Você está na página 1de 6

RESOLUCION DNS ;LLMNR;NETBIOS

When a single-label, unqualified name needs to be resolved, a computer running


Windows Vista that is using both IPv6 and IPv4 (the default configuration) will do the
following:
1.

Perform normal DNS resolution by combining the single-label name with the
primary DNS suffix of the computer and sending a DNS Name Query Request message
to its DNS server. Windows Vista performs additional DNS queries as needed based on
name devolution or additional search suffixes that have been configured.

2.

If DNS name resolution is not successful (for example, the DNS server returns an
RCODE=3), send up to two sets of multicast LLMNR Name Query Request messages
over both IPv6 and IPv4.

3.

If LLMNR name resolution is not successful and NetBT is enabled, broadcast up


to three NetBIOS Name Query Request messages."

Tabla de directivas de resolucin de nombres


Joseph Davies
La configuracin del host para las consultas de nombre del Sistema de nombres de dominio
(DNS) normalmente consiste en especificar una o ms direcciones IPv4 o IPv6 de servidores
DNS que atienden las consultas en las interfaces de red. Esta configuracin normalmente se
hace de manera automtica para equipos que ejecutan Windows Vista o Windows Server
2008 mediante el uso del Protocolo de configuracin dinmica de host o DHCP para IPv6
(DHCPv6). En el caso de equipos que ejecutan Windows Vista o Windows Server 2008, todas
las consultas de nombre del DNS para todo el espacio de nombres del DNS van a los
servidores DNS configurados a travs de las interfaces de red, de aqu en adelante conocidas
como servidores DNS configurados por interfaz.
Algunas tecnologas requieren un control especial de las consultas de nombres para porciones
especficas del espacio de nombres del DNS. Si el nombre del DNS coincide con porciones
especficas del espacio de nombres, aplique el control especial. Si el nombre del DNS no
coincide con las porciones especficas del espacio de nombres, realice una consulta de DNS
normal con servidores DNS configurados por interfaz. Para abordar esta necesidad, Windows 7
y Windows Server 2008 R2 incluyen la Tabla de directivas de resolucin de nombres (NRPT).
La NRPT contiene normas configuradas por un administrador para los nombres o los espacios
de nombres y la configuracin para el control especial requerido. Al realizar una resolucin de
nombre de DNS, el servicio cliente DNS compara el nombre solicitado con cada norma en la
NRPT antes de enviar una consulta de nombre de DNS. Las consultas y respuestas que
coinciden con una norma de la NRPT obtienen el control especial aplicado. Las consultas y las
respuestas que no coinciden con una norma de la NRPT se procesan normalmente; es decir, el
servicio cliente DNS enva las mismas consultas a servidores DNS configurados por interfaz.
En Windows 7 y Windows Server 2008 R2, DirectAccess y Extensiones de seguridad de DNS
(DNSSEC) requieren control especial para consultas de nombre del DNS. Cuando estn en
Internet, los clientes DirectAccess envan consultas de DNS para recursos intranet a los
servidores DNS especificados en la NRPT. Al resolver nombres especficos o nombres dentro
de espacios de nombres especficos, normalmente recursos de intranet seguros y de alto
valor, el servicio cliente de DNS puede usar DNSSEC para asegurar que el servidor DNS
comprob el nombre resuelto.
Configuracin de la NRPT
1

Puede configurar la NRPT con directiva de grupo a travs del registro de Windows
(HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DnsClient\DnsPolicyConfig)
o, en el caso de normas basadas en DirectAccess, mediante el asistente de instalacin de
DirectAccess. No hay interfaces de lneas de comandos para configurar la NRPT. Para normas
basadas en DNSSEC, la directiva de grupo es el mtodo de configuracin preferido. Para
normas basadas en DirectAccess, el asistente de instalacin de DirectAccess es el mtodo de
configuracin preferido.
Para configurar la NRPT a travs de la directiva de grupo, use el complemente de directiva de
grupo en Configuration\Policies\Windows Settings\Name Resolution Policy para el objeto
correcto de directiva de grupo. En la figura 1 se muestra un ejemplo.

Figura 1 La NRPT en directiva de grupo


A partir de este complemento de directiva de grupo, puede crear una nueva norma de NRPT y
editar o eliminar normas existentes. Para cada norma, debe especificar la porcin del espacio
de nombres a la cual aplica, ya sea que el control especial para la norma se asocie con una
entidad de certificacin (CA) especfica, ya sea que la norma sea para DNSSEC y su
configuracin asociada y ya sea que la norma sea para DirectAccess y su configuracin
asociada. Tambin existe una configuracin global avanzada que aplica a todos los clientes
basados en Windows 7 y Windows Server 2008 R2.
Al especificar el espacio de nombres al cual aplica la norma, puede seleccionarSufijo, FQDN,
Subred (IPv4), Subred (IPv6), Prefijo o Cualquiera. Para especificar nombres de DNS que
terminen con una cadena de varias partes especfica, seleccione Sufijo y escriba el nombre
del sufijo. Por ejemplo, para todos los nombres de DNS que terminen en contoso.com,
seleccione Sufijo y escribacontoso.com. Para especificar nombres de DNS que comiencen
2

con una cadena de una parte nica especfica, seleccione Prefijo y escriba el nombre del
prefijo. Por ejemplo, para todos los nombres de DNS que comiencen con secsvr, seleccione
Prefijo y escribasecsvr.
Para especificar todos los nombres de DNS, seleccione Cualquiera. Una norma de la NRPT
basada en DirectAccess para Cualquiera se usa nicamente si la configuracin de la
directiva de grupo Computer Configuration\Policies\Administrative
Templates\Network\Network Connections\Route all traffic through the internal
network est habilitada para forzar la tunelizacin de DirectAccess. Si un nombre coincide
con varias normas, se aplica la norma con la precedencia ms alta y la orden de precedencia
es FQDN, prefijo, sufijo y luego cualquiera.
Para especificar nombres de DNS para resolucin inversa para una subred IPv4, seleccione
Subred (IPv4) y escriba el prefijo de subred de IPv4 mediante la notacin de longitud del
prefijo de red. Por ejemplo, para todos los nombres de DNS que terminen con 17.168.192.inaddr.arpa, seleccione Subred (IPv4) y escriba192.168.17.0/24. Para especificar nombres
de DNS para resolucin inversa para una subred IPv6, seleccione Subred (IPv6) y escriba el
prefijo de subred de IPv6. Por ejemplo, para todos los nombres de DNS que terminen con
1.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa, seleccione Subred (IPv6) y
escriba2001:db8:0:1::/64.
Cuando habilita DNSSEC para una norma, puede especificar si el servicio cliente de DNS debe
asegurar que el servidor de DNS compruebe la respuesta de nombre consultada y si desea
usar el protocolo de seguridad de Internet (IPsec) para proteger los intercambios de consulta
de nombres de DNS. Para proteccin de IPsec, puede especificar Sin cifrado (slo
integridad), Bajo: 3DES, AES (128, 192, 256), Medio: AES (128, 192, 256) y Alto: AES
(192, 256). DES corresponde al estndar de cifrado de datos y AES al estndar de cifrado
avanzado.
Cuando habilita DirectAccess para una norma, puede especificar las direcciones IPv6 del
conjunto de servidores DNS de intranet para resolver los nombres para clientes de
DirectAccess cuando estn en Internet; ya sea que desee usar un proxy web; y ya sea que
desee usar IPsec para proteger los intercambios de consulta de nombres de DNS. Puede
especificar el mismo conjunto de opciones para proteccin de IPsec.
Puede ver el conjunto configurado de normas de NRPT en un equipo con Windows 7 o
Windows Server 2008 R2 con el comando netsh namespace show policy. Puede ver el
conjunto activo de normas de NRPT con el comando netsh namespace show
effectivepolicy.
Configuracin avanzada de directivas globales
Cuando hace clic en Configuracin avanzada de directivas globales, el complemento de
directivas de grupo de NRPT muestra el cuadro de dilogo predeterminadoConfiguracin
avanzada de directivas globales. En la figura 2 se muestra un ejemplo.

Figura 2 Cuadro de dilogo de la configuracin avanzada de directivas globales


En Dependencia de ubicacin de red, puede configurar clientes DirectAccess para que
usen el servidor de ubicacin de red y la deteccin en intranet para determinar cundo estn
conectados a la intranet; para que usen siempre normas NRPT basadas en DirectAccess; o
para que no usen nunca normas NRPT basadas en DirectAccess.
En Error de consulta, puede habilitar opciones de error de consulta y luego configurar si
usar una resolucin de nombres local (Resolucin de nombre de multidifusin local de vnculo
[LLMNR] y difusiones de NetBIOS) slo si la respuesta de la consulta de nombre de DNS indica
que el nombre no existe; usar resolucin de nombres local si el nombre no existe o no se
puede tener acceso a los servidores de DNS cuando se ubican en una red con direcciones IPv4
privadas; o usar resolucin de nombres local para cualquier tipo de error de resolucin de
nombres.
En Resolucin de consultas, puede habilitar las opciones de resolucin de consultas y
especificar si resolver los nombres a direcciones IPv6 o resolver nombres las dos direcciones
IPv6 e IPv4.
Puede usar el comando netsh dns show state para mostrar la configuracin actual.
Excepciones de NRPT
Para minimizar la cantidad de normas de NRPT, debe especificar espacios de nombres que
incluyan tanto del espacio de nombres pertinente como sea posible. Sin embargo, tambin
podra tener que especificar que los nombres o espacios de nombres individuales dentro de
esos espacios de nombres se eximen del control especial. Para esos casos, debe configurar
una excepcin de NRPT. Por ejemplo, desea usar DNSSEC para todos los nombres de DNS
dentro del espacio de nombres secure.corp.contoso.com, salvo por el nombre de DNS
waystation.secure.corp.contoso.com.
Una excepcin de NRPT es una norma que no especifica ningn control especial. En el caso de
DNSSEC, la norma habilita DNSSEC pero no requiere validacin ni proteccin IPsec. En el caso
de DirectAccess, la norma habilita DirectAccess pero no especifica un conjunto de servidores
4

DNS de intranet DNS, un proxy web o proteccin IPsec. Los nombres DNS para las normas de
excepcin de NRPT se procesan mediante servidores DNS configurados por interfaz.
Un ejemplo de una excepcin NRPT requerida es la norma FQDN para el servidor de ubicacin
de red DirectAccess, la cual usan los clientes DirectAccess para determinar si estn
conectados a la intranet. Para enviar consultas de nombres de DNS a servidores de intranet,
la NRPT para clientes DirectAccess tiene una norma de sufijos para el espacio de nombres de
la intranet (por ejemplo, corp.contoso.com) con las direcciones IPv6 de servidores de DNS de
intranet. El servidor de ubicacin de red normalmente se encuentra dentro del mismo espacio
de nombres, por ejemplo, nls.corp.contoso.com. Sin embargo, dependiendo de su
infraestructura de IPv6, los servidores DNS de intranet podran no ser accesibles en las
direcciones IPv6 especificadas, pero son accesibles mediante direcciones IPv4 configuradas
por interfaz.
Sin una norma de excepcin, el cliente DirectAccess conectado a intranet intenta resolver el
nombre del servidor de ubicacin de red en IPv6. Como los servidores DNS de intranet no son
accesibles, el cliente DirectAccess no puede obtener acceso al servidor de ubicacin de red y
determina que est en Internet en lugar de en la intranet. En este estado, el cliente
DirectAccess no puede obtener acceso a los recursos de intranet por nombre. Por tanto, debe
existir una norma de excepcin para el servidor de ubicacin de red (nls.corp.contoso.com)
para que la deteccin de intranet pueda concluir correctamente. El asistente de instalacin de
DirectAccess crea automticamente normas de NRPT para el espacio de nombres de la
intranet y la excepcin para el servidor de ubicacin de red.
Cmo funciona la NRPT
As es cmo funciona el proceso de resolucin de nombres para Windows 7 y Windows Server
2008 R2:
Una aplicacin usa la API DnsQuery() o las API GetAddrInfo() o GetHostByName() Windows
Sockets para resolver un nombre. Si el nombre no tiene formato, el servicio cliente DNS crea
un FQDN mediante sufijos de DNS configurados.
El servicio cliente DNS comprueba si la cach de resolucin de DNS tiene el FQDN, el cual
contiene las entradas del archivo Hosts y los resultados de consultas de nombres recientes
positivas y negativas. Si se encuentra una entrada, se usa el resultado y no tiene lugar mayor
procesamiento.
El servicio cliente DBS pasa el FQDN por la NRPT para determinar las normas en las cuales el
FQDN coincide con el espacio de nombres de la norma.
Si el FQDN no coincide con ninguna norma, o coincide con una norma nica que es una norma
de excepcin, el servicio cliente DNS intenta resolver el FQDN mediante servidores DNS
configurados por interfaz.
Si el FQDN coincide con una norma nica que no es una norma de excepcin, el servicio
cliente DNS aplica el control especial especificado.
Si el FQDN coincide con varias normas, los servicios cliente DNS ordenan las normas
coincidentes por precedencia, en orden: FQDN, prefijo coincidente ms largo, sufijo
coincidente ms largo [incluidas subredes IPv4 y IPv6], cualquiera (para determinar la norma
que coincide ms estrechamente con el FQDN).
Despus de determinar la norma coincidente ms cercana, el servicio cliente DNS aplica el
control especial especificado.
Resumen

La NRPT en Windows 7 y Windows Server 2008 R2 le permite especificar el control especial


para las consultas de nombre de DNS requeridas para DNSSEC y DirectAccess en la forma de
normas, con la capacidad de especificar espacios de nombres, prefijos, FQDN y excepciones.
Barra lateral: Ejemplo de normas de NRPT para DirectAccess
Contoso Corporation usa el espacio de nombres de DNS contoso.com para nombres de DNS
de Internet y corp.contoso.com para nombres de DNS de intranet. El localizador uniforme de
recursos (URL) del servidor de ubicacin de red es https://nls.corp.contoso.com y el servidor
de DirectAccess se ha configurado con la direccin IPv4 del servidor DNS de 10.0.0.1 en su
interfaz de intranet. Basado en esta configuracin, el asistente de instalacin de DirectAccess
crea dos normas de BRPT habilitadas para DirectAccess:
Una norma de sufijo para que .corp.contoso.com enve consultas de DNS a la
direccin IPv6 2002:836b:2:1:0:5efe:10.0.0.1. sta es una direccin IPv6 derivada de
la direccin IPv4 pblica del servidor de DirectAccess y la direccin IPv4 del servidor
DNS.
Una norma de excepcin para nls.corp.contoso.com.
ste es un ejemplo de cmo aparecen estas normas en un cliente DirectAccess con el
comando netsh namespace show policy:

DNS Name Resolution Policy Table SettingsSettings for


nls.corp.contoso.com----------------------------------------------------------------------Certification
authority
: DC=com, DC=contoso, DC=corp,
CN=corp-DC1-CADNSSEC (Validation)
:
disabledDNSSEC (IPsec)
: disabledDirectAccess (DNS Servers)
:DirectAccess (IPsec)
: disabledDirectAccess (Proxy Settings)
: Bypass
proxySettings for .corp.contoso.com---------------------------------------------------------------------Certification authority
: DC=com, DC=contoso, DC=corp,
CN=corp-DC1-CADNSSEC (Validation)
:
disabledDNSSEC (IPsec)
: disabledDirectAccess (DNS Servers)
:
2002:836b:2:1:0:5efe:10.0.0.1DirectAccess (IPsec)
: disabledDirectAccess (Proxy
Settings)
: Bypass proxy
Joseph Davies es un autor tcnico principal del equipo de redaccin de redes de Windows de
Microsoft. Es autor o coautor de varios libros publicados por Microsoft Press durante el ao
2008, incluidos Windows Server 2008 Networking y Network Access Protection (NAP),
Understanding IPv6, Second Edition y Windows Server 2008 TCP/IP Protocols and Services.