Zona DNS Integrada en Directorio Activo (AD DS) + GUI

Con este artículo pretendo explicar los conceptos básicos de un Servidor DNS, las características de una Zona DNS Integrada en el Directorio Activo y las novedades que tenemos en Windows Server 2016.

 

Conceptos Básicos:

Las siglas DNS responden al nombre de Domain Name System, su labor primordial consiste en resolver las peticiones de asignación de nombres. Es una tecnología basada en una base de datos que sirve para  resolver nombres de dominio en las redes, mediante un sistema estructurado en árbol.

Tipos de registros DNS más utilizados:

  • A =(address). Este registro se usa para traducir nombres de servidores de alojamiento a direcciones IPv4.
  • AAAA =(address). Este registro se usa en IPv6 para traducir nombres de hosts a direcciones IPv6.
  • PTR =(pointer). Conocido como ‘registro inverso’, funciona a la inversa del registro A, traduciendo IPs en nombres de dominio. Se usa en el archivo de configuración de la zona DNS inversa.
  • CNAME =(canonical Name). Se usa para crear nombres de servidores de alojamiento adicionales, o alias, para los servidores de alojamiento de un dominio. Es usado cuando se están corriendo múltiples servicios en un servidor con una sola dirección IP.
  • NS =(name server). Define la asociación que existe entre un nombre de dominio y los servidores de nombres que almacenan la información de dicho dominio. Cada dominio se puede asociar a una cantidad cualquiera de servidores de nombres.
  • MX =(mail exchange). Asocia un nombre de dominio a una lista de servidores de intercambio de correo para ese dominio. Tiene un balanceo de carga y prioridad para el uso de uno o más servicios de correo.
  • SOA =(Start of Authority). Es único para cada zona y especifica los parámetros de configuración de la zona. Especifica los servidores DNS autoritarios de la zona (servidores que guardan una copia de la zona DNS). Parámetros e intervalos de configuración.
  • SRV: Devuelve información técnica sobre el servidor (ya no es información pública). Actualmente, los registros SRV nos permiten localizar servicios como un Controlador de Dominio o un servidor de autenticación en la red. 
  • ANY = Toda la información de todos los tipos que exista. (No es un tipo de registro, sino un tipo de consulta)

Características de una Zona.

Una zona almacena información de nombres y registros.

En Microsoft tenemos 2:

  1. Integrada en directorio activo:
    • Se guarda en la base de datos del directorio activo (ntds.dit).
    • Se replica automáticamente a todos los controladores de dominio del dominio por lo que podremos tender redundancia sin configurar nada.
    • Permite configurar actualizaciones dinámicas como «seguras» y «no seguras».
    • La información de la zona se replica encriptada.
    • Backup: Podemos hacer un backup de tipo System State en el controlador de dominio. Este backup guarda el archivo ntds.dit que contiene la base de datos de Directorio Activo y las zonas integradas en AD. También podemos usar «dnscmd /ExportZone».
  2. No integrada en AD:
    • Se guarda en un archivo en plano.
    • No se replica por defecto
    • Sólo podemos configurar las actualizaciones dinámicas como «Todas» o «Ninguna».

Novedades implementadas en Windows Server 2016:

 

Directivas DNS. Se usan para especificar cómo un servidor DNS responde a las consultas DNS.

Equilibrar la carga de tráfico y asignarla dinámicamente.

Administración de tráfico en función de la ubicación geográfica: Permite que los servidores DNS principal y secundario respondan a las consultas del cliente DNS según la ubicación geográfica del cliente y el recurso al que intenta conectarse.

 Split-Brain: Los registros DNS se dividen en distintos ámbitos de zona en el mismo servidor DNS y los clientes DNS reciben una respuesta en función de si  son internos o externos. Vale tanto para las zonas integradas de Active Directory o para las zonas en los servidores DNS independientes.

 Filtrado: Crear filtros de consulta que se basan en los criterios que proporciones. Te permiten configurar el servidor DNS para responder de manera personalizada, en función de la consulta DNS y el cliente DNS que envía la consulta.

 Análisis: Redirigir a malintencionados clientes DNS a una dirección IP no-existente en lugar de dirigirlos al equipo que está intentando llegar.

 Hora del día en función de redirección: Distribuir el tráfico de la aplicación en diferentes instancias geográficamente de una aplicación mediante las directivas DNS que se basan en el momento del día. Respuestas de DNS inteligentes en función de la hora del día.

Limitación (RRL) de la velocidad de respuesta. Podemos habilitar la limitación de velocidad de respuesta en los servidores DNS, para evitar ataques de denegación de servicio. Controlando cómo responder a las solicitudes de un cliente DNS cuando el servidor recibe varias solicitudes de selección del destino al mismo cliente.

Autenticación basada en DNS de entidades con nombre (DANE). Puedes usar los registros TLSA (autenticación de seguridad de capa de transporte) para proporcionar información a los clientes DNS que se espera un certificado. Esto impide que los ataques de man-in-the-middle donde alguien podría dañar la caché para apuntar a su propio sitio Web y proporcionar un certificado que emitieron por una CA diferentes.

Compatibilidad con el registro desconocido. Puedes agregar los registros que no se admiten explícitamente en el servidor DNS de Windows mediante la funcionalidad de registro desconocido.

Sugerencias de raíz IPv6. Puedes usar el IPV6 nativo, que admite sugerencias de raíz para realizar la resolución de nombres de internet con los servidores de raíz IPV6.

Nuevos cmdlets de PowerShell.

Autor/a: José Ángel García Sánchez

Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & infrastructure

Centro: Tajamar

Año académico: 2017-2018

Linkedin

Blog: it-skills.es

 

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.