Integración de DNS de Windows en un espacio de nombres DNS existente

  • Artículo

En este artículo se describe cómo integrar DNS de Windows en una organización que ya tiene un espacio de nombres DNS implementado en el que el servidor DNS autoritativo para la zona con el nombre del dominio de Active Directory no admite RFC 2136 (actualizaciones dinámicas).

Se aplica a: Windows Server 2012 R2
Número de KB original: 255913

Resumen

Una característica del Sistema de nombres de dominio (DNS) de Windows es su compatibilidad con actualizaciones dinámicas de host (documentadas en RFC 2136). Para aprovechar esta característica, DNS de Windows se puede implementar en entornos que no tienen ningún otro servidor DNS, así como en entornos que ya tienen servidores DNS no dinámicos implementados (como BIND 4.9.7 y versiones anteriores, etc.). Al implementar DNS de Windows en un entorno que ya tiene implementados servidores BIND, tiene varias opciones de integración:

  • Migrar zonas de servidores DNS autoritativos no dinámicos a servidores que ejecutan DNS de Windows.
  • Delegue dominios DNS secundarios en un dominio DNS primario. En el caso de los nombres de dominio de Active Directory que no tienen el mismo nombre que la raíz de una zona, delega el subdominio en DNS de Windows. Por ejemplo, si el nombre del dominio de Active Directory es dev.reskit.com y la zona que contiene este nombre es reskit.com, delegue dev.reskit.com a un servidor basado en Windows que ejecute DNS.
  • Delegue cada uno de los subdominios usados por los registros de localizador del controlador de dominio (DC) (registros SRV) a un servidor basado en Windows. Estos subdominios son _msdcs.reskit.com, _sites.reskit.com, _tcp.reskit.comy _udp.reskit.com. Esta opción se usaría cuando los nombres de dominio de Active Directory (por ejemplo, reskit.com) que son iguales que el nombre de la raíz de una zona (por ejemplo, reskit.com), no se pueden delegar directamente en un servidor basado en Windows que ejecuta DNS. Opcionalmente, los clientes pueden ser miembros del dominio de Active Directory denominado reskit.com, pero pueden registrarse en la zona DNS denominada dynamic.reskit.com.

En este artículo se documenta la cuarta opción enumerada anteriormente, cómo integrar DNS de Windows en una organización que ya tiene un espacio de nombres DNS implementado en el que el servidor DNS autoritativo para la zona con el nombre del dominio de Active Directory no admite RFC 2136 (actualizaciones dinámicas). En este artículo también se describe un escenario en el que los miembros del dominio usan un sufijo DNS principal diferente del nombre del dominio de Active Directory para permitir el registro dinámico de registros DNS por parte de equipos basados en Windows cuando el servidor DNS autoritativo para la zona con el nombre del dominio de Active Directory no admite actualizaciones de DNS dinámicas.

Más información

Para integrar DNS de Windows en un espacio de nombres existente basado en servidores DNS no dinámicos, puede delegar los subdominios usados por los registros de localizador (registros SRV) para que se puedan usar actualizaciones dinámicas (según RFC 2136). Siga estos pasos:

  1. En el servidor DNS no dinámico que es autoritativo para la zona con el nombre del dominio de Active Directory, delega las siguientes zonas en un servidor basado en Windows 2000 que ejecute DNS:

    _Udp. DNSDomainName
    _Tcp. DNSDomainName
    _Sitios. DNSDomainName
    _msdcs. DNSDomainName

    Por ejemplo, si la zona raíz se llama reskit.com, delegue _udp.reskit.com, _tcp.reskit.com, _sites.reskit.comy _msdcs.reskit.com al servidor basado en Windows.

    También debe delegar dos subdominios adicionales:

    ForestDnsZones. ForestDNSName
    DomainDnsZones. DNSDomainName

  2. En el servidor basado en Windows, cree las zonas de reenvío delegadas en el paso 1 y habilite las zonas para la actualización dinámica.

    Para crear las nuevas zonas:

    1. Inicie el Administrador DNS en el servidor Windows.

    2. Expanda el servidor DNS adecuado en el Administrador de DNS.

    3. Haga clic con el botón derecho en la carpeta Zonas de búsqueda directa y, a continuación, haga clic en Nueva zona.

    4. Cuando se inicie el Asistente para nueva zona, haga clic en Siguiente, seleccione "Zona principal" y, quizás, active la casilla Almacenar la zona en Active Directory y, a continuación, haga clic en Siguiente.

    5. Para las zonas integradas en AD, seleccione dónde deben ir los datos de zona, ya sea a todos los servidores DNS del dominio o bosque, o a todos los DCS del dominio (solo opción en Windows 2000).

    6. Escriba el nombre de la zona en el cuadro nombre. Por ejemplo, escriba _msdcs.reskit.com.

    7. Haga clic en Siguiente. Después de revisar el resumen del asistente, haga clic en Finalizar.

    Para permitir que la zona acepte actualizaciones dinámicas:

    1. Con el Administrador de DNS en el servidor Windows que ejecuta DNS, haga clic con el botón derecho en la nueva zona, haga clic en Propiedadesy, a continuación, haga clic en la pestaña General.
    2. En el cuadro Allow Dynamic Novedades (Permitir Novedades dinámico), haga clic en Only Secure Novedades (recommended) (Solo Novedades seguro (recomendado) o Yes (Sí). La opción Solo seguro Novedades solo está disponible después de que el servidor se haya promocionado a un controlador de dominio. Repita este proceso hasta que se hayan creado las cuatro zonas descritas en el paso 1 y se hayan permitido actualizaciones dinámicas. Esto permite que los registros de localizador del controlador de dominio se registren y desinsteminen dinámicamente en DNS.

  3. Además, se puede crear y configurar una sola zona o varias zonas para permitir que los clientes y servidores se registren dinámicamente con el servidor de Windows. Por ejemplo, se podría usar una zona llamada dynamic.reskit.com para registrar todos los clientes y servidores de una red a través de actualizaciones dinámicas. Para configurar una zona de este tipo:

    1. En el servidor DNS no dinámico que es autoritativo para la zona primaria (por ejemplo, reskit.com), delegue una nueva zona al servidor basado en Windows que ejecuta DNS. Por ejemplo, delegue .dynamic.reskit.com zona al servidor de Windows.
    2. En el servidor de Windows, cree una zona de búsqueda directa para la zona delegada anteriormente (dynamic.reskit.com).
    3. En windows server, habilite las zonas para las actualizaciones dinámicas.

  4. Cuando se inician los controladores de dominio de Windows, el servicio Netlogon intenta registrar varios registros SRV en la zona autoritativa. Dado que las zonas en las que se van a registrar los registros SRV se han delegado (en los pasos 1 y 2) a un servidor Windows donde se pueden actualizar dinámicamente, estos registros se realizarán correctamente. Además, un controlador de dominio intentará registrar los registros A enumerados en su archivo Netlogon.dns en la zona raíz (por ejemplo reskit.com, ). En este caso, dado que la zona raíz se encuentra en un servidor DNS no dinámico, estas actualizaciones no se realizarán correctamente. El siguiente evento se generará en el registro del sistema en el controlador de dominio:

    Tipo de evento: Advertencia
    Origen de eventos: NETLOGON
    Categoría de eventos: Ninguno
    Identificador de evento: 5773
    Fecha: <DateTime>
    Hora: <DateTime>
    Usuario: N/A
    Equipo: DC
    Descripción:
    El servidor DNS para este controlador de dominio no admite DNS dinámico. Agregue los registros DNS del archivo %SystemRoot%\System32\Config\netlogon.dns al servidor DNS que atiende el dominio al que se hace referencia en ese archivo.

    Para corregir este comportamiento:

    1. Cada controlador de dominio de Windows tiene un archivo Netlogon.dns ubicado en su carpeta %SystemRoot%\System32\Config. Este archivo contiene una lista de registros DNS que el controlador de dominio intentará registrar cuando se inicie el servicio Netlogon. Es una buena idea hacer una copia de este archivo antes de realizar los siguientes cambios para que tenga una lista de los registros originales que el controlador de dominio intenta registrar con el servidor DNS. Tenga en cuenta que cada controlador de dominio tendrá registros diferentes porque estos registros son específicos de cada adaptador de red en cada controlador de dominio. Examine el archivo Netlogon.dns para identificar todos los registros A del archivo. Puede identificar registros A por el tipo de registro que sigue al descriptor de clase "IN". Por ejemplo, las dos entradas siguientes son registros A:

      reskit.com. 600 EN UN 10.10.10.10
      gc._msdcs.reskit.com. 600 EN UN 10.10.10.10

      El número de registros A en el archivo Netlogon.dns depende del número de adaptadores con los que tiene el controlador de dominio, el número de direcciones IP con las que se ha configurado cada adaptador y el rol del controlador de dominio. Registro de controladores de dominio:

      • Un registro A por cada una de sus direcciones IP para el nombre del dominio.
      • Si el controlador de dominio también es un servidor de catálogo global (GC), registra gc._msdcs. DnsForestName para cada una de sus direcciones IP.

    2. Dado que el servidor DNS no dinámico no aceptará los intentos del controlador de dominio de registrar dinámicamente los registros A, los registros A deben configurarse manualmente en el servidor DNS autoritativo (en el ejemplo de este artículo, el servidor DNS autoritativo para la zona reskit.com). La adición del registro A correspondiente al nombre del dominio (por ejemplo, reskit.com) no es necesaria para la implementación de Windows y solo puede ser necesaria si los clientes LDAP de terceros que no admiten registros DNS SRV buscan los controladores de dominio de Windows.

      En el servidor de Windows, cree los registros A específicos del servidor gc que se identificaron en el paso A, en la zona adecuada. Por ejemplo, cree un registro A para el servidor GC en la zona _msdcs.reskit.com.

      En el servidor DNS no dinámico que es autoritativo para la raíz de la zona, cree registros A en la zona raíz (por ejemplo, reskit.com) para los registros A no específicos del servidor gc que se identificaron en el paso A. Por ejemplo, cree un registro A para reskit.com en la reskit.com zona.

    3. La siguiente clave del Registro debe usarse para deshabilitar que el controlador de dominio intente registrar los registros A que se ven en el archivo Netlogon.dns. Establezca el valor de REG_DWORD RegisterDnsARecords en 0 (cero) en:

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  5. Para corregir este comportamiento: una vez que tenga un bosque y un dominio de Active Directory en su lugar, debe integrar Active Directory con los dominios DNS de los que es responsable el servidor Windows que ejecuta DNS. Además, debe volver a configurar las zonas que se han configurado para aceptar actualizaciones dinámicas para aceptar solo actualizaciones dinámicas seguras.