Redes: Montar servidor de DNS en Microsoft Windows Server 2008

Explicamos cmo instalar el rol de DNS en un equipo con Microsoft WindowsServer 2008 Standard. Mostramos cmo montar un servidor de DNS (Domain NameSystem) explicando cada paso con capturas de pantalla. Explicamos los requisitosnecesarios para instalar un servidor de DNS, mostramos cmo crear zonas de bsquedadirecta e inversa.

Definicin DNS Domain Name System. Requisitos para instalar un servidor DNS (Domain Names Server) en Microsoft

Windows Server 2008 Standard.o Equipo con sistema operativo Microsoft Windows Server 2008.o Configuracin de red, IP, hostname en Microsoft Windows Server 2008.o Conexin a internet en servidor DNS con Windows Server 2008.o Contrasea segura para la cuenta de Administrador.o Actualizaciones de seguridad ms recientes de Windows Update.

Novedades y mejoras en DNS con Windows Server 2008. Instalar rol Servidor DNS en Microsoft Windows Server 2008 Standard x64. Agregar una nueva zona de bsqueda directa en el servidor de DNS Windows

Server 2008. Agregar una nueva zona de bsqueda inversa en el servidor de DNS Windows

Server 2008. Configuracin de red en el servidor DNS y en los clientes DNS tras instalar rol

Servidor DNS. Artculos relacionados. Crditos.

Definicin DNS Domain Name SystemDomain Name System o DNS (sistema de nombres de dominio) es un sistema denomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado aInternet o a una red privada. Este sistema asocia informacin variada con nombres dedominios asignado a cada uno de los participantes. Su funcin ms importante, es traducir(resolver) nombres inteligibles para los humanos en identificadores binarios asociados conlos equipos conectados a la red, esto con el propsito de poder localizar y direccionarestos equipos mundialmente.El servidor DNS utiliza una base de datos distribuida y jerrquica que almacenainformacin asociada a nombres de dominio en redes como Internet. Aunque como basede datos el DNS es capaz de asociar diferentes tipos de informacin a cada nombre, los

usos ms comunes son la asignacin de nombres de dominio a direcciones IP y lalocalizacin de los servidores de correo electrnico de cada dominio.La asignacin de nombres a direcciones IP es ciertamente la funcin ms conocida de losprotocolos DNS. Por ejemplo, si la direccin IP del sitio FTP de ajpdsoft.com es125.235.241, la mayora de la gente llega a este equipo especificando ftp.ajpdsoft.com yno la direccin IP. Adems de ser ms fcil de recordar, el nombre es ms fiable. Ladireccin numrica podra cambiar por muchas razones, sin que tenga que cambiar elnombre.Inicialmente, el DNS naci de la necesidad de recordar fcilmente los nombres de todoslos servidores conectados a Internet. En un inicio, SRI (ahora SRI International) alojabaun archivo llamado HOSTS que contena todos los nombres de dominio conocidos(tcnicamente, este archivo existe, la mayora de los sistemas operativos actuales puedenser configurados para revisar su archivo hosts). El crecimiento explosivo de la red causque el sistema de nombres centralizado en el archivo hosts no resultara prctico y en 1983,Paul Mockapetris public los RFCs 882 y 883 definiendo lo que hoy en da haevolucionado hacia el DNS moderno.

Requisitos para instalar un servidor DNS (DomainName System) en Microsoft Windows Server 2008StandardEquipo con sistema operativo Microsoft Windows Server 2008En primer lugar necesitaremos un equipo con el sistema operativo Microsoft WindowsServer 2008 Standard instalado. En los siguientes enlaces mostramos cmo instalar estesistema operativo desde el principio y cmo configurar las opciones bsicas:

Instalar Microsoft Windows Server 2008 Standard Edition R2 x64. Instalar y testear Windows Server 2008 Enterprise Release Candidate. Instalar Windows Server 2008 64 bits virtualizado con VirtualBox en Linux

Ubuntu.

Configuracin de red, IP, hostname en Microsoft Windows Server 2008Para poder instalar el rol de DNS en un servidor con Microsoft Windows Server 2008 esmuy recomendable que el equipo tenga asignada una IP esttica (nunca dinmica porDHCP). En este tipo de servicios no se debe permitir que cambie la direccin IP delservidor.El nombre de red (hostname) del equipo tambin debe estar establecido correctamenteantes de instalar el rol de DNS pues tampoco es recomendable modificarlo despus deinstalar este rol.Para modificar o comprobar las opciones de red en Windows Server 2008 accederemos albotn "Inicio" - "Panel de control":

En "Redes e Internet" pulsaremos en "Ver el estado y las tareas de red":

Pulsaremos en "Conexin de rea local":

Pulsaremos en "Propiedades":

Seleccionaremos "Protocolo de Internet versin 4 (TCP/IPv4)" (o "Protocolo de Internetversin 6 (TCP/IPv6)") y pulsaremos "Propiedades":

Como hemos comentado, no debemos tener marcada la opcin "Obtener una direccin IPautomticamente", deberemos tener marcada la opcin "Usar la siguiente direccin IP"con una Direccin IP, una Mscara de subred, una Puerta de enlace predeterminada y unosservidores de DNS externos:

Para modificar el hostname (nombre de red) del equipo que ser servidor de DNS conWindows Server 2008 accederemos al panel de control, pulsaremos en la opcin "Sistemay seguridad":

Pulsaremos en "Sistema":

Desde la ventana de "Sistema" (ver informacin bsica acerca del equipo) podremosconsultar el hostname (nombre de red) pulsando en "Cambiar configuracin" en la opcin"Configuracin de nombre, dominio y grupo de trabajo del equipo":

En la pestaa "Nombre de equipo", en "Nombre completo de equipo" podremos ver elnombre (hostname) actual. Para cambiarlo pulsaremos en el botn "Cambiar":

En "Nombre de equipo" podremos introducir el nuevo nombre. Este cambio debemoshacerlo antes de instalar cualquier rol pues no es recomendable cambiar el nombre delequipo si nuestro servidor tiene algn rol instalado. Desde esta misma ventana tambinpodremos agregar este servidor W2k8 a un dominio Windows existente.

Conexin a internet en servidor DNS con Windows Server 2008El servidor de DNS debe tener conexin a Internet, pues ser capaz de resolver losnombres de los equipos locales (de la red LAN a la que pertenece) pero no ser capaz, sino tiene Internet, de resolver nombres de Internet. Por ello, si a los equipos de nuestraorganizacin le asignamos como servidor DNS este servidor con Windows Server 2008 yel rol de Servidor de DNS slo podrn resolver nombres de Internet del tipowww.ajpdsoft.com si el servidor de DNS tiene conexin a Internet.

Contrasea segura para la cuenta de AdministradorEl usuario "Administrador" y todos los usuarios que sean miembros del grupo deseguridad "Administradores" deben tener una contrasea segura. Es muy recomendable,incluso, desactivar el usuario "Administrador" y crear un usuario con otro nombre que

pertenezca al grupo de seguridad "Administradores" pues el software malware (spyware,adware, ...) y los virus suelen probar siempre sus ataques con el usuario "Administrador".Tambin es recomendable establecer una poltica de caducidad de contraseas de formaque se obligue a los usuarios a cambiar la contrasea cada cierto tiempo y que, adems, lanueva contrasea no sea una ya introducida y sea segura (nmeros, letras, maysculas,minsculas).Desde el Administrador del servidor (botn "Inicio" - "Herramientas administrativas" -"Administrador del servidor"), en "Configuracin" - "Usuarios y grupos locales" -"Usuarios" podremos cambiar la contrasea del usuario "Administrador" y de los usuariosque sean miembros del grupo de seguridad "Administradores":

En las directivas de seguridad (botn "Inicio" - "Herramientas administrativas" -"Directiva de segurdad local") podremos establecer los siguientes valores deconfiguracin:

Almacenar contraseas con cifrado reversible. Exigir historial de contraseas. La contrasea debe cumplir los requisitos de complejidad. Longitud mnima de la contrasea. Vigencia mxima de la contrasea. Vigencia mnima de la contrasea.

Actualizaciones de seguridad ms recientes de Windows UpdateLas actualizaciones de seguridad, desde hace unos aos, se han convertido en una tareaimprescindible para mantener el sistema operativo siempre lo ms seguro posible. Nuestrosistema operativo Windows Server 2008 debe estar siempre actualizado con las ltimasversiones de los "parches" de seguridad.Desde el Panel de control, en la opcin "Sistema y seguridad" pulsando en "WindowsUpdate" podremos actualizar el sistema operativo, consultando las actualizacionesinstaladas y las pendientes de instalar. Desde aqu tambin podremos configurar lafrecuencia de actualizacin y dems opciones:

Rol de Servcios de dominio de Active DirectoryEs recomendable que el rol de Servicios de dominio de Active Directory est instaladoantes o en el momento de instalar el rol de Servidor DNS. O bien, es recomendable que elequipo pertenezca a un dominio Windows ya establecido.Si no agregamos el servidor a un dominio, podremos instalar el rol de Servidor de DNS,aunque nos mostrar una advertencia como la siguiente:El equipo servidor DNS no tiene actualmente ningn nombre de dominio DNS. Su nombreDNS es un nombre de host de una nica etiqueta sin dominio (por ejemplo, "host" en vezde "host.microsoft.com").

Es posible que haya olvidado configurar un dominio DNS principal para el equiposervidor.Como el servidor DNS slo tiene un nombre con una etiqueta, todas las zonas creadastendrn registros predeterminados (SOA y NS) que se crean con esta nica etiqueta comonombre de host del servidor. Esto puede ocasionar referencias incorrectas y errneascuando los clientes y otros servidores DNS usan estos registros para buscar este servidorpor su nombre.Para corregir este problema:1) Haga clic en Inicio y luego en Panel de control.2) Abra Sistema y mantenimiento, y luego abra Sistema.3) Haga clic en Cambiar configuracin y luego en Cambiar. 4) Haga clic en Dominio oGrupo de trabajo, y escriba el nombre del dominio o grupo de trabajo al que desea que seuna el equipo; ser el nombre usado como su nombre de dominio DNS.5) Cuando se le pida, reinicie el equipo.Despus de reiniciar el equipo, el servidor DNS intentar corregir los registrospredeterminados, sustituyendo el antiguo nombre de etiqueta nica con el nuevo nombreDNS de este servidor. No obstante, debe revisar los registros SOA y NS de la zona paraasegurarse de que usan ahora el nombre de dominio correcto de este servidor.

Novedades y mejoras en DNS con Windows Server 2008Windows Server 2008 introduce diversas mejoras en el servicio de DNS para mejorar surendimiento. El rol de Servidor DNS en Windows Server 2008 cumple con lasespecificaciones (RFCs) que definen y normalizan el protocolo DNS, y por eso puedefuncionar correctamente con la mayora de las implementaciones existentes de servidorDNS, como las que utilizan el software BIND (Berkeley Internet Name Domain).El rol de Servidor DNS de Windows Server 2008 contiene varias novedades que mejoranel rendimiento del servicio DNS y le introducen nuevas capacidades:

Carga de zonas en background: los servidores DNS que alojan zonas de DNS muygrandes y que se guardan dentro de Servicios de Dominio del Directorio Activo(ADDS), pueden responder a las peticiones de los clientes de forma ms rpidaporque la informacin de la zona se efecta en un proceso de carga en segundoplano.

Soporte para IPv6 (IP versin 6): el servicio de servidor DNS ahora dispone desoporte completo para las direcciones IP ms largas de la especificacin IPv6.

Soporte para Controladores de Dominio de Solo-Lectura (RODC): el rol deServidor DNS dispone de zonas primarias en modo de solo-lectura en servidoresRODC.

Nombres globales nicos: la zona GlobalNames permite la resolucin de nombres

con identificacin exclusiva en grandes redes corporativas donde no se utiliza elservicio WINS (Windows Internet Name Service). La zona GlobalNames es muytil cuando no resulta viable o prctico el uso de sufijos de nombre DNS para laresolucin de nombres de mquina exclusivos en la red.

Instalar rol Servidor DNS en Microsoft Windows Server2008 Standard x64Para instalar el rol de Servidor DNS en un equipo con Microsoft Windows Server 2008accederemos al botn "Inicio" - "Herramientas administrativas" - "Administrador delservidor":

Seleccionaremos "Roles" en la parte izquierda, en la parte derecha pulsaremos en"Agregar roles":

El asistente para agregar roles nos indicar que antes de continuar debemos realizaralgunas tareas (explicadas aqu). Pulsaremos "Siguiente" para continuar:

Marcaremos "Servidor DNS" en el listado de roles a instalar y pulsaremos "Siguiente":

Con el texto: Servidor DNS (Sistema de nombre de dominio) proporciona resolucin denombres en redes TCP/IP. El servidor DNS se administra con mayor facilidad cuando seinstala en el mismo servidor que los Servicios de dominio de Active Directory. Siselecciona el rol Servicios de dominio de Active Directory, puede instalar y configurar elservidor SND y los Servicios de dominio de Active Directory para que funcionenconjuntamente.El asistente para agregar un nuevo rol (Servidor DNS) mostrar informacin yadvertencias antes de continuar con el proceso final de instalacin. Pulsaremos"Siguiente" para continuar:

Con el texto: Introduccin al servidor DNS, el sistema de nombres de dominio (DNS)

proporciona un mtodo estndar para asociar nombres a direcciones de Internet numricas.De esta forma, los usuarios pueden hacer referencia a los equipos de la red usandonombres fciles de recordar en lugar de largas series de nmeros. Adems, DNSproporciona un espacio de nombres jerrquico, lo que garantiza que cada nombre de hostser nico en una red de rea local o extensa. Los servicios DNS de Windows puedenintegrarse con los servicos de Protocolo de configuracin dinmica de host (DHCP) enWindows, de forma que ya no es necesario agregar registros DNS cuando se agreganequipos a la red. Cosas que hay que tener en cuenta: La integracin del servidor DNS conlos Servicios de dominio de Active Directory replica automticamente los datos DNS yotros datos del servicio de directorio. Esto facilita la administracin de DNS. Por otrolado, los Servicios de dominio de Active Directory requieren la instalacin de un servidorDNS en la red. Si est instalando un controlador de dominio, tambin puede instalar el rolde servidor DNS seleccionando el rol Servicios de dominio de Active Directory con elAsistente para la instalacin de Servicios de dominio de Active Directory.El asistente para instalar el rol de Servidor DNS nos indicar que es posible que serequiera el reinico del equipo. Pulsaremos "Instalar":

Se inicar la instalacin del rol de Servidor de DNS. Hay que tener en cuenta que si elasistente considera que tiene que reiniciar el equipo lo har sin avisar:

Tras la instalacin del rol de Servidor de DNS, el asistente nos mostrar el resultado final:

A partir de este momento podremos configurar nuestro servidor de DNS desde"Herramientas administrativas" - "Administrador del servidor" - "Roles", seleccionando elrol "Servidor DNS". Podremos aadir nuevas zonas de bsqueda (dirctas o inversas), verlas posibles advertencias, detener e iniciar el servicio, etc.:

Agregar una nueva zona de bsqueda directa en elservidor de DNS Windows Server 2008Desde el botn "Inicio" - "Herramientas administrativas" - "Administrador del servidor" -"Roles", seleccionaremos "Servidor DNS" - "DNS" - "Nombre del servidor". Acontinuacin seleccionaremos "Zonas de bsqueda directa" y pulsaremos con el botnderecho, en el men emergente pulsaremos en "Zona nueva":

Se iniciar el asistente para nueva zona, pulsaremos "Siguiente":

Con el texto: Asistente para nueva zona, este asistente le ayuda a crear una zona nuevapara su servidor DNS. Una zona traduce nombres DNS en datos relacionados, tales comodirecciones IP o servicios de red.Seleccionaremos el tipo de zona, en nuestro caso "Zona principal" y pulsaremos"Siguiente". Las posibilidades:

Zona principal: crea una copia de una zona que puede actualizarse directamenteen este servidor.

Zona secundaria: crea una copia de una zona que ya existe en otro servidor. Estaopcin ayuda a equilibrar el proceso de carga de los servidores principales yproporciona tolerancia a errores.

Zona de rutas internas: crea una copia de zona que contiene slo servidor denombres (NS), inicio de autoridad (SOA) y quiz registros de adherencia de host(A). Un servidor que contiene una zona de rutas internas no tiene privilegios sobredicha zona.

Introduciremos el nombre para la zona. Si el servidor pertenece a un dominio Windows sesuele usar como nombre de zona el nombre del dominio, por ejemplo"oficina.ajpdsoft.com":

A continuacin podremos crear un nuevo archivo de zona o bien usar uno existente. Ennuestro caso crearemos un nuevo archivo de zona, para ello marcaremos la opcin "Crearun archivo nuevo con este nombre de archivo":

A continuacin seleccionaremos el tipo de actualizacin dinmica. Las actualizacionesdinmicas permiten que los equipos cliente DNS se registren y actualicen dinmicamentesus registros de recursos con un servidor DNS cuando se produzcan cambios. Lasposiblidades:

Permitir slo actualizaciones dinmicas seguras (recomendado para ActiveDirectory): esta opcin slo est disponible para zonas que estn integradas enActive Directory.

Permitir todas las actualizaciones dinmicas (seguras y no seguras): se aceptanactualizaciones dinmicas de registros de recurso de todos los clientes. Esta opcinpresenta un serio peligro para la seguridad porque permite aceptar actualizacionesdesde orgenes que no son de confianza.

No admitir actualizaciones dinmicas: esta zona no acepta actualizacionesdinmicas de registros de recurso. Tiene que actualizar sus registros manualmente.

Por ltimo, el asistente nos mostrar las opciones seleccionadas, pulsaremos "Finalizar"para crear la zona:

Una vez creada la zona directa, podremos configurarla seleccionndola y pulsando en"Propiedades":

Agregar una nueva zona de bsqueda inversa en elservidor de DNS Windows Server 2008Desde el botn "Inicio" - "Herramientas administrativas" - "Administrador del servidor" -"Roles", seleccionaremos "Servidor DNS" - "DNS" - "Nombre del servidor". Acontinuacin seleccionaremos "Zonas de bsqueda inversa" y pulsaremos con el botnderecho, en el men emergente pulsaremos en "Zona nueva":

Se iniciar el asistente, pulsaremos "Siguiente":

Seleccionaremos el tipo de zona, en nuestro caso "Zona principal" y pulsaremos"Siguiente". Las posibilidades:

Zona principal: crea una copia de una zona que puede actualizarse directamenteen este servidor.

Zona secundaria: crea una copia de una zona que ya existe en otro servidor. Estaopcin ayuda a equilibrar el proceso de carga de los servidores principales yproporciona tolerancia a errores.

Zona de rutas internas: crea una copia de zona que contiene slo servidor denombres (NS), inicio de autoridad (SOA) y quiz registros de adherencia de host(A). Un servidor que contiene una zona de rutas internas no tiene privilegios sobredicha zona.

Seleccionaremos la versin del protocolo TCP/IP, en nuestro caso IPv4:

En este punto deberemos indicar o bien el Id de red (el Id de red es la parte de ladireccin Ip que pertenece a esta zona) o bien el nombre de la zona de bsquedainversa:

A continuacin podremos crear un nuevo archivo de zona o bien usar uno existente. Ennuestro caso crearemos un nuevo archivo de zona, para ello marcaremos la opcin "Crearun archivo nuevo con este nombre de archivo":

A continuacin seleccionaremos el tipo de actualizacin dinmica. Las actualizacionesdinmicas permiten que los equipos cliente DNS se registren y actualicen dinmicamentesus registros de recursos con un servidor DNS cuando se produzcan cambios. Lasposiblidades:

Permitir slo actualizaciones dinmicas seguras (recomendado para ActiveDirectory): esta opcin slo est disponible para zonas que estn integradas en

Active Directory. Permitir todas las actualizaciones dinmicas (seguras y no seguras): se aceptan

actualizaciones dinmicas de registros de recurso de todos los clientes. Esta opcinpresenta un serio peligro para la seguridad porque permite aceptar actualizacionesdesde orgenes que no son de confianza.

No admitir actualizaciones dinmicas: esta zona no acepta actualizacionesdinmicas de registros de recurso. Tiene que actualizar sus registros manualmente.

Por ltimo, el asistente nos mostrar las opciones seleccionadas, pulsaremos "Finalizar"para crear la zona:

Configuracin de red en el servidor DNS y en losclientes DNS tras instalar rol Servidor DNSUna vez instalado el rol de Servidor DNS y establecidas las zonas directas e inversas,cuando el servidor DNS est funcionando correctamente, deberemos configurar losequipos de nuestra red para que usen, como servidor DNS preferido, la IP de nuestroServidor DNS:

Si disponemos de un servidor DHCP podremos indicarle que establezca de formaautomtica el servidor DNS preferido, de esta forma el cambio se realizar de formaautomtica. Cuando un equipo arranque conectar con el servidor DHCP y ser ste quinle enve los datos de red de forma autmtica, en ellos el servidor DNS preferido.

Tambin es recomendable que el propio servidor de DNS tenga como DNS preferido

su propia IP. De esta forma, siempre intentar resolver los nombres de red a s mismo, sino encuentra alguno usar el servidor DNS alternativo (que ser un servidor de Internet):

Espero les sirva gracias.. saludos..