Nuevas características de DNS para Windows Server 2008 R2

Dado que el DNS con frecuencia está expuesto a ataques de tipo "man-in-the-middle", suplantación de identidad y envenenamiento de caché, de los que es difícil defenderse, el servidor y el cliente DNS de Windows Server® 2008 R2 proporcionan compatibilidad con Extensiones de seguridad de DNS (DNSSEC). En resumen, DNSSEC permite que una zona DNS y todos los registros de dicha zona se firmen mediante cifrado. Si un servidor DNS que hospeda una zona firmada recibe una consulta, devuelve las firmas digitales además de los registros de la consulta. Una resolución u otro servidor pueden obtener la clave pública del par de claves pública/privada y comprobar que las respuestas sean auténticas y que no hayan sido alteradas. Para ello, la resolución o el servidor deben estar configurados con un anclaje de veracidad para la zona firmada o para un elemento primario de la zona firmada.

Las extensiones DNSSEC principales se especifican en los documentos RFC 4033, 4034 y 4035, y proporcionan autoridad de origen, integridad de datos y denegación de existencia autenticada de datos DNS. Además de varios conceptos y operaciones nuevos para el servidor y el cliente DNS, DNSSEC incluye cuatro nuevos registros de recursos (DNSKEY, RRSIG, NSEC y DS) en DNS.

Windows Server 2008 R2 incluye los siguientes cambios:

• Capacidad para firmar una zona y hospedar zonas firmadas.
  
  
• Compatibilidad con los cambios en el protocolo DNSSEC.
  
  
• Compatibilidad con los registros de recursos DNSKEY, RRSIG, NSEC y DS.
  
  

Windows Server 2008 R2 incluye los siguientes cambios en el cliente DNS:

• Capacidad para proporcionar información acerca de DNSSEC en las consultas.
  
  
• Capacidad para procesar los registros de recursos DNSKEY, RRSIG, NSEC y DS.
  
  
• Capacidad para comprobar si el servidor DNS con el que se estableció la comunicación ha realizado la validación en nombre del cliente.
  
  

El comportamiento del cliente DNS con respecto a DNSSEC se controla mediante la tabla de directivas de resolución de nombres (NRPT), que almacena configuraciones que definen el comportamiento del cliente DNS. NRPT se suele administrar mediante la directiva de grupo.

• Novedades de DNS (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkId=139322)