Cómo configurar actualizaciones dinámicas de DNS en Windows Server 2003

En este artículo se describe cómo configurar la funcionalidad de actualización de DNS en Microsoft Windows Server 2003.

Versión original del producto:   Windows Server 2012 R2
Número KB original:   816592

Resumen

La funcionalidad de actualización dns permite a los equipos cliente DNS registrar y actualizar dinámicamente sus registros de recursos con un servidor DNS siempre que se produzcan cambios. Si usa esta funcionalidad, puede reducir el requisito de administración manual de registros de zona, especialmente para los clientes que suelen mover y usar el Protocolo de configuración dinámica de host (DHCP) para obtener una dirección IP.

Windows Server 2003 proporciona compatibilidad con la funcionalidad de actualización dinámica tal como se describe en Solicitud de comentarios (RFC) 2136. En el caso de los servidores DNS, el servicio DNS permite habilitar o deshabilitar la funcionalidad de actualización de DNS por zona en cada servidor configurado para cargar una zona principal estándar o una zona integrada en directorios.

Características de actualización dns de Windows Server 2003

El servicio DNS permite a los equipos cliente actualizar dinámicamente sus registros de recursos en DNS. Al usar esta funcionalidad, se mejora la administración de DNS reduciendo el tiempo necesario para administrar manualmente los registros de zona. Puede usar la funcionalidad de actualización dns con DHCP para actualizar los registros de recursos cuando se cambia la dirección IP de un equipo. Los equipos que ejecutan Windows Server 2003 pueden enviar actualizaciones dinámicas.

Windows Server 2003 proporciona las siguientes características relacionadas con el protocolo de actualización dinámica de DNS:

  • Uso del servicio de directorio de Active Directory como servicio de localización para controladores de dominio.

  • Integración con Active Directory.

    Puede integrar zonas DNS en Active Directory para proporcionar mayor tolerancia a errores y seguridad. Todas las zonas integradas de Active Directory se replican entre todos los controladores de dominio del dominio de Active Directory. Todos los servidores DNS que se ejecutan en estos controladores de dominio pueden actuar como servidores principales para la zona y aceptar actualizaciones dinámicas. Active Directory se replica por propiedad y propaga solo los cambios relevantes.

  • Aging and scavenging of records.

    El servicio de servidor DNS puede examinar y quitar registros que ya no son necesarios. Al habilitar esta característica, puede evitar que los registros obsoletos que quedan en DNS.

  • Proteger las actualizaciones dinámicas en zonas integradas de Active Directory.

    Puede configurar zonas integradas de Active Directory para actualizaciones dinámicas seguras de modo que solo los usuarios autorizados puedan realizar cambios en una zona o en un registro.

  • Administración desde un símbolo del sistema.

  • Resolución de nombres mejorada.

  • Almacenamiento en caché mejorado y almacenamiento en caché negativo.

  • Interoperabilidad con otras implementaciones de servidor DNS.

  • Integración con otros servicios de red.

  • Transferencia de zona incremental.

Cómo actualizan los equipos basados en Windows Server 2003 sus nombres DNS

De forma predeterminada, los equipos que ejecutan Windows Server 2003 y que están configurados estáticamente para TCP/IP intentan registrar dinámicamente registros de recursos de dirección host (A) y puntero (PTR) para las direcciones IP configuradas y usadas por sus conexiones de red instaladas. De forma predeterminada, todos los registros de registro del equipo se basan en el nombre completo del equipo.

Para los equipos basados en Windows Server 2003, el nombre de equipo completo principal es un nombre de dominio completo (FQDN). Además, el nombre completo del equipo principal es el sufijo DNS principal del equipo que se anexa al nombre del equipo. Para determinar el sufijo DNS principal del equipo y el nombre del equipo, haga clic con el botón secundario en Mi PC, haga clic en Propiedades y, a continuación, haga clic en Nombre del equipo.

Las actualizaciones de DNS se pueden enviar por cualquiera de los siguientes motivos o eventos:

  • Se agrega, quita o modifica una dirección IP en la configuración de propiedades TCP/IP para cualquiera de las conexiones de red instaladas.
  • Una concesión de direcciones IP cambia o renueva cualquiera de las conexiones de red instaladas con el servidor DHCP. Por ejemplo, esta actualización se produce cuando se inicia el equipo o cuando se usa el ipconfig /renew comando.
  • Use el comando para forzar manualmente una actualización del registro de ipconfig /registerdns nombre de cliente en DNS.
  • El equipo está activado.
  • Un servidor miembro se promueve a un controlador de dominio.

Cuando uno de estos eventos desencadena una actualización dns, el servicio cliente DHCP, no el servicio de cliente DNS, envía actualizaciones. Si se produce un cambio en la información de la dirección IP debido a DHCP, se realizan las actualizaciones correspondientes en DNS para sincronizar las asignaciones de nombre a dirección para el equipo. El servicio cliente DHCP realiza esta función para todas las conexiones de red del sistema. Esto incluye las conexiones que no están configuradas para usar DHCP.

Nota

  • El proceso de actualización para equipos basados en Windows Server 2003 que usan DHCP para obtener su dirección IP es diferente del proceso que se describe en esta sección. Para obtener más información, consulte la sección "Integración de DHCP con DNS" y la sección "Clientes DHCP de Windows y protocolo de actualización dinámica dns".
  • El proceso de actualización que se describe en esta sección supone que los valores predeterminados de instalación de Windows Server 2003 están en vigor. Los nombres y el comportamiento de actualización específicos se pueden actualizar cuando se configuran propiedades avanzadas de TCP/IP para usar configuraciones DNS no predeterminadas.
  • Además del nombre completo del equipo o el nombre principal del equipo, puede configurar nombres DNS adicionales específicos de la conexión y, opcionalmente, registrarlos o actualizarlos en DNS.

De forma predeterminada, Windows XP y Windows Server 2003 vuelven a registrar sus registros de recursos A y PTR cada 24 horas, independientemente del rol del equipo. Para cambiar esta vez, agregue la entrada del Registro DefaultRegistrationRefreshInterval en la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters

El intervalo se establece en segundos.

Un ejemplo de cómo funcionan las actualizaciones DNS

Para Windows Server 2003, las actualizaciones dinámicas suelen solicitarse cuando cambia un nombre DNS o una dirección IP en el equipo. Por ejemplo, un cliente denominado "oldhost" se configura primero en las propiedades del sistema para que tenga los siguientes nombres:
Nombre del equipo: oldhost
Nombre de dominio DNS del equipo: example.microsoft.com
Nombre completo del equipo: oldhost.example.microsoft.com

En este ejemplo, no se configuran nombres de dominio DNS específicos de la conexión para el equipo. Si cambia el nombre del equipo de "oldhost" a "newhost", se producirán los siguientes cambios de nombre:
Nombre del equipo: newhost
Nombre de dominio DNS del equipo: example.microsoft.com
Nombre completo del equipo: newhost.example.microsoft.com

Después de aplicar el cambio de nombre en propiedades del sistema, Windows Server 2003 le pedirá que reinicie el equipo. Después de que el equipo reinicie Windows, el servicio cliente DHCP realiza la siguiente secuencia para actualizar DNS:

  1. El servicio cliente DHCP envía una consulta de tipo de inicio de autoridad (SOA) mediante el nombre de dominio DNS del equipo.

    El equipo cliente usa el FQDN configurado actualmente del equipo, como " ", como el nombre newhost.example.microsoft.com especificado en esta consulta.

  2. El servidor DNS autoritativo para la zona que contiene el FQDN del cliente responde a la consulta de tipo SOA.

    Para las zonas principales estándar, el servidor principal o el propietario que se devuelve en la respuesta de consulta SOA es fijo y estático. El nombre del servidor principal siempre coincide con el nombre DNS exacto, ya que ese nombre se muestra en el registro de recursos de SOA que se almacena con la zona. Sin embargo, si la zona que se está actualizando está integrada en el directorio, cualquier servidor DNS que cargue la zona puede responder e insertar dinámicamente su propio nombre como servidor principal de la zona en la respuesta de consulta soA.

  3. El servicio cliente DHCP intenta ponerse en contacto con el servidor DNS principal.

    El cliente procesa la respuesta de consulta soA para su nombre para determinar la dirección IP del servidor DNS que está autorizado como servidor principal para aceptar su nombre. Si es necesario, el cliente realiza los siguientes pasos para ponerse en contacto y actualizar dinámicamente su servidor principal:

    1. El cliente envía una solicitud de actualización dinámica al servidor principal que se determina en la respuesta de consulta soA.

      Si la actualización se realiza correctamente, no se realiza ninguna acción adicional.

    2. Si se produce un error en esta actualización, el cliente envía una consulta de tipo NS para el nombre de zona especificado en el registro soA.

    3. Cuando el cliente recibe una respuesta a esta consulta, el cliente envía una consulta SOA al primer servidor DNS que aparece en la respuesta.

    4. Una vez resuelta la consulta soA, el cliente envía una actualización dinámica al servidor que se especifica en el registro SOA devuelto.

      Si la actualización se realiza correctamente, no se realiza ninguna acción adicional.

    5. Si se produce un error en esta actualización, el cliente repite el proceso de consulta soA enviando al siguiente servidor DNS que aparece en la respuesta.

  4. Una vez que se contacta con el servidor principal que puede realizar la actualización, el cliente envía la solicitud de actualización y el servidor la procesa.

    El contenido de la solicitud de actualización incluye instrucciones para agregar A y, posiblemente, PTR, registros de recursos para " " y para quitar estos mismos tipos de newhost.example.microsoft.com registro para " oldhost.example.microsoft.com ". (" oldhost.example.microsoft.com " es el nombre que se registró anteriormente).

    El servidor también comprueba que se permiten actualizaciones para la solicitud de cliente. Para las zonas principales estándar, las actualizaciones dinámicas no están protegidas. Cualquier intento de actualización del cliente se realiza correctamente. Para las zonas integradas en Active Directory, las actualizaciones se protegen y se realizan mediante la configuración de seguridad basada en directorios.

Las actualizaciones dinámicas se envían o actualizan periódicamente. De forma predeterminada, los equipos envían una actualización cada veinticuatro horas. Si la actualización no produce cambios en los datos de zona, la zona permanece en su versión actual y no se escribe ningún cambio. Las actualizaciones que provocan cambios de zona reales o transferencias de zona aumentadas solo se producen si los nombres o las direcciones cambian realmente.

Nota

Los nombres no se quitan de las zonas DNS si se vuelven inactivos o si no se actualizan en el intervalo de actualización de veinticuatro horas. DNS no usa un mecanismo para liberar o eliminar nombres, aunque los clientes DNS intentan eliminar o actualizar los registros de nombres antiguos cuando se aplica un cambio de nombre o dirección nuevo.

Cuando el servicio cliente DHCP registra los registros de recursos A y PTR para un equipo basado en Windows Server 2003, el cliente usa un valor de tiempo de vida (TTL) de almacenamiento en caché predeterminado de 15 minutos para los registros de host. Este valor determina cuánto tiempo otros servidores DNS y clientes almacenarán en caché los registros de un equipo cuando se incluyan en una respuesta de consulta.

Integración de DHCP con DNS

Con Windows Server 2003, un servidor DHCP puede habilitar actualizaciones dinámicas en el espacio de nombres DNS para cualquiera de sus clientes que admitan estas actualizaciones. Los clientes de ámbito pueden usar el protocolo de actualización dinámica de DNS para actualizar su información de asignación de nombre de host a dirección siempre que se produzcan cambios en la dirección asignada por DHCP. Esta información de asignación se almacena en zonas del servidor DNS. Un servidor DHCP basado en Windows Server 2003 puede realizar actualizaciones en nombre de sus clientes DHCP en cualquier servidor DNS.

Cómo funciona la interacción de actualización DHCP/DNS

Puede usar el servidor DHCP para registrar y actualizar los registros de recursos PTR y A en nombre de los clientes habilitados para DHCP del servidor. Al hacerlo, debe usar una opción DHCP adicional, la opción FQDN de cliente (opción 81). Esta opción permite al cliente enviar su FQDN al servidor DHCP del paquete DHCPREQUEST. Esto permite al cliente notificar al servidor DHCP el nivel de servicio que necesita.

La opción FQDN incluye los siguientes seis campos:

  • Código
    Especifica el código de esta opción (81).
  • Len
    Especifica la longitud de esta opción. (Debe ser un mínimo de 4).
  • Flags
    Especifica el tipo de servicio.
  • 0
    El cliente registrará el registro "A" (host).
  • 1
    El cliente desea que DHCP registre el registro "A" (host).
  • 3
    DHCP registrará el registro "A" (Host) independientemente de la solicitud del cliente.
  • RCODE1
    Especifica un código de respuesta que el servidor envía al cliente.
  • RCODE2
    Especifica una delineación adicional de RCODE1.
  • Nombre de dominio
    Especifica el FQDN del cliente.

Si el cliente solicita registrar sus registros de recursos con DNS, el cliente es responsable de generar la solicitud UPDATE dinámica por solicitud de comentarios (RFC) 2136. A continuación, el servidor DHCP registra su registro PTR (puntero).

Supongamos que esta opción la emite un cliente DHCP cualificado, como un equipo habilitado para DHCP que ejecuta Windows Server 2003, Microsoft Windows 2000 o Microsoft Windows XP. En este caso, los servidores DHCP basados en Windows Server 2003 procesan e interpretan la opción para determinar cómo inicia las actualizaciones el servidor en nombre del cliente.

Por ejemplo, puede usar cualquiera de las siguientes configuraciones para procesar solicitudes de cliente:

  • El servidor DHCP registra y actualiza la información del cliente con sus servidores DNS configurados según la solicitud del cliente.

    Esta es la configuración predeterminada para clientes y servidores DHCP basados en Windows Server 2003 que ejecutan Windows Server 2003, Windows 2000 o Windows XP. En este modo, cualquiera de estos clientes DHCP de Windows puede especificar la forma en que el servidor DHCP actualiza sus registros de recursos host A y PTR. Si es posible, el servidor DHCP controla la solicitud de cliente para controlar las actualizaciones de su nombre y la información de dirección IP en DNS.

    Para configurar el servidor DHCP para registrar la información del cliente de acuerdo con la solicitud del cliente, siga estos pasos:

    1. Abra las propiedades DHCP del servidor o del ámbito individual.
    2. Haga clic en la pestaña DNS, en Propiedades y, a continuación, seleccione la casilla actualizar dinámicamente los registros A y PTR de DNS solo si los clientes DHCP lo solicitan.
  • El servidor DHCP siempre registra y actualiza la información del cliente con sus servidores DNS configurados.

    Se trata de una configuración modificada compatible con clientes y servidores DHCP basados en Windows Server 2003 que ejecutan Windows Server 2003, Windows 2000 o Windows XP. En este modo, el servidor DHCP siempre realiza actualizaciones del FQDN del cliente y la información de la dirección IP alquilada, independientemente de si el cliente ha solicitado realizar sus propias actualizaciones.

    Para configurar un servidor DHCP para registrar y actualizar la información del cliente con sus servidores DNS configurados, siga estos pasos:

    1. Abrir las propiedades DHCP del servidor
    2. Haga clic en DNS, haga clic en Propiedades, seleccione la casilla Habilitar actualizaciones dinámicas de DNS de acuerdo con la siguiente configuración y, a continuación, haga clic en Actualizar siempre dinámicamente los registros A y PTR de DNS.
  • El servidor DHCP nunca registra y actualiza la información de cliente con sus servidores DNS configurados.

    Para usar esta configuración, el servidor DHCP debe configurarse para deshabilitar el rendimiento de las actualizaciones mediante proxy DHCP/DNS. Al usar esta configuración, no se actualizan los registros de recursos A o PTR del host de cliente en DNS para los clientes DHCP.

    Para configurar el servidor para que nunca actualice la información del cliente, siga estos pasos:

    1. Abra las propiedades DHCP del servidor DHCP o uno de sus ámbitos en el servidor DHCP basado en Windows Server 2003.
    2. Haga clic en DNS, en Propiedades y, a continuación, desactive la casilla Habilitar actualizaciones dinámicas de DNS de acuerdo con la siguiente configuración.

    De forma predeterminada, las actualizaciones siempre se realizan para los servidores DHCP basados en Windows Server 2003 recién instalados y los nuevos ámbitos que cree para ellos.

Clientes DHCP de Windows y protocolo de actualización dinámica dns

Los clientes DHCP que ejecutan Windows Server 2003, Windows 2000, Windows XP o sistemas operativos anteriores pueden interactuar de forma diferente cuando realizan las interacciones DHCP/DNS. En los ejemplos siguientes se muestra cómo varía este proceso en diferentes casos.

Un ejemplo de interacción de actualización DHCP/DNS para clientes DHCP basados en Windows Server 2003, basados en Windows 2000 y Windows XP

Los clientes que ejecutan Windows Server 2003, Windows 2000 o DHCP de Windows XP interactúan con el protocolo de actualización dinámica dns de la siguiente manera:

  1. El cliente inicia un mensaje de solicitud DHCP (DHCPREQUEST) al servidor. La solicitud incluye la opción 81.
  2. El servidor devuelve un mensaje de confirmación DHCP (DHCPACK) al cliente. El cliente concede una concesión de direcciones IP e incluye la opción 81. Si el servidor DHCP está configurado con la configuración predeterminada, la opción 81 indica al cliente que el servidor DHCP registrará el registro PTR de DNS y que el cliente registrará el registro A de DNS.
  3. De forma asincrónica, el cliente envía una solicitud de actualización dns al servidor DNS para su propio registro de búsqueda directa, un registro de recursos host A.
  4. El servidor DHCP registra el registro PTR del cliente.

Un ejemplo de interacción de actualización DHCP/DNS para clientes DHCP basados en Windows que usan una versión de Windows anterior a Windows Server 2003

Las versiones anteriores de los clientes DHCP basados en Windows no admiten el proceso de actualización dinámica de DNS directamente y no pueden interactuar directamente con el servidor DNS. Para estos clientes DHCP, las actualizaciones se administran normalmente de la siguiente manera:

  1. El cliente inicia un mensaje de solicitud DHCP (DHCPREQUEST) al servidor. Esta solicitud no incluye la opción 81.
  2. El servidor devuelve un mensaje de confirmación DHCP (DHCPACK) al cliente. El cliente concede una concesión de direcciones IP, sin la opción 81.
  3. El servidor envía actualizaciones al servidor DNS para el registro de búsqueda directa del cliente, el registro de recursos host A y envía una actualización para el registro de búsqueda inversa PTR del cliente.

Actualizaciones dinámicas seguras

Para Windows Server 2003, la seguridad de actualización dns solo está disponible para las zonas integradas en Active Directory. Después de integrar una zona, puede usar las características de edición de la lista de control de acceso (ACL) que están disponibles en el complemento DNS para agregar o quitar usuarios o grupos de la ACL para una zona específica o para un registro de recursos.

Para obtener más información, busque el tema "Para modificar la seguridad de un registro de recursos" o el tema "Para modificar la seguridad de una zona integrada de directorio" en la Ayuda de Windows Server 2003.

De forma predeterminada, la seguridad de actualización dinámica para clientes y servidores DNS de Windows Server 2003 se controla de la siguiente manera:

  1. Los clientes DNS basados en Windows Server 2003 intentan usar primero actualizaciones dinámicas no seguras. Si se rechaza la actualización no segura, los clientes intentan usar una actualización segura.

    Además, los clientes usan una directiva de actualización predeterminada que les permite intentar sobrescribir un registro de recursos registrado anteriormente, a menos que la seguridad de la actualización los bloquee específicamente.

  2. De forma predeterminada, después de que una zona se integre en Active Directory, los servidores DNS basados en Windows Server 2003 solo permiten actualizaciones dinámicas seguras.

De forma predeterminada, cuando se usa el almacenamiento de zona estándar, el servicio de servidor DNS no habilita actualizaciones dinámicas en sus zonas. Para las zonas integradas en directorios o que usan almacenamiento basado en archivos estándar, puede cambiar la zona para habilitar todas las actualizaciones dinámicas. Esto permite que se acepten todas las actualizaciones pasando el uso de actualizaciones seguras.

Importante

El servicio de servidor DHCP puede realizar el registro de proxy y la actualización de registros DNS para clientes heredados que no admiten actualizaciones dinámicas. Para obtener más información, consulte el tema "Uso de servidores DNS con DHCP" en la Ayuda de Windows Server 2003.

Si usa varios servidores DHCP basados en Windows Server 2003 en la red y configura sus zonas para habilitar solo actualizaciones dinámicas seguras, use el complemento Usuarios y equipos de Active Directory para agregar los equipos servidor DHCP al grupo integrado DnsUpdateProxy. Al hacerlo, todos los servidores DHCP tienen los derechos seguros para realizar actualizaciones de proxy para cualquiera de sus clientes DHCP. Para obtener más información, consulte el tema "Uso de servidores DNS con DHCP" o el tema "Administrar grupos" en la Ayuda de Windows Server 2003.

Precaución

La funcionalidad de actualizaciones dinámicas seguras puede verse comprometida si se cumplen las siguientes condiciones:

  • Se ejecuta un servidor DHCP en un controlador de dominio basado en Windows Server 2003
  • El servidor DHCP está configurado para realizar el registro de registros DNS en nombre de sus clientes. Para evitar este problema, implemente servidores DHCP y controladores de dominio en equipos independientes o configure el servidor DHCP para usar una cuenta de usuario dedicada para actualizaciones dinámicas. Para obtener más información, consulte el tema "Uso de servidores DNS con DHCP" en la Ayuda de Windows Server 2003.

Para obtener más información, consulte la sección "Consideraciones de seguridad al usar el grupo DnsUpdateProxy".

Habilitar solo actualizaciones dinámicas seguras

  1. Haga clic en Iniciar, elija Herramientas administrativas y luego haga clic en DNS.
  2. En DNS, haga doble clic en el servidor DNS correspondiente, haga doble clic en Zonas de búsqueda directa o Zonas de búsqueda inversa y, a continuación, haga clic con el botón secundario en la zona aplicable.
  3. Haga clic en Propiedades.
  4. En la pestaña General, compruebe que el tipo de zona está integrado en Active Directory.
  5. En el cuadro Actualizaciones dinámicas, haga clic en Solo seguridad.
  6. Haga clic en Aceptar.

Nota

La funcionalidad de actualización dinámica segura solo es compatible con las zonas integradas de Active Directory. Si configura un tipo de zona diferente, cambie el tipo de zona y, a continuación, integre la zona antes de protegerla para las actualizaciones dns. La actualización dinámica es una extensión compatible con RFC para el estándar DNS. El proceso de actualización dns se define en RFC 2136, "Actualizaciones dinámicas en el sistema de nombres de dominio (ACTUALIZACIÓN DNS)".

Usar el grupo de seguridad DnsUpdateProxy

Puedes configurar un servidor DHCP basado en Windows Server 2003 para que registre dinámicamente los registros de recursos de host A y PTR en nombre de los clientes DHCP. Si usa actualizaciones dinámicas seguras en esta configuración con servidores DNS basados en Windows Server 2003, los registros de recursos pueden quedar obsoletos.

Por ejemplo, considere el siguiente escenario:

  1. Un servidor DHCP de Windows Server 2003 (DHCP1) realiza una actualización dinámica segura en nombre de uno de sus clientes para un nombre de dominio DNS específico.
  2. Dado que el servidor DHCP creó correctamente el nombre, se convierte en el propietario del nombre.
  3. Una vez que el servidor DHCP se convierte en el propietario del nombre de cliente, solo ese servidor DHCP puede actualizar el nombre.

En algunas circunstancias, este escenario puede causar problemas. Por ejemplo, si se produce un error en DHCP1 y se vuelve a usar un segundo servidor DHCP de copia de seguridad, el servidor de copia de seguridad no puede actualizar el nombre de cliente porque el servidor no es el propietario del nombre.

En otro ejemplo, supongamos que el servidor DHCP realiza actualizaciones dinámicas para clientes heredados. Si actualiza esos clientes a Windows Server 2003, Windows 2000 o Windows XP, el cliente actualizado no puede asumir la propiedad ni actualizar sus registros DNS.

Para solucionar este problema, se proporciona un grupo de seguridad integrado denominado DnsUpdateProxy. Si se agregan todos los servidores DHCP al grupo DnsUpdateProxy, otro servidor puede actualizar los registros de un servidor si se produce un error en el primer servidor. Además, todos los objetos creados por los miembros del grupo DnsUpdateProxy no están protegidos. Por lo tanto, el primer usuario que no es miembro del grupo DnsUpdateProxy y que modifica el conjunto de registros asociado a un nombre DNS se convierte en su propietario. Cuando se actualizan los clientes heredados, pueden tomar posesión de sus registros de nombre en el servidor DNS. Si todos los servidores DHCP que registran registros de recursos para clientes heredados son miembros del grupo DnsUpdateProxy, se eliminan muchos problemas.

Agregar miembros al grupo DnsUpdateProxy

Use el complemento Usuarios y equipos de Active Directory para configurar el grupo de seguridad DnsUpdateProxy.

Nota

Si usa varios servidores DHCP para tolerancia a errores y actualizaciones dinámicas seguras, agregue cada servidor al grupo de seguridad global DnsUpdateProxy.

Consideraciones de seguridad al usar el grupo DnsUpdateProxy

Los nombres de dominio DNS registrados por el servidor DHCP no son seguros si el servidor DHCP es miembro del grupo DnsUpdateProxy. El registro de recursos de host (A) para el propio servidor DHCP es un ejemplo de dicho registro. Además, los objetos creados por los miembros del grupo DnsUpdateProxy no son seguros. Por lo tanto, no puede usar este grupo de forma eficaz en una zona integrada de Active Directory que permita solo actualizaciones dinámicas seguras a menos que siga pasos adicionales para habilitar la protección de los registros creados por los miembros del grupo.

Para ayudar a protegerse contra registros no seguros o para permitir que los miembros del grupo DnsUpdateProxy registren registros en zonas que solo habilitan actualizaciones dinámicas protegidas, siga estos pasos:

  1. Cree una cuenta de usuario dedicada.
  2. Configure los servidores DHCP para realizar actualizaciones dinámicas de DNS con las credenciales de la cuenta de usuario. (Estas credenciales son el nombre de usuario, la contraseña y el dominio).

Varios servidores DHCP pueden usar las credenciales de una cuenta de usuario dedicada.

Una cuenta de usuario dedicada es una cuenta de usuario cuyo único propósito es proporcionar a los servidores DHCP credenciales para los registros de actualización dinámica de DNS. Suponga que ha creado una cuenta de usuario dedicada y configurado servidores DHCP con las credenciales de la cuenta. Cada servidor DHCP suministrará estas credenciales cuando registre nombres en nombre de los clientes DHCP que usan la actualización dinámica de DNS. La cuenta de usuario dedicada debe crearse en el bosque donde reside el servidor DNS principal para la zona que se va a actualizar. La cuenta de usuario dedicada también se puede encontrar en otro bosque. Sin embargo, el bosque en el que reside la cuenta debe tener una confianza de bosque establecida con el bosque que contiene el servidor DNS principal para que se actualice la zona.

Cuando el servicio de servidor DHCP está instalado en un controlador de dominio, puede configurar el servidor DHCP con las credenciales de la cuenta de usuario dedicada para evitar que el servidor herede y, posiblemente, mal uso de la potencia del controlador de dominio. Cuando el servicio de servidor DHCP está instalado en un controlador de dominio, hereda los permisos de seguridad del controlador de dominio. El servicio también tiene la autoridad para actualizar o eliminar cualquier registro DNS registrado en una zona segura integrada en Active Directory. (Esto incluye los registros registrados de forma segura por otros equipos basados en Windows 2000 o Windows Server 2003 y por controladores de dominio).

Configurar actualizaciones dinámicas de DNS

La funcionalidad de actualización dinámica que se incluye en Windows Server 2003 sigue RFC 2136. La actualización dinámica permite a los clientes y servidores registrar nombres de dominio DNS (registros de recursos PTR) y asignaciones de direcciones IP (registros de recursos A) en un servidor DNS compatible con RFC 2136.

Configurar actualizaciones dinámicas dns para clientes DHCP

De forma predeterminada, los clientes DHCP basados en Windows Server 2003, basados en Windows 2000 y Windows XP están configurados para solicitar que el cliente registre el registro de recursos A y que el servidor registre el registro de recursos PTR. De forma predeterminada, el nombre que se usa en el registro DNS es una concatenación del nombre del equipo y el sufijo DNS principal. Para cambiar este nombre predeterminado, abra las propiedades TCP/IP de la conexión de red.

Para cambiar los valores predeterminados de actualización dinámica en el cliente de actualización dinámica, siga estos pasos:

  1. En el Panel de control, haga doble clic en Conexiones de red.

  2. Haga clic con el botón secundario en la conexión que desea configurar y, a continuación, haga clic en Propiedades.

  3. Haga clic en Protocolo de Internet (TCP/IP), en Propiedades y, a continuación, en Avanzadas.

  4. Haga clic en DNS.

    De forma predeterminada, la opción Registrar la dirección de esta conexión en DNS está seleccionada y no está seleccionada la opción Usar el sufijo DNS de esta conexión en el registro dns. Esta configuración predeterminada hace que el cliente solicite que el cliente registre el registro de recursos A y el servidor registre el registro de recursos PTR.

  5. Haga clic para activar la casilla Usar el sufijo DNS de esta conexión en el registro de DNS.

    A continuación, el cliente solicitará que el servidor actualice el registro PTR mediante el FQDN. Si el servidor DHCP está configurado para registrar registros DNS de acuerdo con la solicitud del cliente, el cliente registra los siguientes registros:

    • El registro PTR.
    • Registro A que usa el nombre que es una concatenación del nombre del equipo y el sufijo DNS principal.
    • Registro A que usa el nombre que es una concatenación del nombre del equipo y el sufijo DNS específico de la conexión.
  6. Para configurar el cliente para que no realice ninguna solicitud de registro DNS, haga clic para borrar la casilla Registrar la dirección de esta conexión en DNS.

Configurar actualizaciones dinámicas de DNS en equipos cliente de varias direcciones

Si un cliente de actualización dinámica está en varias direcciones, registra todas sus direcciones IP con DNS de forma predeterminada. Un cliente se encuentra en varias direcciones si tiene más de un adaptador y una dirección IP asociada. Si no desea que el cliente registre todas sus direcciones IP, puede configurarla para que no registre una o más direcciones IP en las propiedades de conexión de red.

Para evitar que el equipo registre todas sus direcciones IP, siga estos pasos:

  1. En el Panel de control, haga doble clic en Conexiones de red.
  2. Haga clic con el botón secundario en la conexión que desea configurar y, a continuación, haga clic en Propiedades.
  3. Haga clic en Protocolo de Internet (TCP/IP), en Propiedades y, a continuación, en Avanzadas.
  4. Haga clic en DNS.
  5. Haga clic para borrar la casilla Registrar la dirección de esta conexión en DNS.

También puede configurar el equipo para registrar su nombre de dominio en DNS. Por ejemplo, si tiene un cliente que está conectado a dos redes diferentes, puede configurar el cliente para que tenga un nombre de dominio diferente en cada red.

Configurar actualizaciones dinámicas dns en un servidor DHCP basado en Windows Server 2003

Para configurar la actualización dinámica de DNS para un servidor DHCP basado en Windows Server 2003, siga estos pasos:

  1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en DHCP.

  2. Haga clic con el botón secundario en el ámbito o servidor DHCP adecuado y, a continuación, haga clic en Propiedades.

  3. Haga clic en DNS.

  4. Haga clic para activar la casilla Habilitar actualizaciones dinámicas de DNS según la configuración siguiente para habilitar la actualización dinámica de DNS para los clientes que admiten la actualización dinámica.

    Nota

    De forma predeterminada, esta casilla está activada.

  5. Para habilitar la actualización dinámica de DNS para clientes DHCP que no la admiten, haga clic para seleccionar los registros A y PTR de DNS de actualización dinámica para los clientes DHCP que no soliciten actualizaciones (por ejemplo, los clientes que ejecutan Windows NT 4.0).

  6. Haga clic en Aceptar.

Habilitar actualizaciones dinámicas de DNS en un servidor DNS

En un servidor DHCP basado en Windows Server 2003, puede actualizar dinámicamente los registros DNS para clientes anteriores a Windows Server 2003 que no pueden hacerlo por sí mismos.

Para habilitar un servidor DHCP para actualizar dinámicamente los registros DNS de sus clientes, siga estos pasos:

  1. En la consola de administración de DHCP, seleccione el ámbito o el servidor DHCP para el que desea habilitar las actualizaciones dns.
  2. En el menú Acción, haga clic en Propiedades y, a continuación, haga clic en DNS.
  3. Haga clic para seleccionar la casilla Habilitar actualizaciones dinámicas de DNS según la configuración siguiente.
  4. Para actualizar los registros DNS de un cliente en función del tipo de solicitud DHCP que realiza el cliente, haga clic para seleccionar actualizar dinámicamente los registros A y PTR de DNS solo si los clientes DHCP lo solicitan. (Esta actualización solo se producirá cuando el cliente realiza una solicitud).
  5. Para actualizar siempre los registros de búsqueda directa y inversa de un cliente, haga clic para seleccionar Actualizar siempre dinámicamente los registros A y PTR de DNS.
  6. Haga clic para seleccionar la casilla Descartar registros A y PTR cuando se elimine la concesión para que el servidor DHCP elimine el registro de un cliente cuando expire su concesión DHCP y no se renueve.

Deshabilitar actualizaciones dinámicas de DNS

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows

De forma predeterminada, las actualizaciones dinámicas se configuran en clientes basados en Windows Server 2003. Para deshabilitar las actualizaciones dinámicas para todas las interfaces de red, siga estos pasos:

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.

  2. Busque y, a continuación, haga clic en la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. En el menú Editar, elija Nuevo y, a continuación, haga clic en valor DWORD.

  4. Escriba DisableDynamicUpdate y, a continuación, presione ENTRAR dos veces.

  5. En Editar valor DWORD, escriba 1 en el cuadro de datos Valor y, a continuación, haga clic en Aceptar.

  6. Salga del Editor del Registro.

Para deshabilitar las actualizaciones dinámicas para una interfaz específica, siga estos pasos:

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
  2. Busque y, a continuación, haga clic en la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

    Nota

    es el identificador de dispositivo del adaptador de red de la interfaz para la que quieres deshabilitar la actualización dinámica.

  3. En el menú Editar, elija Nuevo y, a continuación, haga clic en valor DWORD.
  4. Escriba DisableDynamicUpdate y, a continuación, presione ENTRAR dos veces.
  5. En Editar valor DWORD, escriba 1 en el cuadro de datos Valor y, a continuación, haga clic en Aceptar.
  6. Salga del Editor del Registro.