Cómo configurar actualizaciones dinámicas de DNS en Windows Server 2003

Para una versión de Microsoft Windows 2000 de este artículo, consulte 317590 .

Resumen

Este artículo describe cómo configurar la funcionalidad de actualización DNS en Microsoft Windows Server 2003. El DNS actualizar funcionalidad habilita los equipos cliente DNS para registrar y actualizar dinámicamente sus registros de recursos con un servidor DNS cuando se produzcan cambios. Si utiliza esta funcionalidad, puede reducir la necesidad de administración manual de registros de zona, especialmente para los clientes que se mueven con frecuencia y utilice el protocolo de configuración dinámica de Host (DHCP) para obtener una dirección IP.

Windows Server 2003 proporciona compatibilidad para la funcionalidad de actualización dinámica como se describe en Request for Comments (RFC) 2136. Servidores DNS, el servicio DNS permite habilitar o deshabilitar la funcionalidad de actualización DNS en una base por zonas en cada servidor que está configurado para cargar una zona principal estándar o integrada en directorio.

Volver al principio

Funciones de actualización de DNS de Windows Server 2003

El servicio DNS permite a los equipos cliente actualizar dinámicamente sus registros de recursos en DNS. Al utilizar esta funcionalidad, mejorar la administración de DNS al reducir el tiempo que se requiere para administrar manualmente registros de zona. Puede utilizar la funcionalidad de actualización DNS con DHCP para actualizar registros de recursos cuando se cambia la dirección IP de un equipo. Equipos que ejecutan Windows Server 2003 pueden enviar actualizaciones dinámicas.

Windows Server 2003 proporciona las siguientes características relacionadas con el protocolo de actualización dinámica de DNS:
  • Uso del servicio de directorio de Active Directory como servicio ubicador para controladores de dominio.
  • Integración con Active Directory.

    Puede integrar zonas DNS en Active Directory para proporcionar mayor tolerancia a errores y seguridad. Cada zona integrada en Active Directory se replica entre todos los controladores de dominio en el dominio de Active Directory. Todos los servidores DNS que se ejecutan en estos controladores de dominio pueden actuar como servidores principales de la zona y aceptar actualizaciones dinámicas. Active Directory replica en una base de cada propiedad y propaga sólo los cambios pertinentes.
  • Caducidad y el borrado de registros.

    El servicio servidor DNS puede analizar y eliminar los registros que ya no son necesarios. Cuando se habilita esta característica, puede impedir que los registros obsoletos restante en DNS.
  • Actualizaciones dinámicas seguras en las zonas integradas en Active Directory.

    Puede configurar zonas integradas de Active Directory para las actualizaciones dinámicas seguras para que sólo los usuarios autorizados pueden realizar cambios a una zona o a un registro.
  • Administración desde un símbolo del sistema.
  • Mejor resolución de nombre.
  • El almacenamiento en caché mejorado y caché negativa.
  • Interoperabilidad con otras implementaciones del servidor DNS.
  • Integración con otros servicios de red.
  • Transferencia de zona incremental.
Volver al principio

Cómo actualizan sus nombres DNS los equipos basados en Windows Server 2003

De forma predeterminada, equipos que ejecute Windows Server 2003 y que están configurados estáticamente para TCP/IP intentan registrar dinámicamente direcciones de host (A) y registros de recursos de puntero (PTR) para las direcciones IP configuradas y utilizadas por sus conexiones de red instaladas. De forma predeterminada, todos los registros del registro de equipo se basan en el nombre completo del equipo.

Para equipos basados en Windows Server 2003, el nombre completo del equipo principal es un nombre de dominio completo (FQDN). Además, el nombre completo del equipo principal es el sufijo DNS principal del equipo que se anexa al nombre del equipo. Para determinar el sufijo DNS principal del equipo y el nombre del equipo, ratón Mi PC, haga clic en
Propiedadesy a continuación, haga clic en El nombre de equipo.

Las actualizaciones de DNS se pueden enviar por cualquiera de los siguientes motivos o eventos:
  • Una dirección IP es agregada, quitada o modificada en la configuración de propiedades de TCP/IP para cualquiera de las conexiones de red instaladas.
  • Una concesión de dirección IP cambia o renueva cualquiera de las conexiones de red instaladas en el servidor DHCP. Por ejemplo, esta actualización se produce cuando se inicia el equipo o cuando se utiliza el ipconfig / renew comando.
  • Utilice el comando ipconfig /registerdns para forzar manualmente una actualización del registro de nombre de cliente en DNS.
  • El equipo está encendido.
  • Se promueve un servidor miembro a controlador de dominio.
Cuando uno de estos eventos desencadena una actualización DNS, el servicio cliente DHCP, no el servicio cliente DNS, envía las actualizaciones. Si se produce un cambio en la información de dirección IP debido a DHCP, se realizan las actualizaciones correspondientes en DNS para sincronizar asignaciones de nombre a dirección para el equipo. El servicio cliente DHCP realiza esta función para todas las conexiones de red en el sistema. Esto incluye las conexiones que no están configuradas para utilizar DHCP.

Notas:
  • El proceso de actualización para equipos basados en Windows Server 2003 que usan DHCP para obtener sus direcciones IP es diferente del proceso que se describe en esta sección. Para obtener más información, consulte la sección "Integración de DHCP con DNS" y "Windows DHCP los clientes y el protocolo de actualización dinámica de DNS" sección.
  • El proceso de actualización que se describe en esta sección se supone que las opciones predeterminadas de instalación de Windows Server 2003 están en vigor. Nombres específicos y actualización comportamiento es ajustable cuando se configuran las propiedades avanzadas de TCP/IP para utilizar la configuración de DNS no predeterminados.
  • Además del nombre completo o el nombre principal del equipo, puede configurar los nombres DNS adicionales específicos de la conexión y, opcionalmente, registrar o actualizarlos en DNS.
De forma predeterminada, Windows XP y Windows Server 2003 vuelva a registrar sus registros de recursos A y PTR cada 24 horas independientemente de la función del equipo. Para cambiar la hora, agregue la entrada de registro DefaultRegistrationRefreshInterval bajo la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters
Se establece el intervalo en segundos.


Volver al principio

Un ejemplo de cómo DNS actualiza el trabajo

Para Windows Server 2003, las actualizaciones dinámicas normalmente se solicitan cuando cambia un nombre DNS o una dirección IP en el equipo. Por ejemplo, un cliente llamado "antiguohost" en primer lugar se configura en Propiedades del sistema que tienen los nombres siguientes:
Nombre del equipo: antiguohost
Nombre de dominio DNS del equipo: ejemplo.Microsoft.com
Nombre completo de equipo: antiguohost.ejemplo.Microsoft.com
En este ejemplo, no hay nombres de dominio DNS específico de conexión están configurados para el equipo. Si cambia el nombre del equipo de "antiguohost" a "nuevohost"conlleva, se producen los cambios de nombre siguientes:
Nombre del equipo: nuevohost conlleva
Nombre de dominio DNS del equipo: ejemplo.Microsoft.com
Nombre completo de equipo: nuevohost.ejemplo.Microsoft.com
Una vez aplicado el cambio de nombre en Propiedades del sistema, Windows Server 2003 le pide que reinicie el equipo. Cuando el equipo reinicia Windows, el servicio cliente DHCP realiza la siguiente secuencia para actualizar DNS:
  1. El servicio cliente DHCP envía un inicio de consulta de tipo de autoridad (SOA) utilizando el nombre de dominio DNS del equipo.

    El equipo cliente usa el FQDN configurado actualmente del equipo, como "nuevohost.ejemplo.Microsoft.com", como el nombre especificado en esta consulta.
  2. El servidor DNS autorizado para la zona que contiene el FQDN del cliente responde a la consulta de tipo SOA.

    Para las zonas principales estándares, el servidor principal o el propietario, que se devuelve en la respuesta de consulta SOA es fijo y estático. El nombre del servidor principal siempre coincide con el nombre DNS exacto tal como aparece en el registro de recursos SOA que se almacena con la zona de ese nombre. Sin embargo, si la zona que se está actualizando está integrada en directorios, cualquier servidor DNS que esté cargando la zona puede responder e insertar dinámicamente su propio nombre como servidor principal de la zona en la respuesta de consulta SOA.
  3. El servicio cliente DHCP intenta ponerse en contacto con el servidor DNS principal.

    El cliente procesa la respuesta de consulta SOA del nombre determinar la dirección IP del servidor DNS que está autorizado como servidor principal para aceptar su nombre. Si es necesario, el cliente realiza los pasos siguientes para ponerse en contacto con y actualizar dinámicamente su servidor principal:
    1. El cliente envía una solicitud de actualización dinámica al servidor principal que está determinado en la respuesta de consulta SOA.

      Si la actualización se realiza correctamente, se realiza ninguna acción adicional.
    2. Si esta actualización es errónea, el cliente envía a continuación una consulta de tipo NS para el nombre de la zona que se especifica en el registro SOA.
    3. Cuando el cliente recibe una respuesta a esta consulta, el cliente envía una consulta SOA al primer servidor DNS que aparece en la respuesta.
    4. Después de la SOA se resuelve consultas, el cliente envía una actualización dinámica al servidor especificado en el registro SOA devuelto.

      Si la actualización se realiza correctamente, se realiza ninguna acción adicional.
    5. Si esta actualización es errónea, el cliente repite el proceso de consulta SOA enviando al siguiente servidor DNS que aparece en la respuesta.
  4. Después de que se contacta con el servidor principal que puede realizar la actualización, el cliente envía la solicitud de actualización y el servidor la procesa.


    El contenido de la actualización de solicitud incluye instrucciones para agregar registros de recursos A y posiblemente PTR, para "nuevohost.ejemplo.Microsoft.com" y para quitar estos mismos tipos de registros para "antiguohost.ejemplo.Microsoft.com". ("antiguohost.ejemplo.Microsoft.com" es el nombre que se registró previamente).

    El servidor también comprueba para asegurarse de que las actualizaciones están permitidas para la solicitud del cliente. Zonas principales estándar, las actualizaciones dinámicas no se aseguran. Cualquier intento del cliente de actualización se realiza correctamente. Para las zonas integradas en Active Directory, las actualizaciones están protegidas y realizan mediante la configuración de seguridad basada en directorios.
Las actualizaciones dinámicas se envían o actualizan periódicamente. De forma predeterminada, los equipos envían una actualización cada 24 horas. Si la actualización produce ningún cambio en los datos de la zona, la zona permanece en su versión actual y no se escriben cambios. Actualizaciones que provocan cambios en la zona real o aumentado la zona de transferencias sólo se producen si los nombres o las direcciones cambian realmente.

Nota: Los nombres no se quitan de las zonas DNS si se convierten en inactivas o si no se actualizan en el intervalo de actualización de 24 horas. DNS no utiliza un mecanismo para liberar o a nombres de objetos de desecho, se aplica aunque los clientes DNS intentan eliminar o actualizar registros de nombre antiguo cuando un nuevo nombre o cambio de direcciones

Cuando los registros de servicio de cliente DHCP A y registros de recursos PTR para un equipo basado en Windows Server 2003, el cliente utiliza el almacenamiento en caché de time-to-live valor (TTL) de 15 minutos para los registros de host predeterminado. Este valor determina cuánto tiempo otros servidores DNS y clientes en caché los registros de un equipo cuando se incluyen en una respuesta de consulta.

Volver al principio

Integración de DHCP con DNS

Con Windows Server 2003, un servidor DHCP puede habilitar actualizaciones dinámicas en el espacio de nombres DNS para cualquiera de los clientes que admiten estas actualizaciones. Clientes del ámbito pueden utilizar el protocolo de actualización dinámica de DNS para actualizar su información de asignación de nombre a dirección de host siempre que se produzcan cambios en su dirección asignada por DHCP. (Esta información de asignación se almacena en zonas del servidor DNS). Un servidor DHCP basado en Windows Server 2003 puede realizar actualizaciones en nombre de sus clientes DHCP a cualquier servidor DNS.

Volver al principio

Como funciona la interacción de la actualización DHCP/DNS

Puede utilizar el servidor DHCP para registrar y actualizar registros PTR y un recurso en nombre de los clientes del servidor DHCP habilitado. Al hacerlo, debe utilizar una opción de DHCP adicional, la opción FQDN de cliente (opción 81). Esta opción permite que el cliente envíe su FQDN al servidor DHCP en el paquete DHCPREQUEST. Esto permite que el cliente notifique al servidor DHCP en el nivel de servicio requerido.

La opción FQDN incluye los seis campos siguientes:
  • Código
    Especifica el código para esta opción (81).
  • Len
    Especifica la longitud de esta opción. (Debe ser un mínimo de 4.)
  • Indicadores
    Especifica el tipo de servicio.
  • 0
    Cliente registrará el registro "A" (Host).
  • 1
    Quiere el cliente DHCP registre el registro "A" (Host).
  • 3
    DHCP registrará el registro "A" (Host) con independencia de la solicitud del cliente.
  • RCODE1
    Especifica que un código de respuesta, el servidor envía al cliente.
  • RCODE2
    Especifica una descripción adicional de RCODE1.
  • Nombre de dominio
    Especifica el FQDN del cliente.
Si el cliente solicita registrar sus registros de recursos con DNS, el cliente es responsable de generar la solicitud de actualización dinámica por cada solicitud de comentarios (RFC) 2136. A continuación, el servidor DHCP registra su registro PTR (puntero).

Se supone que esta opción la emite un cliente DHCP calificado, como un equipo habilitado para DHCP que ejecuta Windows Server 2003, Microsoft Windows 2000 o Microsoft Windows XP. En este caso, la opción se procesa e interpreta los servidores DHCP basados en Windows Server 2003 para determinar cómo el servidor iniciará las actualizaciones en nombre del cliente.

Por ejemplo, puede utilizar cualquiera de las siguientes configuraciones para procesar las solicitudes de cliente:
  • El servidor DHCP registra y actualiza la información del cliente con sus servidores DNS configurados según la solicitud del cliente.

    Esta es la configuración predeterminada para los servidores DHCP basados en Windows Server 2003 y clientes que ejecutan Windows Server 2003, Windows 2000 o Windows XP. En este modo, uno de estos clientes DHCP de Windows puede especificar la forma en que el servidor DHCP actualiza sus registros de recursos de host A y PTR. Si es posible, el servidor DHCP administra la solicitud del cliente para tratar las actualizaciones en su nombre y la información de dirección IP en DNS.

    Para configurar el servidor DHCP para registrar información de cliente según la solicitud del cliente, siga estos pasos:
    1. Abra las propiedades DHCP para el servidor o el ámbito individual.
    2. Haga clic en la ficha DNS , haga clic en
      Casilla de verificación de Propiedadesy, a continuación, haga clic en para seleccionar el actualizar dinámicamente registros DNS A y PTR sólo si lo solicitan los clientes DHCP.
  • El servidor DHCP registra y actualiza la información del cliente con sus servidores DNS configurados siempre.

    Se trata de una configuración modificada compatible con servidores DHCP basados en Windows Server 2003 y clientes que ejecutan Windows Server 2003, Windows 2000 o Windows XP. En este modo, el servidor DHCP siempre realiza actualizaciones de FQDN del cliente y concedida la información de dirección IP independientemente de si el cliente ha solicitado para realizar sus propias actualizaciones.

    Para configurar un servidor DHCP para registrar y actualizar información del cliente con sus servidores DNS configurados, siga estos pasos:
    1. Abra las propiedades DHCP para el servidor
    2. Haga clic en DNS, haga clic en Propiedades, haga clic para activar la casilla de verificación Habilitar actualizaciones DNS dinámicas según la configuración siguiente y, a continuación, haga clic en
      Actualizar siempre dinámicamente registros DNS A y PTR.
  • El servidor DHCP nunca registra y actualiza la información del cliente con sus servidores DNS configurados.

    Para utilizar esta configuración, el servidor DHCP debe configurarse para deshabilitar el rendimiento de las actualizaciones procesadas por el proxy de DHCP y DNS. Cuando se utiliza esta configuración, no se actualiza ningún registro de recursos de cliente host A o PTR en DNS para clientes DHCP.

    Para configurar el servidor para que nunca actualizar información del cliente, siga estos pasos:
    1. Abra las propiedades DHCP para el servidor DHCP o uno de sus ámbitos en el servidor DHCP basado en Windows Server 2003.
    2. Haga clic en
      DNS, haga clic en Propiedadesy, a continuación, desactive la
      Casilla de verificación Habilitar actualizaciones DNS dinámicas según la siguiente configuración .
    De forma predeterminada, siempre se realizan actualizaciones para recién instalado servidores DHCP basados en Windows Server 2003 y los nuevos ámbitos creados para ellos.
Volver al principio

Los clientes DHCP de Windows y el protocolo de actualización dinámica de DNS

Clientes DHCP que ejecutan Windows Server 2003, Windows 2000, Windows XP o sistemas operativos anteriores pueden interactuar de forma diferente cuando realizan las interacciones de DHCP y DNS. Los ejemplos siguientes muestran cómo varía este proceso en casos diferentes.

Volver al principio

Un ejemplo de una interacción de actualización DHCP y DNS para clientes DHCP Windows Server 2003, Windows 2000 y Windows XP

Los clientes que ejecutan Windows Server 2003, Windows 2000 o Windows XP DHCP interactúan con el protocolo de actualización dinámica de DNS de la siguiente manera:
  1. El cliente inicia un mensaje de solicitud DHCP (DHCPREQUEST) al servidor. La solicitud incluye la opción 81.
  2. El servidor devuelve un mensaje de confirmación DHCP (DHCPACK) al cliente. El cliente otorga una concesión de dirección IP e incluye la opción 81. Si el servidor DHCP está configurado con la configuración predeterminada, la opción 81 indica al cliente que el servidor DHCP registrará el registro DNS PTR y que el cliente registrará el registro DNS A.
  3. De forma asincrónica, el cliente envía una solicitud de actualización DNS al servidor DNS para su propio registro de búsqueda directa, un registro de recursos de host A.
  4. El servidor DHCP registra el registro PTR del cliente.
Volver al principio

Un ejemplo de una interacción de actualización DHCP y DNS para clientes DHCP basados en Windows que utilice una versión de Windows anterior a Windows Server 2003

Las versiones anteriores de clientes DHCP basados en Windows no admiten directamente el proceso de actualización dinámica de DNS y no pueden interactuar directamente con el servidor DNS. Para estos clientes DHCP, las actualizaciones normalmente se tratan de la manera siguiente:
  1. El cliente inicia un mensaje de solicitud DHCP (DHCPREQUEST) al servidor. Esta solicitud no incluye la opción 81.
  2. El servidor devuelve un mensaje de confirmación DHCP (DHCPACK) al cliente. El cliente otorga una concesión de dirección IP, sin la opción 81.
  3. El servidor envía actualizaciones al servidor DNS para el registro de búsqueda directa del cliente, el host de un registro de recursos y envía una actualización para el registro de búsqueda inversa PTR del cliente.
Volver al principio

Actualizaciones dinámicas seguras

Para Windows Server 2003, actualización de seguridad de DNS está disponible sólo para las zonas integradas en Active Directory. Después de integrar una zona, puede utilizar la lista de control de acceso (ACL), características que están disponibles en el complemento DNS para agregar o quitar usuarios o grupos de la ACL para una zona concreta o para un registro de recursos de edición.

Para obtener más información, busque el tema "para modificar la seguridad de un registro de recursos" o el tema "para modificar la seguridad de una zona integrada de directorio" en la Ayuda de Windows Server 2003.

De forma predeterminada, se controla la seguridad de actualización dinámica para clientes y servidores DNS de Windows Server 2003 de la manera siguiente:

  1. Los clientes de Windows Server 2003-based DNS intentan utilizar en primer lugar actualizaciones dinámicas no seguras. Si se rechaza la actualización no segura, los clientes intentan utilizar la actualización segura.

    Además, los clientes usan una directiva de actualización predeterminada que les permite intentar sobrescribir un registro de recursos registrado anteriormente, a menos que estén bloqueados específicamente por la actualización de seguridad.
  2. De forma predeterminada, después de que una zona pasa a ser integrada en Active Directory, servidores DNS basados en Windows Server 2003 habilitan sólo actualizaciones dinámicas seguras.
De forma predeterminada, cuando se utiliza el almacenamiento de zonas estándar, el servicio servidor DNS no permite actualizaciones dinámicas en sus zonas. Para las zonas que están integradas en directorio o utilizan el almacenamiento estándar basado en archivos, puede cambiar la zona para permitir todas las actualizaciones dinámicas. Esto permite que todas las actualizaciones que se acepten pasando el uso de actualizaciones seguras.

Importante: El servicio servidor DHCP puede realizar el registro con proxy y actualizar registros DNS para clientes heredados que no admiten actualizaciones dinámicas. Para obtener más información, consulte la "utilizar DNS servidores con DHCP" tema de Ayuda de Windows Server 2003.

Si utiliza varios servidores DHCP basados en Windows Server 2003 en la red y configurar las zonas para habilitar sólo actualizaciones dinámicas seguras, utilice el complemento Usuarios y equipos de usuarios de Active Directory para agregar los equipos servidor DHCP al grupo DnsUpdateProxy integrado. Al hacerlo, todos los servidores DHCP tienen derechos seguros para realizar actualizaciones de proxy para cualquiera de los clientes DHCP. Para obtener más información, consulte la "utilizar DNS servidores con DHCP" tema o el tema "Administrar grupos" en la Ayuda de Windows Server 2003.

Precaución La funcionalidad de las actualizaciones dinámicas seguras puede verse comprometida si se cumplen las condiciones siguientes:
  • Ejecutar un servidor DHCP en un controlador de dominio basado en Windows Server 2003
  • El servidor DHCP está configurado para realizar registros DNS en nombre de sus clientes.
Para evitar este problema, implemente servidores DHCP y controladores de dominio en equipos independientes o configure el servidor DHCP para usar una cuenta de usuario dedicada para realizar actualizaciones dinámicas. Para obtener más información, consulte la "utilizar DNS servidores con DHCP" tema de Ayuda de Windows Server 2003.

Para obtener más información, consulte "Consideraciones de seguridad cuando utilice el grupo DnsUpdateProxy" sección.

Volver al principio

Permitir sólo actualizaciones dinámicas seguras

  1. Haga clic en Inicio, elija
    Herramientas administrativasy, a continuación, haga clic en
    DNS.
  2. En DNS, haga doble clic en el servidor DNS correspondiente, haga doble clic en Zonas de búsqueda directa o
    Zonas de búsqueda inversay, a continuación, con el botón derecho la zona correspondiente.
  3. Haga clic en Propiedades.
  4. En la ficha General , compruebe que el tipo de zona está integrada en Active Directory.
  5. En el cuadro actualizaciones dinámicas , haga clic en
    Sólo con seguridad.
  6. Haga clic en Aceptar.
Nota: La funcionalidad de actualización dinámica segura sólo se admite para las zonas integradas en Active Directory. Si se configura un tipo de zona diferente, cambiar el tipo de zona e integrar la zona para poder protegerla para las actualizaciones DNS. Actualización dinámica es una extensión compatible con RFC del estándar DNS. El proceso de actualización DNS se define en RFC 2136, "Actualizaciones dinámicas en el sistema de nombres de dominio (DNS UPDATE)".

Volver al principio

Utilice el grupo de seguridad DnsUpdateProxy

Puede configurar un servidor DHCP basado en Windows Server 2003 para que registre de forma dinámica el host A y registros de recursos PTR en nombre de clientes DHCP. Si utiliza actualizaciones dinámicas seguras en esta configuración con servidores DNS basados en Windows Server 2003, registros de recursos pueden quedar obsoletos.

Por ejemplo, considere el siguiente escenario:
  1. Un servidor DHCP de Windows Server 2003 (DHCP1) realiza una actualización dinámica segura en nombre de uno de sus clientes para un nombre de dominio DNS específico.
  2. Dado que el servidor DHCP ha había creado correctamente el nombre, se convierte en el propietario del nombre.
  3. Después de que el servidor DHCP se convierte en el propietario del nombre del cliente, sólo este servidor DHCP puede actualizar el nombre.
En algunas circunstancias, este escenario puede causar problemas. Por ejemplo, si se produce un error en DHCP1 y se conecta un segundo servidor DHCP de copia de seguridad, el servidor de copia de seguridad no puede actualizar el nombre del cliente porque el servidor no es el propietario del nombre.

En otro ejemplo, supongamos que el servidor DHCP realiza actualizaciones dinámicas para clientes heredados. Si actualiza a los clientes a Windows Server 2003, Windows 2000 o Windows XP, los clientes actualizados no pueden tomar posesión ni actualizar sus registros DNS.

Para resolver este problema, se proporciona un grupo de seguridad integrado denominado DnsUpdateProxy. Si todos los servidores DHCP se agregan al grupo DnsUpdateProxy, los registros de un servidor pueden actualizarse por otro servidor si se produce un error en el primer servidor. Además, todos los objetos creados por los miembros del grupo DnsUpdateProxy no están protegidos. Por lo tanto, el primer usuario que no es miembro del grupo DnsUpdateProxy y que modifica el conjunto de registros asociado con un nombre DNS se convierte en su propietario. Cuando se actualizan los clientes heredados, pueden tomar posesión de sus registros de nombres en el servidor DNS. Si cada servidor DHCP que registra los registros de recursos de clientes heredados es miembro del grupo DnsUpdateProxy, se eliminan muchos problemas.

Volver al principio

Agregar a miembros al grupo DnsUpdateProxy

Utilice el complemento Usuarios y equipos de usuarios de Active Directory para configurar el grupo de seguridad DnsUpdateProxy.

Nota: Si está utilizando varios servidores DHCP para tolerancia a errores y las actualizaciones dinámicas seguras, agregue cada servidor al grupo de seguridad global DnsUpdateProxy.

Volver al principio

Consideraciones de seguridad al uso del grupo DnsUpdateProxy

Los nombres de dominio DNS registrados por el servidor DHCP no son seguros si el servidor DHCP es miembro del grupo DnsUpdateProxy. El registro de recursos de host (A) para el propio servidor DHCP es un ejemplo de este tipo de registro. Además, los objetos creados por los miembros del grupo DnsUpdateProxy no son seguros. Por lo tanto, no puede utilizar este grupo eficazmente en una zona integrada de Active Directory que permite sólo actualizaciones dinámicas seguras, a menos que realice pasos adicionales para habilitar los registros creados por los miembros del grupo para protegerse.

Para protegerse contra registros no seguros o permitir a los miembros del grupo DnsUpdateProxy registren registros en zonas que habilitar sólo actualizaciones dinámicas seguras, siga estos pasos:
  1. Crear una cuenta de usuario dedicada.
  2. Configurar servidores DHCP para realizar actualizaciones dinámicas de DNS con las credenciales de la cuenta de usuario. (Estas credenciales son el nombre de usuario, la contraseña y el dominio).
Las credenciales de cuenta de un usuario dedicado pueden utilizarse en varios servidores DHCP.

Una cuenta de usuario dedicada es una cuenta de usuario cuyo único propósito es proporcionar servidores DHCP con las credenciales para los registros de actualización dinámica de DNS. Supongamos que ha creado una cuenta de usuario dedicada y configurar servidores DHCP con las credenciales de cuenta. Cada servidor DHCP proporcionará estas credenciales al registrar nombres en nombre de clientes DHCP que utilizan la actualización dinámica de DNS. La cuenta de usuario dedicada debe crearse en el bosque donde reside el servidor DNS primario para la zona que se actualizará. La cuenta de usuario dedicada también puede encontrarse en otro bosque. Sin embargo, el bosque en el que reside la cuenta debe tener una confianza de bosque establecida con el bosque que contiene el servidor DNS primario para la zona que se actualizará.

Cuando se instala el servicio servidor DHCP en un controlador de dominio, puede configurar el servidor DHCP con las credenciales de la cuenta de usuario dedicada para evitar que el servidor herede y posiblemente utilice incorrectamente, la potencia del controlador de dominio. Cuando el servicio servidor DHCP está instalado en un controlador de dominio, éste hereda los permisos de seguridad del controlador de dominio. El servicio también tiene autoridad para actualizar o eliminar cualquier registro DNS registrado en una zona segura integrada en Active Directory. (Esto incluye los registros que fueron registrados de forma segura por otros equipos basado en Windows Server 2003 o Windows 2000 y controladores de dominio).

Volver al principio

Configurar actualizaciones dinámicas de DNS

La funcionalidad de actualización dinámica que se incluye en Windows Server 2003 sigue el documento RFC 2136. Actualización dinámica permite a los clientes y servidores registrar nombres de dominio DNS (registros de recursos PTR) y asignaciones de direcciones IP (registros de recursos) a un servidor DNS RFC 2136 compatible.

Volver al principio

Configurar actualizaciones dinámicas de DNS para clientes DHCP

De forma predeterminada, clientes DHCP Windows Server 2003, Windows 2000 y Windows XP están configurados para solicitar el registro de recursos de registro del cliente y registre el registro del servidor del recurso PTR. De forma predeterminada, el nombre que se utiliza en el registro DNS es una concatenación del nombre del equipo y el sufijo DNS principal. Para cambiar este nombre predeterminado, abra las propiedades de TCP/IP de la conexión de red.

Para cambiar los valores predeterminados de actualización dinámica en el cliente de actualización dinámica, siga estos pasos:
  1. En el Panel de Control, haga doble clic en
    Conexiones de red.
  2. Haga clic en la conexión que desea configurar y, a continuación, haga clic en Propiedades.
  3. Haga clic en Protocolo Internet (TCP/IP), haga clic en
    Propiedadesy, a continuación, haga clic en
    Avanzada.
  4. Haga clic en DNS.

    De forma predeterminada,
    Registrar estas direcciones de conexiones en DNS está activada y
    Usar el sufijo DNS de esta conexión registro DNS no está seleccionada. Esta configuración predeterminada hace que el cliente solicite el registro de cliente el registro de recursos y el registro del servidor el registro de recurso PTR.
  5. Haga clic para activar la casilla de verificación utilizar sufijo DNS de esta conexión registro DNS .

    El cliente solicitará entonces que el servidor actualice el registro PTR mediante el FQDN. Si el servidor DHCP está configurado para registrar los registros DNS según la solicitud del cliente, el cliente registra los registros siguientes:
    • El registro PTR.
    • El registro que utiliza el nombre que es una concatenación del nombre del equipo y el sufijo DNS principal.
    • El registro que utiliza el nombre que es una concatenación del nombre del equipo y el sufijo DNS específico de conexión.
  6. Para configurar el cliente para no hacer ninguna solicitud de registro DNS, haga clic para desactivar la casilla de verificación Registrar estas direcciones de conexiones en DNS .
Volver al principio

Configurar actualizaciones dinámicas de DNS en los equipos cliente multitarjeta

Si un cliente de actualización dinámica es multitarjeta, registra todas las direcciones IP con DNS de forma predeterminada. (Un cliente es multitarjeta si tiene más de un adaptador y una dirección IP asociada). Si no desea que el cliente registre todas sus direcciones IP, puede configurarlo para que no registre una o más direcciones IP en las propiedades de conexión de red.

Para evitar que el equipo registrar todas sus direcciones IP, siga estos pasos:
  1. En el Panel de Control, haga doble clic en
    Conexiones de red.
  2. Haga clic en la conexión que desea configurar y, a continuación, haga clic en Propiedades.
  3. Haga clic en Protocolo Internet (TCP/IP), haga clic en
    Propiedadesy, a continuación, haga clic en
    Avanzada.
  4. Haga clic en DNS.
  5. Haga clic para desactivar la casilla de verificación Registrar estas direcciones de conexiones en DNS .
También puede configurar el equipo para registrar su nombre de dominio en DNS. Por ejemplo, si tiene un cliente que está conectado a dos redes distintas, puede configurar el cliente para que tenga un nombre de dominio diferente en cada red.

Volver al principio

Configurar actualizaciones dinámicas de DNS en un servidor DHCP basado en Windows Server 2003

Para configurar la actualización dinámica de DNS para un servidor DHCP basado en Windows Server 2003, siga estos pasos:
  1. Haga clic en Inicio, elija
    Herramientas administrativasy, a continuación, haga clic en
    DHCP.
  2. Haga clic en el servidor DHCP apropiado o ámbito y, a continuación, haga clic en Propiedades.
  3. Haga clic en DNS.
  4. Haga clic para activar la casilla de verificación Habilitar actualizaciones DNS dinámicas según la configuración siguiente para habilitar la actualización dinámica de DNS para clientes que admiten la actualización dinámica.

    Nota: De forma predeterminada, esta casilla de verificación.
  5. Para habilitar la actualización dinámica de DNS para clientes DHCP que no lo admiten, haga clic para activar la casilla de verificación actualizar dinámicamente registros DNS A y PTR para clientes DHCP que no soliciten actualizaciones (por ejemplo, clientes que ejecutan Windows NT 4.0) .
  6. Haga clic en Aceptar.
Volver al principio

Habilitar actualizaciones dinámicas de DNS para un servidor DNS

En un servidor DHCP basado en Windows Server 2003, puede actualizar dinámicamente los registros DNS para clientes basados en Server 2003 que no pueden hacerlo por sí mismos versiones anteriores de Windows.

Para habilitar un servidor DHCP para actualizar dinámicamente los registros DNS de los clientes, siga estos pasos:
  1. En la consola de administración de DHCP, seleccione el ámbito o el servidor DHCP que desea habilitar actualizaciones DNS para.
  2. En el menú acción , haga clic en
    Propiedadesy a continuación, haga clic en DNS.
  3. Haga clic para activar la casilla de verificación Habilitar actualizaciones DNS dinámicas según la siguiente configuración .
  4. Para actualizar los registros DNS de un cliente basados en el tipo de solicitud DHCP que realiza el cliente, haga clic para seleccionar
    Actualizar dinámicamente DNS registros A y PTR sólo si lo solicitan los clientes DHCP. (Esta actualización sólo se producirá sólo cuando el cliente realiza una solicitud).
  5. Para actualizar siempre los registros de búsqueda directa e inversa de un cliente, haga clic en Actualizar siempre dinámicamente registros DNS A y PTR.
  6. Haga clic para activar la casilla de verificación Descartar registros A y PTR cuando la concesión se suprima para que el servidor DHCP eliminar el registro de un cliente cuando la concesión DHCP caduca y no se renueva.

Volver al principio

Deshabilitar las actualizaciones dinámicas de DNS

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows


De forma predeterminada, las actualizaciones dinámicas se configuran en los clientes basados en Windows Server 2003. Para deshabilitar las actualizaciones dinámicas para todas las interfaces de red, siga estos pasos:
  1. Haga clic en Inicio, haga clic en
    Ejecutar, escriba
    regedity, a continuación, haga clic en Aceptar.
  2. Busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. En el menú Edición , elija
    De nuevoy, a continuación, haga clic en valor DWORD.
  4. Escriba DisableDynamicUpdatey, a continuación, presione ENTRAR dos veces.
  5. En Editar valor DWORD, escriba
    1 en el cuadro información del valor y, a continuación, haga clic en
    OK.
  6. Salga del Editor del registro.
Para deshabilitar las actualizaciones dinámicas para una interfaz específica, siga estos pasos:
  1. Haga clic en Inicio, haga clic en
    Ejecutar, escriba
    regedity, a continuación, haga clic en Aceptar.
  2. Busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
    Nota: interfaz es el dispositivo identificador del adaptador de red para la interfaz que desea deshabilitar dinámico de actualización para.
  3. En el menú Edición , elija
    De nuevoy, a continuación, haga clic en valor DWORD.
  4. Escriba DisableDynamicUpdatey, a continuación, presione ENTRAR dos veces.
  5. En Editar valor DWORD, escriba
    1 en el cuadro información del valor y, a continuación, haga clic en
    OK.
  6. Salga del Editor del registro.
Volver al principio
Propiedades

Id. de artículo: 816592 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios