Cómo deshabilitar la administración remota del servicio del servidor DNS en Windows Server 2003 y en Windows 2000 Server

Seleccione idioma Seleccione idioma
Id. de artículo: 936263 - Ver los productos a los que se aplica este artículo
Importante: este artículo contiene información acerca de cómo modificar el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad del mismo y de que sabe cómo restaurarlo si se produce algún problema. Para obtener más información sobre cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

En este artículo se describe cómo deshabilitar la administración remota DNS de un servidor DNS que está ejecutando uno de los sistemas operativos siguientes:
  • Microsoft Windows Server 2003
  • Microsoft Windows 2000 Server
Puede usar el método que se menciona en este artículo para mejorar la seguridad de los equipos que están ejecutando el servicio del servidor DNS en una organización.

Para obtener más información acerca de un problema que afecta al servicio del servidor DNS en Windows Server 2003 y en Windows 2000 Server, visite el siguiente sitio de Microsoft Web:
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-029.mspx

Más información

Información general

De manera predeterminada, el servicio del servidor DNS permite la administración remota usando muchas interfaces. Cuando se inicia el servicio del servidor DNS, enlaza con un puerto dinámico en el intervalo efímero. Este puerto es usado por el complemento DNS de Microsoft Management Console (MMC) y por el proveedor de DNS Instrumental de administración de Windows (WMI) Puede usar la siguiente entrada del Registro para controlar si el servicio Servidor DNS permite administración remota:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters


Nombre de valor: RpcProtocol
Tipo de valor: REG_DWORD
Información del valor: 0x4
Hay disponibles los valores siguientes para la entrada RpcProtocol del Registro:
  • 0x1
    Este valor corresponde a una configuración de DNS_RPC_USE_TCPIP
  • 0x2
    Este valor corresponde a una configuración de DNS_RPC_USE_NAMED_PIPE
  • 0x4
    Este valor corresponde a una configuración de DNS_RPC_USE_LPC
Nota: un valor de 0x4 restringe la interfaz DNS RPC solamente a llamadas a procedimiento local. Esto solamente permite administración local.

El efecto de deshabilitar la administración remota

Cuando configura la entrada RpcProtocol del Registro en 0x4, la administración remota del servicio Servidor DNS queda deshabilitada. Por tanto, no puede usar RPC o Instrumental de administración de Windows (WMI) para administrar el servidor DNS. En esta situación, las herramientas de administración del servidor DNS ya no funcionan desde una ubicación remota. Sin embargo, todavía puede usar las herramientas de administración locales para administrar el servidor DNS y todavía puede realizar una administración remota del servidor DNS usando la conexión de Servicios de Terminal Server.

Configurar en 0x4 RpcProtocol no afecta a las consultas DNS, las actualizaciones dinámicas DNS, las transferencias de zona DNS, etc.

Nota: la configuración y la administración local del servicio de servidor DNS puede no funcionar si se cumplen las condiciones siguientes:
  • El servidor que quiere administrar tiene un nombre de host que tiene 15 caracteres.
  • Selecciona el servidor usando su nombre de host.
Para resolver este problema, especifique el nombre de dominio completo (FQDN) del equipo cuando lo administre usando las herramientas de administración del servidor DNS.

Para deshabilitar la administración remota del servicio del servidor DNS

Advertencia: pueden producirse problemas graves si modifica incorrectamente el Registro mediante el Editor del Registro o con cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.

Para deshabilitar la administración remota sobre la funcionalidad RPC de un equipo que esté ejecutando el servicio del servidor DNS, siga estos pasos:
  1. Haga clic en Inicio y en Ejecutar, escriba regedit y haga clic en Aceptar.
  2. Busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  3. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.
  4. En el cuadro Nuevo valor #1, escriba RpcProtocol y presione Entrar.
  5. Haga clic con el botón secundario en RpcProtocol y, a continuación, haga clic en Modificar.
  6. En el cuadro Información del valor, escriba 4 y haga clic en Aceptar.
  7. Cierre el Editor del Registro y reinicie el servicio del servidor DNS. Para reiniciar el servicio del servidor DNS, siga estos pasos:
    1. Haga clic en Inicio y en Ejecutar, escriba cmd y haga clic en Aceptar.
    2. En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR:
      net stop dns && net start dns

Para distribuir el valor RpcProtocol del Registro en muchos equipos

Puede usar una secuencia de comandos para distribuir el valor RpcProtocol del Registro Esto le permite deshabilitar con mayor facilidad la administración remota del servicios del servidor DNS en muchos equipos. Para ello, siga estos pasos:
  1. Inicie sesión en el dominio usando una cuenta que tenga derechos para modificar los servidores DNS. Por ejemplo, inicie sesión como administrador de dominio.
  2. Crear una lista con todos los servidores DNS. Para ello, ejecute el siguiente comando en un símbolo del sistema:
    dsquery * -filter "(servicePrincipalName=DNS*)" -attr dNSHostName -l > dns_servers.txt
    Si se requiere, modifique manualmente el archivo dns_servers.txt que se creó para que especifique todos los servidores DNS. Por ejemplo, este comando solamente captura los controladores de dominio que se configuraron como servidores DNS. Por tanto, debe agregar manualmente servidores DNS que se configuran como servidores miembro.

    Nota: puede usar la ficha Servidores de nombres del cuadro de diálogo Propiedades de zona DNS por cada zona del complemento DNS para determinar los nombres de los servidores DNS que desea agregar a esta lista.
  3. Si hace falta, use el comando cd del símbolo del sistema para cambiar al directorio en el que guardó el archivo dns_servers.txt.
  4. Escriba el comando siguiente y, a continuación, presione Entrar:
    for /f %i in (dns_servers.txt) do reg add \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /t REG_DWORD /d 4 /f
    Este comando agrega la entrada RpcProtocol del Registro junto con un valor de 0x4.
  5. Detener el servicio del servidor DNS en todos los equipos. Para ello, escriba el comando siguiente y presione Entrar:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  6. Iniciar el servicio del servidor DNS en todos los equipos. Para ello, escriba el comando siguiente y presione Entrar:
    for /f %i in (dns_servers.txt) do sc \\%i start DNS

Para comprobar que la entrada RpcProtocol del Registro está configurada en muchos equipos

Parta consultar los servidores y comprobar que la entrada RpcProtocol del Registro está configurada, siga estos pasos:
  1. Inicie sesión en un servidor DNS que tenga configurada la entrada RpcProtocol del Registro.
  2. Copie la secuencia de comandos siguiente en un archivo de texto y dé al archivo el nombre Dnsquery.cmd:
    Echo Comparing registry value for: > dns_errors.txt echo HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters >> dns_errors.txt 
    echo Data Value for "RpcProtocol" >> dns_errors.txt echo. >> dns_errors.txt echo. >> dns_errors.txt 
    Echo Errorlevel 1 - Failed to compare registry values >> dns_errors.txt 
    Echo Errorlevel 2 - Reg values compared are different >> dns_errors.txt echo. >> dns_errors.txt 
    echo. >> dns_errors.txt echo ===================================================== >> dns_errors.txt 
    set _MachineName= 
    for /f %%i in (dns_servers.txt) do ( call :TEST %%i )
    :TEST
    Set _MachineName=%1
    echo %_MachineName%
    reg.exe compare "HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" "\\%_MachineName%\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v RpcProtocol
    if %_MachineName% == "" echo 0 > nul
    if %errorlevel% == 0 echo 0 > nul
    if %errorlevel% == 1 Echo Computername: %_MachineName% Errorlevel returned: 1 - Failed >> dns_errors.txt
    if %errorlevel% == 2 Echo Computername: %_MachineName% Errorlevel returned: 2 - Different >> dns_errors.txt
    :End
    rem exit
    Nota: esta secuencia de comandos compara la subclave Parameters del Registro en los equipos remotos con la del equipo en el que ejecuta la secuencia.

    Importante: esta secuencia de comandos no debe contener espacios finales en blanco.
  3. Haga doble clic en el archivo Dnsquery.cmd para ejecutarlo.

Para quitar el valor RpcProtocol del Registro de muchos equipos

Para deshacer la operación que configura el valor RpcProtocol del Registro, siga estos pasos:
  1. Inicie sesión en el dominio usando una cuenta que tenga derechos para modificar los servidores DNS. Por ejemplo, inicie sesión como administrador de dominio.
  2. Inicie el Símbolo del sistema y use el comando cd del símbolo del sistema para cambiar al directorio en el que guardó el archivo Dns_servers.txt.
  3. Escriba el comando siguiente y, a continuación, presione ENTRAR:
    for /f %i in (dns_servers.txt) do reg delete \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /f
  4. Detener el servicio del servidor DNS en todos los equipos. Para ello, escriba el comando siguiente y presione Entrar:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  5. Iniciar el servicio del servidor DNS en todos los equipos. Para ello, escriba el comando siguiente y presione Entrar:
    for /f %i in (dns_servers.txt) do sc \\%i start DNS

Propiedades

Id. de artículo: 936263 - Última revisión: viernes, 11 de mayo de 2007 - Versión: 2.1
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palabras clave: 
kberrmsg kbhowto kbinfo kbtshoot kbregistry KB936263

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com