Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe el impacto y la compatibilidad con los servidores raíz habilitados para DNSSEC para los sistemas operativos cliente y servidor de Windows, así como los equipos que hospedan el rol servidor DNS.
Número de KB original: 2028240
Resumen
ICANN y VeriSign han configurado servidores DNS que hospedan la zona raíz para usar DNSSEC.
En este artículo se resume el impacto de habilitar DNSSEC en servidores DNS de zona raíz en clientes y servidores windows.
| Versión y rol del sistema operativo | Impacto |
|---|---|
Windows 2000 Professional Windows 2000 Server Windows XP Windows Server 2003 Windows Server 2003 R2 Windows Vista Windows Server 2008 |
No se requiere ningún cambio de configuración. DNSSEC es una tecnología de servidor DNS. Los clientes DNS de Windows no se ven afectados por DNSSEC. DNSSEC solo está habilitado por los servidores DNS que solicitan DNSSEC. Estas versiones del servidor DNS de Microsoft no son compatibles con DNSSEC y no deben verse afectadas por la habilitación de DNSSEC en zonas raíz dns. |
| Windows 7 y Windows Server 2008 R2 con DNSSEC deshabilitado |
No se requiere ningún cambio de configuración. DNSSEC es una tecnología de servidor DNS. Los clientes DNS de Windows no se ven afectados por DNSSEC DNSSEC solo está habilitado por los servidores DNS que solicitan DNSSEC. DNSSEC no está habilitado para servidores DNS de Windows Server 2008 R2 de forma predeterminada. Estos servidores DNS no deben verse afectados por la habilitación de DNSSEC en zonas raíz de DNS. |
Servidores DNS de Windows Server 2008 R2 con DNSSEC habilitado |
No se requiere ningún cambio de configuración adicional mediante la habilitación de DNSSEC en servidores DNS de zona raíz. Microsoft ha probado y comprobado los servidores DNS habilitados para DNSSEC para Windows Server 2008 R2 para interoperar con servidores de zona raíz habilitados para DNSSEC en Internet. Si desea implementar DNSSEC, consulte la Guía de implementación de MICROSOFT DNSSEC para conocer los requisitos para implementar DNSSEC, incluida la compatibilidad con paquetes UDP de gran tamaño que necesitan los marcos EDNS con formato UDP que usa DNSSEC. |
Más información
Varias entradas de blog y artículos de prensa han sugerido que la habilitación de DNSSEC en servidores DNS que hospedan la zona raíz provocaría un error en las consultas DNS para los nombres de Internet.
Estos artículos y la implementación de DNSSEC en sí han llevado a los clientes de Microsoft a preguntar si la transición de DNSSEC en las zonas raíz afectaría a la capacidad de los clientes y servidores de Windows, incluidos los que hospedan el rol servidor DNS de Microsoft, para experimentar problemas de resolución de nombres.
Impacto en los clientes de Microsoft Windows
Los clientes DNS de Windows no requieren configuración adicional como resultado de que DNSSEC esté habilitado en los servidores DNS de la zona raíz.
Impacto en los servidores DNS de Microsoft
Por este sitio web DNSSEC se ha habilitado originalmente en 2010.01.27 y se ha habilitado sistemáticamente en servidores de zona raíz adicionales durante los meses de febrero, marzo y abril de 2010. En el momento en que doce de los trece servidores raíz se habían pasado a la DURZ, no se había identificado ningún efecto perjudicial. Si la habilitación de DNSSEC en los servidores DNS de la zona raíz causó un problema, se habría observado mucho antes de la habilitación de DNSSEC en la última de 13 zonas raíz el 5 de mayo de 2010. A partir de 2010.05.07, no se han identificado problemas verificables para habilitar DNSSEC en zonas raíz.
Más importante, estas notificaciones no pueden considerar que DNSSEC solo está habilitada por los autores de llamadas (servidores DNS) que solicitan DNSSEC. Habilitar DNSSEC en un servidor de destino, como los que hospedan zonas raíz, no cambia nada en la respuesta DNS a los autores de llamadas que no solicitan DNSSEC. Este cambio allana el camino para más uso de EDNS en el futuro, específicamente para DNSSEC. Los servidores y clientes que envían solicitudes DNS a los servidores raíz no tienen que realizar ningún cambio.
Los servidores DNS anteriores a Windows Server 2008 R2 no son capaces de solicitar la funcionalidad DNSSEC y no requieren ningún cambio de configuración para interoperar con servidores DNSSEC habilitados para DNSSEC que hospedan la raíz o cualquier otra zona DNSSEC habilitada para DNSSEC.
Los servidores DNS de Windows Server 2008 R2 son compatibles con DNSSEC, pero la característica está desactivada de forma predeterminada. Estos servidores DNS no requieren ningún cambio de configuración adicional para interoperar con servidores habilitados para DNSSEC y no deben experimentar errores debido a la habilitación de DNSSEC en servidores de zona raíz.
Los equipos de desarrollo y pruebas de Microsoft han probado los servidores DNS de Windows Server2008 R2 configurados para usar DNSSEC y han demostrado ser totalmente interoperables con servidores de zona raíz habilitados para DNSSEC. Los administradores deben tener en cuenta que la habilitación de DNSSEC en Microsoft y productos de terceros permite implícitamente el uso de EDNS, una extensión DNS que puede generar marcos con formato UDP grandes (mayores de 512 bytes) para comunicar datos a través de la red.
Hay problemas conocidos con dispositivos de infraestructura de red, como enrutadores y firewalls que quitan, fragmentan o cambian el orden de llegada de más de 512 bytes paquetes de red con formato UDP generados por Kerberos o EDNS. Cada caso puede provocar un error en las consultas DNS. Asegúrese de que la infraestructura de red es capaz de pasar paquetes de red con formato UDP grandes.
Por RFC 4035, se deben admitir tamaños de paquete UDP de hasta 1220 bytes y se deben admitir paquetes de hasta 4000 bytes. Windows Server 2008 R2 usa un tamaño de paquete predeterminado de 4000 bytes de forma predeterminada.
El servidor de pruebas de tamaño de respuesta DNS de OARC documenta el uso de una prueba de tamaño de respuesta mediante DIG. Esta funcionalidad se puede replicar mediante la sintaxis NSLOOKUP:
>nslookup [-d2] -type=txt rs.dns-oarc.net. \<your DNS Server IP> <- where "[-d2]" is an optional verbose logging parameter
En resumen, no hay necesidad real de EDNS si no usa DNSSEC. Microsoft sugiere que deja deshabilitado EDNS. Sin embargo, si los administradores quieren habilitarlo, primero deben hacerlo en algunas máquinas y probarlos para asegurarse de que se pueden resolver todos los nombres de Internet.
Vínculos relacionados
- Información sobre DNSSEC para la zona raíz
- No es probable que DNSSSEC interrumpa Internet el 5 de mayo (autor: Bill Detwiler, TechRepublic)
- Advertencia: ¿Por qué su Internet podría fallar el 5 de mayo (autor: Brett Winterford, ITNews para empresas australianas)
- ¿DNSSEC matará a Internet? (autor: Kevin Murphy, El Registro)
- Servidor de prueba de tamaño de respuesta DNS de OARC
- La historia del enrutador de correo misteriosamente mal funcionamiento (también conocido como EDNS y escapes de Exchange)
- Guía de implementación de DNSSEC de Microsoft