Internal ou Bind – Qual DNS usar no Samba 4.

O samba nos permite trabalhar com variadas possibilidades de back-end DNS para o nosso servidor . O DNS é de suma importância para uma rede com Samba 4 como controlador de domínio e por isso tem que obrigatoriamente escolher pelo menos uma das opções possíveis , as duas  principais opções são:

  • Samba Internal
  • BIND9_DLZ

Qual DNS escolher para o Samba 4 ?

O Samba Internal é back-end Padrão ao provisionar um novo domínio, Ingressar  à um domínio existente ou migrar um domínio NT4 para AD Samba. Nenhum software adicional ou conhecimento de implantação de DNS é necessário. Mas ele tem alguma limitações  , como :

  • Não atua como Caching DNS Server

Este tipo de servidor rastreia dados de outro servidores DNS e quando rastreia fornecesse resposta para um cliente DNS , mas também armazena a resposta no cache , o tempo que essa resposta fica armazenada em cache é definido pelo valor TTL dos registros.

Ele é útil para acelerar o tempo total de ida e de volta das consultas DNS já que ele não precisa fazer uma nova consulta a outro DNS porque este dado já está armazenado em seu cache .

Um servidor DNS de cache é uma boa escolha para muitas situações. Se você não deseja confiar em seu DNS de ISPs ou em outros servidores de DNS disponíveis publicamente, fazer seu próprio servidor de armazenamento em cache é uma boa escolha. Se estiver em proximidade física próxima das máquinas clientes, também é muito provável que melhore os tempos de consulta do DNS.

  • Não trabalha com consultas recursivas

Imagine que você queira criar um domínio com o nome suaempresa.com então imagine que alguém na rede quer acessar o servidor srv1.suaempresa.com na rede .Leia também: Como escolher de forma correta o nome do domínio com SAMBA 4

O que irá acontecer é que o DNS verificará que ele é um servidor autoritário para  suaempresa.com e vai responder com o IP do servidor e então haverá o acesso .

Mas vamos imaginar que um outro usuário na rede queira acessar o site www.astreinamentos.com.br.

O DNS client irá consultas o servidor DNS no controlador de domínio  e ele verificará que não é autoritário para o domínio astreinamentos.com.br e então ele buscará outro servidores DNS para ajuda-lo na pesquisa  ele utiliza então os root server (Root Hints) que será capaz de encaminhar a consulta para o servidor autoritário abaixo dele que no caso é o .br que é um top-level domain ( TLD)  então a resposta é enviada para o DNS do controlador de dominio e  a resposta  com o IP do servidor é então entregue para o cliente acontecendo o acesso .

O  back-end Samba internal DNS , não é capaz de fazer isso, ele usa apenas a técnica de Forwarding DNS

Que não faz nenhuma consulta recursiva, o que ele faz é encaminhar a consulta para o servidor externo e esse servidor externo é que vai encarregar –se de fazer a recursão .

Ele apenas irá fazer solicitações únicas , invés de ter que fazer todo o trabalho de recursão .O que pode ser um vantagem em redes em que há pouca largura de banda , ou quando quer separar as coisas – consultas locais para um servidor e consultas externas para outro servidor.

  • Não dá suporte a transação de chave compartilhada (TSIG)

Embora as consultas DNS podem serem feitas sem autenticação as atualizações de DNS devem ser autenticadas e aí é que entra o TSIG (Transaction SIGnature) .

O TSIG é um protocolo que habilita o DNS a autenticar atualizações em seu banco de dados .

E comumente usado em servidor slave e fornece um meio criptográfico seguro para autenticar cada transação de atualizações entre servidores DNS .Ou seja toda atualização entre servidores DNS máster e slave acontecem de forma seguro , aumentando a segurança .

O TSIG tem suas limitações e hoje tem outras alternativas sendo usadas .

  • Não trabalha com zona stub

É quando o DNS hospeda uma zona secundária de suaempresa.com onde são apenas armazenados  informações sobre os servidores de nomes autorizativos desta zona.E para funcionar ele precisa  estar  em conexão com servidor DNS autoritário de suaempresa.com.

Zona stub é usada para  que o servidor DNS execute recursão usando a lista de servidores de nomes da zona de stub, sem precisar consultar a Internet ou um servidor raiz .

  • Não há possibilidade de fazer transferência de zona

Não será possível ter DNS secundário para efeito de failover pois as informações da zona DNS suaempresa.com , não poderá ser transferida para um servidor slave.

Isso é ruim ,se somente um único servidor estiver disponível e se ele não estiver respondendo, as consultas de nome na zona poderão falhar. Para que servidores adicionais possam hospedar uma zona, as transferências de zona são necessárias para a replicação e sincronização de todas as cópias da zona usadas em cada servidor configurado para hospedá-la.

  • Não trabalha com entradas coringas como *.dominio.com

DNS BIND9_DLZ

O back-end BIND9_DLZ Requer BIND 9.8 ou posterior instalado e configurado localmente no controlador de domínio Samba Active Directory (AD) (DC além de um conhecimentos sobre o servidor DNS BIND e como configurar o serviço.

Use este back-end para cenários DNS complexos, onde você não pode configurar no Samba Internal .

Se você não tem certeza do DNS que deseja selecionar durante a instalação do DC, ou está começando a ter a sua primeira experiência com o Samba 4 ,comece com o DNS Internal. Você pode alterar a qualquer momento de um para o outro .

 

 

Alexander Silva

Alexander Silva é Diretor e fundador da AS tem vasta experiência em treinamento e capacitação de profissionais de TI, experiência essa adquirida com mais de 10 anos atuando no mercado. Alexander Silva é Linux: LPIC-1 | LPIC-2 | CLA Novell - SUSE Linux Certified | CompTIA Linux + Microsoft: MCP | MCTS | MCSA | MCSE

You may also like...