¿Servidor DNS preferido y servidor DNS de respaldo?

Los siguientes son los dominios de nivel superior más comunes:

com, utilizado por organizaciones comerciales.

edu, para instituciones educativas.

org, para organizaciones sin fines de lucro.

net, utilizado en organizaciones de redes informáticas.

gov, para organizaciones gubernamentales de Estados Unidos.

Un código de país de dos o tres letras, como jp para Japón.

Los nombres de dominio de diferentes organizaciones se ramifican y expanden en consecuencia en cada dominio de nivel superior. Puede desglosar aún más la estructura de árbol para incluir nombres de dominio adicionales (llamados subdominios) para los departamentos dentro de su organización. Finalmente, el nombre de host se antepone a la estructura del nombre para formar el FQDN, como "server2.msdn.microsoft.com". De hecho, "msdn.microsoft.com" también es un FQDN, que hace referencia a un grupo de servidores web en microsoft.com.

Cómo funciona DNS

DNS es un sistema de base de datos distribuida que proporciona información que convierte los nombres de dominio en las direcciones IP correspondientes. Este método de convertir nombres en direcciones IP se llama resolución de nombres.

Normalmente, cada organización tiene su propio servidor DNS y mantiene registros de bases de datos de mapeo de nombres o registros de recursos para dominios. Al solicitar la resolución de nombres, el servidor DNS primero verifica si hay una dirección IP correspondiente en sus propios registros. Si no se encuentra, solicita la información a otros servidores DNS.

Por ejemplo, cuando se solicita a un navegador web que acceda al sitio "msdn.microsoft.com", sigue los siguientes pasos para resolver la dirección IP del nombre de dominio:

El navegador web llama al cliente DNS (llamado solucionador) y resuelve la consulta localmente utilizando información almacenada en caché de la última consulta.

Si la consulta no se puede resolver localmente, el cliente solicita la respuesta a un servidor DNS conocido. Si el servidor DNS ha procesado una solicitud para el mismo nombre de dominio ("msdn.microsoft.com") dentro de un período de tiempo específico, recupera la dirección IP correspondiente del caché y la devuelve al cliente.

Si el servidor DNS no puede encontrar la dirección correspondiente, el cliente consulta uno de los servidores DNS raíz globales, que devuelve un puntero al servidor DNS autorizado para el dominio de nivel superior. En este caso, la dirección IP del servidor autorizado para el dominio "com" se devuelve al cliente.

De manera similar, el cliente solicita al servidor "com" la dirección del servidor "microsoft.com". Luego, el cliente pasa la consulta original al servidor "microsoft.com".

Debido a que el servidor "microsoft.com" mantiene localmente el registro autorizado para el dominio "msdn.microsoft.com", devuelve los resultados finales al cliente y completa la consulta para una dirección IP específica.

Tenga en cuenta que los registros de recursos DNS se pueden almacenar en caché en cualquier número de servidores DNS de la red. Es posible que el servidor DNS mencionado en el paso 2 no contenga un registro de caché para "msdn.microsoft.com". Sin embargo, es posible que tenga un registro para "microsoft.com" y, más probablemente, para el dominio "com". Esto acelera todo el proceso de búsqueda al eliminar una o varias consultas que el cliente debe realizar para obtener los resultados finales.

Para mantener la información actualizada en la caché DNS, los registros de la caché tienen una configuración de "tiempo de vida" asociada con la información (similar a la vida útil de la leche). Cuando los registros caducan, se deben buscar nuevamente.

Registros de recursos DNS

Como se mencionó anteriormente, cada base de datos DNS está compuesta por registros de recursos. En términos generales, los registros de recursos contienen información sobre un host específico, como la dirección IP, el propietario del host o el tipo de servicio proporcionado.

Tipo de registro de recurso

Descripción

Explicación

SOA

Autoridad inicial

Este registro especifica el punto de partida de la región.

Contiene información como el nombre de la zona, la dirección de correo electrónico del administrador de la zona y configuraciones que indican al servidor DNS secundario cómo actualizar el archivo de datos de la zona.

Tipos de registros de recursos utilizados habitualmente

Dirección A Este registro enumera la dirección IP de un nombre de host específico. Este es un registro importante para la resolución de nombres.

CNAME nombre completo Este registro especifica un alias para un nombre de host completo.

MX Mail Exchanger Este registro enumera los hosts responsables de recibir el correo electrónico enviado al dominio.

NS Name Server Este registro especifica el servidor de nombres responsable de una zona determinada.

Zonas DNS

Generalmente, una base de datos DNS se puede dividir en diferentes conjuntos de registros de recursos relacionados. Cada conjunto de registros que contiene se denomina región. Una zona puede contener registros de recursos para un dominio completo, parte de un dominio o solo uno o algunos subdominios.

El servidor DNS que administra una zona (o conjunto de registros) se denomina servidor de nombres autorizado para esa zona. Cada servidor de nombres puede ser el servidor de nombres autorizado para una o más zonas.

El objetivo principal de dividir un dominio en varias zonas es simplificar la tarea de administrar DNS delegando un conjunto de servidores de nombres autorizados para gestionar cada zona. Con una estructura tan distribuida, los administradores de cada dominio pueden gestionar eficazmente sus respectivos subdominios a medida que el espacio de nombres de dominio continúa expandiéndose.

A veces resulta difícil distinguir entre regiones y dominios.

Una región es un subconjunto de un dominio. Piense en ello como una rama (o subárbol) del espacio de nombres del dominio. Por ejemplo, un servidor de nombres de Microsoft puede tener autoridad para la zona "microsoft.com", la zona "msdn.microsoft.com" y la zona "marketing.microsoft.com" al mismo tiempo. Sin embargo, puede delegar la administración de la zona de un subdominio (como "msdn.microsoft.com") a otros servidores de nombres privados. Si configura una zona que contiene registros de recursos para todo el dominio, la zona tiene el mismo alcance que el dominio.

Para Windows 2000, la información de zona se almacena en un formato de archivo de texto tradicional o se integra en la base de datos de Active Directory. Más adelante, explicaremos cómo funcionan juntos DNS y Active Directory.

Servidor DNS primario y servidor DNS secundario

Para garantizar una alta disponibilidad del servicio, DNS requiere el uso de múltiples servidores de nombres para admitir de forma redundante cada zona.

Los registros de recursos de una zona se actualizan manual o automáticamente en un único servidor de nombres primario (llamado servidor DNS primario). El servidor DNS primario puede ser el servidor de nombres autorizado para una o varias zonas.

Otros servidores de nombres redundantes (llamados servidores DNS secundarios) sirven como servidores de respaldo para el servidor primario en la misma zona en caso de que el servidor primario se vuelva inaccesible o deje de funcionar. El servidor DNS secundario se comunica periódicamente con el servidor DNS primario para garantizar que la información de su zona se mantenga actualizada. Si la información no está actualizada, el servidor DNS secundario obtiene una copia del archivo de datos de zona más reciente del servidor primario. Este proceso de copiar archivos de zona a varios servidores de nombres se denomina replicación de zona.

La relación entre Active Directory y DNS

Active Directory es un nuevo servicio de directorio en Windows 2000. Este servicio almacena información sobre todos los recursos de la red, como computadoras, carpetas compartidas, usuarios y más. También pone esta información a disposición de los usuarios y las aplicaciones a través de un protocolo de Internet estándar (Protocolo ligero de acceso a directorios, LDAP). Para obtener más información sobre Active Directory, consulte el artículo de Technet Configuración de un dominio de Active Directory.

¿Active Directory tiene una relación más estrecha con DNS que los controladores de dominio en Microsoft Windows NT 4.0? De hecho, se requiere DNS para admitir Active Directory.

Normalmente, cuando instala un servidor Active Directory, se instala un servidor DNS durante el proceso de instalación si el servidor DNS no se puede encontrar en la red.

Servicio de localización que admite controladores de dominio

Uno de los conceptos nuevos más importantes de Windows 2000 es que las computadoras ya no se identifican principalmente por los nombres del Sistema básico de entrada/salida de red (NetBIOS). En su lugar, utilice un nombre de dominio completo DNS (FQDN) para identificarlo, como "servidor1.duwamishonline.com".

Por lo tanto, para iniciar sesión y acceder a los recursos en un dominio de Windows NT, una computadora con Windows 2000 debe encontrar un servidor DNS, que ayuda a localizar los controladores de dominio de Active Directory. En otras palabras, DNS sirve como servicio de localización para controladores de dominio.

Integración con Active Directory

Otra característica importante del servidor DNS de Windows 2000 es que las zonas DNS se pueden integrar en Active Directory para proporcionar capacidades mejoradas de seguridad y tolerancia a fallos. Cada zona integrada con Active Directory se replica automáticamente en todos los controladores de dominio en el dominio de Active Directory.

Sin embargo, todavía es posible configurar un servidor DNS de Windows 2000 como un servidor DNS tradicional basado en archivos. Sin embargo, para proporcionar tolerancia a fallas del servicio DNS, se debe instalar manualmente un servidor DNS secundario además del servidor DNS primario.

Configuración del servicio DNS de Duwamish Online

Duwamish Online requiere resolución de nombres de dominio externos e internos.

Externamente, el servicio DNS resuelve "[url]www.DuwamishOnline.com[/url]" en la dirección IP del servidor web. La aplicación Duwamish Online utiliza resolución de nombres interna para resolver el nombre del servidor. Para acceder a las colas públicas de Message Queue Server (MSMQ) desde el componente de cola COM+ (QC), debe utilizar Active Directory, que a su vez requiere el uso de DNS. Para obtener más información sobre MSMQ y la arquitectura de red, consulte el artículo sobre Configuración de Message Queue Server en línea de Duwamish.

Instalar el servicio DNS en Windows 2000 es relativamente sencillo. Sin embargo, los requisitos de seguridad para la información DNS externa e interna son diferentes. En esta sección, analizamos estos problemas de seguridad y sus posibles soluciones. Discutiremos la relación entre el servicio Active Directory (utilizado por la configuración de Message Queue Server) y DNS en el grupo web Duwamish Online. También le indica cómo registrar un nombre de dominio y cómo instalar un servidor DNS con Windows 2000.

Problemas de seguridad con la información DNS pública y privada

Inicialmente, instalamos dos servidores DNS: un servidor DNS primario y un servidor DNS secundario para redundancia. En estos servidores DNS se configuran dos zonas: una para el dominio de Internet externo "DuwamishOnline.com" y otra para el dominio interno "InternalDomain.com".

Como se mencionó anteriormente, la instalación de un servidor DNS para dominios internos es un nuevo requisito para los dominios de Active Directory de Windows 2000. Con esta configuración original, los servidores DNS están configurados como "multimaestro" tanto para el dominio interno como para el externo; por ejemplo, la tarjeta de interfaz de red (NIC) externa tiene una dirección IP de 192.168.100.1 y la NIC interna tiene una Dirección IP de 10.10.10.1.

Permite a los usuarios de Internet consultar el servidor para zonas externas. Sin embargo, debido a que el mismo servidor DNS administra las zonas externa e interna, los usuarios externos también pueden consultar el servidor para la zona interna. Los usuarios de Internet pueden acceder a toda la información DNS del dominio interno utilizando herramientas de red básicas como Name Service Search, NSLookup.

En teoría, es imposible enrutar ningún paquete de red al dominio interno para atacar directamente al servidor interno. Sin embargo, cuanta menos información interna se filtre al mundo exterior, más segura será la operación. Esto evita que se aprovechen posibles vulnerabilidades en los servidores back-end, donde se almacena información comercial importante, para seguir robando información confidencial.

Soluciones para la implementación de DNS

A continuación se enumeran algunas soluciones a los problemas de seguridad de la configuración original:

Utilice servidores DNS separados para ambos dominios/zonas.

El DNS externo está alojado en un proveedor de servicios de Internet (ISP).

Coloque ambas zonas en un servidor y configure Active Directory con los controles de acceso correctos.

Usar servidores DNS separados

Una forma de resolver el problema de seguridad es usar dos servidores DNS separados para separar las operaciones DNS de las dos zonas, una en el segmento de red de dominio público y otra en el segmento de red de dominio público. el otro sólo se utiliza para consultas DNS internas.

Sin embargo, para operaciones web pequeñas, no es deseable administrar un servidor adicional. De hecho, según la recomendación general de configurar al menos dos servidores de nombres autorizados por zona, necesitaríamos instalar cuatro servidores DNS para proporcionar suficiente tolerancia a fallos para ambos dominios (con servidores DNS primarios y secundarios). De esta forma, si uno de los servidores falla, el sitio seguirá funcionando con normalidad.

En granjas web más grandes, esta puede ser la configuración preferida, ya que proporciona control absoluto sobre todo el entorno operativo y minimiza la dependencia de sistemas de terceros.

Alojamiento de DNS externo por parte del ISP

Otro método común es que el proveedor de servicios de Internet mantenga el dominio externo, mientras nosotros mismos seguimos administrando los servidores DNS del dominio interno. Para este tipo de configuración, el servidor DNS sólo está conectado a la red interna y no es accesible desde Internet.

Esta es probablemente la forma más sencilla de aislar dos dominios y minimizar la sobrecarga adicional de administrar servidores DNS adicionales. Al mismo tiempo, los ISP proporcionan una mejor redundancia de sistemas y redes para sus servidores DNS. Luego podemos instalar un servidor DNS secundario en la red interna para proporcionar tolerancia a fallas para las búsquedas internas de nombres.

Configuración del control de acceso a Active Directory

Puedes colocar dos zonas en un único servidor e integrar la zona con las funciones de seguridad de Active Directory. Al controlar adecuadamente el acceso a los archivos DNS en Active Directory, puede limitar las consultas DNS internas solo a usuarios autenticados.

Sin embargo, no hemos verificado esta solución. Debido a la complejidad de este esquema, fue necesaria una amplia experimentación para garantizar que la configuración fuera correcta y que la información interna no se exportara accidentalmente a Internet.

Registro de un nombre de dominio

Para evitar conflictos de espacio de nombres con otras organizaciones, el nombre designado del dominio externo "DuwamishOnline.com" debe estar registrado por la autoridad de nombres de dominio correspondiente (conocida como "Registrador" )registro.

Para todo el espacio de nombres de dominio, solía haber una sola autoridad de registro. Sin embargo, a medida que el gobierno de Estados Unidos continúa privatizando y globalizando toda la infraestructura de Internet, han surgido muchos registros.

El registro de recursos para el sitio web de la Corporación de Internet para la Asignación de Nombres y Números (ICANN). El servidor DNS secundario sirve como servidor de respaldo para ese servidor.

Para instalar un DNS primario. servidor

p>

En el menú Inicio, seleccione Programas\Herramientas administrativas y haga clic en DNS para habilitar el programa de consola DNS.

En el panel izquierdo, seleccione el servidor que está configurando.

Si no ha configurado un servidor DNS, haga clic en Configurar servidor en el menú Acción para iniciar el Asistente para configurar DNS. Este asistente lo guiará a través de la configuración del Área de búsqueda hacia adelante y el Área de búsqueda hacia atrás.

Nota Si este servidor DNS ya está configurado para otra zona, esta opción no está disponible en el menú. Debe hacer clic con el botón derecho en las carpetas "Área de búsqueda directa" y "Área de búsqueda inversa" respectivamente, señalar la nueva área e iniciar el "Asistente para nueva área". El proceso de configuración es similar a los pasos siguientes.

Sigue las instrucciones del asistente para configurar el área de búsqueda directa. Una "zona de búsqueda directa" es un conjunto de registros de recursos que traduce nombres de dominio en direcciones IP. Sin duda, este es el archivo de datos más importante de un servidor DNS.

En el cuadro de diálogo Asistente para nueva zona, haga clic en el botón Opciones para especificar el tipo de zona como Zona primaria estándar, que almacena los datos de la zona en un formato de archivo de texto tradicional.

Nota Si está utilizando un servidor Active Directory en su red, puede seleccionar el botón de opción Zona integrada de Active Directory. Esta opción permite que los datos de la zona se almacenen en una base de datos de Active Directory y se repliquen automáticamente en otros servidores de Active Directory.

Ingrese el nombre de dominio completo ("DuwamishOnline.com" en este ejemplo).

Acepte el nombre de archivo predeterminado para los nuevos archivos de zona.

Si es necesario, crea una zona de búsqueda inversa. Una "zona de búsqueda inversa" es un conjunto de registros de recursos que traduce las direcciones IP a los nombres de dominio correspondientes. Muchos servicios de Internet suelen requerir esta información para la verificación de seguridad.

Para configurar el nombre de la zona de búsqueda inversa, se le pedirá que ingrese el ID de la red externa. Por ejemplo, si el servidor DNS está en una red Clase C completa, ingrese los primeros tres segmentos de la dirección IP del servidor. Sin embargo, debe obtener esta información de su ISP. (Consulte /library/wcedoc/wcecomm/tcpip_11.htm para obtener más información sobre las clases de direcciones IP).

Utilice el nombre de la zona como nombre del archivo de datos para la zona de búsqueda inversa.

En este punto, ha completado la instalación del servidor DNS principal y está listo para configurar otros registros de recursos para la zona.

Configuración del servidor DNS primario

Hay muchas características útiles en el servidor DNS de Windows 2000. A continuación se describen los requisitos mínimos para configurar un servidor DNS primario para un clúster web como DuwamishOnline.com. Supongamos que ha creado con éxito una nueva región de búsqueda hacia adelante y hacia atrás como se describe anteriormente.

Para modificar SOA y registros del servidor de nombres

Desde el panel izquierdo de la consola DNS, expanda el árbol debajo del nombre de la computadora seleccionada. Señale el FQDN en la carpeta de la zona de búsqueda directa (en este caso, el FQDN es "duwamishonline.com"; haga clic derecho y seleccione Propiedades).

En el cuadro de diálogo Propiedades, haga clic en la pestaña Autoridad de inicio (SOA).

Modifique los campos del servidor principal según sea necesario. Este campo debe contener el FQDN del servidor DNS principal.

Modificar el campo de persona a cargo según sea necesario. Este campo debe contener la dirección de correo electrónico del administrador de DNS. Pero según los estándares DNS, se debe utilizar "." en lugar de "@". Por ejemplo, si la dirección de correo electrónico del administrador es "admin@duwamishonline.com", este campo debe contener "admin.duwamishonline.com".

Haga clic en la pestaña Servidores de nombres.

Si ha modificado el campo Servidor primario en la pestaña SOA, modifique la primera entrada del servidor.

Agregue una segunda entrada especificando el FQDN y la dirección IP del servidor DNS secundario.

Haga clic en la pestaña Copiar región.

Haga clic en el botón Opciones para permitir la replicación de zonas solo a los servidores enumerados en la pestaña Servidores de nombres. Haga clic en Aceptar.

Verá un nuevo registro de servidor de nombres con información del servidor DNS secundario.

Nota Puedes presionar la tecla F5 para actualizar la pantalla y ver los cambios.

Para crear un nuevo registro de dirección de host

Desde el panel izquierdo de la consola DNS, expanda el árbol debajo del nombre de la computadora seleccionada. Señale el FQDN en la carpeta de la zona de búsqueda directa (en este caso, el FQDN es "duwamishonline.com"; haga clic derecho y seleccione Nuevo host).

En el campo Nombre, ingrese el nombre de host del servidor web, por ejemplo, "www" en este ejemplo.

En el campo Dirección IP, introduzca la dirección IP del servidor web.

Seleccione esta casilla de verificación para crear un registro de puntero relacionado (PTR). De esta forma, se creará automáticamente un nuevo registro de puntero para el host correspondiente en el "área de búsqueda inversa".

Haga clic en el botón Agregar host y luego haga clic en Finalizar para aplicar los cambios.

Verás un nuevo registro de recursos en el "área de búsqueda directa".

Nota Puedes presionar la tecla F5 para actualizar la pantalla y ver los cambios.

Instalar un servidor DNS secundario

Instalar un servidor DNS secundario es tan fácil como instalar el servidor primario.

Tenga en cuenta que el servidor DNS secundario no se puede instalar en el mismo ordenador que el servidor DNS primario. Esto no produce redundancia en el servicio DNS.

Instalar un servidor DNS secundario

Realiza los pasos 1 y 2 de la sección "Instalación de DNS".

Luego, complete los mismos pasos que para instalar el servidor DNS primario, esta vez especificando el tipo de zona como Zona secundaria estándar. y le pide que agregue la dirección IP de su servidor DNS primario a la lista de servidores DNS primarios.