DNS (Domain Name System) es un sistema para almacenar información de red sobre máquinas y servicios organizada jerárquicamente en dominios. Las redes TCP/IP utilizan.
Download ReportTranscript DNS (Domain Name System) es un sistema para almacenar información de red sobre máquinas y servicios organizada jerárquicamente en dominios. Las redes TCP/IP utilizan.
Slide 1
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 2
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 3
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 4
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 5
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 6
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 7
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 8
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 9
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 10
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 11
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 12
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 13
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 14
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 15
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 16
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 17
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 18
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 19
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 20
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 21
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 22
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 23
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 24
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 25
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 26
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 27
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 28
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 29
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist …
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 2
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 3
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 4
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 5
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 6
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 7
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 8
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 9
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 10
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 11
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 12
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 13
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 14
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 15
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 16
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 17
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 18
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 19
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 20
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 21
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 22
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 23
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 24
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 25
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 26
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 27
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 28
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Slide 29
DNS (Domain Name System) es un sistema para
almacenar información de red sobre máquinas y
servicios organizada jerárquicamente en
dominios.
Las redes TCP/IP utilizan DNS para localizar
máquinas y servicios mediante nombres
“sencillos”
Proporciona una manera de emparejar el nombre
“humano” de una máquina o servicio a otra
información asociada a dicho nombre, como
puede ser su dirección IP
4
.
.org
.com
unicef
msn
.edu
microsoft
mtu
.au
msu
gov
com
corp
corp. microsoft. com .
Subdominio Dominio segundo nivel Dominio Top-Level
Root
5
Nombre IP
Búsqueda de Servicios
Necesario para AD DS
Integración con otros servicios:
AD DS
DHCP
WINS
Cumple los RFC para el protocolo DNS
6
Prácticamente todas las redes TCP/IP requieren
acceso a 1 o más servidores DNS
Sin resolución de nombres, el acceso a máquinas
remotas sería más difícil/tedioso
Internet (servidores Web), Intranet (máquinas en
la LAN)
Considerar la instalación de DNS en redes con:
Máquinas en dominio
Máquinas clientes DHCP basadas en Windows
Máquinas conectadas a Internet
Oficinas remotas o dominios en una WAN
7
Carga de zonas en segundo plano (Background
zone loading)
Soporte mejorado para IPv6
Soporte a DCs de sólo lectura (RODC)
Zona GlobalNames (GNZ)
Lista de “bloqueo” Global Query
8
Antes
Carga de zonas tras el reinicio podía tomar hasta más
de 1 hora en grandes organizaciones
Servicio DNS no disponible a peticiones mientras tanto
Ahora
Si un cliente pide datos de un registro que no ha sido
cargado todavía en memoria, el servidor lee los datos
del nodo desde AD DS, los carga y responde a la
consulta
El servidor DNS puede por tanto responder a
peticiones casi inmediatamente después de reiniciar
Sistema Operativo
Carga en segundo plano
Si la zona no está cargada
2003 SP1
No
Sin respuesta
2008
Sí
Busca los datos en DA y responde
9
Al iniciar el servicio:
Enumera todas las zonas a cargar
Carga los root hints
Carga las zonas primarias (desde ficheros)
Comienza a responder a consultas DNS y RPC
Lanza uno o varios hilos para cargar las zonas
almacenadas en DA
El servicio ya está disponible y la carga de las
zonas se realiza en segundo plano
Las zonas almacenadas en DA presentan como
ventaja que pueden ser accedidas de forma
asíncrona.
Sin embargo, las primarias requieren una lectura
secuencial del fichero
10
IPv6 permite un mayor direccionamiento
IPv6 128 bits
IPv4 32 bits
DNS snap-in admite tanto IPv4 como IPv6
dnscmd.exe se ha modificado para IPv6
Reenviadores con IPv4 e IPv6
Los clientes pueden registrar sus direcciones
IPv4 y/o IPv6
Soporte al espacio de nombres ip6.arpa para
resolución inversa
Los clientes DNS deben ser compatibles para
utilizar esta funcionalidad
11
DC de sólo lectura generalmente en:
Ubicaciones donde no se puede garantizar la
seguridad física del DC
Ubicaciones remotas de difícil acceso para
administradores del dominio
DNS soporta ahora zonas primarias de sólo
lectura
Replica una copia completa de sólo lectura de todas
las particiones de DA que necesita (ej. Dominio,
ForestDnsZones, DomainDnsZones)
Estas zonas pueden leerse pero no modificarse
en estos servidores
Se requiere para soportar AD DS en RODC
12
Nombres de etiqueta “simple” (single-label)
únicos en toda la organización
Experiencia del usuario similar a WINS
Ayuda para retirar WINS, no un sustituto de WINS
No pretende mantener nombres single-label
actualizados dinámicamente
Diseñado para mantener registros globales
estáticos de servidores mantenidos por
administradores de TI
Servidores Web, corporativos, de recursos
13
Proceso de búsqueda en GNZ:
1. Consulta/Actualización de un cliente a un servidor
autoritativo
2. El servidor primero busca el nombre en la GNZ
3. Si el nombre existe en la GNZ:
a.
b.
Consulta:
Actualización:
Devuelve el registro
Rechaza la actualización
4. Si no se encuentra en la GNZ se busca en la zona
autoritativa para la que se ha realizado la consulta
(método habitual pre GNZ)
5. Se obtiene la respuesta adecuada desde la zona
autoritativa
6. El servidor DNS envía la respuesta obtenida al cliente
14
…
serv
…
Zona GlobalNames
Si no lo encuentra en la GNZ,
busca en la zona correspondiente: 4
serv.europe.corp.microsoft.com
E
2
se serv n pr
rv. ido im
eu
e 3
rop r bus r lug
c
a
e .c
orp a en r, el
.m la G
i cr
os NZ:
oft
.co
m
…
serv.europe.corp.microsoft.com
…
5
ufijo
a el s
g
e
r
a:
t ag
C l i e n b ú sq u e d m
S
N
D
la
.co
rvicio
osoft
ipal a
El se NS princ orp.micr
D
pe.c
euro
.
v
r
1
e
s
Servidor DNS
(ej. Servidor de nombres de Europe)
6
Cliente DNS
Pepe
El usuario intenta acceder
a un servidor con un
nombre single-label:
serv
Zona de búsqueda directa(ej. europe.corp.microsoft.com)
15
Crear una zona de búsqueda directa llamada
“GlobalNames”
Habilitar la GNZ:
dnscmd /config /enableglobalnamessupport 1
16
Acceso a servidores “centrales” estáticos
En grandes organizaciones con numerosos
dominios (suficientes para no poder mantener
una lista de sufijos de búsqueda):
Las búsquedas pueden terminar con timeout antes de
poder ser completadas y haber probado con todos los
sufijos
Evita mantener una larga lista de sufijos de búsqueda
DNS
El cliente sigue agregando sufijos de búsqueda
(sufijo DNS primario, listas de búsqueda – GPO o
específicas de la conexión)
17
Todos los servidores deben ser W2k8
Mantener la unicidad
Obtener la respuesta esperada
Replicación a nivel de bosque
No soporta actualizaciones dinámicas
La consulta del cliente debe realizarse a un
FQDN
18
Se bloquean las consultas a dos nombres por
defecto:
WPAD (Web Proxy Auto-Discovery Protocol)
ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol)
Diseñado para evitar que una suplantación
indebida de dichos nombres ocasione daños en
la red
Consulta ≠ Actualización
Es un bloqueo a las consultas, no a las actualizaciones
Estos nombres pueden ser creados y/o suplantados
Aunque estén registrados, esta funcionalidad provoca
que las consultas de los clientes por ellos no se
resuelvan
19
Configuración inicial de la lista:
Si WPAD o ISATAP existen en alguna zona, se omiten
de la lista
Si WPAD o ISATAP NO existen en ninguna zona, se
agregan a la lista y se habilita el bloqueo
Esta configuración no se vuelve a llevar a cabo
Se puede consultar la lista mediante el comando:
dnscmd /info /globalqueryblocklist
Si hay cambios en la infraestructura, el administrador
deberá modificar manualmente la lista mediante:
dnscmd /config /globalqueryblocklist
Para consultar si el bloqueo está habilitado:
dnscmd /info /enableglobalqueryblocklist
Para habilitar/deshabilitar el bloqueo:
dnscmd /config /enableglobalqueryblocklist [0|1]
20
Se mantiene el soporte a DNSSEC de W2k3
Sólo como servidor secundario
Deshabilitado por defecto
Timestamp de los registros en la consola DNS
Cambios para DNS Client (Vista/W2k8)
Nuevas configuraciones mediante GPO:
Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries
Turn off Multicast Name Resolution
LLMNR (Link-local Multicast Name Resolution)
IPv6 instalado por defecto y “preferido”
DHCP Client ya no lleva a cabo los registros en DNS, ahora se
encarga DNS Client
Nuevos tipos de registros: NAPTR para DDDS, DNAME,
tipos de registros DNSSEC
21
TODOS los servidores DNS autoritativos deben
ser Windows Server 2008 para soportar la zona
GlobalNames y la lista de bloqueos Global Query
Los clientes deben ser compatibles con IPv6, ya
que los servidores pueden devolver tanto el
registro host IPv4 (A) como el IPv6 (AAAA)
22
Disponible para las versiones Standard,
Enterprise y DataCenter
Roles de servidor de Windows Server 2008
http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx
23
Servidor DNS
http://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspx
http://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71676f274e32a81033.mspx?mfr=true
The Cable Guy: Mejoras de DNS en Windows
Server 2008
http://technet.microsoft.com/es-es/magazine/cc137727.aspx
DNS Server GlobalNames Zone Deployment
http://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-988307a427af1560/DNS-GlobalNames-Zone-Deployment.doc
DNS Server Global Query Block List
http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc
Domain Name System
http://technet.microsoft.com/en-us/network/bb629410.aspx
24
demo
Crear y habilitar la GNZ
Crear registro test1 y test2 en la zona del dominio
Crear registro test1 en la GNZ con diferente IP
Crear registro test2 en la GNZ con CNAME
nslookup desde el cliente (para test1 y test2)
Búsquedas para test1 y test1.
Búsquedas para test1.globalnames.
Trazas de red
26
demo
Creación de registros IPv6
Búsqueda directa
Búsqueda inversa
AAAA
PTR (zona ip6.arpa)
TimeStamp en el GUI
Verificar la lista de “bloqueos”
28
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.