dns crea zonas de busqueda inversa de forma predeterminada

Guía para configurar DNS y crear zonas de búsqueda inversa de forma predeterminada

¿Eres consciente de que el DNS tiene la habilidad de generar zonas de búsqueda inversa de forma automática? Se trata de una funcionalidad poco conocida pero muy valiosa para aquellos que se dedican a la administración de sistemas y la gestión de redes. En esta publicación, te brindamos toda la información que necesitas sobre esta característica, incluyendo su funcionamiento y las ventajas que ofrece. ¡No te lo pierdas!

Crear zona inversa

En este momento, vamos a proceder a crear una zona inversa, siguiendo los mismos pasos que realizamos para crear la zona directa.

Es importante verificar que la zona se ha generado de manera correcta, y que, como resultado, se han añadido los registros por defecto. (En la sección final, detallaremos la función de cada uno de estos registros)

A continuación, procedemos a crear un nuevo registro PTR, que se obtiene haciendo clic derecho y seleccionando la opción "New Pointer (PTR)". En la ventana que se abrirá, debemos ingresar la misma IP que usamos anteriormente para el registro A. Esto nos permitirá resolver las direcciones tanto de manera directa como inversa. Por último, hacemos clic en "OK" para finalizar.

Delegación de zona

División de espacio de nombres en el Sistema de nombres de dominio (DNS)

El Sistema de nombres de dominio (DNS) permite dividir su espacio de nombres en una o más zonas. Esto le permite delegar la administración de parte del espacio de nombres a otra ubicación o departamento de la organización mediante la delegación de la administración de la zona correspondiente.


Por ejemplo, puede delegar la zona australia.contoso.com de la zona contoso.com.


Registros de delegación para cada zona delegada

Recuerde que al delegar una zona, necesitará crear registros de delegación en otras zonas que apunten a los servidores DNS autoritativos de la nueva zona. Estos registros son esenciales para transferir autoridad y proporcionar referencias correctas a los servidores y clientes DNS de los nuevos servidores que se están convirtiendo en autoritativos para la nueva zona.

Solicitar asistencia a AWS para establecer una resolución inversa de DNS

Límite de mensajes salientes a través del puerto 25 en Lightsail

Por razones de seguridad, Lightsail tiene una limitación por defecto en los mensajes salientes a través del puerto 25. Si desea desbloquear esta restricción, puede solicitar a AWS Support que elimine la cuota de su cuenta y configure un DNS inverso para su dirección IP estática.

Procedimiento para solicitar la eliminación de la cuota y configurar DNS inverso

La solicitud debe ser realizada por el usuario raíz de su cuenta de AWS. Si necesita más información sobre el usuario raíz de la cuenta de AWS, puede consultar la sección "El usuario raíz de la cuenta de AWS".

Formulario para recursos de Amazon Elastic Compute y Lightsail

El formulario de solicitud hace referencia a recursos de Amazon Elastic Compute (EC2), como por ejemplo IP elásticas (EIP) e instancias EC2. Aunque está diseñado para estos recursos, también puede utilizarlo para solicitar cambios en sus recursos de Lightsail, como por ejemplo, la configuración de IP estáticas e instancias de Lightsail.

Resumen

Crear zonas de búsqueda inversa con subredes delegadas - ¡una tarea que requiere de atención! Antes de intentar esta tarea, es esencial comprender el funcionamiento de las zonas DNS. En este documento, encontrarás numerosas notas que son importantes tener en cuenta. Es recomendable realizar esta configuración en un entorno de prueba primero, antes de implementarla en una red activa, ya que pueden ocurrir errores fácilmente durante la configuración.

El rápido crecimiento de la comunidad de Internet ha generado la necesidad de subdividir redes IP completas en partes más pequeñas, lo que conlleva la implementación de subredes. En un entorno con subredes, los servidores DNS pueden delegar autoridad sobre las zonas de búsqueda directa, ya que son independientes de la infraestructura subyacente subredada. Sin embargo, la delegación de zonas de búsqueda inversa requiere consideraciones especiales debido a su estructura inversa y su dependencia estricta de la estructura de subred específica. Para ayudar en este proceso, el Grupo de Trabajo de Ingeniería de Internet (IETF) ha creado el RFC 2317, "IN-ADDR sin clase. Delegación ARPA", que aborda esta cuestión en detalle.

¡Delegar zonas de búsqueda inversa en subred! Esta habilidad complementa la posibilidad de delegar zonas de búsqueda directa. Al delegar el control de un subdominio secundario y una subred correspondiente de direcciones a otro administrador, como administrador de un dominio primario, se otorga una flexibilidad en la propiedad de la zona. Por otro lado, como administrador de un dominio secundario, se adquiere el poder necesario para realizar cambios en los registros de host DNS (A) o registros de dirección IP (PTR) sin necesidad de solicitar alteraciones a través del dominio primario.

Tipos de zona DNS

Un servidor DNS es el origen principal para obtener información sobre una zona que hospeda. Puede almacenar los datos de la zona en un archivo local o en AD DS.

Al usar una zona principal, tiene la posibilidad de crear, editar o eliminar registros de recursos. Por otro lado, las zonas secundarias son copias de solo lectura de las zonas principales.

Existen dos opciones para almacenar una zona principal: en un archivo local o en AD DS. Al almacenar los datos en AD DS, se habilitan otras características tales como actualizaciones dinámicas seguras y la posibilidad de que cualquier controlador de dominio que hospeda la zona funcione como principal y pueda procesar actualizaciones en ella.

Cuando se almacena una zona en un archivo, la zona principal se designa con el nombre zone_name.dns y se ubica en la carpeta %windir%System32Dns del servidor por defecto.

Al implementar Active Directory, se crea automáticamente una zona DNS relacionada con el nombre de dominio de la organización de AD DS. Por defecto, esta zona DNS se replica en todos los controladores de dominio configurados como servidores DNS en ese dominio. También se puede configurar zonas DNS integradas de Active Directory para que se repliquen en todos los controladores de dominio de un bosque de AD DS o controladores de dominio específicos registrados en una partición de dominio particular de AD DS.

Optimización de la sincronización de zona

El control de las transferencias de zona es esencial para garantizar una sólida seguridad en la infraestructura DNS. Solo se deberían permitir estas transferencias desde los servidores DNS responsables de los registros de recursos de los nombre de servidor (NS) de una zona en particular, o desde servidores DNS específicos.

Permitir que cualquier servidor DNS realice una transferencia de zona supone un riesgo, ya que podría permitir que información sensible de la red interna llegue a cualquier host que tenga acceso al servidor DNS.

Crear zona directa

Creación de zonas DNS en entorno gráfico

Para comenzar, abriremos la consola de DNS Manager y seleccionaremos nuestro servidor, denominado en este caso "LON-DC1".

Realizamos clic derecho y elegimos "New zone". Se desplegará el asistente de Windows y tendremos que optar por crear una zona directa o inversa.

Zonas directas y zonas inversas

Las zonas directas se encargan de resolver nombres en direcciones IP, mientras que las zonas inversas resuelven una IP en su nombre correspondiente.

En este caso, seleccionamos "Forward lookup zone" ya que vamos a crear una zona directa. A continuación, introducimos el nombre que deseamos asignar a nuestra zona.

En este artículo

Una zona DNS es una porción del dominio de un servidor DNS que alberga registros de recursos y responde a consultas relacionadas con dichos registros. Por ejemplo, el servidor DNS autoritativo para resolver www.contoso.com en una dirección IP tendría la zona contoso.com. El contenido de esta zona puede ser almacenado en un archivo o en los Servicios de dominio de Active Directory (AD DS). En el caso del almacenamiento en un archivo, se trata de zonas conocidas como zonas no integradas en Active Directory. Por otro lado, las zonas integradas en Active Directory sólo están disponibles en los controladores de dominio con el rol del servidor DNS instalado.

Artículos relacionados