Novedades del servidor DNS en Windows Server

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

En este tema se describe la funcionalidad del servidor del Sistema de nombres de dominio (DNS) nueva o modificada en Windows Server 2016.

En Windows Server 2016, el servidor DNS ofrece compatibilidad mejorada en las áreas siguientes.

Funcionalidad Nueva o mejorada Descripción
Directivas DNS Nuevo Puede configurar directivas DNS para especificar cómo responde un servidor DNS a las consultas DNS. Las respuestas DNS pueden basarse en la dirección IP del cliente (ubicación), la hora del día y otros parámetros. Las directivas DNS permiten DNS con control de ubicación, administración del tráfico, equilibrio de carga, DNS de cerebro dividido y otros escenarios.
Limitación de la velocidad de respuesta (RRL) Nuevo Puede habilitar la limitación de la velocidad de respuesta en los servidores DNS. Al hacerlo, evita la posibilidad de que sistemas malintencionados que usan los servidores DNS inicien un ataque por denegación de servicio en un cliente DNS.
Autenticación basada en DNS de entidades con nombre (DANE) Nuevo Puede usar registros TLSA (autenticación de seguridad de la capa de transporte) para proporcionar información a los clientes DNS que den su nombre de dominio a qué entidad de certificación deben esperar un certificado. Esto evita los ataques de tipo "Man in the middle" en los que alguien podría dañar la caché DNS para que apunte a su propio sitio web y proporcione un certificado emitido desde otra entidad de certificación.
Compatibilidad con registros desconocidos Nuevo Puede agregar registros que no sean compatibles explícitamente con el Windows DNS mediante la funcionalidad de registro desconocida.
Sugerencias raíz IPv6 Nuevo Puede usar la compatibilidad nativa con sugerencias raíz IPV6 para realizar la resolución de nombres de Internet mediante los servidores raíz IPV6.
Compatibilidad con Windows PowerShell Se ha mejorado Hay Windows PowerShell cmdlets nuevos disponibles para el servidor DNS.

Directivas DNS

Puede usar la directiva DNS para una administración de tráfico basada en Geo-Location, respuestas DNS inteligentes basadas en la hora del día, para administrar un único servidor DNS configurado para la implementación de cerebro dividido, aplicar filtros en consultas DNS y mucho más. Los siguientes elementos proporcionan más detalles sobre estas funcionalidades.

  • Equilibrio de carga de aplicaciones. Cuando haya implementado varias instancias de una aplicación en ubicaciones diferentes, puede usar la directiva DNS para equilibrar la carga de tráfico entre las distintas instancias de aplicación, asignando dinámicamente la carga de tráfico para la aplicación.

  • Geo-Location basada en tráfico. Puede usar la directiva DNS para permitir que los servidores DNS principales y secundarios respondan a las consultas de cliente DNS en función de la ubicación geográfica del cliente y del recurso al que el cliente intenta conectarse, proporcionando al cliente la dirección IP del recurso más cercano.

  • DNS de cerebro dividido. Con DNS de cerebro dividido, los registros DNS se dividen en distintos ámbitos de zona en el mismo servidor DNS y los clientes DNS reciben una respuesta en función de si los clientes son clientes internos o externos. Puede configurar DNS de cerebro dividido para Active Directory integradas o para zonas en servidores DNS independientes.

  • Filtrado. Puede configurar la directiva DNS para crear filtros de consulta que se basen en los criterios que proporcione. Los filtros de consulta de la directiva DNS permiten configurar el servidor DNS para que responda de forma personalizada en función de la consulta DNS y el cliente DNS que envía la consulta DNS.

  • Análisis forense. Puede usar la directiva DNS para redirigir clientes DNS malintencionados a una dirección IP inexistente en lugar de dirigirlos al equipo al que están intentando acceder.

  • Redireccionamiento basado en la hora del día. Puede usar la directiva DNS para distribuir el tráfico de la aplicación entre diferentes instancias distribuidas geográficamente de una aplicación mediante directivas DNS basadas en la hora del día.

También puede usar directivas DNS para las Active Directory DNS integradas.

Para más información, consulte la Guía de escenarios de directivas DNS.

Limitación de la velocidad de respuesta

Puede configurar RRL para controlar cómo responder a las solicitudes a un cliente DNS cuando el servidor recibe varias solicitudes dirigidas al mismo cliente. Al hacerlo, puede evitar que alguien envíe un ataque de denegación de servicio (Dos) mediante los servidores DNS. Por ejemplo, una red de bots puede enviar solicitudes al servidor DNS mediante la dirección IP de un tercer equipo como solicitante. Sin RRL, los servidores DNS podrían responder a todas las solicitudes, lo que desborda el tercer equipo. Al usar RRL, puede configurar las siguientes opciones:

  • Respuestas por segundo. Este es el número máximo de veces que se da la misma respuesta a un cliente en un segundo.

  • Errores por segundo. Este es el número máximo de veces que se envía una respuesta de error al mismo cliente en un segundo.

  • Ventana. Este es el número de segundos durante los que se suspenden las respuestas a un cliente si se realizan demasiadas solicitudes.

  • Velocidad de pérdidas. Esta es la frecuencia con la que el servidor DNS responde a una consulta durante el tiempo en que se suspenden las respuestas. Por ejemplo, si el servidor suspende las respuestas a un cliente durante 10 segundos y la tasa de pérdidas es 5, el servidor sigue respondiendo a una consulta por cada 5 consultas enviadas. Esto permite a los clientes legítimos obtener respuestas incluso cuando el servidor DNS está aplicando la limitación de la velocidad de respuesta en su subred o FQDN.

  • Velocidad de TC. Esto se usa para decir al cliente que intente conectarse con TCP cuando se suspendan las respuestas al cliente. Por ejemplo, si la velocidad de TC es 3 y el servidor suspende las respuestas a un cliente determinado, el servidor emite una solicitud de conexión TCP por cada 3 consultas recibidas. Asegúrese de que el valor de la velocidad de TC es menor que la velocidad de pérdida, para dar al cliente la opción de conectarse a través de TCP antes de las respuestas de pérdida.

  • Respuestas máximas. Este es el número máximo de respuestas que el servidor emite a un cliente mientras se suspenden las respuestas.

  • Dominios de lista de permitidos. Se trata de una lista de dominios que se excluirán de la configuración de RRL.

  • Permitir subredes. Se trata de una lista de subredes que se excluirán de la configuración de RRL.

  • Interfaces de servidor de lista de permitidos. Se trata de una lista de interfaces de servidor DNS que se excluirán de la configuración de RRL.

Compatibilidad con DANE

Puede usar la compatibilidad con DANE (RFC 6394 y 6698) para especificar a los clientes DNS de qué ENTIDAD de certificación deben esperar que se emita certificados para los nombres de dominios hospedados en el servidor DNS. Esto evita una forma de ataque de tipo "Man in the middle" en la que alguien puede dañar una caché DNS y apuntar un nombre DNS a su propia dirección IP.

Por ejemplo, imagine que hospeda un sitio web seguro que usa SSL en www.contoso.com mediante un certificado de una entidad conocida denominada CA1. Es posible que alguien pueda obtener un certificado para www.contoso.com de una entidad de certificación diferente, no tan conocida, denominada CA2. A continuación, la entidad que hospeda el sitio web www.contoso.com falso podría dañar la caché DNS de un cliente o servidor para que apunte www.contoto.com a su sitio falso. Al usuario final se le presenta un certificado de CA2 y puede simplemente reconocerlo y conectarse al sitio falso. Con DANE, el cliente realizaría una solicitud al servidor DNS para contoso.com solicitando el registro TLSA y aprendería que ca1 emite el certificado para www.contoso.com para www.contoso.com . Si se presenta un certificado de otra entidad de certificación, se anula la conexión.

Compatibilidad con registros desconocidos

Un "registro desconocido" es un RR cuyo formato RDATA no es conocido para el servidor DNS. La compatibilidad recién agregada para los tipos de registro desconocido (RFC 3597) significa que puede agregar los tipos de registro no admitidos a las zonas de servidor DNS de Windows en el formato binario en conexión. La Windows de almacenamiento en caché ya tiene la capacidad de procesar tipos de registros desconocidos. Windows servidor DNS no realiza ningún procesamiento específico del registro para los registros desconocidos, pero lo devuelve en respuestas si se reciben consultas para él.

Sugerencias raíz IPv6

Las sugerencias raíz IPV6, tal y como publica IANA, se han agregado al Windows DNS. Las consultas de nombres de Internet ahora pueden usar servidores raíz IPv6 para realizar resoluciones de nombres.

Compatibilidad con Windows PowerShell

Los siguientes nuevos Windows PowerShell cmdlets y parámetros se presentan en Windows Server 2016.

  • Add-DnsServerRecursionScope. Este cmdlet crea un nuevo ámbito de recursividad en el servidor DNS. Las directivas DNS usan los ámbitos de recursividad para especificar una lista de reenviadores que se usarán en una consulta DNS.

  • Remove-DnsServerRecursionScope. Este cmdlet quita los ámbitos de recursividad existentes.

  • Set-DnsServerRecursionScope. Este cmdlet cambia la configuración de un ámbito de recursión existente.

  • Get-DnsServerRecursionScope. Este cmdlet recupera información sobre los ámbitos de recursividad existentes.

  • Add-DnsServerClientSubnet. Este cmdlet crea una nueva subred de cliente DNS. Las directivas DNS usan subredes para identificar dónde se encuentra un cliente DNS.

  • Remove-DnsServerClientSubnet. Este cmdlet quita las subredes de cliente DNS existentes.

  • Set-DnsServerClientSubnet. Este cmdlet cambia la configuración de una subred de cliente DNS existente.

  • Get-DnsServerClientSubnet. Este cmdlet recupera información sobre las subredes de cliente DNS existentes.

  • Add-DnsServerQueryResolutionPolicy. Este cmdlet crea una nueva directiva de resolución de consultas DNS. Las directivas de resolución de consultas DNS se usan para especificar cómo o si se responde a una consulta, en función de criterios diferentes.

  • Remove-DnsServerQueryResolutionPolicy. Este cmdlet quita las directivas DNS existentes.

  • Set-DnsServerQueryResolutionPolicy. Este cmdlet cambia la configuración de una directiva DNS existente.

  • Get-DnsServerQueryResolutionPolicy. Este cmdlet recupera información sobre las directivas DNS existentes.

  • Enable-DnsServerPolicy. Este cmdlet habilita las directivas DNS existentes.

  • Disable-DnsServerPolicy. Este cmdlet deshabilita las directivas DNS existentes.

  • Add-DnsServerZoneTransferPolicy. Este cmdlet crea una nueva directiva de transferencia de zona de servidor DNS. Las directivas de transferencia de zona DNS especifican si se debe denegar o omitir una transferencia de zona en función de criterios diferentes.

  • Remove-DnsServerZoneTransferPolicy. Este cmdlet quita las directivas de transferencia de zona de servidor DNS existentes.

  • Set-DnsServerZoneTransferPolicy. Este cmdlet cambia la configuración de una directiva de transferencia de zona de servidor DNS existente.

  • Get-DnsServerResponseRateLimiting. Este cmdlet recupera la configuración de RRL.

  • Set-DnsServerResponseRateLimiting. Este cmdlet cambia los settigns de RRL.

  • Add-DnsServerResponseRateLimitingExceptionlist. Este cmdlet crea una lista de excepciones de RRL en el servidor DNS.

  • Get-DnsServerResponseRateLimitingExceptionlist. Este cmdlet recupera listas de excceptiones de RRL.

  • Remove-DnsServerResponseRateLimitingExceptionlist. Este cmdlet quita una lista de excepciones RRL existente.

  • Set-DnsServerResponseRateLimitingExceptionlist. Este cmdlet cambia las listas de excepciones de RRL.

  • Add-DnsServerResourceRecord. Este cmdlet se actualizó para admitir el tipo de registro desconocido.

  • Get-DnsServerResourceRecord. Este cmdlet se actualizó para admitir el tipo de registro desconocido.

  • Remove-DnsServerResourceRecord. Este cmdlet se actualizó para admitir el tipo de registro desconocido.

  • Set-DnsServerResourceRecord. Este cmdlet se actualizó para admitir el tipo de registro desconocido.

Para obtener más información, vea los temas de referencia Windows Server 2016 Windows PowerShell comandos siguientes.

Referencias adicionales