Descripción de la integración de los Servicios de dominio de Active Directory

Al instalar AD DS en un servidor, se promociona el servidor al rol de un controlador de dominio para un dominio concreto. Como parte de este proceso, se le solicita que especifique un nombre de dominio DNS para el dominio de AD DS al que se está uniendo y para el que está promocionando el servidor, y se le ofrece la opción de instalar el rol de servidor DNS. Esta opción se proporciona porque se necesita un servidor DNS para buscar este servidor u otros controladores de dominio para los miembros de un dominio de AD DS.

En el caso de redes que implementan DNS para admitir AD DS, se recomienda usar las zonas principales integradas en directorio. Ofrecen las siguientes ventajas:

• DNS incluye la replicación de datos con varios maestros y una seguridad mejorada basada en las capacidades de AD DS.
  
  En un modelo de almacenamiento de zona estándar, las actualizaciones de DNS se realizan según un modelo de actualización de un solo maestro. En este modelo, un único servidor DNS autoritativo de una zona se designa como origen principal para la zona. Este servidor mantiene la copia maestra de la zona en un archivo local. Con este modelo, el servidor principal de la zona representa un único punto fijo de posibles errores. Si este servidor no está disponible, las solicitudes de actualización de los clientes DNS no se procesan para la zona.
  
  En el caso del almacenamiento integrado en Active Directory, las actualizaciones dinámicas de DNS se envían a cualquier servidor DNS integrado en AD DS y se replican en el resto de los servidores DNS integrados en AD DS mediante la replicación de AD DS. En este modelo, cualquier servidor DNS integrado en AD DS puede aceptar actualizaciones dinámicas para la zona. La copia maestra de la zona se mantiene en la base de datos de AD DS, la cual se replica en su totalidad en todos los controladores de dominio, por lo que los servidores DNS que operan en cualquier controlador de dominio para el domino pueden actualizar la zona. Con el modelo de actualización con varios maestros de AD DS, cualquiera de los servidores principales de la zona integrada en Active Directory puede procesar las solicitudes de los clientes DNS para actualizar la zona siempre y cuando haya disponible un controlador de dominio y esté accesible en la red.
  
  Asimismo, cuando usa zonas integradas en Active Directory, puede usar la edición de las listas de control de acceso (ACL) para proteger un contendor de objetos dnsZone en el árbol de directorios. Esta característica proporciona un acceso detallado a la zona o a un registro especificado de la zona. Por ejemplo, una ACL del registro de recursos de una zona puede restringirse para que las actualizaciones dinámicas únicamente se permitan para un equipo cliente o un grupo seguro especificado como, por ejemplo, un grupo de administradores de dominio. Esta característica de seguridad no está disponible con las zonas principales estándar.
  
  
• Las zonas se replican y se sincronizan con los nuevos controladores de dominio automáticamente siempre que se agregue una nueva zona a un dominio de AD DS.
  
  Aunque el servicio Servidor DNS puede quitarse de manera selectiva de un controlador de dominio, las zonas integradas en Active Directory ya están almacenadas en cada controlador de dominio. Por tanto, el almacenamiento y la administración de la zona no es un recurso adicional. Asimismo, los métodos usados para sincronizar la información almacenada en el directorio ofrecen un aumento del rendimiento frente a los métodos de actualización de zonas estándar, que posiblemente pueden exigir la transferencia de toda la zona.
  
  
• La integración del almacenamiento de las bases de datos de la zona DNS en AD DS le permite simplificar el planeamiento de la replicación de las bases de datos en la red.
  
  Cuando el espacio de nombres DNS y los dominios de AD DS se almacenan y replican por separado, debe planear y posiblemente administrar cada uno de estos elementos por separado. Por ejemplo, cuando usa el almacenamiento de zona DNS estándar y AD DS conjuntamente, tiene que diseñar, implementar, probar y mantener dos topologías de replicación de bases de datos diferentes.
  
  Por ejemplo, se necesita una topología de replicación para replicar datos de directorio entre controladores de dominio y otra topología para replicar bases de datos de zona entre servidores DNS. Esto puede da lugar a una complejidad administrativa adicional a la hora de planear y diseñar la red y permitir su crecimiento en el futuro. La integración del almacenamiento DNS le permite unificar problemas de replicación y administración de almacenamiento para DNS y AD DS, así como la combinación y visualización de ambos conjuntamente como una única entidad administrativa.
  
  
• La replicación integrada en Active Directory es más rápida y eficaz que la replicación de DNS estándar.
  
  El procesamiento de la replicación de AD DS se realiza según las propiedades y únicamente se propagan los cambios relevantes. En el caso de las actualizaciones de zonas almacenadas en directorios se usan y envían menos datos.
  
  

En el directorio únicamente pueden almacenarse las zonas principales. Un servidor DNS no puede almacenar zonas secundarias en el directorio. Deben almacenarse en archivos de texto estándar. El modelo de replicación con varios maestros de AD DS elimina la necesidad de disponer de zonas secundarias cuando todas las zonas están almacenadas en AD DS.

Para obtener más información acerca de la configuración de DNS para la integración de AD DS, vea Configuración de un servidor DNS para su uso con Servicios de dominio de Active Directory y Lista de comprobación: adición de un controlador de dominio con el servicio Servidor DNS.