Qué es un servidor DNS y sus direcciones: de la teoría al ajuste. ¿Qué es un servidor DNS, cómo averiguar la dirección de su proveedor preferido, reemplazarlo con el DNS público de Google u opciones alternativas de DNS adicional?

DNS (o también conocido como Sistema de nombres de dominio) es un sistema que relaciona nombres de dominio como Google.com o Yandex.ru con las direcciones IP correctas. Este sistema es una base de datos de nombres de dominio y direcciones IP. Se utiliza para mantener un directorio de nombres de dominio y ayuda a resolver esos nombres de dominio en direcciones IP correctas.

Los nombres de dominio son direcciones legibles por humanos que utilizamos todos los días. Por ejemplo, Nombre de dominio Yandex - yandes.ru. Si desea visitar el sitio web de Yandex, simplemente ingrese yandex.ru en la barra de direcciones de su navegador web.

Pero su computadora no sabe dónde se encuentra "yandex.ru". Detrás de escena, su computadora se comunicará con los servidores DNS y preguntará qué dirección IP está asociada con yandex.ru.

Luego se conectará a ese servidor web, descargará el contenido y lo mostrará en su navegador web.

En este caso, yandex.ru se encuentra en la dirección IP 77.88.55.70 en Internet. Puede ingresar esta dirección IP en su navegador web para visitar el sitio web de Yandex. Sin embargo, en lugar de 77.88.55.70 utilizamos "yandex.ru" porque es más fácil de recordar.

Sin DNS, no se podrá acceder a toda Internet. Nos remontaremos a una época anterior a que naciera Internet. Y su computadora solo puede usarse para crear documentos o jugar juegos sin conexión.

Por supuesto, esta es solo una explicación simple, de hecho, es un poco complicada. por conseguir información adicional, Te recomiendo que leas este artículo o veas el vídeo a continuación.

Diferentes proveedores de servicios de Internet (ISP) utilizan diferentes servidores DNS. De forma predeterminada, a menos que haya configurado servidores DNS específicos en su computadora (o enrutador), se utilizarán los servidores DNS predeterminados de su ISP.

Si estos servidores DNS son inestables, es posible que esté experimentando algunos problemas al utilizar Internet en su computadora. Por ejemplo, no puede cargar sitios web por completo o no tiene acceso a Internet. Para evitar no deseados errores de DNS, cambie a servidores DNS públicos como Google DNS y OpenDNS.

A continuación se muestran algunos errores comunes relacionados con DNS que puede examinar:

• Se corrigió el error de búsqueda de DNS en Google Chrome
• Cómo solucionar el error Err_Connection_Timed_Out
• Cómo solucionar el error Err_Connection_Refused
• Solucionar el error Dns_Probe_Finished_Nxdomain
• Reparar el servidor DNS que no responde en Windows

Puede corregir estos errores cambiando a servidores DNS de terceros en la lista a continuación.

Beneficios de utilizar servidores DNS públicos

Puede preguntar si su ISP tiene servidores DNS predeterminados, ¿por qué necesita estos servidores DNS públicos? Estas son las razones por las que debería utilizar estos servidores DNS alternativos:

• Algunos servidores DNS predeterminados no son lo suficientemente rápidos y, a veces, se agotan. Sin embargo, su conexión a Internet no es estable. Cambiar a estos servidores DNS más rápidos le ayudará a mejorar su velocidad de Internet.
• El uso de estos servidores DNS públicos ayudará a mejorar la estabilidad.
• Algunos servidores DNS de terceros tienen funciones de seguridad y filtrado. Estas funciones le ayudarán a proteger su computadora de ataques de phishing.
• Esto le ayudará a superar las restricciones de contenido geográfico y las inspecciones web. Por ejemplo, puedes ver fácilmente un vídeo de YouTube cuando dice: "Este vídeo no está disponible en tu país".

Lista de los 10 mejores servidores DNS públicos

Después de leer la explicación de qué es un servidor DNS, los servidores DNS de terceros son útiles; consulte la lista a continuación. Esta es una lista de los 10 mejores servidores DNS de terceros:

1. Servidor DNS público de Google

Este es uno de los servidores DNS más rápidos que muchos usuarios utilizan en sus computadoras. Al utilizar los servidores DNS de Google, disfrutarás de una mayor seguridad y una mejor experiencia en tu computadora.

Para utilizar los servidores DNS públicos de Google, configure los ajustes de su red con las siguientes direcciones IP:

8.8.8.8 como servidor DNS preferido

8.8.4.4 como su servidor DNS alternativo

2.DNS abierto

Además de los servidores DNS de Google, OpenDNS es uno de los mejores servidores DNS en la nube. Esto ayudará a proteger su computadora de ataques maliciosos.

Para usar OpenDNS, configuremos los ajustes de su red con las siguientes direcciones IP:

208.67.222.222

208.67.222.220

OpenDNS también ofrece dos soluciones gratuitas para clientes privados: OpenDNS Family Shield y OpenDNS Home.

La familia OpenDNS Shield viene preconfigurada para bloquear contenido para adultos. Para usarlo, necesita configurar diferentes servidores DNS con las siguientes direcciones IP en su configuración de red.

Servidor DNS preferido: 208.67.222.123

Servidor DNS alternativo: 208.67.220.123

Mientras tanto, OpenDNS Home viene con protección personalizada contra robo y phishing.

3. Norton ConnectSafe

Norton ofrece no sólo programas antivirus y software de seguridad de Internet. También ofrece un servicio de servidor DNS llamado Norton ConnectSafe. Este servicio DNS en la nube le ayudará a proteger su computadora de sitios de phishing.

Norton ConnectSafe viene con tres políticas de filtrado de contenido predefinidas. Esto es seguridad, seguridad + Pornografía y seguridad + Pornografía + otros.

Puede echar un vistazo a la imagen a continuación para obtener más información sobre cada política predefinida. Visita para más información.

4. DNS seguro de Comodo

Comodo Secure DNS es un servicio de servidor de nombres de dominio que resuelve sus consultas de DNS a través de múltiples servidores DNS globales. Proporciona una experiencia de Internet mucho más rápida y mejor que utilizar los servidores DNS estándar proporcionados por su ISP.

Si desea utilizar Comodo Secure DNS, no necesita instalar ningún hardware ni software. Simplemente cambie sus servidores DNS primario y secundario a 8.26.56.26 y 8.20.247.20.

5. Nivel 3

Level3 es el próximo gratuito servicio DNS en esta lista. Opera en comunicaciones de capa 3. Para aprovechar esto servicio gratuito, simplemente configure los ajustes de su red usando las siguientes direcciones IP DNS:

209.244.0.3

208.244.0.4

Visita para más detalles.

6. Ventaja del DNS

Es uno de los servidores DNS más rápidos que proporciona Mejor presentación cuando se trabaja en Internet. Esto le ayudará a cargar sitios de forma más rápida y segura. Para utilizar DNS Advantage, configure sus servidores DNS preferidos/alternativos con los siguientes detalles:

156.154.70.1

156.154.71.1

7.NIC abierta

Como muchos otros servidores DNS anteriores, OpenNIC es una buena alternativa para reemplazar sus servidores DNS predeterminados. Esto protegerá su computadora del gobierno y protegerá su privacidad. Para utilizar este servicio DNS, configure sus servidores DNS preferidos y alternativos de la siguiente manera:

46.151.208.154

128.199.248.105

Para encontrar servidores DNS más confiables.

8. decano

Dyn es el siguiente mejor servidor DNS gratuito de terceros de la lista. Proporciona una experiencia de navegación increíble y protege su información de la mayoría de los ataques de phishing. Configure sus ajustes de red con las siguientes direcciones IP DNS para usar el servidor Dyn DNS.

216.146.35.35

216.146.36.36

9. DNS seguro

SafeDNS es otro servicio DNS basado en la nube. Esto le ayudará a proteger su computadora y también le brindará una mejor experiencia de navegación web. Para utilizar SafeDNS, utilice la siguiente información de DNS a continuación:

195.46.39.39

195.46.39.40

Acerca de los servicios DNS gratuitos y premium de SafeDNS.

10. DNS.Watch

DNS.Watch es el último servicio DNS público gratuito de esta lista. Proporciona una experiencia de navegación web sin censura, rápida y confiable de forma gratuita. Para configurar su PC o enrutador con "DNS.Watch", utilice las dos direcciones IP DNS a continuación:

84.200.69.80

84.200.70.40

A veces, si no puede navegar por la web correctamente, puede intentar cambiar los servidores DNS predeterminados de su computadora o enrutador a estos servidores DNS. Esto le proporcionará una mejor experiencia de navegación web y también le protegerá de posibles ataques.

¿No sabes cómo cambiar los servidores DNS en Windows, Mac o Android? Acabo de leer .

¡Saludos! Hoy discutiremos todo. puntos importantes sobre el servidor DNS. Desde qué es hasta configurar y elegir DNS alternativos... ¡Tomemos asiento y no olvidemos abrocharnos el cinturón!

Si tiene alguna pregunta o tiene algo que agregar, POR FAVOR escriba en los comentarios de este artículo. ¡Nos serás de gran ayuda tanto para nosotros como para otros lectores!

¿Qué es DNS?

Empecemos con una teoría lejana. Para aquellos que no estén interesados, vayan al capítulo deseado a continuación; todas las configuraciones y opciones estarán allí. Y aquí hablaremos del fenómeno DNS en sí.

DNS – Sistema de nombres de dominio – sistema de nombres de dominio

¿Tienes miedo? Intentemos confundirlo aún más... es decir. desenmarañar. Vayamos punto por punto:

1. Mientras utiliza Internet, escribe el nombre de un sitio en la ventana de su navegador. Por ejemplo, GUGL.FU (que nos perdonen y además nos den tráfico).
2. En las redes, todo el direccionamiento se produce a través de direcciones IP. Aquellos. El hardware puede buscar rutas sólo por números. Por ejemplo, 7.7.7.7. Pero es un inconveniente para los usuarios recordar estos números (recuerde al menos los números de 50 de sus contactos desde su teléfono).
3. Y aquí está la analogía con el teléfono. No es necesario que sepas los números, pero recuerdas aproximadamente los nombres. Aquellos. ingresa un nombre en el teléfono y la llamada se dirige al número. Lo mismo ocurre en Internet: ingresa un nombre simbólico (nombre de dominio) y el navegador, sin pasar por sus ojos, busca el sitio deseado por dirección IP.

El servidor DNS es responsable de convertir el nombre de dominio en una dirección IP. Recibe letras, da números.

Para verificar esta transformación, puede hacer ping a cualquier sitio:

El dominio ya.ru tiene una IP actual de 87.250.250.242

Servidores - teoría

No profundizaremos demasiado en la arquitectura de los servidores DNS, pero para una comprensión general vale la pena saberlo:

1. Hay muchos de ellos; no existe uno correcto; por regla general, obtienes un proveedor de DNS, pero esta no siempre es la mejor solución.
2. Tienen una estructura anidada: raíz, países, proveedores, enrutadores (de manera muy aproximada). En el sentido de que todos los DNS heredan información entre sí, y si algo no está en el actual, la solicitud se enviará más arriba.
3. Tienen una dirección IP: la tocas y ya te proporciona las direcciones IP necesarias de los sitios.

Como regla general, después de conectarse a Internet, si no hace nada con la configuración, recibirá DNS de su ISP.

¿Cómo saber el actual?

Antes de continuar con la instalación, es posible que necesite averiguar el servidor DNS actual. Para evitar más preguntas, te mostraré cómo hacerlo rápidamente:

1. Necesitamos abrir la línea de comando (hay otras opciones de apertura, puedes buscarlas en Google). Presione las teclas Ganar+R(Se abre la utilidad "Ejecutar", ingrese en ella cmd

1. Ingresar búsquedan

En mi caso, el DNS actual es 192.168.0.1. Para usuarios avanzados, esta es la dirección del enrutador. Todas las solicitudes se dirigen a él y las envía más (actualmente se está ejecutando Google DNS en él).

Proveedor

Puede eliminar la referencia a sitios a través de su proveedor, pero esto no siempre funciona como se esperaba. Para un usuario doméstico normal, todo puede pasar desapercibido durante el resto de su vida, pero si trabaja muy de cerca con Internet, los problemas pueden surgir inesperadamente. Mis tesis sobre servidores proveedores:

1. La estabilidad deja mucho que desear, en el sentido de que una vez al año el palo se dispara, y aquí una vez cada dos años sus servidores fallan, los sitios no se abren correctamente. Un momento desagradable, un usuario doméstico podría pensar que Internet se ha caído y el problema está enterrado en la superficie. Para algunos, caerse una vez cada dos años es suficiente para ser felices.
2. Restricciones territoriales: algún sitio será prohibido en el DNS y se perderá el cadáver. De hecho, ahora la gente rara vez prohíbe algo a través de él, pero, por cierto, había precedentes de esto.
3. Actualizaciones de zona lentas (para mí este es el punto más importante). Los servidores de los proveedores se actualizan muy lentamente. El propietario del sitio cambió su servidor (quería pasar a un hardware más potente), cambió su configuración de DNS a una nueva dirección IP y dicha información solo puede llegar a un usuario de la región después de un par de días. Y llamará a una dirección inexistente, recibirá un sitio inaccesible o un sitio con una violación de los certificados de seguridad y un mar de otros problemas.

En resumen, todo funciona, a veces durante mucho tiempo y bien, pero hay desventajas que se pueden reemplazar fácilmente con DNS alternativos.

DNS alternativo

EN configuración de Windows, que veremos a continuación, hay un campo con un DNS alternativo. Entonces, en ese caso estamos hablando acerca de casi la dirección del servidor DNS de respaldo si el principal no está disponible. En este mismo capítulo “alternativa” sólo significa que no es emitida por el proveedor.

A continuación se muestra una tabla de los principales DNS actuales:

Servicio	DNS 1	DNS 2
DNS público de Google	8.8.8.8 2001:4860:4860::8888 (IPv6)	8.8.4.4 2001:4860:4860::8844 (IPv6)
Abrir DNS	208.67.222.222	208.67.220.220
yandex	77.88.8.8 77.88.8.88 (sin sitios fraudulentos) 77.88.8.7 (sin sitios para adultos)	77.88.8.1 77.88.8.2 (sin sitios fraudulentos) 77.88.8.3 (sin sitios para adultos)
VIGILANCIA DNS	82.200.69.80	84.200.70.40
Norton Conectar Seguro	198.153.192.1 198.153.192.40 (solo sitios seguros) 198.153.192.50 (sin porno) 198.153.192.60 (seguridad total)	198.153.194.1 198.153.194.40 (solo sitios seguros) 198.153.194.50 (sin porno) 198.153.194.60 (seguridad total)
DNS de nivel 3	209.244.0.3 4.2.2.1 4.2.2.3	209.244.0.4 4.2.2.2 4.2.2.4
DNS seguro de Comodo	8.26.56.26	8.20.247.20
Abrir DNS de NIC	Escoge de la lista https://servers.opennic.org	Escoge de la lista https://servers.opennic.org

Revisaré cada uno brevemente:

• DNS público de Google: lo uso yo mismo y lo recomiendo hasta que esté prohibido. Funciona a las mil maravillas y se actualiza rápidamente. Las direcciones son fáciles de recordar: "ochos". También existen versiones IPv6.
• Open DNS es el segundo servicio más popular. Lo usé por un tiempo y no noté mucha diferencia con Google. Funciona y oh bien.
• Yandex: como beneficio adicional, hay servidores adicionales con filtros de sitios, sin sitios fraudulentos ni de phishing conocidos, y sin sitios para adultos, simplemente no se abren. Una especie de control parental.
• El resto también está trabajando. No veo ningún sentido en describirlo, será agua acuosa. Para la casa basta con el primero, y si es necesario, el segundo. El resto es excedente para los técnicos especialistas. Desafortunadamente o afortunadamente, nuestro WiFiGid no es para especialistas.

Ajustes

Ahora te mostraré dónde insertar estas direcciones para que todo funcione como un costoso reloj suizo.

1. Vaya al "Centro de redes y recursos compartidos" (Windows 7) o "Configuración de red e Internet" (Windows 10). Puede hacer esto haciendo clic derecho en el ícono de red y seleccionando este elemento:

1. A continuación, "Configurar los ajustes del adaptador" (o "Cambiar los ajustes del adaptador"):

1. Y aquí ya estamos buscando nuestro adaptador, a través del cual nos conectamos a la red, hacemos clic derecho - "Propiedades" y hacemos todo como en el diagrama:

Aquí configuro las direcciones de Google: primera y segunda (primera y segunda columnas de la tabla anterior, respectivamente). Puede hacer lo mismo o experimentar con otros servicios.

Estas acciones se realizan de forma idéntica en los quirófanos. sistemas windows 7, Windows 8, Windows 10.

Esto se puede hacer en todos los dispositivos, incluidos los teléfonos (consulte las instrucciones para configurar DNS para su modelo). Un ejemplo que se puede hacer:

Es mejor hacer todo de inmediato en el enrutador en la configuración del servidor DHCP (que distribuye configuración de la red a los dispositivos conectados). Luego, todos los dispositivos conectados a él pasarán inmediatamente por servidores normales. Usando TP-Link como ejemplo, busque la configuración para su modelo a través de la búsqueda en nuestro sitio web:

Algunos programas, aplicaciones y dispositivos móviles en sus configuraciones solicitan el campo Dirección DNS; las direcciones IP de la tabla anterior también son adecuadas.

Posibles errores

No hay forma de enumerar todos los posibles errores asociados con errores de DNS; puede buscarlos por nombre en nuestro sitio web; de hecho, hemos clasificado los principales. Pero la esencia de resolver cualquiera de ellos es muy sencilla:

1. Reiniciamos el enrutador y la computadora, computadora portátil y teléfono; intentamos nuevamente obtener la configuración de red.
2. Mientras todo se reinicia, revisamos los cables para ver si todo funciona correctamente, si hay alguna rotura por algún lado.
3. Si no ayuda, ingrese las direcciones DNS manualmente como en la sección anterior.
4. Si esto no ayuda, hay un error en algún lugar del lado del proveedor o en el sitio mismo (ese mismo posible movimiento). Si no se abre nada, por si acaso, intentamos desactivar antivirus, firewalls, proxies, VPN y otro software que utilice la red.

Si todo está realmente mal y no has encontrado nada, ¡escribe un comentario a continuación!

¿Quiere poner a prueba rápidamente los conocimientos de su administrador de sistemas? Pídale la dirección IP pública de DNS de Google. Cualquier administrador de sistemas que se precie responderá: "8.8.8.8", y uno avanzado agregará "... y 8.8.4.4".

Qué ha pasadoDNS?

DNS es un acrónimo de Sistema de nombres de dominio. Traducido como sistema de nombres de dominio, es un sistema que hace coincidir un nombre de dominio y la dirección IP de un host. Entonces, conociendo el nombre del host, puedes obtener su dirección y viceversa. ¿Para qué sirve? World Wide Web Internet está diseñado de tal manera que cada dispositivo (computadora, teléfono, tableta, enrutador) tiene su propia dirección única (de hecho, las direcciones pueden repetirse si hablamos de diferentes redes LAN, pero en este artículo estamos hablando de red global y no entraremos en detalles sobre NAT, PAT y enrutamiento), y puede acceder a este dispositivo solo conociendo su dirección en la red. Al trabajar en Internet, accedemos a decenas de sitios todos los días. Sería difícil recordar todas sus direcciones, que consisten en una secuencia de números y puntos, por ejemplo, ¿qué es más fácil de recordar 77.222.61.238 o integrus.compumur.ru? Por supuesto, el segundo. Y el sistema de nombres de dominio recordará la dirección por usted.

DNS está disponible en cada computadora, en cada red y en cada proveedor; además, tiene una forma jerárquica y en el caso de que el sistema de nombres de dominio no pueda determinar la dirección del recurso solicitado a partir del nombre de dominio, pasa la solicitud a un servidor DNS de nivel superior. La solicitud se puede transmitir hasta uno de los 13 servidores DNS raíz “más importantes del mundo”.

¿Cómo instalar un servidor DNS?

El servidor puede realizar varias funciones, puede actuar como un catálogo global, almacenar información de archivos, trabajar con bases de datos y trabajar con varios usuarios simultáneamente. Dependiendo del propósito del servidor, se instalan roles en él: un conjunto especial de programas que permiten al servidor realizar las funciones necesarias.

Cómo instalar un rol¿Servidores DNS? Realizaremos la instalación en Servidor de windows 2012 R2.

La mayoría de las veces, la función del servidor DNS se instala con un controlador de dominio. Pero si durante la instalación Directorio Activo Si desmarcó la casilla de verificación "Servidor DNS", o simplemente no se necesita AD, entonces solo necesita instalar el servidor DNS. Para hacer esto, vaya al Administrador del servidor y haga clic en el botón "Agregar funciones y características".

Se abre la ventana del Asistente para agregar funciones y funciones. Lea el texto introductorio del asistente y haga clic en Siguiente.

Asegúrese de que Instalar funciones y características esté seleccionado y haga clic en Siguiente.

Seleccione un servidor del grupo de servidores. En nuestro caso solo hay un servidor, es posible que tengas más.

Seleccione Función Servidor DNS.

Al marcar la casilla requerida, veremos aparecer la ventana "Asistente para agregar funciones y componentes". Estos componentes son necesarios para administrar la función instalada. Si va a administrar el servidor DNS desde otro servidor, puede omitir agregar estos componentes.

De vuelta en la ventana con el Servidor DNS marcado, haga clic en Siguiente, luego Siguiente y Siguiente nuevamente hasta que el botón Instalar se active.

Haga clic en el botón "Instalar".

La instalación comenzará.

Una vez completada la instalación (la instalación tardará menos de 5 minutos), aparecerá el siguiente mensaje: "Instalación completada en YourServerName". Puede hacer clic en el botón "Cerrar". Ahora aparecerá una nueva línea "DNS" en el Panel de monitoreo del servidor, así como en el menú Inicio. Si hace clic en esta línea, se iniciará el "Administrador de DNS".

Se parece a esto.

En este momento No hay zonas configuradas en el servidor DNS. Un servidor de este tipo se denomina servidor de caché. Las zonas son partes del espacio de nombres del cual es responsable el servidor. Las zonas de búsqueda directa implican resolver un nombre en una dirección IP. Una zona de búsqueda inversa, por otro lado, relaciona una dirección IP con un nombre.

Creemos una zona de visualización directa y hagámosla configuración fácil.

Para hacer esto, haga clic derecho en la inscripción "Zonas de visualización hacia adelante" y luego en "Crear una nueva zona".

Se abrirá la ventana "Asistente para la creación de nuevas zonas", haga clic en "Siguiente". Se abrirá la ventana de selección del tipo de zona. Si no tienes otro servidor DNS, selecciona “Zona principal” y “Siguiente”.

En la siguiente ventana debe especificar el nombre de la zona. Se recomienda utilizar su dominio. En nuestro caso el nombre sería: . Haga clic en Siguiente".

En la siguiente ventana, seleccione el tipo de actualización dinámica. Se recomienda permitir actualizaciones dinámicas, pero sólo si DNS se utilizará exclusivamente en su red local. De lo contrario, este elemento puede entrañar riesgos de seguridad, de los que le avisará el “Asistente para nueva zona”.

Haga clic en "Siguiente" y "Finalizar". La zona de visualización directa ha sido creada con éxito, llevemos a cabo su sencilla configuración. La configuración de una zona de navegación se realiza agregando registros DNS a la zona. Hay varios tipos de registros DNS. Veamos los tipos principales:

• Un expediente. Correlaciona el nombre de host y la dirección del protocolo IPV
• Registro AAAA. Correlaciona el nombre de host y la dirección del protocolo IPV
• Registro CNAME. Alias, utilizado para redirigir a otro nombre.
• Registro MX. Registro de correo, apunta a servidores de correo.
• Registro NS. Apunta al servidor DNS del dominio.

Creemos un registro A para nuestra nueva zona de búsqueda directa. Para hacer esto, haga clic derecho en la zona y seleccione el elemento del menú contextual apropiado, como se muestra en la figura.

En la ventana "Nuevo nodo" que se abre, ingrese el nombre del nodo, por ejemplo GateWay, y su dirección IP, por ejemplo 192.168.0.1. Haga clic en el botón "Agregar nodo".

¡Listo! ¡La entrada ha sido creada exitosamente!

En este artículo, intentamos explicar en el lenguaje más comprensible a una persona común y corriente sin conocimientos profundos de TI qué es DNS, cómo instalar la función de servidor DNS en Windows Server 2012, nos familiarizamos con los principales tipos de registros y mostramos en imágenes cómo se realizan estos registros. Y si todo lo anterior le pareció difícil, nuestros especialistas configurarán un servidor para usted en menos de una hora.

Una zona es una base de datos que contiene información autorizada sobre una región del espacio de nombres DNS. Cuando instala un servidor DNS con un controlador de dominio, se crea automáticamente una zona DNS para admitir el dominio de Active Directory. Si el servidor DNS se instaló en un controlador de dominio, un servidor miembro de dominio o un servidor independiente, las zonas se deben crear y configurar manualmente.

Esta lección describe cómo crear y configurar una zona y proporciona la información necesaria para configurar correctamente una zona.

Creando zonas

Zona DNS es una base de datos que contiene registros queasociar nombres con direcciones en la región descrita del espacio de nombres DNS. A pesar depara responder consultas de nombres, el servidor DNS puede usar cachéinformación de otros servidores, está autorizado a responder a las solicitudes sólo enzona controlada localmente. Para cualquier ámbito del espacio de nombres DNS,representado por un nombre de dominio (por ejemplo, google .ru), solo hay unofuente autorizada de datos de zona.
Si necesita crear una nueva zona en el servidor DNS, puede utilizar el Asistente para nueva zona en el Administrador de DNS. Para iniciar el asistente, haga clic derecho en el icono del servidor en el árbol de la consola del Administrador de DNS y use el comando Nueva zona.

El Asistente para nueva zona contiene las siguientes páginas de configuración:

■ Tipo de Zona;

■ Área de replicación de zona, integrado V Active Directory (alcance de replicación de zona de Active Directory);

■ Zona de búsqueda directa o inversa;

■ Nombre de zona;

■ Actualización dinámica (Actualización dinámica).

Las siguientes secciones describen los conceptos de configuración asociados con estas cinco páginas del asistente.

Seleccionar un tipo de zona

En la página Tipo de zona del Asistente para nueva zona, puede elegir crear una zona primaria, una zona secundaria o una zona auxiliar. Al crear una zona principal o auxiliar en un controlador de dominio, puede almacenar datos de zona en Active Directory.

* Áreas principales

El tipo más común de zona DNS es la zona primaria. Proporciona los datos de lectura/escritura de origen que otorgan al servidor DNS local la autoridad para responder a las consultas DNS del ámbito del espacio de nombres DNS.

El servidor DNS local que administra la zona principal sirve como fuente principal de datos sobre esa zona. El servidor almacena una copia maestra de los datos de la zona en un archivo local o en Servicios de dominio de Active Directory (AD DS). Si la zona se guarda en un archivo en lugar de en Active Directory, el nombre de archivo predeterminado es nombre_zona.DNS y se almacena en la carpeta %systemroot%\System 32\Dns en el servidor.

*Zonas adicionales

Proporciona una copia autorizada de solo lectura de la zona principal o de una zona adicional.

Las zonas secundarias brindan la capacidad de reducir la cantidad de tráfico de consultas de DNS en áreas de la red donde los datos de zona se consultan y utilizan en gran medida. Además, si el servidor que administra la zona principal no está disponible, la zona secundaria puede proporcionar resolución de nombres hasta que el servidor principal vuelva a estar disponible.

Las zonas de origen de las que zonas adicionales reciben información se denominan zonas maestras y los procedimientos de copia de datos que garantizan que la información de la zona se actualice periódicamente se denominan transferencias de zona. Una zona maestra puede ser una zona principal u otra zona adicional. Se puede asignar una zona maestra a una zona adicional que se crea en el Asistente para nueva zona. Dado que una zona secundaria es una copia de la zona principal administrada por otro servidor, no se puede almacenar en Active Directory.

* Zonas cortas

Similar a una zona secundaria, pero contiene registros de recursos necesarios para identificar servidores DNS autorizados en la zona principal. Las zonas auxiliares se utilizan a menudo para permitir que una zona principal (por ejemplo, google .ru) utilice una lista actualizada de servidores de nombres disponibles en una zona secundaria delegada (por ejemplo: traducir .google .ru). También sirven para mejorar la resolución de nombres y simplificar la administración de DNS.

* Zonas de almacenamiento enActivoDirectorio

Cuando crea una zona principal o una zona auxiliar en un controlador de dominio, en la página Tipo de zona del asistente, puede seleccionar la opción para guardar la zona en Active Directory. Los datos de la zona integrada en Active Directory se replican automáticamente en Active Directory según la configuración seleccionada en la página Ámbito de replicación de zona de Active Directory. Gracias a esta opción, no es necesario configurar la transferencia de zona a servidores adicionales.

La integración de una zona DNS en Active Directory proporciona varios beneficios. En primer lugar, debido a que los servicios de Active Directory realizan replicación de zonas, no es necesario configurar un mecanismo de transferencia de zonas DNS independiente entre los servidores primario y secundario. La replicación de múltiples redes proporciona automáticamente tolerancia a fallas y un rendimiento mejorado debido a la disponibilidad de múltiples servidores primarios de lectura/escritura. En segundo lugar, Active Directory le permite actualizar y replicar propiedades de registros de recursos individuales en servidores DNS. Debido a que muchos registros de recursos completos no se transfieren, se reduce la carga de los recursos de la red durante las transferencias de zona. Finalmente, las zonas integradas en Active Directory también proporcionan requisitos de seguridad de actualización dinámica opcionales, que se pueden configurar en la página Actualización dinámica del Asistente para nueva zona.

NOTA: Controladores de dominio de solo lectura y zonas integradas con Active Directory

En los controladores de dominio tradicionales, se concede permiso de lectura/escritura a una copia de la zona. En los controladores de dominio de solo lectura (RODC), a la copia de zona se le asigna permiso de solo lectura.

* Zonas estándar

Cuando crea una zona en un controlador de dominio, la opción para guardar la zona en Active Directory en la página Tipo de zona está seleccionada de forma predeterminada. Sin embargo, puede desactivar esta casilla de verificación y crear la llamada zona estándar. En un servidor que no es un controlador de dominio, solo puede crear zonas estándar y la casilla de verificación en esta página está atenuada.

A diferencia de una zona integrada en Active Directory, una zona estándar almacena sus datos en Archivo de texto en el servidor DNS local. Además, si utiliza zonas estándar, puede configurar solo la copia principal con permisos de lectura y escritura para los datos de la zona. A todas las demás copias de la zona (zonas adicionales) se les asigna permiso de solo lectura.

El modelo de zona estándar supone un único punto de error para la versión grabable de la zona. Si la zona principal no está disponible en la red, no se podrán realizar cambios en la zona. Sin embargo, las solicitudes de nombres en una zona no se pueden interrumpir mientras haya zonas adicionales disponibles.

Seleccionar el alcance de replicación de zona integrado enActivoDirectorio

En la página Alcance de replicación de zona de Active Directory del Asistente para nueva zona, puede seleccionar los controladores de dominio en su red para guardar los datos de la zona. Esta página aparece solo cuando selecciona la opción para guardar la zona y Active Directory. Las opciones de selección del alcance de la replicación de zona determinan los controladores de dominio entre los cuales se replicarán los datos de zona.

Esta página proporciona las siguientes opciones:

■ Persistencia de zona en todos los controladores de dominio, que también son servidores DNS, en todo el bosque de Active Directory;

■ Preservación de la zona en todos los controladores de dominio, que también sirven como servidores DNS y el dominio local de Active Directory;

■ Preservación de la zona en todos los controladores de dominio y el dominio local de Active Directory (utilizado por compatibilidad con Windows 2000);

■ Conserva la zona en todos los controladores de dominio especificados y el alcance de la partición personalizada del directorio Active Directory.

Estas opciones se describen con más detalle en el segundo tema.

Creación de zonas de búsqueda directa e inversa

En la página Zona de búsqueda directa o inversa del Asistente para nueva zona, debe seleccionar el tipo de zona que se creará; Zona de búsqueda directa o zona de búsqueda inversa.

En las zonas de búsqueda directa, los servidores DNS asignan FQDN a direcciones IP. En las zonas de búsqueda inversa, los servidores DNS asignan direcciones IP a FQDN. Por lo tanto, las zonas de búsqueda directa responden a solicitudes para resolver FQDN en direcciones IP, y las zonas de búsqueda inversa responden a solicitudes para resolver direcciones IP en FQDN. Tenga en cuenta que las zonas de búsqueda directa se nombran según los nombres de dominio DNS para los cuales se ejecuta el permiso, por ejemplo. ejemplo google.com. Las zonas de búsqueda inversa se nombran en orden inverso a los primeros tres octetos del espacio de direcciones para el cual se proporciona la resolución de nombres, además de una etiqueta in-addr.arpa adicional. Por ejemplo, si resuelve nombres para la subred 192.168.1.0/24, la zona de búsqueda inversa se denominará 1.168.192.in-addr.arpa. En la zona de búsqueda directa, el registro de base de datos individual que asigna un nombre de host a una dirección se denomina registro. nodo(A). En una zona de búsqueda inversa, la entrada de base de datos individual que asigna una dirección IP a un nombre de host se llama puntero o registro PTR.

El principio de funcionamiento de mis búsquedas directas e inversas se demuestra en la figura.

Zona de visión delantera

Zona de búsqueda inversa

NOTA: Asistente de configuración del servidor DNS

Puede utilizar el Asistente para configurar un servidor DNS para crear zonas de búsqueda directa e inversa simultáneamente. Para iniciar el asistente, en el árbol de la consola del Administrador de DNS, haga clic con el botón derecho en el icono del servidor y elija Configurar un servidor DNS.

Seleccionar un nombre de zona

En la página Nombre de zona del Asistente para nueva zona, puede seleccionar un nombre para la zona de búsqueda directa que se creará. Las zonas de búsqueda inversa reciben nombres especiales según el rango de direcciones IP para las que tienen autoridad.

Si está creando una zona para la resolución de nombres en un dominio de Active Directory, es mejor especificar un nombre de zona que coincida con el nombre de dominio de Active Directory. Por ejemplo, si una organización contiene dos dominios de Active Directory denominados google.ru y Translate.google.ru, la infraestructura de resolución de nombres debe incluir dos zonas con el nombre de esos nombres de dominio.

Si está creando una zona para un espacio de nombres DNS que no está en un entorno ActiveDirectory, debe especificar el nombre de dominio de Internet de la organización, como wikipedia .org.

NOTA: SumaServidor DNS por controlador de dominio

Para agregar un servidor DNS a un controlador de dominio existente, normalmente agrega una copia de la zona principal para proporcionar resolución de nombres al dominio de Active Directory local. Para hacer esto, simplemente cree una zona cuyo nombre coincida con el nombre de una zona existente en el dominio local de Active Directory. La nueva zona se completará con datos de otros servidores DNS del dominio.

Configuración de ajustes de actualización dinámica

Las computadoras cliente DNS pueden registrar y actualizar dinámicamente sus registros de recursos utilizando un servidor DNS. De forma predeterminada, los clientes DNS con direcciones IP estáticas actualizan los registros de host (A o AAAA) y de puntero (PTR), mientras que los clientes DNS que son clientes DHCP solo actualizan los registros de host. En un entorno de grupo de trabajo, el servidor DHCP actualiza las entradas del índice en nombre del cliente DHCP cada vez que se actualiza la configuración IP.

Para que las actualizaciones dinámicas de DNS se realicen correctamente, la zona en la que los clientes se registran o actualizan registros debe configurarse para aceptar actualizaciones dinámicas. Hay dos tipos de esta actualización:

■ Seguroactualizar (Seguroactualizaciones)

Le permite realizar el registro solo desde computadoras en el dominio de Active Directory y actualizar solo desde la computadora que realizó inicialmente el registro.

■ Inseguroactualizaciones (No seguroactualizaciones)

Le permite actualizar desde cualquier computadora.

En la página Actualización dinámica del Asistente para nueva zona, puede permitir actualizaciones dinámicas seguras e inseguras o deshabilitar las actualizaciones por completo para la zona que está creando.

Análisis de registros de recursos integrados

Cuando crea una nueva zona, se crean automáticamente dos tipos de registros. En primer lugar, dicha zona siempre incluye un registro de zona SOA (Inicio de autoridad) inicial que define las propiedades básicas de la zona. Además, las zonas nuevas contienen al menos un registro NS (servidor de nombres) que especifica el nombre de los servidores autorizados de la zona. A continuación se describen las funciones de estos dos registros de recursos.

Entradas de zona iniciales

Al cargar una zona, el servidor DNS utiliza el registro SOA (Inicio de autoridad) de la zona para determinar las propiedades y autoridades básicas de la zona. Estos parámetros también caracterizan la frecuencia de las transferencias de zona entre el servidor principal y los adicionales. Al hacer doble clic en una entrada SOA se abre la pestaña Inicio de autoridad (SOA) del cuadro de diálogo de propiedades de zona.

■ De serienúmero (Número de serie)

Este campo de texto en la pestaña Registro de zona inicial (SOA) contiene el número de revisión del archivo de zona. El número especificado aquí aumenta cada vez que cambian los registros de recursos en la zona. También se puede aumentar manualmente usando el botón Incrementar.

Si las zonas están configuradas para realizar transferencias de zona a uno o más servidores secundarios, esos servidores secundarios consultan periódicamente al servidor principal para obtener el número de serie de la zona. Estas solicitudes se denominan solicitudes SOA. Si la solicitud SOA recibe un número de serie de zona primaria que es igual al número de serie de zona secundaria, la transferencia falla. Si el número de serie de la zona en el servidor principal es mayor que el valor correspondiente en el servidor secundario solicitante, este último inicia una transferencia de zona.

NOTA: Transferir zonas en el servidor principal.

Al hacer clic en el botón Incrementar se inicia la transferencia de zona.

■ Básicoservidor (PrimarioServidor)

■ ResponsablePersona responsable

Este campo es donde ingresa el nombre de la persona responsable (RP) que corresponde al buzón de dominio del administrador de zona. El nombre introducido en este campo siempre debe terminar con un punto. El nombre predeterminado es hostmaster.

■ Intervaloactualizaciones (intervalo de actualización)

El valor en este campo determina cuánto tiempo espera el servidor DNS secundario antes de solicitar una actualización de zona en el servidor primario. Una vez transcurrido el intervalo de actualización, el servidor DNS secundario solicita al servidor primario una copia del registro SOA actual. Después de recibir la respuesta, el servidor DNS secundario compara el número de serie del registro SOA actual del servidor primario (especificado en la respuesta) con número de serie su entrada SOA local. Si estos valores difieren, el servidor DNS secundario solicita una transferencia de zona del servidor DNS primario. El intervalo de actualización predeterminado es de 15 minutos.

■ IntervaloIntervalo de reintento

■ TérminoexpiraDespués (Expira después)

El valor en este campo determina la cantidad de tiempo que el servidor secundario continúa realizando consultas de cliente DNS sin comunicarse con el servidor primario. Pasado este tiempo, los datos se consideran poco fiables. De forma predeterminada, esta configuración está establecida en un día.

■ Mínimotérminovida TTL (Mínimo (Predeterminado)TTL)

Los valores TTL no se aplican a registros de recursos en zonas autorizadas. Y estas zonas utilizan la vida útil de la caché de escritura de recursos en servidores no autorizados para valores TTL. El servidor DNS que almacenó en caché el registro de recursos de la solicitud anterior restablece ese registro, pero el TTL del registro expiró.

■ Término vida(TTL)registros(TTL para este registro)

El valor especificado en este campo determina la vida útil de la entrada SOA actual. Este valor reemplaza el valor predeterminado especificado en el campo anterior.

Registros del servidor de nombres

El registro del servidor de nombres (NS) especifica el servidor autorizado para la zona. Cuando crea una zona en Windows Server 2008, cada servidor que administra una copia principal de una zona integrada en Active Directory recibirá su propio registro NS en la nueva zona de forma predeterminada. Cuando crea una zona primaria estándar, el registro NS del servidor local se agregará de forma predeterminada.

Para servidores que administran zonas adicionales, debe agregar manualmente registros NS a la copia maestra de la zona.

Los registros NS se crean mediante un procedimiento diferente que cuando se crean otros tipos de registros de recursos. Para agregar registros NS, en el Administrador de DNS, haga doble clic en cualquier entrada existente NS. Se abre la pestaña Servidores de nombres del cuadro de diálogo de propiedades de zona. En la pestaña Servidores de nombres, haga clic en el botón Agregar para agregar el FQDN y la dirección IP del servidor que administra la zona secundaria de la zona primaria local. Añadiendo nuevo servidor, haga clic en Aceptar; aparecerá en el Administrador de DNS nueva entrada NS indicando este servidor.

NOTA: Habilitar la transmisión a zonas adicionales

La zona secundaria no reconoce esta entrada como un servidor de nombres válido siempre que contenga una copia válida de los datos de la zona. Para que una zona adicional reciba estos datos, las transferencias de zona deben estar habilitadas para ese servidor en la pestaña Transferencias de zona del cuadro de diálogo de propiedades de la zona. Esta pestaña se describe con más detalle en el siguiente tema.

A continuación se muestra un ejemplo de una entrada creada en un archivo de zona estándar:

@NS dns1.lucernepublishing.com.

El símbolo @ representa la zona definida por la entrada SOA en el archivo de zona. Luego, el registro completo asigna el dominio wikipedia.org al servidor DNS dns1.wikipedia.org.

Crear registros de recursos

Además de los registros SOA y NS, se crean automáticamente otros registros de recursos. Por ejemplo, durante la instalación de un nuevo servidor DNS, cuando el servidor se designa como controlador de dominio, muchos registros SRV de Servicios de dominio de Active Directory (AD DS) se crean automáticamente en la zona administrada localmente. Además, a través de la actualización dinámica, muchos clientes DNS registran automáticamente registros de host (A y AAAA) y de puntero (PTR) en la zona de forma predeterminada.

Aunque muchos registros de recursos se crean automáticamente, los entornos empresariales generalmente requieren que algunos registros de recursos se creen manualmente, como MX (Mail Exchangers) para servidores de correo, alias (CNAME) para servidores web y de aplicaciones, y registros de host para servidores y clientes, que no pueden realizar sus propias actualizaciones.

Para agregar manualmente un registro de recursos para una zona, en la consola del Administrador de DNS, haga clic con el botón derecho en el icono de la zona y Menú de contexto seleccione el tipo de registro a crear.

Después de seleccionar una entrada en el menú contextual, se abre un cuadro de diálogo donde puede especificar el nombre de la entrada y la computadora asociada a ella. Tenga en cuenta que sólo los registros de host asocian un nombre de computadora con una dirección IP. La mayoría de los tipos de registros asocian un nombre o alias de servicio con el registro de host original. Por lo tanto, el registro MX depende de la presencia del nodo SRV 12.nwtraders .msft en el área del registro.

Tipos de publicaciones

Los siguientes son registros de recursos comunes que se crean manualmente:

■ nodo (AoALAA);

■ apodo (CNOMBRE);

■ correointercambiador (MX);

■ puntero (PTR);

■ ubicaciónservicios (SRV).

Nudo (A o AAAA)

Para la mayoría de las redes, la mayor parte de los registros de recursos en la base de datos de zona son registros de recursos del host. Estos registros se utilizan en una zona para asociar nombres de computadoras (nombres de host) con direcciones IP.

Incluso con las actualizaciones dinámicas habilitadas para las zonas, algunos escenarios de entrada de host requerirán que agregue entradas manualmente a la zona. En la figura siguiente, Contoso, Inc. utiliza el nombre de dominio contoso.com en el espacio de nombres público y el dominio interno de Active Directory. En este caso, el servidor web público, www.contoso.com, está ubicado fuera del dominio de Active Directory y solo realiza actualizaciones en el servidor DNS público autorizado, contoso.com. Pero los clientes internos reenvían sus solicitudes de DNS a servidores DNS internos. Debido a que el registro www .contoso .com A no se actualiza dinámicamente en los servidores DNS internos, se agrega manualmente para que los clientes internos puedan resolver nombres y conectarse al servidor web público.

Las entradas de host se pueden agregar manualmente si la red utiliza un servidor UNIX. Por ejemplo, Fabrikam, Inc. tiene un dominio de Active Directory en su red privada llamado fabrikam,com. Esta red también incluye un servidor UNIX, App1.fabrikam, com, que ejecuta aplicaciones críticas para las operaciones diarias de la empresa. Dado que los servidores UNIX no pueden realizar actualizaciones dinámicas, deberá agregar manualmente el registro de host del servidor App1 al servidor DNS que administra la zona fabrikam.com. De lo contrario, los usuarios no podrán conectarse al servidor de aplicaciones especificando su FQDN.

Alias ​​(CNOMBRE)

Estas entradas a veces se denominan nombres canónicos. Permiten utilizar varios nombres para referirse a un único nodo. Por ejemplo, los nombres de servidores conocidos (ftp, www) normalmente se registran mediante registros CNAME. Estos registros asignan los nombres de host correspondientes a sus servicios al registro real de la computadora A que controla el servicio.

■ Cuando desee cambiar el nombre de un nodo especificado en el registro A de la misma zona.

■ Cuando el nombre genérico de un servidor conocido (por ejemplo, www) debe resolverse en un grupo de computadoras individuales (cada una con registros A individuales) que brindan el mismo servicio (por ejemplo, un grupo de servidores web redundantes).

Intercambiador postal (MX)

Estos registros son utilizados por aplicaciones. Correo electrónico para localización servidor de correo en la zona. Le permiten hacer coincidir el nombre de dominio especificado en la dirección de correo electrónico con el registro de la Computadora que controla el servidor de correo en el dominio. Por lo tanto, este tipo de registro permite que el servidor DNS maneje direcciones de correo electrónico que no tienen un servidor de correo especificado.

A menudo, los registros MX se crean para proporcionar conmutación por error a otro servidor de correo en caso de que el servidor preferido no esté disponible.

A varios servidores se les asignan valores de preferencia. Cuanto menor sea este valor, mayor será el orden de preferencia del servidor.

NOTA: Símbolo @

En este ejemplo, el símbolo @ representa el nombre de dominio local contenido en la dirección de correo electrónico.

PunteroPTR

Esta entrada se utiliza solo en zonas de búsqueda inversa para admitir la búsqueda inversa que se produce al resolver direcciones IP en nombres de host o FQDN. Las búsquedas inversas se realizan en las zonas raíz del dominio in -addr .arpa. Los registros PTR se pueden agregar a zonas de forma manual o automática.

A continuación se muestra un ejemplo de representación de texto en un archivo de zona de un registro PTR creado en el Administrador de DNS que asigna la dirección IP 192.168.0.99 al servidor de nombre de host 1.google.ru:

99 PTRservidor 1.Google.ru.

NOTA: Registro número 99PRT

En la zona de búsqueda inversa, el último octeto de la dirección IPv 4 equivale al nombre de host. Por lo tanto, el número 99 representa el nombre asignado al nodo dentro de la zona 0.168.192.in -addr .arpa. Esta zona corresponde a la subred 192.168.0.0.

Ubicación del servicioSRV

Publicaciones SRV se utiliza para indicar la ubicación de los servicios en un dominio. Las aplicaciones cliente que utilizan SRV pueden recuperar los registros SRV de los servidores de aplicaciones a través de DNS.

Una aplicación que utiliza SRV es Windows Server 2008 Active Directory. El servicio de inicio de sesión de red Netlogon utiliza registros SRV para localizar controladores de dominio buscando un dominio de Protocolo ligero de acceso a directorios (LDAP) de Active Directory. DNS para mejorar la tolerancia a fallos o solucionar problemas de los servicios de red.

InclusiónDNS para resoluciónGANA

En la pestaña WINS de la ventana de propiedades de la zona, puede especificar el servidor WINS con el que se comunicará el servicio del servidor DNS para buscar nombres que no se encuentran en las consultas DNS. Cuando especifica un servidor WINS en la pestaña WINS del cuadro de diálogo Propiedades de zona de búsqueda directa, se agrega una entrada WINS especial a esa zona que hace referencia a ese servidor WINS. Cuando especifica un servidor WINS en la pestaña WINS del cuadro de diálogo de propiedades de la zona de búsqueda inversa, se agrega una entrada WINS -R especial a la zona para identificar ese servidor WINS.

Por ejemplo, si un cliente DNS solicita el nombre ClientZ .contoso .com y el servidor DNS preferido no puede encontrar la respuesta en fuentes normales (caché, datos de zona local y sondeo de otros servidores), el servidor solicita el nombre CLIENTZ . en el servidor WINS especificado en el registro WINS. Si el servidor WINS responde a la consulta, el servidor DNS devuelve su respuesta al cliente.

Limpieza y eliminación de registros obsoletos

Las marcas de tiempo se utilizan en DNS para rastrear la antigüedad de los registros de recursos registrados dinámicamente. La depuración de registros obsoletos es el proceso de eliminar registros obsoletos con marcas de tiempo. La limpieza solo se puede realizar si se utilizan marcas de tiempo. Las marcas de tiempo y la depuración funcionan juntas para eliminar grabaciones antiguas que pueden haberse acumulado en una zona con el tiempo. De forma predeterminada, las marcas de tiempo y la depuración están deshabilitadas.

Habilitar limpieza

Para habilitar la depuración para una zona individual, debe habilitar la función en el nivel de servidor y en el nivel de zona.

Para habilitar la eliminación a nivel de servidor, en el árbol de la consola de DNS Manager, haga clic con el botón derecho en el icono del servidor y utilice el comando Establecer antigüedad/eliminación para todas las zonas. Luego, en el cuadro de diálogo Propiedades de antigüedad/eliminación del servidor que se abre, seleccione la casilla de verificación Recuperar registros de recursos obsoletos. Aunque esta configuración permite la limpieza y la marca de tiempo a nivel de servidor para todas las zonas nuevas, no permite la limpieza y la marca de tiempo de las zonas integradas en Active Directory existentes.

Para habilitarlos, haga clic en Aceptar y luego, en el cuadro de diálogo Confirmación de antigüedad/eliminación del servidor que se abre, seleccione la casilla de verificación para aplicar esta configuración a las zonas integradas en Active Directory existentes.

Para habilitar las marcas de tiempo y la limpieza a nivel de zona, abra Propiedades de zona y luego, en la pestaña General, haga clic en el botón Antigüedad. En el cuadro de diálogo Propiedades de caducidad/eliminación de zona que se abre, seleccione la casilla de verificación Recuperar registros de recursos obsoletos.

Marcas de tiempo El servidor DNS realiza la eliminación utilizando las marcas de tiempo establecidas en los registros de recursos de la zona. Las zonas integradas en Active Directory establecen valores de marca de tiempo para las entradas registradas dinámicamente de forma predeterminada antes de habilitar la depuración. Sin embargo, las zonas estándar básicas establecen marcas de tiempo para las entradas registradas dinámicamente en la zona solo después de habilitar la depuración. A los registros de recursos creados manualmente para todos los tipos de zona se les asigna una marca de tiempo de 0; esto significa que no se determinará su edad.- este es el tiempo entre última actualización Sello y su posible próxima actualización. El bloqueo evita que el servidor procese actualizaciones innecesarias y reduce la cantidad de tráfico. El intervalo de bloqueo predeterminado es de 7 días.

■ Modificaciónintervaloactualizaciones

El intervalo de actualización es el intervalo entre la primera vez que se actualizó la marca de tiempo y la primera vez que comenzó la limpieza del registro. Después de intervalos de bloqueo y actualización, las entradas podrán eliminarse de la zona. Por defecto, el intervalo es de 7 días. Por lo tanto, si se habilitan las marcas de tiempo, los registros de recursos registrados dinámicamente pueden eliminarse después de 14 días.

Realizando una limpieza

La limpieza de la zona se realiza de forma automática o manual. Para realizar la limpieza automáticamente, debe habilitar la eliminación automática de registros de recursos obsoletos en la pestaña Avanzado del cuadro de diálogo de propiedades del servidor DNS.

Si esta opción no está habilitada, puede realizar la limpieza de zona manualmente haciendo clic derecho en el icono del servidor en el árbol de la consola del Administrador de DNS y usando el comando Recuperar registros de recursos obsoletos.

Nombres globales de zona

Windows Server 2008 incluye una nueva característica que permite a todos los clientes DNS en un bosque de Active Directory usar nombres de la misma etiqueta, como Correo, para conectarse a los recursos del servidor. Este componente es útil si la lista de búsqueda de sufijos DNS predeterminada para clientes DNS no permite a los usuarios conectarse rápidamente (o no permitir que se conecten) a un recurso usando ese nombre de etiqueta única.

El servidor DNS en Windows Server 2008 le permite crear una zona GlobalNames. De forma predeterminada, la zona GlobalNames no existe, pero al implementar una zona con este nombre, puede proporcionar acceso a recursos seleccionados usando nombres de etiqueta única sin usar WINS. Normalmente, los nombres de etiqueta única se asignan a servidores importantes y ampliamente utilizados a los que ya se les han asignado direcciones IP estáticas. GlobalNames en el servidor remoto, reemplace el punto con el nombre del servidor remoto.

■ CreaciónZonas de nombres globales

El siguiente paso en la implementación de la zona GlobalNames es crear una zona para el servidor DNS que actúa como controlador de dominio de Windows Server 2008. La zona GlobalNames no es un tipo especial de zona, sino más bien una zona de búsqueda directa integrada en Active Directory llamada GlobalNames. . Cuando cree una zona, elija replicar los datos de la zona para todos los servidores DNS del bosque. Esta opción se encuentra en la página de alcance de replicación de la zona integrada en Active Directory (para habilitar la resolución de nombres de etiqueta única, cree un registro de alias de recurso (CNAME) en la zona GlobalNames. El nombre asignado a cada registro CNAME representa el nombre de etiqueta única que los usuarios pueden utilizar para conectarse a un recurso. Tenga en cuenta que cada registro CNAME especifica un registro de host en otra zona.

En un momento descubrí una verdad simple: si quieres recordar algo, toma notas (incluso cuando leas un libro), pero si quieres consolidarlo y sistematizarlo, transmítelo a la gente (escribe un artículo). Por lo tanto, después de dos años de trabajar en integración de sistemas (área en la que administrador de sistema, considerado simplemente una cornucopia para especialistas ávidos de subir de nivel), cuando me di cuenta de que los conocimientos poco a poco estaban siendo sustituidos por las habilidades de editar documentación y configurar según manuales e instrucciones, para mantenerme en forma comencé a escribir artículos sobre cosas básicas. Por ejemplo, aquí se trata de DNS. En aquel entonces lo hacía más para mí, pero pensé que tal vez sería útil para alguien.

El servicio en las redes modernas es, si no clave, al menos una de ellas. Aquellos para quienes el servicio DNS no es nuevo pueden saltarse la primera parte con seguridad.

(sin anclajes, por lo que el contenido no tiene enlaces)

1. Información básica

DNS es una base de datos que contiene principalmente información sobre cómo asignar los nombres de los objetos de la red a sus direcciones IP. "Básicamente", porque allí se almacena otra información. Más precisamente, registros de recursos (RR) de los siguientes tipos:

A- la misma asignación de un nombre de dominio simbólico a su dirección IP.

AAAAA- Igual que A, pero para direcciones IPv6.

CNOMBRE- NOMBRE canónico - alias. Si desea que un servidor con un nombre ilegible, como nsk-dc2-0704-ibm, en el que se ejecuta el portal corporativo, también responda al nombre portal, puede crear otro registro de tipo A para él, con el nombre portal. y la misma dirección IP. Pero luego, si la dirección IP cambia (puede pasar cualquier cosa), deberá volver a crear todos esos registros. Y si crea un CNAME con el nombre portal, apuntando a nsk-dc2-0704-ibm, entonces no tendrá que cambiar nada.

MX- Mail eXchanger: puntero al intercambiador de correo. Al igual que CNAME, es un puntero simbólico a un registro existente de tipo A, pero además del nombre también contiene una prioridad. Puede haber varios registros MX para un dominio de correo, pero primero el correo se enviará al servidor para el cual se especifica el valor más bajo en el campo de prioridad. Si no está disponible, al siguiente servidor, etc.

NS- Servidor de nombres: contiene el nombre del servidor DNS responsable de este dominio. Naturalmente, para cada registro de tipo NS debe existir un registro correspondiente de tipo A.

SOA- Inicio de autoridad: indica en cuál de los servidores NS se almacena la información de referencia sobre este dominio, información de contacto del responsable de la zona, horarios para almacenar información en el caché.

SRV- un puntero a un servidor, titular de un servicio (utilizado para servicios AD y, por ejemplo, Jabber). Además del nombre del servidor, contiene campos como Prioridad (prioridad), similar al mismo para MX, Peso (peso), utilizado para equilibrar la carga entre servidores con la misma prioridad: los clientes seleccionan un servidor al azar con una probabilidad basada en peso y Número de puerto: número de puerto en el que el servicio "escucha" las solicitudes.

Todos los tipos de registros anteriores se encuentran en la zona de búsqueda directa del DNS. También hay una zona de búsqueda inversa: registros como PTR- PointeR: un registro opuesto al tipo A. Almacena la asignación de una dirección IP a su nombre simbólico. Necesario para procesar solicitudes inversas: determinar el nombre del host a partir de su dirección IP. No es necesario para que DNS funcione, pero sí para diversas utilidades de diagnóstico, así como para algunos tipos de protección antispam en servicios de correo electrónico.

Además, las propias zonas, que almacenan información sobre el dominio, son de dos tipos (clásicamente):

Primario- es un archivo de texto que contiene información sobre los hosts y servicios del dominio. El archivo se puede editar.

Secundario- También es un archivo de texto, pero, a diferencia del principal, no se puede editar. Se extrae automáticamente del servidor que almacena la zona principal. Aumenta la disponibilidad y la confiabilidad.

Para registrar un dominio en Internet, la información sobre el mismo debe almacenarse en al menos dos servidores DNS.

En Windows 2000, apareció un tipo de zona: integrado en AD- la zona no se almacena en un archivo de texto, sino en la base de datos de AD, lo que permite replicarla en otros controladores de dominio junto con AD, utilizando sus mecanismos de replicación. La principal ventaja de esta opción es la capacidad de implementar un registro dinámico seguro en DNS. Es decir, sólo las computadoras que son miembros del dominio pueden crear registros sobre sí mismas.

También apareció en Windows 2003. zona de trozo - zona de trozo. Almacena información sólo sobre los servidores DNS que tienen autoridad para un dominio determinado. Es decir, registros NS. Que tiene un significado similar al reenvío condicional ( reenvío condicional), que apareció en el mismo Versiones de Windows Servidor, pero la lista de servidores a los que se reenvían las solicitudes se actualiza automáticamente.

Consultas iterativas y recursivas.

Está claro que un único servidor DNS no conoce todos los dominios de Internet. Por lo tanto, cuando se recibe una solicitud en una dirección desconocida, por ejemplo metro.yandex.ru, se inicia la siguiente secuencia de iteraciones:

El servidor DNS accede a uno de los servidores raíz de Internet, que almacenan información sobre los titulares autorizados de dominios o zonas de primer nivel (ru, org, com, etc.). Informa la dirección recibida del servidor autorizado al cliente.

El cliente contacta al titular de la zona ru con la misma solicitud.

El servidor DNS de la zona RU busca la entrada correspondiente en su caché y, si no la encuentra, devuelve al cliente la dirección del servidor autorizado para el dominio de segundo nivel, en nuestro caso, yandex.ru.

El cliente contacta al DNS yandex.ru con la misma solicitud.

Yandex DNS devuelve la dirección requerida.

Semejante secuencia de acontecimientos es rara en nuestro tiempo. Porque existe una consulta recursiva: esto es cuando el servidor DNS, con el que el cliente contactó inicialmente, realiza todas las iteraciones en nombre del cliente y luego devuelve una respuesta preparada al cliente, y también almacena la información recibida. en su caché. La compatibilidad con consultas recursivas se puede desactivar en el servidor, pero la mayoría de los servidores la admiten.

El cliente, por regla general, realiza una solicitud que tiene el indicador "recursión requerida".

2. Un poco sobre el formato de los mensajes DNS.

El mensaje consta de un encabezado de 12 bytes seguido de 4 campos de longitud variable.

El encabezado consta de los siguientes campos:

formato de mensaje DNS

Identificación: el cliente genera un determinado identificador en este campo, que luego se copia en el campo correspondiente de la respuesta del servidor para que pueda comprender a qué solicitud llegó la respuesta.

Banderas: un campo de 16 bits dividido en 8 partes:

• QR(tipo de mensaje), campo de 1 bit: 0 significa solicitud, 1 significa respuesta.
• código de operación(código de operación), campo de 4 bits. El valor normal es 0 (solicitud estándar). Otros valores son 1 (solicitud inversa) y 2 (solicitud de estado del servidor).
• AUTOMÓVIL CLUB BRITÁNICO.- Bandera de 1 bit que significa "respuesta autorizada". El servidor DNS tiene autoridad para este dominio en la sección de preguntas.
• TC- Un campo de 1 bit que significa "truncado". En el caso de UDP, esto significa que el tamaño total de la respuesta excedió los 512 bytes, pero solo se devolvieron los primeros 512 bytes de la respuesta.
• R.D.- Un campo de 1 bit que significa "recursión deseada". El bit se puede establecer en una solicitud y luego devolverse en una respuesta. Este indicador requiere que el servidor DNS procese esta solicitud por sí mismo (es decir, el servidor debe determinar por sí mismo la dirección IP requerida y no devolver la dirección de otro servidor DNS), lo que se denomina consulta recursiva. Si este bit no está establecido y el servidor DNS consultado no tiene una respuesta autorizada, el servidor consultado devolverá una lista de otros servidores DNS con los que se debe contactar para obtener la respuesta. Esto se llama consulta iterativa. Veremos ejemplos de ambos tipos de consultas en los siguientes ejemplos.
• REAL ACADEMIA DE BELLAS ARTES.- Campo de 1 bit que significa “recursión disponible”. Este bit se establece en 1 en la respuesta si el servidor admite la recursividad. Veremos en nuestros ejemplos que la mayoría de los servidores DNS admiten la recursividad, con la excepción de unos pocos servidores raíz (los servidores raíz no pueden manejar consultas recursivas debido a su carga de trabajo).
• 0 - Este campo de 3 bits debe ser igual a 0.
• código r este es un campo de código de retorno de 4 bits. Los valores comunes son 0 (sin error) y 3 (error de nombre). Un error de nombre se devuelve únicamente desde un servidor DNS autorizado y significa que el nombre de dominio especificado en la solicitud no existe.

Los siguientes cuatro campos de 16 bits indican la cantidad de elementos en los cuatro campos de longitud variable que completan el registro. En una solicitud, el número de preguntas suele ser 1 y los tres contadores restantes son 0. En una respuesta, el número de respuestas es al menos 1 y los dos contadores restantes pueden ser cero o no.

Ejemplo (obtenido usando WinDump al ejecutar el comando ping www.ru):

IP KKasachev-nb.itcorp.it.ru.51036 > ns1.it.ru.53: 36587+ A? www.ru. (24)
IP ns1.it.ru.53 > KKasachev-nb.itcorp.it.ru.51036: 36587 1/2/5 A 194.87.0.50 (196)

La primera línea es la solicitud: el nombre de mi PC, 51036 es un puerto de envío seleccionado aleatoriamente, 53 es un puerto de servidor DNS preconocido, 36587 es el ID de la solicitud, + es "recursión requerida", A es una solicitud de registro tipo A, el signo de interrogación significa que se trata de una solicitud, no de una respuesta. Entre paréntesis está la longitud del mensaje en bytes.

La segunda línea es la respuesta del servidor: al puerto de origen especificado con el ID de solicitud especificado. La respuesta contiene un RR (registro de recursos DNS), que es la respuesta a la solicitud, 2 registros de autoridad y 5 registros adicionales. La longitud total de la respuesta es 196 bytes.

3.TCP y UDP

Hay información de que DNS opera sobre el protocolo UDP (puerto 53). De hecho, este es el caso por defecto: las solicitudes y respuestas se envían a través de UDP. Sin embargo, la presencia del indicador TC (truncado) en el encabezado del mensaje se menciona anteriormente. Se establece en 1 si el tamaño de la respuesta excedió los 512 bytes (el límite para una respuesta UDP), lo que significa que se cortó y solo se enviaron los primeros 512 bytes al cliente. En este caso, el cliente repite la solicitud, pero a través de TCP, que por sus características específicas puede transferir de forma segura grandes cantidades de datos.

Además, la transferencia de zonas desde los servidores principales a los adicionales se realiza vía TCP, ya que en este caso se transfieren mucho más de 512 bytes.

4. DNS en Windows Server 2008 y 2012

Windows 2008 introdujo las siguientes características:

Carga de fondo de zonas.

En organizaciones muy grandes con zonas extremadamente grandes que utilizan Servicios de dominio de Active Directory para almacenar datos DNS, reiniciar el servidor DNS puede tardar una hora o más mientras se recuperan los datos DNS del servicio de directorio. En este caso, el servidor DNS no está disponible para atender las solicitudes de los clientes mientras se estén cargando las zonas de Servicios de dominio de Active Directory.
El servidor DNS de Windows Server 2008 ahora carga datos de zona de los Servicios de dominio de Active Directory en el fondo, gracias al cual puede procesar al mismo tiempo solicitudes de datos de otras zonas. Cuando se inicia el servidor DNS, se realizan las siguientes acciones:

• se determinan todas las zonas que deben cargarse;
• Los enlaces raíz se cargan desde archivos o almacenamiento de Servicios de dominio de Active Directory;
• Se cargan todas las zonas respaldadas por archivos, es decir, zonas almacenadas en archivos en lugar de en Servicios de dominio de Active Directory;
• se inicia el procesamiento de solicitudes y llamadas a procedimientos remotos (RPC);
• Se crean uno o más subprocesos para cargar zonas almacenadas en Servicios de dominio de Active Directory.

Debido a que la tarea de cargar zonas se realiza en subprocesos separados, el servidor DNS puede procesar consultas mientras se carga la zona. Si un cliente DNS solicita datos para un host en una zona que ya está cargada, el servidor DNS responde con los datos (o, si corresponde, una respuesta negativa). Si se realiza una consulta para un host que aún no está cargado en la memoria, el servidor DNS lee los datos del host de los Servicios de dominio de Active Directory y actualiza la lista de registros del host en consecuencia.

Soporte para direcciones IPv6

El Protocolo de Internet versión 6 (IPv6) define direcciones que tienen una longitud de 128 bits, a diferencia de las direcciones del Protocolo de Internet versión 4 (IPv4), que tienen una longitud de 32 bits.
Los servidores DNS que ejecutan Windows Server 2008 ahora son totalmente compatibles con direcciones IPv4 e IPv6. Medio línea de comando dnscmd también acepta direcciones en ambos formatos. La lista de reenviadores puede contener tanto direcciones IPv4 como direcciones IPv6. Los clientes DHCP también pueden registrar direcciones IPv6 junto con (o en lugar de) direcciones IPv4. Finalmente, los servidores DNS ahora admiten el espacio de nombres de dominio ip6.arpa para mapeo inverso.

Cambios en el cliente DNS

Resolución de nombre LLMNR
Las computadoras cliente DNS pueden usar LLMNR (Resolución de nombres de multidifusión local de enlace), también llamado DNS de multidifusión o mDNS, para resolver nombres en un segmento de red local donde un servidor DNS no está disponible. Por ejemplo, si una subred está aislada de todos los servidores DNS de la red debido a una falla del enrutador, los clientes de esa subred que admiten la resolución de nombres LLMNR aún pueden resolver nombres usando un esquema de igual a igual hasta que se restablezca la conectividad a la red.
Además de resolver nombres en caso de falla de la red, LLMNR también puede ser útil en implementaciones de redes peer-to-peer, como en salas VIP de aeropuertos.

Cambios en Windows 2012 en términos de DNS, afectaron principalmente a la tecnología DNSSEC (garantizando la seguridad del DNS agregando firmas digitales A Registros DNS), en particular, proporcionando actualizaciones dinámicas que no estaban disponibles cuando DNSSEC estaba habilitado en Windows Server 2008.

5. DNS y directorio activo

Active Directory depende en gran medida de DNS para sus operaciones. Con su ayuda, los controladores de dominio se buscan entre sí para replicarse. Con su ayuda (y el servicio Netlogon), los clientes identifican controladores de dominio para su autorización.

Para garantizar la búsqueda, durante el proceso de elevación del rol de un controlador de dominio en el servidor, su servicio Netlogon registra los registros A y SRV correspondientes en DNS.

Registros SRV registrados por el servicio Net Logon:

_ldap._tcp.DnsDomainName
_ldap._tcp.NombreSitio._sites.NombreDominioDns
_ldap._tcp.dc._msdcs.DnsDomainName
_ldap._tcp.NombreSitio._sites.dc._msdcs.NombreDominioDns
_ldap._tcp.pdc._msdcs.DnsDomainName
_ldap._tcp.gc._msdcs.DnsForestName
_ldap._tcp.SiteName._sites.gc._msdcs. DnsNombreBosque
_gc._tcp.DnsForestName
_gc._tcp.NombreSitio._sites.NombreBosqueDns
_ldap._tcp.DomainGuid.domains._msdcs.DnsForestName
_kerberos._tcp.DnsDomainName.
_kerberos._udp.DnsDomainName
_kerberos._tcp.NombreSitio._sites.NombreDominioDns
_kerberos._tcp.dc._msdcs.DnsDomainName
_kerberos.tcp.NombreSitio._sites.dc._msdcs.NombreDominioDns
_kpasswd._tcp.DnsDomainName
_kpasswd._udp.DnsDomainName

La primera parte del registro SRV identifica el servicio al que apunta el registro SRV. Existen los siguientes servicios:

_ldap - Active Directory es un servicio de directorio compatible con LDAP con controladores de dominio que funcionan como servidores LDAP. Los registros _ldap SRV identifican los servidores LDAP presentes en la red. Estos servidores pueden ser controladores de dominio de Windows Server 2000+ u otros servidores LDAP;

_kerberos - Los registros _kerberos SRV identifican todos los centros de distribución clave (KDC - Key Distribution Centers) en la red. Pueden ser controladores de dominio que ejecutan Windows Server 2003 u otros servidores KDC;

_kcontraseña - identifica servidores de cambio de contraseñas Kerberos en la red;

_gc - Una entrada relacionada con la función de catálogo global en Active Directory.

Sólo los controladores de dominio están registrados en el subdominio _mcdcs Microsoft Windows Servidor. Realizan tanto registros principales como registros en un subdominio determinado. Los servicios que no son de Microsoft solo realizan entradas básicas.

Guía de dominio - identificador de dominio global. Se necesita un registro que lo contenga en caso de cambiar el nombre del dominio.

¿Cómo funciona el proceso de búsqueda de DC?

Durante el inicio de sesión del usuario, el cliente inicia un localizador DNS mediante una llamada a procedimiento remoto (RPC) por parte del servicio NetLogon. El nombre de la computadora, el nombre de dominio y el nombre del sitio web se pasan al procedimiento como datos de entrada.

El servicio envía una o más solicitudes utilizando la función API DsGetDcName()

El servidor DNS devuelve la lista solicitada de servidores, ordenados según prioridad y peso. Luego, el cliente envía una solicitud LDAP utilizando el puerto UDP 389 a cada una de las direcciones de entrada en el orden en que fueron devueltas.

Todos los controladores de dominio disponibles responden a esta solicitud e informan sobre su estado.

Después de descubrir un controlador de dominio, el cliente establece una conexión LDAP para obtener acceso a Active Directory. Como parte de su conversación, el controlador de dominio determina en qué sitio está alojado el cliente, en función de su dirección IP. Y si resulta que el cliente no se comunicó con el DC más cercano, pero, por ejemplo, se mudó recientemente a otro sitio y, por costumbre, solicitó un DC del anterior (la información sobre el sitio se almacena en caché en el cliente según los resultados del último inicio de sesión exitoso), el controlador le envía el nombre del nuevo sitio (el cliente). Si el cliente ya intentó encontrar un controlador en este sitio, pero no tuvo éxito, continúa usando el que encontró. De lo contrario, se inicia una nueva solicitud de DNS indicando el nuevo sitio.

El servicio Netlogon almacena en caché la información de ubicación del controlador de dominio para que no tenga que iniciar todo el proceso cada vez que necesite comunicarse con un DC. Sin embargo, si se utiliza un DC "subóptimo" (ubicado en otro sitio), el cliente borra este caché después de 15 minutos e inicia la búsqueda nuevamente (en un intento de encontrar su controlador óptimo).

Si una computadora no tiene información sobre su sitio en su caché, se comunicará con cualquier controlador de dominio. Para detener este comportamiento, puede configurar NetMask Ordering en DNS. Luego, DNS enumerará los DC en tal orden que los controladores ubicados en la misma red que el cliente aparezcan primero.

Ejemplo: Dnscmd /Config /LocalNetPriorityNetMask 0x0000003F indicará la máscara de subred 255.255.255.192 para los DC de prioridad. La máscara predeterminada es 255.255.255.0 (0x000000FF)