Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
¿Qué es DNS en Active Directory?

¿Qué es DNS en Active Directory?

Feb 17, 2017

Los administradores de TI han estado trabajando con y alrededor de Active Directory desde la introducción de la tecnología en Windows 2000 Server. Windows 2000 Server se lanzó el 17 de febrero de 2000, pero muchos administradores comenzaron a trabajar con Active Directory a finales de 1999 cuando se lanzó para su fabricación (RTM) el 15 de diciembre de 1999.

¿Qué es Active Directory DNS?

AD DS proporciona un método integrado para almacenar y replicar DNS records mediante el uso de zonas DNS zones integradas en Active Directory.

Todos los registros y datos de zona almacenados dentro de la zona se replican en otros servidores DNS mediante el uso del servicio de replicación nativo de AD DS. Cada DC almacena una copia editable de los datos de la zona DNS para los espacios de nombres de los que son autoritativos. Las zonas integradas en Active Directory también ofrecen la capacidad de utilizar actualizaciones dinámicas seguras, lo que permite controlar qué computadoras pueden realizar actualizaciones y previene cambios no autorizados.

Los datos de la zona DNS se almacenan en una partición de directorio de aplicaciones. Se utiliza una partición de ámbito forestal llamada ForestDnsZones para los datos de la zona. Para cada dominio de AD DS, se crea una partición de dominio denominada DomainDnsZones.

Por lo general, las implementaciones de DNS se utilizan con un contiguous namespace.

Por ejemplo, el Fully Qualified Domain Name (FQDN) de un dominio AD DS podría ser corp.contoso.com, y el FQDN de un cliente en ese dominio sería client.corp.contoso.com. Sin embargo, AD DS y las zonas DNS integradas de Active Directory admiten espacios de nombres disjuntos. En tal escenario, el FQDN del dominio AD DS podría ser na.corp.contoso.com, mientras que un FQDN de cliente podría ser client.corp.contoso.com. Observa que la parte “na” del FQDN no está presente en el FQDN del cliente. Hay varios requisitos y consideraciones al usar un espacio de nombres disjunto.

Para obtener más información, consulte https://technet.microsoft.com/en-us/library/cc731125%28v=ws.10%29.aspx.

Tres componentes específicos de DNS

AD DS requiere DNS para funcionar y utiliza tres componentes específicos para la infraestructura de AD DS:

  • Localizador de controlador de dominio.

El Localizador se implementa en el servicio Net Logon y proporciona los nombres de los DCs en un entorno de AD DS. El Localizador utiliza registros de recursos DNS de dirección (A) y servicio (SRV) para identificar DCs en un entorno de AD DS.

  • Nombres de dominio de Active Directory en DNS.

Los nombres de dominio de AD DS en DNS son el FQDN del que hablamos anteriormente.

  • Objetos DNS de Active Directory.

Aunque los dominios DNS y los dominios AD DS suelen tener el mismo nombre, son dos objetos separados con diferentes roles. DNS almacena zonas y datos de zonas requeridos por AD DS y responde a consultas DNS de los clientes. AD DS almacena nombres de objetos y registros de objetos y utiliza consultas LDAP para recuperar o modificar datos. Las zonas DNS que se almacenan en AD DS tienen un objeto contenedor que está en la clase dnsZone. El objeto dnsZone tiene un nodo DNS, que utiliza la clase dnsNode. Cada nombre único en una zona DNS tiene un objeto dnsNode único. Para AD DS, esto también incluye funciones individuales. Por lo tanto, un DC puede tener múltiples roles, como ser un catálogo global servidor, lo que se indica en el objeto dnsNode.

Registros DNS en Active Directory

Como se mencionó anteriormente, los DCs son identificados por los registros SRV en una zona de DNS. Los componentes de AD DS se almacenan en DNS utilizando el siguiente formato en el subdominio _msdcs: _Service.Protocol.DcType._msdsc.DnsDomainName.

Por ejemplo, el servicio de Lightweight Directory Access Protocol (LDAP) del Primary Domain Controller (PDC) en el dominio AD DS de contoso.com sería _ldap._tcp.pdc.contoso.com. Las cadenas de servicio y protocolo utilizan guiones bajos (_) como prefijo para evitar posibles colisiones con recursos o registros existentes en el espacio de nombres.

El servicio Net Logon requiere 17 registros SRV diferentes para realizar búsquedas. Puede encontrar una lista completa de registros SRV en https://technet.microsoft.com/en-us/library/cc759550%28v=ws.10%29.aspx.

Además de los registros SRV, el servicio Net Logon también requiere dos registros A para los clientes que podrían no estar al tanto de SRV. Esto incluye un registro para el DnsDomainName, y un registro para gc._msdsc.DnsForestName. Esto permite que los clientes que no son conscientes de SRV puedan buscar un controlador de dominio o servidor de catálogo global utilizando un registro A.

Mejores prácticas

DNS es susceptible a amenazas de seguridad, tales como la obtención de huellas, ataques de denegación de servicio, modificación de datos y redirección.

Para mitigar estas amenazas, las zonas DNS pueden ser aseguradas utilizando secure dynamic updates, restringiendo las transferencias de zona, además de implementar la delegación de zona y DNS Security Extensions (DNSSEC). Al utilizar secure dynamic updates, los ordenadores serán autenticados a través de Active Directory, y se aplicarán configuraciones de seguridad al realizar una transferencia de zona.

Además, las transferencias de zona también pueden ser restringidas a direcciones IP específicas dentro de la red. La delegación de zona puede abordarse utilizando dos métodos.

Primero, es limitar los cambios de DNS a un único equipo o entidad, con todos los cambios rastreados y aprobados. Este método limita la cantidad de personas que realizan cambios, pero permite un único punto de fallo.

En segundo lugar, las zonas pueden ser delegadas a individuos que estarán gestionando cada componente de una red o dominio. Aunque los cambios aún puedan necesitar ser aprobados y rastreados, esto distribuye el riesgo entre varias personas y puede limitar el daño si solo un componente se ve comprometido.

DNSSEC

DNSSEC valida las respuestas DNS al proporcionar autoridad de origen, integridad de los datos y una denegación de existencia autenticada. La implementación de DNSSEC en Windows Server 2012 cumple con los estándares definidos en los RFC 4033, 4034 y 4035.

Hay seis tipos de registros de recursos que se utilizan específicamente con DNSSEC:

  • Firma de registro de recurso (RRSIG)
  • Next Secure (NSEC)
  • Next Secure 3 (NSEC3)
  • Next Secure 3 Parameter (NSEC3PARAM)
  • Clave DNS (DNSKEY)
  • Firmante de Delegación (DS)

Para obtener más información sobre cada uno de los tipos de registro y su uso, consulte https://technet.microsoft.com/en-us/library/jj200221.aspx.

Encontrará más información sobre los conceptos básicos de Active Directory en nuestro AD tutorial for beginners.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Brian Svidergol

TI

Experto en infraestructura de Microsoft y soluciones basadas en la nube alrededor de Windows, Active Directory, Azure, Microsoft Exchange, System Center, virtualización y MDOP. Además de escribir libros, Brian crea contenido de formación, documentos técnicos y es revisor técnico en un gran número de libros y publicaciones.

Aprende más sobre este tema

Crear usuarios de AD en masa y enviar sus credenciales por correo electrónico usando PowerShell

Cómo crear, cambiar y probar contraseñas usando PowerShell

Cómo agregar y eliminar grupos de AD y objetos en grupos con PowerShell

Confianzas en Active Directory

Ataques de ransomware a Active Directory

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad