DNS

1. Introducción
Un servidor de nombres de dominio (DNS) es un programa que es capaz de almacenar información acerca de un espacio de nombres y resolver las consultas que se le realicen. Estos servidores resuelven de nombres a direcciones IP y viceversa. FQDN: Nombre completamente cualificado de dominio. Servidor y cliente de DNS. Como todos los servicios, DNS tiene una parte cliente y una servidora. La cliente es la que consulta y la servidora la que resuelve esas consultas. Todos los equipos han ser clientes de un DNS para poder resolver nombres: Windows 2000 Pro y Server. Esta parte se configura en la ventana de propiedades del protocolo TCP/IP:

La parte servidora solo puede estar instalada en un Windows 2000 Server. si bien dadas las características de administración distribuida Windows 2000 puede ser administrado con una consola desde cualquier equipo de la red: Consultas al DNS: La consulta es el proceso por el cual se pide a un servidor que resuelva un nombre a una dirección IP o viceversa. hace una consulta a su servidor DNS (Aquel que tiene configurado en las propiedades del protocolo TCP/IP) Iterativa: Entre servidores DNS  Respuesta: La Ip que pido o la IP de otro DNS Recursiva:Entre un cliente y su servidor  Respuesta: La Ip que pido o repuesta negativa . Cuando un cliente no sabe la IP asociada a un nombre DNS.

com.com y este contesta con otra IP de otro DNS que quizá le pueda solucionar la consulta. secundaria e integrada . La autoridad de cada domino es el servidor DNS con capacidad para responder a consultas de su dominio y delegar los subdominios en otros servidores. NameServer1 Consulta entonces al DNS de . Principal. red.” responde con la IP de otro servidor que es la autoridad de la zona . Estas consultas son iterativas.com consultará a otro DNS para que le ayude a resolver. En la siguiente figura podemos ver tres zonas que serían gestionadas cada una por un DNS. Instalación del Servidor DNS en Windows 2000 Panel de control.com mediante una consulta recursiva. Dado que NameServer1 no es la autoridad de la zona reskit. Agregar o quitar programas. Finalmente es en DNS de reskit. Configuración del Servidor Zonas Una zona se define como una porción del espacio de nombres. 3. 2.El proceso es el siguiente: Resolver. Esta puede estar formada por un o varios dominios de un mismo dominio padre. Incluso podría no tener ninguna y a actuar así como DNS de solo caché En todos los dominios de las zonas existe una autoridad. Un servidor DNS puede tener una o varias zonas. Agregar componentes de Windows.”. El servidor de la zona “.com el que resuelve la consulta y NameServer1 contestar a su cliente con éxito. En este caso la consulta se hace a uno de los 13 servidores de la zona “.reskit. Tipos de zona. DNS Para administrar un servidor DNS desde un Windows 2000 Professional es necesario tener instaladas las herramientas administrativas. que es el cliente del DNS pide al servidor de nombres NameServer1 que le resuelva el nombre www.

Informa de el nombre. El proceso por el cual se copian las zonas de un servidor DNS principal a uno secundario se llama replicación. Comienza con la zona “.121. Mayor seguridad dado que podemos elegir que solo se creen los registros de clientes aceptados en el dominio. Hace que el servidor DNS use nbtstat para resolver Combina un nombre con una dirección X. unas de ellas principales y otras secundarias al mismo tiempo. Los dos primeros tipos tienen una relación parecida a la que tienen los controladores de dominio de Windows NT (PDC – BDC) La última utiliza un sistema Multimaestro como el modelo de replicación de los controladores de dominio de Windows 2000 Tipos de Zona de búsqueda: Resolución directa: Convierte de Nombre DNS a dirección IP. Permite actualizaciones seguras de los clientes. Persona responsable de un DNS o un Host y su email Start of authority. en este caso IPv. En negrita están los más utilizados: A AAAA CNAM E HINFO MX NS PTR RP SOA TXT WINS WINSR X. Intercambiador/ Servidor de correo del dominio Name Server. Especifica un servidor DNS para el dominio Pointer Record. formato usado en X. Hay que recordar que un servidor DNS puede albergar múltiples zonas. Asocia una IP con un DNS en la base de datos inversa Responsible Person. Establece un sinónimo o un alias para un nombre de host Host Information. no solo en los DNS. Una Zona integrada en el Directorio Activo es una base de datos de lectura y escritura que combina nombres DNS y direcciones IP de equipos de un dominio de Windows 2000. Asocia información adicional a un registro DNS. el S.” Resolución Inversa: Convierte de dirección Ip a nombre DNS. Con una zona así conseguimos: Optimización de la replicación pues replica con la base de datos del DA Tolerancia a fallos pues la base de datos del DNS está en todos los controladores de dominio replicada.25 . Es un objeto del directorio activo que replicará entre los controladores de dominio. Identifica un servidor WINS que puede ser consultado Un registro de WINS Inverso. Simbólicamente es el original Una Zona secundaria es una copia de solo lectura de una zona principal.Una Zona principal es aquella que en la que se pueden realizar tanto consultas como actualizaciones de sus dominios. Especifica un servidor DNS y el domino para el que es autoridad Text Record. Es decir es una base de datos de lectura y escritura. Combina un nombre de Host a una dirección IP Combina un nombre DNS con una dirección IP.25 Address. Simbólicamente esta sería una fotocopia. Cualquier controlador de dominio se convierte en un servidor DNS con solo instalarse el servicio.6 Canonocal Name. Tipos de registros: Estos son algunos de los tipos de registros que se pueden hacer en un servidor DNS de Windows 2000.O u la cpu de un Host (RFC1700) Mail Exchanger.

.com habrá que consultar a DNS2. Un servidor DNS puede entonces ser la autoridad de más de un dominio como se ve en la siguiente figura. pero son delegados en un servidor DNS determinado que será el encargado de registrar los host y resolver las consultas de ese espacio de nombres.com es el DNS1 y este delega en DNS2 la autoridad de fistro.ORG es la autoridad de todos los subdominios de ese dominio. En el servidor de destino crearemos una zona principal directa con el nombre de la zona delegada (fistro.Delegación El servicio DNS está concebido para usarse en redes de todos los tamaños. Es importante saber que el nuevo servidor DNS puede resolver todo lo relacionado con su dominio. en Internet hay 13 servidores que son los propietarios de la zona raíz (.NET.com). samba. La delegación se realiza desde la interfaz de DNS con el botón derecho sobre el domino padre (kandemor.com y delegarlos a su antojo. incluso en Internet. pero si no se le configuran reenviadores no podrá resolver las consultas del domino candemor. Por ejemplo.com No se debe confundir un dominio delegado con una zona secundaria.com De ahora en adelante para consultar a acerca de los registros del domino fistro. Las autoridades de estas zonas delegadas a su vez delegan en otros servidores DNS la administración de sus subdominios como pueden ser qmail. Otra puntualización es que podría existir un solo DNS que fuese la autoridad de los dos dominios. pues ya no hay autoridad sobre ese dominio.kandemor. siempre que no delegue. mocosoft. .org.candemor.org son propiedad del servidor DNS de .com) y con el botón derecho hacemos clic en delegación nueva le damos un nombre y le pasamos la IP del servidor delegado (DNS2). Ahora DNS2 podrá crear los subdominios que quiera del dominio fistro.kandemor. Por ejemplo. por ello existen las delegaciones de zona.com.com… Por ejemplo. y algunas de estas son demasiado grandes para administrarse por un único administrador.kandemor. DNS1 ya no tiene ninguna competencia en el dominio delegado y solo tiene un puntero que indica quién es la autoridad para fistro.org. la autoridad en la zona kandemor.) de Internet y ellos delegan en otros servidores los subdominios .org y samba.COM.kandemor. La autoridad de una zona puede delegar la autoridad de un domino suyo en otro servidor DNS.ORG. Observamos que este nuevo dominio delegado en el servidor de origen está representado por una carpeta gris oscuro y no se puede modificar. la autoridad de .ES… De este modo. No tiene nada que ver. Explicación de las partes de la interfaz . qmail.

com Fistro.pecadol.es Muy.com DELEGA 4.pecadol.kademor.pecadol.es Poco.RÉPLICA DNS1 2 Zonas Principales DNS3 2 Zonas Secundarias Kandemor.kademor.es Muy.com RÉPLICA Pecadol. Replicación .pecadol.com Fistro.es Fistro.es Muy.es Poco.pecadol.com Fistro  SOA=DNS2 Pecadol.kandemor.pecadol.com Pecadol.es DELEGACIÓN DNS1 2 Zonas Principales DNS2 2 Zonas Principales Kandemor.es Kandemor.es Poco.

El proceso de registro dinámico requiere que quién borre los registros sea también quién los haya realizado. A medida que se van haciendo cambios en la base de datos. negocia con él la manera en la que va a actualizar sus registros. es necesario: . El DHCP también puede elegirse que sea el servidor el que borre los registros DNS una vez ha acabado la concesión marcando la casilla Descartar búsquedas directas al caducar la concesión. Ahora con esta nueva especificación son los equipos cliente los que tienen la posibilidad de registrarse automáticamente. Por defecto el cliente siempre va a proponer que él registra el A y dejará al servidor DHCP que actualice el PTR. Todos los equipos basados en Windows 2000 tratan de registrar sus registros A y PTR.En el servidor estén habilitadas las actualizaciones dinámicas . el PTR). El DHCP está configurado por defecto para Actualizar DNS solo a petición del cliente DHCP (El cliente actualizará A y el servidor DHCP. Puede darse el caso en el . Este servicio se está ejecutándose con independencia de que el equipo tenga configurada una IP dinámica. en cada réplica solo se copian los cambios Es posible que se repliquen solo los cambios porque el servidor DNS de Windows 2000 escribe un diario con los cambios de una versión a otra. 15 minutos) Esta réplica se hace en base a un numero de versión que podemos encontrar en la consola de DNS en las propiedades del dominio. 5. Existen dos modos de réplica: .El servidor maestro envía una notificación a sus servidores secundarios de que ha habido cambios en la zona .En el cliente esté configurado el sufijo del domino DNS .AXFR: Transferencia total de zona. Actualizaciones dinámicas El DNS se diseño en un principio sobre una base de datos estática en la que los administradores eran los que tenían que hacer manualmente todas las tareas tales como añadir. El servidor maestro puede ser un servidor principal u otro secundario de una zona. La replicación se inicia de una de las siguientes maneras: . Es recomendable que sea el servidor DHCP el que se encargue de todos los registros y sus posteriores borrados pues al fin y al cabo él es el propietario de la dirección IP. en la pestaña inicio de autoridad (SOA). esto es que en cada réplica se pasa toda la zona . sería el cliente el que trataría de crear los dos registros. De todos modos. quitar. El servicio encargado de esas actualizaciones es el servicio cliente DHCP.El Cliente tenga correctamente configurada la IP del servidor DNS Si el equipo es cliente de un DHCP Cuando el cliente recibe está recibiendo su dirección del servidor DHCP. para que un se haga satisfactoriamente el registro dinámico.La replicación es el proceso por el cual un servidor secundario copia la base de datos de un servidor maestro. El servidor DHCP también cuenta con la opción de Actualizar siempre DNS (El servidor DHCP realiza los dos registros) Si el DHCP fuese configurado para no Actualizar automáticamente la información del cliente DHCP en el DNS. o modificar registros.IXFR: Transferencia incremental.El servidor secundario copia la zona del principal cuando el servicio DNS en el servidor secundario se ha reiniciado o el intervalo de actualización ha acabado (Por defecto. cambia el número de versión.

El cliente es el responsable los dos registros A y PTR. Entonos mixtos Por un lado nos podemos encontrar con un entrono en el que todos los clientes son equipos basados en Windows 2000 pero el servidor DHCP no es compatible con las actualizaciones dinámicas. El cliente tratará de borrar los registros antes de dar por acabada la conexión. En este caso los clientes de Windows 2000 son los encargados de actualizar sus registros A y PTR. En este caso será el servidor el que realice los dos registros siempre que esté marcada la opción de Habilitar actualizaciones para clientes DNS que no sean compatibles con actualizaciones dinámicas. Si la línea se cae inesperadamente los registros quedarán en el DNS y será el servidor RAS el que intentará eliminar los registros PTR.que una máquina crea su registro A o PTR y sea sacada de la red antes de que expire la concesión. Si el equipo no es cliente de un DHCP En este caso el cliente no comunicará con el servidor DHCP y será su servicio cliente DHCP el que realice la actualización dinámica de los dos registros cada vez que arranque. Por otro lado también podemos encontrar una situación en la que los clientes son anteriores a Windows 2000 con un servidor DHCP compatible. Si el equipo es cliente de RAS Un cliente de RAS se comporta de la misma manera que un equipo que tiene una dirección IP estática pues no hay ninguna relación entre él y el servidor DHCP. Esta característica se basa en que al ser la zona un objeto . cambie su IP o su nombre. Actualización segura Las zonas integradas en el DA cuentan con la opción de Solo permitir actualizaciones seguras. quedando los registros en el servidor desperdiciados.

mas del DA. Proceso de un cliente basado en Windows 2000 . se le pueden administrar permisos y así permitir o denegar a determinados usuarios o grupos la escritura en la base de datos.

Proceso de un cliente sin actualización automática .

Para buscar un controlador de dominio en un determinado dominio o bosque. . Estos registros de recursos de DNS proporcionan los nombres y las direcciones IP de los controladores de dominio. un cliente consulta al DNS por registros de servicio (SRV) y dirección (A). DNS y AD El directorio activo utiliza DNS como mecanismo para que los clientes encuentren a los controladores de dominio.6.

las actualizaciones dinámicas seguras de modo que solo se registren los clientes del dominio.0.8.2.Por último hay que recordar cuando tenemos una zona integrada.Actualizaciones dinámicas .Soporte para registros SRV . .La base de datos se integra en el AD como un objeto y cualquier CD puede ser DNS. si que podemos utilizarlo como DNS para el directorio activo. De hecho. El DNS le devolverá la lista de los controladores de dominio (SRV) de su sitio y el cliente podrá entonces validar contra uno de ellos. Windows NT 4.La Zona es Integrada del DA .(IXFR) Caracteristicas del DNS en el Directorio Activo . Windows 95. pues replica entre ellos.0 NO (excepto SP4) NO No (Excepto SP4) Servidor DNS Windows 2000 SI SI SI . DNS y WINS Los clientes de dominios de Windows 2000 utilizan el DNS para localizar a los controladores de dominio y así poder validar en el dominio. y Windows 98).1 y posterior) SI (v.8.Se puede elegir.Todos los servidores son Multimaster (Lectura/Escritura) . a través del servicio Netlogon. 7. el cliente necesita tener conexión con el servidor DNS pues esa es la manera que tiene de encontrar al controlador de dominio. en las propiedades del DNS. podemos implementar DNS y WINS a la vez en la red. basta con instalar el servicio DNS en un controlador de dominio. Si bien con él no podemos tener una zona Integrada en el DA.51.Transferencias de zona incrementales. Cuando nos encontramos con un entorno mixto en el que hay clientes de todo tipo.2. .Un Servidor DNS debe cumplir los siguientes requisitos para soportar un directorio activo: .9. para tener un servidor DNS Como consultan los Windows 2000 a los DNS en un AD Cuando se inicia sesión en un Windows 2000. El cliente. consultará al DNS por un registro SRV de su domino. Aquí hay un cuadro que compara los distintos DNS disponibles y sus características: Servidor DNS BIND Actualizaciones de zona Incrementales Actualización dinámica Soporte de registros SRV SI (v. aún dependen del protocolo NetBIOS para estos menesteres.4.1 y posterior) SI (v. Los clientes de sistemas operativos anteriores a 2000 (Windows NT 3.6 y Servidor DNS NT 4. DNS y BIND BIND es un servidor DNS utilizado en entornos Unix y Linux. DNS de Windows 2000 permite configurar un servidor WINS al que reenviar la consulta de un cliente cuando el DNS no logre resolverla. 8.5 y 3.

Estos registros huérfanos quedan en el servidor ocupando espacio y sirviendo de respuesta errónea a consultas de los clientes. Windows 2000 Server puede limpiar esos registros buscando los que son viejos y borrándolos. Cuando un registro es creado o bien refrescado y en su zona está habilitado el Scavenging. se puede actualizar el registro pero la marca de tiempo permanecerá invariable . Comandos Nslookup Whois Ipconfig /regiserdns Apéndice 1. Estos ficheros pueden ser modificados a mano. Aging/Scavenging (Limpieza de recursos obsoletos) Con las actualizaciones dinámicas. se registra una marca de tiempo. En ese espacio.Transferencia rápida de zona posterior) SI NO SI Desde la versión 8. 10. los registros son creados y borrados automáticamente. Por defecto este mecanismo está parado y es necesario tener mucho cuidado al iniciarlo pues puede borrar registros no dinámicos que son necesarios. Sin embargo en algunos casos como cuando cae una línea de red sin inesperadamente.dns. Para resolver estos problemas. Historia del DNS La historia del DNS empezó en los primeros tiempos de Internet cuando aún era un red pequeña que dependía del Departamento de Defensa de los EEUU.Intervalo actualizado: Tiempo en el que se puede refrescar la marca de tiempo y que Si está habilitado el Scavenging. esa zona no se podrá copiar a otro DNS que no esté basado en Windows 2000. .1 se puede utilizar un servidor BIND como servidor DNS de un directorio activo 9. Los nombres .Intervalo no actualizado: Tiempo entre el momento en el que se creó la marca de tiempo y en el que ésta puede refrescarse. en los que no es posible el borrado. La Base de datos del DNS Ubicación Los archivos necesarios para el servicio DNS son almacenados en %systemroot %/system32/dns y tienen extensión .2.

IN A 172._tcp.17.64. The LDAP server is not necessarily a DC. However. _ldap.22 www. see RFC 1794.reskit.64._sites.com .<DnsDomainName>. Round Robin Load Sharing DNS servers use a mechanism called round-robin or load sharing. On the name server. and you want to share the load between them. Apendice 3. a Windows 2000 DNS server uses a different method to order the records returned to a client. _ldap. see "Windows 2000 DNS" in this book.microsoft. All Windows NT Domain controllers will register this name.18. By default.reskit.<SiteName>._tcp. Allows a client to find an LDAP server in the domain named by <DnsDomainName> and is in the site named by <SiteName>.<DnsDomainName>. you would create the following resource records: www.64. It would reply to the second client response by ordering the addresses as 172. WWWServer.64. for more information. All Windows NT Domain controllers will register this name._sites.nt. then returns this resource record first in the list of records._tcp.33.11.17. Este servicio fue introducido en 1984.11 www.16.9.com. Apéndice 2. It attempts to find the resource record containing the IP address closest to the client.33. Pronto se dieron cuenta de que era necesario un nuevo sistema que ofreciese escalabilidad y administración descentralizada.reskit. _ldap.reskit.64._msdcs. Versions of BIND 4. The client is required to try the first IP address listed. 172.64.<SiteName>. In this example.de Host de los equipos estaban listados en un solo fichero HOSTS centralizado en un solo servidor._tcp. IN A 172. to share and distribute loads for network resources.<DnsDomainName> Allows a client to find a DC of the domain named by <DnsDomainName> and is in .16. Allows a client to find an LDAP server in the domain named by <DnsDomainName>._sites. For example.64. Earlier versions of BIND performed a different type of load sharing.18. you can modify the default so it performs traditional round-robin._tcp.22. Round-robin rotates the order of resource record data returned in a query answer in which multiple RRs exist of the same RR type for a queried DNS domain name. All Windows NT Domain controllers will register this name. and 172. Ese archivo era descargado regularmente en los equipos que necesitaban resolver nombres.com. _ldap. explained in RFC 1794. the name server would reply to the first client request by ordering the addresses as 172. and 172. _ldap. suppose you have three World Wide Web servers with the same domain name.com .com.11. For information.64.18.33 A name server configured to perform round-robin rotates the order of the A resource records when answering client requests.dc. The rotation process continues until data from all of the same type of resource records associated with a name have been rotated to the top of the list returned in answering client queries.16. IN A 172._tcp.<DnsDomainName> Allows a client to find a DC of the domain named by <DnsDomainName>.dc.3 and later perform this type of load sharing._msdcs.microsoft. Los registros SRV Netlogon registers the following DNS SRV records as appropriate: _ldap.nt.17.22.redmond. For example.com.64. 172. that all display the Web page for www. For example.

Only the PDC of the domain registers this name. Only an LDAP server serving the GC of the forest named by <DnsForestName> registers this name. Allows a client to find a Global Catalog (GC) server for this domain.redmond.gc.<DnsDomainName> Allows a client to find a DC running a Kerberos KDC for the domain named by <DnsDomainName>._sites._sites. .txt._tcp. This service is at least an RFC-1510 compliant Kerberos 5 KDC. All Windows NT Domain controllers running the Kerberos Key Distribution Center service will register this name._tcp.<SiteName>.microsoft. This operation will only function if the Dns Forest Name has not also been renamed.<DnsDomainName> Same as _kerberos. All Windows NT Domain controllers and running the Kerberos Key Distribution Center service _kpasswd. The PDC is responsible for deregistering any other registrations of this name. _gc. _ldap. Only a DC serving the GC of the forest named by <DnsForestName> registers this name.com. Allows a client to find the primary DC (PDC) of the domain named by <DnsDomainName>.dc.domains._sites._tcp._tcp.gc. _kerberos. For example._msdcs.com._msdcs. This operation is expected to be infrequent.com ._tcp. _ldap. _ldap._msdcs. All Windows NT Domain controllers running the Kerberos Key Distribution Center service will register this name. _ldap. _kerberos. _kerberos._msdcs. This service is at least an RFC-1510 compliant Kerberos 5 KDC.domains. For example. _kerberos._tcp. This server at least conforms to draft-ietf-cat-kerb-chg-password-02.<DnsForestName>. For example._msdcs. The KDC is not necessarily a DC. This operation will only be done if the <DnsDomainName> of the domain has changed and the <DnsForestName> is known.microsoft.microsoft. All Windows NT Domain controllers running the Kerberos Key Distribution Center service will register this name. _gc._tcp.dc._tcp. _gc. The server is not necessarily a DC.redmond._tcp. All servers providing the Kerberos Password Change service will register this name._tcp._msdcs. _ldap.<SiteName>.<DnsDomainName> Allows a client to find a DC running a Kerberos KDC for the domain named by <DnsDomainName> and is in the site named by <SiteName>._tcp.4f904480-7c78-11cf-b05700aa006b4f8f. For example.pdc. Allows a client to find a Global Catalog (GC) server for this domain and is in the site named by <SiteName>. For example._udp. Only an LDAP server serving the GC of the forest named by <DnsForestName> registers this name.<DnsDomainName>.com .<DnsForestName>. The KDC is not necessarily a DC.<SiteName>.<DnsForestName>._sites._msdcs._tcp._tcp.<SiteName>. All DCs providing the Kerberos service will register this name. Only a DC serving the GC of the forest named by <DnsForestName> registers this name. All Windows NT Domain controllers running the Kerberos KDC service will register this name.gc. The LDAP server is not necessarily a DC.<DomainGuid>. _gc. All Windows NT Domain controllers will register this name.<DnsDomainName> Allows a client to locate a Kerberos Password Change server for the domain._msdcs. All Windows NT Domain controllers will register this name._msdcs. Allows a client to find a Global Catalog (GC) server for this domain and is in the site named by <SiteName>. _kerberos._tcp.microsoft. _ldap.microsoft._sites.<DnsForestName>. Allows a client to find a Global Catalog (GC) server for this domain.<DnsForestName>. The LDAP server is not necessarily a DC.<DnsDomainName> Allows a client to locate a Kerberos Key Distribution Center (KDC) for the domain._tcp.<DnsDomainName> Allows a client to locate a Kerberos KDC for the domain named by <DnsDomainName> and is in the site named by <SiteName>. Allows a client to find a DC in a domain with a GUID of <DomainGuid>._tcp.com.the site named by <SiteName>. _ldap.<DnsDomainName> except the UDP is implied.gc._tcp._sites.

A name such as this will be returned to the LDAP client via an LDAP referral.<DnsForestName> Allows a client to find any GC in the forest via a normal A record lookup. gc.<DnsDomainName> except the UDP is implied._msdcs. This name is used to ease the ability to rename a DC._tcp._msdcs. Netlogon registers the following DNS CNAME records: <DsaGuid>. The only information known about the DC is the GUID of the MSFT-DSA object for the DC and the name of the forest the DC is in. Allows a client to find any DC in the domain via a normal A record lookup._udp. .<DnsForestName> Allows a client to find any DC in the forest via a normal A record lookup.<DnsDomainName> Same as _kpasswd._kpasswd. A name such as this will be returned to the LDAP client via an LDAP referral. Netlogon registers the following DNS A records: <DnsDomainName>.