Hansel mejía 2019-7839 Introduccion a DNS • El Sistema de nombres de dominio (DNS) es un servicio que le permite resolver un nombre de host a un Dirección de protocolo de internet (IP). • DNS es el 411 de su red, o información, y devuelve los datos TCP / IP para su red. • Windows Server 2016 funciona con dos versiones de TCP / IP: IPv4 e IPv6. • También puede ver cómo este método puede convertirse difícil de manejar si tiene muchos hosts que desean usar nombres fáciles de recordar en lugar de IP direcciones para ubicar recursos en su red. Cuando se trata de redes grandes, los usuarios y los administradores de red deben poder localizar los recursos que requieren con una búsqueda mínima. A los usuarios no les importa lo real dirección de red física o lógica de la máquina; solo quieren poder conectarse a usando un nombre simple que puedan recordar. Sin embargo, desde el punto de vista de un administrador de red, cada máquina debe tener su propio dirección lógica que lo hace parte de la red en la que reside. Por lo tanto, algún método escalable y fácil de administrar para resolver el nombre lógico de una máquina a una dirección IP y luego se requiere un nombre de dominio. DNS fue creado solo para este propósito • DNS es una base de datos distribuida jerárquicamente. En otras palabras, sus capas están dispuestas en un orden definido, y sus datos se distribuyen en una amplia gama de máquinas, cada una de las cuales puede ejercer control sobre una parte de la base de datos. DNS es un conjunto estándar de protocolos que define lo siguiente: • Un mecanismo para consultar y actualizar la información de dirección en la base de datos. • Un mecanismo para replicar la información en la base de datos entre servidores • Un esquema de la base de datos. • Cada nodo en el DNS puede ramificarse a cualquier número de nodos debajo de él. Por ejemplo, debajo del nodo raíz hay una serie de otros nodos, comúnmente conocidos como nivel superior dominios (TLD). Estos son los conocidos .com, .net, .org, .gov, .edu y otros similares. • Una zona DNS es un porción del espacio de nombres DNS sobre el cual un servidor DNS específico tiene autoridad. • Hay 2 tipos de DNS, DNS dinamico que funciona con dhcp y Non-DNS que el administrador utiliza para manejar redes pequeñas como oficinas. DNS QUERY(CONSULTAS) • Las consultas iterativas son las más fáciles de entender: un cliente solicita una respuesta al servidor DNS, y el servidor devuelve la mejor respuesta. Es probable que esta información provenga del caché del servidor. • En una consulta recursiva, el cliente envía una consulta a un servidor de nombres, pidiéndole que responda con la respuesta solicitada o con un mensaje de error. El error establece una de dos cosas: • El servidor no puede encontrar la respuesta correcta. • El nombre de dominio no existe. La mayoría de los resolutivos usan consultas recursivas. Además, si su servidor DNS utiliza un reenviador, las solicitudes enviadas por su servidor al reenviador serán consultas recursivas. • Las consultas inversas utilizan registros de puntero (PTR) Cache y tiempo de vida • Cuando un servidor de nombres procesa una consulta recursiva, es posible que deba enviar varias consultas para encontrar la respuesta definitiva. Los servidores de nombres, que actúan como solucionadores, pueden almacenar en caché todos la información recibida durante este proceso; cada registro contiene información llamada tiempo para en vivo (TTL). El TTL especifica cuánto tiempo se mantendrá el registro en la memoria caché local hasta que deba ser resuelto de nuevo. Si entra una consulta que puede satisfacerse con estos datos almacenados en caché, el TTL que es devuelto con él es igual a la cantidad de tiempo actual restante antes de que se vacíen los datos. Zona DNS • Una zona DNS es una parte del espacio de nombres DNS sobre que un servidor DNS específico tiene autoridad. Dentro de una zona DNS dada, hay recursos registros que definen los hosts y otros tipos de información que conforman la base de datos para la zona. Puede elegir entre varios tipos de zonas diferentes. Comprender las características de cada uno le ayudará a elegir cuál es el adecuado para su organización. • Hay 2 tipos de zonas primarias que se usan como bases de datos para guardar los registros: zona primaria y zona primaria con integración active directory Stub Zones • Las zonas de código auxiliar funcionan de manera muy parecida a las zonas secundarias: la base de datos es una copia no editable de un primario zona. La diferencia es que la base de datos de la zona de código auxiliar contiene solo la información necesaria (tres tipos de registro) para identificar los servidores DNS autorizados para una zona. • No debe usar zonas de código auxiliar para reemplazar zonas secundarias, ni debe usarlas para redundancia y equilibrio de carga. • Las zonas de código auxiliar se vuelven particularmente útiles en un par de escenarios diferentes. Considerar qué sucede cuando dos grandes empresas se fusionan: example.com y example.net Zona secundaria • Los servidores DNS secundarios reciben sus bases de datos de zona a través de la zona transferencias. Cuando configura un servidor secundario por primera vez, debe especificar el servidor primario que tiene autoridad para la zona y enviará la transferencia de zona. El servidor primario también debe permitir que el servidor secundario solicite la transferencia de zona. Ventajas de DNS en window server 2016 • Zona de carga de fondo • Soporte para TCP / IP versión 6 (IPv6) • Controladores de dominio de solo lectura • GlobalName zone • DNS socket pools • Bloqueo de caché de DNS • Límite de tasa de respuesta (RRL) • Extensiones de seguridad de DNS (DNSSEC) Grupos de sockets DNS • Los grupos de sockets DNS permiten la aleatorización del puerto de origen • El bloqueo de caché DNS de para proteger contra DNS ataques de Windows Server 2016 permite envenenamiento de caché. que los registros DNS en caché • Si elige utilizar la aleatorización del permanezcan seguros para puerto de origen, cuando se inicia el • duración del valor de tiempo servicio DNS, El servidor DNS elegirá de vida (TTL) del registro. Esto aleatoriamente un puerto de origen significa que los registros DNS de un grupo de sockets disponibles. en caché Esto es una ventaja porque en lugar • no se puede sobrescribir o de que DNS utilice un puerto de cambiar. Debido a esta nueva origen conocido al emitir consultas, función de DNS, es más difícil el DNS El servidor utiliza un puerto para los hackers aleatorio seleccionado del grupo de sockets. • realizar ataques de envenenamiento de caché contra su servidor DNS. El límite de la tasa de respuesta (RRL) • Permite a un administrador ayudar a prevenir la posibilidad de piratas informáticos que utilizan sus servidores DNS corporativos para iniciar un ataque de denegación de servicio en sus clientes DNS corporativos. • El administrador puede configurar los RRL para controlar como responden las solicitudes cuando reciben multiples solicitudes de un mismo cliente. Cuando los configuramos bien podemos evitar que los hackers envíen un ataque de denegación de servicio. DNS Security Extensions • Un problema importante que siempre debe tener en cuenta es mantener su DNS seguro. Piénsalo: DNS es una base de datos de nombres de computadoras • El protocolo permite que y direcciones IP. Como hacker, si sus servidores DNS estén controlo DNS, puedo controla tu seguros al validar las empresa. En organizaciones que no respuestas DNS. DNSSEC admiten seguridad adicional como IPsec, DNS La seguridad es aún más asegura sus registros de importante. Aquí es donde las extensiones de seguridad del sistema recursos DNS acompañando de nombres de dominio (DNSSEC) los registros con una firma puede ayudar. digital. • Para permitir que sus registros de recursos DNS reciban firmas digitales, se aplica DNSSEC a su servidor DNS mediante un procedimiento llamado firma de zona. Anclas de confianza • Las anclas de confianza son una parte importante del proceso DNSSEC porque las anclas de confianza permiten los servidores DNS para validar los registros de recursos DNSKEY. Las anclas de confianza están preconfiguradas claves públicas que están vinculadas a una zona DNS. • Puedes ver las anclas de confianza en el árbol de la consola del administrador DNS en el contenedor puntos de confianza o puedes usar powershell con el siguiente comando: get-dnsservertrustanchor sec.contoso.com DNS Policies • Una de las nuevas • Gestión de tráfico basada ventajas del DNS de en la ubicación Windows Server 2016 es • Split Brain DNS la capacidad de configurar DNS Políticas • Filtración Los administradores • Forense(honeypot) pueden configurar políticas basadas en la • Redirección basada en la ubicación, la hora del día, hora del día los tipos de implementación, consultas, equilibrio de carga de aplicaciones y más. Installing DNS • Abre server manager • En la página Agregar características, • En el panel del Administrador del servidor, haga simplemente haga clic en Siguiente. clic en el enlace Agregar roles y características. • Haga clic en Siguiente en la pantalla de • Si aparece una pantalla Antes de comenzar, información del Servidor DNS. haga clic en Siguiente. • En la pantalla Confi rm Installation, • En la página Tipo de selección, elija Instalación seleccione la casilla de verificación basada en roles o en características y haga clic Reiniciar el servidor de destino en Siguiente. automáticamente si es necesario y luego • Haga clic en el botón de selección Seleccionar haga clic en el botón Instalar. un servidor del grupo de servidores y elija el servidor en la sección Grupo de servidores. • At the Installation progress screen, click Close after the DNS server is installed. • Haga clic en el elemento del servidor DNS en la lista de funciones del servidor. Si aparece una • Close Server Manager. ventana emergente que le indica que necesita agregar funciones adicionales, haga clic en el botón Agregar funciones. Equilibrio de carga con Round Robin • Al igual que otras implementaciones de DNS, la implementación de DNS en Windows Server 2016 admite el equilibrio de carga mediante el uso de round robin. El equilibrio de carga distribuye la carga de red entre varios hosts de red si están disponibles. Configura la carga round- robin equilibrio creando múltiples registros de recursos con el mismo nombre de host pero diferente IP direcciones para múltiples computadoras. Dependiendo de las opciones que seleccione, el servidor DNS responde con las direcciones de una de las computadoras host. Configurar un servidor de solo almacenamiento en caché • Aunque todos los servidores de nombres DNS almacenan en caché las consultas que han resuelto, los servidores de solo almacenamiento en caché son servidores de nombres DNS que solo realizan consultas, almacenan en caché las respuestas y devuelven los resultados. • Los servidores de almacenamiento en caché son fáciles de configurar. Después de instalar el servicio DNS, simplemente asegúrese de que las sugerencias de raíz estén configuradas correctamente. Pestaña Servidores de nombres • El registro del servidor de nombres (NS) para una zona indica qué servidores de nombres tienen autoridad para la zona. Eso normalmente significa el servidor primario de la zona y cualquier servidor secundario que tenga configurado para la zona. (Recuerde, los servidores secundarios son copias autorizadas de solo lectura de la zona.) Edite el registro NS para una zona utilizando la pestaña Servidores de nombres . • La pestaña le muestra qué servidores están listados actualmente, y usted usa Agregar, Editar y Elimine los botones para especificar qué servidores de nombres desea incluir en el registro NS de la zona Pestaña WINS • La pestaña WINS le permite • Pestaña Transferencias de controlar si esta zona utiliza zona búsquedas directas WINS o • Las transferencias de zona no. Estas búsquedas son necesarias y útiles transmiten consultas que porque son el mecanismo DNS no puede resolver a utilizado para propagar WINS para la acción. Este es zona de datos entre un útil configurar si aún usa servidores primarios y WINS en su red. Debe secundarios. Para los activar explícitamente esta servidores primarios (ya sea opción con la casilla de AD integrado o no), puede verificación Usar búsqueda especificar si sus servidores directa WINS en la pestaña permitirán transferencias WINS para una zona en de zona y, de ser así, a particular. quién. Reenvío de DNS • Si un servidor DNS no tiene una respuesta a una solicitud DNS, puede ser necesario enviar eso solicitud a otro servidor DNS. Esto se llama reenvío de DNS. Necesitas entender el dos tipos principales de reenvío: Reenvío externo Cuando un servidor DNS reenvía una solicitud de DNS externo a un DNS servidor fuera de su organización, esto se considera reenvío externo. Using Nslookup • Nslookup le ofrece la capacidad de realizar pruebas de consulta de servidores DNS y obtener respuestas detalladas en el símbolo del sistema. Esta información puede ser útil para diagnosticar y resolver problemas de resolución de nombres, para verificar que se agregan registros de recursos o actualizado correctamente en una zona y para depurar otros problemas relacionados con el servidor. DHCP • Cuando estas configurando una red, las pc necesitan comunicarse usando el mismo tipo de lenguaje, TCP/IP es el protocol primordiar de window server 2016. Todas tus maquinas necesitan una unica IP, hay 2 formas de asignarla: manual o automaticamente . • Si tu red tiende a crecer no podras manejarla manual por que sera muy dificil de administrar, hay entra DHCP. • Una ventaja es que se puede implementar en server Core. DORA PROCESS (DHCP) • Una manera facil de saber como dhcp trabaja es con dora: • Discover(descubrir) • Offer(ofrecer) • Request(consultar) • Acknowledge(reconoce r) Ventajas de DHCP • Administracion de ip para el cliente de forma automatica. • Las direcciones IP se conservan porque DHCP las asigna solo cuando se solicitan. • 366/5000 • Permite que un cliente de entorno de ejecución previo al arranque (PXE) obtenga una dirección TCP / IP de DHCP Clientes PXE (también llamados Servicios de implementación de Microsoft Windows [WDS] clientes) pueden obtener una dirección IP sin necesidad de tener instalado un sistema operativo. Esto permite que los clientes WDS se conecten a un servidor WDS a través del protocolo TCP / IP y descargar un sistema operativo de forma remota. Desventajas de DHCP • Si el servidor dhcp se cae todas las ip que asignado se van a caer. • Si el servidor DHCP contiene información incorrecta, la información errónea se entregará automáticamente a todos sus clientes DHCP. • Si desea usar DHCP en una red multisegmento, debe colocar un DHCP servidor o un agente de retransmisión en cada segmento, o debe asegurarse de que su enrutador pueda reenviar las transmisiones del Protocolo Bootstrap (BOOTP) • ipconfig /renew: Indica al cliente • ipconfig / setclassidclassID: DHCP que solicite una renovación Establece una nueva ID de clase de arrendamiento. Si el cliente ya para el cliente. Verás como tiene un contrato de configure las opciones de clase arrendamiento, solicita una más adelante en la sección renovación del servidor que "Configuración de las opciones emitió el contrato de de alcance para IPv4". Por ahora arrendamiento actual. debe saber que la única forma de • ipconfig /release: Obliga al agregar una máquina cliente a cliente a renunciar a su una clase es usar este comando. arrendamiento de inmediato enviando el servidor una notificación de lanzamiento de DHCP. El servidor actualiza su información de estado y marca el nombre del cliente.