5.- Administracion de DNS

Administración de DNS

Contenido

Descripción General 1

Presentación multimedia: Fundamentos del Sistema de nombres de dominio (DNS) 2

Introducción al proceso de consulta en DNS 3

Creación de zonas 5

Configuración de zonas 14

Configuración de actualizaciones de DNS 26

Introducción a la función de DNS en Active Directory 34

DNS y Active Directory 35

Resolución de nombres DNS en Active Directory 39

Mantenimiento y solución de problemas de servidores DNS 49

Prácticas recomendadas 61

Administración de DNS i

Notas para el instructor En este módulo se proporcionan las técnicas y los conocimientos necesarios para instalar, configurar y solucionar problemas del Sistema de nombres de dominio (DNS, Domain Name System) en una red Microsoft® Windows® 2000.

Al final de este módulo, los alumnos serán capaces de:

• Describir el proceso de consulta en DNS.

• Crear zonas.

• Configurar zonas.

• Configurar actualizaciones de DNS.

• Describir el proceso de resolución de nombres DNS en el servicio de directorio Active Directory®.

• Mantener servidores DNS y solucionar sus problemas.

• Aplicar las prácticas recomendadas para administrar DNS.

Desarrollo del módulo Para presentar este módulo, utilice la estrategia siguiente:

• Introducción al proceso de consulta en DNS

Este tema amplía los conceptos acerca de DNS que introduce la presentación multimedia. Describa los dos tipos de consulta que se pueden realizar en DNS, así como los tipos de búsqueda que se pueden especificar en las consultas DNS.

• Creación de zonas

En este tema se proporciona información acerca de cómo crear zonas para dividir el espacio de nombres DNS. Explique cómo se crea una zona y describa los tres tipos de zonas que se pueden configurar en DNS. Describa el objetivo del archivo de zona y, a continuación, explique cómo crear zonas de búsqueda directa e inversa que permiten a los clientes realizar búsquedas directas o inversas.

• Configuración de zonas

En este tema se proporciona información acerca de los conceptos y las opciones de configuración implicadas en la configuración de zonas. Explique los procedimientos para configurar zonas estándar. Describa el proceso de transferencia de zonas y cómo configurar las transferencias de zonas. Seguidamente, describa el procedimiento de creación de un subdominio para organizar una zona. Finalmente, explique cómo configurar una zona integrada de Active Directory.

• Configuración de actualizaciones de DNS

En este tema se proporciona información acerca de cómo integrar DNS y el protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol) para permitir a servidores y clientes DHCP actualizar la base de datos DNS con los nombres y las direcciones de Protocolo Internet (IP) de los equipos cliente. Ofrezca una introducción al proceso de actualización dinámica; para ello, describa el protocolo de actualización dinámica y remita a los alumnos al documento RFC 3007,

Administración DNS ii

Secure Domain Name System (DNS) Dynamic Update, para obtener más información. Describa el proceso de actualización dinámica en clientes basados en Windows 2000 y en clientes donde se ejecuten versiones anteriores de Windows. Haga hincapié en que en los clientes que ejecutan versiones anteriores de Windows, el servidor DHCP debe configurarse para actualizar siempre la base de datos DNS en nombre de esos clientes.

Explique que, para configurar actualizaciones dinámicas, es necesario configurar los servidores DNS y DHCP y los clientes basados en Windows 2000. Describa también las opciones disponibles para configurar el servidor DNS de modo que se permitan actualizaciones dinámicas. No explique la opción Sólo actualizaciones seguras , ya que se describe con más detalle en la sección siguiente. Demuestre los procedimientos para configurar el servidor DHCP y los clientes basados en Windows 2000 para actualizaciones dinámicas.

Explique cómo configurar el servidor DNS para garantizar que las actualizaciones dinámicas son seguras. Resalte que sólo las zonas integradas de Active Directory pueden configurarse para actualizaciones dinámicas seguras. Demuestre el procedimiento para configurar actualizaciones dinámicas seguras.

• Resolución de nombres DNS en Active Directory

En este tema hará una introducción a la resolución de nombres DNS en Active Directory. Explique cómo se utiliza DNS para encontrar un controlador de dominio de Windows 2000. Comente que, en Windows 2000, DNS utiliza registros de recursos SRV (servicio) para encontrar controladores de dominio y describa su formato. Identifique los registros de recursos SRV que registran los controladores de dominio durante el inicio y presente información acerca de la forma en que los equipos utilizan DNS para encontrar controladores de dominio.

• Mantenimiento y solución de problemas de servidores DNS

En este tema se ofrece información acerca de cómo mantener DNS y solucionar problemas de resolución de nombres. Describa las utilidades disponibles para mantener servidores DNS y solucionar sus problemas. Explique que es posible configurar un servidor de sólo almacenamiento en caché con el fin de reducir el tráfico en una red de área extensa (WAN, Wide Area Network). Identifique los diferentes registros de recursos que los servidores DNS pueden contener y, a continuación, explique cómo mantener zonas DNS mediante la creación y modificación de registros de recursos . Describa los métodos existentes para probar y supervisar el servicio Servidor DNS y explique cómo usar la utilidad de línea de comandos Nslookup para comprobar que los registros de recursos se han agregado o modificado correctamente. Para finalizar, describa los problemas de resolución de nombres que pueden surgir y comente cómo resolverlos.

• Prácticas recomendadas

En este tema presentará las prácticas recomendadas para administrar DNS. Haga hincapié en la razón por la que se debería adoptar cada una.

Administración de DNS 1

Descripción General

El Sistema de nombres de dominio (DNS) forma parte integral de las comunicaciones cliente-servidor en las redes que utilizan el protocolo IP. DNS es una base de datos distribuida que se utiliza en las redes IP para convertir, o resolver, nombres de equipo en direcciones IP. Microsoft® Windows® 2000 utiliza DNS como método principal para la resolución de nombres.

Los clientes basados en Windows 2000 y Microsoft Windows XP Professional utilizan el servicio Servidor DNS para la resolución de nombres y para buscar servicios, incluidos controladores de dominio que permiten autenticar al usuario.

Al terminar este módulo, el alumno será capaz de:

• Describir el proceso de consulta en DNS.

• Crear zonas.

• Configurar zonas.

• Configurar actualizaciones de DNS.

• Describir el proceso de resolución de nombres DNS en el servicio de directorio Active Directory®.

• Mantener servidores DNS y solucionar sus problemas.

• Aplicar las prácticas recomendadas para administrar DNS.

Objetivo del tema Proporcionar una introduc-ción a los temas y objetivos del módulo.

Explicación previa En este módulo aprenderá a instalar, configurar y probar el servicio Servidor DNS en Windows 2000.

n Introducción al proceso de consulta en DNS

n Creación de zonas

n Configuración de zonas

n Configuración de actualizaciones de DNS

n Introducción a la función de DNS en Active Directory

n DNS y Active Directory

n Resoluciónde nombres DNS en Active Directory

n Mantenimiento y solución de problemas de servidoresDNS

n Prácticas recomendadas


uPresentación multimedia: Fundamentos del Sistema de nombres de dominio (DNS)

Antes de que comience el proceso de administración del servicio Servidor DNS en Windows 2000, es importante que revise algunos conceptos básicos de DNS.

Después de ver la presentación multimedia, repase los siguientes puntos clave:

• DNS es un sistema de base de datos distribuido que puede servir como fundamento para la resolución de nombres en una red IP.

• En la estructura jerárquica del espacio de nombres de dominio, el dominio raíz se encuentra en la parte superior de la estructura de dominios y se representa mediante un punto. Debajo del dominio raíz, los dominios de nivel superior se representan mediante un tipo organizativo, como com o edu, o una ubicación geográfica, como au para Australia. Los dominios de segundo nivel se registran para individuos u organizaciones y pueden tener muchos subdominios.

• El nombre de dominio completo (FQDN) describe la relación exacta de un host con su dominio. DNS lo utiliza para convertir un nombre de host en una dirección IP.

• Los datos de esta conversión correspondientes a los equipos ubicados en una zona se almacenan en un archivo de zona en un servidor DNS.

• Una consulta de búsqueda directa es una solicitud para convertir un nombre en una dirección IP.

• Cuando un cliente envía una consulta de búsqueda directa para solicitar una dirección IP de un dominio en el que el servidor DNS local carece de autoridad, éste envía una consulta a un servidor DNS configurado en la ficha Reenviadores o al que aloje la zona raíz.

Objetivo del tema Dar paso a la presentación multimedia.

Explicación previa Esta presentación multimedia describe los componentes clave de DNS y cómo funciona el proceso de resolución de nombres. Debe entender estos conceptos para dar soporte técnico a una red de Windows 2000 de manera efectiva.

Sugerencia Una vez terminada la presentación multimedia, repase los puntos clave. El tiempo previsto para mostrar esta presentación multimedia es de 8 minutos.


uIntroducción al proceso de consulta en DNS

TiposTipos dede consultaconsulta

Consulta iterativa

El servidor DNS devuelve la mejor respuesta que puede proporcionar sin la ayuda de otros servidores

Consulta recursiva

El servidor DNS devuelve una respuesta completa a la consulta, no un puntero a otro servidorDNS

TiposTipos de bde búsquedaúsqueda

Búsqueda directa

Requiere convertir los nombres en direcciones

Búsqueda inversa

Requiere convertir las direcciones en nombres

DNS utiliza un modelo cliente-servidor en el que el servidor DNS contiene información acerca de una parte del espacio de nombres DNS y la proporciona a los clientes. Un cliente DNS consulta en un servidor DNS información acerca del espacio de nombres DNS. Este servidor puede, a su vez, consultar otros servidores DNS para proporcionar una respuesta a la consulta del cliente.

Cuando un servidor DNS recibe una solicitud DNS, intenta encontrar la información solicitada en su propia base de datos. Si la solicitud falla, tendrá que seguir comunicándose con otros servidores DNS.

Tipos de consulta En DNS se pueden realizar dos tipos de consultas:

• Consulta iterativa. Una consulta realizada desde un cliente a un servidor DNS en la que el servidor devuelve la mejor respuesta que puede proporcionar según su caché o sus datos de zona. Si el servidor consultado no tiene una coincidencia exacta para la solicitud, proporciona un puntero a un servidor autorizado de otro nivel del espacio de nombres del dominio.

A continuación, el cliente consulta el servidor autorizado al que se hizo referencia. El cliente continúa este proceso hasta que encuentra un servidor autorizado para el nombre solicitado o hasta que se produce un error o se agota el tiempo de espera.

• Consulta recursiva. Una consulta realizada desde un cliente a un servidor DNS en la que el servidor asume la carga de trabajo y la responsabilidad total de proporcionar una respuesta completa a la consulta. El servidor realizará, a continuación, consultas iterativas independientes a otros servidores (en nombre del cliente) con el objeto de ayudar a responder la consulta recursiva.

Objetivo del tema Enumerar los tipos de consulta, los tipos de búsqueda y su descripción.

Explicación previa En DNS se pueden realizar dos tipos de consultas. Cada tipo está asociado con uno de los dos tipos de búsqueda.

Sugerencia Explique que una consulta iterativa es aquélla en la que el servidor devuelve la mejor respuesta que es capaz de proporcionar sin la ayuda de otros servidores. Si el servidor tiene el registro solicitado, lo devuelve al cliente; de lo contrario, devuelve punteros a servidores que probable-mente tengan la respuesta. Una consulta recursiva es aquélla en la que el servidor devuelve una respuesta completa a la consulta y no sólo un puntero a otro servidor.


Proceso de consulta Normalmente, los equipos cliente envían consultas recursivas a los servidores DNS. Éstos utilizan entonces consultas iterativas para proporcionar una respuesta al cliente. Por ejemplo, cuando un equipo cliente emite una solicitud a un servidor DNS para resolver la dirección www.microsoft.com, tiene lugar el siguiente proceso:

1. El equipo cliente genera una solicitud para la dirección IP de www.microsoft.com, para lo que envía una consulta recursiva al servidor DNS que está configurado para utilizar.

2. El servidor DNS que recibe la consulta recursiva no puede encontrar una entrada para www.microsoft.com en su base de datos, así que envía una consulta iterativa a un servidor DNS autorizado para el dominio raíz.

3. Dicho servidor es incapaz de encontrar una entrada para www.microsoft.com en su base de datos, así que envía una respuesta al servidor DNS que envió la consulta con las direcciones IP de los servidores DNS que tienen autoridad para el dominio com.

4. El servidor DNS que recibió la consulta recursiva envía una consulta iterativa a un servidor autorizado para el dominio com.

5. Dicho servidor es incapaz de encontrar una entrada para www.microsoft.com en su base de datos, así que envía una respuesta al servidor DNS que envió la consulta con las direcciones IP de los servidores DNS autorizados para el dominio mic rosoft.com.

6. El servidor DNS que recibió la consulta recursiva envía una consulta iterativa a un servidor autorizado para el dominio microsoft.com.

7. El servidor DNS autorizado para el dominio microsoft.com encuentra una entrada para www.microsoft.com en su base de datos y envía una respuesta al servidor DNS que envió la consulta con la dirección IP de www.microsoft.com.

8. El servidor DNS que recibió la consulta recursiva envía una respuesta al equipo cliente con la dirección IP de www.microsoft.com.

Tipos de búsqueda El tipo de búsqueda de zona determina las tareas que realizará un servidor DNS. Cuando se crea una zona, se debe especificar si se utilizará para resolver consultas de búsqueda directa o inversa, para lo que es necesario especificar el tipo de zona. Las consultas iterativas y recursivas se pueden asociar con alguno de los siguientes tipos de búsqueda de zona:

• Búsqueda directa. Una solicitud para asignar un nombre a una dirección IP. Es el tipo de búsqueda más común y se utiliza para encontrar la dirección IP de un servidor de modo que pueda establecerse una conexión con él. Este tipo de solicitud requiere convertir los nombres en direcciones.

• Búsqueda inversa. Una solicitud para asignar una dirección IP a un nombre. Este tipo de búsqueda se utiliza con más frecuencia cuando se conoce una dirección IP, pero se desea saber el nombre del dominio asociado a ella. Por ejemplo, si se supervisan las conexiones IP realizadas a un servidor, se puede utilizar una búsqueda inversa para encontrar el nombre de dominio asociado con la dirección IP del equipo que realiza la conexión. Este tipo de solicitud requiere convertir las direcciones en nombres.

Sugerencia Utilice la pizarra para ilustrar el proceso de consulta que tiene lugar cuando un equipo cliente genera una solicitud de la dirección IP de www.microsoft.com.

Sugerencia Describa las diferencias entre búsqueda directa y búsqueda inversa.


u Creación de zonas

n Identificación de tipos de zonas

n Estudio de los archivos de zona

n Creación de zonas de búsqueda estándar

Una zona es una parte contigua del espacio de nombres de dominio en el que un servidor DNS tiene autoridad para resolver consultas DNS. El espacio de nombres DNS se puede dividir en zonas, que almacenan información de nombres acerca de uno o varios dominios DNS, o partes de un dominio DNS. Para cada nombre de dominio DNS incluido en una zona, ésta se convierte en el origen autorizado de la información acerca de ese dominio.

Antes de crear zonas, debe comprender los siguientes conceptos:

• Tipos de zonas. Los servidores DNS pueden alojar varios tipos de zona. Para limitar el número de servidores DNS en la red, puede configurar uno solo que admita, o aloje, varias zonas. También puede configurar varios servidores para alojar una o varias zonas con el fin de proporcionar tolerancia a errores y distribuir la carga de trabajo administrativa y de resolución de nombres.

• Archivo de zona. Los registros de recursos que se almacenan en un archivo de zona definen la zona. El archivo de zona almacena información que se utiliza para convertir nombres de host en direcciones IP y viceversa.

Para crear zonas y administrar un servidor DNS que no se ejecuta en un controlador de dominio, debe ser miembro del grupo Administradores en ese equipo. Para configurar un servidor DNS que se ejecuta en un controlador de dominio, debe ser miembro de los grupos Administradores de DNS, Administradores de dominio o Administradores de empresa.

Objetivo del tema Enumerar los temas relacio-nados con la creación de zonas.

Explicación previa El espacio de nombres DNS se puede dividir en zonas, que almacenan información de nombres acerca de uno o varios dominios DNS. Utilice el Asistente para zona nueva con el fin de crear una zona.

Puntos clave Un servidor DNS puede alojar varias zonas y diferentes tipos de zona. El archivo de zona contiene los registros de recursos que se utilizan en la resolución de nombres. Utilice el Asistente para zona nueva con el fin de crear una zona. Importante


Identificación de tipos de zonas

Zonas estándar

Zona principal

CambiarCambiar

Zona secundaria

Transferenciade zona

Zonas integradas de Active Directory

CambiarCambiar CambiarCambiar CambiarCambiar

Transferencia de zona

En la tabla siguiente se describen los tres tipos de zonas que puede configurar, así como los archivos de zona asociados con ellas.

Tipo de zona Descripción Principal estándar

Contiene una versión de lectura y escritura del archivo de zona que se almacena en un archivo de texto estándar. Los cambios realizados en la zona se registran en dicho archivo.

Secundaria estándar

Contiene una versión de sólo lectura del archivo de zona que se almacena en un archivo de texto estándar. Los cambios efectuados en la zona se registran en el archivo de zona principal y se replican en el archivo de zona secundaria. Cree una zona secundaria estándar para crear una copia de una zona existente y de su archivo de zona. De esta forma se puede distribuir la carga de trabajo de la resolución de nombres entre varios servidores DNS.

Integrada de Active Directory

En lugar de almacenar la información de zona en un archivo de texto, se almacena en Active Directory. Las actualizaciones de la zona se producen automáticamente durante la replicación de Active Directory. Cree una zona integrada de Active Directory para simplificar el planeamiento y la configuración de un espacio de nombres DNS. No es necesario configurar servidores DNS para especificar cómo y cuándo se producen las actualizaciones, ya que Active Directory mantiene la información de zona.

Objetivo del tema Ilustrar la diferencia entre zonas estándar y zonas integradas de Active Directory.

Explicación previa En DNS se pueden configurar tres tipos de zonas: zonas principales estándar, secundarias estándar e integradas de Active Directory.


Zonas principales estándar El servidor principal de una zona actúa como punto de actualización de la zona. Las zonas recién creadas son siempre de este tipo. Con Windows 2000 Server, las zonas principales se pueden utilizar de una de dos formas: como zonas principales estándar o como zonas principales integradas con Active Directory.

En las zonas principales estándar, sólo un servidor puede alojar y cargar la copia maestra de la zona. Si crea una zona y la mantiene como zona principal estándar, no se permite ningún servidor principal adicional para la zona. Sólo un servidor puede aceptar actualizaciones dinámicas y procesar los cambios de zona.

El modelo principal estándar supone un punto de concentración de errores. Por ejemplo, si por cualquier motivo el servidor principal de una zona no está disponible para la red, no se puede realizar ninguna actualización dinámica de la zona. Tenga en cuenta que las consultas de nombres en la zona no se ven afectadas y pueden continuar sin interrupción, siempre y cuando los servidores secundarios de la zona estén disponibles para responderlas.

La adición de una nueva zona principal a un servidor existente puede llevarse a cabo siempre que se necesiten dominios o subdominios adicionales en el espacio de nombres de dominio DNS. Por ejemplo, podría tener una zona para un dominio de segundo nivel como microsoft.com y desear agregar una zona principal para el nuevo subdominio. example.nwtraders.msft.

En este ejemplo puede crear la zona nueva para el subdominio con el Asistente para configuración de zona nueva del complemento DNS. Cuando haya finalizado, debe crear una delegación en la zona principal del nuevo dominio (como la zona microsoft.com) para completar la adición del nuevo subdominio y su zona principal.

En las zonas principales estándar, algunas veces puede ser necesario cambiar el servidor principal designado para una zona. Por ejemplo, supongamos que el servidor principal actual de una zona principal estándar es Servidor A y el nuevo servidor principal de la zona es Servidor B.

Para influir en el cambio de estado del Servidor A al Servidor B, realice los siguientes cambios de zona:

1. Agregue un nuevo registro de recursos (RR) de host (A) para el Servidor B.

2. Actualice el registro de recursos de servidor de nombres (NS) de la zona para quitar el Servidor A e incluir el Servidor B como servidor autorizado configurado que apunta al nuevo registro de recursos RR A agregado en el paso 1.

3. Revise el nombre del campo de propietario del registro de recursos de inicio de autoridad (SOA) para la zona del Servidor A al Servidor B.

4. Quite el registro de recursos A antiguo del Servidor A.

5. Compruebe la zona principal para asegurarse de que los registros de delegación (registros de recursos NS o A) utilizados se actualizan para hacer referencia al Servidor B.


Zonas secundarias estándar Las especificaciones de diseño de DNS recomiendan el uso de al menos dos servidores DNS para alojar cada zona. Para las zonas de tipo principal estándar, se necesita un servidor secundario para agregar y configurar la zona que aparece ante otros servidores DNS de la red.

Los servidores secundarios pueden proporcionar un medio para aliviar el tráfico de consultas DNS en áreas de la red en las que una zona se consulta y utiliza mucho. Además, si un servidor principal deja de estar operativo, un servidor secundario puede realizar parte de la resolución de nombres en la zona hasta que el servidor principal esté disponible.

Si agrega un servidor secundario, intente ubicarlo lo más cerca posible de los clientes que requieran muchos nombres en la zona. Además, es recomendable colocar servidores secundarios a través de un enrutador, bien en otras subredes (si se utiliza una LAN enrutada) o en vínculos WAN. De esta manera, se usa eficazmente un servidor secundario como copia de seguridad local en aquellos casos en los que un vínculo de red intermedio se convierte en un punto de concentración de errores entre servidores y clientes DNS que utilizan la zona.

Como el servidor principal siempre mantiene la copia maestra de las actualizaciones y cambios efectuados en la zona, el servidor secundario depende de mecanismos de transferencia de zonas DNS para obtener su información y mantenerla actualizada. Algunas cuestiones como los métodos de transferencia de zona, ya sea mediante transferencias de zona completas o incrementales, se simplifican cuando se utilizan servidores secundarios.

Al considerar el impacto de las transferencias de zona causadas por los servidores secundarios, tenga en cuenta su ventaja como origen de copia de seguridad de información y compárela con el costo agregado que suponen en la infraestructura de red. Una regla sencilla es que por cada servidor secundario que se agrega, aumenta el uso de la red (debido al tráfico adicional debido a la replicación de zona) y el tiempo necesario para sincronizar la zona en todos los servidores secundarios.

Zonas integradas de Active Directory En Windows 2000 Server puede agregar más servidores principales para una zona mediante las características integradas de almacenamiento y replicación de directorios del servicio DNS. Para ello, es necesario cambiar una zona e integrarla en Active Directory.

Para integrar una zona existente en Active Directory, cambie el tipo de una zona en el servidor principal de origen donde se creó por primera vez. Una vez que el tipo de zona haya cambiado de principal estándar a integrada de Active Directory, podrá agregar la zona a otros servidores DNS; para ello, debe configurarlos de modo que usen la opción para iniciar desde servicios de directorio cuando inicialicen el servicio DNS.

Cuando se selecciona esta opción, otros servidores DNS que funcionan como controladores de dominio para el dominio de Active Directory pueden consultar el directorio y cargar automáticamente todas las zonas integradas de directorio, que se almacenan en la base de datos de directorios. No se requiere ningún otro paso. Cualquier servidor DNS que funcione como parte de Active Directory es también, de manera predeterminada, servidor principal para las zonas integradas de directorio.


En las zonas principales integradas de directorio, los servidores secundarios se admiten pero no son necesarios para ofrecer tolerancia a errores. Por ejemplo, dos servidores DNS que funcionan como controladores de dominio de Windows 2000 pueden ser servidores principales redundantes para una zona y ofrecer las mismas ventajas que supone agregar un servidor secundario, además de otras adicionales.

Como el archivo de zona se mantiene en el contexto de nombres de dominio de Active Directory, los controladores de dominio deben estar en el mismo dominio para actuar como servidores principales redundantes en una zona. Cuando sea necesario compartir esta información de zona entre dominios, debe crearse un servidor de zona secundaria estándar.


Estudio de los archivos de zona

Los registros de recursos de un archivo de zona pueden contener los siguientes elementos de un equipo

l Nombre de dominio completol Dirección IPl Alias

Zona

DNSProxy Archivo

de basede datosde zona

Archivode basede datosde zona

@ NS casablanca.africa1.nwtraders.msft.casablanca A 192.168.11.1marrakech CNAME casablanca.africa1.nwtraders.msft.

@ NS casablanca.africa1.nwtraders.msft.casablanca A 192.168.11.1marrakech CNAME casablanca.africa1.nwtraders.msft.

Registros de recursosRegistrosRegistros dede recursosrecursos

Los archivos de zona contienen la información a la que un servidor DNS hace referencia para realizar dos tareas distintas: convertir nombres de host en direcciones IP y convertir direcciones IP en nombres de host. Esta información se almacena como registros de recursos que llenan el archivo de zona.

Un archivo de zona contiene los datos de resolución de nombres para una zona, incluidos los registros de recursos con información para responder a consultas DNS. Los registros de recursos son entradas de base de datos que incluyen varios atributos de un equipo, como el nombre de host o el nombre de dominio completo, la dirección IP o el alias.

Los servidores DNS pueden contener los siguientes tipos de registros de recursos.

Tipo de registro de recursos

Objetivo

A (host) Contiene la información de asignaciones de nombre a dirección IP, que se utiliza para

asignar un nombre de dominio DNS a una dirección IP de host en la red. Los registros de recursos A también se conocen como registros de host.

NS (servidor de nombres) Designa los nombres de dominio DNS de los servidores que tienen autoridad en una determinada zona o que contienen el archivo de zona de ese dominio.

CNAME (nombre canónico) Permite proporcionar nombres adicionales a un servidor que ya tiene un nombre en un registro de recursos A. Por ejemplo, si el servidor llamado webserver1.nwtraders.msft aloja el sitio Web de nwtraders.msft, debe tener el nombre común www.nwtraders.msft. Los registros de recursos CNAME también se conocen como registros de alias.

MX (intercambiador de correo)

Especifica el servidor en el que las aplicaciones de correo electrónico pueden entregar correo. Por ejemplo, si tiene un servidor de correo que se ejecuta en un equipo llamado mail1.nwtraders.msft y desea que todo el correo de [email protected] se entregue en este servidor de correo, es necesario que el registro de recursos MX exista en la zona de nwtraders.msft y apunte al servidor de correo de ese dominio.

Objetivo del tema Resaltar algunos de los atributos que se incluyen en un registro de recursos, que está contenido en un archivo de zona.

Explicación previa Los servidores DNS utilizan archivos de zona para encontrar la información que necesitan para la resolución de nombres.


(continuación)


Objetivo

SOA (inicio de autoridad) Indica el punto de partida o punto original de autoridad para la información

almacenada en una zona. El registro de recursos SOA es el primero que se crea cuando se agrega una zona nueva. Contiene también varios parámetros que utilizan otros equipos que emplean DNS para determinar cuánto tiempo utilizarán la información de la zona y con cuánta frecuencia hay que realizar actualizaciones.

PTR (puntero) Se utiliza en una zona de búsqueda inversa creada en el dominio in -addr.arpa para designar una asignación inversa de una dirección IP de host a un nombre de dominio DNS de host.

SRV (servicio) Lo registran los servicios para que los clientes puedan encontrar un servicio mediante DNS. Los registros SRV se utilizan para identificar servicios en Active Directory y también se conocen como registros de ubicación de servicio.


Creación de zonas de búsqueda estándar

Búsqueda inversa

Servidor DNS

Búsqueda directa

Servidor DNS

¿Dirección IP de nwtraders.msft?¿¿DirecciónDirección IP deIP de nwtradersnwtraders..msftmsft??

Dirección IP = 192.168.1.50DirecciónDirección IP = 192.168.1.50IP = 192.168.1.50

¿Nombre para 192.168.1.50?¿¿Nombre paraNombre para 192.168.1.50?192.168.1.50?

Nombre = nwtraders.msftNombreNombre == nwtradersnwtraders..msftmsft

En la mayoría de las búsquedas en DNS, los clientes suelen realizar una búsqueda directa, que es una solicitud para asignar un nombre de equipo a una dirección IP. DNS proporciona también un proceso de búsqueda inversa, que permite a los clientes solicitar un nombre de equipo en función de la dirección IP del equipo.

La información contenida en este tema solamente se aplica a zonas estándar.

Creación de una zona de búsqueda directa Para crear una zona de búsqueda directa, haga clic en Búsqueda directa en la página Zona de búsqueda directa o inversa del Asistente para zona nueva. El asistente le guía por el proceso de asignar un nombre a la zona y al archivo de zona. El asistente crea automáticamente la zona, el archivo de zona y los registros de recursos necesarios para el servidor DNS en el que se crea la zona.

Creación de una zona de búsqueda inversa Para crear una zona de búsqueda inversa, haga clic en Búsqueda inversa en la página Zona de búsqueda directa o inversa del Asistente para zona nueva. El asistente le indica cómo especificar la identificación de la red o el nombre de zona y cómo comprobar el nombre del archivo de zona según la información de identificación de la red. El asistente crea automáticamente la zona, el archivo de zona y los registros de recursos necesarios para el servidor DNS en el que se crea la zona.

El dominio in-addr.arpa es un dominio DNS especial de nivel superior que está reservado para la asignación inversa de direcciones IP en nombres de host DNS. Para crear el espacio de nombres inverso, se forman subdominios en el dominio in-addr.arpa con el orden inverso de los números en notación decimal con puntos de las direcciones IP.

Objetivo del tema Ilustrar los procesos de búsqueda directa e inversa.

Explicación previa Puede hacer que los clientes realicen búsquedas directas o inversas; para ello, debe crear una zona de búsqueda directa o inversa.

Sugerencia La diapositiva de este tema incluye una animación. Presione la BARRA ESPACIADORA para hacer avanzar la animación.

Nota


Para cumplir los estándares RFC, el nombre de la zona de búsqueda inversa requiere el sufijo de dominio in-addr.arpa. Al crear una zona de búsqueda inversa, este sufijo se agrega automáticamente al final de la identificación de la red. Por ejemplo, si la red utiliza el identificador de red de clase B 172.16.0.0, el nombre de la zona de búsqueda inversa se convierte en 16.172.in -addr.arpa.

Para obtener más información acerca del sufijo de dominio in-addr.arpa, consulte el documento RFC 2317, Classless IN-ADDR.ARPA delegation, en Lecturas adicionales, en la página Web del disco compacto Material del alumno.

Sugerencia Explique que el Asistente para zona nueva agrega automáticamente el sufijo in-addr.arpa al nombre de zona de búsqueda inversa.

Nota


u Configuración de zonas

n Configuración de zonas estándar

n Proceso de transferencia de zona

n Configuración de transferencias de zona

n Creación de un subdominio

n Configuración de zonas integradas de Active Directory

Una zona viene definida por la información almacenada en el archivo de zona en el servidor DNS. Con las zonas integradas de Active Directory, los archivos de zona se almacenan como objetos de Active Directory. Los servidores DNS hacen referencia a esta información para realizar la resolución de nombres.

Para que el servidor DNS autorizado realice la resolución de nombres para los clientes DNS y otros servidores DNS, debe configurar una zona. Al configurar una zona se determina el tipo de archivo de zona que se almac ena en un servidor DNS, además del modo en que se actualiza el archivo de zona.

Objetivo del tema Presentar los conceptos y las opciones de configura-ción implicadas en la configuración de una zona.

Explicación previa La información de zona se almacena en un archivo de zona. Una zona se puede configurar de varias formas.

Administració n de DNS 15

Configuración de zonas estándar

n Puede configurar un servidorDNS para alojar zonas principales estándar, zonas secundarias estándar o una combinaciónde zonas

n Puede designar un servidor principal o un servidor secundario como servidor maestro para una zona secundaria estándar

Servidor DNS A

Servidor DNS B

Zona secundaria(Servidormaestro DNS =

Servidor DNS A)

Servidor DNS C

Zona secundaria(Servidor maestro DNS =

ServidorDNS A)

Zona principal

Informaciónde zona

A

B C

Para cada zona, el servidor que mantiene los archivos de zona principal estándar se llama servidor principal y los servidores que alojan los archivos de zona secundaria estándar se llaman servidores secundarios. Un servidor DNS puede alojar el archivo de zona principal estándar (como servidor principal) de una zona y el archivo de zona secundaria estándar (como servidor secundario) de otra zona.

Puede configurar uno o varios servidores DNS para alojar:

• Una o varias zonas principales estándar.

• Una o varias zonas secundarias estándar.

• Una combinación de zonas principales estándar y zonas secundarias estándar.

Para crear una zona secundaria estándar, debe crear primero una zona principal estándar.

Objetivo del tema Explicar las zonas principales y secundarias, y que ambos tipos de zonas se pueden designar como servidores maestros.

Explicación previa Puede configurar las zonas estándar como principales o como secundarias. Una zona principal estándar contiene la copia maestra de un archivo de zona, mientras que una zona secundaria estándar es un replicado de un archivo de zona existente.

Punto clave Para crear una zona secundaria estándar, debe crear primero una zona principal estándar. Nota


Especificación de un servidor maestro DNS para una zona secundaria Al agregar una zona secundaria estándar, debe designar uno o varios servidores DNS en los que obtener la información de zona. El servidor o servidores designados se conocen como servidores maestros DNS. Un servidor maestro DNS transfiere información de zona al servidor DNS secundario. Puede designar un servidor principal u otro servidor secundario como servidor maestro DNS para una zona secundaria estándar.

Especificación de un servidor maestro DNS Para especificar un servidor maes tro DNS, en la página Servidores maestros del Asistente para zona nueva, escriba la dirección IP del servidor maestro en el cuadro Dirección IP y haga clic en Agregar.

Especificación de varios servidores maestros DNS Para especificar más de un servidor maestro DNS, utilice el mismo procedimiento que para agregar a la lista más direcciones IP de los servidores maestros DNS. El contacto con ellos se establece en el orden mostrado en el asistente. Puede ordenar la lista y cambiar el orden en el que desee que se establezca contacto con los servidores maestros DNS mediante la hoja de propiedades de zonas secundarias del complemento de Microsoft Management Console (MMC) DNS. Para ordenar la lista, haga clic en una dirección IP y, a continuación, en Subir o en Bajar.

Puntos clave El servidor que contiene la zona secundaria estándar recibe archivos de zona actualizados de un servidor maestro DNS. El servidor maestro DNS se configura para notificar a los servidores secundarios las modificaciones efectuadas en el archivo de zona.


Proceso de transferencia de zona

Una transferencia de zona se inicia cuandol Un servidor maestro DNS envía una notificación de cambios

en la zona al servidor o servidores secundarios

l El servidor secundario consulta un servidor maestro DNSpara comprobar si ha habido cambios en el archivo de zona

DNSProxy

(Maestro)

nwtraders

trainingsupport

Zona principalArchivo de base de datos

Zona secundariaArchivo de base de datos

DNSProxy

Zona 1

Para proporcionar disponibilidad y tolerancia a errores en la resolución de nombres, los datos de la zona deben estar disponibles desde más de un servidor DNS de una red. Por ejemplo, si se utiliza un solo servidor DNS y éste no responde, las consultas de nombres fallarán. Cuando se configura más de un servidor para alojar una zona, se requieren transferenc ias de zona para replicar y sincronizar los datos de la zona entre todos los servidores que están configurados para alojarla.

Transferencia de zona La transferencia de zona es el proceso en el que un archivo de zona se replica en otro servidor DNS. Las transferencias de zona se producen cuando las asignaciones de nombres y direcciones IP cambian en el dominio. Cuando esto ocurre, los archivos de zona modificados se copian desde un servidor maestro a sus servidores secundarios.

Transferencia de zona incremental En Windows 2000, la información de una zona se actualiza mediante transferencias de zona incrementales (IXFR), que sólo replican los cambios realizados en el archivo de zona, en lugar de replicar todo el archivo. Los servidores DNS que no admiten IXFR solicitan el contenido entero de un archivo de zona cuando inician una transferencia de zona. Cuando esto ocurre, se conoce como AXFR o transferencia de zona completa.

Objetivo del tema Ilustrar el proceso de transferencia de zona.

Explicación previa La transferencia de zona es el proceso en el que los servidores DNS interactúan para mantener y sincronizar archivos de zona.

Puntos clave Para proporcionar tolerancia a errores, los datos de la zona se almacenan en más de un servidor DNS. El proceso de transferencia de zona garantiza que los datos de la zona se actualizan en todos los servidores DNS configurados para alojarla.


El proceso de transferencia de zona se inicia cuando se produce una de las siguientes situaciones:

• Un servidor maestro envía al servidor o servidores secundarios una notificación de que se ha producido un cambio en la zona. Cuando el servidor secundario recibe la notificación, consulta los cambios en el servidor maestro.

• Cada servidor secundario consulta periódicamente un servidor maestro para comprobar si ha habido cambios en el archivo de zona, incluso aunque no se le haya notificado ningún cambio. Esto ocurre cuando se inicia el servicio Servidor DNS en el servidor secundario o cuando transcurre el intervalo de actualización en el servidor secundario.


Configuración de transferencias de zona Propiedades de nwtraders.msft

WINS Transferencias de zona Seguridad

General Inicio de autoridad (SOA) Servidores de nombres

Número de serie:

28

Servidorprimario:

london.nwtraders.msft

Persona responsable:

admin.

Incremento

Examinar...

Examinar...

15 minutos

10 minutos

1 días

0 :1 :0 :0

0 :1 :0 :0

Aceptar Cancelar

Intervalo de actualización:

Intervalo de reintento :

Expira después de:

TTL mínimo [predeterminado]:

TTL para este registro:

AplicarAplicar

Aceptar Cancelar AplicarAplicar

Propiedades de nwtraders.msft

General Inicio de autoridad (SOA) Servidores de nombres


Permitir zona de transferencias:

A cualquier servidor

Sólo en los servidores nombrados en la ficha Nombres de servidores

Sólo a los siguientes servidores

Dirección IP:

Para especificar los servidores secundarios se les notifique sobre las zonas de actualización, haga clic en Notificar.

AgregarAgregar

QuitarQuitar

Notificar…

Una zona de transferencias manda una copia de la zona a los servidores que lo solicitan.

Puede controlar con qué frecuencia y en qué momento se produce una transferencia de zona si modifica el registro de recursos de inicio de autoridad (SOA). El registro de recursos SOA especifica los dominios en los que la zona tiene autoridad, así como los parámetros que determinan el modo en que se producen las transferencias de zona. Asimismo, contiene información administrativa acerca de la zona.

Modificación del registro de recursos SOA Para modificar el registro de recursos SOA, cambie la configuración de las opciones siguientes en la ficha Inicio de autoridad (SOA), en el cuadro de diálogo Propiedades de la zona:

• Número de serie. Realiza un seguimiento de las actualizaciones del archivo de zona. Cada vez que se modifica la base de datos de zona, se incrementa el número de serie. Cuando un servidor secundario consulta su servidor principal para ver si hay actualizaciones, utiliza el número de serie para determinar si se han efectuado cambios en la zona. Si el número ha cambiado, se produce una transferencia de zona para actualizar los registros del servidor secundario.

• Servidor primario. Especifica el nombre de dominio completo del servidor principal.

Objetivo del tema Ilustrar la interfaz de usuario para configurar transferencias de zona.

Explicación previa El registro de recursos SOA se puede modificar para configurar la frecuencia con que se producen transfe-rencias de zona. También se pueden modificar las propiedades de zona para permitir transferencias de zona y especificar los servi-dores a los que se notificará que se ha actualizado un archivo de zona.

Sugerencia No es necesario explicar detalladamente cada una de las propiedades de las transferencias de zona. Explíquelas brevemente y sugiera a los alumnos que repasen esta información en profundidad fuera de clase.


• Persona responsable. Especifica la dirección de correo electrónico del Protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer Protocol) de la persona responsable del servidor. Este valor debe contener la dirección de correo electrónico de alguna persona que se encuentre disponible y que pueda comprobar el correo electrónico regularmente.

Si las transferencias de zona no funcionan correctamente, los usuarios pueden emplear la utilidad Nslookup para encontrar la dirección de correo electrónico de la persona responsable y enviarle una descripción del problema. Nslookup es una utilidad de línea de comandos que permite realizar consultas DNS para probar y solucionar problemas de la instalación de DNS. Por ejemplo:

1. Abra un símbolo de sistema.

2. Escriba Nslookup y presione ENTRAR.

3. Escriba ls –t soa nombreDeDominio (donde nombreDeDominio es el nombre del archivo de zona del dominio) y presione ENTRAR.

Al escribir la dirección de correo electrónico de la persona responsable, sustituya el símbolo @ que aparece en la respuesta de Nslookup por un punto.

• Intervalo de actualización. Controla con qué frecuencia un servidor secundario consulta si hay datos nuevos al servidor maestro. Si los datos DNS cambian continuamente, disminuya este valor para asegurarse de que se actualizan de forma oportuna. No obstante, al disminuir este valor puede aumentar el volumen del tráfico en la red.

• Intervalo de reintento. Controla con qué frecuencia un servidor secundario intentará actualizar su archivo de zona. Si un servidor secundario no puede ponerse en contacto con el servidor maestro, el intervalo de reintento determina cuánto tiempo va a esperar antes de volver a intentarlo.

• Expira después de. Controla el intervalo de tiempo que un servidor secundario utiliza los datos de zona que posee para responder a consultas cuando no se puede poner en contacto con el servidor maestro debido a problemas en la red. Al final del intervalo de caducidad, si el servidor secundario no puede ponerse en contacto con el servidor maestro, dejará de efectuar la resolución de nombres para esa zona. Aumente este valor si los servidores secundarios no pueden ponerse en contacto con el servidor principal durante un largo período.

• TTL mínimo (predeterminado). Especifica el valor del período de vida (TTL), es decir, la cantidad mínima de tiempo que un servidor puede almacenar en memoria caché la información de una zona. Aumente este valor si los nombres de red no suelen cambiar muy a menudo.

• TTL para este registro. Especifica el período de vida del registro de recursos SOA.

Nota


Configuración de la seguridad en transferencias de zona Puede especificar los servidores que están autorizados para recibir transferencias de zona en una zona; para ello, debe configurar una de las siguientes opciones de la ficha Transferencias de zona del cuadro de diálogo Propiedades de la zona:

• A cualquier servidor. Permite que la información de zona se replique en cualquier servidor.

• Sólo en los servidores nombrados en la ficha Nombres de servidores. Permite que la información de zona se replique sólo en los servidores que aparecen en la ficha Servidores de nombres del cuadro de diálogo Propiedades de la zona. Esta ficha contiene una lista de servidores que se encuentran en el mismo dominio que la zona.

• Sólo a los siguientes servidores. Especifica si permitirá transferencias de zona sólo en los servidores que aparecen en Dirección IP, en la ficha Transferencias de zona del cuadro de diálogo Propiedades de la zona.

La opción A cualquier servidor podría dejar el archivo DNS abierto ante un comando nslookup ls –d nombreDeZona, con el que personal no autorizado podría iniciar transferencias de zona. Utilice las opciones Sólo en los servidores nombrados en la ficha Nombres de servidores o Sólo a los siguientes servidores para evitar este tipo de riesgo en la seguridad.

Configuración de notificaciones También puede configurar un servidor maestro DNS para que incluya una lista de uno o varios servidores secundarios a los que se debe notific ar siempre que se actualice un archivo de zona. Si un servidor secundario recibe una notificación del servidor maestro DNS acerca de que se han realizado cambios en el archivo de zona, inicia una transferencia de zona para actualizar sus registros.

Puede utilizar Notificación DNS para configurar un servidor maestro de modo que notifique a uno o varios servidores secundarios cuando se produzcan cambios en la zona. Los servidores secundarios envían entonces una solicitud a su servidor maestro DNS para que les proporcione la información actualizada. Siempre que se efectúa un cambio en la zona principal, DNS actualiza el número de serie del archivo de zona. Cuando esto ocurre, el servidor maestro DNS envía una notificación a los servidores secundarios incluidos en su lista de notificación y aquéllos que reciben la notificación recuperan entonces la información actualizada.

Para configurar la lista de notificación, abra el cuadro de diálogo Propiedades de la zona, haga clic en la ficha Transferencias de zona y, a continuación, haga clic en el botón Notificar. A continuación, especifique el servidor o servidores secundarios a los que el servidor maestro notificará automáticamente cuando se realicen actualizaciones de la zona.

Nota

Sugerencia Describa el proceso de notificación.

Sugerencia Explique cómo se configura la lista de notificación.


Creación de un subdominio

orgorg comcomcom eduedu auau

“.”““.”.”

microsoft

training

SubdominioSubdominio Dominiode segundo nivelDominiode segundo nivel Dominio de nivel superiorDominiode nivel superior RaízRaíz

n Cree un subdominio para organizar mejor el espacio de nombresn Delegue autoridadde un subdominio para

l Delegar la administración de partes del espacio de nombresl Delegar las tareas administrativas para mantener una

base de datos DNS de gran tamaño

training.microsoft.com.

Un subdominio, llamado también dominio secundario, es un dominio DNS ubicado directamente debajo de otro dominio en la estructura jerárquica de DNS. El dominio ubicado directamente por encima del subdominio en la estructura jerárquica de DNS se llama dominio principal. Por ejemplo, training.microsoft.com es un subdominio del dominio microsoft.com.

Creación de un subdominio en una zona existente Puede crear subdominios para organizar mejor una zona y proporcionar una estructura al espacio de nombres. Dividir el espacio de nombres para incluir subdominios es comparable a crear carpetas y subcarpetas en un disco duro. Generalmente, los subdominios se basan en divisiones departamentales o geográficas de una organización.

Para crear un subdominio, abra DNS y, a continuación, en el árbol de la consola, haga clic en Zonas de búsqueda directa o Zonas de búsqueda inversa. Haga clic en el nombre de la zona en la que desee crear un subdominio, haga clic con el botón secundario del mouse (ratón) en el nombre de la zona y, seguidamente, haga clic en Dominio nuevo. Escriba el nombre del subdominio en el cuadro de diálogo Dominio nuevo y haga clic en Aceptar.

Creación de un subdominio en una zona nueva Puede delegar autoridad de un subdominio en un servidor DNS que desee que administre esa parte del espacio de nombres DNS. La delegación de autoridad permite:

• Delegar la administración de un dominio DNS en varios departamentos (subdominios) de una organización.

• Delegar las tareas administrativas para mantener una base de datos DNS de gran tamaño. Puede asignar a diferentes administradores para administrar los servidores DNS del subdominio.

Objetivo del tema Ilustrar los diferentes niveles del espacio de nombres de dominio.

Explicación previa Un subdominio (o dominio secundario) es un dominio DNS que se encuentra ubicado directamente debajo de otro dominio (o dominio principal) en el árbol del espacio de nombres.

Sugerencia Explique cómo se crea un subdominio.


Para delegar la autoridad de un subdominio, abra DNS y, a continuación, en el árbol de la consola, haga clic en Zonas de búsqueda directa o Zonas de búsqueda inversa. Haga clic en el nombre del dominio para el que desee delegar autoridad. Haga clic con el botón secundario del mouse en el nombre del dominio, seleccione Delegación nueva.

El Asistente para agregar nueva delegación le guía en el proceso de especificar el nombre del dominio para el que delegará autoridad. Este asistente también le guía en el proceso de agregar el nombre y la dirección IP del servidor o servidores que alojarán el dominio delegado.

Una vez completado el asistente, en el servidor en el que delega la autoridad debe haberse creado un archivo de zona para el subdominio delegado. Utilice el Asistente para zona nueva, que le guiará en el proceso.

Sugerencia Explique el procedimiento para delegar la autoridad de un subdominio.


Configuración de zonas integradas de Active Directory

Los datos de las zonas integradas de Active Directoryl Se almacenan como un objeto de Active Directoryl Se replican como parte de la replicación de dominios

Zona integrada de ActiveDirectory

nwtraders.msft

Servidor DNS

Active Directory

En las zonas integradas de Active Directory, los datos de zona se almacenan como un objeto de Active Directory y se replican como parte de la replicación de dominios. Las zonas integradas de Active Directory proporcionan las siguientes ventajas:

• Actualizaciones con varios servidores maestros. Con las zonas integradas de Active Directory, los cambios efectuados mediante el protocolo de actualización dinámica se pueden realizar en cualquier servidor que aloje la zona integrada de Active Directory, en lugar de en un solo servidor.

• Tolerancia a errores. Todas las zonas integradas de Active Directory son zonas principales. Por lo tanto, cada controlador de dominio que aloja una mantiene la información de zona. Sólo los controladores de dominio que residen en el dominio de Active Directory en el que están almacenados los datos de zona pueden alojar la zona.

• Topología de replicación única. Las transferencias de zona se producen automáticamente como parte de la replicación de Active Directory y evitan tener que configurar la replicación para DNS y Active Directory de manera independiente.

• Actualizaciones dinámicas seguras. Con las zonas integradas de Active Directory puede establecer permisos para zonas y registros de esas zonas. Además, las actualizaciones que utilizan el protocolo de actualización dinámica sólo pueden provenir de equipos autorizados.

Sólo puede crear zonas integradas de Active Directory en servidores que estén configurados como controladores de dominio y que tengan instalado el servicio Servidor DNS. Los archivos de zona de las zonas integradas de Active Directory no se almacenan en la carpeta raízDelSistema\System32\Dns, ya que se encuentran en zonas estándar. Por el contrario, se almacenan como objetos de Active Directory en el contexto de nombres de dominio.

Objetivo del tema Ilustrar el concepto de zona integrada de Active Directory.

Explicación previa Puede integrar zonas DNS en Active Directory para ofrecer tolerancia a errores y aumentar la seguridad. Si coloca la misma zona integrada de Active Directory en más de un servidor DNS, cualquiera de ellos puede actuar como servidor principal para la zona.

Nota


Creación de zonas integradas de Active Directory Para crear una zona integrada de Active Directory, utilice el mismo procedimiento que para crear una zona estándar, pero haga clic en Active Directory integrado en la página Tipo de zona del Asistente para zona nueva.

Conversión de zonas existentes Antes de convertir una zona existente en una zona integrada de Active Directory, debe tener en cuenta esta información:

• El servidor donde se ejecuta el servicio Servidor DNS debe estar configurado como controlador de dominio.

• Las zonas integradas de Active Directory se almacenan en Active Directory. Cuando almacena una zona en Active Directory, el archivo de zona se copia en Active Directory y se elimina del servidor principal de la zona.

Sólo puede convertir en zona integrada de Active Directory una zona principal estándar. Para ello, abra el cuadro de diálogo Propiedades de la zona que desee convertir. Haga clic en la ficha General y, después, en Cambiar. En el cuadro de diálogo Cambiar tipo de zona, haga clic en Active Directory integrado y, después, en Aceptar.

La opción Active Directory integrado no estará disponible en el cuadro de diálogo Cambiar tipo de zona hasta que haya implementado Active Directory.

Sugerencia Describa el proceso de conversión de una zona existente en una zona integrada de Active Directory.

Nota


u Configuración de actualizaciones de DNS

n Introducción a las actualizaciones dinámicas

n Configuración de actualizaciones dinámicas

n Actualizaciones dinámicas seguras

De manera predeterminada, los clientes de Windows 2000, o posterior, pueden actualizar DNS con su información de asignaciones de nombres a direcciones IP cada vez que un servidor DHCP les asigna una dirección IP. Sin embargo, los equipos donde se ejecutan versiones anteriores de Windows, como Microsoft Windows NT® y Microsoft Windows 98, no disponen de esta capacidad. Para resolver este problema, puede configurar un servidor DHCP para que actualice la base de datos del servidor DNS con la información de asignaciones de nombres a direcciones IP de los equipos cliente. El servidor DHCP utiliza el protocolo de actualización dinámica para actualizar el servidor DNS en nombre de estos clientes de versiones anteriores.

Objetivo del tema Enumerar los temas relacionados con la integración de DNS y DHCP.

Explicación previa Puede integrar DNS y DHCP para permitir a servidores y clientes DHCP actualizar la base de datos del servidor DNS.


Introducción a las actualizaciones dinámicas

Equipo1Servidor

Proxy

ServidorDNS Base Base dede datosdatosdede zonazona

Equipo1 192.168.120.133

Equipo1 192.168.120.133

Actualizacióndinámica




Solicitud de dirección IPSolicitudSolicitud dede direccióndirección IPIP

Asigna la direcciónIP 192.168.120.133

AsignaAsigna lala direccióndirecciónIP 192.168.120.133IP 192.168.120.133

11

22

n El protocolo de actualización dinámica de DNS permite alos clientes actualizar servidores DNS automáticamente

Registro A de nombre

RegistroPTR

Puede configurar servidores DHCP para asignar automáticamente direcciones IP a equipos cliente. Cuando un cliente recibe una nueva dirección IP de un servidor DHCP, se debe actualizar la información de asignaciones de nombres a direcciones IP almacenada en el servidor DNS. En Windows 2000, los servidores y los clientes DHCP pueden registrar y actualizar dinámicamente esta información de los servidores DNS configurados para permitir actualizaciones dinámicas.

Los servidores estáticos DNS no pueden interactuar dinámicamente con DHCP cuando cambian las configuraciones del cliente. Por lo tanto, se recomienda actualizar todos los servidores DNS con una versión que admita actualizaciones dinámicas.

Protocolo de actualización dinámica El protocolo de actualización dinámica permite a los equipos cliente actualizar automáticamente sus registros de recursos en un servidor DNS sin necesidad de la intervención del administrador. De forma predeterminada, los equipos con Windows 2000 se configuran para realizar actualizaciones dinámicas cuando también se configuran con una dirección IP estática.

Objetivo del tema Ilustrar el proceso de actualización dinámica.

Explicación previa Las actualizaciones dinámicas se pueden usar junto con DHCP para actualizar dinámicamente registros de recursos cuando se libera y se renueva la dirección DHCP de un equipo.

Importante

Sugerencia Describa el protocolo de actualización dinámica e indique a los alumnos que consulten el documento RFC 3007 o las notas del producto Windows 2000 DNS para obtener más información.


Proceso de actualización dinámica Cuando un servidor DHCP asigna una dirección IP a un cliente DHCP basado en Windows 2000, se produce el siguiente proceso:

1. El cliente inicia un mensaje de solicitud DHCP al servidor DHCP, en el que solicita una dirección IP. Este mensaje incluye el nombre de dominio completo.

2. El servidor DHCP devuelve al cliente un mensaje de confirmación DHCP, en el que se otorga una concesión de dirección IP.

3. El cliente envía al servidor DNS una solicitud de actualización DNS de su propio registro de búsqueda directa, el registro de recursos A (dirección).

Como alternativa a este paso, puede configurar el cliente DHCP y el servidor DHCP para permitir que éste envíe actualizaciones en nombre del cliente.

4. El servidor DHCP envía actualizaciones para el registro de búsqueda inversa del cliente DHCP, el registro de recursos PTR (puntero). Para realizar esta operación, el servidor DHCP utiliza el nombre de dominio completo que obtuvo en el primer paso.

Actualizaciones dinámicas para clientes con versiones anteriores de Windows Los equipos cliente que ejecutan versiones anteriores de Windows no admiten actualizaciones dinámicas. Debe configurar el servidor DHCP para que actualice siempre los registros de recursos A y PTR de esos clientes. En tal caso, se produce el proceso siguiente:

1. El cliente inicia un mensaje de solicitud DHCP al servidor DHCP, en el que solicita una dirección IP. A diferencia de los mensajes de solicitud DHCP de los clientes DHCP basados en Windows 2000, la solicitud no incluye un nombre de dominio completo.

2. El servidor devuelve al cliente un mensaje de confirmación DHCP, en el que se otorga una concesión de dirección IP.

3. El servidor DHCP envía al servidor DNS actualizaciones de los registros de recursos A y PTR del cliente.

Sugerencia Describir el proceso de actualización dinámica en clientes con Windows 2000.

Nota

Sugerencias Describa el proceso de actualización dinámica en clientes con versiones anteriores de Windows. Haga hincapié en que el servidor DHCP debe estar configurado para actualizar siempre la base de datos DNS en nombre de esos clientes.


Uso del grupo de seguridad DnsUpdateProxy Con Active Directory se proporciona un grupo integrado llamado DnsUpdateProxy. Si utiliza varios servidores DHCP para proporcionar tolerancia a errores y actualizaciones dinámicas seguras, al agregar cada uno de los servidores DHCP de Windows 2000 como miembro del grupo de seguridad DnsUpdateProxy, se evitan los problemas relacionados con la propiedad de los registros DNS. Estos problemas sólo surgen si un servidor DHCP ha grabado los registros DNS y, luego, lo reemplaza otro servidor DHCP. El nuevo servidor DHCP no será el propietario del registro y, por lo tanto, no podrá actualizarlo. Todos los objetos creados por los miembros de este grupo no tienen propietario, con lo que se resuelve el problema.

Cualquier registro de host grabado por un servidor DHCP que sea miembro del grupo DNSUpdateProxy no tendrá la seguridad intrínseca que proporciona la existencia de un propietario (incluido el registro DNS del servidor DHCP propiamente dicho). Este problema resulta significativo si el servidor DHCP es también un controlador de dominio. Para evitar la modificación no autorizada de este registro, debe especificar manualmente un propietario para los registros DNS asociados con el servidor DHCP.

Precaución


Configuración de actualizaciones dinámicas

ParaPara configurar actualizaciónconfigurar actualización dindinámicasámicas,, es necesarioes necesario::

Configurar el servidor DNS para permitir actualizaciones dinámicas

Configurar el servidor DHCP para actualizacionesdinámicas

Configurar clientes basados en Windows 2000 y Windows XP para actualizaciones dinámicas

Para habilitar las actualizaciones dinámicas, debe configurar el servidor DNS de modo que las permita y el servidor DHCP y los equipos cliente para actualizar la base de datos DNS.

Configuración del servidor DNS para permitir actualizaciones dinámicas Para configurar un servidor DNS de modo que permita actualizaciones dinámicas, abra el cuadro de diálogo Propiedades de la zona en el servidor DNS que desee configurar. En la ficha General, en el cuadro de lista ¿Permitir actualizaciones dinámicas?, haga clic en Sí. En la tabla siguiente se describen las opciones disponibles para las actualizaciones dinámicas.

Opción Descripción No Deshabilita las actualizaciones dinámicas para la zona

Sí Habilita las actualizaciones d inámicas para la zona

Sólo actualizaciones seguras

Permite las actualizaciones dinámicas seguras de una zona integrada de Active Directory realizadas desde equipos cliente autorizados.

Objetivo del tema Enumerar los temas relacionados con la configuración de actualizaciones dinámicas.

Explicación previa Para configurar actualizaciones dinámicas, es necesario configurar los servidores DNS y DHCP, y los clientes basados en Windows 2000.

Sugerencia Describa las opciones disponibles para configurar un servidor DNS de modo que permita actualizaciones dinámicas. La opción Sólo actualizaciones seguras se describe con más detalle en la sección siguiente.


Configuración del servidor DHCP para actualizaciones dinámicas Para configurar el servidor DHCP para actualizar la base de datos DNS:

1. En DHCP, abra el cuadro de diálogo Propiedades del servidor que esté configurando y, a continuación, haga clic en la ficha DNS.

2. Active la casilla de verificación Actualizar automáticamente la información del cliente DHCP en DNS y haga clic en una de las opciones siguientes para especificar cómo desea que el servidor DHCP interactúe con el servidor DNS:

• Actualizar DNS sólo a la petición del cliente DHCP. Especifica que el servidor DHCP actualice la base de datos DNS en función de la configuración del cliente. De manera predeterminada, los clientes que ejecutan Windows 2000 y Windows XP graban sus registros de recursos A y solicitan que el servidor DHCP actualice su registro de recursos PTR. Ésta es la configuración predeterminada del servidor DHCP.

• Actualizar siempre DNS. Especifica que el servidor DHCP actualice los registros de recursos A y PTR del cliente en la base de datos DNS, independientemente de la configuración del cliente.

3. Para especificar cómo funciona el servidor DHCP cuando la concesión del cliente caduca, siga uno de los pasos siguientes:

• Compruebe que la casilla de verificación Descartar las búsquedas directas (nombre-a-dirección) al caducar la concesión está activada, si desea que el servidor DHCP envíe actualizaciones a la base de datos DNS para descartar el registro de recursos A del cliente cuando la concesión caduque. Ésta es la configuración predeterminada del servidor DHCP.

• Desactive la casilla de verificación Descartar las búsquedas directas (nombre -a-dirección) al caducar la concesión, si desea impedir que el servidor DHCP envíe actualizaciones a la base de datos DNS para descartar el registro de recursos A del cliente cuando la concesión caduque.

4. Para permitir que el servidor DHCP actualice la base de datos DNS con los registros de recursos A y PTR de clientes que ejecutan versiones anteriores de Windows, active la casilla de verificación Habilitar actualizaciones para clientes DNS que no sean compatibles con actualizaciones dinámicas.

5. Cuando termine de configurar el servidor DHCP, haga clic en Aceptar.

Si no desea que el servidor DHCP registre y actualice la información del cliente en la base de datos DNS, desactive la casilla de verificación Actualizar automáticamente la información del cliente DHCP en DNS.

Sugerencia Demuestre el procedimiento con el que se configura un servidor DHCP para actualizaciones dinámicas.

Nota


Configuración de clientes basados en Windows 2000 y Windows XP para actualizaciones dinámicas Para configurar clientes con Windows 2000 y Windows XP para actualizar sus registros de recursos A en la base de datos DNS:

1. En Conexiones de red y de acceso telefónico, haga clic con el botón secundario del mouse en la conexión que desee configurar y, después, haga clic en Propiedades.

2. En el cuadro de diálogo Propiedades de la conexión, haga clic en Protocolo Internet (TCP/IP) y en Propiedades.

3. En el cuadro de diálogo Propiedades de Protocolo Internet (TCP/IP), haga clic en Avanzada .

4. En la ficha DNS del cuadro de diálogo Configuración avanzada de TCP/IP, active las casillas de verificación apropiadas:

• Registrar estas direcciones de conexiones en DNS. Permite al cliente grabar los registros de recursos en DNS con el nombre completo del equipo y la dirección IP de la conexión de red.

• Utilizar este sufijo DNS de conexión para registro DNS. Permite al cliente grabar los registros de recursos en DNS con la primera etiqueta del nombre del equipo junto con el sufijo DNS de la conexión. Use esta opción solamente si el sufijo DNS es diferente del nombre de dominio.

5. Haga clic en Aceptar tres veces.

Cuando se utiliza la opción Usar el sufijo DNS de esta conexión en el registro DNS, el equipo cliente graba un registro de recursos A Nombre y un registro de recursos PTR para el nombre de dominio de los equipos, además del sufijo DNS alternativo.

Sugerencia Demuestre el procedimiento de configuración de clientes con Windows 2000 y Windows XP para realizar actualizaciones dinámicas.

Nota


Actualizaciones dinámicas seguras Propiedades de nwtraders.msft


General Inicio de autoridad (SOA)

Estado :

Tipo :

Ejecutándose

Active Directory integrado

Pausa

Cambiar...

Datos almacenados en Active Directory

¿Permitir actualizaciones dinámicas?

Caducidad…

S ólo actualizaciones seguras

Para establecer las propiedadesde caducidad / compactación, haga clic en Caducidad

Aceptar Cancelar Aplicar

Servidoresde nombres

Actualizaciones dinámicas seguras

Actualizaciones dinámicas seguras

Zona integrada de Active Directory

Zona integrada de Active Directory

Puede configurar el servidor DNS para realizar actualizaciones dinámicas seguras de zonas integradas de Active Directory. Con las actualizaciones dinámicas seguras el servidor DNS autorizado acepta nuevos registros sólo de los equipos que tienen una cuenta de equipo en Active Directory y sólo acepta actualizaciones del equipo que originariamente grabó el registro. El servidor DNS rechaza las actualizaciones hasta que el servidor DHCP determina que la cuenta está autorizada.

Ventajas de las actualizaciones dinámicas seguras Las actualizaciones dinámicas seguras proporcionan las siguientes ventajas:

• Protección de zonas y registros de recursos contra modificaciones por parte de usuarios no autorizados.

• Capacidad de especificar los usuarios y grupos autorizados a modificar zonas y registros de recursos.

Configuración de actualizaciones dinámicas seguras Para configurar actualizaciones dinámicas seguras en el servidor DNS:

1. En DNS, abra el cuadro de diálogo Propiedades de la zona integrada de Active Directory del servidor DNS que desee configurar.

2. En la ficha General, en la lista ¿Permitir actualizaciones dinámicas?, haga clic en Sólo actualizaciones seguras y en Aceptar. Esta opción aparece en la lista sólo si la zona es de tipo integrada de Active Directory.

Para obtener más información acerca de las actualizaciones dinámicas seguras, consulte el documento RFC 3007, Secure Domain Name System (DNS) Dynamic Update, en Lecturas adicionales, en la página Web del disco compacto Material del alumno.

Objetivo del tema Ilustrar la interfaz de usuario para asegurar las actualizaciones dinámicas.

Explicación previa Puede configurar el servidor DNS para garantizar que las actualizaciones dinámicas son seguras.

Punto clave Sólo las zonas integradas de Active Directory pueden configurarse para actualizaciones dinámicas seguras.

Sugerencia Demuestre el procedimiento para configurar actualiza-ciones dinámicas seguras.

Nota


uIntroducción a la función de DNS en Active Directory

DNS proporciona las siguientes funciones principales en una red de Active Directory:

• Resolución de nombres. DNS realiza la resolución de nombres traduciendo los nombres de equipos en direcciones de Protocolo de Internet (IP) para que los equipos puedan localizarse entre sí. Un equipo de una red de Windows 2000 envía una consulta DNS con el nombre del equipo que quiere localizar a un servidor DNS. El servidor DNS resuelve la consulta mirando en su base de datos local o enviando la consulta a otro servidor DNS. DNS también realiza la resolución de nombres inversa traduciendo direcciones IP en nombres de equipos.

• Convención de nomenclatura para dominios de Windows 2000. Active Directory utiliza las convenciones de nomenclatura de DNS para dar nombre a los dominios de Windows 2000. En una red de Windows 2000, los nombres de los dominios DNS y los dominios de Active Directory comparten una estructura de nomenclatura jerárquica común. Por ejemplo, asia.contoso.msftr es un nombre de dominio DNS válido y también podría ser el nombre de un dominio de Windows 2000.

• Localización de los componentes físicos de Active Directory. DNS identifica los controladores de dominio por los servicios específicos que ofrecen, como la autenticación de una solicitud de inic io de sesión o la búsqueda en Active Directory. Un equipo cliente utiliza esta información específica del servicio para consultar DNS y localizar un controlador de dominio que preste ese servicio.

Por ejemplo, para iniciar sesión en la red o buscar en Active Directory impresoras o carpetas publicadas, un equipo en el que se ejecute Windows 2000 debe buscar primero un controlador de dominio o un servidor de catálogo global para autenticar el inicio de sesión o procesar la consulta. La base de datos DNS almacena información sobre los equipos que cumplen estas funciones.

Objetivo de la diapositiva Presentar cómo se integra DNS con Active Directory.

Introducción DNS ofrece numerosas funciones importantes en una red de Windows 2000.

n Resolución de nombres

l DNS traduce los nombres de equipos en direcciones IP

l Los equipos usan DNS para localizarse entre sí en la red

n Convención de nomenclatura para los dominios de Windows 2000

l Windows 2000 utiliza el estándar de nomenclatura DNS para los nombres de dominio

l Los dominios DNS y los de Active Directorycomparten una estructura jerárquica de nomenclatura común

n Localización de los componentes físicos de Active Directory

l DNS identifica los controladores de dominio por los servicios que proporcionan

l Los equipos usan DNS para localizar los controladores de dominio y los servidores de catálogo global


u DNS y Active Directory

La integración de DNS y Active Directory es una característica central de Windows 2000 Server. Los dominios DNS y los de Active Directory utilizan los mismos nombres de dominio para distintos espacios de nombre. Al usar los mismos nombres de dominio, los equipos de la red de Windows 2000 pueden usar DNS para buscar controladores de dominio y otros equipos que presten servicios relacionados con Active Directory.

Objetivo de la diapositiva Presentar los temas relacionados con la integración de DNS y Active Directory en Windows 2000

Introducción Los dominios DNS y los de Active Directory utilizan los mismos nombres de dominio para distintos espacios de nombre.

n Espacios de nombre de DNS y Active Directory

n Nombres de host DNS y nombres de equipos de Windows 2000


Espacios de nombre de Active Directory y DNS

Un espacio de nombre es una estructura de nomenclatura jerárquica en la que los nombres hacen referencia a los objetos a los que representan. En Windows 2000, los dominios DNS y los de Active Directory tienen la misma estructura jerárquica de nomenclatura, pero representan dos espacios de nombre distintos porque almacenan información diferente sobre los mismos objetos físicos.

En el espacio de nombre DNS, las zonas almacenan información sobre los nombres de uno o más dominios DNS. Una zona DNS es un fragmento contiguo del espacio de nombre de dominio en el que el servidor DNS tiene autoridad para resolver consultas DNS. En una zona se almacenan los registros de recursos de los dominios y equipos de esa zona. Los registros de recursos representan equipos y contienen la información necesaria para que un servidor DNS resuelva las consultas DNS. Recuerde que las zonas DNS pueden almacenar información de equipos que pertenecen a distintos dominios de Active Directory.

En el espacio de nombre de Active Directory, los objetos de Active Directory representan los mismos dominios y equipos que existen como nodos en el espacio de nombre DNS. Por lo tanto, los dominios DNS y los dominios de Active Directory comparten los mismos nombres.

En otras palabras, los espacios de nombre DNS y de Active Directory utilizan una estructura de nomenclatura idéntica, de modo que los dominios y los equipos se pueden representar como nodos DNS o como objetos de Active Directory. Por ejemplo, un dominio de Windows 2000 con el nombre training.microsoft.com tiene también un nombre de domino DNS, que es training.mic rosoft.com. La ventaja de integrar los espacios de nombre DNS y de Active Directory es que DNS se puede usar para buscar equipos que desempeñan funciones específicas en un dominio de Active Directory.

Objetivo de la diapositiva Mostrar la relación entre el espacio de nombre DNS y el espacio de nombre de Active Directory

Introducción En Windows 2000, los dominios DNS y los de Active Directory tienen la misma estructura de nomenclatura jerárquica.

Puntos principales En el espacio de nombre de Active Directory, los objetos de Active Directory representan los mismos dominios y equipos que existen como nodos en el espacio de nombre DNS. Los espacios de nombre DNS y de Active Directory utilizan una estructura de nomenclatura idéntica, de modo que los dominios y los equipos se pueden representar como nodos DNS o como objetos de Active Directory.

microsoft.com

sales. microsoft.com

training. microsoft.com

training

microsoft

Espacio de nombre DNS

Espacio de nombre de Active Directory

= nodo DNS (dominio o equipo) = dominio de Active Directory

sales

equipo1

(dominio raíz DNS)“.”“.”“.”

com.com.com.

Internet


Active Directory e Internet La integración de DNS y Active Directory también hace posible que la estructura de dominios de Active Directory exista dentro del ámbito del espacio de nombre de Internet. Esto es posible porque el espacio de nombre DNS global proporciona la estructura jerárquica de nomenclatura de Internet. Si su organización necesita estar presente en Internet, tendrá que registrar el nombre DNS que usará como nombre del dominio raíz de la estructura de dominios de Active Directory.

Cuando el dominio raíz de la estructura de dominios de Active Directory tiene un nombre de dominio DNS que está registrado, los registros de recursos de los dominios principales correspondientes del espacio de nombre de Internet global apuntan a los servidores DNS autorizados para el dominio raíz. Por ejemplo, los servidores de nombres que están autorizados para la base de datos DNS .com contienen registros de recursos de los servidores de nombres DNS del dominio raíz de microsoft.com. Estos registros de recursos permiten a los dominios externos utilizar Internet para buscar el dominio microsoft.com. Del mismo modo, los servidores de nombres DNS de su red pueden contener registros de recursos de servidores de nombres de Internet si quiere poder localizar otros dominios en Internet.


Nombres de host DNS y nombres de equipos Windows 2000

Puesto que Windows 2000 integra DNS y Active Directory, los dominios y equipos están representados por registros de recursos en el espacio de nombre DNS y por objetos de Active Directory en el espacio de nombre de Active Directory. Por eso, el nombre de host DNS de un equipo es el mismo nombre que se usa para la cuenta de equipo que se almacena en Active Directory. El nombre de equipo de Windows 2000 es el nombre completo relativo del objeto de Active Directory. El nombre de dominio DNS, que se denomina el sufijo DNS principal, es también el mismo que el nombre de domino de Active Directory al que se une el equipo.

En otras palabras, un equipo aparece representado en el espacio de nombre DNS y en el espacio de nombre de Active Directory con el mismo nombre. Por ejemplo, un equipo llamado Equipo1 que se encuentra dentro del dominio de Active Directory training.Microsoft.com tiene el siguiente nombre de dominio completo (FQDN):

equipo1.training.microsoft.com

La integración de DNS y Active Directory es esencial porque un equipo cliente de una red de Windows 2000 debe ser capaz de localizar un controlador de dominio para disfrutar de los servicios que ofrece Active Directory. Para buscar un controlador de dominio, el equipo usa DNS para localizar la dirección IP del equipo que ofrece el servicio necesario dentro de Active Directory.

Objetivo de la diapositiva Describir cómo los equipos y dominios tienen un nombre DNS y un nombre de Active Directory

Introducción Puesto que DNS y Active Directory utilizan los mismos nombres de dominio, se usa el mismo nombre de host DNS de un equipo para la cuenta de equipo que se almacena en Active Directory.

Puntos principales El nombre host DNS de un equipo es el mismo nombre que se usa para la cuenta de equipo que se almacena en Active Directory. El nombre de equipo de Windows 2000 es el nombre completo relativo del objeto de Active Directory.

n El registro de host DNS y el objeto de Active Directory representan el mismo equipo físico

n DNS permite a los equipos localizar controladores de dominio dentro de Active Directory

Active DirectoryActive Directory

training.microsoft .com

Integrado

Equipos

Equipo1

Equipo2

DNSDNS

“.”“.”“.”

com.com.com.

salessales trainingtrainingtraining

equipo1equipo1equipo1

microsoftmicrosoftmicrosoft

FQDN = equipo1.training.microsoft .comNombre de equipo Windows 2000 = Equipo1FQDN = equipo1.training.microsoft.comNombre de equipo Windows 2000 = Equipo1


u Resolución de nombres DNS en Active Directory

n Introducción a los registros de recursos SRV

n Formato del registro de recursos SRV

n Registros de recursos SRV grabados por controladoresde dominio

n Cómo usan DNS los equipos para encontrar controladores de dominio

Los controladores de dominio, además de identificarse mediante un nombre de dominio completo en DNS y un nombre de equipo completo de Windows 2000, también se identifican por los servicios específicos que proporcionan. Windows 2000 utiliza DNS para encontrar controladores de dominio al convertir un dominio o nombre de equipo en una dirección IP. Para ello, se usan registros de recursos SRV que asignan un servicio determinado al controlador de dominio que lo proporciona. El formato de un registro de recursos SRV contiene esta información junto con otra específica del Protocolo de control de transporte/Protocolo Internet (TCP/IP).

Cuando un controlador de dominio se inicia, el servicio Inicio de sesión en red que se ejecuta en él utiliza la característica de actualización dinámica de DNS para registrar en la base de datos DNS los registros de recursos SRV de todos los servicios relacionados con Active Directory que proporciona el controlador de dominio. Por lo tanto, un equipo con Windows 2000 puede consultar un servidor DNS cuando tenga que ponerse en contacto con un controlador de dominio.

Para obtener más información acerca de la resolución de nombres DNS en Active Directory, consulte el capítulo 3, que trata este tema, de la Guía de sistemas distribuidos (Distributed Systems Guide) incluida en el Kit de recursos de Microsoft Windows 2000 Server (Microsoft Windows 2000 Server Resource Kit).

Objetivo del tema Presentar los temas relacionados con la resolución de nombres DNS en Active Directory.

Explicación previa Ahora que conoce la relación entre los espacios de nombres de Active Directory y DNS, explicaremos cómo se utiliza DNS para encontrar controladores de dominio de Windows 2000.

Nota


Introducción a los registros de recursos SRV

n Los registros de recursos SRV permiten a los equipos encontrarcontroladores de dominio

n La información de un registro de recursos SRV asigna nombres de equipo DNS al servicio

n Windows 2000 utiliza registros de recursos SRV para encontrar:

l Un controlador de dominio en un determinado dominio o bosquel Un controlador de dominio en el mismo sitio que el equipo clientel Un controlador de dominio configurado como servidor

de catálogo globall Un equipo configurado como servidor KDC Kerberos

n Los servidores DNS utilizan la información de los registrosde recursos SRV y A para encontrar controladores de dominio

Para que Active Directory funcione adecuadamente, los servidores DNS deben ser capaces de usar registros de recursos SRV. Los registros de recursos SRV permiten a los equipos cliente encontrar servidores que proporcionan servicios específicos, como la autenticación de solicitudes de inicio de sesión y la búsqueda de información en Active Directory. Windows 2000 utiliza registros de recursos SRV para identificar un equipo como controlador de dominio. Los registros de recursos SRV vinculan el nombre de un servicio con el del equipo DNS para el controlador de dominio que ofrece dicho servicio.

También contienen información que permite a un servidor DNS encontrar lo siguiente:

• Un controlador de dominio ubicado en un dominio específico o en un bosque de Windows 2000.

• Un controlador de dominio ubicado en el mismo sitio que el equipo cliente.

• Un controlador de dominio que está configurado como servidor de catálogo global.

• Un controlador de dominio que está configurado como emulador de controlador de dominio principal (PDC).

• Un equipo que ejecuta el servicio Centro de distribución de claves de Kerberos (KDC, Kerberos Key Distribution).

Objetivo del tema Explicar que Windows 2000 utiliza registros de recursos SRV para encontrar controladores de dominio.

Explicación previa En Windows 2000, los registros de recursos SRV se utilizan para encontrar un equipo que proporciona un servicio específico.

Puntos clave Los registros de recursos SRV permiten a los equipos cliente encontrar servidores que proporcionan servicios específicos de Active Directory. Los registros de recursos SRV vinculan el nombre de un servicio con el del equipo DNS para el controlador de dominio que ofrece dicho servicio.


Registros de recursos SRV y A Cuando un controlador de dominio se inicia, graba registros de recursos SRV que contienen información acerca de los servicios que proporciona. También graba un registro de recursos A que contiene su nombre de equipo DNS y su dirección IP. El servidor DNS utiliza luego esta información combinada para resolver las consultas DNS y devolver la dirección IP de un controlador de dominio de modo que el equipo cliente pueda encontrarlo.

En Windows 2000, los controladores de dominio también se conocen como servidores de Protocolo compacto de acceso a directorios (LDAP, Lightweight Directory Access Protocol) porque ejecutan el servicio LDAP que responde a las solicitudes para buscar o modificar objetos de Active Directory.

Sugerencia Abra la consola DNS y describa brevemente los registros de recursos SRV bajo el subdominio _msdcs.

Nota


Formato del registro de recursos SRV

_ldap._tcp.nwtraders.msft 600 IN SRV 0 100 389 london.nwtraders.msft.

Servicio Especifica el nombre del servicio

Protocolo Especifica el tipo de protocolo de transporte

Nombre Especifica el nombre de dominio al que el registro de recursoshace referencia

Ttl Especifica el valor de TTL del registro de recursos DNS estándar

Clase Especifica el valor de clase del registro de recursos DNS estándar

Prioridad Especifica la prioridad del servidor

Peso Indica un mecanismode equilibrio de carga

Puerto Especifica el puerto en el que el servidor atiende este servicio

Destino Especifica el FQDN del host que proporciona el servicio

CampoCampo DescripciónDescripción

Todos los registros de recursos SRV utilizan un formato estándar, formado por campos que contienen la información usada para asignar un servicio específico al equipo que lo proporciona. Los registros de recursos SRV utilizan el siguiente formato:

_servicio_.protocolo.nombre ttl clase SRV prioridad peso puerto destino

En la tabla siguiente se describe cada campo de un registro de recursos SRV.

Campo Descripción Servicio Especifica el nombre del servicio, como LDAP o Kerberos, que

proporciona el servidor que graba este registro de recursos SRV.

Protocolo Especifica el tipo de protocolo de transporte, como TCP o Protocolo de datagrama de usuario (UDP, User Datagram Protocol).

Nombre Especifica el nombre de dominio al que el registro de recursos hace referencia.

Ttl Especifica el valor del período de vida (en segundos), que es un campo estándar en un recurso DNS.

Clase Especifica el valor de clase del registro de recursos DNS estándar, que casi siempre es IN en el sistema Internet.

Prioridad Especifica la prioridad del servidor. Los clientes intentan ponerse en contacto con el host con la prioridad menor.

Peso Indica un mecanismo de equilibrio de carga que utilizan los clientes cuando seleccionan un host de destino. Cuando el campo de prioridad es el mismo en dos o más registros de recursos en el mismo dominio, los clientes eligen al azar registros de recursos SRV con los pesos mayores.

Puerto Especifica el puerto en el que el servidor atiende este servicio.

Destino Especifica el FQDN, que tamb ién se denomina nombre de equipo completo, del equipo que proporciona el servicio.

Objetivo del tema Describir el formato de un registro de recursos SRV.

Explicación previa Examinaremos el formato de un registro de recursos SRV, que contiene la información necesaria para encontrar controladores de dominio.

Punto clave Un registro de recursos SRV utiliza un formato compuesto por campos que contienen la información usada para asignar un servicio específico al equipo que lo proporciona.

Sugerencia Mientras explica la informa-ción de la diapositiva, abra la consola DNS y muestre el registro al que se hace referencia en la parte inferior de la diapositiva.


Por ejemplo, el siguiente registro de recursos SRV:

_ldap._tcp.nwtraders.msft 600 IN SRV 0 100 389 london.nwtraders.msft.

lo registraría un equipo que:

• Proporciona el servicio LDAP.

• Proporciona el servicio LDAP mediante el protocolo de transporte TCP.

• Graba el registro de recursos SRV en el dominio DNS contoso.msft.

• Tiene el nombre de dominio completo london.nwtraders.msft.


Registros de recursos SRV grabados por controladores de dominio

n Los controladores de dominio con Windows 2000 graban registros de recursos SRV adicionales en el subdominio _msdcs con el formato:

_Servicio._Protocolo.TipoDeCD._msdcs.NombreDeDominioDNS

ldap._tcp.NombreDeDominioDNS. Permite al equipo encontrar un servidor LDAP en el dominio

_ldap ._tcp.NombreDeSitio._sites.dc._msdcs.NombreDeDominioDNS.

Permite al equipo encontrar un controladorde dominio en el mismo sitio

_gc._tcp.NombreDeBosqueDNS. Permite al equipo encontrar un servidorde catálogo global

_gc._tcp.NombreDeSitio._sites.NombreDeBosqueDns.

Permite al equipo encontrar un servidorde catálogo global en el mismo sitio

_kerberos._tcp.NombreDeDominioDNS.

Permite al equipo encontrar un servidor KDC en el dominio

_kerberos._tcp.NombreDeSitio._sites.NombreDeDominioDNS.

Permite al equipo encontrar un servidor KDC en el mismo sitio

Registro de recursos SRVRegistro de recursos SRV CriteriosCriterios de bde búsquedaúsqueda

Cuando un controlador de dominio se inicia, el servicio Inicio de sesión en red (Net Logon) que se ejecuta en él utiliza actualizaciones dinámicas para grabar registros de recursos SRV en la base de datos DNS. Estos registros de recursos SRV asignan el nombre del servicio que proporciona el controlador de dominio al nombre de equipo DNS de ese controlador de dominio. En la tabla siguiente se enumeran algunos de los registros de recursos SRV que graban los controladores de dominio y se definen los criterios de búsqueda que admite cada registro de recursos.

Registro de recursos SRV Criterios de búsqueda _ldap._tcp.NombreDeDominioDns. Permite al equipo encontrar un servidor

LDAP en el dominio llamado NombreDeDominioDns.

Todos los controladores de dominio graban este registro de recursos.

_ldap._tcp.NombreDeSitio. _sites .dc._msdcs. NombreDeDominioDns.

Permite al equipo encontrar un controlador de dominio en el dominio llamado NombreDeDominioDns y en el sitio llamado NombreDeSitio. Observe que NombreDeSitio es el nombre completo relativo del objeto de sitio que se almacena en Active Directory.

Todos los controladores de dominio graban este registro de recursos.

_gc._tcp.NombreDeBosqueDns. Permite al equipo encontrar un servidor de catálogo global llamado NombreDeBosqueDns. Observe que NombreDeBosqueDns es el nombre de dominio del dominio raíz del bosque.

Sólo los controladores de dominio configurados como servidores de catálogo global graban este registro de recursos.

Objetivo del tema Identificar los registros de recursos SRV que los controladores de dominio graban durante el inicio.

Explicación previa Ahora que comprende la información contenida en un registro de recursos SRV, examinaremos los registros de recursos SRV específicos grabados por controladores de dominio.

Sugerencia Utilice el complemento DNS para mostrar a los alumnos registros de recursos SRV y el subdominio _msdcs. Explique que los servidores LDAP y los servidores de catálogo global no son siempre controladores de dominio de Windows 2000. Haga hincapié en que los dos registros de recursos SRV _gc se graban en el dominio raíz del bosque, con independencia del dominio donde resida el catálogo global. Indique a los alumnos que NombreDeSitio es el nombre completo relativo del objeto de sitio que se almacena en Active Directory. Además, los alumnos deben consultar el Kit de recursos de Microsoft Windows 2000 Server para obtener una lista completa de los registros de recursos SRV grabados por controladores de dominio.


(continuación)

Además de controladores de dominio de Windows 2000, una red puede contener equipos configurados como servidores LDAP y como servidores de catálogo global que no ejecuten Windows 2000. Por tanto, cualquier equipo que proporcione los servicios adecuados graba los registros de recursos SRV enumerados en la tabla anterior.

Registros de recursos SRV grabados sólo por controladores de dominio de Windows 2000 Para permitir que un equipo encuentre controladores de dominio que ejecuten Windows 2000, el servicio Inicio de sesión en red graba registros de recursos SRV que identifican a los controladores de dominio que proporcionan servicios específicos de Windows 2000 en el dominio o el bosque. Por lo tanto, además de los registros de recursos SRV enumerados anteriormente, los controladores de dominio con Windows 2000 graban también registros de recursos SRV en el siguiente formato:

_Servicio._Protocolo.TipoDeCd._msdcs.NombreDeDominioDns o NombreDeBosqueDns

El componente _msdcs de estos registros de recursos SRV indica un subdominio del espacio de nombres DNS específico de Microsoft, que permite a los equipos encontrar controladores de dominio con funciones específicas de Windows 2000 en el dominio o en el bosque.

Registro de recursos SRV Criterios de búsqueda _gc._tcp.NombreDeSitio._sites. NombreDeBosqueDns.

Permite al equipo encontrar un servidor de catálogo global en el bosque llamado NombreDeBosqueDns y en el sitio llamado NombreDeSitio.

Sólo los controladores de dominio configurados como servidores de catálogo global graban este registro de recursos.

_kerberos._tcp.NombreDeDominioDns.

Permite al equipo encontrar un servidor KDC en el dominio llamado NombreDeDominioDns.

Todos los controladores de dominio que ejecutan el servicio Kerberos, versión 5, graban este registro de recursos.

_kerberos._tcp.NombreDeSitio._sites. NombreDeDominioDns.

Permite al equipo encontrar un servidor KDC en el dominio llamado NombreDeDominioDns y en el sitio llamado NombreDeSitio.

Todos los controladores de dominio que ejecutan el servicio Kerberos V5 graban este registro de recursos.

Nota


Los valores posibles del componente TipoDeCD, que es un prefijo del subdominio _msdcs, especifican los siguientes tipos de funciones de servidor:

• dc para un controlador de dominio

• gc para un servidor de catálogo global

La presencia del subdominio _msdcs significa que los controladores de dominio con Windows 2000 también graban los siguientes registros de recursos SRV:

_ldap._tcp.dc._msdcs.NombreDeDominioDns.

_ldap._tcp. NombreDeSitio._sites.dc._msdcs.NombreDeDominioDns.

_ldap._tcp.gc._msdcs.NombreDeBosqueDns.

_ldap._tcp. NombreDeSitio._sites.gc._msdcs.NombreDeBosqueDns.

_kerberos._tcp.dc._msdcs.NombreDeDominioDns.

_kerberos._tcp.NombreDeSitio._sites.dc._msdcs.NombreDeDominioDns.


Cómo usan DNS los equipos para encontrar controladores de dominio

Cliente

Inicio de sesión o búsqueda en Active DirectoryInicioInicio dede sesiónsesión o bo búsquedaúsqueda en Active Directoryen Active Directory11

Iniciode sesión en red recopila información del clienteInicioInicio dede sesiónsesión en reden red recopila informaciónrecopila información deldel clientecliente22

Servidor DNS

Envía una consulta DNScon información del cliente

Envía una consultaEnvía una consulta DNSDNScon con informacióninformación deldel clientecliente33

Devuelve una lista de direcciones IPDevuelve una listaDevuelve una lista dede direccionesdirecciones IPIP 55

El servicio LDAP se ejecutaen un controlador de dominio

88

El cliente envía una solicitud a un controladorde dominio

Los controladores dedominioresponden

LosLos controladorescontroladores dededominiodominiorespondenresponden

77

El cliente se pone en contactocon controladores de dominioElEl clientecliente se pone ense pone en contactocontactoconcon controladorescontroladores dede dominiodominio66

Base deBase de datosdatosdede zonazona

Registrosde recursos

SRV

Registrosde recursos

SRVDNSDNS consulta los registrosconsulta los registrosde de recursosrecursos SRVSRV 44

Para iniciar sesión en un dominio de Windows 2000 o para buscar en Active Directory, el equipo cliente debe ponerse en contacto con un controlador de dominio. Todos los controladores de dominio graban tanto registros de recursos A como registros de recursos SRV. El registro de recursos A contiene el nombre de dominio completo y la dirección IP del controlador de dominio. El registro de recursos SRV contiene el nombre de dominio completo del controlador de dominio y los nombres de los servicios que éste proporciona en el dominio. Por lo tanto, el equipo cliente puede consultar DNS para encontrar un controlador de dominio.

A continuación se describe cómo encuentra un equipo un controlador de dominio:

1. Un usuario inicia la sesión en el dominio, inicia una búsqueda en Active Directory o realiza otras tareas que requieren un controlador de dominio. El servicio Inicio de sesión en red del cliente (el equipo que está buscando el controlador de dominio) inicia la interfaz de programación de aplicaciones (API) DsGetDcName.

2. Inicio de sesión en red recopila información acerca del cliente y del servicio específico solicitado; esta información se incluirá en la consulta DNS. Los siguientes parámetros de DsGetDcName especifican esta información:

• NombreDeEquipo. El nombre del equipo cliente.

• NombreDeDominio. El nombre del dominio DNS que se consultará.

• NombreDeSitio. El nombre del sitio en el que se buscará el controlador de dominio. Si no se especifica el sitio, el controlador de dominio que se va a buscar está en el sitio más cercano al sitio donde se encuentra el equipo cliente.

3. El cliente especifica también que el controlador de dominio debe ser un servidor LDAP en el dominio llamado NombreDeDominio, o un servidor de catálogo global o un servidor KDC en el bosque donde se encuentra NombreDeDominio.

Objetivo del tema Ilustrar la forma en que un equipo encuentra un controlador de dominio de Windows 2000.

Explicación previa Los equipos consultan DNS para encontrar controladores de dominio de Windows 2000.


4. El servicio Inicio de sesión en red envía una consulta DNS a un servidor DNS. Esta consulta DNS contiene la información recopilada en el cliente y especifica el servicio que se solicita.

5. El servidor DNS consulta la base de datos de zona DNS en busca de registros de recursos SRV que coincidan con el servicio solicitado por el cliente en el dominio llamado NombreDeDominio.

6. El servidor DNS devuelve una lista de direcciones IP de controladores de dominio que proporcionan el servicio solicitado en el dominio que especifica el cliente.

7. El servicio Inicio de sesión en red envía un datagrama (un mensaje UDP LDAP) a uno o varios de los controladores de dominio encontrados para determinar si se están ejecutando y si admiten el dominio especificado.

8. Cada controlador de dominio disponible responde al datagrama para indicar que actualmente está operativo y, a continuación, devuelve la información a DsGetDcName. El servicio Inicio de sesión en red devuelve la información al cliente desde el controlador de dominio que responde primero.

9. El equipo cliente elige el primer controlador de dominio que responde y cumple los criterios, y envía la solicitud a ese controlador de dominio.

El servicio Inicio de sesión en red almacena en memoria caché la información del controlador de dominio de modo que el equipo cliente ya no necesita repetir el proceso de descubrimiento con las solicitudes posteriores. El almacenamiento en caché de esta información también promueve el uso coherente del mismo controlador de dominio.


u Mantenimiento y solución de problemas de servidores DNS de servidores DNS

n Configuración de una zona raíz en un servidor DNS

n Reducción del tráfico de red mediante servidoresde sólo almacenamiento en caché

n Mantenimiento de zonas DNS

n Supervisión de servidores DNS

n Comprobación de los registros de recursos mediante Nslookup

n Solución de problemas de resolución de nombres

Los servidores DNS son una parte esencial de una red; por lo tanto, debe mantenerlos y solucionar sus problemas para garantizar que funcionan correctamente y optimizar el rendimiento de la red. Por ejemplo, puede mejorar el rendimiento de DNS si configura un servidor de sólo almacenamiento en caché con el fin de reducir la cantidad de tráfico de red relacionado con DNS y mantiene registros de recursos para garantizar que los datos de resolución de nombres de un servidor DNS son actuales.

Windows 2000 proporciona varias utilidades que permiten supervisar y solucionar los problemas de los servidores DNS. Algunas de estas utilidades son:

• MMC de DNS, que puede usar para probar servidores DNS y supervisar su capacidad para procesar y resolver consultas.

• Utilidades de línea de comandos, como Nslookup, que puede utilizar para comprobar registros de recursos y solucionar los problemas de DNS.

• Características de registro, como el registro del servidor DNS, que puede ver con el Visor de sucesos.

Objetivo del tema Enumerar los temas relacio-nados con el mantenimiento y la solución de problemas de servidores DNS.

Explicación previa El servicio Servidor DNS incluye varias utilidades que se pueden usar para probar la configuración DNS, comprobar que las transferencias de zona funcionan correctamente e identificar posibles errores.


Configuración de una zona raíz en un servidor DNS

n Configure una zona raíz en un servidorDNS si

l La intranet no está conectada a Internetl Está utilizando un servidor proxy para obtener acceso a Internet

Si su compañía no está en Internet o está conectada a Internet mediante un servidor proxy, cree una zona raíz

ServidorProxy

Red privada

com.com.com.

microsoft.com.microsoftmicrosoft.com..com.

“.”““.”.”

Dominio raíz

Registrosde microsoft.com.Registros de microsoft.com.

com.se delega enmicrosoft.com.

com.se delega enmicrosoft.com.

Si su compañía está en Internet, utilice sugerencias de raíz

“.”“.”Dominio raízde Internet

org.org.

Red privada

com.com.

microsoft.com.microsoftmicrosoft .com..com.

...se delega en microsoft.com...

...se delega en microsoft .com...

com.edu.au.

com.edu.au.

El dominio raíz de Internet contiene información acerca de varios atributos de los servidores DNS de nivel superior (por ejemplo, los servidores del dominio com). Los servidores DNS de nivel superior contienen información acerca de los servidores DNS de segundo nivel (por ejemplo, los servidores del dominio microsoft.com).

Resolución de nombres de la zona raíz de Internet Para resolver un nombre de host en Internet, un servidor DNS comienza su búsqueda en su propia base de datos. Si no tiene éxito, se inicia en la raíz de Internet y continúa la búsqueda en función de la información que proporcionan los servidores raíz.

Para permitir que un servidor DNS realice búsquedas de nombres en Internet, debe asegurarse de que no ha configurado una zona raíz en él y que la ficha Sugerencias de raíz del cuadro de diálogo Propiedades del servidor contiene una lista de servidores autorizados para la zona raíz de Internet.

Uso de una zona raíz interna Hay dos casos en los que se configuraría una zona raíz en un servidor DNS de una intranet para permitir que la resolución de nombres se inicie en el dominio raíz interno en lugar de en el dominio raíz de Internet. Es necesario configurar una zona raíz en los siguientes casos:

• Si la intranet no está conectada a Internet.

• Si la organización está conectada a Internet mediante un servidor proxy.

Para configurar una zona raíz en un servidor DNS, utilice el Asistente para zona nueva con el objeto de crear una zona que esté representada por un punto (.).

Para que otros servidores internos DNS puedan realizar búsquedas de nombres desde la zona raíz de la intranet, debe asegurarse de que la ficha Sugerencias de raíz del cuadro de diálogo Propiedades de esos servidores contiene la dirección del servidor DNS autorizado para la zona raíz de la intranet.

Objetivo del tema Destacar los puntos clave en la configuración de una zona raíz en un servidor DNS.

Explicación previa Normalmente, la zona raíz hace referencia a la raíz de Internet y es externa a una organización. Por lo tanto, piense detenidamente si es necesario configurar una zona raíz en una intranet.

Puntos clave Señale el uso de sugerencias de raíz al utilizar la zona raíz de Internet y una zona raíz interna.


Reducción del tráfico de red mediante servidores de sólo almacenamiento en caché

Los servidores de sólo almacenamiento en cachél Realizan la resolución de nombres en nombre de los

equipos cliente y almacenan en caché los resultadosl Se pueden utilizar para reducir el tráfico DNS en una WAN

Servidor DNS de sóloalmacenamiento en caché

Cliente

Cliente

Cliente

Oficina remota

Servidor DNS

Oficinas centrales

VínculoWAN lento

Los servidores de sólo almacenamiento en caché realizan la resolución de nombres en lugar de los clientes y, luego, almacenan los resultados. No están configurados para tener autoridad en una zona, de modo que no almacenan zonas principales estándar ni zonas secundarias estándar. La caché se llena con los nombres solicitados con mayor frecuencia. Estos nombres y sus direcciones IP asociadas están disponibles en la caché para responder a las subsiguientes consultas de los clientes.

Cuando una oficina remota tiene una cantidad limitada de ancho de banda disponible para la conexión a una oficina corporativa, debe configurarse un servidor de sólo almacenamiento en caché en la oficina remota para enviar consultas recursivas a un servidor DNS de la oficina corporativa. Una consulta recursiva es aquélla en la que el servidor DNS asume toda la carga de trabajo y la responsabilidad de proporcionar una respuesta completa a la consulta. El servidor DNS de la oficina corporativa está mejor equipado para ocuparse de las consultas recursivas dado que tiene más ancho de banda disponible para la conexión a Internet o a una intranet.

Los servidores de sólo almacenamiento en caché ayudan a reducir el tráfico en una WAN del modo siguiente:

• Un servidor de sólo almacenamiento en caché intenta encontrar información en su memoria caché para resolver solicitudes de cliente. Si la información solicitada no se encuentra allí, el servidor realiza una consulta a través de la WAN para encontrar la información necesaria y actualiza la caché. Cuanta más información tenga almacenada en la caché, menos probabilidad hay de que el servidor de sólo almacenamiento en caché tenga que realizar una consulta, con lo que se reduce el tráfico en la WAN.

• Un servidor de sólo almacenamiento en caché no mantiene archivos de zona, como hace un servidor DNS principal, ni almacena una copia de un archivo de zona, como hace un servidor DNS secundario. Por tanto, no genera tráfico de transferencia de zona.

Objetivo del tema Ilustrar el concepto de servidor de sólo almacenamiento en caché.

Explicación previa Este tipo de servidores son aquéllos que sólo realizan consultas, almacenan en caché las respuestas y devuelven los resultados. No están autorizados en ningún dominio y sólo contienen información que han almacenado en la memoria caché mientras resolvían las consultas.

Sugerencia Utilice el ejemplo siguiente para explicar cómo se puede usar un servidor de sólo almacenamiento en caché para ayudar a reducir el tráfico en una WAN. Las oficinas remotas suelen tener una cantidad limitada de ancho de banda disponible para conectarse a Internet o a las oficinas centrales corporativas mediante una WAN. Los servidores de sólo almacenamiento en caché se pueden utilizar para reducir el tráfico que genera la resolución de nombres o el proceso de transferencia de zona.


Configuración de un servidor de sólo almacenamiento en caché Para configurar un servidor de sólo almacenamiento en caché, instale el servicio Servidor DNS en un equipo con Windows 2000 Server y no configure ninguna zona de búsqueda directa o inversa.

Configuración de reenviadores Para que un servidor de sólo almacenamiento en caché realice consultas recursivas en lugar de iterativas, debe configurarlo para utilizar reenviadores. Un reenviador es un servidor DNS que otros servidores DNS designan para reenviar consultas que pretenden resolver nombres de dominios externos. Esto reduce la cantidad de tráfico que genera la resolución de nombres en la WAN.

Para reenviar consultas a otro servidor:

1. En el menú Herramientas administrativas, abra DNS.

2. Haga clic con el botón secundario del mouse en el servidor que desee configurar como reenviador y, a continuación, haga clic en Propiedades.

3. En la ficha Reenviadores, active la casilla de verificación Habilitar reenviador(es).

4. Escriba la dirección IP del servidor al que desee reenviar, haga clic en Agregar y, después, en Aceptar.

También puede configurar reenviadores en un servidor que aloja zonas. En este caso, el servidor DNS responde a todas las consultas que puede resolver desde sus archivos de zona y reenvía todas las demás consultas.

Nota


Mantenimiento de zonas DNS DNS

nwtrader

Consola Ventana Ayuda

Acción Ver

Árbol

DNSLONDON

Zonas de búsqueda directa

Actualizar archivos de datos del servidorVolver a cargarNuevo host…Nuevo alias...Nuevo intercambio de correo…Nuevo dominio ...Nueva delegación ...

Otros registros nuevos...

VistaNueva ventana desde aquí

EliminarActualizarExportar lista...

Propiedades

Ayuda

Nombre Tipo Datos

(igual que la carpeta principal)(igual que la carpeta principal)


Seleccione un tipo de registro de recursos:

Host

Información de hostHost IPv6RDSIIntercambiador de correo

Descripción :

Registro de dirección de host (A). Asigna un nombre de dominioDNS a una sola dirección IP, versión 4, de 32 bits.(RFC 1035)

Crear registro... Cancelar

Los registros de recursos contienen datos que se utilizan para configurar un servidor DNS o para proporcionar información que los servidores DNS emplean al resolver consultas de hosts y de otros servidores. Es posible definir varios tipos de registros de recursos para una zona. Cada uno de ellos contiene diferentes tipos de datos.

Creación de registros de recursos Puede crear registros de recursos manualmente para clientes que no pueden crearlos dinámicamente. Por ejemplo, si tiene un servidor con Windows NT 4.0 que tiene una dirección IP estática, debe crear un registro de recursos A manualmente.

Para crear un registro de recursos nuevo, abra DNS. Haga clic con el botón secundario del mouse en la zona a la que desee agregar el nuevo registro de recursos y, a continuación, haga clic en el tipo de registro de recursos que desee crear, o bien haga clic en Otros registros nuevos para ver una lista completa de los registros de recursos.

Eliminación de registros de recursos La información de zona se actualiza de forma automática en los clientes que actualizan dinámicamente la información de asignaciones de nombres a direcciones IP acerca de servidores DNS.

Sin embargo, en ciertos casos, los registros no se eliminan automáticamente. Por ejemplo, si un equipo graba su registro de recursos A y a continuación se desconecta de la red de manera inapropiada, puede que el registro de recursos no se elimine y se vuelva obsoleto. El rendimiento de DNS se reduce porque los registros de recursos obsoletos ocupan espacio en el servidor y otro servidor podría utilizarlos para responder a una consulta.

Objetivo del tema Ilustrar la interfaz de usuario para crear registros de recursos.

Explicación previa Los registros de recursos se almacenan en una zona DNS y proporcionan la información que los servidores DNS utilizan para realizar la resolución de nombres.


En Windows 2000 puede permitir que los servidores DNS busquen en la base de datos registros de recursos obsoletos y los eliminen. Esto se conoce como compactación.

Para habilitar la compactac ión automática de los registros de recursos obsoletos:

1. En DNS, haga clic en el nombre del servidor DNS que desee configurar, haga clic en Acción y, a continuación, haga clic en Propiedades.

2. Haga clic en Avanzado y active la casilla de verificación Habilitar la compactación automática de los registros obsoletos.

3. Para ajustar la opción Período de compactación, seleccione en la lista un intervalo en horas o días y, a continuación, escriba un número en el cuadro de texto.

4. Cuando termine, haga clic en Aceptar.


Supervisión de servidores DNS Propiedades de LONDON

Interfaces Reenviadores Avanzadas Sugerencias de raíz

Registro Supervisión Seguridad

Para comprobar laconfiguración del servidor, puede realizar pruebas manualeso automáticas.

Seleccione un tipo de prueba:

Una consulta simple en este servidor DNS

Una consulta recursiva en otros servidores DNS

Para realizar la prueba inmediatamente,haga clic en Probar ahora .

Probar ahora

Realizar prueba automática en el siguiente intervalo:

Intervalo de prueba : 1 minutos

Resultadosde la prueba:

Fecha Hora Consulta simple C. recursiva

AplicarCancelarAceptar

Después de instalar DNS, pruebe la configuración antes de activarla en la red para evitar problemas con la resolución de nombres. El servicio Servidor DNS de Windows 2000 permite probar y supervisar DNS mediante la herramienta administrativa DNS.

Prueba del servicio Servidor DNS Puede configurar el servicio Servidor DNS para realizar consultas de forma inmediata o programada con el fin de asegurarse de que funciona correctamente. En DNS, abra el cuadro de diálogo Propiedades del servidor que desee supervisar y, después, haga clic en la ficha Supervisión. Puede probar un servidor DNS mediante dos tipos de consult as:

• Consulta simple. Este tipo de consulta realiza una prueba local mediante el uso del cliente DNS para consultar a un servidor DNS.

• Consulta recursiva. Este tipo de consulta pone a prueba un servidor DNS mediante el reenvío de una consulta recursiva a otro servidor DNS.

En Seleccione un tipo de prueba , active la casilla de verificación Una consulta simple en este servidor DNS , la casilla de verificación Una consulta recursiva en otros servidores DNS o ambas, y haga clic en Probar ahora. Los resultados aparecen en Resultados de la prueba.

Para realizar pruebas de forma programada, active la casilla de verificación Realizar prueba automática en el siguiente intervalo y seleccione un intervalo.

Si comprueba el funcionamiento de un servidor DNS inmediatamente después de agregar o quitar zonas, puede que obtenga resultados incorrectos. Si ocurre esto, haga clic con el botón secundario del mouse en el servidor DNS en el árbol de la consola y, a continuación, haga clic en Actualizar, o bien cierre DNS y vuelva a abrirlo.

Objetivo del tema Destacar los diversos métodos que se pueden utilizar para probar el servicio Servidor DNS.

Explicación previa Puede utilizar la herramienta administrativa DNS para probar el servicio Servidor DNS.

Sugerencia


Supervisión del servicio Servidor DNS con el Visor de sucesos Puede utilizar el Visor de sucesos para ver el registro de sucesos del servidor DNS. Esta información es especialmente útil cuando se necesitan datos detallados acerca del rendimiento del servidor.

Habilitar opciones de registro para depurar el servidor DNS Como método avanzado para solucionar problemas, puede configurar un servidor DNS para que registre información detallada acerca de todas las operaciones. Para habilitar el registro, en la ficha Registro del cuadro de diálogo Propiedades del servidor DNS, active las casillas de verificación adecuadas correspondientes a los sucesos que desee registrar. De manera predeterminada, el servidor DNS graba información de registro en el archivo raízDelSistema\System32\Dns\Dns.log.

Habilite el registro sólo para solucionar problemas. Como el registro puede utilizar muchos recursos, puede afectar al rendimiento general del servidor y usar una gran cantidad de espacio del disco.

Importante


Comprobación de los registros de recursos mediante Nslookup

n Utilice nslookup para comprobar que la información contenida en los registros de recursos es correcta

Microsoft Windows 2000 [Versión 5.00.2195]<C> Copyright 1985-1999 Microsoft Corp.

C:\>nslookupServidor predeterminado: london.nwtraders.msftDirección: 192.168.1.200

> bonnServidor: london. nwtraders.msftDirección: 192.168.1.200

Nombre: bonn. nwtraders.msftDirección: 192.168.1.1

> 192.168.1.2Servidor: london. nwtraders.msftDirección: 192.168.1.200

Nombre: denver. nwtraders.msftDirección: 192.168.1.2

> exit

C:\>

Símbolo de sistema

Después de agregar registros de recursos, puede emplear la utilidad Nslookup para comprobar que son correctos. Nslookup tiene dos modos:

• Interactivo. Utilice este modo cuando necesite más de un dato. Para ejecutar el modo interactivo, en el símbolo de sistema, escriba nslookup.

Para salir del modo interactivo, escriba exit.

• No interactivo. Utilice este modo cuando necesite un solo dato o para incluir un comando Nslookup en un archivo de comandos o un archivo por lotes. Escriba la sintaxis de Nslookup en el símbolo de sistema y se devolverán los datos.

En la tabla siguiente se describe la sintaxis de Nslookup. nslookup [–opción ...] [equipoQueBuscar | – [servidor]]

Sintaxis Descripción -opción… Especifique uno o varios comandos de Nslookup. Para ver una lista

de los comandos disponibles, escriba un signo de interrogación (?).

equipoQueBuscar Si especifica la dirección IP de un equipo, Nslookup devuelve el nombre de host. Si especifica el nombre de host de un equipo, Nslookup devuelve la dirección IP. Si el equipo que busca es un nombre de host y no tiene un punto al final, se anexará el nombre de dominio DNS predeterminado. Para buscar un equipo fuera del dominio DNS actual, agregue un punto al final del nombre.

-servidor Especifique el servidor que se debe utilizar como servidor DNS. Si se omite el servidor, se utilizará el servidor DNS predeterminado configurado act ualmente.

Objetivo del tema Ilustrar los datos que devuelve el comando Nslookup .

Explicación previa La utilidad Nslookup se emplea para comprobar que los registros de recursos se han agregado o actualizado correctamente en una zona.

Sugerencia Ejecute Nslookup tanto en modo interactivo como no interactivo. Además, escriba un signo de interrogación (?) mientras está en modo interactivo para demostrar cómo ver la Ayuda de Nslookup.


Para que Nslookup funcione correctamente, debe existir un registro de recursos PTR para el servidor en el que realiza una búsqueda. Al iniciarse, Nslookup efectúa una búsqueda inversa de la dirección IP del servidor que ejecuta el servic io Servidor DNS e informa de un error si no puede convertir la dirección en un nombre.

Nota


Solución de problemas de resolución de nombres LaLa soluciónsolución dede problemasproblemas dede resoluciónresolución dede nombres nombres

puede incluirpuede incluir::

Solución de problemas de resolución de nombresen equipos cliente

Err or

Registro de equipos clienteErr or

Solución de problemas de transferencia de zonaErr or

Pueden producirse problemas en la resolución de nombres si un equipo cliente resuelve nombres de forma incorrecta o si el nombre del equipo cliente no está registrado en los servidores DNS de la red. También pueden darse otros problemas cuando el proceso de transferencia de zona no funciona adecuadamente.

Solución de problemas de resolución de nombres en equipos cliente Los clientes DNS almacenan en memoria caché las respuestas a las consultas de los servidores DNS y utilizan esta información para responder a consultas futuras de forma local. Cuando una consulta no se puede resolver localmente, el cliente consulta servidores DNS para resolver un nombre. Si determina que el equipo cliente no resuelve los nombres correctamente, puede emplear la utilidad Ipconfig para vaciar y restablecer la caché en el equipo cliente. En el símbolo de sistema, escriba ipconfig /flushdns para vaciar la caché. Escriba ipconfig /displaydns para ver la caché actual.

Registro de equipos cliente Los equipos cliente utilizan el protocolo de actualización dinámica para registrar su nombre en servidores DNS. Si los registros de nombres de un cliente no se encuentran en los servidores, la utilidad Ipconfig actualizará todas las concesiones DHCP y registrará todos los nombres DNS relacionados. En el símbolo de sistema, escriba ipconfig /registerdns para forzar al cliente a renovar su registro.

Objetivo del tema Enumerar los problemas más comunes de la resolución de nombres y su solución.

Explicación previa Windows 2000 incluye varias utilidades que se pueden usar para solucionar los problemas de la resolución de nombres.

Sugerencia Explique cómo se usa la utilidad Ipconfig para vaciar y restablecer la caché en un equipo cliente.

Sugerencia Explicar cómo usar la utilidad Ipconfig para forzar al cliente a renovar su registro.


Solución de problemas de transferencia de zona Un servidor secundario consulta su servidor principal para ver las actualizaciones de un archivo de zona y utiliza el número de serie del registro de recursos SOA para determinar si se han efectuado cambios en la zona. Si el número de serie ha cambiado, se produce una transferencia de zona para actualizar los registros del servidor secundario.

Si un servidor secundario no recibe actualizaciones de su servidor maestro, se puede emplear la utilidad Nslookup para comparar los números de serie de cada registro de recursos SOA del servidor.

Para comparar números de serie mediante la utilidad Nslookup:

1. En el símbolo de sistema, escriba nslookup

2. Escriba el nombre del servidor principal.

3. Escriba set type=SOA

4. Escriba nombre de dominio (el nombre del dominio en el que reside el servidor principal).

5. Registre el número de serie que aparece en el registro de recursos SOA.

6. Escriba el nombre del servidor secundario.

7. Repita los pasos 3 a 5 y escriba exit.

Puede aumentar el número de serie del servidor principal para iniciar una transferencia de zona y forzar que se produzca actualización entre un servidor principal y uno secundario.

Para forzar una transferencia de zona:

1. En el servidor que aloja el archivo de zona principal, en el menú Herramientas administrativas , abra DNS.

2. Abra el cuadro de diálogo Propiedades de la zona y haga clic en la ficha Inicio de autoridad.

3. Haga clic en Incremento para aumentar el número de serie y, después, haga clic en Aceptar.

Para obtener más información acerca de métodos avanzados para solucionar problemas de DNS, consulte la Ayuda de Windows 2000 y el Kit de recursos de Microsoft Windows 2000 Server.

Sugerencia Explique cómo se usa la utilidad Nslookup para comparar los números de serie de los registros de recursos SOA.

Sugerencia Explique cómo cambiar el número de serie de un servidor principal para forzar una transferencia de zona.

Nota


uPrácticas recomendadas Siga las instrucciones estándarSiga las instrucciones estándar

Al menos dos servidores deben alojar cada zonaAl menos dos servidores deben alojar cada zona

Usar zonas integradas de Active Directory siempre que sea posibleUsar zonas integradas de Active Directory siempre que sea posible

Configurar los clientes correctamenteConfigurar los clientes correctamente

Usar servidores secundarios o de sólo almacenamiento en cachépara aliviar el tráfico de consultas

Usar servidores secundarios o de sólo almacenamientoen cachépara aliviar el tráfico de consultas

Tenga en cuenta las sugerencias siguientes para evitar los errores de configuración más comunes.

Prácticas recomendadas para configurar y administrar DNS • Siga las instrucciones estándar.

Al diseñar una red DNS, siga las instrucciones estándar y, siempre que sea posible, observe las prácticas recomendadas para administrar la infraestructura DNS.

El Grupo de trabajo de ingeniería de Internet (IETF, Internet Engineering Task Force) ha publicado varios documentos de solicitudes de comentarios (RFC, Requests for Comment) que abarcan las prácticas recomendadas para DNS, según recomiendan ingenieros de DNS y diseñadores de Internet. Puede que encuentre útiles los siguientes documentos RFC, en especial si está planeando un diseño DNS considerable.

• RFC 1912, “Common DNS Operational and Configuration Errors”

• RFC 2182, “Selection and Operation of Secondary DNS Servers”

• RFC 2219, “Use of DNS Aliases for Network Services”

• Al menos dos servidores deben alojar cada zona.

Compruebe que dispone de al menos dos servidores para alojar cada zona. Pueden alojar copias principales o secundarias de la zona, o bien dos copias integradas de Active Directory de cada zona.

Objetivo del tema Enumerar las prácticas recomendadas para administrar DNS.

Explicación previa He aquí algunas de las prácticas recomendadas que se deben seguir al administrar DNS.


• Use zonas integradas de Active Directory siempre que sea posible.

En una zona integrada, los controladores de dominio de los dominios de Active Directory se corresponden en una asignación directa de uno a uno con los servidores DNS. Al solucionar problemas de DNS y de replicación de Active Directory, los mismos equipos de servidor se utilizan en ambas topologías, lo que simplifica el diseño, implementación y solución de problemas.

El uso de almacenamiento integrado de directorio simplifica también las actualizaciones dinámicas de clientes DNS donde se ejecuta Windows 2000. Cuando configure una lista de servidores DNS preferidos y alternativos para cada cliente, puede especificar servidores que correspondan a controladores de dominio ubicados cerca de cada cliente. Si un cliente no puede actualizarse con su servidor preferido debido a que éste no está disponible, puede intentarlo con un servidor alternativo. Cuando el servidor preferido esté disponible de nuevo, cargará la zona integrada de directorio actualizada que incluya las actualizaciones que efectuó el cliente.

Las zonas integradas de Active Directory también permiten realizar actualizaciones dinámicas seguras, al proteger los datos de zona de modificaciones no autorizadas.

• Configure los clientes correctamente.

En concreto, si no está utilizando la integración de Active Directory, configure correctamente los clientes y tenga en cuenta que una zona principal estándar se convierte en un punto de concentración de errores para las actualizaciones dinámicas y la replicación de zonas. Las zonas principales estándar son necesarias para crear y administrar zonas en el espacio de nombres DNS si no está utilizando Active Directory. En este caso, se aplica el modelo de actualización con un único servidor maestro, en el que un servidor DNS es designado como servidor principal de una zona. Sólo el servidor principal, según se determina en las propiedades del registro SOA de la zona, puede procesar una actualización de la zona.

Por este motivo, asegúrese de que este servidor DNS es confiable y está disponible. De lo contrario, los clientes no podrán actualizar sus registros de recursos A o PTR.

• Use servidores secundarios o de sólo almacenamiento en caché para aliviar el tráfico de consultas DNS.

Los servidores secundarios se pueden utilizar como copias de seguridad de los clientes DNS, pero también se pueden emplear como servidores DNS preferidos de clientes DNS antiguos. En entornos de modo mixto, esto permite equilibrar la carga del tráfico de consultas DNS en la red y, de esta manera, reservar los servidores principales habilitados para DNS para clientes basados en Windows 2000 que requieren servidores principales para realizar registros y actualizaciones dinámicas de sus registros de recursos A y PTR.

5.- Administracion de DNS

Documents

Transcript of 5.- Administracion de DNS