Exportar (0) Imprimir
Expandir todo

Función Servidor DNS

Actualizado: enero de 2008

Se aplica a: Windows Server 2008

El sistema de nombres de dominio (DNS) es un sistema para asignar nombres a equipos y servicios de red que se organiza en una jerarquía de dominios. Las redes TCP/IP, como Internet, usan DNS para buscar equipos y servicios mediante nombres descriptivos.

Para que el uso de los recursos de red sea más fácil, los sistemas de nombres como DNS proporcionan un método para asignar el nombre descriptivo de un equipo o servicio a otros datos asociados a dicho nombre, como una dirección IP. Un nombre descriptivo es más fácil de aprender y recordar que las direcciones numéricas que los equipos usan para comunicarse a través de una red. La mayoría de la gente prefiere usar un nombre descriptivo (por ejemplo, sales.fabrikam.com) para buscar un servidor de correo electrónico o servidor web en una red en lugar de una dirección IP, como 157.60.0.1. Cuando un usuario escribe un nombre DNS descriptivo en una aplicación, los servicios DNS convierten el nombre en su dirección numérica.

¿Qué hace un servidor DNS?

Un servidor DNS proporciona resolución de nombres para redes basadas en TCP/IP. Es decir, hace posible que los usuarios de equipos cliente utilicen nombres en lugar de direcciones IP numéricas para identificar hosts remotos. Un equipo cliente envía el nombre de un host remoto a un servidor DNS, que responde con la dirección IP correspondiente. El equipo cliente puede entonces enviar mensajes directamente a la dirección IP del host remoto. Si el servidor DNS no tiene ninguna entrada en su base de datos para el host remoto, puede responder al cliente con la dirección de un servidor DNS que pueda tener información acerca de ese host remoto, o bien puede consultar al otro servidor DNS. Este proceso puede tener lugar de forma recursiva hasta que el equipo cliente reciba las direcciones IP o hasta que se establezca que el nombre consultado no pertenece a ningún host del espacio de nombres DNS especificado.

El servidor DNS del sistema operativo Windows Server® 2008 cumple con el conjunto de solicitudes de comentarios (RFC) que definen y estandarizan el protocolo DNS. Puesto que el servicio Servidor DNS es compatible con RFC y puede usar formatos de registro de recursos y archivos de datos DNS estándar, puede funcionar correctamente con la mayoría de las implementaciones del servidor DNS, como las que usa el software Berkeley Internet Name Domain (BIND).

Además, el servidor DNS de Windows Server 2008 proporciona las siguientes ventajas especiales en una red basada en Windows®:

  • Compatibilidad para los servicios de dominio de Active Directory (AD DS)

    DNS es necesario para admitir AD DS. Si instala la función Servicios de dominio de Active Directory en un servidor, puede instalar y configurar automáticamente un servidor DNS si no se puede encontrar ningún servidor DNS que reúna los requisitos de AD DS.

    Las zonas DNS se pueden almacenar en el dominio o las particiones del directorio de aplicaciones de AD DS. Una partición es un contenedor de datos de AD DS que distingue los datos según los diferentes objetivos de la replicación. Puede especificar la partición de Active Directory en la que almacenar una zona y, en consecuencia, el conjunto de controladores de dominio entre los que se pueden replicar los datos de esa zona.

    En general, el uso del servicio Servidor DNS de Windows Server 2008 se recomienda encarecidamente para conseguir la mejor integración y compatibilidad posible con AD DS y las características de servidor DNS mejoradas. Sin embargo, puede usar otro tipo de servidor DNS para admitir la implementación de AD DS.

  • Zonas de rutas internas

    DNS en Windows Server 2008 admite un tipo de zona denominada zona de rutas interna. Una zona de rutas internas es una copia de una zona que sólo contiene los registros de recursos que son necesarios para identificar los servidores DNS autoritativos para esa zona. Una zona de rutas internas mantiene un servidor DNS que hospeda una zona principal que tiene en cuenta los servidores DNS autoritativos para su zona secundaria. Esto permite mantener la eficacia de resolución de nombres DNS.

  • Integración con otros servicios de conexión de red de Microsoft

    El servicio Servidor DNS proporciona la integración con otros servicios y contiene características adicionales distintas de las que se especifican en los RFC de DNS. Entre estas características se incluye la integración con otros servicios, como AD DS, Servicios de nombres Internet de Windows (WINS) y Protocolo de configuración dinámica de host (DHCP).

  • Facilidad de administración mejorada

    El complemento DNS de Microsoft Management Console (MMC) ofrece una interfaz gráfica de usuario (GUI) para administrar el servicio Servidor DNS. Además, existen varios asistentes de configuración para llevar a cabo tareas de administración de servidor comunes. Además del complemento DNS, se ofrecen otras herramientas que facilitan la administración y compatibilidad de clientes y servidores DNS de la red.

  • Compatibilidad de protocolo de actualización dinámica conforme con RFC

    Los clientes pueden usar el servicio Servidor DNS para actualizar dinámicamente registros de recursos en función del protocolo de actualización dinámica (RFC 2136). Esto mejora la administración de DNS al reducir el tiempo necesario para administrar estos registros manualmente. Los equipos que ejecutan el servicio de clientes DNS pueden registrar sus nombres DNS y direcciones IP de forma dinámica. Además, el servicio Servidor DNS y los clientes DNS se pueden configurar para realizar actualizaciones dinámicas seguras, una capacidad que permite únicamente a los usuarios autenticados con los derechos adecuados actualizar los registros de recursos en el servidor. Las actualizaciones dinámicas seguras sólo están disponibles para zonas integradas en AD DS.

  • Compatibilidad para transferencia de zona incremental entre servidores

    Las transferencias de zona replican información acerca de una porción del espacio de nombres DNS entre servidores DNS. Las transferencias de zona incremental replican únicamente las porciones modificadas de una zona, lo que ahorra ancho de banda de red.

  • Reenviadores condicionales

    El servicio Servidor DNS amplía la configuración de un reenviador estándar con reenviadores condicionales. Un reenviador condicional es un servidor DNS de una red que reenvía consultas DNS según el nombre de dominio DNS de la consulta. Por ejemplo, puede configurar un servidor DNS para que reenvíe todas las consultas que recibe para los nombres que acaban en corp.contoso.com a la dirección IP de un servidor DNS específico o a las direcciones IP de varios servidores DNS.

¿A quién puede interesarle esta función de servidor?

A excepción de las redes TCP/IP más sencillas, todas las redes necesitan acceso a uno o más servidores DNS para funcionar adecuadamente. Sin la resolución de nombres y los demás servicios proporcionados por los servidores DNS, el acceso de los clientes a equipos host remotos sería excesivamente difícil. Por ejemplo, sin acceso a un servidor DNS, navegar por la World Wide Web sería virtualmente imposible: la gran mayoría de los vínculos de hipertexto que se publican en la Web usan el nombre DNS de hosts web en lugar de sus direcciones IP. Los mismos principios se aplican a las intranets, ya que los usuarios de equipo rara vez conocen las direcciones IP de los equipos de su red de área local (LAN).

Considere la posibilidad de implementar el servicio Servidor DNS de Windows Server 2008 si su red contiene lo siguiente:

  • Equipos unidos a dominios

  • Equipos cliente DHCP basados en Windows

  • Equipos conectados a Internet

  • Sucursales o dominios ubicados en una red de área extensa (WAN)

¿Hay alguna consideración especial?

Si desea integrar el servicio Servidor DNS en AD DS, puede instalar DNS al mismo tiempo que instala AD DS, o bien puede instalar DNS después de instalar AD DS y, a continuación, integrar DNS como un paso independiente. Puede instalar servidores DNS copiados en archivos (es decir, servidores DNS que no están integrados en AD DS) en cualquier equipo de la red. Desde luego, debe tener en cuenta la topología de la red y la distribución del tráfico cuando decida dónde implementar los servidores DNS.

¿Qué nueva funcionalidad aporta esta función de servidor?

El servicio Servidor DNS de Windows Server 2008 incluye una serie de características nuevas y mejoradas en comparación con el servicio Servidor DNS que estaba disponible en los sistemas operativos de Microsoft® Windows NT® Server, Windows 2000 Server y Windows Server® 2003. En las siguientes secciones se describen estas características.

Carga de zonas en segundo plano

Las organizaciones de gran tamaño con zonas extremadamente grandes que almacenan sus datos DNS en AD DS a veces descubren que reiniciar un servidor DNS puede tardar una hora o más mientras se recuperan los datos DNS del servicio de directorio. El resultado es que el servidor DNS no está disponible para atender las solicitudes de clientes durante todo el tiempo que se tarda en cargar las zonas basadas en AD DS.

Un servidor DNS que ejecuta Windows Server 2008 carga ahora datos de zona desde AD DS en segundo plano mientras se reinicia, de manera que puede responder a las solicitudes de datos de otras zonas. Cuando el servidor DNS se inicia:

  • Enumera todas las zonas que se van a cargar.

  • Carga sugerencias de raíz de archivos o almacenamiento AD DS.

  • Carga todas las zonas copiadas en archivo, es decir, las zonas que están almacenadas en archivos en lugar de en AD DS.

  • Empieza a responder a consultas y llamadas a procedimiento remoto (RPC).

  • Genera uno o más subprocesos para cargar las zonas que están almacenadas en AD DS.

Puesto que la tarea de cargar zonas la llevan a cabo subprocesos independientes, el servidor DNS es capaz de responder a las consultas mientras se está realizando la carga de zonas. Si un cliente DNS solicita datos para un host de una zona que ya se ha cargado, el servidor DNS responde con los datos (o, si es pertinente, da una respuesta negativa) conforme a lo esperado. Si la solicitud es para un nodo que no se ha cargado todavía en la memoria, el servidor DNS lee los datos del nodo de AD DS y actualiza la lista de registro del nodo según corresponda.

¿Por qué es importante esta funcionalidad?

El servidor DNS puede usar carga de zona en segundo plano para empezar a responder a las consultas casi inmediatamente después de reiniciarse, en lugar de esperar a que todas las zonas estén cargadas por completo. El servidor DNS puede responder a consultas para los nodos que ha cargado o que pueden recuperarse desde AD DS. Esta funcionalidad también ofrece otra ventaja cuando los datos de zona están almacenados en AD DS en lugar de en un archivo: se puede obtener acceso inmediato y asincrónico a AD DS cuando se recibe una consulta, mientras que a los datos de zona basados en archivos sólo se puede obtener acceso a través de una lectura secuencial del archivo.

Compatibilidad con direcciones IPv6

El protocolo de Internet versión 6 (IPv6) especifica direcciones con una longitud de 128 bits, a diferencia de las direcciones de IPv4, cuya longitud es de 32 bits. Esta mayor longitud de la dirección permite emplear un número significativamente mayor de direcciones únicas globales, lo que resulta necesario dado el espectacular desarrollo de Internet en todo el mundo.

Los servidores DNS que ejecutan Windows Server 2008 son ahora totalmente compatibles con direcciones IPv6, al igual que ocurre con las direcciones IPv4. Por ejemplo, en el complemento DNS, allí donde se escriba o muestre una dirección IP, ésta puede adoptar la forma de una dirección IPv4 o una dirección IPv6. La herramienta de línea de comandos dnscmd acepta también direcciones en cualquiera de los dos formatos. Además, los servidores DNS pueden enviar ahora consultas recursivas a servidores de IPv6 únicamente, y la lista de reenviadores del servidor puede contener tanto direcciones IPv4 como IPv6. Los clientes DHCP también pueden registrar direcciones IPv6 junto con (o en lugar de) direcciones IPv4. Por último, los servidores DNS son compatibles ahora con el espacio de nombres de dominio ip6.arpa para asignación inversa.

¿Por qué es importante esta funcionalidad?

El protocolo de direccionamiento IPv6 se está revelando como un factor importante en el crecimiento de Internet. La compatibilidad con el direccionamiento IPv6 de Windows Server 2008 garantiza que los servidores DNS sean capaces de admitir clientes DNS presentes y futuros diseñados para aprovechar las ventajas de las direcciones IPv6.

¿Qué preparativos se necesitan para este cambio?

Puesto que los servidores DNS pueden ahora devolver tanto registros de recursos de host IPv4 (A) como registros de recursos de host IPv6 en respuesta a consultas, asegúrese de que el software del cliente DNS de la red puede manejar dichas respuestas de forma adecuada. Podría ser necesario actualizar o reemplazar el software de cliente DNS antiguo para garantizar la compatibilidad con esta modificación.

Compatibilidad con controladores de dominio de sólo lectura

Windows Server 2008 incorpora un nuevo tipo de controlador de dominio, el controlador de dominio de sólo lectura (RODC). Un RODC proporciona, en efecto, una instantánea de un controlador de dominio que no puede configurarse directamente, lo que lo convierte en menos vulnerable a los ataques. Puede instalar un RODC en ubicaciones en las que la seguridad física del controlador de dominio no puede garantizarse.

Para poder admitir los RODC, un servidor DNS de Windows Server 2008 es compatible con un nuevo tipo de zona, la zona primaria de sólo lectura (también conocida como zona de sucursal). Cuando un equipo se convierte en un RODC, replica una copia de sólo lectura de todas las particiones de directorio de la aplicación que usa DNS, incluida la partición del dominio, ForestDNSZones y DomainDNSZones. Esto garantiza que el servidor DNS que se ejecuta en el RODC tiene una copia de sólo lectura de cualquier zona DNS almacenada en un controlador de dominio ubicado centralmente en dichas particiones de directorio. El administrador de un RODC puede ver el contenido de una zona primaria de sólo lectura; no obstante, el administrador puede modificar el contenido cambiando sólo la zona del controlador de dominio ubicado centralmente.

¿Por qué es importante esta funcionalidad?

AD DS se basa en DNS para proporcionar servicios de resolución de nombres a los clientes de red. Los cambios en el servicio Servidor DNS son necesarios para admitir AD DS en un RODC.

Zona GlobalNames

Hoy en día, muchos clientes de Microsoft implementan WINS en sus redes. Como protocolo de resolución de nombres, WINS se usa a menudo como protocolo secundario junto con DNS. WINS es un servicio anterior que usa NetBIOS sobre TCP/IP (NetBT), por lo que está próximo a quedarse obsoleto. No obstante, las organizaciones siguen usando WINS porque aprecian disponer de los registros estáticos globales con nombres de etiqueta única que proporciona WINS.

Para que las organizaciones puedan pasar a un entorno DNS completo (o para ofrecer las ventajas de los nombres de etiqueta única globales a todas las redes DNS), el servicio Servidor DNS de Windows Server 2008 es ahora compatible con una zona denominada GlobalNames que permite tener nombres de etiqueta única. En los casos habituales, el ámbito de replicación de esta zona es el bosque entero, lo que garantiza que la zona surta el efecto deseado de proporcionar nombres de etiqueta única en todo el bosque. Además, la zona GlobalNames puede admitir resolución de nombres de etiqueta única a través de una organización que contiene varios bosques cuando se usen los registros de recursos de ubicación de servicio (SRV) para publicar la ubicación de la zona GlobalNames.

A diferencia de WINS, la zona GlobalNames está pensada para proporcionar resolución de nombres de etiqueta única para un conjunto limitado de nombres de host, normalmente servidores corporativos y sitios web administrados de forma central (TI). No está previsto que la zona GlobalNames se use para resolución de nombres punto a punto, como resolución de nombres para estaciones de trabajo, y no se admiten las actualizaciones dinámicas en la zona GlobalNames. En lugar de esto, la zona GlobalNames se usa habitualmente para disponer de registros de recursos CNAME para asignar un nombre de etiqueta única a un nombre de dominio completo (FQDN). En las redes que usan actualmente WINS, la zona GlobalNames contiene por lo general registros de recursos para los nombres administrados por TI que ya están configurados de forma estadística en WINS.

Cuando se implementa la zona GlobalNames, la resolución de nombres de etiqueta única por clientes funciona de la siguiente manera:

  1. El sufijo DNS principal del cliente se anexa al nombre de etiqueta única y la consulta se envía al servidor DNS.

  2. Si ese FQDN no se resuelve, el cliente solicita resolución usando sus listas de búsqueda de sufijos DNS (como las especificadas por la directiva de grupo), si las tiene.

  3. Si ninguno de dichos nombres se resuelve, el cliente solicita resolución mediante el nombre de etiqueta única.

  4. Si el nombre de etiqueta única aparece en la zona GlobalNames, el servidor DNS que aloja la zona resuelve el nombre. En caso contrario, la consulta se conmuta por error a WINS.

No es necesario ningún cambio en el software de cliente para habilitar esta característica en el nombre de etiqueta única.

La zona GlobalNames proporciona resolución de nombres de etiqueta única sólo cuando todos los servidores DNS autoritativos están ejecutando Windows Server 2008. No obstante, otros servidores DNS (es decir, los servidores que no son autoritativos para ninguna zona) pueden ejecutar otros sistemas operativos. Desde luego, la zona GlobalNames debe ser la única zona con ese nombre dentro del bosque.

Para proporcionar escalabilidad y rendimiento máximos, se recomienda que la zona GlobalNames se integre en AD DS y que cada servidor DNS autoritativo se configure con una copia local de la zona GlobalNames. La integración AD DS de la zona GlobalNames es necesaria para admitir la implementación de la zona GlobalNames en varios bosques.

Lista global de consultas bloqueadas

La mayoría de las redes TCP/IP admiten la característica de actualización dinámica de DNS porque ésta conviene por igual a usuarios y administradores de la red. Mediante la actualización dinámica, los equipos cliente DNS pueden registrar y actualizar dinámicamente sus registros de recursos con un servidor DNS siempre que un cliente cambie su dirección de red o nombre de host. Esto reduce la necesidad de la administración manual de los registros de la zona, especialmente para los clientes que se mueven o cambian de ubicación con frecuencia y usan DHCP para obtener una dirección IP. Esta característica conlleva un inconveniente, ya que un cliente autorizado puede registrar cualquier nombre de host sin usar, incluso un nombre de host con un significado especial para determinadas aplicaciones. De esta manera, un usuario malintencionado podría "secuestrar" un nombre especial y desviar determinado tipo de tráfico de red al equipo de ese usuario.

Hay dos protocolos de implementación habitual que son especialmente vulnerables a este tipo de "secuestro": el protocolo WPAD (detección automática de proxy web) y el protocolo ISATAP (Intra-site Automatic Tunnel Addressing Protocol). Aunque una red no implemente estos protocolos, los clientes configurados para usarlos son vulnerables al secuestro que puede producirse como consecuencia de la actualización dinámica de DNS. Para impedir que se produzca dicho secuestro, la función de servidor DNS de Windows Server 2008 incluye una lista global de consultas bloqueadas que impedirá que un usuario malintencionado secuestre nombres DNS con un significado especial.

De manera predeterminada, el servicio Servidor DNS de Windows Server 2008 conserva una lista de nombres que se pasa por alto al recibir una consulta para resolver el nombre en una zona en la que el servidor es autoritativo. Para ello, el servicio Servidor DNS primero comprueba las consultas con la lista. Si la parte situada más hacia la izquierda del nombre coincide con una entrada de la lista, el servicio Servidor DNS responde a la consulta como si no existiera ningún registro de recurso, aunque haya un registro de recurso de host (A) o de host (AAAA) en la zona del nombre. De este modo, si en la zona existe un registro de recurso de host (A) o de host (AAAA) porque un host ha usado una actualización dinámica para registrarse con un nombre bloqueado, el servicio Servidor DNS no resuelve el nombre. El contenido inicial de la lista de consultas bloqueadas depende de si se ha implementado WPAD o ISATAP al agregar la función Servidor DNS a una implementación existente de Windows Server 2008 o al actualizar una versión anterior de Windows Server con el servicio Servidor DNS en ejecución. Asimismo, al usar la herramienta de línea de comandos dnscmd, puede agregar o eliminar entradas en la lista o desactivar por completo la aplicación de la lista de consultas bloqueadas. Todos los servidores DNS autoritativos en una zona deben ejecutar Windows Server 2008 y deben tener configurada la misma lista de consultas bloqueadas para garantizar así la coherencia en los resultados cuando los clientes consulten la resolución de nombres de la lista de consultas bloqueadas.

Cambios en el cliente DNS

Aunque no es una consecuencia directa de los cambios en DNS para la función Servidor DNS, los sistemas operativos Windows Vista® y Windows Server 2008 incorporan características adicionales en el software del cliente DNS, como se describe en las secciones siguientes.

LLMNR

Los equipos clientes DNS pueden usar la resolución de nombres de multidifusión local de vínculos (LLMNR), también denominada DNS de multidifusión o mDNS, para resolver nombres en un segmento de red local cuando un servidor DNS no está disponible. Por ejemplo, si un enrutador da error, desconectando una subred de todos los servidores DNS de la red los clientes de la misma que admiten LLMNR pueden continuar resolviendo nombres punto a punto hasta que la conexión de red se restablece.

Además de proporcionar resolución de nombres en caso de error en la red, LLMNR puede ser útil también para establecer redes punto a punto ad hoc, como por ejemplo, en el área de espera de un aeropuerto.

Cambios en la forma en que los clientes buscan controladores de dominio

En circunstancias excepcionales, la forma en que los clientes DNS buscan controladores de dominio puede afectar al rendimiento de la red:

  • El ubicador del controlador de dominio de un equipo cliente que ejecute Windows Vista o Windows Server 2008 busca periódicamente un controlador de dominio en el dominio al que pertenece. Esta funcionalidad ayuda a evitar problemas de rendimiento que podrían producirse cuando un cliente busca su controlador de dominio durante un período de error de red, con lo que se asocia el cliente a un controlador de dominio lejano ubicado en un vínculo de baja velocidad. Anteriormente, esta asociación continuaba hasta que se forzaba al cliente a buscar un nuevo controlador de dominio; por ejemplo, cuando el equipo cliente se desconectaba de la red durante un período de tiempo prolongado. Al renovar periódicamente su asociación a un controlador de dominio, un cliente puede ahora reducir la probabilidad de ser asociado a un controlador de dominio inadecuado.

  • Un equipo cliente que ejecute Windows Vista o Windows Server 2008 puede configurarse (mediante programación, configuración del Registro o directiva de grupo) para que busque el controlador de dominio más cercano en lugar de realizar una búsqueda aleatoria. Esta funcionalidad puede mejorar el rendimiento de red en las redes que contienen dominios que existen a través de vínculos de baja velocidad. No obstante, puesto que buscar el controlador de dominio más cercano puede repercutir negativamente en el rendimiento de la red, esta funcionalidad no está habilitada de forma predeterminada.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft