The Cable Guy

Tabla de directivas de resolución de nombres

Joseph Davies

La configuración del host para las consultas de nombre del Sistema de nombres de dominio (DNS) normalmente consiste en especificar una o más direcciones IPv4 o IPv6 de servidores DNS que atienden las consultas en las interfaces de red. Esta configuración normalmente se hace de manera automática para equipos que ejecutan Windows Vista o Windows Server 2008 mediante el uso del Protocolo de configuración dinámica de host o DHCP para IPv6 (DHCPv6). En el caso de equipos que ejecutan Windows Vista o Windows Server 2008, todas las consultas de nombre del DNS para todo el espacio de nombres del DNS van a los servidores DNS configurados a través de las interfaces de red, de aquí en adelante conocidas como servidores DNS configurados por interfaz.

Algunas tecnologías requieren un control especial de las consultas de nombres para porciones específicas del espacio de nombres del DNS. Si el nombre del DNS coincide con porciones específicas del espacio de nombres, aplique el control especial. Si el nombre del DNS no coincide con las porciones específicas del espacio de nombres, realice una consulta de DNS normal con servidores DNS configurados por interfaz. Para abordar esta necesidad, Windows 7 y Windows Server 2008 R2 incluyen la Tabla de directivas de resolución de nombres (NRPT).

La NRPT contiene normas configuradas por un administrador para los nombres o los espacios de nombres y la configuración para el control especial requerido. Al realizar una resolución de nombre de DNS, el servicio cliente DNS compara el nombre solicitado con cada norma en la NRPT antes de enviar una consulta de nombre de DNS. Las consultas y respuestas que coinciden con una norma de la NRPT obtienen el control especial aplicado. Las consultas y las respuestas que no coinciden con una norma de la NRPT se procesan normalmente; es decir, el servicio cliente DNS envía las mismas consultas a servidores DNS configurados por interfaz.

En Windows 7 y Windows Server 2008 R2, DirectAccess y Extensiones de seguridad de DNS (DNSSEC) requieren control especial para consultas de nombre del DNS. Cuando están en Internet, los clientes DirectAccess envían consultas de DNS para recursos intranet a los servidores DNS especificados en la NRPT. Al resolver nombres específicos o nombres dentro de espacios de nombres específicos, normalmente recursos de intranet seguros y de alto valor, el servicio cliente de DNS puede usar DNSSEC para asegurar que el servidor DNS comprobó el nombre resuelto.

Configuración de la NRPT

Puede configurar la NRPT con directiva de grupo a través del registro de Windows (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DnsClient\DnsPolicyConfig) o, en el caso de normas basadas en DirectAccess, mediante el asistente de instalación de DirectAccess. No hay interfaces de líneas de comandos para configurar la NRPT. Para normas basadas en DNSSEC, la directiva de grupo es el método de configuración preferido. Para normas basadas en DirectAccess, el asistente de instalación de DirectAccess es el método de configuración preferido.

Para configurar la NRPT a través de la directiva de grupo, use el complemente de directiva de grupo en Configuration\Policies\Windows Settings\Name Resolution Policy para el objeto correcto de directiva de grupo. En la figura 1 se muestra un ejemplo.

Figura 1  La NRPT en directiva de grupo

A partir de este complemento de directiva de grupo, puede crear una nueva norma de NRPT y editar o eliminar normas existentes. Para cada norma, debe especificar la porción del espacio de nombres a la cual aplica, ya sea que el control especial para la norma se asocie con una entidad de certificación (CA) específica, ya sea que la norma sea para DNSSEC y su configuración asociada y ya sea que la norma sea para DirectAccess y su configuración asociada. También existe una configuración global avanzada que aplica a todos los clientes basados en Windows 7 y Windows Server 2008 R2.

Al especificar el espacio de nombres al cual aplica la norma, puede seleccionarSufijo, FQDN, Subred (IPv4), Subred (IPv6), Prefijo o Cualquiera. Para especificar nombres de DNS que terminen con una cadena de varias partes específica, seleccione Sufijo y escriba el nombre del sufijo. Por ejemplo, para todos los nombres de DNS que terminen en contoso.com, seleccione Sufijo y escribacontoso.com. Para especificar nombres de DNS que comiencen con una cadena de una parte única específica, seleccione Prefijo y escriba el nombre del prefijo. Por ejemplo, para todos los nombres de DNS que comiencen con “secsvr,” seleccione Prefijo y escribasecsvr.

Para especificar todos los nombres de DNS, seleccione Cualquiera. Una norma de la NRPT basada en DirectAccess para Cualquiera se usa únicamente si la configuración de la directiva de grupo Computer Configuration\Policies\Administrative Templates\Network\Network Connections\Route all traffic through the internal network está habilitada para forzar la tunelización de DirectAccess. Si un nombre coincide con varias normas, se aplica la norma con la precedencia más alta y la orden de precedencia es FQDN, prefijo, sufijo y luego cualquiera.

Para especificar nombres de DNS para resolución inversa para una subred IPv4, seleccione Subred (IPv4) y escriba el prefijo de subred de IPv4 mediante la notación de longitud del prefijo de red. Por ejemplo, para todos los nombres de DNS que terminen con 17.168.192.in-addr.arpa, seleccione Subred (IPv4) y escriba192.168.17.0/24. Para especificar nombres de DNS para resolución inversa para una subred IPv6, seleccione Subred (IPv6) y escriba el prefijo de subred de IPv6. Por ejemplo, para todos los nombres de DNS que terminen con 1.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa, seleccione Subred (IPv6) y escriba2001:db8:0:1::/64.

Cuando habilita DNSSEC para una norma, puede especificar si el servicio cliente de DNS debe asegurar que el servidor de DNS compruebe la respuesta de nombre consultada y si desea usar el protocolo de seguridad de Internet (IPsec) para proteger los intercambios de consulta de nombres de DNS. Para protección de IPsec, puede especificar Sin cifrado (sólo integridad), Bajo: 3DES, AES (128, 192, 256), Medio: AES (128, 192, 256) y Alto: AES (192, 256). DES corresponde al estándar de cifrado de datos y AES al estándar de cifrado avanzado.

Cuando habilita DirectAccess para una norma, puede especificar las direcciones IPv6 del conjunto de servidores DNS de intranet para resolver los nombres para clientes de DirectAccess cuando están en Internet; ya sea que desee usar un proxy web; y ya sea que desee usar IPsec para proteger los intercambios de consulta de nombres de DNS. Puede especificar el mismo conjunto de opciones para protección de IPsec.

Puede ver el conjunto configurado de normas de NRPT en un equipo con Windows 7 o Windows Server 2008 R2 con el comando netsh namespace show policy. Puede ver el conjunto activo de normas de NRPT con el comando netsh namespace show effectivepolicy.

Configuración avanzada de directivas globales

Cuando hace clic en Configuración avanzada de directivas globales, el complemento de directivas de grupo de NRPT muestra el cuadro de diálogo predeterminadoConfiguración avanzada de directivas globales. En la figura 2 se muestra un ejemplo.

Figura 2  Cuadro de diálogo de la configuración avanzada de directivas globales

En Dependencia de ubicación de red, puede configurar clientes DirectAccess para que usen el servidor de ubicación de red y la detección en intranet para determinar cuándo están conectados a la intranet; para que usen siempre normas NRPT basadas en DirectAccess; o para que no usen nunca normas NRPT basadas en DirectAccess.

En Error de consulta, puede habilitar opciones de error de consulta y luego configurar si usar una resolución de nombres local (Resolución de nombre de multidifusión local de vínculo [LLMNR] y difusiones de NetBIOS) sólo si la respuesta de la consulta de nombre de DNS indica que el nombre no existe; usar resolución de nombres local si el nombre no existe o no se puede tener acceso a los servidores de DNS cuando se ubican en una red con direcciones IPv4 privadas; o usar resolución de nombres local para cualquier tipo de error de resolución de nombres.

En Resolución de consultas, puede habilitar las opciones de resolución de consultas y especificar si resolver los nombres a direcciones IPv6 o resolver nombres las dos direcciones IPv6 e IPv4.

Puede usar el comando netsh dns show state para mostrar la configuración actual.

Excepciones de NRPT

Para minimizar la cantidad de normas de NRPT, debe especificar espacios de nombres que incluyan tanto del espacio de nombres pertinente como sea posible. Sin embargo, también podría tener que especificar que los nombres o espacios de nombres individuales dentro de esos espacios de nombres se eximen del control especial. Para esos casos, debe configurar una excepción de NRPT. Por ejemplo, desea usar DNSSEC para todos los nombres de DNS dentro del espacio de nombres secure.corp.contoso.com, salvo por el nombre de DNS waystation.secure.corp.contoso.com.

Una excepción de NRPT es una norma que no especifica ningún control especial. En el caso de DNSSEC, la norma habilita DNSSEC pero no requiere validación ni protección IPsec. En el caso de DirectAccess, la norma habilita DirectAccess pero no especifica un conjunto de servidores DNS de intranet DNS, un proxy web o protección IPsec. Los nombres DNS para las normas de excepción de NRPT se procesan mediante servidores DNS configurados por interfaz.

Un ejemplo de una excepción NRPT requerida es la norma FQDN para el servidor de ubicación de red DirectAccess, la cual usan los clientes DirectAccess para determinar si están conectados a la intranet. Para enviar consultas de nombres de DNS a servidores de intranet, la NRPT para clientes DirectAccess tiene una norma de sufijos para el espacio de nombres de la intranet (por ejemplo, corp.contoso.com) con las direcciones IPv6 de servidores de DNS de intranet. El servidor de ubicación de red normalmente se encuentra dentro del mismo espacio de nombres, por ejemplo, nls.corp.contoso.com. Sin embargo, dependiendo de su infraestructura de IPv6, los servidores DNS de intranet podrían no ser accesibles en las direcciones IPv6 especificadas, pero son accesibles mediante direcciones IPv4 configuradas por interfaz.

Sin una norma de excepción, el cliente DirectAccess conectado a intranet intenta resolver el nombre del servidor de ubicación de red en IPv6. Como los servidores DNS de intranet no son accesibles, el cliente DirectAccess no puede obtener acceso al servidor de ubicación de red y determina que está en Internet en lugar de en la intranet. En este estado, el cliente DirectAccess no puede obtener acceso a los recursos de intranet por nombre. Por tanto, debe existir una norma de excepción para el servidor de ubicación de red (nls.corp.contoso.com) para que la detección de intranet pueda concluir correctamente. El asistente de instalación de DirectAccess crea automáticamente normas de NRPT para el espacio de nombres de la intranet y la excepción para el servidor de ubicación de red.

Cómo funciona la NRPT

Así es cómo funciona el proceso de resolución de nombres para Windows 7 y Windows Server 2008 R2:

1. Una aplicación usa la API DnsQuery() o las API GetAddrInfo() o GetHostByName() Windows Sockets para resolver un nombre. Si el nombre no tiene formato, el servicio cliente DNS crea un FQDN mediante sufijos de DNS configurados.
2. El servicio cliente DNS comprueba si la caché de resolución de DNS tiene el FQDN, el cual contiene las entradas del archivo Hosts y los resultados de consultas de nombres recientes positivas y negativas. Si se encuentra una entrada, se usa el resultado y no tiene lugar mayor procesamiento.
3. El servicio cliente DBS pasa el FQDN por la NRPT para determinar las normas en las cuales el FQDN coincide con el espacio de nombres de la norma.
4. Si el FQDN no coincide con ninguna norma, o coincide con una norma única que es una norma de excepción, el servicio cliente DNS intenta resolver el FQDN mediante servidores DNS configurados por interfaz.
5. Si el FQDN coincide con una norma única que no es una norma de excepción, el servicio cliente DNS aplica el control especial especificado.
6. Si el FQDN coincide con varias normas, los servicios cliente DNS ordenan las normas coincidentes por precedencia, en orden: FQDN, prefijo coincidente más largo, sufijo coincidente más largo [incluidas subredes IPv4 y IPv6], cualquiera (para determinar la norma que coincide más estrechamente con el FQDN).
7. Después de determinar la norma coincidente más cercana, el servicio cliente DNS aplica el control especial especificado.

Resumen

La NRPT en Windows 7 y Windows Server 2008 R2 le permite especificar el control especial para las consultas de nombre de DNS requeridas para DNSSEC y DirectAccess en la forma de normas, con la capacidad de especificar espacios de nombres, prefijos, FQDN y excepciones.

Barra lateral: Ejemplo de normas de NRPT para DirectAccess

Contoso Corporation usa el espacio de nombres de DNS contoso.com para nombres de DNS de Internet y corp.contoso.com para nombres de DNS de intranet. El localizador uniforme de recursos (URL) del servidor de ubicación de red es https://nls.corp.contoso.com y el servidor de DirectAccess se ha configurado con la dirección IPv4 del servidor DNS de 10.0.0.1 en su interfaz de intranet. Basado en esta configuración, el asistente de instalación de DirectAccess crea dos normas de BRPT habilitadas para DirectAccess:

1. Una norma de sufijo para que .corp.contoso.com envíe consultas de DNS a la dirección IPv6 2002:836b:2:1:0:5efe:10.0.0.1. Ésta es una dirección IPv6 derivada de la dirección IPv4 pública del servidor de DirectAccess y la dirección IPv4 del servidor DNS.
2. Una norma de excepción para nls.corp.contoso.com.

Éste es un ejemplo de cómo aparecen estas normas en un cliente DirectAccess con el comando netsh namespace show policy:

DNS Name Resolution Policy Table SettingsSettings for nls.corp.contoso.com----------------------------------------------------------------------Certification authority                 : DC=com, DC=contoso, DC=corp,                                          CN=corp-DC1-CADNSSEC (Validation)                     : disabledDNSSEC (IPsec)                          : disabledDirectAccess (DNS Servers)              :DirectAccess (IPsec)                    : disabledDirectAccess (Proxy Settings)           : Bypass proxySettings for .corp.contoso.com----------------------------------------------------------------------Certification authority                 : DC=com, DC=contoso, DC=corp,                                          CN=corp-DC1-CADNSSEC (Validation)                     : disabledDNSSEC (IPsec)                          : disabledDirectAccess (DNS Servers)              : 2002:836b:2:1:0:5efe:10.0.0.1DirectAccess (IPsec)                    : disabledDirectAccess (Proxy Settings)           : Bypass proxy 

Joseph Davies es un autor técnico principal del equipo de redacción de redes de Windows de Microsoft. Es autor o coautor de varios libros publicados por Microsoft Press durante el año 2008, incluidos Windows Server 2008 Networking y Network Access Protection (NAP), Understanding IPv6, Second Edition y Windows Server 2008 TCP/IP Protocols and Services*.*

Contenido relacionado

• The Cable Guy: NAP en Internet
• The Cable Guy: Compatibilidad de IPv6 en Windows Server 2008 R2 y Windows 7
• The Cable Guy: DirectAccess y la red perimetral fina