¡Hasta -30% en todos los libros en línea,
eformaciones y vídeos*! Código: NEURONA30 Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros y videos
  2. Control y seguridad de la red en Windows Server
  3. DNS en Windows
Extrait - Control y seguridad de la red en Windows Server
Extractos del libro
Control y seguridad de la red en Windows Server Volver a la página de compra del libro

DNS en Windows

Introducción al rol DNS

1. Introducción

En un sistema informático, la comunicación se realiza a través de direcciones IP encapsuladas en tramas, cuando se utiliza el protocolo Ethernet, por ejemplo.

No siempre es fácil recordar todas las direcciones IP de las máquinas/servidores de una empresa, sobre todo porque pueden cambiar, por eso es útil utilizar nombres para acceder a un servidor o recurso compartido, por ejemplo.

Aquí es donde entra en juego el servicio DNS, para hacernos la vida más fácil y traducir el nombre introducido (de máquinas o dominio) en una dirección IP de forma transparente.

Windows permite instalar el servicio DNS en cualquier servidor simplemente añadiendo el rol.

Un servidor DNS no se debe confundir con la configuración del cliente DNS de un servidor, tal y como se ha descrito anteriormente.

En este capítulo, exploraremos los conceptos fundamentales del protocolo DNS, las ventajas de utilizar un servidor DNS en un entorno Windows y los pasos iniciales de configuración.

También veremos la importancia del DNS en la implementación de servicios como el correo electrónico, el alojamiento web, las redes corporativas y otros.

2. ¿Qué es el DNS?

En Windows Server, DNS (Domain Name Service) es un rol que proporciona una resolución de nombres eficiente y fiable dentro del entorno de red.

Se introdujo por primera vez en el sistema Windows NT y aún se mantiene en la actualidad.

El sistema DNS funciona creando una correspondencia entre...

Descubrir zonas DNS

1. Introducción

A lo largo de esta sección, aprenderemos conceptos clave como registros DNS, servidores de nombres autoritativos y diferentes métodos de almacenamiento en caché para optimizar el rendimiento de la resolución. Exploraremos los beneficios de implementar zonas DNS primarias, zonas DNS secundarias y condiciones de transferencia de zona y cómo contribuyen a la redundancia y resistencia del sistema DNS.

2. Descripción de las zonas DNS

Las zonas DNS desempeñan un papel esencial como base de datos para la gestión de nombres de dominio y la resolución de direcciones IP en el entorno Windows Server.

Proporcionan a los administradores un control preciso sobre cómo se traducen los nombres de dominio en direcciones IP y viceversa. En Windows Server, existe una gama de tipos de zona DNS para satisfacer requisitos específicos de gestión, rendimiento y redundancia.

En esta presentación, exploraremos los diferentes tipos de zonas DNS y sus funciones dentro de la arquitectura de red.

a. Zona DNS primaria

Una zona DNS primaria contiene la autoridad de resolución de nombres para un dominio específico.

El administrador tiene pleno control sobre los registros DNS de la zona.

Es la principal fuente de información DNS para el dominio.

La zona DNS primaria se utiliza para gestionar registros locales dentro de la organización.

b. Zona...

Configuración de zonas directas e inversas

1. Introducción

Windows Server integra de forma nativa el servicio DNS, ofreciendo una gestión flexible de los nombres de dominio a través del establecimiento de zonas DNS directas. Esta sección detalla el proceso de instalación del rol DNS y la configuración sencilla de múltiples zonas directas, asegurando la resolución de nombres rápida y estructurada que es vital para la red de una empresa. Es importante tener en cuenta que el rol DNS está integrada en Windows Server por defecto y que la plataforma puede soportar una gran variedad de tipos de zonas. La alta disponibilidad, esencial para cualquier red empresarial preocupada por la continuidad del servicio, está garantizada por los mecanismos de transferencia de zona, que se explorarán en la siguiente sección.

2. Instalación de la función DNS

Instalar el rol DNS es el primer paso para habilitar la resolución de nombres en su red. Es rápido y sencillo, y se puede realizar mediante Server Manager o PowerShell.

Le recomendamos que configure el servidor que alojará los roles DNS como una IP fija.

Vamos a utilizar un nuevo servidor Windows, miembro del dominio eni.local, llamado srv-net-1. También puede utilizar un servidor independiente, si lo prefiere. En cualquier caso, no será el servidor que aloje la zona DNS del dominio Active Directory.

 Abra el Administrador del servidor, haga clic en Agregar un rol y elija DNS.

 Marque el rol Servidor DNS, haga clic en Agregar características y luego en Siguiente.

images/Cap5_Pag13.PNG

 Haga clic dos veces en Siguiente.

images/Cap5_Pag13_2.PNG

 A continuación, haga clic en Instalar. Una vez finalizada la instalación, cierre la ventana del asistente.

images/Cap5_Pag14.PNG

3. Configuración de zonas directas

Tras instalar el rol DNS, el siguiente paso es configurar zonas directas. Estas zonas son bases de datos para dominios específicos que contienen registros DNS, que asignan nombres de host a direcciones IP. He aquí cómo hacerlo:

 Para acceder a la consola DNS, abra el gestor DNS desde el Administrador del servidor o mediante el acceso directo dnsmgmt.msc.

images/Cap5_Pag14_2.PNG

 Para crear una nueva zona, haga clic con el botón derecho del ratón en Zonas de búsqueda directa y seleccione Zona nueva... para iniciar el asistente de creación de zonas.

images/Cap5_Pag15.PNG

Selección...

Configuración de la transferencia de zona

La transferencia de zona es un mecanismo fundamental en la gestión de DNS, que permite replicar la base de datos DNS en varios servidores. Esta operación es esencial no sólo para asegurar la redundancia y fiabilidad de la información DNS, sino también para garantizar que se actualiza de forma regular y consistente en toda la red. En esta sección, veremos cómo configurar y gestionar eficazmente la transferencia de zonas en Windows Server, un proceso clave para mantener la integridad y el rendimiento de su infraestructura DNS.

1. Gestión de transferencia de zona

En un entorno Active Directory, la transferencia automática de zonas DNS entre controladores de dominio Active Directory está activada por defecto. Esta configuración promueve el intercambio eficiente y la replicación de la información de nombres de dominio a través de la red. Sin embargo, es importante tener en cuenta que cada servidor gestiona su propia zona DNS, que es independiente de las demás.

Por defecto, estas zonas se almacenan localmente, normalmente en la carpeta C:\Windows\DNS.

Es fundamental entender que la posibilidad de transferir o no una zona DNS, ya sea directa o inversa, es configurable individualmente. No existe un parámetro global que regule la transferencia para todas las zonas.

De esta forma, los administradores tienen la flexibilidad de elegir impedir la transferencia de una zona DNS específica o restringir esta transferencia sólo a determinados servidores.

Esta granularidad de la configuración proporciona un mayor control sobre la gestión de zonas DNS, optimizando la seguridad y la eficiencia de la red.

Esta sección explora en detalle cómo configurar y gestionar la transferencia de zonas en un entorno Windows Server, con especial énfasis en las mejores prácticas y los escollos a evitar para mantener la integridad y el rendimiento de la infraestructura DNS.

2. Configuración de la transferencia de zona

Configurar...

Configuración de la reenvío DNS

1. Resumen de reenviadores DNS

Un reenviador se utiliza para redirigir peticiones DNS a otros servidores cuando el servidor actual no conoce la zona solicitada. Hay dos tipos principales de reenviador:

  • El reenviador condicional: este tipo de reenviador especifica un servidor de nombres para un espacio de nombres determinado. Se utiliza para dirigir las consultas a una zona DNS específica, lo que permite una gestión específica de las consultas para dominios concretos.

  • El reenviador simple o por defecto: este reenviador se utiliza para todas las consultas cuyas zonas no se gestionan localmente en el servidor. Normalmente, redirige estas solicitudes a un servidor DNS externo, como un proxy o un servidor DNS público, para su resolución global.

Estas configuraciones de redirección permiten una gestión eficaz y racionalizada de las consultas DNS dentro de una red, garantizando que cada consulta encuentre su destino adecuado, ya sea internamente para zonas DNS específicas o externamente para consultas no resueltas localmente.

2. Configuración condicional del reenviador

En un entorno Windows Server que ejecuta Active Directory, a menudo se utiliza un reenviador condicional para dirigir solicitudes a un dominio alojado en un sistema diferente, como un servidor Linux. Por ejemplo, para llegar a dominios como linux.eni.local o aplicacion.eni.local, el reenviador condicional es apropiado....

Configuración de la delegación DNS

1. Introducción

La delegación DNS es un proceso que permite a un servidor DNS delegar la gestión de una subzona o incluso de varias subzonas, a otro servidor. Este método es similar a la configuración de un forwarder (reenviador) que vimos anteriormente, con una diferencia notable: la subzona delegada sigue siendo parte integrante de la zona padre, pero es gestionada de forma autónoma por el servidor delegado.

A diferencia de las zonas secundarias o stub, en las que el servidor principal conserva algún tipo de control o copia de seguridad, en el caso de la delegación, el servidor titular de la zona padre no tiene permisos de gestión o copia de seguridad sobre la subzona delegada.

Esta configuración permite una gestión más precisa e independiente de las diferentes secciones de un dominio DNS.

2. Configuración de la delegación de zonas

Desde el servidor secundario srv-net-1, vamos a crear una zona DNS principal web.eni.local. Esta zona será un subdominio de nuestra zona eni.local.

 Abra el Administrador de DNS y haga clic con el botón derecho del ratón en Zonas de búsqueda directa.

Si está utilizando el mismo servidor para los ejercicios anteriores, asegúrese de comprobar si existen zonas y elimínelas si es necesario.

images/Cap5_Pag58.PNG

 Seleccione Zona principal y haga clic en Siguiente.

images/Cap5_Pag58_2.PNG

 Introduzca el nombre de su zona, que debe respetar la nomenclatura padre-hijo, en nuestro caso web.eni.local. A continuación, haga clic en Siguiente

images/Cap5_Pag59.PNG

 Mantenga el nombre de archivo predeterminado y haga clic en Siguiente.

images/Cap5_Pag59_2.PNG

 Deje la opción de actualización en Manual, haga clic en Siguiente y luego en Finalizar.

images/Cap5_Pag60.PNG

Se crea nuestra zona de subdominio.

images/Cap5_Pag60_2.PNG

 Cree un registro de prueba en esta zona con una dirección IP ficticia.

En nuestro ejemplo, hemos creado test.

images/Cap5_Pag60_3.PNG

 Vuelva al servidor S-DC.

Por razones prácticas, hemos añadido los dos servidores para que puedan ser gestionados desde la misma consola DNS. Para ello, haga clic con el botón derecho del ratón en DNS y elija Establecer conexión con el servidor DNS.

 Haga clic con el botón derecho del ratón en la zona principal, eni.local, y seleccione Delegación nueva.

images/Cap5_Pag61.PNG

 Introduzca el nombre del subdominio, sólo...

Gestión de DNS con PowerShell

1. Introducción

Como hemos explorado anteriormente a través de la interfaz gráfica, también se pueden realizar diversas manipulaciones del sistema DNS mediante líneas de comandos, ya sea a través de CMD o PowerShell.

Este enfoque es especialmente ventajoso para el procesamiento por lotes o para realizar acciones complejas de búsqueda y filtrado. Aunque el uso de la interfaz gráfica para crear configuraciones DNS suele ser más intuitivo y menos propenso a errores, especialmente para tareas que se repiten con poca frecuencia, la automatización y la ejecución de secuencias de comandos a través de la línea de comandos son muy recomendables por su eficacia y flexibilidad.

Existe una variedad de comandos CMD históricos, así como comandos PowerShell, para interactuar con DNS.

En esta sección, nos centraremos en los comandos más utilizados y relevantes, aunque no es posible abarcar toda la gama de comandos disponibles.

2. El comando nslookup

nslookup es una herramienta de línea de comandos, esencial para consultar servidores DNS y obtener información detallada sobre dominios y direcciones IP. Disponible tanto para Windows como para Unix, se puede ejecutar desde el símbolo del sistema estándar o a través de PowerShell, lo que ofrece una gran flexibilidad. nslookup se utiliza con frecuencia para diagnosticar y solucionar problemas relacionados con DNS, ya que permite recuperar información precisa sobre varios tipos de registros DNS.

Esta herramienta es una de las más fundamentales en la caja de herramientas de gestión de DNS, gracias a su capacidad para proporcionar rápidamente información esencial. Tanto si se trata de solucionar problemas de conectividad de red como de comprobar la configuración de los registros DNS, es un aliado indispensable. Echemos un vistazo a algunos de sus usos más comunes y veamos cómo se puede aprovechar para una gestión eficaz del DNS.

Búsqueda básica de direcciones IP

Buscar la dirección IP asociada a un nombre de dominio.

nslookup eni.es

Búsqueda de registros MX

Obtener los registros del servidor de correo (MX) para un dominio específico.

nslookup -type=MX eni.local

Búsqueda inversa

nslookup es capaz de encontrar el nombre de un host...

Supervisión de los servicios de red con IPAM

1. ¿Qué es el IPAM?

IPAM, o IP Address Management, es una función integrada en Windows Server que proporciona una forma de administrar y supervisar la red corporativa y, en concreto, determinados servicios. Se introdujo por primera vez en Windows Server 2012.

El rol IPAM ayuda al equipo de informática a gestionar servicios de red como DHCP y DNS, que acabamos de ver. En efecto, este rol es una especie de herramienta para los administradores de red, que proporciona una mejor visibilidad del estado de la red.

Estas son sus principales características:

  • Gestión de rangos de direcciones IP: IPAM permite a los administradores planificar, supervisar y gestionar los rangos de direcciones IP utilizados en su red.

  • Seguimiento de la utilización de las direcciones IP: IPAM permite saber quién utiliza una dirección IP en un momento dado, gracias a un sistema de inventario. Para un ámbito DHCP, también puede averiguar el porcentaje de uso de las direcciones IP disponibles en el rango (sobreutilización, infrautilización) y la tendencia en el tiempo (historial y previsión). IPAM incorpora funciones de elaboración de informes.

  • Auditoría de cambios de configuración: IPAM registra los cambios realizados en la configuración de los servidores DHCP y permite a los administradores supervisar los cambios.

  • Gestión DHCP y DNS: IPAM incluye funciones para la gestión de los servicios DHCP y DNS, convirtiéndose en una alternativa a las consolas tradicionales para visualizar las concesiones DHCP activas, crear una reserva DHCP, configurar la conmutación por error DHCP, visualizar los registros DNS de una zona, etc.

2. Instalación del rol IPAM en Windows Server

El rol IPAM no se debe instalar en un servidor que ya tenga el rol de servidor DHCP. Debe utilizar un servidor virtual dedicado a este fin, que llamará a los servidores DNS, DHCP, NPS y controladores de dominio de su infraestructura, ya que estos son los roles/servicios con los que IPAM puede interactuar.

En una máquina Windows Server, en este caso Windows Server 2022 para esta demostración, el rol se puede instalar utilizando la interfaz gráfica del sistema a través de Administrador del servidor, así como utilizando comandos PowerShell.

El rol IPAM se configurará...