Capitulo 5 DNS y DHCP

Maxwell steven brito reyes 2019-8077

Hansel mejía 2019-7839
 Introduccion a DNS
• El Sistema de nombres de
dominio (DNS) es un
servicio que le permite
resolver un nombre de host
a un Dirección de protocolo
de internet (IP).
• DNS es el 411 de su red, o
información, y devuelve los
datos TCP / IP para su red.
• Windows Server 2016
funciona con dos versiones
de TCP / IP: IPv4 e IPv6.
• También puede ver cómo este método
puede convertirse difícil de manejar si tiene
muchos hosts que desean usar nombres
fáciles de recordar en lugar de IP direcciones
para ubicar recursos en su red. Cuando se
trata de redes grandes, los usuarios y los
administradores de red deben poder
localizar los recursos que requieren con una
búsqueda mínima. A los usuarios no les
importa lo real dirección de red física o
lógica de la máquina; solo quieren poder
conectarse a usando un nombre simple que
puedan recordar. Sin embargo, desde el
punto de vista de un administrador de red,
cada máquina debe tener su propio
dirección lógica que lo hace parte de la red
en la que reside. Por lo tanto, algún método
escalable y fácil de administrar para resolver
el nombre lógico de una máquina a una
dirección IP y luego se requiere un nombre
de dominio. DNS fue creado solo para este
propósito
• DNS es una base de datos
distribuida jerárquicamente. En
otras palabras, sus capas están
dispuestas en un orden definido,
y sus datos se distribuyen en una
amplia gama de máquinas, cada
una de las cuales puede ejercer
control sobre una parte de la
base de datos. DNS es un
conjunto estándar de protocolos
que define lo siguiente:
• Un mecanismo para consultar y
actualizar la información de
dirección en la base de datos.
• Un mecanismo para replicar la
información en la base de datos
entre servidores
• Un esquema de la base de datos.
• Cada nodo en el DNS puede
ramificarse a cualquier
número de nodos debajo de
él. Por ejemplo, debajo del
nodo raíz hay una serie de
otros nodos, comúnmente
conocidos como nivel superior
dominios (TLD). Estos son los
conocidos .com, .net, .org,
.gov, .edu y otros similares.
• Una zona DNS es un porción
del espacio de nombres DNS
sobre el cual un servidor DNS
específico tiene autoridad.
• Hay 2 tipos de DNS,
DNS dinamico que
funciona con dhcp y
Non-DNS que el
administrador utiliza
para manejar redes
pequeñas como
oficinas.
 DNS QUERY(CONSULTAS)
• Las consultas iterativas son las más fáciles de
entender: un cliente solicita una respuesta al
servidor DNS, y el servidor devuelve la mejor
respuesta. Es probable que esta información
provenga del caché del servidor.
• En una consulta recursiva, el cliente envía una
consulta a un servidor de nombres, pidiéndole
que responda con la respuesta solicitada o con
un mensaje de error. El error establece una de
dos cosas:
• El servidor no puede encontrar la respuesta
correcta.
• El nombre de dominio no existe. La mayoría de
los resolutivos usan consultas recursivas.
Además, si su servidor DNS utiliza un
reenviador, las solicitudes enviadas por su
servidor al reenviador serán consultas
recursivas.
• Las consultas inversas utilizan registros de
puntero (PTR)
Cache y tiempo de vida
• Cuando un servidor de nombres
procesa una consulta recursiva, es
posible que deba enviar varias
consultas para encontrar la respuesta
definitiva. Los servidores de
nombres, que actúan como
solucionadores, pueden almacenar
en caché todos la información
recibida durante este proceso; cada
registro contiene información
llamada tiempo para en vivo (TTL). El
TTL especifica cuánto tiempo se
mantendrá el registro en la memoria
caché local hasta que deba ser
resuelto de nuevo. Si entra una
consulta que puede satisfacerse con
estos datos almacenados en caché,
el TTL que es devuelto con él es igual
a la cantidad de tiempo actual
restante antes de que se vacíen los
datos.
 Zona DNS
• Una zona DNS es una parte del
espacio de nombres DNS sobre
que un servidor DNS específico
tiene autoridad. Dentro de una
zona DNS dada, hay recursos
registros que definen los hosts y
otros tipos de información que
conforman la base de datos para
la zona. Puede elegir entre varios
tipos de zonas diferentes.
Comprender las características
de cada uno le ayudará a elegir
cuál es el adecuado para su
organización.
• Hay 2 tipos de zonas primarias
que se usan como bases de datos
para guardar los registros: zona
primaria y zona primaria con
integración active directory
 Stub Zones
• Las zonas de código auxiliar funcionan de
manera muy parecida a las zonas secundarias:
la base de datos es una copia no editable de un
primario zona. La diferencia es que la base de
datos de la zona de código auxiliar contiene
solo la información necesaria (tres tipos de
registro) para identificar los servidores DNS
autorizados para una zona.
• No debe usar zonas de código auxiliar para
reemplazar zonas secundarias, ni debe usarlas
para redundancia y equilibrio de carga.
• Las zonas de código auxiliar se vuelven
particularmente útiles en un par de escenarios
diferentes. Considerar qué sucede cuando dos
grandes empresas se fusionan: example.com y
example.net
 Zona secundaria
• Los servidores DNS
secundarios reciben sus
bases de datos de zona a
través de la zona
transferencias. Cuando
configura un servidor
secundario por primera vez,
debe especificar el servidor
primario que tiene
autoridad para la zona y
enviará la transferencia de
zona. El servidor primario
también debe permitir que
el servidor secundario
solicite la transferencia de
zona.
Ventajas de DNS en window server
2016
• Zona de carga de fondo
• Soporte para TCP / IP versión 6 (IPv6)
• Controladores de dominio de solo
lectura
• GlobalName zone
• DNS socket pools
• Bloqueo de caché de DNS
• Límite de tasa de respuesta (RRL)
• Extensiones de seguridad de DNS
(DNSSEC)
 Grupos de sockets DNS
• Los grupos de sockets DNS permiten
la aleatorización del puerto de origen
para proteger contra DNS ataques de
envenenamiento de caché.
• Si elige utilizar la aleatorización del
puerto de origen, cuando se inicia el
servicio DNS, El servidor DNS elegirá
aleatoriamente un puerto de origen
de un grupo de sockets disponibles.
Esto es una ventaja porque en lugar
de que DNS utilice un puerto de
origen conocido al emitir consultas,
el DNS El servidor utiliza un puerto
aleatorio seleccionado del grupo de
sockets.
• El bloqueo de caché DNS de
Windows Server 2016 permite
que los registros DNS en caché
permanezcan seguros para
• duración del valor de tiempo
de vida (TTL) del registro. Esto
significa que los registros DNS
en caché
• no se puede sobrescribir o
cambiar. Debido a esta nueva
función de DNS, es más difícil
para los hackers
• realizar ataques de
envenenamiento de caché
contra su servidor DNS.
 El límite de la tasa de respuesta
(RRL)
• Permite a un administrador ayudar a
prevenir la posibilidad de piratas
informáticos que utilizan sus
servidores DNS corporativos para
iniciar un ataque de denegación de
servicio en sus clientes DNS
corporativos.
• El administrador puede configurar
los RRL para controlar como
responden las solicitudes cuando
reciben multiples solicitudes de un
mismo cliente. Cuando los
configuramos bien podemos evitar
que los hackers envíen un ataque de
denegación de servicio.
 DNS Security Extensions
• Un problema importante que siempre
debe tener en cuenta es mantener su
DNS seguro. Piénsalo: DNS es una base
de datos de nombres de computadoras
• El protocolo permite que
y direcciones IP. Como hacker, si sus servidores DNS estén
controlo DNS, puedo controla tu seguros al validar las
empresa. En organizaciones que no respuestas DNS. DNSSEC
admiten seguridad adicional como
IPsec, DNS La seguridad es aún más asegura sus registros de
importante. Aquí es donde las
extensiones de seguridad del sistema
recursos DNS acompañando
de nombres de dominio (DNSSEC) los registros con una firma
puede ayudar. digital.
• Para permitir que sus
registros de recursos DNS
reciban firmas digitales, se
aplica DNSSEC a su servidor
DNS mediante un
procedimiento llamado
firma de zona.
 Anclas de confianza
• Las anclas de confianza son una
parte importante del proceso
DNSSEC porque las anclas de
confianza permiten los servidores
DNS para validar los registros de
recursos DNSKEY. Las anclas de
confianza están preconfiguradas
claves públicas que están vinculadas
a una zona DNS.
• Puedes ver las anclas de confianza en
el árbol de la consola del
administrador DNS en el contenedor
puntos de confianza o puedes usar
powershell con el siguiente
comando: get-dnsservertrustanchor
sec.contoso.com
 DNS Policies
• Una de las nuevas • Gestión de tráfico basada
ventajas del DNS de en la ubicación
Windows Server 2016 es • Split Brain DNS
la capacidad de
configurar DNS Políticas • Filtración
Los administradores • Forense(honeypot)
pueden configurar
políticas basadas en la • Redirección basada en la
ubicación, la hora del día, hora del día
los tipos de
implementación,
consultas, equilibrio de
carga de aplicaciones y
más.
 Installing DNS
• Abre server manager
• En el panel del Administrador del servidor, haga
clic en el enlace Agregar roles y características.
• Si aparece una pantalla Antes de comenzar,
haga clic en Siguiente.
• En la página Tipo de selección, elija Instalación
basada en roles o en características y haga clic
en Siguiente.
• Haga clic en el botón de selección Seleccionar
un servidor del grupo de servidores y elija el
servidor en la sección Grupo de servidores.
• Haga clic en el elemento del servidor DNS en la
lista de funciones del servidor. Si aparece una
ventana emergente que le indica que necesita
agregar funciones adicionales, haga clic en el
botón Agregar funciones.
• En la página Agregar características,
simplemente haga clic en Siguiente.
• Haga clic en Siguiente en la pantalla de
información del Servidor DNS.
• En la pantalla Confi rm Installation,
seleccione la casilla de verificación
Reiniciar el servidor de destino
automáticamente si es necesario y luego
haga clic en el botón Instalar.
• At the Installation progress screen, click
Close after the DNS server is installed.
• Close Server Manager.
 Equilibrio de carga con Round
Robin
• Al igual que otras implementaciones de
DNS, la implementación de DNS en
Windows Server 2016 admite el equilibrio
de carga mediante el uso de round robin.
El equilibrio de carga distribuye la carga
de red entre varios hosts de red si están
disponibles. Configura la carga round-
robin equilibrio creando múltiples
registros de recursos con el mismo
nombre de host pero diferente IP
direcciones para múltiples computadoras.
Dependiendo de las opciones que
seleccione, el servidor DNS responde con
las direcciones de una de las
computadoras host.
 Configurar un servidor de solo
almacenamiento en caché
• Aunque todos los servidores de nombres
DNS almacenan en caché las consultas
que han resuelto, los servidores de solo
almacenamiento en caché son servidores
de nombres DNS que solo realizan
consultas, almacenan en caché las
respuestas y devuelven los resultados.
• Los servidores de almacenamiento en
caché son fáciles de configurar. Después
de instalar el servicio DNS, simplemente
asegúrese de que las sugerencias de raíz
estén configuradas correctamente.
Pestaña Servidores de nombres
• El registro del servidor de nombres
(NS) para una zona indica qué
servidores de nombres tienen
autoridad para la zona. Eso
normalmente significa el servidor
primario de la zona y cualquier
servidor secundario que tenga
configurado para la zona. (Recuerde,
los servidores secundarios son copias
autorizadas de solo lectura de la
zona.) Edite el registro NS para una
zona utilizando la pestaña Servidores
de nombres .
• La pestaña le muestra qué servidores
están listados actualmente, y usted
usa Agregar, Editar y Elimine los
botones para especificar qué
servidores de nombres desea incluir
en el registro NS de la zona
 Pestaña WINS
• La pestaña WINS le permite
controlar si esta zona utiliza
búsquedas directas WINS o
no. Estas búsquedas
transmiten consultas que
DNS no puede resolver a
WINS para la acción. Este es
un útil configurar si aún usa
WINS en su red. Debe
activar explícitamente esta
opción con la casilla de
verificación Usar búsqueda
directa WINS en la pestaña
WINS para una zona en
particular.
• Pestaña Transferencias de
zona
• Las transferencias de zona
son necesarias y útiles
porque son el mecanismo
utilizado para propagar
zona de datos entre
servidores primarios y
secundarios. Para los
servidores primarios (ya sea
AD integrado o no), puede
especificar si sus servidores
permitirán transferencias
de zona y, de ser así, a
quién.
 Reenvío de DNS
• Si un servidor DNS no tiene
una respuesta a una
solicitud DNS, puede ser
necesario enviar eso
solicitud a otro servidor
DNS. Esto se llama reenvío
de DNS. Necesitas entender
el dos tipos principales de
reenvío: Reenvío externo
Cuando un servidor DNS
reenvía una solicitud de
DNS externo a un DNS
servidor fuera de su
organización, esto se
considera reenvío externo.
 Using Nslookup
• Nslookup le ofrece la
capacidad de realizar
pruebas de consulta de
servidores DNS y obtener
respuestas detalladas en el
símbolo del sistema. Esta
información puede ser útil
para diagnosticar y resolver
problemas de resolución de
nombres, para verificar que
se agregan registros de
recursos o actualizado
correctamente en una zona
y para depurar otros
problemas relacionados con
el servidor.
 DHCP
• Cuando estas configurando una
red, las pc necesitan comunicarse
usando el mismo tipo de
lenguaje, TCP/IP es el protocol
primordiar de window server
2016. Todas tus maquinas
necesitan una unica IP, hay 2
formas de asignarla: manual o
automaticamente .
• Si tu red tiende a crecer no
podras manejarla manual por
que sera muy dificil de
administrar, hay entra DHCP.
• Una ventaja es que se puede
implementar en server Core.
 DORA PROCESS (DHCP)
• Una manera facil de
saber como dhcp
trabaja es con dora:
• Discover(descubrir)
• Offer(ofrecer)
• Request(consultar)
• Acknowledge(reconoce
r)
 Ventajas de DHCP
• Administracion de ip para el cliente de
forma automatica.
• Las direcciones IP se conservan porque
DHCP las asigna solo cuando se
solicitan.
• 366/5000
• Permite que un cliente de entorno de
ejecución previo al arranque (PXE)
obtenga una dirección TCP / IP de
DHCP Clientes PXE (también llamados
Servicios de implementación de
Microsoft Windows [WDS]
clientes) pueden obtener una dirección
IP sin necesidad de tener instalado un
sistema operativo.
Esto permite que los clientes WDS se
conecten a un servidor WDS a través
del protocolo TCP / IP y
descargar un sistema operativo de
forma remota.
 Desventajas de DHCP
• Si el servidor dhcp se cae todas
las ip que asignado se van a caer.
• Si el servidor DHCP contiene
información incorrecta, la
información errónea se entregará
automáticamente a todos sus
clientes DHCP.
• Si desea usar DHCP en una red
multisegmento, debe colocar un
DHCP servidor o un agente de
retransmisión en cada segmento,
o debe asegurarse de que su
enrutador pueda reenviar las
transmisiones del Protocolo
Bootstrap (BOOTP)
• ipconfig /renew: Indica al cliente
DHCP que solicite una renovación
de arrendamiento. Si el cliente ya
tiene un contrato de
arrendamiento, solicita una
renovación del servidor que
emitió el contrato de
arrendamiento actual.
• ipconfig /release: Obliga al
cliente a renunciar a su
arrendamiento de inmediato
enviando el servidor una
notificación de lanzamiento de
DHCP. El servidor actualiza su
información de estado y marca el
nombre del cliente.
• ipconfig / setclassidclassID:
Establece una nueva ID de clase
para el cliente. Verás como
configure las opciones de clase
más adelante en la sección
"Configuración de las opciones
de alcance para IPv4". Por ahora
debe saber que la única forma de
agregar una máquina cliente a
una clase es usar este comando.