O DNS (Domain Name System) é um dos pilares fundamentais do funcionamento do Active Directory. Sem uma resolução de nomes consistente e bem configurada, recursos como autenticação, GPOs, localização de controladores de domínio e replicação simplesmente falham. Por isso, todo profissional que administra ambientes com AD precisa dominar a relação entre o DNS e o Active Directory.

Neste artigo, vamos explorar:

• Como o DNS se integra ao Active Directory

• Principais registros utilizados pelo AD

• Zonas DNS e a zona _msdcs

• Configuração correta do DNS no cliente e no DC

• Exemplos práticos de verificação e resolução

• Dicas avançadas de especialista

• Ilustrações práticas para reforço visual

  
  

Integração entre DNS e Active Directory

Quando você promove um servidor a Controlador de Domínio, o assistente de instalação do AD DS oferece instalar e configurar automaticamente o serviço DNS. Isso ocorre porque o AD usa intensivamente o DNS para:

• Localizar controladores de domínio

• Resolver nomes de serviços (LDAP, Kerberos, GC)

• Suportar localização de sites e sub-redes

O Active Directory depende de registros DNS do tipo SRV e A para que tudo funcione corretamente.

Principais registros DNS utilizados pelo Active Directory

O AD cria registros específicos que permitem que os clientes encontrem serviços essenciais. Os mais importantes incluem:

• _ldap._tcp.dc._msdcs.dominio.local → Usado para localizar qualquer DC com LDAP

• _kerberos._tcp.dc._msdcs.dominio.local → Usado para localizar servidores com o serviço Kerberos

• _gc._tcp.dominio.local → Usado para localizar servidores com catálogo global

• A (Host) → Associação do nome do DC com seu IP

• CNAME → Alias para nomes de DCs

Esses registros são armazenados nas zonas DNS integradas ao AD.

A zona _msdcs: o coração da localização de serviços

A zona _msdcs.dominio.local é onde estão os registros críticos de identificação de DCs e objetos do AD.

Essa zona contém:

• Registros SRV para DCs

• Registros CNAME apontando para GUIDs dos DCs

• Subzonas como _sites, _tcp, _udp, que organizam os serviços

Configuração correta do DNS em clientes e DCs

Controladores de Domínio:

• Sempre configure o DC primário para usar a si mesmo como DNS preferencial.

• DCs adicionais podem apontar para outro DC como primário e para si mesmos como secundário.

Clientes:

• Sempre configure os clientes para apontarem para o(s) servidor(es) DNS internos, nunca diretamente para o DNS externo (como 8.8.8.8).

Verificações e troubleshooting de DNS no AD

Verificar registros SRV:

nslookup -type=SRV _ldap._tcp.dc._msdcs.dominio.local

Forçar registro DNS de um DC:

ipconfig /registerdns

Verificar zonas no servidor:

Get-DnsServerZone

Validar replicar entre DNSs:

repadmin /showrepl

Utilize dcdiag /test:DNS para diagnósticos específicos do DNS em DCs

Dicas Avançadas de Especialista

• Evite zonas primárias não integradas ao AD em ambientes com mais de um DC

• Configure a expiração de registros dinâmicos para evitar zonas poluídas com registros antigos

• Use registros condicionais (Conditional Forwarders) para integrar com outros domínios

• Audite registros DNS com logs de eventos (ID 4000, 4013 no DNS Server)

• Use DNSLint ou o Test-ComputerSecureChannel em estações com falhas de comunicação

Conclusão

O DNS é mais do que um serviço auxiliar no Active Directory – ele é um componente central. Um ambiente AD saudável começa por um DNS bem planejado, replicado e mantido. Profissionais que dominam essa relação conseguem resolver problemas com maior agilidade, prever falhas e estruturar ambientes de forma mais segura e estável.

Continue acompanhando o infrashare.com.br para mais artigos sobre infraestrutura, Windows Server, Active Directory e boas práticas em ambientes corporativos.