Вы находитесь на странице: 1из 9

Funcin Servidor DNS Actualizado: enero de 2008 Se aplica a: Windows Server 2008 El sistema de nombres de dominio (DNS) es un sistema

para asignar nombres a equipos y servicios de red que se organiza en una jerarqua de dominios. Las redes TCP/IP, como Internet, usan DNS para buscar equipos y servicios mediante nombres descriptivos. Para que el uso de los recursos de red sea ms fcil, los sistemas de nombres como DNS proporcionan un mtodo para asignar el nombre descriptivo de un equipo o servicio a otros datos asociados a dicho nombre, como una direccin IP. Un nombre descriptivo es ms fcil de aprender y recordar que las direcciones numricas que los equipos usan para comunicarse a travs de una red. La mayora de la gente prefiere usar un nombre descriptivo (por ejemplo, sales.fabrikam.com) para buscar un servidor de correo electrnico o servidor web en una red en lugar de una direccin IP, como 157.60.0.1. Cuando un usuario escribe un nombre DNS descriptivo en una aplicacin, los servicios DNS convierten el nombre en su direccin numrica.

Qu hace un servidor DNS?


Un servidor DNS proporciona resolucin de nombres para redes basadas en TCP/IP. Es decir, hace posible que los usuarios de equipos cliente utilicen nombres en lugar de direcciones IP numricas para identificar hosts remotos. Un equipo cliente enva el nombre de un host remoto a un servidor DNS, que responde con la direccin IP correspondiente. El equipo cliente puede entonces enviar mensajes directamente a la direccin IP del host remoto. Si el servidor DNS no tiene ninguna entrada en su base de datos para el host remoto, puede responder al cliente con la direccin de un servidor DNS que pueda tener informacin acerca de ese host remoto, o bien puede consultar al otro servidor DNS. Este proceso puede tener lugar de forma recursiva hasta que el equipo cliente reciba las direcciones IP o hasta que se establezca que el nombre consultado no pertenece a ningn host del espacio de nombres DNS especificado. El servidor DNS del sistema operativo Windows Server 2008 cumple con el conjunto de solicitudes de comentarios (RFC) que definen y estandarizan el protocolo DNS. Puesto que el servicio Servidor DNS es compatible con RFC y puede usar formatos de registro de recursos y archivos de datos DNS estndar, puede funcionar correctamente con la mayora de las implementaciones del servidor DNS, como las que usa el software Berkeley Internet Name Domain (BIND). Adems, el servidor DNS de Windows Server 2008 proporciona las siguientes ventajas especiales en una red basada en Windows:

Compatibilidad para los servicios de dominio de Active Directory (AD DS)

DNS es necesario para admitir AD DS. Si instala la funcin Servicios de dominio de Active Directory en un servidor, puede instalar y configurar automticamente un servidor DNS si no se puede encontrar ningn servidor DNS que rena los requisitos de AD DS. Las zonas DNS se pueden almacenar en el dominio o las particiones del directorio de aplicaciones de AD DS. Una particin es un contenedor de datos de AD DS que distingue los datos segn los diferentes objetivos de la replicacin. Puede especificar la particin de Active Directory en la que almacenar una zona y, en consecuencia, el conjunto de controladores de dominio entre los que se pueden replicar los datos de esa zona. En general, el uso del servicio Servidor DNS de Windows Server 2008 se recomienda encarecidamente para conseguir la mejor integracin y compatibilidad posible con AD DS y las caractersticas de servidor DNS mejoradas. Sin embargo, puede usar otro tipo de servidor DNS para admitir la implementacin de AD DS.

Zonas de rutas internas DNS en Windows Server 2008 admite un tipo de zona denominada zona de rutas interna. Una zona de rutas internas es una copia de una zona que slo contiene los registros de recursos que son necesarios para identificar los servidores DNS autoritativos para esa zona. Una zona de rutas internas mantiene un servidor DNS que hospeda una zona principal que tiene en cuenta los servidores DNS autoritativos para su zona secundaria. Esto permite mantener la eficacia de resolucin de nombres DNS.

Integracin con otros servicios de conexin de red de Microsoft El servicio Servidor DNS proporciona la integracin con otros servicios y contiene caractersticas adicionales distintas de las que se especifican en los RFC de DNS. Entre estas caractersticas se incluye la integracin con otros servicios, como AD DS, Servicios de nombres Internet de Windows (WINS) y Protocolo de configuracin dinmica de host (DHCP).

Facilidad de administracin mejorada El complemento DNS de Microsoft Management Console (MMC) ofrece una interfaz grfica de usuario (GUI) para administrar el servicio Servidor DNS. Adems, existen varios asistentes de configuracin para llevar a cabo tareas de administracin de servidor comunes. Adems del complemento DNS, se ofrecen otras herramientas que facilitan la administracin y compatibilidad de clientes y servidores DNS de la red.

Compatibilidad de protocolo de actualizacin dinmica conforme con RFC Los clientes pueden usar el servicio Servidor DNS para actualizar dinmicamente

registros de recursos en funcin del protocolo de actualizacin dinmica (RFC 2136). Esto mejora la administracin de DNS al reducir el tiempo necesario para administrar estos registros manualmente. Los equipos que ejecutan el servicio de clientes DNS pueden registrar sus nombres DNS y direcciones IP de forma dinmica. Adems, el servicio Servidor DNS y los clientes DNS se pueden configurar para realizar actualizaciones dinmicas seguras, una capacidad que permite nicamente a los usuarios autenticados con los derechos adecuados actualizar los registros de recursos en el servidor. Las actualizaciones dinmicas seguras slo estn disponibles para zonas integradas en AD DS.

Compatibilidad para transferencia de zona incremental entre servidores Las transferencias de zona replican informacin acerca de una porcin del espacio de nombres DNS entre servidores DNS. Las transferencias de zona incremental replican nicamente las porciones modificadas de una zona, lo que ahorra ancho de banda de red.

Reenviadores condicionales El servicio Servidor DNS ampla la configuracin de un reenviador estndar con reenviadores condicionales. Un reenviador condicional es un servidor DNS de una red que reenva consultas DNS segn el nombre de dominio DNS de la consulta. Por ejemplo, puede configurar un servidor DNS para que reenve todas las consultas que recibe para los nombres que acaban en corp.contoso.com a la direccin IP de un servidor DNS especfico o a las direcciones IP de varios servidores DNS.

A quin puede interesarle esta funcin de servidor?


A excepcin de las redes TCP/IP ms sencillas, todas las redes necesitan acceso a uno o ms servidores DNS para funcionar adecuadamente. Sin la resolucin de nombres y los dems servicios proporcionados por los servidores DNS, el acceso de los clientes a equipos host remotos sera excesivamente difcil. Por ejemplo, sin acceso a un servidor DNS, navegar por la World Wide Web sera virtualmente imposible: la gran mayora de los vnculos de hipertexto que se publican en la Web usan el nombre DNS de hosts web en lugar de sus direcciones IP. Los mismos principios se aplican a las intranets, ya que los usuarios de equipo rara vez conocen las direcciones IP de los equipos de su red de rea local (LAN). Considere la posibilidad de implementar el servicio Servidor DNS de Windows Server 2008 si su red contiene lo siguiente:

Equipos unidos a dominios Equipos cliente DHCP basados en Windows Equipos conectados a Internet

Sucursales o dominios ubicados en una red de rea extensa (WAN)

Hay alguna consideracin especial?


Si desea integrar el servicio Servidor DNS en AD DS, puede instalar DNS al mismo tiempo que instala AD DS, o bien puede instalar DNS despus de instalar AD DS y, a continuacin, integrar DNS como un paso independiente. Puede instalar servidores DNS copiados en archivos (es decir, servidores DNS que no estn integrados en AD DS) en cualquier equipo de la red. Desde luego, debe tener en cuenta la topologa de la red y la distribucin del trfico cuando decida dnde implementar los servidores DNS.

Qu nueva funcionalidad aporta esta funcin de servidor?


El servicio Servidor DNS de Windows Server 2008 incluye una serie de caractersticas nuevas y mejoradas en comparacin con el servicio Servidor DNS que estaba disponible en los sistemas operativos de Microsoft Windows NT Server, Windows 2000 Server y Windows Server 2003. En las siguientes secciones se describen estas caractersticas.

Carga de zonas en segundo plano


Las organizaciones de gran tamao con zonas extremadamente grandes que almacenan sus datos DNS en AD DS a veces descubren que reiniciar un servidor DNS puede tardar una hora o ms mientras se recuperan los datos DNS del servicio de directorio. El resultado es que el servidor DNS no est disponible para atender las solicitudes de clientes durante todo el tiempo que se tarda en cargar las zonas basadas en AD DS. Un servidor DNS que ejecuta Windows Server 2008 carga ahora datos de zona desde AD DS en segundo plano mientras se reinicia, de manera que puede responder a las solicitudes de datos de otras zonas. Cuando el servidor DNS se inicia:

Enumera todas las zonas que se van a cargar. Carga sugerencias de raz de archivos o almacenamiento AD DS. Carga todas las zonas copiadas en archivo, es decir, las zonas que estn almacenadas en archivos en lugar de en AD DS. Empieza a responder a consultas y llamadas a procedimiento remoto (RPC). Genera uno o ms subprocesos para cargar las zonas que estn almacenadas en AD DS.

Puesto que la tarea de cargar zonas la llevan a cabo subprocesos independientes, el servidor DNS es capaz de responder a las consultas mientras se est realizando la carga de zonas. Si

un cliente DNS solicita datos para un host de una zona que ya se ha cargado, el servidor DNS responde con los datos (o, si es pertinente, da una respuesta negativa) conforme a lo esperado. Si la solicitud es para un nodo que no se ha cargado todava en la memoria, el servidor DNS lee los datos del nodo de AD DS y actualiza la lista de registro del nodo segn corresponda. Por qu es importante esta funcionalidad? El servidor DNS puede usar carga de zona en segundo plano para empezar a responder a las consultas casi inmediatamente despus de reiniciarse, en lugar de esperar a que todas las zonas estn cargadas por completo. El servidor DNS puede responder a consultas para los nodos que ha cargado o que pueden recuperarse desde AD DS. Esta funcionalidad tambin ofrece otra ventaja cuando los datos de zona estn almacenados en AD DS en lugar de en un archivo: se puede obtener acceso inmediato y asincrnico a AD DS cuando se recibe una consulta, mientras que a los datos de zona basados en archivos slo se puede obtener acceso a travs de una lectura secuencial del archivo.

Compatibilidad con direcciones IPv6


El protocolo de Internet versin 6 (IPv6) especifica direcciones con una longitud de 128 bits, a diferencia de las direcciones de IPv4, cuya longitud es de 32 bits. Esta mayor longitud de la direccin permite emplear un nmero significativamente mayor de direcciones nicas globales, lo que resulta necesario dado el espectacular desarrollo de Internet en todo el mundo. Los servidores DNS que ejecutan Windows Server 2008 son ahora totalmente compatibles con direcciones IPv6, al igual que ocurre con las direcciones IPv4. Por ejemplo, en el complemento DNS, all donde se escriba o muestre una direccin IP, sta puede adoptar la forma de una direccin IPv4 o una direccin IPv6. La herramienta de lnea de comandos dnscmd acepta tambin direcciones en cualquiera de los dos formatos. Adems, los servidores DNS pueden enviar ahora consultas recursivas a servidores de IPv6 nicamente, y la lista de reenviadores del servidor puede contener tanto direcciones IPv4 como IPv6. Los clientes DHCP tambin pueden registrar direcciones IPv6 junto con (o en lugar de) direcciones IPv4. Por ltimo, los servidores DNS son compatibles ahora con el espacio de nombres de dominio ip6.arpa para asignacin inversa. Por qu es importante esta funcionalidad? El protocolo de direccionamiento IPv6 se est revelando como un factor importante en el crecimiento de Internet. La compatibilidad con el direccionamiento IPv6 de Windows Server 2008 garantiza que los servidores DNS sean capaces de admitir clientes DNS presentes y futuros diseados para aprovechar las ventajas de las direcciones IPv6. Qu preparativos se necesitan para este cambio?

Puesto que los servidores DNS pueden ahora devolver tanto registros de recursos de host IPv4 (A) como registros de recursos de host IPv6 en respuesta a consultas, asegrese de que el software del cliente DNS de la red puede manejar dichas respuestas de forma adecuada. Podra ser necesario actualizar o reemplazar el software de cliente DNS antiguo para garantizar la compatibilidad con esta modificacin.

Compatibilidad con controladores de dominio de slo lectura


Windows Server 2008 incorpora un nuevo tipo de controlador de dominio, el controlador de dominio de slo lectura (RODC). Un RODC proporciona, en efecto, una instantnea de un controlador de dominio que no puede configurarse directamente, lo que lo convierte en menos vulnerable a los ataques. Puede instalar un RODC en ubicaciones en las que la seguridad fsica del controlador de dominio no puede garantizarse. Para poder admitir los RODC, un servidor DNS de Windows Server 2008 es compatible con un nuevo tipo de zona, la zona primaria de slo lectura (tambin conocida como zona de sucursal). Cuando un equipo se convierte en un RODC, replica una copia de slo lectura de todas las particiones de directorio de la aplicacin que usa DNS, incluida la particin del dominio, ForestDNSZones y DomainDNSZones. Esto garantiza que el servidor DNS que se ejecuta en el RODC tiene una copia de slo lectura de cualquier zona DNS almacenada en un controlador de dominio ubicado centralmente en dichas particiones de directorio. El administrador de un RODC puede ver el contenido de una zona primaria de slo lectura; no obstante, el administrador puede modificar el contenido cambiando slo la zona del controlador de dominio ubicado centralmente. Por qu es importante esta funcionalidad? AD DS se basa en DNS para proporcionar servicios de resolucin de nombres a los clientes de red. Los cambios en el servicio Servidor DNS son necesarios para admitir AD DS en un RODC.

Zona GlobalNames
Hoy en da, muchos clientes de Microsoft implementan WINS en sus redes. Como protocolo de resolucin de nombres, WINS se usa a menudo como protocolo secundario junto con DNS. WINS es un servicio anterior que usa NetBIOS sobre TCP/IP (NetBT), por lo que est prximo a quedarse obsoleto. No obstante, las organizaciones siguen usando WINS porque aprecian disponer de los registros estticos globales con nombres de etiqueta nica que proporciona WINS. Para que las organizaciones puedan pasar a un entorno DNS completo (o para ofrecer las ventajas de los nombres de etiqueta nica globales a todas las redes DNS), el servicio Servidor DNS de Windows Server 2008 es ahora compatible con una zona denominada GlobalNames que permite tener nombres de etiqueta nica. En los casos habituales, el mbito de replicacin de esta zona es el bosque entero, lo que garantiza que la zona surta el efecto deseado de proporcionar nombres de etiqueta nica en todo el bosque. Adems, la

zona GlobalNames puede admitir resolucin de nombres de etiqueta nica a travs de una organizacin que contiene varios bosques cuando se usen los registros de recursos de ubicacin de servicio (SRV) para publicar la ubicacin de la zona GlobalNames. A diferencia de WINS, la zona GlobalNames est pensada para proporcionar resolucin de nombres de etiqueta nica para un conjunto limitado de nombres de host, normalmente servidores corporativos y sitios web administrados de forma central (TI). No est previsto que la zona GlobalNames se use para resolucin de nombres punto a punto, como resolucin de nombres para estaciones de trabajo, y no se admiten las actualizaciones dinmicas en la zona GlobalNames. En lugar de esto, la zona GlobalNames se usa habitualmente para disponer de registros de recursos CNAME para asignar un nombre de etiqueta nica a un nombre de dominio completo (FQDN). En las redes que usan actualmente WINS, la zona GlobalNames contiene por lo general registros de recursos para los nombres administrados por TI que ya estn configurados de forma estadstica en WINS. Cuando se implementa la zona GlobalNames, la resolucin de nombres de etiqueta nica por clientes funciona de la siguiente manera: 1. El sufijo DNS principal del cliente se anexa al nombre de etiqueta nica y la consulta se enva al servidor DNS. 2. Si ese FQDN no se resuelve, el cliente solicita resolucin usando sus listas de bsqueda de sufijos DNS (como las especificadas por la directiva de grupo), si las tiene. 3. Si ninguno de dichos nombres se resuelve, el cliente solicita resolucin mediante el nombre de etiqueta nica. 4. Si el nombre de etiqueta nica aparece en la zona GlobalNames, el servidor DNS que aloja la zona resuelve el nombre. En caso contrario, la consulta se conmuta por error a WINS. No es necesario ningn cambio en el software de cliente para habilitar esta caracterstica en el nombre de etiqueta nica. La zona GlobalNames proporciona resolucin de nombres de etiqueta nica slo cuando todos los servidores DNS autoritativos estn ejecutando Windows Server 2008. No obstante, otros servidores DNS (es decir, los servidores que no son autoritativos para ninguna zona) pueden ejecutar otros sistemas operativos. Desde luego, la zona GlobalNames debe ser la nica zona con ese nombre dentro del bosque. Para proporcionar escalabilidad y rendimiento mximos, se recomienda que la zona GlobalNames se integre en AD DS y que cada servidor DNS autoritativo se configure con una copia local de la zona GlobalNames. La integracin AD DS de la zona GlobalNames es necesaria para admitir la implementacin de la zona GlobalNames en varios bosques.

Lista global de consultas bloqueadas

La mayora de las redes TCP/IP admiten la caracterstica de actualizacin dinmica de DNS porque sta conviene por igual a usuarios y administradores de la red. Mediante la actualizacin dinmica, los equipos cliente DNS pueden registrar y actualizar dinmicamente sus registros de recursos con un servidor DNS siempre que un cliente cambie su direccin de red o nombre de host. Esto reduce la necesidad de la administracin manual de los registros de la zona, especialmente para los clientes que se mueven o cambian de ubicacin con frecuencia y usan DHCP para obtener una direccin IP. Esta caracterstica conlleva un inconveniente, ya que un cliente autorizado puede registrar cualquier nombre de host sin usar, incluso un nombre de host con un significado especial para determinadas aplicaciones. De esta manera, un usuario malintencionado podra "secuestrar" un nombre especial y desviar determinado tipo de trfico de red al equipo de ese usuario. Hay dos protocolos de implementacin habitual que son especialmente vulnerables a este tipo de "secuestro": el protocolo WPAD (deteccin automtica de proxy web) y el protocolo ISATAP (Intra-site Automatic Tunnel Addressing Protocol). Aunque una red no implemente estos protocolos, los clientes configurados para usarlos son vulnerables al secuestro que puede producirse como consecuencia de la actualizacin dinmica de DNS. Para impedir que se produzca dicho secuestro, la funcin de servidor DNS de Windows Server 2008 incluye una lista global de consultas bloqueadas que impedir que un usuario malintencionado secuestre nombres DNS con un significado especial. De manera predeterminada, el servicio Servidor DNS de Windows Server 2008 conserva una lista de nombres que se pasa por alto al recibir una consulta para resolver el nombre en una zona en la que el servidor es autoritativo. Para ello, el servicio Servidor DNS primero comprueba las consultas con la lista. Si la parte situada ms hacia la izquierda del nombre coincide con una entrada de la lista, el servicio Servidor DNS responde a la consulta como si no existiera ningn registro de recurso, aunque haya un registro de recurso de host (A) o de host (AAAA) en la zona del nombre. De este modo, si en la zona existe un registro de recurso de host (A) o de host (AAAA) porque un host ha usado una actualizacin dinmica para registrarse con un nombre bloqueado, el servicio Servidor DNS no resuelve el nombre. El contenido inicial de la lista de consultas bloqueadas depende de si se ha implementado WPAD o ISATAP al agregar la funcin Servidor DNS a una implementacin existente de Windows Server 2008 o al actualizar una versin anterior de Windows Server con el servicio Servidor DNS en ejecucin. Asimismo, al usar la herramienta de lnea de comandos dnscmd, puede agregar o eliminar entradas en la lista o desactivar por completo la aplicacin de la lista de consultas bloqueadas. Todos los servidores DNS autoritativos en una zona deben ejecutar Windows Server 2008 y deben tener configurada la misma lista de consultas bloqueadas para garantizar as la coherencia en los resultados cuando los clientes consulten la resolucin de nombres de la lista de consultas bloqueadas.

Cambios en el cliente DNS


Aunque no es una consecuencia directa de los cambios en DNS para la funcin Servidor DNS, los sistemas operativos Windows Vista y Windows Server 2008 incorporan

caractersticas adicionales en el software del cliente DNS, como se describe en las secciones siguientes. LLMNR Los equipos clientes DNS pueden usar la resolucin de nombres de multidifusin local de vnculos (LLMNR), tambin denominada DNS de multidifusin o mDNS, para resolver nombres en un segmento de red local cuando un servidor DNS no est disponible. Por ejemplo, si un enrutador da error, desconectando una subred de todos los servidores DNS de la red los clientes de la misma que admiten LLMNR pueden continuar resolviendo nombres punto a punto hasta que la conexin de red se restablece. Adems de proporcionar resolucin de nombres en caso de error en la red, LLMNR puede ser til tambin para establecer redes punto a punto ad hoc, como por ejemplo, en el rea de espera de un aeropuerto. Cambios en la forma en que los clientes buscan controladores de dominio En circunstancias excepcionales, la forma en que los clientes DNS buscan controladores de dominio puede afectar al rendimiento de la red:

El ubicador del controlador de dominio de un equipo cliente que ejecute Windows Vista o Windows Server 2008 busca peridicamente un controlador de dominio en el dominio al que pertenece. Esta funcionalidad ayuda a evitar problemas de rendimiento que podran producirse cuando un cliente busca su controlador de dominio durante un perodo de error de red, con lo que se asocia el cliente a un controlador de dominio lejano ubicado en un vnculo de baja velocidad. Anteriormente, esta asociacin continuaba hasta que se forzaba al cliente a buscar un nuevo controlador de dominio; por ejemplo, cuando el equipo cliente se desconectaba de la red durante un perodo de tiempo prolongado. Al renovar peridicamente su asociacin a un controlador de dominio, un cliente puede ahora reducir la probabilidad de ser asociado a un controlador de dominio inadecuado. Un equipo cliente que ejecute Windows Vista o Windows Server 2008 puede configurarse (mediante programacin, configuracin del Registro o directiva de grupo) para que busque el controlador de dominio ms cercano en lugar de realizar una bsqueda aleatoria. Esta funcionalidad puede mejorar el rendimiento de red en las redes que contienen dominios que existen a travs de vnculos de baja velocidad. No obstante, puesto que buscar el controlador de dominio ms cercano puede repercutir negativamente en el rendimiento de la red, esta funcionalidad no est habilitada de forma predeterminada.