Compartir a través de

Integración de DNS de Windows en un espacio de nombres DNS existente

En este artículo se describe cómo integrar Windows DNS en una organización que ya tiene un espacio de nombres DNS implementado en el que el servidor DNS autoritativo de la zona con el nombre del dominio de Active Directory no admite RFC 2136 (actualizaciones dinámicas).

Número de KB original: 255913

Resumen

Una característica del sistema de nombres de dominio (DNS) de Windows es su compatibilidad con las actualizaciones dinámicas del host (documentadas en RFC 2136). Para aprovechar esta característica, DNS de Windows se puede implementar en entornos que no tienen otros servidores DNS, así como en entornos que ya tienen servidores DNS no dinámicos implementados (como BIND 4.9.7 y versiones anteriores, etc.). Al implementar Dns de Windows en un entorno que ya tiene implementados servidores BIND, tiene varias opciones de integración:

  • Migre zonas de servidores DNS autoritativos no dinámicos a servidores que ejecutan Windows DNS.
  • Delegar dominios DNS secundarios en un dominio DNS primario. Para los nombres de dominio de Active Directory que no tienen el mismo nombre que la raíz de una zona, delegue el subdominio a DNS de Windows. Por ejemplo, si el nombre del dominio de Active Directory es dev.reskit.com y la zona que contiene este nombre es reskit.com, delegue dev.reskit.com a un servidor basado en Windows que ejecute DNS.
  • Delegue cada uno de los subdominios usados por los registros de localizador del controlador de dominio (DC) (registros SRV) a un servidor basado en Windows. Estos subdominios son _msdcs.reskit.com, _sites.reskit.com, _tcp.reskit.comy _udp.reskit.com. Esta opción se usaría donde los nombres de dominio de Active Directory (por ejemplo, reskit.com) que son iguales que el nombre de la raíz de una zona (por ejemplo, reskit.com), no se pueden delegar directamente en un servidor basado en Windows que ejecuta DNS. Opcionalmente, los clientes pueden ser miembros del dominio de Active Directory denominado reskit.com, pero pueden registrarse en la zona DNS denominada dynamic.reskit.com.

En este artículo se documenta la cuarta opción enumerada anteriormente, cómo integrar Windows DNS en una organización que ya tiene un espacio de nombres DNS implementado en el que el servidor DNS autoritativo para la zona con el nombre del dominio de Active Directory no admite RFC 2136 (actualizaciones dinámicas). En este artículo también se describe un escenario en el que los miembros del dominio usan un sufijo DNS principal diferente del nombre del dominio de Active Directory para permitir el registro dinámico de registros DNS por equipos basados en Windows cuando el servidor DNS autoritativo para la zona con el nombre del dominio de Active Directory no admite actualizaciones dinámicas de DNS.

Más información

Para integrar Windows DNS en un espacio de nombres existente basado en servidores DNS no dinámicos, puede delegar los subdominios usados por los registros de localizador (registros SRV) para que se puedan usar actualizaciones dinámicas (según RFC 2136). Siga estos pasos:

  1. En el servidor DNS no dinámico que es autoritativo para la zona con el nombre del dominio de Active Directory, delegue las siguientes zonas a un servidor basado en Windows 2000 que ejecuta DNS:

    _UDP. DNSDomainName
    _TCP. DNSDomainName
    _Sitios. DNSDomainName
    _msdcs. DNSDomainName

    Por ejemplo, si la zona raíz se denomina reskit.com, delega _udp.reskit.com, _tcp.reskit.com, _sites.reskit.com, y _msdcs.reskit.com al servidor basado en Windows.

    También debe delegar dos subdominios adicionales:

    ForestDnsZones. ForestDNSName
    DomainDnsZones. DNSDomainName

  2. En el servidor basado en Windows, cree las zonas reenviadas delegadas en el paso 1 y habilite las zonas para la actualización dinámica.

    Para crear las nuevas zonas:

    1. Inicie el Administrador de DNS en el servidor Windows.

    2. Expanda el servidor DNS adecuado en el Administrador de DNS.

    3. Haga clic con el botón derecho en la carpeta Zonas de búsqueda directa y, a continuación, haga clic en Nueva zona.

    4. Cuando se inicie el Asistente para nueva zona, haga clic en Siguiente, seleccione "Zona principal" y quizás seleccione Almacenar la zona en Active Directory y, a continuación, haga clic en Siguiente.

    5. Para las zonas integradas en AD, seleccione dónde deben ir los datos de zona, ya sea a todos los servidores DNS del dominio o bosque, o a todos los DCS del dominio (solo la opción en Windows 2000).

    6. Escriba el nombre de la zona en el cuadro nombre. Por ejemplo, escriba _msdcs.reskit.com.

    7. Haga clic en Next. Después de revisar el resumen del asistente, haga clic en Finalizar.

    Para permitir que la zona acepte actualizaciones dinámicas:

    1. Con el Administrador de DNS en el servidor De Windows que ejecuta DNS, haga clic con el botón derecho en la nueva zona, haga clic en Propiedadesy, a continuación, haga clic en la pestaña General.
    2. En el cuadro Permitir actualizaciones dinámicas, haga clic en Solo actualizaciones seguras (recomendadas) o Sí. La opción Solo actualizaciones seguras solo está disponible después de que el servidor se haya promocionado a un controlador de dominio. Repita este proceso hasta que se hayan creado y permitido las actualizaciones dinámicas de las cuatro zonas descritas en el paso 1. Esto permite que los registros de localizador de controladores de dominio se registren y desconscriba dinámicamente en DNS.

  3. Además, se puede crear y configurar una sola zona o varias zonas para permitir que los clientes y servidores se registren dinámicamente con el servidor de Windows. Por ejemplo, se podría usar una zona denominada dynamic.reskit.com para registrar todos los clientes y servidores de una red a través de actualizaciones dinámicas. Para configurar esta zona:

    1. En el servidor DNS no dinámico que es autoritativo para la zona primaria (por ejemplo, reskit.com), delegue una nueva zona al servidor basado en Windows que ejecuta DNS. Por ejemplo, delegue .dynamic.reskit.com zona al servidor de Windows.
    2. En el servidor de Windows, cree una zona de búsqueda directa para la zona delegada anteriormente (dynamic.reskit.com).
    3. En el servidor de Windows, habilite las zonas para las actualizaciones dinámicas.

  4. Cuando se inician los controladores de dominio de Windows, el servicio Netlogon intenta registrar varios registros SRV en la zona autoritativa. Dado que las zonas en las que se van a registrar los registros SRV se han delegado (en los pasos 1 y 2) a un servidor de Windows donde se pueden actualizar dinámicamente, estos registros se realizarán correctamente. Además, un controlador de dominio intentará registrar los registros A enumerados en su archivo Netlogon.dns en la zona raíz (por ejemplo reskit.com). En este caso, dado que la zona raíz se encuentra en un servidor DNS no dinámico, estas actualizaciones no se realizarán correctamente. El siguiente evento se generará en el registro del sistema en el controlador de dominio:

    Tipo de evento: advertencia
    Origen del evento: NETLOGON
    Categoría del evento: ninguna
    Identificador de evento: 5773
    Fecha: <DateTime>
    Hora: <DateTime>
    Usuario: N/D
    Equipo: DC
    Descripción:
    El servidor DNS para este controlador de dominio no admite DNS dinámico. Agregue los registros DNS del archivo %SystemRoot%\System32\Config\netlogon.dns al servidor DNS que atiende el dominio al que se hace referencia en ese archivo.

    Para corregir este comportamiento:

    1. Cada controlador de dominio de Windows tiene un archivo Netlogon.dns ubicado en su carpeta %SystemRoot%\System32\Config. Este archivo contiene una lista de registros DNS que el controlador de dominio intentará registrar cuando se inicie el servicio Netlogon. Es una buena idea realizar una copia de este archivo antes de realizar los siguientes cambios para que tenga una lista de los registros originales que el controlador de dominio intenta registrar con el servidor DNS. Tenga en cuenta que cada controlador de dominio tendrá registros diferentes porque estos registros son específicos de cada adaptador de red en cada controlador de dominio. Examine el archivo Netlogon.dns para identificar todos los registros A del archivo. Puede identificar registros A por el tipo de registro que sigue al descriptor de clase "IN". Por ejemplo, las dos entradas siguientes son registros A:

      reskit.com. 600 EN 10.10.10.10.10
      gc._msdcs.reskit.com. 600 EN 10.10.10.10.10

      El número de registros A del archivo Netlogon.dns depende del número de adaptadores que tiene el controlador de dominio, el número de direcciones IP con las que se ha configurado cada adaptador y el rol del controlador de dominio. Registro de controladores de dominio:

      • Un registro A por cada una de sus direcciones IP para el nombre del dominio.
      • Si el controlador de dominio también es un servidor de catálogo global (GC), registra gc._msdcs. DnsForestName para cada una de sus direcciones IP.

    2. Dado que el servidor DNS no dinámico no aceptará los intentos del controlador de dominio para registrar dinámicamente los registros A, los registros A deben configurarse manualmente en el servidor DNS autoritativo (en el ejemplo de este artículo, el servidor DNS autoritativo para la zona reskit.com). La adición del registro A correspondiente al nombre del dominio (por ejemplo, reskit.com) no es necesario para la implementación de Windows y puede ser necesario solo si los clientes LDAP de terceros que no admiten registros DNS SRV buscan los controladores de dominio de Windows.

      En el servidor de Windows, cree los registros A específicos del servidor de GC identificados en el paso A, en la zona adecuada. Por ejemplo, cree un registro A para el servidor gc en la zona _msdcs.reskit.com.

      En el servidor DNS no dinámico que es autoritativo para la raíz de la zona, cree registros A en la zona raíz (por ejemplo, reskit.com) para los registros A no específicos del servidor de GC identificados en el paso A. Por ejemplo, cree un registro A para reskit.com en la reskit.com zona.

    3. La siguiente clave del Registro debe usarse para impedir que el controlador de dominio intente registrar los registros A vistos en el archivo Netlogon.dns. Establezca el valor REG_DWORD RegisterDnsARecords en 0 (cero) en:

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  5. Para corregir este comportamiento: una vez que tenga un bosque y un dominio de Active Directory, debe integrar Active Directory con los dominios DNS de los que es responsable el servidor de Windows que ejecuta DNS. Además, debe volver a configurar las zonas que se han configurado para aceptar actualizaciones dinámicas para aceptar solo actualizaciones dinámicas seguras.