The Cable Guy: Cambios en el servicio de cliente DNS en Windows 7 y Windows Server 2008 R2

  • Artículo

Joseph Davies

Hay varios factores críticos, de nuevos en el servicio de cliente Sistema de nombres de dominio (DNS) en Windows PowerShell-Comandos Virtual Machine Manager 7 y Windows PowerShell-Comandos Virtual Machine Manager Server 2008 R2:

  • Cambios de comportamiento de devolución de nombre
  • La tabla de directivas de resolución de nombres (NRPT)
  • Seguridad DNS (DNSSEC)

Exploración de cada una de ellas de forma detallada puede ayudarle a trabajar con el DNS de forma más eficaz y eficiente.

Cambios de comportamiento de devolución de nombre

Devolución de nombres es un comportamiento del servicio cliente DNS en Windows PowerShell-Comandos Virtual Machine Manager que permite que un usuario del servicio de Windows PowerShell-Comandos Virtual Machine Manager de Active Directory (AD DS) especifique un nombre de etiqueta única, sin calificar para una Windows PowerShell-Comandos Virtual Machine Manager en lugar de su nombre de dominio completo (FQDN). Cuando se habilita la devolución de nombres, Windows PowerShell-Comandos Virtual Machine Manager anexa las partes de sufijo de dominio principal de la Windows PowerShell-Comandos Virtual Machine Manager para el nombre de etiqueta única y envía las consultas DNS independientes para los FQDN resultantes.

Por ejemplo, un usuario en un Windows PowerShell-Comandos Virtual Machine Manager que sea miembro del dominio corp.contoso.com puede utilizar el nombre server1 y devolución de nombres consulta automáticamente server1.corp.contoso.com y servidor1.contoso.com en nombre del usuario.

Devolución de nombres sólo se produce para el sufijo de dominio principal. No se produce cuando no hay ningún sufijo de dominio principal, de sufijos DNS específicos de la conexión, o cuando se ha configurado una lista de búsqueda de sufijos global.

En las versiones de Windows PowerShell-Comandos Virtual Machine Manager anterior a las 7 de Windows PowerShell-Comandos Virtual Machine Manager Windows Server 2008 R2, la devolución de nombre sigue el nombre de dominio de segundo nivel para el sufijo de dominio principal. Por ejemplo, si el Windows PowerShell-Comandos Virtual Machine Manager es un miembro del dominio wcoast.corp.contoso.com y escribe ping server1 de en un símbolo del sistema, el servicio cliente DNS envía las consultas DNS independientes para server1.wcoast.corp.contoso.com server1.corp.contoso.com y servidor1.contoso.com.

El nivel de la devolución es el número de etiquetas en el sufijo de dominio principal a la que deja de devolución de nombres. Para las versiones de Windows PowerShell-Comandos Virtual Machine Manager anterior a las 7 de Windows PowerShell-Comandos Virtual Machine Manager Windows Server 2008 R2 sin la 971888 documento informativo sobre seguridad de Windows PowerShell-Comandos Virtual Machine Manager: Actualización para la devolución DNS instalado, el nivel de la devolución de nombre es 2 y no se puede configurar ese nivel. Eso es definitivamente un problema.

Problemas de seguridad con la devolución de nivel 2

Nuevos tipos de nombres de Internet y de devolución para el nivel 2 pueden producir un Windows PowerShell-Comandos Virtual Machine Manager Unidos a un dominio que se conecten con equipos potencialmente malintencionados en Internet. Por ejemplo, si el sufijo de dominio principal de la Windows PowerShell-Comandos Virtual Machine Manager es westcoast.corp.contoso.co.us y el usuario intenta conectarse a server1, devolución de nombres DNS para el nivel 2 trata los nombres de los siguientes:

  • Server1.westCoast.corp.contoso.co.us
  • Server1.corp.contoso.co.us
  • Server1.contoso.co.us
  • Server1.co.us

El último nombre que ha intentado, server1.co.us, está fuera del control de Contoso Corporation. Si alguien ha registrado server1.co.us, se realizará correctamente la resolución de nombres DNS y la Windows PowerShell-Comandos Virtual Machine Manager intentará una conexión. Si el propietario del servidor server1.co.us es malintencionado, puede intentar suplantar un servidor de intranet.

El nuevo comportamiento de devolución de nombre

El nuevo comportamiento predeterminado para la devolución DNS bloquea esa posibilidad. Así es cómo funciona para los equipos con la Windows PowerShell-Comandos Virtual Machine Manager 7, Windows PowerShell-Comandos Virtual Machine Manager Server 2008 o una versión anterior de Windows PowerShell-Comandos Virtual Machine Manager 971888 documento informativo sobre seguridad de Windows PowerShell-Comandos Virtual Machine Manager: Actualización de la devolución DNS instalado:

  1. Si el número de etiquetas en el dominio de Windows PowerShell-Comandos Virtual Machine Manager del bosque de AD DS o el sufijo DNS principal no termina con el dominio del bosque Windows PowerShell-Comandos Virtual Machine Manager, se deshabilitará la devolución.
  2. Si el sufijo DNS principal termina con el dominio del bosque Windows PowerShell-Comandos Virtual Machine Manager, nivel de la devolución se establece el número de etiquetas en el dominio del bosque Windows PowerShell-Comandos Virtual Machine Manager.

Por ejemplo, si el Windows PowerShell-Comandos Virtual Machine Manager es un miembro del dominio westcoast.corp.contoso.co.us y el nombre de dominio del bosque Windows PowerShell-Comandos Virtual Machine Manager es corp.contoso.co.us, el nivel de la devolución es 4 (el número de etiquetas en corp.contoso.co.us). Si el Windows PowerShell-Comandos Virtual Machine Manager es un miembro de la westcoast.corp.contoso.com y el nombre de dominio del bosque Windows PowerShell-Comandos Virtual Machine Manager es corp.contoso.co.us, se deshabilita la devolución (westcoast.corp.contoso.com no termina con corp.contoso.co.us). Este comportamiento predeterminado garantiza que el nivel de la devolución no da lugar a un intento de resolver un nombre fuera del control de una organización.

Puede establecer manualmente el nivel de devolución con la configuración de directiva de grupo de nivel de Primary DNS suffix devolución. Si especifica manualmente un nivel de la devolución, sin embargo, tenga en cuenta que los cambios realizados en este valor de devolución pueden afectar a la capacidad de los equipos cliente para resolver los nombres de Windows PowerShell-Comandos Virtual Machine Manager en un dominio. Si se establece el nivel de devolución demasiado alto, devolución de nombres puede verse afectada.

Por ejemplo, si un Windows PowerShell-Comandos Virtual Machine Manager es un miembro de wcoast.corp.contoso.com y establece el nivel de la devolución a 4, cuando un usuario intenta conectarse a server1, server1.wcoast.corp.contoso.com es el nombre de dominio completo sólo ha intentado. Si el FQDN del servidor Servidor1 server1.corp.contoso.com, el usuario debe utilizar el FQDN de server1.corp.contoso.com, en lugar de server1.

Configurar el comportamiento de devolución de nombre

Puede habilitar devolución del nombre de la ficha de DNS para las propiedades avanzadas de TCP/IPv4 los protocolos TCP/IPv6. En la figura 1 se muestra un ejemplo.

Figure 1 DNS devolution settings on the DNS tab

Figura 1 Opciones de devolución DNS en la ficha DNS.

Cuando haga clic en de Anexar sufijos DNS específicos de conexión principales y y seleccione Anexar Windows PowerShell-Comandos Virtual Machine Manager sufijos del sufijo DNS principal de , esto permite la devolución de nombres.

También puede configurar la devolución de nombres con la siguiente configuración de directiva de grupo en el cliente de equipo Configuration\Policies\Administrative Templates\Network\DNS:

  • Nivel de devolución de sufijo DNS principal

Establezca en de como no configurado, pero con un valor predeterminado de nivel 2. También puede configurar esta opción con el valor de registro HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient\UseDomainNameDevolution (REG_DWORD) (1-habilitado, 0-desactivado).

  • Devolución de sufijo DNS principal

Establecida en de como no configurado de forma predeterminada. También puede configurar esta opción con el valor de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DomainNameDevolutionLevel (REG_DWORD).

Si se configuran opciones de directiva de grupo, se pasan por alto la configuración del registro local. Las versiones de Windows PowerShell-Comandos Virtual Machine Manager anterior a la 7 Windows PowerShell-Comandos Virtual Machine Manager o Windows Server 2008 R2, la configuración de nivel de devolución de sufijo DNS principal y la devolución de sufijo DNS principal se aplica a equipos con la 971888 documento informativo sobre seguridad de Windows PowerShell-Comandos Virtual Machine Manager: Actualización para la devolución DNS instalado.

Tabla de directivas de resolución de nombre

Para las tecnologías que requieren un tratamiento especial para las consultas de nombres para determinadas partes del espacio de nombres DNS, Windows PowerShell-Comandos Virtual Machine Manager 7 y Windows Server 2008 R2 incluyen la tabla de directiva de resolución de nombre (NRPT). DirectAccess y DNSSEC utilizan el NRPT para lo siguiente:

  • Cuando se encuentra en Internet, en los clientes de DirectAccess se envían las consultas DNS sobre nombres de intranet para los servidores DNS de la intranet a través de la conexión cifrada con el servidor de DirectAccess. Las reglas en el NRPT especifican el espacio de nombres de la intranet y el conjunto de servidores DNS de la intranet.
  • Windows PowerShell-Comandos Virtual Machine Manager 7 equipos enviarán las consultas DNS en DNSSEC de nombres de espacios de nombres especificado para autenticar el servidor DNS y asegúrese de que se ha realizado la validación de DNSSEC la resolución de DNS de validación. Las reglas en el NRPT especifican el espacio de nombres para las consultas basadas en DNSSEC y si se va a requerir la validación de DNSSEC.

El NRPT contiene reglas para los espacios de nombres o nombres y la configuración para el control especial necesario. Cuando se realiza una resolución de nombres DNS, el servicio cliente DNS comprueba el NRPT antes de enviar una consulta de nombres DNS y al procesar la respuesta. Las consultas y respuestas que coinciden con una entrada NRPT obtienen el control especial especificado aplicado. Las consultas y respuestas que no coinciden con una entrada NRPT se procesarán con normalidad.

Puede configurar el NRPT con directiva de grupo (en Configuration\Policies\Windows Settings\Name resolución de directiva de equipo), mediante el registro de Windows PowerShell-Comandos Virtual Machine Manager, o para entradas basadas en DirectAccess, mediante el Asistente para instalación de DirectAccess. Para entradas basadas en DNSSEC, directiva de grupo es el mejor método de configuración. Para entradas basadas en DirectAccess, el Asistente para instalación de DirectAccess es el mejor método de configuración.

La figura 2, se muestra la configuración de directiva de grupo de la NRPT.

Figure 2 Group Policy-based configuration of the NRPT

De la figura 2 configuración de directiva de grupo del NRPT.

Para obtener más información, vea de La tabla de directivas de resolución de nombres, en el de 2010 febrero “ The Cable Guy. ”

Seguridad DNS

El protocolo DNS no se ha diseñado para proporcionar autenticación o la comprobación de las respuestas de la resolución de nombres auténticos. Varios tipos de ataques al intentar suplantar un Windows PowerShell-Comandos Virtual Machine Manager Internet han aprovechado esta falta de seguridad en el pasado.

DNSSEC es un conjunto de estándares de Internet Engineering Task Force (IETF) (RFC 4033, 4034 y 4035) que proporcionan la siguiente información de los datos DNS almacenada en caché o enviar como el tráfico de red:

  • **Autenticación de origen:**Confirmación de que se ha originado desde el servidor DNS se espera la respuesta se envía como el tráfico de red.
  • **Autenticado denegación de existencia:**La respuesta no fue se encontró el nombre y esto fue autenticado por el servidor DNS autorizado.
  • **Integridad de datos:**La respuesta no se ha modificado en tránsito.

DNSSEC utiliza criptografía mediante clave pública para proporcionar estos servicios de seguridad. Cuando un cliente DNS envía una consulta de nombres DNS específicos de DNSSEC, la respuesta contiene una firma digital que lo acompaña. La resolución DNS de validación: un R2 Windows Server 2008 - basado en servidor DNS, valida la firma con un delimitador de confianza configurada previamente un Windows PowerShell-Comandos Virtual Machine Manager que tiene la clave pública inicial de una cadena de autenticación para el servidor DNS autorizado.

Para obtener más información acerca del funcionamiento de DNSSEC, vea Apéndice A: Revisar conceptos clave de DNSSEC.

Para obtener información acerca de la implementación DNSSEC en servidores DNS que ejecutan R2 Windows Server 2008, consulte la Guía de implementación de DNS seguro .

Configurar el servicio cliente DNS para utilizar DNSSEC

Puede configurar el comportamiento DNSSEC para el servicio cliente DNS en Windows PowerShell-Comandos Virtual Machine Manager 7 y Windows PowerShell-Comandos Virtual Machine Manager Server 2008 R2 con el NRPT. Consulte la sección NRPT en este artículo para obtener más información.

La figura 3 muestra los valores de configuración para DNSSEC dentro de una regla NRPT.

Figure 3 Enabling DNSSEC in an NRPT rule

La figura 3 **DNSSEC habilitar en una regla NRPT.  **

Para una parte especificada del espacio de nombres DNS definido por la regla NRPT, habilitar DNSSEC con de DNSSEC habilitar de esta regla. A continuación, puede requerir la validación con de los clientes requiere DNS para comprobar que los datos de nombre y dirección se ha validado.

También puede especificar que el cliente DNS proteger el tráfico entre él mismo y el servidor DNS con de UseIPsec en la comunicación entre el cliente DNS y el servidor DNS y, a continuación, especifique el tipo de protección. También puede especificar la entidad emisora de certificados (CA) de la que el cliente DNS Aceptar certificados al realizar la autenticación de IPsec en de entidad emisora de certificados (consulte de la figura 2).

Joseph Davies es escritor técnico principal en la Windows PowerShell-Comandos Virtual Machine Manager redes de equipo de la escritura de Windows PowerShell-Comandos Virtual Machine Manager. Es el autor y coautor de un número de libros publicados por Windows PowerShell-Comandos Virtual Machine Manager Press, incluidos “ Windows Server 2008 a redes y Network Access Protection (NAP), ” “ descripción IPv6, Second Edition ” y “ protocolos Windows Server 2008 TCP/IP y servicios. ”

Contenido relacionado