Cómo deshabilitar la administración remota del servicio servidor DNS en Windows Server 2003 y en Windows 2000 Server

INTRODUCCIÓN

Este artículo describe cómo deshabilitar la administración remota DNS de un servidor DNS que está ejecutando uno de los siguientes sistemas operativos:
  • Microsoft Windows Server 2003
  • Microsoft Windows 2000 Server
Puede utilizar el método que se menciona en este artículo para mejorar la seguridad de los equipos que ejecutan el servicio servidor DNS en una organización.

Para obtener más información acerca de un problema que afecta al servicio de servidor DNS en Windows Server 2003 y en Windows 2000 Server, visite el siguiente sitio Web de Microsoft:

Más información

Información general

De forma predeterminada, el servicio servidor DNS permite administración remota usando muchas interfaces. Cuando se inicia el servicio servidor DNS, enlaza con un puerto dinámico en el intervalo efímero. Este puerto se utiliza el complemento DNS de Microsoft Management Console (MMC) y el proveedor de Instrumental de administración de Windows (WMI) de DNS. Puede utilizar la entrada de registro siguiente para controlar si el servicio servidor DNS permite administración remota:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Nombre de valor: RpcProtocol
Tipo de valor: REG_DWORD
Datos del valor: 0 x 4
Los valores siguientes están disponibles para la entrada RpcProtocol del registro:
  • 0x1
    Este valor corresponde a una configuración de DNS_RPC_USE_TCPIP
  • 0x2
    Este valor corresponde a una configuración de DNS_RPC_USE_NAMED_PIPE
  • 0x4
    Este valor corresponde a una configuración de DNS_RPC_USE_LPC
Nota: Un valor de 0 x 4, limita la interfaz RPC de DNS sólo llamadas a procedimiento local. Esto permite que sólo la administración local.

El efecto de deshabilitar la administración remota

Cuando se establece la entrada RpcProtocol del registro en 0 x 4, la administración remota del servicio servidor DNS está deshabilitado. Por lo tanto, no puede usar RPC o Instrumental de administración de Windows (WMI) para administrar el servidor DNS. En este escenario, las herramientas de administración del servidor DNS ya no funcionan desde una ubicación remota. Sin embargo, todavía puede utilizar herramientas de administración locales para administrar el servidor DNS y todavía puede realizar la administración remota del servidor DNS mediante una conexión de servicios de Terminal Server.

Establecer 0 x 4 RpcProtocol no afecta a consultas DNS, las actualizaciones dinámicas de DNS, las transferencias de zona DNS y así sucesivamente.

Nota: Configuración y administración local del servicio de servidor DNS no funcionen si se cumplen las condiciones siguientes:
  • El servidor que desea administrar tiene un nombre de host que tiene 15 caracteres.
  • Seleccione el servidor mediante su nombre de host.
Para resolver este problema, especifique el nombre de dominio completo (FQDN) del equipo cuando lo administre usando las herramientas de administración del servidor DNS.

Para deshabilitar la administración remota del servicio servidor DNS

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows


Para deshabilitar la administración remota sobre la funcionalidad RPC de un equipo que está ejecutando el servicio servidor DNS, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
  2. Busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  3. En el menú Edición , seleccione Nuevo y, a continuación, haga clic en Valor DWORD.
  4. En el cuadro nuevo valor #1 , escriba RpcProtocoly, a continuación, presione ENTRAR.
  5. Haga RpcProtocoly, a continuación, haga clic en Modificar.
  6. En el cuadro información del valor , escriba 4y, a continuación, haga clic en Aceptar.
  7. Salga del Editor del registro y, a continuación, reinicie el servicio servidor DNS. Para reiniciar el servicio servidor DNS, siga estos pasos:
    1. Haga clic en Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.
    2. En el símbolo del sistema, escriba el comando siguiente y, a continuación, presione ENTRAR:
      net stop dns & & del comando net start dns

Para distribuir el valor RpcProtocol del registro en muchos equipos

Puede utilizar una secuencia de comandos para distribuir el valor RpcProtocol del registro. Esto permite más fácilmente deshabilitar la administración remota del servicio servidor DNS en muchos equipos. Para ello, siga estos pasos:
  1. Inicie sesión en el dominio utilizando una cuenta que tenga derechos para modificar los servidores DNS. Por ejemplo, inicie sesión como un administrador de dominio.
  2. Crear una lista de todos los servidores DNS. Para ello, ejecute el comando siguiente en un símbolo del sistema:
    dsquery *-filtro "(servicePrincipalName = DNS *)" - attr dNSHostName -l > dns_servers.txt
    Si es necesario, edite manualmente el archivo dns_servers.txt que se crea para especificar todos los servidores DNS. Por ejemplo, este comando solamente captura los controladores de dominio configurados como servidores DNS. Por lo tanto, debe agregar manualmente los servidores DNS que están configurados como servidores miembro.

    Nota: Puede utilizar la ficha Servidores de nombres en el cuadro de diálogo Propiedades de la zona DNS para cada zona en el DNS para determinar los nombres de los servidores DNS que desea agregar a esta lista.
  3. Si es necesario, utilice el comando cd en el símbolo del sistema para cambiar al directorio en el que guardó el archivo dns_servers.txt.
  4. Escriba el comando siguiente y, a continuación, presione ENTRAR:
    para/f %i en (dns_servers.txt) reg agregar \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters/v/f de RpcProtocol /t REG_DWORD /d 4
    Este comando agrega la entrada RpcProtocol del registro junto con un valor de 0 x 4.
  5. Detenga el servicio servidor DNS en todos los equipos. Para ello, escriba el comando siguiente y, a continuación, presione ENTRAR:
    DNS detenga/f %i en (dns_servers.txt) sc \\%i
  6. Inicie el servicio servidor DNS en todos los equipos. Para ello, escriba el comando siguiente y, a continuación, presione ENTRAR:
    para/f %i en (dns_servers.txt) sc \\%i start DNS

Para comprobar que la entrada RpcProtocol del registro está establecida en muchos equipos

Para consultar los servidores y compruebe que la entrada RpcProtocol del registro está establecida, siga estos pasos:
  1. Inicie sesión en un servidor DNS que tiene la entrada RpcProtocol del registro establecida.
  2. Copie la siguiente secuencia de comandos en un archivo de texto y, a continuación, archivo el nombre Dnsquery.cmd:
    Echo Comparing registry value for: > dns_errors.txt echo HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters >> dns_errors.txt echo Data Value for "RpcProtocol" >> dns_errors.txt echo. >> dns_errors.txt echo. >> dns_errors.txt 
    Echo Errorlevel 1 - Failed to compare registry values >> dns_errors.txt
    Echo Errorlevel 2 - Reg values compared are different >> dns_errors.txt echo. >> dns_errors.txt
    echo. >> dns_errors.txt echo ===================================================== >> dns_errors.txt
    set _MachineName=
    for /f %%i in (dns_servers.txt) do ( call :TEST %%i )
    :TEST
    Set _MachineName=%1
    echo %_MachineName%
    reg.exe compare "HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" "\\%_MachineName%\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v RpcProtocol
    if %_MachineName% == "" echo 0 > nul
    if %errorlevel% == 0 echo 0 > nul
    if %errorlevel% == 1 Echo Computername: %_MachineName% Errorlevel returned: 1 - Failed >> dns_errors.txt
    if %errorlevel% == 2 Echo Computername: %_MachineName% Errorlevel returned: 2 - Different >> dns_errors.txt
    :End
    rem exit
    Nota: Esta secuencia de comandos compara la subclave del registro de parámetros en los equipos remotos en el equipo donde se ejecuta la secuencia de comandos.

    Importante: En esta secuencia de comandos no debe haber espacios finales.
  3. Haga doble clic en el archivo Dnsquery.cmd para ejecutarlo.

Para quitar el valor RpcProtocol del registro de muchos equipos

Para deshacer la operación que configura el valor RpcProtocol del registro, siga estos pasos:
  1. Inicie sesión en el dominio utilizando una cuenta que tenga derechos para modificar los servidores DNS. Por ejemplo, inicie sesión como un administrador de dominio.
  2. Inicie un símbolo del sistema y, a continuación, utilice el comando cd para cambiar al directorio en el que guardó el archivo Dns_servers.txt.
  3. Escriba el comando siguiente y, a continuación, presione ENTRAR:
    for /f %i en (dns_servers.txt) reg delete \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /f
  4. Detenga el servicio servidor DNS en todos los equipos. Para ello, escriba el comando siguiente y, a continuación, presione ENTRAR:
    DNS detenga/f %i en (dns_servers.txt) sc \\%i
  5. Inicie el servicio servidor DNS en todos los equipos. Para ello, escriba el comando siguiente y, a continuación, presione ENTRAR:
    para/f %i en (dns_servers.txt) sc \\%i start DNS
Propiedades

Id. de artículo: 936263 - Última revisión: 14 ene. 2017 - Revisión: 2

Comentarios