Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una zona DNS es la parte específica de un espacio de nombres DNS alojado en un servidor DNS. Una zona DNS contiene registros de recursos, y el servidor DNS responde a las consultas que solicitan los registros de ese espacio de nombres. Por ejemplo, el servidor DNS autoritativo para resolver www.contoso.com en una dirección IP contendría la zona contoso.com.
El contenido de la zona DNS se puede almacenar en un archivo o en Servicios de dominio de Active Directory (AD DS). Cuando el servidor DNS almacena la zona en un archivo:
- Dicho archivo se encuentra en una carpeta local del servidor.
- Se puede escribir en una sola copia de la zona.
- Las otras copias, que son de solo lectura, se conocen como zonas secundarias.
Las zonas DNS almacenadas en AD DS se conocen como zonas integradas en Active Directory. Las zonas integradas en Active Directory solo están disponibles en los controladores de dominio que tienen instalado el rol del servidor DNS.
Tipos de zona DNS
El servicio de servidor DNS admite los siguientes tipos de zona:
- Zona primaria.
- Zona secundaria.
- Zona de código auxiliar.
- Zona de búsqueda inversa
Zonas principales
Un servidor DNS que hospeda una zona principal es el origen principal para obtener información sobre esta zona. Almacena los datos de zona en un archivo local o en AD DS. Debe usar la zona principal para crear, editar o eliminar registros de recursos. Las zonas secundarias son copias de solo lectura de las zonas principales.
Puede almacenar una zona principal estándar en un archivo local, o bien puede almacenar datos de zona en AD DS. Al almacenar datos de zona en AD DS, aparecen otras características disponibles, como actualizaciones dinámicas seguras y la capacidad de cada controlador de dominio que hospeda la zona de funcionar como principal y de poder procesar actualizaciones en la zona. Cuando la zona se almacena en un archivo, el archivo de la zona principal se denomina zone_name.dns de forma predeterminada y se encuentra en la carpeta %windir%\System32\Dns del servidor.
Al implementar Active Directory, se crea automáticamente una zona DNS asociada al nombre de dominio de AD DS de la organización. De forma predeterminada, la zona DNS de AD DS se replica en cualquier otro controlador de dominio configurado como servidor DNS en el dominio. También puede configurar zonas DNS integradas de Active Directory para replicar en todos los controladores de dominio de un bosque de AD DS o controladores de dominio específicos inscritos en una partición de dominio de AD DS determinada.
Zona secundaria
Una zona secundaria es una copia de solo lectura de una zona principal. Cuando una zona que hospeda este servidor DNS es una zona secundaria, dicho servidor DNS es una fuente secundaria de información sobre esta zona. La zona de este servidor se debe obtener de otro equipo servidor DNS remoto que también hospede la zona. Este servidor DNS debe tener acceso de red al servidor DNS remoto que suministra la información actualizada de la zona a este servidor. Puesto que una zona secundaria es solo una copia de la zona principal hospedada en otro servidor, no se puede almacenar en AD DS como una zona integrada de Active Directory.
En la mayoría de los casos, una zona secundaria copia periódicamente los registros de recursos directamente desde la zona principal. No obstante, en algunas configuraciones complejas, una zona secundaria puede copiar registros de recursos desde otra zona secundaria.
Zona de código auxiliar
Una zona de rutas internas solo contiene información sobre los servidores de nombres autoritativos de la zona. La zona hospedada por el servidor DNS debe obtener su información de otro servidor DNS que hospede la zona. Este servidor DNS debe tener acceso de red al servidor DNS remoto para copiar la información del servidor de nombres autoritativo sobre la zona.
Puede usar las zonas de rutas internas para:
- Mantener la información de la zona delegada actualizada. El servidor DNS actualiza los registros auxiliares de sus zonas secundarias con regularidad. El servidor DNS que hospeda la zona principal y la zona de rutas internas mantendrá una lista actualizada de los servidores DNS autoritativos para la zona secundaria.
- Mejorar la resolución de nombres. Las zonas de rutas internas permiten que un servidor DNS lleve a cabo la recursión mediante la lista de servidores de nombres de la zona de rutas internas, sin tener que consultar el espacio de nombres DNS a Internet o a un servidor raíz interno.
- Simplificar la administración de DNS. El uso de zonas de rutas internas a través de la infraestructura DNS permite distribuir una lista de servidores DNS autoritativos para una zona sin usar zonas secundarias. Sin embargo, las zonas de rutas internas no sirven para el mismo propósito que las zonas secundarias y no son una alternativa para mejorar la redundancia y la carga compartida.
Hay dos listas de servidores DNS implicadas en la carga y el mantenimiento de una zona de rutas internas:
- La lista de servidores de nombres desde la que el servidor DNS carga y actualiza una zona de rutas internas. Un servidor de nombres puede ser un servidor DNS principal o secundario para la zona. En ambos casos, tendrá una lista completa de los servidores DNS de la zona.
- La lista de los servidores DNS autoritativos de una zona. Esta lista se incluye en la zona de rutas internas mediante los registros de recursos de servidor de nombres (NS).
Cuando un servidor DNS carga una zona de rutas internas, como widgets.tailspintoys.com, consulta a los servidores de nombres, que pueden estar en diferentes ubicaciones, los registros de recursos necesarios de los servidores autorizados para la zona widgets.tailspintoys.com. La lista de servidores de nombres puede contener un solo servidor o varios servidores, y se puede cambiar en cualquier momento.
Una zona de rutas internas es una copia de una zona que sólo contiene los registros de recursos necesarios para identificar los servidores de Sistema de nombres de dominio (DNS) autoritativos para dicha zona. Normalmente, las zonas de rutas internas se usan para resolver nombres entre espacios de nombres DNS independientes.
Al trabajar con subzonas, debe tener en cuenta lo siguiente:
- La zona de rutas internas no puede estar hospedada en un servidor DNS que sea autoritativo para la misma zona.
- Si integra la zona de rutas internas en AD DS, puede especificar si el servidor DNS que hospeda la zona de rutas internas usa una lista local de servidores de nombres o la lista almacenada en AD DS. Si desea usar una lista local de servidores de nombres, debe tener las direcciones IP de todos los servidores de nombres.
Zonas de búsqueda inversa
En la mayoría de búsquedas del Sistema de nombres de dominio (DNS), los clientes suelen realizar una búsqueda directa, que es una búsqueda basada en el nombre DNS de otro equipo al estar almacenado en un registro de recursos de host (A). Este tipo de consulta espera una dirección IP como los datos del recurso para la respuesta respondida.
DNS también proporciona un proceso de búsqueda inversa, en el que los clientes usan una dirección IP conocida y buscan un nombre de equipo basado en su dirección. La búsqueda inversa adopta la forma de una pregunta, como "¿Puede indicar el nombre DNS del equipo que usa la dirección IP 192.168.1.20?"
EL dominio in-addr.arpa se ha definido en los estándares DNS y se ha reservado en el espacio de nombres DNS de Internet para proporcionar una forma práctica y de confianza de llevar a cabo consultas inversas. Para crear el espacio de nombres inverso, se forman subdominios dentro del dominio in-addr.arpa, con la clasificación inversa de los números en la notación decimal con punto de direcciones IP.
El dominio in-addr.arpa se aplica a todas las redes TCP/IP que están basadas en el direccionamiento del protocolo de Internet versión 4 (IPv4). El Asistente para nueva zona da por supuesto que se usa este dominio al crear una zona de búsqueda inversa.
El orden de los octetos de la dirección IP debe invertirse cuando se genera el árbol de dominios in-addr.arpa. Las direcciones IP del árbol in-addr.arpa de DNS se pueden delegar en organizaciones ya que se les asigna un conjunto específico o limitado de direcciones IP dentro de las clases de direcciones definidas por Internet.
Replicar la base de datos DNS
Puede haber varias zonas que representen la misma parte del espacio de nombres. Entre estas zonas hay tres tipos:
- Primary
- Secondary
- Stub
La principal es una zona en la que se realizan todas las actualizaciones de los registros que pertenecen a esa zona. Una zona secundaria es una copia de solo lectura de una zona principal. Una zona de rutas internas es una copia de solo lectura de la zona principal que contiene únicamente los registros de recursos que identifican los servidores DNS que son autoritativos para un nombre de dominio DNS. Cualquier cambio realizado en el archivo de zona principal se replica en el archivo de zona secundaria. Los servidores DNS que alojan una zona principal, secundaria o de rutas internas se consideran autoritativos para los nombres DNS de la zona.
Dado que un servidor DNS puede alojar varias zonas, puede alojar tanto una zona principal (que tiene la copia grabable de un archivo de zona) como una zona secundaria independiente (que obtiene una copia de solo lectura de un archivo de zona). Se dice que un servidor DNS que aloja una zona principal es el servidor DNS principal de esa zona, y que un servidor DNS que aloja una zona secundaria es el servidor DNS secundario de esa zona.
Note
Una zona secundaria o de rutas internas no puede alojarse en un servidor DNS que aloje una zona principal para el mismo nombre de dominio.
Transferencia de zona
El proceso de replicar un archivo de zona a varios servidores DNS se denomina transferencia de zona. La transferencia de zona se consigue copiando el archivo de zona de un servidor DNS a un segundo servidor DNS. Las transferencias de zona se pueden realizar tanto desde servidores DNS principales como secundarios.
Un servidor DNS principal es cualquier servidor autoritativo configurado para ser la fuente de la transferencia de zona. Si el servidor DNS es un servidor DNS principal, la transferencia de zona proviene directamente del servidor DNS que aloja la zona principal. Si el servidor principal aloja una zona DNS secundaria, el archivo de zona recibido del servidor DNS principal con una transferencia de zona es una copia del archivo de zona secundaria de solo lectura.
La transferencia de zona se inicia de una de las siguientes maneras:
- El servidor DNS principal envía una notificación (RFC 1996) a uno o varios servidores DNS secundarios sobre un cambio en el archivo de zona.
- Cuando se inicia el servicio del servidor DNS en el servidor DNS secundario, o cuando caduca el intervalo de actualización de la zona, el servidor DNS secundario consulta al servidor DNS principal para obtener los cambios. De forma predeterminada, el intervalo de actualización está establecido en 15 minutos en el SOA RR de la zona.
Configuración de transferencia de zona
Las transferencias de zona permiten controlar las circunstancias en las que se va a replicar una zona secundaria desde una zona primaria. Para aumentar la seguridad de la infraestructura DNS, permita transferencias de zona sólo para los servidores DNS de los registros de recursos de servidor de nombres (NS) para una zona o para servidores DNS especificados. Si permite que cualquier servidor DNS realice una transferencia de zona, permitirá que se transmita información de la red interna a cualquier host que pueda tener contacto con el servidor DNS.
Tipos de replicación de archivos de zona
Existen dos tipos de replicación de archivos de zona. El primero, una transferencia completa de zona (AXFR), replica todo el archivo de zona. El segundo, una transferencia incremental de zona (IXFR), replica solo los registros que se han modificado.
El software de servidor DNS BIND 4.9.3 y versiones anteriores, así como Windows NT 4.0 DNS, solo admiten la transferencia completa de zona (AXFR). Hay dos tipos de AXFR: uno requiere un único registro por paquete, el otro permite varios registros por paquete. El servicio del servidor DNS en los servidores Windows admite ambos tipos de transferencia de zona, pero usa de forma predeterminada varios registros por paquete. Se puede configurar de forma diferente para que sea compatible con servidores que no permiten varios registros por paquete, como los servidores BIND versiones 4.9.4 y anteriores.
Delegación de zona
Puede dividir el espacio de nombres del Sistema de nombres de dominio (DNS) en una o más zonas. Puede delegar la administración de parte del espacio de nombres en otra ubicación o departamento de la organización mediante la delegación de la administración de la zona correspondiente. Por ejemplo, delegar la zona australia.contoso.com de la zona contoso.com.
Cuando delegue una zona, recuerde que para cada zona que cree necesitará registros de delegación en otras zonas que apunten a los servidores DNS autoritativos de la nueva zona. Los registros de delegación son necesarios para transferir autoridad y proporcionar referencias correctas a los servidores y clientes DNS de los nuevos servidores que se están convirtiendo en autoritativos para la nueva zona.
Acceso a zonas y nombres
El acceso a las zonas DNS y a los registros de recursos almacenados en Active Directory se controla mediante listas de control de acceso (ACL). Las ACL se pueden especificar para el servicio del servidor DNS, una zona completa o para nombres de DNS específicos. De forma predeterminada, cualquier usuario autenticado de Active Directory puede crear los RR A o PTR en cualquier zona. Cuando un propietario crea un registro A o PTR (independientemente del tipo de registro de recursos), solo los usuarios o grupos especificados en la ACL para ese nombre que tengan permiso de escritura están habilitados para modificar los registros correspondientes a ese nombre. Si bien este enfoque es recomendable en la mayoría de los casos, hay algunas situaciones que deben considerarse por separado.
Grupo DNSAdmins
De forma predeterminada, el grupo DNSAdmins tiene control total de todas las zonas y registros del dominio de Active Directory. Para que un usuario pueda enumerar zonas en un dominio específico, el usuario (o un grupo al que pertenezca el usuario) debe estar incluido en el grupo DNSAdmin.
Es posible que un administrador de dominio no desee conceder control total a todos los usuarios incluidos en el grupo DNSAdmins. En su lugar, un administrador de dominio podría querer conceder a un conjunto específico de usuarios control total sobre una zona y permisos de solo lectura para otras zonas. Para configurar estos permisos, el administrador del dominio puede crear un grupo independiente para cada una de las zonas y agregar usuarios específicos a cada grupo. A continuación, la ACL de cada zona contiene un grupo con control total solo para esa zona. Todos los grupos se agregan al grupo DNSAdmins, que se puede configurar con permisos de solo lectura. La ACL de una zona siempre contiene el grupo DNSAdmins, lo que significa que todos los usuarios incluidos en los grupos específicos de la zona pueden leer todas las zonas del dominio.
Reservar nombres
Los entornos que requieren un alto nivel de seguridad pueden necesitar reservar nombres en una zona e impedir que los usuarios autenticados creen nuevos nombres en esa zona, que es el comportamiento predeterminado. Para proteger los registros DNS, se puede cambiar la ACL predeterminada para permitir la creación de objetos solo por determinados grupos o usuarios. La administración de ACL por nombre ofrece otra solución a este problema. Un administrador puede reservar un nombre en una zona dejando el resto de la zona abierta para la creación de nuevos objetos por parte de todos los usuarios autenticados. Un administrador crea un registro para el nombre reservado y establece la lista adecuada de grupos o usuarios en la ACL. Esto significa que solo los usuarios que figuran en la ACL pueden registrar otro registro con el nombre reservado.