W2k8 – Rol de DNS Server

Paula Tomás GaledSupport SpecialistMicrosoft Corporation

4

Introducción (I)

DNS (Domain Name System) es un sistema para almacenar información de red sobre máquinas y servicios organizada jerárquicamente en dominios.Las redes TCP/IP utilizan DNS para localizar máquinas y servicios mediante nombres “sencillos”Proporciona una manera de emparejar el nombre “humano” de una máquina o servicio a otra información asociada a dicho nombre, como puede ser su dirección IP

5

Introducción (II)

.

msn

.com

corp

microsoft

mtu

.edu

msu

.org

unicef gov

.au

com

Subdominio Dominio segundo nivel Dominio Top-Level Root

corp. microsoft. com .

6

¿Qué hace esta característica?

Nombre IPBúsqueda de ServiciosNecesario para AD DSIntegración con otros servicios:

AD DSDHCPWINS

Cumple los RFC para el protocolo DNS

7

¿A quién puede interesar?

Prácticamente todas las redes TCP/IP requieren acceso a 1 o más servidores DNSSin resolución de nombres, el acceso a máquinas remotas sería más difícil/tediosoInternet (servidores Web), Intranet (máquinas en la LAN)Considerar la instalación de DNS en redes con:

Máquinas en dominioMáquinas clientes DHCP basadas en WindowsMáquinas conectadas a InternetOficinas remotas o dominios en una WAN

8

¿Que nueva funcionalidad ofrece esta característica?

Carga de zonas en segundo plano (Background zone loading)

Soporte mejorado para IPv6

Soporte a DCs de sólo lectura (RODC)

Zona GlobalNames (GNZ)

Lista de “bloqueo” Global Query

9

1. Carga de zonas en segundo plano (I)

AntesCarga de zonas tras el reinicio podía tomar hasta más de 1 hora en grandes organizacionesServicio DNS no disponible a peticiones mientras tanto

AhoraSi un cliente pide datos de un registro que no ha sido cargado todavía en memoria, el servidor lee los datos del nodo desde AD DS, los carga y responde a la consultaEl servidor DNS puede por tanto responder a peticiones casi inmediatamente después de reiniciarSistema

OperativoCarga en segundo plano

Si la zona no está cargada

2003 SP1 No Sin respuesta

2008 Sí Busca los datos en DA y responde

10

1. Carga de zonas en segundo plano (II)

Al iniciar el servicio:Enumera todas las zonas a cargarCarga los root hintsCarga las zonas primarias (desde ficheros)Comienza a responder a consultas DNS y RPCLanza uno o varios hilos para cargar las zonas almacenadas en DA

El servicio ya está disponible y la carga de las zonas se realiza en segundo planoLas zonas almacenadas en DA presentan como ventaja que pueden ser accedidas de forma asíncrona.

Sin embargo, las primarias requieren una lectura secuencial del fichero

11

2. Soporte mejorado para IPv6

IPv6 permite un mayor direccionamientoIPv6 128 bitsIPv4 32 bits

DNS snap-in admite tanto IPv4 como IPv6dnscmd.exe se ha modificado para IPv6Reenviadores con IPv4 e IPv6Los clientes pueden registrar sus direcciones IPv4 y/o IPv6Soporte al espacio de nombres ip6.arpa para resolución inversaLos clientes DNS deben ser compatibles para utilizar esta funcionalidad

12

3. Soporte para RODC

DC de sólo lectura generalmente en:Ubicaciones donde no se puede garantizar la seguridad física del DCUbicaciones remotas de difícil acceso para administradores del dominio

DNS soporta ahora zonas primarias de sólo lectura

Replica una copia completa de sólo lectura de todas las particiones de DA que necesita (ej. Dominio, ForestDnsZones, DomainDnsZones)

Estas zonas pueden leerse pero no modificarse en estos servidoresSe requiere para soportar AD DS en RODC

13

4. Zona GlobalNames (I)

Nombres de etiqueta “simple” (single-label) únicos en toda la organizaciónExperiencia del usuario similar a WINSAyuda para retirar WINS, no un sustituto de WINS

No pretende mantener nombres single-label actualizados dinámicamente

Diseñado para mantener registros globales estáticos de servidores mantenidos por administradores de TI

Servidores Web, corporativos, de recursos

14

4. Zona GlobalNames (II)

Proceso de búsqueda en GNZ:1. Consulta/Actualización de un cliente a un

servidor autoritativo2. El servidor primero busca el nombre en la GNZ3. Si el nombre existe en la GNZ:

a. Consulta: Devuelve el registrob. Actualización: Rechaza la actualización

4. Si no se encuentra en la GNZ se busca en la zona autoritativa para la que se ha realizado la consulta (método habitual pre GNZ)

5. Se obtiene la respuesta adecuada desde la zona autoritativa

6. El servidor DNS envía la respuesta obtenida al cliente

15

¿Cómo funciona la zona GlobalNames?

PepeCliente DNS

Zona GlobalNames

Zona de búsqueda directa(ej. europe.corp.microsoft.com)

Servidor DNS(ej. Servidor de nombres de Europe)

12

3

5

64

El servicio DNS Client agrega el sufijo

DNS principal a la búsqueda:

serv.europe.corp.microsoft.com

…serv…

…serv.europe.corp.microsoft.com

…

Si no lo encuentra en la GNZ, busca en la zona correspondiente:

serv.europe.corp.microsoft.com

El usuario intenta acceder a un servidor con un nombre single-label:

serv

En primer lugar, el

servidor busca en la GNZ:

serv.europe.corp.microsoft.com

16

Cómo se habilita la GNZ

Crear una zona de búsqueda directa llamada “GlobalNames”

Habilitar la GNZ:dnscmd /config /enableglobalnamessupport 1

17

¿Que cambia esta funcionalidad?

Acceso a servidores “centrales” estáticosEn grandes organizaciones con numerosos dominios (suficientes para no poder mantener una lista de sufijos de búsqueda):

Las búsquedas pueden terminar con timeout antes de poder ser completadas y haber probado con todos los sufijosEvita mantener una larga lista de sufijos de búsqueda DNS

El cliente sigue agregando sufijos de búsqueda (sufijo DNS primario, listas de búsqueda – GPO o específicas de la conexión)

18

Limitaciones de la GNZ

Todos los servidores deben ser W2k8Mantener la unicidadObtener la respuesta esperada

Replicación a nivel de bosque

No soporta actualizaciones dinámicas

La consulta del cliente debe realizarse a un FQDN

19

5. Lista de “bloqueo” Global Query (I)

Se bloquean las consultas a dos nombres por defecto:

WPAD (Web Proxy Auto-Discovery Protocol)ISATAP (Intra-Site Automatic Tunnel Addressing Protocol)

Diseñado para evitar que una suplantación indebida de dichos nombres ocasione daños en la redConsulta ≠ Actualización

Es un bloqueo a las consultas, no a las actualizacionesEstos nombres pueden ser creados y/o suplantadosAunque estén registrados, esta funcionalidad provoca que las consultas de los clientes por ellos no se resuelvan

20

5. Lista de “bloqueo” Global Query (II)

Configuración inicial de la lista:Si WPAD o ISATAP existen en alguna zona, se omiten de la listaSi WPAD o ISATAP NO existen en ninguna zona, se agregan a la lista y se habilita el bloqueoEsta configuración no se vuelve a llevar a caboSe puede consultar la lista mediante el comando:

dnscmd /info /globalqueryblocklist

Si hay cambios en la infraestructura, el administrador deberá modificar manualmente la lista mediante:

dnscmd /config /globalqueryblocklist <nombre1> <nombre2> …

Para consultar si el bloqueo está habilitado:dnscmd /info /enableglobalqueryblocklist

Para habilitar/deshabilitar el bloqueo:dnscmd /config /enableglobalqueryblocklist [0|1]

21

Funcionalidades adicionales

Se mantiene el soporte a DNSSEC de W2k3Sólo como servidor secundarioDeshabilitado por defecto

Timestamp de los registros en la consola DNSCambios para DNS Client (Vista/W2k8)

Nuevas configuraciones mediante GPO:Allow DNS Suffix Appending to Unqualified Multi-Label Name QueriesTurn off Multicast Name Resolution

LLMNR (Link-local Multicast Name Resolution)IPv6 instalado por defecto y “preferido”DHCP Client ya no lleva a cabo los registros en DNS, ahora se encarga DNS Client

Nuevos tipos de registros: NAPTR para DDDS, DNAME, tipos de registros DNSSEC

22

¿Qué debo preparar para desplegar esta característica?

TODOS los servidores DNS autoritativos deben ser Windows Server 2008 para soportar la zona GlobalNames y la lista de bloqueos Global Query

Los clientes deben ser compatibles con IPv6, ya que los servidores pueden devolver tanto el registro host IPv4 (A) como el IPv6 (AAAA)

23

¿Disponible en todas las versiones de Windows 2008?

Disponible para las versiones Standard, Enterprise y DataCenter

Roles de servidor de Windows Server 2008http://www.microsoft.com/spain/windowsserver2008/editions/roles.mspx

24

EnlacesServidor DNShttp://www.microsoft.com/spain/windowsserver2008/roles/apps_dns.mspxhttp://technet2.microsoft.com/windowsserver2008/en/library/db8c3b91-f883-47df-ab71-676f274e32a81033.mspx?mfr=true

The Cable Guy: Mejoras de DNS en Windows Server 2008 http://technet.microsoft.com/es-es/magazine/cc137727.aspx

DNS Server GlobalNames Zone Deploymenthttp://download.microsoft.com/download/e/2/0/e2090852-3b7f-40a3-9883-07a427af1560/DNS-GlobalNames-Zone-Deployment.doc

DNS Server Global Query Block Listhttp://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9-cae98cc2e4a3/DNS_Server_Global_%20Query_Block%20List.doc

Domain Name Systemhttp://technet.microsoft.com/en-us/network/bb629410.aspx

Creación y uso de una GNZ

demo

26

GNZ Demo

Crear y habilitar la GNZCrear registro test1 y test2 en la zona del dominioCrear registro test1 en la GNZ con diferente IPCrear registro test2 en la GNZ con CNAMEnslookup desde el cliente (para test1 y test2)Búsquedas para test1 y test1.Búsquedas para test1.globalnames.Trazas de red

DNS GUI, IPv6

demo

28

Demo

Creación de registros IPv6Búsqueda directa AAAABúsqueda inversa PTR (zona ip6.arpa)

TimeStamp en el GUIVerificar la lista de “bloqueos”

© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.