Novedades del servidor DNS en Windows ServerWhat's New in DNS Server in Windows Server

Se aplica a: Windows Server (canal semianual), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

En este tema se describen las funciones de servidor de sistema de nombres de dominio (DNS) nuevas o modificadas en Windows Server 2016.This topic describes the Domain Name System (DNS) server functionality that is new or changed in Windows Server 2016.

En Windows Server 2016, el servidor DNS ofrece compatibilidad mejorada en las áreas siguientes.In Windows Server 2016, DNS Server offers enhanced support in the following areas.

FuncionalidadFunctionality Nueva o mejoradaNew or Improved DescripciónDescription
Directivas de DNSDNS Policies NuevoNew Puede configurar directivas DNS para especificar el modo en que un servidor DNS responde a las consultas DNS.You can configure DNS policies to specify how a DNS server responds to DNS queries. Las respuestas DNS pueden basarse en la dirección IP del cliente (ubicación), la hora del día y otros parámetros.DNS responses can be based on client IP address (location), time of the day, and several other parameters. Las directivas de DNS permiten el DNS, la administración del tráfico, el equilibrio de carga, el DNS de cerebro dividido y otros escenarios que tienen en cuenta la ubicación.DNS policies enable location-aware DNS, traffic management, load balancing, split-brain DNS, and other scenarios.
Limitación de velocidad de respuesta (RRL)Response Rate Limiting (RRL) NuevoNew Puede habilitar la limitación de la velocidad de respuesta en los servidores DNS.You can enable response rate limiting on your DNS servers. Al hacerlo, evita la posibilidad de que los sistemas malintencionados usen los servidores DNS para iniciar un ataque de denegación de servicio en un cliente DNS.By doing this, you avoid the possibility of malicious systems using your DNS servers to initiate a denial of service attack on a DNS client.
Autenticación basada en DNS de entidades con nombre (SUNDANÉS)DNS-based Authentication of Named Entities (DANE) NuevoNew Puede usar los registros TLSA (autenticación de seguridad de la capa de transporte) para proporcionar información a los clientes DNS que indiquen en qué CA deben esperar un certificado para su nombre de dominio.You can use TLSA (Transport Layer Security Authentication) records to provide information to DNS clients that state what CA they should expect a certificate from for your domain name. Esto evita ataques de tipo "Man in the Middle", en los que alguien podría dañar la memoria caché de DNS para apuntar a su propio sitio web y proporcionar un certificado emitido por una CA diferente.This prevents man-in-the-middle attacks where someone might corrupt the DNS cache to point to their own website, and provide a certificate they issued from a different CA.
Compatibilidad con registros desconocidosUnknown record support NuevoNew Puede agregar registros que no son compatibles explícitamente con el servidor DNS de Windows mediante la funcionalidad de registros desconocidos.You can add records which are not explicitly supported by the Windows DNS server using the unknown record functionality.
Sugerencias de raíz IPv6IPv6 root hints NuevoNew Puede usar la compatibilidad con las sugerencias de raíz IPV6 nativas para realizar la resolución de nombres de Internet mediante los servidores raíz IPV6.You can use the native IPV6 root hints support to perform internet name resolution using the IPV6 root servers.
Compatibilidad con Windows PowerShellWindows PowerShell Support Se ha mejoradoImproved Hay nuevos cmdlets de Windows PowerShell disponibles para el servidor DNS.New Windows PowerShell cmdlets are available for DNS Server.

Directivas de DNSDNS Policies

Puede usar la Directiva de DNS para la administración del tráfico basada en la ubicación geográfica, las respuestas de DNS inteligentes basadas en la hora del día, para administrar un solo servidor DNS configurado para la - implementación de cerebro dividido, aplicar filtros en consultas DNS, etc.You can use DNS Policy for Geo-Location based traffic management, intelligent DNS responses based on the time of day, to manage a single DNS server configured for split-brain deployment, applying filters on DNS queries, and more. Los elementos siguientes proporcionan más detalles acerca de estas capacidades.The following items provide more detail about these capabilities.

  • Equilibrio de carga de la aplicación.Application Load Balancing. Cuando haya implementado varias instancias de una aplicación en diferentes ubicaciones, puede usar la Directiva de DNS para equilibrar la carga de tráfico entre las distintas instancias de aplicación, asignando dinámicamente la carga de tráfico para la aplicación.When you have deployed multiple instances of an application at different locations, you can use DNS policy to balance the traffic load between the different application instances, dynamically allocating the traffic load for the application.

  • -Administración del tráfico basada en la ubicación geográfica.Geo-Location Based Traffic Management. Puede usar la Directiva de DNS para permitir que los servidores DNS principal y secundario respondan a las consultas de cliente DNS en función de la ubicación geográfica del cliente y el recurso al que el cliente intenta conectarse, proporcionando al cliente la dirección IP del recurso más cercano.You can use DNS Policy to allow primary and secondary DNS servers to respond to DNS client queries based on the geographical location of both the client and the resource to which the client is attempting to connect, providing the client with the IP address of the closest resource.

  • Divida DNS de cerebro.Split Brain DNS. Con - DNS de cerebro dividido, los registros DNS se dividen en diferentes ámbitos de zona en el mismo servidor DNS y los clientes DNS reciben una respuesta basada en si los clientes son internos o externos.With split-brain DNS, DNS records are split into different Zone Scopes on the same DNS server, and DNS clients receive a response based on whether the clients are internal or external clients. Puede configurar - DNS de cerebro dividido para zonas integradas de Active Directory o para zonas en servidores DNS independientes.You can configure split-brain DNS for Active Directory integrated zones or for zones on standalone DNS servers.

  • Filtra.Filtering. Puede configurar la Directiva de DNS para crear filtros de consulta basados en los criterios que proporcione.You can configure DNS policy to create query filters that are based on criteria that you supply. Los filtros de consulta de la Directiva de DNS permiten configurar el servidor DNS para responder de forma personalizada en función de la consulta DNS y el cliente DNS que envía la consulta DNS.Query filters in DNS policy allow you to configure the DNS server to respond in a custom manner based on the DNS query and DNS client that sends the DNS query.

  • Análisis forense.Forensics. Puede usar la Directiva de DNS para redirigir a los clientes DNS malintencionados a una dirección IP que no existe, en - lugar de dirigirlos al equipo al que intentan tener acceso.You can use DNS policy to redirect malicious DNS clients to a non-existent IP address instead of directing them to the computer they are trying to reach.

  • Hora del redireccionamiento basado en el día.Time of day based redirection. Puede usar la Directiva de DNS para distribuir el tráfico de aplicaciones entre diferentes instancias distribuidas geográficamente de una aplicación mediante el uso de directivas DNS basadas en la hora del día.You can use DNS policy to distribute application traffic across different geographically distributed instances of an application by using DNS policies that are based on the time of day.

También puede usar directivas DNS para Active Directory zonas DNS integradas.You can also use DNS policies for Active Directory integrated DNS zones.

Para obtener más información, consulte la guía del escenario de la Directiva DNS.For more information, see the DNS Policy Scenario Guide.

Limitación de velocidad de respuestaResponse Rate Limiting

Puede establecer la configuración de RRL para controlar cómo responder a las solicitudes a un cliente DNS cuando el servidor recibe varias solicitudes que tienen como destino el mismo cliente.You can configure RRL settings to control how to respond to requests to a DNS client when your server receives several requests targeting the same client. Al hacerlo, puede impedir que alguien envíe un ataque por denegación de servicio (dos) mediante los servidores DNS.By doing this, you can prevent someone from sending a Denial of Service (Dos) attack using your DNS servers. Por ejemplo, una red bot puede enviar solicitudes al servidor DNS mediante la dirección IP de un tercer equipo como solicitante.For instance, a bot net can send requests to your DNS server using the IP address of a third computer as the requestor. Sin RRL, los servidores DNS podrían responder a todas las solicitudes y inundar el tercer equipo.Without RRL, your DNS servers might respond to all the requests, flooding the third computer. Al usar RRL, puede configurar las siguientes opciones:When you use RRL, you can configure the following settings:

  • Respuestas por segundo.Responses per second. Este es el número máximo de veces que se proporcionará la misma respuesta a un cliente en un segundo.This is the maximum number of times the same response will be given to a client within one second.

  • Errores por segundo.Errors per second. Este es el número máximo de veces que se enviará una respuesta de error al mismo cliente en un segundo.This is the maximum number of times an error response will be sent to the same client within one second.

  • Ventana.Window. Es el número de segundos durante los cuales se suspenderán las respuestas a un cliente si se realizan demasiadas solicitudes.This is the number of seconds for which responses to a client will be suspended if too many requests are made.

  • Tasa de fugas.Leak rate. Esta es la frecuencia con la que el servidor DNS responderá a una consulta durante el tiempo que se suspenden las respuestas.This is how frequently the DNS server will respond to a query during the time responses are suspended. Por ejemplo, si el servidor suspende las respuestas a un cliente durante 10 segundos y la tasa de fugas es 5, el servidor seguirá respondiendo a una consulta por cada 5 consultas enviadas.For instance, if the server suspends responses to a client for 10 seconds, and the leak rate is 5, the server will still respond to one query for every 5 queries sent. Esto permite a los clientes legítimos obtener respuestas incluso cuando el servidor DNS está aplicando la limitación de velocidad de respuesta en su subred o FQDN.This allows the legitimate clients to get responses even when the DNS server is applying response rate limiting on their subnet or FQDN.

  • Tasa de TC.TC rate. Se utiliza para indicar al cliente que intente conectarse con TCP cuando se suspenda la respuesta al cliente.This is used to tell the client to try connecting with TCP when responses to the client are suspended. Por ejemplo, si la tasa de TC es 3 y el servidor suspende las respuestas a un cliente determinado, el servidor emitirá una solicitud de conexión TCP por cada 3 consultas recibidas.For instance, if the TC rate is 3, and the server suspends responses to a given client, the server will issue a request for TCP connection for every 3 queries received. Asegúrese de que el valor de la tasa de TC es inferior a la tasa de fugas, para dar al cliente la opción de conectarse a través de TCP antes de filtrar las respuestas.Make sure the value for TC rate is lower than the leak rate, to give the client the option to connect via TCP before leaking responses.

  • Número máximo de respuestas.Maximum responses. Este es el número máximo de respuestas que el servidor emitirá a un cliente mientras se suspenden las respuestas.This is the maximum number of responses the server will issue to a client while responses are suspended.

  • Dominios de lista blanca.White list domains. Esta es una lista de dominios que se van a excluir de la configuración de RRL.This is a list of domains to be excluded from RRL settings.

  • Subredes de lista blanca.White list subnets. Esta es una lista de subredes que se van a excluir de la configuración de RRL.This is a list of subnets to be excluded from RRL settings.

  • Interfaces de servidor de lista blanca.White list server interfaces. Esta es una lista de las interfaces de servidor DNS que se van a excluir de la configuración de RRL.This is a list of DNS server interfaces to be excluded from RRL settings.

Compatibilidad con SUNDANÉSDANE support

Puede usar ( la compatibilidad de Sundanés RFC 6394 y 6698 ) para especificar a los clientes DNS de qué entidad de certificación deben esperar los certificados que se van a emitir para los nombres de dominios hospedados en el servidor DNS.You can use DANE support (RFC 6394 and 6698) to specify to your DNS clients what CA they should expect certificates to be issued from for domains names hosted in your DNS server. Esto evita una forma de ataque de tipo "Man in the Middle", donde alguien puede dañar una memoria caché de DNS y apuntar un nombre DNS a su propia dirección IP.This prevents a form of man-in-the-middle attack where someone is able to corrupt a DNS cache and point a DNS name to their own IP address.

Por ejemplo, Imagine que hospeda un sitio web seguro que usa SSL en www.contoso.com con un certificado de una autoridad conocida denominada CA1.For instance, imagine you host a secure website that uses SSL at www.contoso.com by using a certificate from a well-known authority named CA1. Es posible que alguien siga pudiendo obtener un certificado para www.contoso.com desde una entidad de certificación distinta, no conocida, denominada CA2.Someone might still be able to get a certificate for www.contoso.com from a different, not-so-well-known, certificate authority named CA2. A continuación, la entidad que hospeda el sitio web de www.contoso.com falso podría dañar la memoria caché de DNS de un cliente o servidor para apuntar a www.contoto.com a su sitio falso.Then, the entity hosting the fake www.contoso.com website might be able to corrupt the DNS cache of a client or server to point www.contoto.com to their fake site. Al usuario final se le presentará un certificado de CA2 y puede simplemente confirmarlo y conectarse al sitio falso.The end user will be presented a certificate from CA2, and may simply acknowledge it and connect to the fake site. Con SUNDANÉS, el cliente realizará una solicitud al servidor DNS para que contoso.com solicite el registro TLSA y aprenderá que el certificado de www.contoso.com fue issued by CA1.With DANE, the client would make a request to the DNS server for contoso.com asking for the TLSA record and learn that the certificate for www.contoso.com was issues by CA1. Si se presenta un certificado de otra CA, la conexión se anula.If presented with a certificate from another CA, the connection is aborted.

Compatibilidad con registros desconocidosUnknown record support

Un "registro desconocido" es un RR cuyo formato de RDATA no es conocido para el servidor DNS.An "Unknown Record" is an RR whose RDATA format is not known to the DNS server. La compatibilidad recién agregada para tipos de registros desconocidos (RFC 3597) significa que puede Agregar los tipos de registro no admitidos a las zonas del servidor DNS de Windows en el formato binario en el formato de conexión.The newly added support for unknown record (RFC 3597) types means that you can add the unsupported record types into the Windows DNS server zones in the binary on-wire format. El solucionador de almacenamiento en caché de Windows ya tiene la capacidad de procesar tipos de registros desconocidos.The windows caching resolver already has the ability to process unknown record types. El servidor DNS de Windows no realizará ningún procesamiento específico del registro para los registros desconocidos, pero lo enviará en respuestas si se reciben consultas.Windows DNS server will not do any record specific processing for the unknown records, but will send it back in responses if queries are received for it.

Sugerencias de raíz IPv6IPv6 root hints

Las sugerencias de raíz IPV6, publicadas por IANA, se han agregado al servidor DNS de Windows.The IPV6 root hints, as published by IANA, have been added to the windows DNS server. Las consultas de nombre de Internet ahora pueden usar servidores raíz IPv6 para realizar resoluciones de nombres.The internet name queries can now use IPv6 root servers for performing name resolutions.

Compatibilidad con Windows PowerShellWindows PowerShell support

Los siguientes nuevos cmdlets y parámetros de Windows PowerShell se introdujeron en Windows Server 2016.The following new Windows PowerShell cmdlets and parameters are introduced in Windows Server 2016.

  • Add-DnsServerRecursionScope.Add-DnsServerRecursionScope. Este cmdlet crea un nuevo ámbito de recursividad en el servidor DNS.This cmdlet creates a new recursion scope on the DNS server. Las directivas de DNS usan los ámbitos de recursividad para especificar una lista de los reenviadores que se van a usar en una consulta DNS.Recursion scopes are used by DNS policies to specify a list of forwarders to be used in a DNS query.

  • Remove-DnsServerRecursionScope.Remove-DnsServerRecursionScope. Este cmdlet quita los ámbitos de recursividad existentes.This cmdlet removes existing recursion scopes.

  • Set-DnsServerRecursionScope.Set-DnsServerRecursionScope. Este cmdlet cambia la configuración de un ámbito de recursividad existente.This cmdlet changes the settings of an existing recursion scope.

  • Get-DnsServerRecursionScope.Get-DnsServerRecursionScope. Este cmdlet recupera información sobre los ámbitos de recursividad existentes.This cmdlet retrieves information about existing recursion scopes.

  • Add-DnsServerClientSubnet.Add-DnsServerClientSubnet. Este cmdlet crea una nueva subred de cliente DNS.This cmdlet creates a new DNS client subnet. Las directivas DNS usan las subredes para identificar dónde se encuentra un cliente DNS.Subnets are used by DNS policies to identify where a DNS client is located.

  • Remove-DnsServerClientSubnet.Remove-DnsServerClientSubnet. Este cmdlet quita las subredes de cliente DNS existentes.This cmdlet removes existing DNS client subnets.

  • Set-DnsServerClientSubnet.Set-DnsServerClientSubnet. Este cmdlet cambia la configuración de una subred de cliente DNS existente.This cmdlet changes the settings of an existing DNS client subnet.

  • Get-DnsServerClientSubnet.Get-DnsServerClientSubnet. Este cmdlet recupera información sobre las subredes de cliente DNS existentes.This cmdlet retrieves information about existing DNS client subnets.

  • Add-DnsServerQueryResolutionPolicy.Add-DnsServerQueryResolutionPolicy. Este cmdlet crea una nueva Directiva de resolución de consultas DNS.This cmdlet creates a new DNS query resolution policy. Las directivas de resolución de consultas de DNS se usan para especificar cómo se responde una consulta, en función de criterios diferentes.DNS query resolution policies are used to specify how, or if, a query is responded to, based on different criteria.

  • Remove-DnsServerQueryResolutionPolicy.Remove-DnsServerQueryResolutionPolicy. Este cmdlet quita las directivas DNS existentes.This cmdlet removes existing DNS policies.

  • Set-DnsServerQueryResolutionPolicy.Set-DnsServerQueryResolutionPolicy. Este cmdlet cambia la configuración de una directiva DNS existente.This cmdlet changes the settings of an existing DNS policy.

  • Get-DnsServerQueryResolutionPolicy.Get-DnsServerQueryResolutionPolicy. Este cmdlet recupera información sobre las directivas DNS existentes.This cmdlet retrieves information about existing DNS policies.

  • Enable-DnsServerPolicy.Enable-DnsServerPolicy. Este cmdlet habilita las directivas DNS existentes.This cmdlet enables existing DNS policies.

  • Disable-DnsServerPolicy.Disable-DnsServerPolicy. Este cmdlet deshabilita las directivas DNS existentes.This cmdlet disables existing DNS policies.

  • Add-DnsServerZoneTransferPolicy.Add-DnsServerZoneTransferPolicy. Este cmdlet crea una nueva Directiva de transferencia de zona del servidor DNS.This cmdlet creates a new DNS server zone transfer policy. Las directivas de transferencia de zona DNS especifican si se debe denegar u omitir una transferencia de zona en función de criterios diferentes.DNS zone transfer policies specify whether to deny or ignore a zone transfer based on different criteria.

  • Remove-DnsServerZoneTransferPolicy.Remove-DnsServerZoneTransferPolicy. Este cmdlet quita las directivas de transferencia de zona de servidor DNS existentes.This cmdlet removes existing DNS server zone transfer policies.

  • Set-DnsServerZoneTransferPolicy.Set-DnsServerZoneTransferPolicy. Este cmdlet cambia la configuración de una directiva de transferencia de zona de servidor DNS existente.This cmdlet changes settings of an existing DNS server zone transfer policy.

  • Get-DnsServerResponseRateLimiting.Get-DnsServerResponseRateLimiting. Este cmdlet recupera la configuración de RRL.This cmdlet retrieves RRL settings.

  • Set-DnsServerResponseRateLimiting.Set-DnsServerResponseRateLimiting. Este cmdlet cambia el dicha extendería de RRL.This cmdlet changes RRL settigns.

  • Add-DnsServerResponseRateLimitingExceptionlist.Add-DnsServerResponseRateLimitingExceptionlist. Este cmdlet crea una lista de excepciones de RRL en el servidor DNS.This cmdlet creates an RRL exception list on the DNS server.

  • Get-DnsServerResponseRateLimitingExceptionlist.Get-DnsServerResponseRateLimitingExceptionlist. Este cmdlet recupera las listas de excception de RRL.This cmdlet retrieves RRL excception lists.

  • Remove-DnsServerResponseRateLimitingExceptionlist.Remove-DnsServerResponseRateLimitingExceptionlist. Este cmdlet quita una lista de excepciones de RRL existente.This cmdlet removes an existing RRL exception list.

  • Set-DnsServerResponseRateLimitingExceptionlist.Set-DnsServerResponseRateLimitingExceptionlist. Este cmdlet cambia las listas de excepciones de RRL.This cmdlet changes RRL exception lists.

  • Add-DnsServerResourceRecord.Add-DnsServerResourceRecord. Este cmdlet se actualizó para admitir el tipo de registro desconocido.This cmdlet was updated to support unknown record type.

  • Get-DnsServerResourceRecord.Get-DnsServerResourceRecord. Este cmdlet se actualizó para admitir el tipo de registro desconocido.This cmdlet was updated to support unknown record type.

  • Remove-DnsServerResourceRecord.Remove-DnsServerResourceRecord. Este cmdlet se actualizó para admitir el tipo de registro desconocido.This cmdlet was updated to support unknown record type.

  • Set-DnsServerResourceRecord.Set-DnsServerResourceRecord. Este cmdlet se actualizó para admitir el tipo de registro desconocidoThis cmdlet was updated to support unknown record type

Para obtener más información, vea los siguientes temas de referencia de comandos de Windows Server 2016 Windows PowerShell.For more information, see the following Windows Server 2016 Windows PowerShell command reference topics.

Referencias adicionalesAdditional References