversa para uma sub-rede IPv6, selecione Sub-rede (IPv6) e digite o prefixo de sub-rede IPv6. Por exemplo, para todos os nomes DNS que terminem com 1.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa, selecione Sub-rede (IPv6) and type 2001:DB8:0:1:: / 64.

Quando você habilita o DNSSEC para uma regra, você pode especificar se o serviço cliente DNS deve verificar se a resposta do nome consultado foi verificada pelo servidor DNS e se você deseja usar a segurança do protocolo Internet (IPsec) para proteger trocas de consulta de nome DNS. Para proteção de IPsec, você pode especificar Sem criptografia (apenas integridade), Baixo: 3DES, AES (128, 192 e 256) Médio: AES (128, 192 e 256) e Alta: AES (192, 256) . É o padrão de criptografia de dados DES e AES é o Advanced Encryption Standard.

Quando você habilita DirectAccess para uma regra, você pode especificar os endereços IPv6 do conjunto de servidores DNS da intranet para resolver nomes para clientes DirectAccess quando elas estiverem na Internet; se você deseja usar um proxy da Web; e se você deseja usar IPsec para proteger trocas de consulta de nome DNS. Você pode especificar o mesmo conjunto de opções de proteção de IPsec.

Você pode exibir o conjunto configurado de NRPT regras em um computador que esteja executando o Windows 7 ou o Windows Server 2008 R2 com o netsh namespace show diretivacomando . Você pode exibir o conjunto ativo de NRPT regras com o netsh namespace show effectivepolicycomando .

Configurações de diretiva global avançadas

Quando você clica em Configurações de diretiva global avançadas, a diretiva de grupo NRPT adicionar-exibe o padrão de Definir configurações de diretiva global avançado caixa de diálogo. A Figura 2 mostra um exemplo.

 

Figura 2 A Configure Global diretiva de caixa de diálogo Configurações avançadas

In Dependências de local de rede, você pode configurar clientes DirectAccess para usar a detecção de rede local de servidor e da intranet para determinar quando eles estão conectados à intranet; usar NRPT DirectAccess com base em regras; sempre ou nunca usar regras com base em DirectAccess NRPT.

In Falha de consulta, você pode habilitar as opções de falha de consulta e, em seguida, configure usar a resolução de nome local (resolução de nomes link local multicast [LLMNR] e difusões NetBIOS) somente se a resposta de consulta de nome de DNS indica que o nome não existe; para usar resolução de nomes local se o nome não existir ou o DNS são inatingíveis quando localizado em uma rede com endereços IPv4 privados; ou para utilizar a resolução de nomes local para qualquer tipo de erro ou falha na resolução de nomes de servidores.

In Resolução de consulta, você pode habilitar a consulta de opções de resolução e especificar para resolver nomes para endereços IPv6 ou para resolver nomes para endereços IPv6 e IPv4.

Você pode usar o netsh dns show state comando para exibir a configuração atual uma dessas configurações.

Isolamentos NRPT

Para minimizar o número de regras NRPT, que você deseja especificar espaços para nome que englobam quanto o espaço para nome relevante possível. No entanto, você também precisará especificar nomes individuais ou espaços para nome nesses namespaces estar isentos de tratamento especial. Nesses casos, você deve configurar um isolamento NRPT. Por exemplo, você deseja usar DNSSEC para todos os nomes DNS dentro do namespace secure.corp.contoso.com, exceto para o waystation.secure.corp.contoso.com de nome DNS.

Uma isenção NRPT é uma regra que não especifica nenhum tratamento especial. Para DNSSEC, a regra permite DNSSEC mas não requer a validação ou proteção de IPsec. Para DirectAccess, a regra permite DirectAccess mas não especifica um conjunto de servidores DNS da intranet, um proxy da Web ou proteção de IPsec. OS nomes DNS para NRPT isenção regras são processados usando servidores DNS interface configurada.

Um exemplo de uma isenção NRPT necessária é a regra FQDN para o servidor de local de rede DirectAccess, DirectAccess clientes usam para determinar se eles estão conectados à intranet. Para enviar consultas de nomes DNS para servidores da intranet, NRPT para clientes DirectAccess tiver uma regra de sufixo para o namespace da intranet — por exemplo, o IPv6 corp.contoso.com—with endereços dos servidores DNS de intranet. Servidor de rede local é normalmente dentro do mesmo espaço para nome, por exemplo, nls.corp.contoso.com. No entanto, dependendo sua infra-estrutura IPv6, os servidores DNS da intranet podem não estar acessíveis em endereços IPv6 especificados, mas podem ser acessados usando os endereços IPv4 interface configurada.

Sem uma regra de isenção, o cliente DirectAccess conectado às tentativas de intranet para resolver o nome do servidor de rede local através do IPv6. Como os servidores DNS da intranet não estão acessíveis, o cliente DirectAccess não é possível alcançar o servidor de local de rede e determina que ele está na Internet em vez de intranet. Nesse estado, o cliente DirectAccess não pode acessar recursos da intranet por nome. Portanto, uma regra de isenção para o servidor da rede local (nls.corp.contoso.com) deve estar presente para que a detecção de intranet possa concluir com êxito. O Assistente para instalação do DirectAccess cria automaticamente NRPT regras do espaço para nome da intranet e o isolamento do servidor local de rede.

Como funciona o NRPT

Aqui está como funciona o processo de resolução de nome para o Windows 7 e Windows Server 2008 R2:

1. Um aplicativo usa a API DnsQuery() GetAddrInfo() ou APIs do GetHostByName() Windows Sockets para resolver um nome. Se o nome for um nome simples, o serviço cliente DNS cria um FQDN usando sufixos DNS configurados.
2. O serviço cliente DNS procura o cache do resolvedor de DNS FQDN, que contém as entradas no arquivo hosts e os resultados de consultas de nome positivos e negativos recentes. Se uma entrada for encontrada, o resultado é usado e nenhum processamento adicional ocorre.
3. O serviço cliente DNS passa o FQDN através de NRPT para determinar as regras em que corresponde ao FQDN no espaço para nome da regra.
4. Se o FQDN não coincide com qualquer regra ou corresponde a uma única regra que é uma regra de isenção, o serviço cliente DNS tentará resolver o FQDN usando servidores DNS interface configurada.
5. Se o FQDN corresponder a uma única regra que não é uma regra de isenção, o serviço cliente DNS se aplicará a manipulação especial especificada.
6. Se o FQDN corresponder a várias regras, os serviços de cliente DNS classifica as regras de correspondência para precedência — na ordem: FQDN, prefixo correspondente mais longo, mais longo de correspondência de sufixo [incluindo sub-redes IPv4 e IPv6], qualquer — para determinar a regra que melhor reflete o FQDN.
7. Após determinar a regra de correspondência mais próxima, o serviço cliente DNS aplica o tratamento especial especificado.

Resumo

NRPT no Windows 7 e no Windows Server 2008 R2 permitem que você especifique um tratamento especial para consultas de nomes do DNS necessários para DNSSEC e DirectAccess na forma de regras, a capacidade de especificar espaços para nome, prefixos, FQDNs e isenções.

Barra lateral: Exemplo NRPT regras para DirectAccess

A Contoso Corporation usa o contoso.com de espaço para nome DNS para nomes DNS da Internet e corp.contoso.com para nomes DNS da intranet. O localizador de recursos uniforme de servidor de rede local (URL) é https://nls.corp.contoso.com e o servidor DirectAccess foi configurado com o endereço IPv4 de 10.0.0.1 em sua interface de intranet do servidor DNS. Com base nessa configuração, o Assistente para instalação do DirectAccess cria duas regras NRPT habilitadas para DirectAccess:

1. Uma regra sufixo .corp.contoso.com DNS de enviar consultas para o endereço IPv6 2002:836b:2:1:0:5efe:10.0.0.1. Isso é um endereço IPv6 derivado do endereço IPv4 público do servidor DirectAccess e o endereço IPv4 do servidor DNS.
2. Uma regra de isenção de nls.corp.contoso.com.

Aqui está um exemplo de como essas regras são exibidos em um cliente DirectAccess com o netsh namespace show diretiva comando:

 

DNS Name Resolution Policy tabela SettingsSettings para nls.corp.contoso.com----------------------------------------------------------------------autoridade de certificação: DC = com, DC = contoso, DC = corp,                                          CN = corp-DC1 CADNSSEC (validação): disabledDNSSEC (IPsec): disabledDirectAccess (servidores DNS): DirectAccess (IPsec): disabledDirectAccess (configurações de proxy): Ignorar proxySettings para. corp.contoso.com----------------------------------------------------------------------autoridade de certificação: DC = com, DC = contoso, DC = corp,                                          CN = corp-DC1 CADNSSEC (validação): disabledDNSSEC (IPsec): disabledDirectAccess (servidores DNS): 2002:836b:2:1:0:5efe:10.0.0.1DirectAccess (IPsec)                    : disabledDirectAccess (configurações de proxy): Ignorar proxy 

Joseph Davies is redator de técnicas de principal a rede do Windows escrevendo a equipe da Microsoft. Ele é co-autor de vários livros publicados pela Microsoft Press, incluindo de rede do Windows Server 2008 e NAP (proteção de acesso à rede) ou de autor*,* Noções básicas sobre IPv6, Second Edition*, e* De serviços e protocolos do Windows Server 2008 TCP/IP*.*

Conteúdo relacionado

• Cable Guy: NAP na Internet
• Cable Guy: Suporte para IPv6 no Windows Server 2008 R2 e Windows 7
• Cable Guy: O DirectAccess e a rede com extremidade estreita