¿Cómo configuro el DNS de mi computadora? Gracias.
Método de configuración de DNS
El siguiente es el dominio de nivel superior más común: com, utilizado para organizaciones comerciales. edu, para instituciones educativas. org, para organizaciones sin fines de lucro. net, utilizado en organizaciones de redes informáticas. gov, para organizaciones gubernamentales de EE. UU. Código de país/región de dos o tres letras, como jp es el código de Japón. Los nombres de dominio de diferentes organizaciones se enumeran debajo de cada dominio de nivel superior en consecuencia.
Los siguientes son los dominios de nivel superior más comunes:
com, utilizado por organizaciones comerciales.
edu, para instituciones educativas.
org, para organizaciones sin fines de lucro.
net, utilizado en organizaciones de redes informáticas.
gov, para organizaciones gubernamentales de Estados Unidos.
Código de país/región de dos o tres letras; por ejemplo, jp es el código de Japón.
Los nombres de dominio de diferentes organizaciones se ramifican y expanden en consecuencia en cada dominio de nivel superior. Puede desglosar aún más la estructura de árbol para incluir nombres de dominio adicionales (llamados subdominios) para los departamentos dentro de su organización. Finalmente, agregue el nombre del host al frente de la estructura del nombre para formar el FQDN, como "server2.msdn.microsoft.com". De hecho, "msdn.microsoft.com" también es un FQDN, que hace referencia a un clúster de servidores web en microsoft.com.
Cómo funciona DNS
DNS es un sistema de base de datos distribuida que proporciona información que convierte los nombres de dominio en las direcciones IP correspondientes. Este método de convertir nombres en direcciones IP se llama resolución de nombres.
Generalmente, cada organización tiene su propio servidor DNS y mantiene registros de recursos o registros de bases de datos de mapeo de nombres de dominio. Al solicitar la resolución de nombres, el servidor DNS primero verifica si hay una dirección IP correspondiente en sus propios registros. Si no lo encuentra, solicitará la información a otros servidores DNS.
Por ejemplo, cuando se solicita a un navegador web que acceda al sitio "msdn.microsoft.com", resolverá la dirección IP del nombre de dominio mediante los siguientes pasos:
El navegador web llama al cliente DNS (llamado solucionador) y resuelve la consulta localmente utilizando información almacenada en caché de la última consulta.
Si la consulta no se puede resolver localmente, el cliente solicita la respuesta a un servidor DNS conocido. Si el servidor DNS ha procesado una solicitud para el mismo nombre de dominio ("msdn.microsoft.com") dentro de un período de tiempo específico, recuperará la dirección IP correspondiente en el caché y se la devolverá al cliente.
Si el servidor DNS no puede encontrar la dirección correspondiente, el cliente solicitará un servidor DNS raíz global, que devuelve un puntero al servidor DNS autorizado del dominio de nivel superior. En este caso, la dirección IP del servidor autorizado para el dominio "com" se devolverá al cliente.
De manera similar, el cliente solicita al servidor "com" la dirección del servidor "microsoft.com". Luego, el cliente pasa la consulta original al servidor "microsoft.com".
Debido a que el servidor "microsoft.com" mantiene localmente el registro autorizado para el dominio "msdn.microsoft.com", devuelve los resultados finales al cliente y completa la consulta para la dirección IP específica.
Tenga en cuenta que los registros de recursos DNS se pueden almacenar en caché en cualquier número de servidores DNS de la red. Es posible que el servidor DNS mencionado en el paso 2 no contenga un registro de caché para "msdn.microsoft.com". Sin embargo, es posible que tenga un registro para "microsoft.com" y, más probablemente, para el dominio "com". Esto acelera todo el proceso de búsqueda al eliminar una o varias consultas que el cliente debe realizar para obtener los resultados finales.
Para mantener la información actualizada en la caché DNS, los registros de la caché tienen una configuración de "tiempo de vida" asociada con la información (similar a la vida útil de la leche). Cuando los registros caducan, se deben buscar nuevamente.
Registros de recursos DNS
Como se mencionó anteriormente, cada base de datos DNS está compuesta por registros de recursos. En términos generales, los registros de recursos contienen información sobre un host específico, como la dirección IP, el propietario del host o el tipo de servicio proporcionado.
Tipo de registro de recurso
Descripción
Explicación
SOA
Autoridad inicial
Este registro especifica el punto de partida de la región. Contiene información como el nombre de la zona, la dirección de correo electrónico del administrador de la zona y configuraciones que indican al servidor DNS secundario cómo actualizar el archivo de datos de la zona.
Tipos de registros de recursos utilizados habitualmente
Una dirección Este registro enumera la dirección IP de un nombre de host específico. Este es un registro importante para la resolución de nombres.
Nombre calificado CNAME Este registro especifica un alias para un nombre de host completo.
MX Mail Exchanger Este registro enumera los hosts responsables de recibir el correo electrónico enviado al dominio.
NS Name Server Este registro especifica el servidor de nombres responsable de una zona determinada.
Zonas DNS
Generalmente, una base de datos DNS se puede dividir en diferentes conjuntos de registros de recursos relacionados. Cada conjunto de registros que contiene se denomina región. Una zona puede contener registros de recursos para un dominio completo, parte de un dominio o solo uno o algunos subdominios.
El servidor DNS que administra una determinada zona (o conjunto de registros) se denomina servidor de nombres autorizado para esa zona. Cada servidor de nombres puede ser el servidor de nombres autorizado para una o más zonas.
El objetivo principal de dividir varias zonas en un dominio es simplificar la tarea de administrar DNS, es decir, delegar un conjunto de servidores de nombres autorizados para administrar cada zona. Con una estructura tan distribuida, los administradores de cada dominio pueden gestionar eficazmente sus respectivos subdominios a medida que el espacio de nombres de dominio continúa expandiéndose.
A veces resulta difícil distinguir entre regiones y dominios.
Una región es un subconjunto de un dominio. Piense en ello como una rama (o subárbol) del espacio de nombres del dominio. Por ejemplo, un servidor de nombres de Microsoft puede ser el servidor de nombres autorizado para la zona "microsoft.com", la zona "msdn.microsoft.com" y la zona "marketing.microsoft.com" al mismo tiempo. Sin embargo, puede delegar la administración de la zona de un subdominio (como "msdn.microsoft.com") a otros servidores de nombres privados. Si configura una zona que contiene registros de recursos para todo el dominio, la zona tiene el mismo alcance que el dominio.
Para Windows 2000, la información de zona se almacena en formato de archivo de texto tradicional o se integra en la base de datos de Active Directory. Más adelante, explicaremos cómo funcionan juntos DNS y Active Directory.
Servidor DNS primario y servidor DNS secundario
Para garantizar una alta disponibilidad de los servicios, DNS requiere el uso de múltiples servidores de nombres para admitir de forma redundante cada zona.
Los registros de recursos de una zona se actualizan manual o automáticamente en un único servidor de nombres primario (llamado servidor DNS primario). El servidor DNS primario puede ser el servidor de nombres autorizado para una o varias zonas.
Otros servidores de nombres redundantes (llamados servidores DNS secundarios) sirven como servidores de respaldo para el servidor primario en la misma zona en caso de que el servidor primario se vuelva inaccesible o deje de funcionar. El servidor DNS secundario se comunica periódicamente con el servidor DNS primario para garantizar que la información de su zona permanezca actualizada. Si la información no está actualizada, el servidor DNS secundario obtendrá una copia del archivo de datos de zona más reciente del servidor primario. Este proceso de copiar archivos de zona a varios servidores de nombres se denomina replicación de zona.
La relación entre Active Directory y DNS
Active Directory es un nuevo servicio de directorio en Windows 2000. Este servicio almacena información sobre todos los recursos de la red, como computadoras, carpetas compartidas, usuarios y más. También pone dicha información a disposición de los usuarios y las aplicaciones a través de protocolos de Internet estándar (Protocolo ligero de acceso a directorios, LDAP).
Para obtener más información sobre Active Directory, consulte el artículo de Technet Configuración de un dominio de Active Directory.
En comparación con el controlador de dominio de Microsoft Windows NT 4.0, Active Directory tiene una relación más estrecha con DNS. De hecho, se requiere DNS para admitir Active Directory. Normalmente, al instalar un servidor Active Directory, si no se puede encontrar el servidor DNS en la red, el servidor DNS se instalará durante el proceso de instalación.
Servicio de localización que admite controladores de dominio
Uno de los conceptos nuevos más importantes de Windows 2000 es que las computadoras ya no se identifican principalmente por los nombres del Sistema básico de entrada/salida de red (NetBIOS). en su lugar, utilice un nombre de dominio DNS completo (FQDN) para identificarlo, como "servidor1.duwamishonline.com".
Por lo tanto, para iniciar sesión y acceder a los recursos en un dominio de Windows NT, una computadora con Windows 2000 debe encontrar un servidor DNS, que ayuda a ubicar el controlador de dominio de Active Directory. En otras palabras, DNS sirve como servicio de localización para controladores de dominio.
Integración con Active Directory
Otra característica importante del servidor DNS de Windows 2000 es que las zonas DNS se pueden integrar en Active Directory para proporcionar características de seguridad y tolerancia a fallos mejoradas. Cada zona integrada con Active Directory se replica automáticamente en todos los controladores de dominio en el dominio de Active Directory.
Sin embargo, el servidor DNS de Windows 2000 aún se puede configurar como un servidor DNS tradicional basado en archivos. Sin embargo, para proporcionar tolerancia a fallas del servicio DNS, se debe instalar manualmente un servidor DNS secundario además del servidor DNS primario.
Configurar el servicio DNS de DuwamishOnline
DuwamishOnline requiere el uso de resolución de nombres de dominio externo e interno.
Externamente, el servicio DNS resuelve "www.DuwamishOnline.com" en la dirección IP del servidor web. La aplicación DuwamishOnline utiliza resolución de nombres interna para resolver el nombre del servidor. Para acceder a la cola pública de Message Queue Server (MSMQ) desde el componente de cola COM (QC), debe utilizar Active Directory, que a su vez requiere el uso de DNS. Para obtener más información sobre MSMQ y la arquitectura de red, consulte el artículo sobre DuwamishOnlineMessageQueuingConfiguration.
Instalar servicios DNS en Windows 2000 es relativamente sencillo. Sin embargo, los requisitos de seguridad para la información DNS externa e interna son diferentes. En esta sección, analizamos estos problemas de seguridad y sus posibles soluciones. Discutiremos la relación entre el servicio Active Directory (utilizado por la configuración de Message Queue Server) y DNS en el grupo DuwamishOnlineWeb. También te contamos cómo registrar un nombre de dominio y cómo instalar un servidor DNS con Windows 2000.
Problemas de seguridad de la información DNS pública y privada
Inicialmente, instalamos dos servidores DNS: un servidor DNS primario y un servidor DNS secundario para redundancia. En estos servidores DNS se configuran dos zonas: una para el dominio externo de Internet "DuwamishOnline.com" y otra para el dominio interno "InternalDomain.com".
Como se mencionó anteriormente, la instalación de un servidor DNS para dominios internos es un nuevo requisito para los dominios de Active Directory de Windows 2000.
Usando esa configuración original, configure los servidores DNS para que sean "multimaestro" tanto para el dominio interno como para el externo; por ejemplo, la tarjeta de interfaz de red externa (NIC) tiene una dirección IP de 192.168.100.1 y la NIC interna tiene una dirección IP. dirección de 10.10.10.1.
Permite a los usuarios de Internet consultar el servidor para zonas externas. Sin embargo, debido a que el mismo servidor DNS administra las zonas externa e interna, los usuarios externos también pueden consultar el servidor para la zona interna. Los usuarios de Internet pueden acceder a toda la información DNS del dominio interno utilizando herramientas de red básicas como Name Service Search, NSLookup.
En teoría, es imposible enrutar ningún paquete de red al dominio interno para atacar directamente al servidor interno. Sin embargo, cuanta menos información interna se filtre al mundo exterior, más segura será la operación. Esto evita que se aprovechen posibles vulnerabilidades en los servidores back-end, donde se almacena información comercial importante, para seguir robando información confidencial.
Soluciones para la implementación de DNS
A continuación se enumeran algunas soluciones a los problemas de seguridad de la configuración original:
Utilice servidores DNS separados para ambos dominios/zonas.
El DNS externo está alojado en el proveedor de servicios de Internet (ISP).
Coloque ambas zonas en un servidor y configure Active Directory con los controles de acceso correctos.
Usar servidores DNS separados
Una forma de resolver el problema de seguridad es usar dos servidores DNS separados para separar las operaciones DNS de las dos zonas, una en el segmento de red de dominio público y otra en el segmento de red de dominio público. el otro sólo se utiliza para consultas DNS internas.
Sin embargo, para operaciones web pequeñas, no desea administrar un servidor adicional. De hecho, según la recomendación general de configurar al menos dos servidores de nombres autorizados por zona, entonces necesitamos instalar cuatro servidores DNS para proporcionar suficiente tolerancia a fallos para ambos dominios (con servidores DNS primarios y secundarios). De esta manera, si uno de los servidores falla, el sitio seguirá funcionando normalmente.
En granjas web más grandes, esta puede ser la configuración preferida, ya que proporciona control absoluto sobre todo el entorno operativo y minimiza la dependencia de sistemas de terceros.
Tener un ISP que aloje el DNS externo
Otro método común es que el proveedor de servicios de Internet mantenga el dominio externo, mientras nosotros mismos seguimos administrando los servidores DNS del dominio interno. Para este tipo de configuración, el servidor DNS sólo está conectado a la red interna, no es accesible desde Internet.
Esta es probablemente la forma más sencilla de aislar dos dominios y minimizar la sobrecarga adicional de administrar servidores DNS adicionales. Al mismo tiempo, los ISP proporcionan una mejor redundancia de sistemas y redes para sus servidores DNS. Luego podemos instalar un servidor DNS secundario en la red interna para proporcionar tolerancia a fallas para las búsquedas internas de nombres.
Configuración del control de acceso a Active Directory
Puede colocar dos zonas en un servidor e integrar la zona con las funciones de seguridad de Active Directory. Al controlar adecuadamente el acceso a los archivos DNS en Active Directory, las consultas DNS internas se pueden limitar a usuarios autenticados.
Sin embargo, no hemos verificado esta solución. Debido a la complejidad del esquema, fue necesaria una extensa experimentación para garantizar que la configuración fuera correcta y que la información interna no se exportara accidentalmente a Internet.
Registro de un nombre de dominio
Para evitar conflictos de espacio de nombres con otras organizaciones, el nombre designado del dominio externo "DuwamishOnline.com" debe estar registrado por la autoridad de nombres de dominio correspondiente (denominada "Registrador" )registro.
Para todo el espacio de nombres de dominio, solía haber una sola autoridad de registro. Sin embargo, a medida que el gobierno de Estados Unidos continúa privatizando y globalizando toda la infraestructura de Internet, han surgido muchos registros.
Registros de recursos en el sitio web de la Corporación para la Asignación de Nombres y Números de Internet (ICANN).
El servidor DNS secundario sirve como servidor de respaldo para este servidor.
Para instalar el servidor DNS principal
Desde el menú Inicio, seleccione Programas\Herramientas administrativas. Haga clic en DNS para habilitar el programa de consola DNS.
En el panel izquierdo, seleccione el servidor que está configurando.
Si el servidor DNS aún no se ha configurado, haga clic en Configurar servidor en el menú Acción para iniciar el "Asistente para configurar DNS". Este asistente lo guiará a través de la configuración del Área de búsqueda hacia adelante y el Área de búsqueda hacia atrás.
Ten en cuenta que si este servidor DNS ha sido configurado para otras zonas, esta opción no estará disponible desde el menú. Debe hacer clic con el botón derecho en las carpetas "Área de búsqueda directa" y "Área de búsqueda inversa" respectivamente, señalar la nueva área e iniciar el "Asistente para nueva área". El proceso de configuración es similar a los pasos siguientes.
Sigue las instrucciones del asistente para configurar el área de búsqueda directa. Una "zona de búsqueda directa" es un conjunto de registros de recursos que convierten nombres de dominio en direcciones IP. Sin duda, este es el archivo de datos más importante del servidor DNS.
En el cuadro de diálogo Asistente para nueva zona, haga clic en el botón Opciones para especificar el tipo de zona como Zona primaria estándar, que almacena los datos de la zona en un formato de archivo de texto tradicional.
Nota Si está utilizando un servidor Active Directory en su red, puede seleccionar el botón de opción Zona integrada de Active Directory. Esta opción permite que los datos de la zona se almacenen en la base de datos de Active Directory y se repliquen automáticamente en otros servidores de Active Directory.
Ingrese el nombre de dominio completo ("DuwamishOnline.com" en este ejemplo).
Acepte el nombre de archivo predeterminado para los nuevos archivos de zona.
Si es necesario, crea una zona de búsqueda inversa. Una "zona de búsqueda inversa" es un conjunto de registros de recursos que traduce las direcciones IP a los nombres de dominio correspondientes. Muchos servicios de Internet suelen requerir esta información para la verificación de seguridad.
Para configurar el nombre de la zona de búsqueda inversa, se le pedirá que ingrese el ID de la red externa. Por ejemplo, si el servidor DNS está en una red Clase C completa, ingrese los primeros tres segmentos de la dirección IP del servidor. Sin embargo, debe obtener esta información de su ISP. (Para obtener más información sobre las clases de direcciones IP, consulte /library/wcedoc/wcecomm/tcpip_11.htm.)
Utilice el nombre de la zona como nombre del archivo de datos para la zona de búsqueda inversa.
En este punto, ha completado la instalación del servidor DNS principal y está listo para configurar otros registros de recursos para la zona.
Configuración del servidor DNS primario
Hay muchas funciones útiles en el servidor DNS de Windows 2000. A continuación se describen los requisitos mínimos para configurar el servidor DNS principal para un grupo web como DuwamishOnline.com. Supongamos que ha creado con éxito una nueva región de búsqueda hacia adelante y hacia atrás como se describe anteriormente.
Para modificar SOA y registros del servidor de nombres
Desde el panel izquierdo de la consola DNS, expanda el árbol debajo del nombre de la computadora seleccionada. Señale el FQDN en la carpeta de la zona de búsqueda directa (en este caso, el FQDN es "duwamishonline.com"; haga clic derecho y seleccione Propiedades).
En el cuadro de diálogo Propiedades, haga clic en la pestaña Autoridad de inicio (SOA).
Modifique los campos del servidor principal según sea necesario. Este campo debe contener el FQDN del servidor DNS principal.
Modificar el campo de persona a cargo según sea necesario. Este campo debe contener la dirección de correo electrónico del administrador de DNS. Pero según los estándares DNS, se debe utilizar "." en lugar de "@". Por ejemplo, si la dirección de correo electrónico del administrador es "admin@duwamishonline.com", este campo debe contener "admin.duwamishonline.com".
Haga clic en la pestaña Servidores de nombres.
Si ha modificado el campo Servidor primario en la pestaña SOA, modifique la primera entrada del servidor.
Agregue un segundo elemento para especificar el FQDN y la dirección IP del servidor DNS secundario.
Haga clic en la pestaña Copiar región. Haga clic en el botón Opciones para permitir la replicación de zonas solo a los servidores enumerados en la pestaña Servidores de nombres. Haga clic en Aceptar.
Verás un nuevo registro de "Servidor de nombres" con la información del servidor DNS secundario.
Ten en cuenta que puedes presionar la tecla F5 para actualizar la pantalla y ver los cambios.
Para crear un nuevo registro de dirección de host
Desde el panel izquierdo de la consola DNS, expanda el árbol debajo del nombre de la computadora seleccionada. Señale el FQDN en la carpeta de la zona de búsqueda directa (en este caso, el FQDN es "duwamishonline.com"; haga clic derecho y seleccione Nuevo host).
En el campo Nombre, ingrese el nombre de host del servidor web, por ejemplo, "www" en este ejemplo.
En el campo Dirección IP, introduzca la dirección IP del servidor web.
Seleccione esta casilla de verificación para crear un registro de puntero relacionado (PTR). De esta forma, se creará automáticamente un nuevo registro de puntero para el host correspondiente en el "área de búsqueda inversa".
Haga clic en el botón Agregar host y luego haga clic en Finalizar para aplicar los cambios.
Verás un nuevo registro de recursos en el "área de búsqueda directa".
Ten en cuenta que puedes presionar la tecla F5 para actualizar la pantalla y ver los cambios.
Instalar un servidor DNS secundario
Instalar un servidor DNS secundario es tan fácil como instalar el servidor primario.
Tenga en cuenta que el servidor DNS secundario y el servidor DNS primario no se pueden instalar en el mismo ordenador. De esta forma no habrá redundancia en el servicio DNS.
Instale un servidor DNS secundario
Realice los pasos 1 y 2 en la sección "Instalación de DNS".
Luego, complete los mismos pasos que para instalar el servidor DNS primario, esta vez especificando el tipo de zona como Zona secundaria estándar. Y le pedirá que agregue la dirección IP de su servidor DNS principal a la lista de servidores DNS principal.