Implementar DNS

Implementar DNS

ndice Resumen

Informacin general acerca de la implementacin de DNS

Examinar el entorno actual

Disear un espacio de nombres DNS

Disear zonas DNS

Configurar y administrar clientes DNS

Proteger la infraestructura DNS

Integrar DNS con otros servicios de Windows Server 2003

Implementar DNS de Windows Server 2003

Recursos adicionales

Resumen

El Sistema de nombres de dominio (DNS) de Microsoft Windows 2003 ofrece resolucin de nombres eficaz, compatibilidad con los servicios de directorio de Active Directory e interoperabilidad con otras tecnologas basadas en estndares. La implementacin de DNS en la infraestructura cliente-servidor permite que los recursos de una red TCP/IP busquen otros recursos en la red mediante la resolucin de nombres de host en direcciones IP y viceversa.[subir]Informacin relacionada de los kits de recursos

Para obtener ms informacin acerca de DNS, vea "Introduction to DNS" (Introduccin a DNS) en el manual Networking Guide (Gua de redes) del Microsoft Windows Server 2003 Resource Kit (Kit de recursos de Microsoft WindowsServer2003), o consulte "Introduction to DNS" (Introduccin a DNS) en la direccin Web http://www.microsoft.com/windows/reskits/default.asp (en ingls).

Para obtener ms informacin acerca del servidor y el cliente DNS de Windows Server 2003, vea "Windows Server 2003DNS" (DNS de Windows Server 2003) en el manual Networking Guide (Gua de redes) del Windows Server 2003 Resource Kit (Kit de recursos de WindowsServer2003), o consulte "Windows Server 2003 DNS" (DNS de Windows Server 2003) en la direccin Web http://www.microsoft.com/windows/reskits/default.asp (en ingls).

Para obtener informacin acerca del cliente DNS, vea "Configuring IP Addressing and Name Resolution" (Configurar el direccionamiento IP y la resolucin de nombres) en Administering MicrosoftWindowsXP Professional (Administrar MicrosoftWindowsXP Professional).

Para obtener ms informacin acerca de cmo establecer directivas de seguridad, vea "Designing an Authorization Strategy" (Disear una estrategia de autorizacin) en Disear e implementar los servicios de directorio y seguridad en este kit.

Para obtener informacin acerca de cmo implementar DNS especficamente para Active Directory, vea "Designing the Logical Structure" (Disear la estructura lgica) en Disear e implementar los servicios de directorio y seguridad.[subir]Informacin general acerca de la implementacin de DNS

DNS es el mtodo principal para la resolucin de nombres en Windows Server 2003. DNS tambin es un requisito bsico para la implementacin de Active Directory; sin embargo, Active Directory no es obligatorio para la implementacin de DNS. La integracin de DNS con Active Directory proporciona la mejor combinacin de seguridad, rendimiento y disponibilidad para la resolucin de nombres en la empresa.

La implementacin de DNS con Active Directory permite utilizar la topologa de replicacin multifuncional de Active Directory para mejorar el rendimiento y la integridad de la resolucin de nombres. Con la implementacin de zonas integradas de Active Directory se elimina la necesidad de una topologa independiente de transferencia de zonas principales-secundarias con un servidor principal nico. Las zonas integradas de Active Directory almacenan datos de zona en la base de datos de Active Directory. Puesto que en Active Directory no se pueden almacenar zonas secundarias, para utilizar las zonas integradas de Active Directory se debe ejecutar el servicio Servidor DNS en los controladores de dominio y utilizar exclusivamente zonas principales. La implementacin de zonas integradas de Active Directory permite tambin aprovechar el modelo de seguridad de Active Directory mediante la implementacin de la actualizacin dinmica segura, que es una extensin del protocolo de actualizacin dinmica de DNS.

La implementacin de DNS ofrece un mecanismo escalable de bsqueda de recursos en redes. Al integrar DNS con Active Directory se mejora la seguridad y el rendimiento de DNS.

Proceso para implementar DNS

La implementacin de DNS implica planear y disear la infraestructura DNS, lo que incluye el espacio de nombres DNS, la colocacin de los servidores, las zonas y la configuracin de los clientes DNS. Adems se debe planear el nivel de integracin con Active Directory e identificar los requisitos de seguridad, escalabilidad y rendimiento antes de implementar la solucin DNS en el entorno de produccin. En la figura4.1se muestra el proceso que es preciso seguir para implementar DNS.

Figura4.1Proceso de implementacin de DNSConceptos de DNS

DNS de Windows Server 2003 interopera con una amplia variedad de sistemas operativos. Adems, DNS utiliza una base de datos distribuida que implementa un sistema de nombres jerrquico. Este sistema de nombres permite a las organizaciones expandir su presencia en Internet y hace posible la creacin de nombres que son nicos en Internet y en las intranets privadas basadas en TCP/IP.

Debido a su estructura jerrquica distribuida, DNS se utiliza en todo el mundo para el espacio de nombres de Internet. Al utilizar DNS, cualquier equipo de Internet puede buscar el nombre de otro equipo del espacio de nombres de Internet. En los equipos que ejecutan Windows Server 2003 y Windows2000, DNS se utiliza tambin para buscar controladores de dominio.

Novedades en WindowsServer2003

DNS de Windows Server 2003 ofrece varias nuevas caractersticas, entre las que se incluyen:

Reenvo condicional. Permite reenviar consultas DNS en funcin del nombre de dominio DNS de la consulta. Para obtener ms informacin acerca del reenvo condicional, vea el Centro de ayuda y soporte tcnico de WindowsServer2003.

Zonas de rutas internas. Permiten sincronizar los servidores DNS que alojan zonas principales con los servidores DNS que tienen autoridad en sus respectivas zonas secundarias. Para obtener ms informacin acerca de las zonas de rutas internas, vea el Centro de ayuda y soporte tcnico de WindowsServer2003.

Zonas integradas de Active Directory. Permiten almacenar datos de zona en la base de datos de Active Directory. La informacin de zona de un servidor DNS principal en una zona integrada de Active Directory siempre se replica. Para obtener ms informacin acerca de las zonas integradas de Active Directory, vea el Centro de ayuda y soporte tcnico de WindowsServer2003.

Herramientas para implementar DNS

En Windows Server 2003 se incluyen diversas herramientas de ayuda para implementar una infraestructura DNS.

Active Directory SizerCalcula el hardware necesario para implementar Active Directory en funcin del perfil, la informacin de dominios y la topologa de sitios de la organizacin. Active Directory Sizer utiliza informacin del usuario y frmulas internas para calcular el nmero de:

controladores de dominio por dominio por sitio.

servidores de catlogo global por dominio por sitio.

CPU por equipo y tipo de CPU.

discos necesarios para el almacenamiento de datos de Active Directory.

Adems, Active Directory Sizer calcula:

la cantidad de memoria necesaria.

el uso de ancho de banda en la red.

el tamao de la base de datos del dominio.

el tamao de la base de datos del catlogo global.

el ancho de banda necesario para la replicacin entre sitios.

NetdiagAyuda a aislar problemas de red y conectividad. Netdiag realiza una serie de pruebas que se pueden utilizar para determinar el estado del cliente de red. Para obtener ms informacin acerca de Netdiag, vea "Support Tools" (Herramientas de soporte tcnico) en el Centro de ayuda y soporte tcnico de WindowsServer2003.

Dnscmd.exeEsta herramienta de lnea de comandos se puede utilizar para llevar a cabo la mayora de las tareas que se pueden realizar en el complemento MMC (Microsoft Management Console) de DNS.

Trminos y definiciones

A continuacin se incluyen algunos trminos importantes relacionados con DNS:

Servidor de nombres con autoridad. Servidor que tiene autoridad para resolver consultas DNS en una zona especificada. Los servidores de nombres con autoridad contienen un archivo de zona local con registros de recursos para los equipos de la zona. En cada zona hay como mnimo un servidor de nombres con autoridad.

Reenvo condicional. Esta funcin permite especificar un nombre de dominio y una direccin IP internos que el reenviador asocia con el nombre de dominio designado en la consulta. En DNS de Windows Server 2003 se pueden agregar condiciones basadas en nombres a los reenviadores DNS para mejorar el rendimiento de la resolucin de nombres. Despus de crear una correspondencia entre el nombre de dominio designado en la consulta y el nombre de dominio especificado en la condicin, el reenviador pasa la consulta a un servidor DNS del dominio especificado. Los servidores DNS configurados para utilizar el reenvo condicional pueden llevar a cabo la resolucin de nombres sin utilizar la recursividad.

Delegacin. Proceso que consiste en distribuir la responsabilidad de los nombres de dominio entre diferentes servidores DNS de la red. Para cada nombre de dominio delegado se debe crear al menos una zona. Cuantos ms dominios se deleguen, ms zonas ser necesario crear.

Espacio de nombres DNS. Estructura jerrquica del rbol de nombres de dominio. Cada etiqueta que se utiliza en un nombre de dominio completo (FQDN) indica un nodo o rama del rbol del espacio de nombres de dominio. Por ejemplo, host1.contoso.com es un FQDN que representa el nodo host1, que est situado bajo el nodo Contoso, que se encuentra bajo el nodo com, que a su vez est bajo la raz de Internet.

Resolucin de DNS. Servicio que se ejecuta en los equipos cliente y enva consultas a un servidor DNS.

Servidor DNS. Equipo en el que se ejecuta el servicio Servidor DNS. Los servidores DNS mantienen informacin acerca de una parte de la base de datos DNS y resuelven consultas DNS.

Espacio de nombres externo. Espacio de nombres pblico, como Internet, al que se puede tener acceso mediante un dispositivo conectado. Debajo de los dominios de nivel superior, la Corporacin de Internet para la asignacin de nombres y nmeros (ICANN, Internet Corporation for Assigned Names and Numbers) y otras autoridades de nomenclatura en Internet delegan dominios en organizaciones como los proveedores de servicios de Internet (ISP), que a su vez delegan subdominios en sus clientes.

Nombre de dominio completo (FQDN). Nombre DNS que identifica de forma exclusiva un nodo de un espacio de nombres DNS. El FQDN de un equipo es una expresin concatenada que se compone del nombre del equipo (por ejemplo, cliente1) y el sufijo DNS principal del equipo (por ejemplo, contoso.com).

Espacio de nombres interno. Espacio de nombres controlado por las organizaciones, lo que incluye el acceso al mismo. Las organizaciones pueden utilizar el espacio de nombres interno para proteger de Internet los nombres y direcciones IP de los equipos internos. Una organizacin puede tener varios espacios de nombres internos. Las organizaciones pueden crear sus propios servidores raz y los subdominios que necesiten. El espacio de nombres interno puede coexistir con un espacio de nombres externo.

Servidor de nombres. Servidor DNS que responde a las solicitudes de resolucin DNS de los clientes dentro de una zona especificada y resuelve nombres completos en direcciones IP. Las zonas pueden contener servidores de nombres principales y secundarios.

Servidor de nombres maestro. Servidor que tiene autoridad para la resolucin de nombres en una zona. Si un servidor maestro es un servidor de nombres principal, debe contener un archivo de zona local de registros de recursos. Si un servidor maestro es un servidor de nombres secundario, debe obtener los registros de recursos para la zona en otro servidor de nombres maestro durante una transferencia de zona.

Servidor de nombres principal. Servidor que se encarga de la resolucin de nombres para la zona en la que tiene autoridad. Los servidores de nombres principales tienen una base de datos DNS principal de registros de recursos con asignaciones de nombres de host a direcciones IP. Los registros de la base de datos DNS principal estn contenidos en un archivo de zona local.

Servidor de nombres secundario. Servidor que debe obtener los registros de recursos de una zona en un servidor de nombres maestro durante una transferencia de zona. Los servidores de nombres secundarios no disponen de un archivo de zona local. Si un servidor secundario es un servidor de nombres maestro, tiene autoridad para la resolucin de nombres en una zona, pero debe obtener los registros de recursos en otro servidor de nombres maestro. Si un servidor secundario no es un servidor de nombres maestro, se puede utilizar con fines de redundancia y equilibrio de carga.

Registro de recursos (RR). Estructura estndar de base de datos DNS que contiene informacin utilizada para procesar las consultas DNS. Por ejemplo, un registro de recursos de direccin (A) contiene una direccin IP correspondiente a un nombre de host. La mayora de los RR bsicos estn definidos en el documento RFC 1035, "Domain Names Implementation and Specification" (Nombres de dominio: implementacin y especificacin), pero en otros RFC se definen tipos de RR adicionales que estn aprobados para su uso en DNS.

Zona de rutas internas. Copia parcial de una zona que se puede alojar en un servidor DNS y utilizar para resolver consultas recursivas o iterativas. Las zonas de rutas internas contienen los registros de recursos de inicio de autoridad (SOA) de la zona, los registros de recursos DNS en los que se enumeran los servidores con autoridad de la zona y los registros de recursos de adherencia de host (A) necesarios para contactar con los servidores que tienen autoridad en la zona.

Zona. En una base de datos DNS, parte contigua del rbol DNS que un servidor DNS administra como una entidad nica independiente. La zona contiene registros de recursos para todos los nombres de la zona.

Archivo de zona. Archivo formado por los registros de recursos de la base de datos DNS que definen la zona. Cada servidor de nombres principal contiene un archivo de zona.

Transferencia de zona. Proceso que consiste en mover el contenido del archivo de zona ubicado en un servidor de nombres principal a un servidor de nombres secundario. La transferencia de zonas proporciona tolerancia a errores al sincronizar el archivo de zona de un servidor de nombres principal con el archivo de zona de un servidor de nombres secundario. El servidor de nombres secundario puede continuar realizando la resolucin de nombres si se produce un error en el servidor de nombres principal. La transferencia de zonas proporciona tambin equilibrio de la carga al dividir la carga de la red entre los servidores de nombres principales y secundarios durante perodos en los que tiene lugar un volumen alto de consultas de resolucin de nombres.

[subir]Examinar el entorno actual

Antes de implementar DNS de Windows Server 2003 en el entorno es necesario evaluar los requisitos actuales para determinar si se debe implementar una infraestructura DNS propia o subcontratar su administracin. Adems se debe crear un plan para la implementacin de DNS de Windows Server 2003 que cubra las necesidades actuales y futuras de la organizacin. En la figura4.2 se muestra el proceso que es preciso seguir para examinar el entorno actual.

Si su explorador no admite los marcos en lnea, haga clic aqu para abrir una pgina independiente.

Figura 4.2 Examen del entorno actualDeterminar el estado de Internet

Para admitir la resolucin de nombres fuera del mbito del dominio interno, las direcciones IP y los nombres de dominio DNS deben registrarse en una entidad de registro de Internet (registrador de Internet). Los registradores de Internet son organizaciones que se encargan de:

asignar direcciones IP.

registrar nombres de dominio DNS.

mantener registros pblicos de las direcciones IP y nombres de dominio registrados.

Si la red est conectada a Internet o lo estar en el futuro, debe determinarse el estado de registro de las direcciones IP. Los dems equipos de Internet utilizarn las direcciones IP de la red para buscar recursos en ella.

Si ya est conectado a Internet, su red es una subred de la red del ISP. Asegrese de que el ISP ha registrado las direcciones IP de esta subred en un registrador de Internet. Si el ISP ha registrado las direcciones IP de la red, no es necesario que las registre por su cuenta.

Identificar el host de datos DNS

Debe determinarse dnde se alojarn los datos DNS. Estos se pueden alojar internamente o en un ISP externo. Si los datos DNS se alojan internamente se tiene el control total de la asignacin y seguridad de los recursos de la red. La opcin de alojamiento en un ISP slo debe utilizarse si se tiene una red pequea que no va a experimentar una expansin rpida a corto plazo. Si decide alojar los datos DNS internamente, considere la posibilidad de permitir que los clientes y servidores DNS utilicen los servidores DNS de un ISP para llevar a cabo la resolucin de nombres de los hosts externos. Esta configuracin puede mejorar el uso del ancho de banda en la red interna.

Si decide alojar los datos DNS en un ISP, debe asegurarse de que la infraestructura DNS del ISP puede admitir la implementacin DNS mediante la confirmacin de que el software de servidor DNS del ISP es compatible con DNS de Windows Server 2003. Si el ISP debe admitir caractersticas especficas de Windows Server 2003, confirme que la versin de DNS que utiliza el ISP es compatible con ellas. Asegrese de conocer qu software de servidor DNS ejecuta el ISP y cmo interoperan las caractersticas y opciones de dicho software con DNS de Windows Server 2003. En diferentes soluciones de software de servidor DNS se proporcionan caractersticas y opciones distintas.

Si todos los datos DNS se alojan en la organizacin, no es necesario tener en cuenta la infraestructura DNS del ISP. Observe que incluso si los datos DNS se alojan internamente sin la ayuda del ISP, se puede permitir que los clientes y servidores DNS utilicen los servidores DNS del ISP para llevar a cabo la resolucin de nombres de los hosts externos. En ese caso no es necesario informar al ISP de la configuracin existente.

Analizar la topologa de la red

Debe analizarse la topologa de red existente e identificar los objetivos de servicio y administracin representados en el diseo de la red. Al planear el espacio de nombres DNS, asegrese de tener en cuenta los objetivos de servicio y administracin de la organizacin. Prevea la expansin del nmero de nodos en la jerarqua DNS mediante la inclusin de marcadores entre los nombres de dominio que se implementen inicialmente. La incorporacin de marcadores de nombres de dominio evita la necesidad de volver a disear la infraestructura DNS para ampliar el nmero de nombres de dominio.

Prevea la posibilidad de que se produzcan cambios en el modelo de negocio mediante la asignacin de nombres de dominio que se puedan utilizar en un contexto modificado. Por ejemplo, en lugar de utilizar el nombre de dominio contabilidad.contoso.com, puede utilizar finanzas.contoso.com, en previsin de una posible expansin que incluya ms servicios financieros que la contabilidad.

Crear un diagrama de la infraestructura DNS existente

Si se va a actualizar a Windows Server 2003, realizar una nueva implementacin DNS o integrar DNS de Windows Server 2003 con los servicios de Active Directory, no es necesario efectuar ningn cambio en la infraestructura DNS existente. Sin embargo, si se va a migrar desde una infraestructura DNS de terceros o integrar DNS de Windows Server 2003 con una infraestructura DNS de terceros existente, debe crearse un diagrama de la infraestructura existente en la que se incluyan los dominios, servidores y clientes. Este diagrama debe utilizarse como ayuda para decidir si es necesario realizar cambios en la infraestructura DNS existente al implementar DNS de Windows Server 2003.

Identificar las directivas de seguridad

Antes de disear e implementar la infraestructura DNS de Windows Server 2003 se deben identificar y documentar las directivas de seguridad de la organizacin. De esta forma se puede asegurar que los servidores DNS, zonas y registros de recursos admiten dichas directivas. En DNS de Windows Server 2003se incluyen caractersticas que permiten implementar una infraestructura DNS segura.[subir]Disear un espacio de nombres DNS

Antes de implementar una infraestructura DNS se debe disear un espacio de nombres DNS. Se puede disear un espacio de nombres externo que sea visible para los usuarios y equipos de Internet, o uno interno al que slo tengan acceso los usuarios y equipos que se encuentren dentro del espacio de nombres interno. En la figura4.3 se muestra el proceso que es preciso seguir para crear un espacio de nombres DNS.

Si su explorador no admite los marcos en lnea, haga clic aqu para abrir una pgina independiente.

Figura4.3Creacin de un espacio de nombres DNSIdentificar los requisitos de espacio de nombres DNS

El primer paso para disear un espacio de nombres DNS consiste en determinar si se necesita un espacio de nombres nuevo para la organizacin o se puede conservar un espacio de nombres DNS de Windows o de otro proveedor.

Si se va a actualizar a DNS de Windows Server 2003 desde una versin anterior de Windows, puede que sea necesario reemplazar o admitir un sistema de resolucin de nombres existente, como el Servicio de nombres de Internet de Windows (WINS), en la infraestructura DNS de Windows Server 2003. Se puede admitir una implementacin existente de WINS mediante la configuracin de los servidores DNS de Windows Server 2003 para que consulten los servidores WINS como una opcin de zona DNS.

Si se va a migrar o integrar DNS de Windows Server 2003 con una infraestructura DNS de otro proveedor, no es necesario cambiar el diseo del espacio de nombres que se utiliza en dicha infraestructura. Si se va a implementar una nueva infraestructura DNS de Windows Server 2003 se debe crear una estrategia de nomenclatura de dominios DNS y equipos, y planear la forma en que estos nombres se resolvern dentro de la red y en Internet.

Si se va a implementar DNS de Windows Server 2003 para admitir Active Directory se deben integrar los nombres de los bosques y dominios de Active Directory en la infraestructura DNS. Por ejemplo, puede modificar el diseo del espacio de nombres DNS existente para incluir recursos de red que deben buscar los nombres especficos de controladores de dominio de Active Directory, unidades organizativas (OU), sitios y subredes.

NotaEl espacio de nombres DNS debe planearse junto con la estructura lgica de Active Directory. Para obtener informacin acerca de cmo disear la estructura lgica de Active Directory, vea "Designing the Logical Structure" (Disear la estructura lgica) en Disear e implementar los servicios de directorio y seguridad.

En la tabla 4.1 se resumen los requisitos de diseo del espacio de nombres DNS en cada uno de los escenarios posibles.

Tabla4.1Requisitos de diseo del espacio de nombres DNSEscenarioRequisitos de diseo

Actualizacin de una infraestructura DNS existente desde una versin de Windows anterior a Windows Server 2003.El diseo del espacio de nombres DNS puede permanecer igual.

Actualizacin desde una infraestructura DNS de terceros que utiliza software DNS compatible con las directrices de nomenclatura de dominios DNS estndar.El diseo del espacio de nombres DNS puede permanecer igual.

El software DNS existente no cumple las directrices de nomenclatura de dominios DNS estndar.Antes de implementar un espacio de nombres DNS de Windows Server 2003, debe modificarse el espacio de nombres existente para cumplir con las directrices de nomenclatura de dominios DNS.

El software DNS de terceros existente cumple las directrices de nomenclatura de dominios DNS estndar.DNS de Windows Server 2003se puede integrar en la infraestructura DNS actual. No es necesario cambiar el diseo del espacio de nombres de la infraestructura DNS de terceros ni el espacio de nombres existente.

Implementacin de una nueva infraestructura DNS de Windows Server 2003. Debe disearse una convencin de nomenclatura lgica para el espacio de nombres DNS basada en las directrices de nomenclatura de dominios DNS.

Implementacin de DNS de Windows Server 2003para admitir Active Directory.El diseo del espacio de nombres DNS debe basarse en la convencin de nomenclatura de Active Directory.

Modificacin del espacio de nombres DNS existente para admitir Active Directory, pero sin volver a disear el espacio de nombres DNS.Es necesario asegurarse de que los nombres de dominio de Active Directory coinciden con los nombres DNS existentes. Esto permite implementar el nivel ms alto de seguridad con las tcnicas de administracin ms sencillas.

Crear dominios internos y externos

En las organizaciones que requieren presencia en Internet adems de un espacio de nombres interno, se debe implementar un espacio de nombres interno y otro externo, y administrar cada uno de forma independiente. Hay tres maneras de combinar un espacio de nombres DNS interno y externo:

Convirtiendo el dominio interno en un subdominio del dominio externo.

Utilizando nombres diferentes para los dominios interno y externo.

Utilizando el mismo nombre para el dominio interno y el externo al tiempo que se utiliza un espacio de nombres privado para la organizacin. Este mtodo no se recomienda ya que causa problemas en la resolucin de los nombres al introducir nombres DNS que no son nicos.

Debe seleccionarse la opcin de diseo de la configuracin que mejor se adapte a las necesidades de la organizacin. En la tabla 4.2 se enumeran las opciones de diseo para implementar un espacio de nombres interno y externo mixto, as como el nivel de complejidad de administracin de cada opcin, junto con un ejemplo en cada caso.

Tabla4.2 Opciones de diseo de un espacio de nombres DNS interno y externo mixtoOpcin de diseoComplejidad de administracinEjemplo

El dominio interno en un subdominio del dominio externo. Esta configuracin es fcil de implementar y administrar.Una organizacin cuyo nombre de dominio del espacio de nombres externo es contoso.com utiliza el nombre de dominio corp.contoso.com para el espacio de nombres interno.

Los nombres de dominio interno y externo no estn relacionados entre s. Esta configuracin ofrece cierta dificultad para su implementacin y administracin. Una organizacin utiliza contoso01-ext.com como nombre de dominio del espacio de nombres externo y contoso.com como nombre de dominio del espacio de nombres interno.

El nombre de dominio interno es el mismo que el externo, pero la organizacin tiene un espacio de nombres privado. Esta configuracin es muy difcil de implementar y administrar. Esta opcin no se recomienda.Una organizacin utiliza el nombre de dominio contoso.com como nombre de dominio para el espacio de nombres interno privado y el espacio de nombres externo pblico.

Utilizar un subdominio interno

La opcin de configuracin ptima para un espacio de nombres DNS interno y externo mixto es convertir el dominio interno en un subdominio del dominio externo. Por ejemplo, una organizacin que tiene el nombre de dominio contoso.com para el espacio de nombres externo puede utilizar el nombre de dominio corp.contoso.com para el espacio de nombres interno. El uso como dominio interno de un subdominio de un dominio externo ofrece las siguientes ventajas:

Permite registrar un solo nombre en una entidad de registro de nombres de Internet.

Asegura que todos los nombres de dominio internos son nicos de forma global.

Simplifica la administracin al permitir la distribucin de las responsabilidades administrativas entre los dominios interno y externo.

El subdominio interno se puede utilizar como principal de dominios secundarios adicionales que se creen para administrar divisiones dentro de la empresa. Los dominios secundarios tienen nombres DNS subordinados directamente al nombre DNS del dominio principal. Por ejemplo, un dominio secundario para el departamento de recursos humanos que se agregue al espacio de nombres us.corp.contoso.com puede tener el nombre de dominio rh.us.corp.contoso.com.

Si se utiliza esta opcin de configuracin para el dominio interno, los equipos que se desee exponer a Internet deben implementarse en el dominio externo fuera del servidor de seguridad. Los equipos que no se desee exponer a Internet deben implementarse en el subdominio interno.

Utilizar un dominio interno independiente

Si no es posible configurar el dominio interno como un subdominio del dominio externo, puede utilizarse un dominio interno independiente. En este caso, los nombres de los dominios interno y externo no estn relacionados. Por ejemplo, una organizacin que usa el nombre de dominio contoso01-ext.com para el espacio de nombres externo utiliza el nombre contoso.com para el espacio de nombres interno.

La ventaja de este mtodo es que proporciona un nombre de dominio interno nico. El inconveniente es que esta configuracin requiere que se administren dos espacios de nombres independientes. Adems, el uso de un dominio interno independiente no relacionado con el dominio externo puede crear confusin para los usuarios, ya que los espacios de nombres no reflejan una relacin entre los recursos que estn dentro de la red y los que estn fuera. Por otro lado se deben registrar dos nombres DNS en una entidad de registro de nombres de Internet.

Utilizar nombres de dominio interno y externo idnticos

No se recomienda el uso del mismo nombre de dominio para el espacio de nombres interno y externo. Esta configuracin causa problemas en la resolucin de los nombres porque introduce nombres DNS que no son nicos. Si se utiliza esta configuracin, un equipo del espacio de nombres interno puede tener el mismo nombre que un equipo del espacio de nombres de Internet. En consecuencia, los intentos de resolver ese nombre pueden producir errores. Esto aumenta la carga administrativa, puesto que se deben prever todos los posibles duplicados de nombres.

Para habilitar el uso del mismo nombre de dominio en el espacio de nombres DNS interno y externo se pueden utilizar los siguientes mtodos:

Si los clientes pueden pasar consultas a los servidores externos (como los servidores Web) a travs de un servidor de seguridad, copie los datos de zona del servidor DNS externo en el servidor DNS interno.

Si los clientes no pueden pasar consultas a travs de un servidor de seguridad, duplique en la red interna todos los datos de zona DNS pblicos y todos los servidores pblicos (como los servidores Web) que pertenezcan a la organizacin.

Mantenga una lista de los servidores pblicos que pertenezcan a la organizacin en el archivo de Configuracin automtica de proxy (PAC, Proxy Auto-Configuration) de cada uno de los clientes DNS.

El mtodo que se elija depende de las funciones de proxy del software cliente. En la tabla 4.3 se enumeran los mtodos que se pueden utilizar para habilitar el uso del mismo nombre de dominio para el espacio de nombres interno y externo, y las funciones de proxy del software cliente posibles en cada mtodo.

Tabla4.3Mtodos para utilizar el mismo nombre para los espacios de nombres interno y externo, y las funciones de proxy compatiblesMtodoFuncin de proxy del softwareSin proxyTabla de direcciones local (LAT)Lista de exclusiones de nombresArchivo de configuracin automtica de proxy (PAC)

Utilizar nombres de dominio diferentes

Copiar los datos de zona del servidor DNS externo en el interno

Duplicar todos los datos de zona DNS pblicos y todos los servidores pblicos en la red interna

Mantener la lista de servidores pblicos en los archivos PAC de los clientes DNS

Decidir si se implementa una raz DNS interna

Si tiene una red distribuida de gran tamao y un espacio de nombres DNS complejo, es conveniente utilizar una raz DNS interna que est aislada de las redes pblicas. El uso de una raz DNS interna agiliza la administracin del espacio de nombres DNS al permitir administrar la infraestructura DNS como si el espacio de nombres completo estuviera formado por los datos DNS de la red interna.

Si se utiliza una raz DNS interna, se aloja una zona raz DNS privada en un servidor DNS de la red interna. Esta zona raz DNS privada no est expuesta a Internet. Al igual que la zona raz de Internet contiene delegaciones de todos los nombres de dominio de nivel superior de Internet, por ejemplo .com, .net y .org, una zona raz privada contiene delegaciones de todos los nombres de dominio de nivel superior de la red interna. El servidor DNS que aloja la zona raz privada se considera que tiene autoridad para todos los nombres del espacio de nombres DNS interno.

Con una raz DNS interna se obtienen las siguientes ventajas:

Escalabilidad. Una red de gran tamao con un espacio de nombres DNS interno alojado en mltiples servidores DNS se puede escalar de forma sencilla. Si la red abarca varias ubicaciones, una raz DNS interna es el mejor mtodo para administrar toda la actividad DNS de la red distribuida.

Resolucin de nombres eficaz. Con una raz DNS interna, los clientes y servidores DNS de la red no se ponen en contacto con Internet para resolver los nombres internos. De esta manera, los datos DNS de la red no se difunden a travs de Internet. Se puede habilitar la resolucin de nombres en otro espacio de nombres si se agrega una delegacin de la zona raz. Por ejemplo, si los equipos necesitan tener acceso a los recursos de una organizacin asociada, se puede agregar una delegacin de la zona raz al nivel superior del espacio de nombres DNS de la organizacin asociada.

Eliminacin de reenviadores. El uso de una raz DNS interna elimina la necesidad de utilizar reenviadores, ya que la resolucin de nombres se lleva a cabo internamente. Los servidores DNS de un espacio de nombres interno se configuran con sugerencias de raz que apuntan a los servidores raz internos.

ImportanteLos nombres externos no deben repetirse en el espacio de nombres interno. Si los nombres DNS de Internet se repiten en la intranet se pueden producir errores en la resolucin de los nombres.

Si los equipos de la red no necesitan tener acceso a los recursos que se encuentran fuera del espacio de nombres DNS, se puede implementar y mantener una raz DNS interna. Si los equipos necesitan tener acceso a los recursos externos, puede que no sea posible utilizar una raz interna para la resolucin de nombres, dependiendo de las funciones de proxy de los equipos de la red.

Si es necesaria la resolucin de nombres en equipos que no admiten proxy de software o en equipos que slo admiten LAT, no se podr utilizar una raz interna para el espacio de nombres DNS. En este caso se debe configurar uno o varios servidores DNS internos para reenviar a Internet las consultas que no es posible resolver localmente.

En la tabla 4.4 se enumeran los tipos de funciones de proxy de cliente y si es posible utilizar una raz DNS interna con cada tipo.

Tabla4.4Funciones de proxy de clienteFuncin de proxySoftware de Microsoft con funciones de proxy correspondientesReenva consultasSe puede utilizar una raz interna?

Sin proxy Telnet genrico

Tabla de direcciones local (LAT)Winsock Proxy (WSP) 1.x y versiones posteriores Internet Security and Acceleration (ISA) Server 2000 y versiones posteriores

Lista de exclusiones de nombresWSP 1.x y versiones posteriores Internet Security and Acceleration (ISA) Server 2000 y versiones posteriores, y todas las versiones de Microsoft Internet Explorer

Archivo de configuracin automtica de proxy (PAC)WSP 2.x Internet Security and Acceleration (ISA) Server 2000 y versiones posterioresInternet Explorer 3.01 y versiones posteriores

Configurar la resolucin de nombres para varios dominios de nivel superior

Si es necesario crear o combinar dos espacios de nombres al implementar DNS de Windows Server 2003, con el resultado de una infraestructura DNS que incluya dos o ms nombres de dominio de nivel superior, debe asegurarse de que la resolucin de nombres interna funciona correctamente. Para configurar la resolucin de nombres para varios dominios de nivel superior, debe llevar a cabo una de las siguientes acciones:

Si tiene una raz DNS interna, agregue delegaciones para cada zona DNS de nivel superior a la zona raz DNS interna.

Configure los servidores DNS que alojan las zonas de nivel superior en un espacio de nombres para reenviar las consultas de resolucin de nombres de otro espacio de nombres a los servidores DNS que alojan las zonas de nivel superior del segundo espacio de nombres. Despus, configure los servidores DNS que alojan las zonas de nivel superior en el segundo espacio de nombres para reenviar las consultas de resolucin de nombres del primer espacio de nombres a los servidores DNS que alojan las zonas de nivel superior del primer espacio de nombres. Para esta configuracin se pueden utilizar reenviadores condicionales de DNS de Windows Server 2003.

Configure los servidores DNS que alojan las zonas DNS de nivel superior en el primer y segundo espacios de nombres para alojar zonas secundarias de las zonas de nivel superior del otro espacio de nombres respectivamente. En esta configuracin, los servidores DNS que alojan las zonas de nivel superior en cada espacio de nombres tienen conocimiento de los servidores DNS del otro espacio de nombres. Esta solucin requiere mayor espacio de almacenamiento para alojar copias secundarias de las zonas de nivel superior de diferentes espacios de nombres y genera ms trfico de transferencia de zonas.

Se pueden utilizar las zonas de rutas internas de DNS de Windows Server 2003para facilitar la distribucin de datos DNS entre espacios de nombres independientes. Sin embargo, el uso de zonas de rutas internas es menos eficaz que utilizar los reenviadores condicionales de Windows Server 2003. Para obtener ms informacin acerca de los reenviadores condicionales y las zonas de rutas internas, vea el Centro de ayuda y soporte tcnico de Windows Server 2003y "Windows Server 2003DNS" (DNS de Windows Server 2003) en el manual Networking Guide (Gua de redes) del Windows Server 2003 Resource Kit (Kit de recursos de WindowsServer2003), o consulte "Windows Server 2003 DNS" (DNS de Windows Server 2003) en la direccin Web http://www.microsoft.com/windows/reskits/default.asp (en ingls).

Integrar una infraestructura DNS de Windows Server 2003 en un espacio de nombres DNS existente

DNS de Windows Server 2003 es compatible con estndares e interopera con otras implementaciones de DNS, lo que incluye WindowsNT4.0, BIND 9.1.0, BIND 8.2, BIND 8.1.2 y BIND 4.9.7. La complejidad del proceso de integracin depende en parte de las caractersticas de DNS que sea necesario admitir. Si los equipos de la infraestructura DNS ejecutan versiones de DNS que admiten las mismas caractersticas, el proceso de integracin de la infraestructura DNS de Windows Server 2003 es sencillo. Si los equipos de la infraestructura DNS ejecutan versiones de DNS que no admiten las mismas caractersticas, el proceso de integracin es ms complejo.

En la tabla 4.5 se compara la compatibilidad de caractersticas en DNS de Windows Server 2003 y otras implementaciones de DNS.

Tabla4.5Compatibilidad de caractersticas en diferentes implementaciones de DNSCaractersticaWindows Server 2003Windows2000WindowsNT4.0BIND 9BIND 8.2BIND 8.1.2BIND 4.9.7

Compatible con el borrador de Internet de IETF (Internet Engineering Task Force) "A DNS RR for specifying the location of services (DNS SRV)" (RR de DNS para especificar la ubicacin de los servicios (DNS SRV)). (Registros SRV)

Actualizacin dinmica

Actualizacin dinmica segura basada en el algoritmo de firma de transaccin (TSIG) GSS

WINS y registros WINS-R

Transferencia de zona rpida

Transferencia de zona incremental

Codificacin de caracteres UTF-8

Complemento MMC de DNS

Dnscmd.exe

Zonas integradas de Active Directory

Almacenamiento de zonas en la particin de aplicaciones de Active Directory

Caducidad y compactacin de registros obsoletos

Zonas de rutas internas

Reenvo condicional

Mecanismos de extensin para DNS (EDNS0)

Crear subdominios

Si va a implementar DNS en una red empresarial de gran tamao o prev la expansin de la red para incluir subredes y sitios adicionales, debe distribuir la administracin de partes del espacio de nombres DNS entre los administradores de las diferentes subredes y sitios de la red. Para ello, cree subdominios del dominio DNS inicial y delegue la autoridad de estos en los servidores DNS ubicados en las distintas subredes y sitios. De esta forma se puede crear un nmero indeterminado de entidades independientes dentro de un espacio de nombres DNS, cada una de las cuales tiene autoridad en una parte del espacio de nombres global.

La creacin de subdominios del dominio DNS interno ofrece las siguientes ventajas:

Distribucin de la administracin de la red. Los subdominios permiten la distribucin y administracin de los recursos de la red en grupos o departamentos administrativos. Se pueden implementar subdominios DNS que reflejen los departamentos administrativos existentes de la empresa mediante la creacin de un subdominio diferente para cada segmento de la red.

Equilibrio de la carga en la red. Mediante la distribucin de la carga de la red entre varios subdominios se puede aumentar la eficacia y el rendimiento del espacio de nombres DNS.

Si la organizacin tiene entidades que actualmente administran sus propios recursos de red, determine si necesitan tener autoridad en su parte del espacio de nombres DNS. En caso afirmativo, delegue la autoridad para dicho dominio secundario.

Crear nombres de dominio DNS y nombres de equipo

Antes de implementar la infraestructura DNS de Windows Server 2003, debe crearse una convencin de nombres para los dominios DNS internos y de Internet, as como los equipos DNS de la red. Para crear una convencin de nombres DNS, es necesario establecer los siguientes elementos:

Un nombre de dominio DNS de Internet si la organizacin est conectada a Internet.

Un nombre de dominio DNS interno para la organizacin.

Una convencin de nombres de equipo DNS.

Adems, debe determinarse la necesidad de admitir nombres NetBIOS en la organizacin.

Crear un nombre de dominio DNS de Internet

Si se va a implementar una nueva infraestructura DNS de Windows Server 2003 con conexin a Internet, debe crearse un nombre de dominio DNS de Internet para la organizacin. Puesto que todos los nodos que requieren la resolucin de nombres tienen asignado un nombre DNS que incluye el nombre de dominio DNS de Internet para la organizacin, es importante seleccionar un nombre de dominio que sea corto y fcil de recordar. Como DNS tiene una estructura jerrquica, el nmero de nombres de dominio DNS se incrementa al agregar subdominios a la organizacin. Los nombres de dominio cortos producen nombres de equipo que son sencillos de recordar, con lo que se facilita el acceso a los recursos.

Un espacio de nombres DNS que est conectado a Internet debe ser un subdominio de un dominio de nivel superior o de segundo nivel del espacio de nombres DNS de Internet. Si se va a implementar un nuevo espacio de nombres DNS de Windows Server 2003, debe seleccionarse un dominioDNS de Internet de nivel superior en el que registrar el nombre de dominio. Por ejemplo se puede registrar el dominio como un subdominio de .com, .org o .net, o como un subdominio del nombre de dominio que est asignado al pas o regin, como .au (Australia), .fr (Francia) o .ca (Canad).

Despus de seleccionar el nombre de dominio DNS de Internet e identificar el dominio de nivel superior del que el dominio DNS es un subdominio, deben realizarse los siguientes pasos para registrar el nombre de dominio:

1. Haga una bsqueda en Internet para confirmar que el nombre de dominio seleccionado para la organizacin no ha sido registrado por otra organizacin. Si el nombre de dominio DNS seleccionado es propiedad de otra organizacin, puede intentar comprrselo o seleccionar un nombre de dominio diferente.

2. Configure al menos un servidor DNS con autoridad para alojar la zona DNS del nombre de dominio. Este servidor se puede ubicar en la red interna o en la red del ISP.

Registre el nombre de dominio DNS en un registrador de Internet y proporcione al registrador el nombre DNS y la direccin IP de al menos un servidor DNS que tenga autoridad para el nombre de dominio. Si desea obtener una lista de los registradores de Internet, visite el vnculo de registradores acreditados por ICANN que se incluye en la pgina Recursos Web en la direccin http://www.microsoft.com/windows/reskits/webresources/ (en ingls).

El proceso de registro de nombres de dominio de Internet vara en funcin del diseo del espacio de nombres DNS. En la tabla 4.6 se enumeran los nombres de dominio que es necesario registrar para cada tipo de diseo de espacio de nombres DNS.

Tabla4.6Registro de nombres de dominio DNS de InternetDiseo del espacio de nombresRegistro de nombres de dominioEjemplo

El nombre de dominio interno en un subdominio del dominio externo. Registre slo el nombre de dominio externo.Para el espacio de nombres externo se utiliza el nombre de dominio contoso.com. Para el espacio de nombres interno se utiliza el nombre de dominio corp.contoso.com.

Los nombres de dominio interno y externo no estn relacionados entre s. Registre los nombres de dominio interno y externo.Para el espacio de nombres externo se utiliza el nombre de dominio contoso01-ext.com. Para el espacio de nombres interno se utiliza el nombre de dominio contoso.com.

El nombre de dominio interno es el mismo que el externo, pero la organizacin tiene un espacio de nombres privado. Registre el nombre de dominio interno y externo.El nombre de dominio contoso.com se utiliza para los espacios de nombres interno y externo.

Al registrar el nombre de dominio DNS, el registrador de Internet crea una delegacin en la zona DNS que tiene autoridad para el dominio de nivel superior seleccionado. ste es el dominio de nivel superior de los servidores DNS que tienen autoridad para el nombre de dominio DNS de Internet de la organizacin.

NotaSi el nombre de dominio que se desea registrar no est disponible en un dominio de nivel superior, por ejemplo .com, no debe registrarse el mismo nombre en otro dominio de nivel superior, por ejemplo .net. Los usuarios que busquen el nombre de dominio pueden suponer que pertenecen a su empresa los equipos y servicios del dominio de nivel superior incorrecto.

Crear nombres de dominio DNS internos

Al crear nombres para los dominios internos, utilice las siguientes directrices:

Si la organizacin tienen presencia en Internet, utilice nombres relacionados con el nombre de dominio DNS de Internet registrado. Por ejemplo, si la organizacin tiene registrado el nombre de dominio DNS de Internet contoso.com, utilice un nombre de dominio como corp.contoso.com para el nombre de dominio de la intranet.

Para evitar problemas de resolucin de nombres, no utilice como nombre de dominio el nombre de una entidad empresarial externa o el nombre de un producto.

No utilice en la intranet nombres de dominio de Internet de nivel superior (.com, .net, .org, .us, .fr, .gr, etc.). El uso de nombres de dominio de Internet de nivel superior para los nombres de dominio de la intranet puede producir errores en la resolucin de los nombres de los equipos de la red que estn conectados a Internet.

No utilice acrnimos o abreviaturas en los nombres de dominio. Las unidades de negocio que representan los acrnimos pueden ser difciles de reconocer para los usuarios.

No utilice nombres de unidades de negocio o divisiones en los nombres de dominio. Las unidades de negocio y dems divisiones cambian de forma peridica, y los nombres de dominio pueden quedarse obsoletos o dar lugar a equivocaciones.

No utilice nombres geogrficos que sean difciles de escribir y recordar.

Evite que la jerarqua de nombres de dominio DNS se extienda ms de cinco niveles a partir del dominio raz interno o de Internet. Al limitar la extensin de la jerarqua de nombres de dominio se reducen los costes administrativos.

Si se va a implementar DNS en una red privada y no se planea crear un espacio de nombres externo, se recomienda registrar el nombre de dominio DNS que se cree para el dominio interno. Si no se registra el nombre y posteriormente se intenta utilizar en Internet, o se conecta a una red que est conectada a Internet, puede que el nombre no est disponible.

Crear nombres de equipo DNS

Es importante desarrollar una convencin de nombres de equipo DNS para la red. Esto permite que los usuarios recuerden con facilidad los nombres de los equipos que se encuentran en redes pblicas y privadas, y facilita el acceso a los recursos de la red interna.

El proceso para crear nombres de equipo DNS vara en funcin de si se va a crear una infraestructura DNS nueva, integrar la infraestructura DNS con una infraestructura de terceros existente o actualizar una infraestructura DNS existente.

Crear nombres de equipo en una nueva infraestructura DNS de Windows Server 2003

Siga las siguientes directrices al crear nombres para los equipos DNS de la nueva infraestructura DNS de Windows Server 2003:

Seleccione nombres de equipo que sean fciles de recordar para los usuarios.

Identifique el propietario del equipo en el nombre. Por ejemplo, juan-perez-1 indica que el equipo lo utiliza Juan Prez.

Utilice nombres en los que se describa el propsito del equipo. Por ejemplo, un servidor de archivos llamado cuentas-antiguas-1 indica que en l se almacena informacin relacionada con cuentas antiguas.

No utilice maysculas y minsculas para indicar el propietario o propsito de un equipo. En el sistema DNS no se distingue entre maysculas y minsculas.

Utilice el nombre de dominio de Active Directory para el sufijo DNS principal del nombre de equipo. Si un equipo no est unido a un dominio, utilice un nombre de dominio de Internet registrado o un derivado de ste para el sufijo DNS principal.

Utilice nombres nicos para todos los equipos de la organizacin. No asigne el mismo nombre de equipo a distintos equipos de dominios DNS diferentes.

Utilice caracteres ASCII para asegurar la interoperabilidad con equipos en los que se ejecuten versiones de Windows anteriores a Windows2000. Para los nombres de equipo DNS, utilice solamente los caracteres que se enumeran en el documento RFC 1123, "Requirements for Internet Hosts Application and Support" (Requisitos de los hosts de Internet: aplicacin y compatibilidad), entre los que se incluyen AZ, az, 09 y el guin (-). DNS de Windows Server 2003admite casi todos los caracteres UTF-8 en los nombres; sin embargo, no utilice caracteres ASCII extendidos o UTF-8 a menos que los admitan todos los servidores DNS del entorno.

Crear nombres de equipo en una infraestructura DNS integrada

Si va a integrar DNS de Windows Server 2003 con una infraestructura DNS de terceros existente, no es necesario que realice ningn cambio en los nombres de host DNS de dicha infraestructura. Si va a migrar a DNS de Windows Server 2003desde una infraestructura DNS de terceros, debe asegurarse de que los nombres de host que se utilizan en la infraestructura de terceros son compatibles con los estndares de nomenclatura DNS de Internet.

Si va a integrar o migrar una infraestructura DNS pblica que est conectada a Internet en la infraestructura DNS existente, no es necesario que realice ningn cambio en los nombres de dominio DNS de la infraestructura existente.

Crear nombres de equipo al actualizar una infraestructura DNS

Si se va a actualizar a DNS de Windows Server 2003desde WindowsNT4.0, no es necesario cambiar los nombres de host DNS; sin embargo, es necesario convertir los nombres NetBIOS en nombres DNS. Ambos tipos de nombres deben ser compatibles con el estndar DNS de acuerdo con el documento RFC 1123, "Requirements for Internet Hosts Application and Support" (Requisitos de los hosts de Internet: aplicacin y compatibilidad). Esto incluye las letras maysculas (A-Z), las minsculas (a-z), los nmeros (0-9) y el guin (-).

En la tabla 4.7 se enumeran los diferentes conjuntos de caracteres que se admiten en DNS estndar, DNS de Windows Server 2003 y NetBIOS.

Tabla4.7Restricciones de los conjuntos de caracteresRestriccin del conjunto de caracteresDNS estndar (incluido WindowsNT4.0)DNS de Windows2000 y Windows Server 2003NetBIOS

Caracteres permitidosCompatible con RFC 1123, que permite las maysculas de la "A" a la "Z", las minsculas de la "a" a la "z", los nmeros del "0" al "9" y el guin (-).Compatible con RFC 1123 y UTF-8. Se puede configurar el servidor DNS de Windows2000 para permitir o no el uso de caracteres UTF-8 en los servidores Windows2000. Se puede hacer en cada servidor individualmente. No permitidos: caracteres Unicode, nmeros, espacio en blanco y los smbolos / \ [ ] : | < > + = ; , ? y *)

Longitud mxima del nombre de host y FQDN63 octetos por etiqueta. 255 bytes por FQDN (254 bytes para el FQDN ms un byte para el punto final).Igual que DNS estndar ms la compatibilidad con UTF-8. El recuento de caracteres no es suficiente para determinar el tamao porque la longitud de algunos caracteres UTF-8 es superior a un octeto. Los controladores de dominio estn limitados a 155 bytes para el FQDN. 15 bytes de longitud.

ImportanteLos nombres codificados en formato UTF-8 no deben sobrepasar los lmites definidos en el documento RFC 2181, "Clarifications to the DNS Specification" (Aclaraciones relativas a la especificacin de DNS), en el que se especifica un tamao mximo de 63 octetos por etiqueta y 255 octetos por nombre. El recuento de caracteres no es suficiente para determinar el tamao porque la longitud de algunos caracteres UTF-8 es superior a un octeto.

Determinar si es necesario admitir nombres NetBIOS

Al actualizar el dominio a Windows Server 2003, puede ser necesaria la compatibilidad con NetBIOS en la red si el dominio incluye clientes que ejecutan versiones de Windows anteriores a Windows2000. Por ejemplo, si la red est dividida en varios segmentos, es necesario utilizar WINS para crear la lista de bsqueda NetBIOS. Si no se utiliza WINS, la red debe depender de Active Directory para la bsqueda de los recursos. Esto puede tener un efecto significativo en los clientes que ejecuten versiones de Windows anteriores a Windows2000.

DNS de Windows Server 2003 es compatible con WINS; por lo tanto, en un entorno de red mixto se puede utilizar una combinacin de DNS y WINS. Esto permite mejorar la capacidad de la red para buscar recursos y servicios. Los clientes basados en WindowsNT 4.0 se pueden registrar en WINS de Windows2000 y WINS de Windows Server 2003. Adems, los equipos que ejecuten Windows2000 Professional o WindowsXP Professional se pueden registrar en WINS de WindowsNT 4.0. Para mantener la compatibilidad con versiones anteriores, cada equipo recibe un nombre NetBIOS que debe ser nico en el dominio al que pertenece el equipo.

Puede ser difcil conservar los nombres NetBIOS existentes, ya que estos utilizan un conjunto de caracteres ms amplio que los nombres DNS. Una solucin consiste en reemplazar los nombres NetBIOS por nombres DNS para asegurar que cumplen los estndares de nomenclatura DNS existentes. Este proceso consume mucho tiempo y no es posible llevarlo a cabo en aquellas organizaciones que tengan equipos con versiones de Windows anteriores a Windows2000.

En el documento RFC 2181, "Clarifications to the DNS Specification" (Aclaraciones relativas a la especificacin de DNS) se ampla el conjunto de caracteres permitido en los nombres DNS para incluir cualquier cadena binaria. Las cadenas binarias no tienen que interpretarse como caracteres ASCII. En Windows2000 y Windows Server 2003 se admite la codificacin de caracteres UTF-8 (RFC 2044). UTF-8 es un supraconjunto del conjunto de caracteres ASCII y una traduccin de la codificacin de caracteres UCS-2 (Unicode). El conjunto de caracteres UTF-8 permite llevar a cabo la transicin de los nombres NetBIOS de WindowsNT 4.0 a nombres DNS de Windows2000 y Windows Server 2003.

De forma predeterminada se utiliza la comprobacin de nombres UTF-8 multibyte. De esta forma se proporciona la mxima tolerancia cuando el servicio DNS procesa los caracteres. ste es el mtodo preferido para la comprobacin de nombres en la mayora de los servidores DNS privados que no ofrecen un servicio de nombres para los hosts de Internet.

ImportanteEn DNS de Windows Server 2003y Windows2000 se admiten caracteres NetBIOS y UTF-8 para los nombres de equipo. En otras versiones de DNS slo se admiten los caracteres permitidos en el documento RFC 1123. Por ello, slo deben utilizarse los caracteres NetBIOS y UTF-8 si se tiene la seguridad de que el mtodo utilizado para la resolucin de nombres es DNS de Windows Server 2003o Windows2000. Los nombres que estn orientados a ser visibles en Internet deben contener nicamente caracteres ASCII, segn se recomienda en el documento RFC 1123.

Ejemplo: combinacin de espacios de nombres DNS

Contoso Corporation se ha fusionado con Acquired Corporation. Antes de la fusin, cada una de las empresas utilizaba dominios internos que eran subdominios de sus dominios externos. En Contoso Corporation se utilizaba una raz privada para simplificar la administracin de los servidores DNS. En Acquired Corporation, las consultas se reenviaban a Internet en lugar de utilizar una raz privada, ya que no deseaban crear y administrar listas de exclusiones ni archivos PAC.

El espacio de nombres externo de la nueva empresa resultante de la fusin contiene las zonas contoso.com y acquired01-ext.com. Cada zona del espacio de nombres externo contiene los registros de recursos DNS que las compaas desean exponer a Internet. El espacio de nombres interno contiene las zonas internas corp.contoso.com y corp.acquired01-ext.com.

La divisin de Contoso y la divisin de Acquired utilizan mtodos diferentes para admitir la resolucin de nombres en su espacio de nombres. La divisin de Contoso utiliza el nombre contoso.com externamente y corp.contoso.com internamente. La zona raz se aloja en los servidores raz internos. En los servidores internos se aloja tambin la zona corp.contoso.com. El nombre contoso.com est registrado en una entidad de registro de nombres de Internet.

Con el fin de asegurar que todos los clientes internos de la organizacin pueden resolver todos los nombres de la nueva organizacin fusionada, la zona raz privada contiene una delegacin de la zona del nivel superior del espacio de nombres interno de la organizacin fusionada, corp.acquired01-ext.com.

Todos los equipos de la divisin de Contoso admiten listas de exclusiones o archivos PAC. Para resolver los nombres internos y externos, todos los clientes DNS deben enviar las consultas a los servidores DNS internos o a un servidor proxy, en funcin de una lista de exclusiones o un archivo PAC. En la figura4,4 se muestra esta configuracin.

Si su explorador no admite los marcos en lnea, haga clic aqu para abrir una pgina independiente.

Figura4.4Resolucin de nombres en la divisin de ContosoCon base en esta configuracin, los clientes internos pueden consultar nombres de las siguientes maneras:

Consultar nombres internos en servidores DNS internos. La consulta se resuelve en los servidores DNS internos. Si un servidor DNS que recibe una consulta no contiene los datos solicitados en sus zonas o cach, se pone en contacto con los servidores DNS raz internos para realizar una resolucin de nombres recursiva.

Consultar nombres de Internet en un servidor proxy. El servidor proxy reenva la consulta a los servidores DNS de Internet. La consulta se resuelve en los servidores DNS de Internet.

Consultar nombres del espacio de nombres externo de la divisin de Contoso en un servidor proxy. El servidor proxy reenva la consulta a los servidores DNS de Internet. La consulta se resuelve en los servidores DNS de Internet.

Consultar nombres de la divisin de Acquired en servidores DNS internos. Puesto que los servidores raz contienen una delegacin del nivel superior del espacio de nombres DNS de la divisin de Acquired, los servidores DNS internos resuelven la consulta de forma recursiva ponindose en contacto con los servidores DNS de la divisin de Acquired.

Clientes externos:

No pueden consultar nombres internos. Esta limitacin ayuda a proteger la red interna.

Consultar nombres del espacio de nombres externo de la divisin de Contoso en servidores DNS de Internet. La consulta se resuelve en los servidores DNS de Internet.

En la divisin de Acquired se utiliza el nombre acquired01-ext.com externamente y el nombre corp.acquired01-ext.com internamente. En el servidor InternalDNS.corp.acquired01-ext.com se aloja la zona corp.acquired01-ext.com. La divisin de Acquired no dispone de una raz privada.

Para simplificar la administracin de los clientes y servidores DNS, los administradores de la divisin de Acquired han decidido utilizar el reenvo condicional. Los administradores han configurado el servidor DNS InternalDNS.corp.acquired01-ext.com para reenviar las consultas de la manera siguiente:

El servidor reenva todas las consultas dirigidas a la divisin de Contoso a un servidor DNS de la divisin de Contoso. Por ejemplo, las consultas dirigidas a corp.contoso.com se reenvan a InternalDNS.corp.contoso.com.

Al mismo tiempo, las dems consultas dirigidas a contoso.com se reenvan a un servidor DNS de Internet.

En la figura4.5 se muestra esta configuracin.

Figura4.5Reenvo condicional en la divisin de AcquiredDisear servidores DNS

En los servidores DNS se almacena informacin acerca del espacio de nombres que se utiliza para responder a las consultas de los clientes DNS. Algunos factores que afectan a la topologa de servidores DNS son la ubicacin donde se desea almacenar la informacin acerca de la parte del espacio de nombres DNS, el nmero de clientes DNS y la ubicacin fsica de los mismos.

El planeamiento del diseo de los servidores DNS permite crear una distribucin eficaz de los datos DNS y actualizar la topologa, adems de minimizar el trfico de distribucin y actualizacin en la red. En la figura4.6 se muestra el proceso que es preciso seguir para disear servidores DNS.

Si su explorador no admite los marcos en lnea, haga clic aqu para abrir una pgina independiente.

Figura4.6Diseo de servidores DNSAsignar recursos de hardware

A la hora de asignar recursos de hardware para los servidores DNS, deben tenerse en cuenta las siguientes recomendaciones bsicas:

Equipos con procesador dual y CPU Pentium II a 400 MHz

256 MB de memoria RAM para cada procesador

Discos duros de 4 GB

El uso de CPU ms rpidas, ms memoria RAM y discos duros de mayor tamao mejora la escalabilidad y el rendimiento de los servidores DNS. Tenga en cuenta que los servidores DNS utilizan aproximadamente 100 bytes de memoria RAM para cada registro de recursos.

Se pueden utilizar equipos con procesador dual para mejorar el rendimiento de los servidores DNS mediante la asignacin del servicio Servidor DNS al primer procesador y los procesos de base de datos, como las transferencias de zonas, al segundo procesador.

Determinar el nmero de servidores DNS necesarios

Para reducir la sobrecarga administrativa, utilice el nmero mnimo de servidores DNS necesarios. Asegrese de establecer al menos dos servidores DNS con autoridad para cada zona con el fin de habilitar la tolerancia a errores y el uso compartido de la carga.

Agregue servidores DNS adicionales para lograr los siguientes objetivos:

Proporcionar redundancia cuando el diseo del espacio de nombres requiera mayor disponibilidad de DNS.

Mejorar el tiempo de respuesta a las consultas cuando sea necesario mayor rendimiento de DNS.

Reducir el trfico WAN de las ubicaciones remotas.

Utilice las siguientes directrices para determinar el nmero de servidores DNS que se deben implementar:

Si tiene un gran nmero de clientes, agregue servidores DNS adicionales para alojar zonas secundarias o integradas de Active Directory. Calcule el nmero previsto de consultas y actualizaciones dinmicas por segundo. El servicio Servidor DNS de Windows Server 2003puede responder a ms de 10.000 consultas por segundo en un equipo con microprocesador Pentium III a 700 MHz.

Para obtener informacin acerca de cmo planear la capacidad, consulte la seccin "Asignar recursos de hardware" anteriormente en este captulo.

Si se delegan zonas, agregue servidores DNS adicionales para controlarlas. Observe que si tiene mltiples zonas no es necesario delegarlas. Puede alojar todas las zonas en el mismo servidor o servidores. En un solo servidor DNS de Windows Server 2003se pueden alojar 200.000 zonas que contengan 6 registros de recursos.

Si planea utilizar zonas integradas de Active Directory, debe alojarlas en servidores DNS.

Si no se van a utilizar zonas integradas de Active Directory, las transferencias de zonas y el trfico de consultas DNS pueden sobrecargar los vnculos lentos. Si el volumen elevado de trfico es un problema en el entorno, agregue servidores DNS adicionales para proporcionar equilibrio de la carga. Aunque DNS est diseado para ayudar a reducir el trfico de difusin entre las subredes locales, genera trfico entre los servidores y clientes que se debe tener en cuenta, especialmente en entornos enrutados complejos. Adems, a pesar de que el servicio DNS admite Transferencias de zona incrementales (IXFR) y los clientes y servidores pueden almacenar en la cach los nombres utilizados recientemente, en ocasiones las consideraciones de trfico siguen siendo un problema. Esto se aplica especialmente a las concesiones DHCP de corta duracin, que requieren actualizaciones dinmicas ms frecuentes.

Si tiene una red LAN enrutada con vnculos confiables de alta velocidad, un servidor DNS puede ser suficiente para una rea de red de mayor tamao que incluya varias subredes.

Si cuenta con un nmero elevado de nodos cliente en una nica subred, el uso de varios servidores DNS en la subred ofrece la posibilidad de tener servicios de copia de seguridad y conmutacin por error en el caso de que el servidor DNS preferido deje de responder.

Si el diseo DNS incluye zonas principales y secundarias, y se ejecuta un gran nmero de servidores secundarios en una zona, el servidor de nombres maestro principal puede sobrecargarse cuando tenga lugar el sondeo de los servidores secundarios para asegurarse de que sus datos de zona estn actualizados. Este problema se puede resolver de tres maneras:

Utilice algunos de los servidores secundarios como servidores maestros de la zona. Los dems servidores secundarios pueden sondear y solicitar actualizaciones de zona en los servidores maestros.

Incremente el intervalo de actualizacin de forma que los servidores secundarios lleven a cabo el sondeo con menos frecuencia. Sin embargo, observe que al prolongar el intervalo de actualizacin las zonas secundarias quedan obsoletas con ms frecuencia.

Cree servidores DNS slo de almacenamiento en cach. Las ubicaciones remotas pueden obtener ventajas de un servidor DNS local de slo almacenamiento en cach, adems de los servidores DNS que se hayan agregado para asegurar la disponibilidad.

Determinar la colocacin de los servidores DNS

La colocacin de los servidores DNS y el nmero de servidores que se implementen afecta a la disponibilidad, seguridad y rendimiento de DNS. Es importante asegurarse de que la colocacin de los servidores DNS se planea para prever la disponibilidad de DNS y Active Directory.

Colocar servidores DNS para disponibilidad

Con el fin de garantizar que DNS siempre est disponible, asegrese de que la infraestructura DNS no incluye ningn punto de error nico. Para mejorar la tolerancia a errores y el uso compartido de la carga, cree al menos dos servidores DNS con autoridad para cada zona, de una de las siguientes maneras:

Si tiene una red LAN, coloque los dos servidores DNS en subredes independientes.

Si tiene una red WAN, coloque los servidores DNS con autoridad para cada zona en redes diferentes.

Asegrese de que al menos uno de los servidores DNS est disponible para cada red. Esta precaucin elimina los enrutadores como un punto de error. Si es posible, distribuya los servidores DNS en ubicaciones geogrficas diferentes. Esto permite que las comunicaciones no se interrumpan en el caso de que se produzca un desastre natural.

Si se identifican puntos de error nicos en la red, determine si afectan slo a DNS o a todos los servicios de red. Si un enrutador queda inactivo y los clientes no pueden tener acceso a los servicios de red, los errores de DNS no suponen ningn problema. Si un enrutador queda inactivo y los servidores DNS locales no estn disponibles, pero s lo estn otros servicios de red, los clientes no pueden tener acceso a los recursos de red necesarios porque no pueden consultar nombres DNS.

Si dispone de presencia en Internet, DNS debe funcionar correctamente para que los clientes tengan acceso a los servidores Web, enven correo y busquen otros servicios; por ello se recomienda ejecutar un servidor DNS secundario fuera del sitio. Si mantiene relaciones comerciales con una organizacin en Internet, ya sean socios comerciales o ISP, puede que acepten ejecutar el servidor secundario; sin embargo, asegrese de que los datos del servidor de la organizacin estn protegidos de los ataques de Internet.

Para asegurar que DNS est disponible si los servidores DNS principales del sitio quedan inactivos, considere la posibilidad de implementar un servidor DNS secundario fuera del sitio. Esta medida de precaucin se recomienda incluso si no dispone de presencia en Internet.

Colocar servidores DNS para disponibilidad de Active Directory

La disponibilidad de DNS afecta directamente a la disponibilidad de Active Directory. Los clientes dependen de DNS para buscar los controladores de dominio y stos dependen de DNS para buscar otros controladores de dominio. Por esta razn, puede que sea necesario ajustar el nmero y la colocacin de los servidores DNS para cubrir las necesidades de los clientes y controladores de dominio de Active Directory.

La mejor solucin es colocar al menos un servidor DNS en cada sitio. Asegrese de que los servidores DNS del sitio tienen autoridad para los registros del ubicador de los dominios del sitio, de forma que los clientes no tengan que consultar servidores DNS fuera del sitio para buscar los controladores de dominio que se encuentran en l. Los controladores de dominio comprueban peridicamente que las entradas de cada registro del ubicador son correctas.

NotaSe puede ejecutar el servicio Servidor DNS de Windows Server 2003 en uno o varios controladores de dominio en cada sitio y, despus, agregar zonas integradas de Active Directory para el nombre de zona que corresponda al dominio de Active Directory. Esta sencilla configuracin cubre todos los requisitos. Por lo general, el trfico de replicacin adicional que se crea al agregar DNS a un controlador de dominio es mnimo.

Utilizar el reenvo

Si un servidor DNS est configurado correctamente pero no puede resolver una consulta mediante su cach o zonas, reenva la consulta a otro servidor, denominado reenviador. Los reenviadores son servidores DNS normales y no requieren ninguna configuracin especial; su denominacin de reenviadores obedece a que son los destinatarios de consultas reenviadas por otro servidor DNS.

El reenvo es til para el trfico de fuera del sitio o de Internet. Por ejemplo, un servidor DNS de una sucursal puede reenviar todo el trfico de fuera del sitio a un reenviador de la oficina principal y un servidor DNS interno puede reenviar todo el trfico de Internet a un reenviador de Internet. Para asegurar la disponibilidad, es conveniente reenviar las consultas a varios reenviadores.

Utilice reenviadores en cadena para limitar el nmero de servidores que deben enviar las consultas fuera del sitio. Por ejemplo, los servidores DNS internos pueden reenviar todas las consultas a uno o dos reenviadores, que a su vez las reenvan a un servidor de Internet. De esta forma no es necesario que los servidores DNS internos realicen las consultas directamente en Internet. Dependiendo de los modelos de trfico, el uso de reenviadores puede reducir al mnimo la cantidad de trfico de fuera del sitio en la organizacin.

Los reenviadores proporcionan tambin seguridad de red adicional al minimizar la lista de los servidores DNS que se pueden comunicar a travs de un servidor de seguridad.

Para controlar el proceso de resolucin de nombres con mayor granularidad se puede utilizar el reenvo condicional. ste permite asignar dominios especficos a los reenviadores. El reenvo condicional se puede utilizar para resolver los siguientes tipos de consultas:

Consultas de nombres en dominios internos fuera del sitio

Consultas de nombres en otros espacios de nombres

Utilizar el reenvo condicional para consultar nombres de dominios internos fuera del sitio

El reenvo condicional permite que los servidores consulten nombres de dominios internos fuera del sitio para eliminar el trfico de WAN innecesario de las consultas. En DNS de Windows Server 2003, los servidores que no son raz resuelven nombres para los que no tienen autoridad, no tienen delegacin y que no se encuentran en su cach, mediante una de las siguientes acciones:

Consulta de un servidor raz.

Reenvo de las consultas a un reenviador.

Esto genera trfico de red adicional. Por ejemplo, un servidor que no es raz en el sitio A est configurado para reenviar las consultas a un reenviador del sitio B y debe resolver un nombre de una zona alojada en un servidor del sitio C. Dado que el servidor que no es raz slo puede reenviar las consultas al sitio B, no tiene la posibilidad de consultar directamente el servidor del sitio C. En su lugar, reenva la consulta al reenviador del sitio B y ste consulta el servidor del sitio C.

Si se utiliza el reenvo condicional se pueden configurar los servidores DNS para que reenven las consultas a distintos servidores en funcin del nombre de dominio especificado en la consulta. De esta forma se eliminan pasos en la cadena de reenvo y se reduce el trfico de red. Al aplicar el reenvo condicional, el servidor del sitio A puede reenviar las consultas a los reenviadores del sitio B o C, segn corresponda.

Por ejemplo, los equipos del sitio de Sevilla de Contoso Corporation deben consultar equipos del sitio de la Regin Administrativa Especial (RAE) de Hong Kong, en Asia. Ambos sitios utilizan un servidor raz DNS comn, DNS3.Seville.avionics01-int.com, que est ubicado en Seattle.

Antes de que Contoso actualizara a Windows Server 2003, el servidor de Sevilla reenviaba todas las consultas que no poda resolver a su servidor principal, DNS1.avionics01-int.com, ubicado en Seattle. Cuando el servidor de Sevilla consultaba nombres del dominio Avionics (en la RAE de Hong Kong y Tokio), primero reenviaba las consultas a Seattle.

Despus de actualizar a Windows Server 2003, los administradores configuraron el servidor DNS de Sevilla para reenviar las consultas dirigidas al sitio de la RAE de Hong Kong directamente a un servidor de dicho sitio, en lugar de desviarlas primero a Seattle, como se muestra en la figura 4.7.

Si su explorador no admite los marcos en lnea, haga clic aqu para abrir una pgina independiente.

Figura4.7Reenvo condicional a un servidor fuera del sitioLos administradores configuraron DNS3.Seville.avionics01-int.com para que las consultas dirigidas a acquired01-int.com se reenviaran a DNS5.acquired01-int.com o DNS6.acquired01-int.com. El servidor DNS3.Seville.avionics01-int.com reenva las dems consultas a DNS1.avionics01-int.com o DNS2.avionics01-int.com.

Para obtener ms informacin acerca del reenvo condicional, vea "Windows Server 2003DNS" (DNS de Windows Server 2003) en el manual Networking Guide (Gua de redes) del Windows Server 2003 Resource Kit (Kit de recursos de WindowsServer2003), o consulte "Windows Server 2003 DNS" (DNS de Windows Server 2003) en la direccin Web http://www.microsoft.com/windows/reskits/default.asp (en ingls).

Utilizar el reenvo condicional para realizar consultas en otros espacios de nombres

Si no se dispone de una raz privada en la red interna y los usuarios necesitan tener acceso a otros espacios de nombres, por ejemplo una red perteneciente a una empresa asociada, utilice el reenvo condicional para permitir que los servidores realicen consultas en otros espacios de nombres.

Antes de que estuviera disponible el reenvo condicional, los servidores DNS slo podan reenviar las consultas a un servidor. Debido a esta limitacin, era habitual que se configuraran los servidores para reenviar a un servidor de Internet todas las consultas que no podan resolver (todas las consultas fuera de su espacio de nombres). De esa forma, los servidores DNS internos podan resolver los nombres del espacio de nombres interno y del espacio de nombres de Internet. Sin embargo, para la resolucin en otros espacios de nombres, todos los servidores DNS que alojaban el dominio de nivel superior de la empresa tenan que alojar tambin una zona secundaria para el dominio de nivel superior de la empresa asociada. Esta solucin requera ms espacio de almacenamiento en el servidor DNS y trfico adicional de transferencia de zonas. Con el reenvo condicional, los servidores DNS pueden reenviar las consultas a diferentes servidores en funcin del nombre de dominio, lo que elimina la necesidad de utilizar zonas secundarias.

Por ejemplo, Contoso Corporation cuenta con dos espacios de nombres: Contoso y Acquired. Los equipos de cada divisin necesitan tener acceso al otro espacio de nombres. Adems, los equipos de ambas divisiones necesitan tener acceso a los equipos del espacio de nombres privado del proveedor Supplier.

Antes de actualizar a Windows Server 2003, la divisin de Acquired cre zonas secundarias para asegurar que los equipos de los espacios de nombres de Contoso y Acquired podan resolver los nombres de los espacios de nombres de Contoso, Acquired y Supplier. Despus de actualizar a Windows Server 2003, la divisin de Acquired elimin sus zonas secundarias y configur el reenvo condicional en su lugar.

Actualizar servidores DNS a DNS de Windows Server 2003

Los servidores DNS se pueden actualizar a DNS de Windows Server 2003 de dos maneras:

Realizando una actualizacin en contexto desde DNS de WindowsNT4.0 o Windows2000 a DNS de Windows Server 2003.

Migrando un servidor completo.

Haga una copia de seguridad de la configuracin existente de forma que se pueda restaurar si se produce algn error. Planee la migracin de forma que los clientes tengan acceso a un servidor DNS en todo momento. Por ejemplo, puede retrasar la desconexin del servidor DNS existente hasta que est seguro de que el servidor DNS de Windows Server 2003 funciona correctamente.

Despus de actualizar o migrar los servidores, prubelos para asegurarse de que funcionan correctamente. Para obtener ms informacin acerca de cmo probar el rendimiento de los servidores DNS, vea "Monitor Servers" (Supervisar servidores) en el Centro de ayuda y soporte tcnico de Windows Server 2003y "Troubleshooting Windows Server 2003DNS" (Solucionar problemas de DNS de Windows Server 2003) en el manual Networking Guide (Gua de redes) del Windows Server 2003 Resource Kit (Kit de recursos de WindowsServer2003), o consulte "Troubleshooting Windows Server 2003 DNS" (Solucionar de problemas de DNS de Windows Server 2003) en la direccin Web http://www.microsoft.com/windows/reskits/default.asp (en ingls).

Migrar servidores DNS de terceros a DNS de Windows Server 2003

Si se van a migrar servidores DNS que no son de Microsoft a DNS de Windows Server 2003, deben introducirse primero servidores DNS de Windows Server 2003 como servidores secundarios para las zonas superpuestas. Configure una transferencia de zona desde los servidores DNS principales de terceros a los servidores DNS secundarios de Windows Server 2003. Despus de transferir las zonas, asegrese de que no se ha generado ningn error en el proceso de transferencia. Se pueden producir errores durante el proceso de transferencia de zonas si el servidor DNS de Windows Server 2003 no puede reconocer los registros enviados por el servidor DNS de terceros. Modifique los registros de terceros de la zona para que sean compatibles con DNS de Windows Server 2003 o elimnelos para asegurar que la transferencia de zona se lleva a cabo correctamente.

Despus de comprobar que las zonas se han transferido a los servidores DNS de Windows Server 2003, actualice las zonas secundarias a zonas integradas de Active Directory. A continuacin, puede retirar de la red de forma segura los servidores DNS de terceros.

NotaSi se utiliza el archivo de inicio de BIND con el servicio DNS de Windows Server 2003 son aplicables otras limitaciones al uso de ese archivo en el servicio DNS. Por ejemplo, no se admiten algunas directivas de inicio de BIND. Para obtener ms informacin acerca de cmo utilizar los archivos de inicio de BIND con DNS de Windows Server 2003, consulte el vnculo de Microsoft Knowledge Base de la pgina Recursos Web en la direccin http://support.microsoft.com/default.aspx?scid=fh;EN-US;kbhowto&sd=GN&ln=EN-US&FR=1 y busque los artculos Q194513, "The Structure of a Domain Name System Boot File", y Q234144, "DNS Boot File Directives and Configuration for WindowsNT 4.0" (en ingls).

[subir]Disear zonas DNS

Cada tipo de zona que est disponible en DNS de Windows Server 2003tiene un propsito especfico. Para seleccionar el tipo de zona que se debe implementar es necesario determinar el propsito prctico de la misma.

En la figura4.8 se muestra el proceso que es preciso seguir para disear zonas DNS.

Figura4.8Diseo de zonas DNSElegir un tipo de zona

Las zonas deben disearse en correspondencia con la infraestructura de administracin de la red. Si un sitio de la red se administra de forma local, implemente una zona para el subdominio. Si un departamento tiene un subdominio pero no un administrador, mantenga el subdominio en la zona principal. Planee zonas de bsqueda inversa si es necesario y decida si las zonas se almacenarn en Active Directory. En Active Directory, los datos se distribuyen segn un modelo de replicacin multifuncional que ofrece mayor seguridad que el DNS estndar. En Active Directory se pueden almacenar todos los tipos de zonas a excepcin de las zonas secundarias. Al disear las zonas DNS, aloje cada una de ellas en varios servidores DNS.

Decida qu tipo de zona se debe utilizar en funcin de la estructura de dominios. Para cada tipo de zona, con la excepcin de las zonas secundarias, decida si se implementarn zonas basadas en archivos o zonas integradas de Active Directory.

Zonas principales

Implemente zonas principales en correspondencia con los nombres de dominio DNS planeados. No se puede almacenar una copia de la misma zona principal integrada de Active Directory y basada en archivos.

Zonas secundarias

Agregue zonas secundarias si no dispone de una infraestructura de Active Directory. Si no cuenta con esta infraestructura, utilice zonas secundarias en los servidores DNS que no ofrecen servicio como controladores de dominio. Una zona secundaria contiene una copia completa de una zona. Por lo tanto, utilice zonas secundarias para mejorar la disponibilidad de las zonas en sitios remotos si no desea que los datos de zona se repliquen a travs de un vnculo WAN mediante la replicacin de Active Directory.

Es conveniente agregar zonas secundarias para la mayora de las zonas principales, o todas. Este diseo permite disponer de tolerancia a errores, distribucin geogrfica de los hosts de la red y equilibrio de la carga.

Zonas de rutas internas

Una zona de rutas internas es una copia de una zona que slo contiene el registro de recursos de inicio de autoridad (SOA) de la zona original, los registros de recursos de servidor de nombres (NS) en los que se enumeran los servidores con autoridad para la zona y los registros de recursos de adherencia de host (A) necesarios para identificar los servidores con autoridad.

Un servidor DNS que aloje una zona de rutas internas se configuran con la direccin IP del servidor con autoridad desde el que se carga. El servidor puede actualizar manualmente la zona de rutas internas. Cuando un servidor DNS que aloja una zona de rutas internas recibe una consulta de un nombre de equipo de la zona a la que hace referencia la zona de rutas internas, el servidor DNS utiliza la direccin IP para consultar el servidor con autoridad o, si la consulta es iterativa, devuelve una referencia a los servidores DNS enumerados en la zona de rutas internas. Los servidores DNS pueden utilizar zonas de rutas internas para las consultas iterativas y recursivas.

Las zonas de rutas internas se actualizan a intervalos regulares determinados por el intervalo de actualizacin del registro de recursos SOA de la zona de rutas internas. Cuando un servidor DNS carga una zona de rutas internas, consulta los servidores maestros de la zona en busca de los registros de recursos SOA, los registros de recursos NS de la raz de la zona y los registros de recursos A. El servidor DNS intenta actualizar sus registros de recursos al final del intervalo de actualizacin del registro de recursos SOA. Para actualizar sus registros, el servidor DNS consulta los servidores maestros en busca de los registros de recursos enumerados anteriormente.

Las zonas de rutas internas se pueden utilizar para asegurar que el servidor DNS que tiene autoridad para una zona principal recibe automticamente actualizaciones acerca de los servidores de nombres con autoridad para una zona secundaria. Para ello, debe agregarse la zona de rutas internas al servidor que aloja la zona principal. Las zonas de rutas internas pueden estar basadas en archivos o integradas en Active Directory. Si se utilizan zonas de rutas internas integradas en Active Directory se pueden configurar en un equipo y dejar que la replicacin de Active Directory las propague a otros servidores DNS que se ejecuten en controladores de dominio.

Las zonas de rutas internas se pueden utilizar tambin para que los servidores tengan conocimiento de otros espacios de nombres, si bien para este fin es preferible el mtodo de reenvo condicional. Para obtener ms informacin acerca de cmo utilizar las zonas de rutas internas, vea el Centro de ayuda y soporte tcnico de WindowsServer2003.

NotaLas zonas de rutas internas slo se admiten en DNS de Windows Server 2003.

Zonas de bsqueda inversa

Las zonas de bsqueda inversa contienen informacin necesaria para realizar las bsquedas inversas. En estas bsquedas se utiliza la direccin IP del equipo para buscar el nombre DNS correspondiente. Las zonas de bsqueda inversa no son necesarias en las redes Windows ni para la compatibilidad con Active Directory.

Para obtener ms informacin acerca de las zonas de bsqueda inversa, vea el Centro de ayuda y soporte tcnico de WindowsServer2003.

Si en la topologa DNS se incluye Active Directory, utilice zonas integradas de Active Directory. Puesto que la replicacin DNS se lleva a cabo con un servidor principal nico, un servidor DNS principal de una zona DNS principal estndar puede constituir un punto de error nico. En una zona integrada de Active Directory, un servidor DNS principal no puede constituir un punto de error nico, ya que Active Directory utiliza la replicacin multifuncional. Las actualizaciones que se llevan a cabo en un controlador de dominio se replican en todos los controladores de dominio y la informacin de zona de los servidores DNS principales de una zona integrada de Active Directory se replica siempre. Las zonas integradas de Active Directory ofrecen las siguientes ventajas:

Permiten proteger zonas mediante la actualizacin dinmica segura.

Proporcionan mayor tolerancia a errores. Todas las zonas integradas de Active Directory se pueden replicar en todos los controladores de dominio del dominio o bosque de Activ