Búsqueda inversa

En la mayoría de búsquedas del Sistema de nombres de dominio (DNS), los clientes suelen realizar una búsqueda directa, que es una búsqueda basada en el nombre DNS de otro equipo al estar almacenado en un registro de recursos de host (A). Este tipo de consulta espera una dirección IP como los datos de recursos para la respuesta ofrecida.
DNS también proporciona un proceso de búsqueda inversa, en el que los clientes usan una dirección IP conocida y buscan un nombre de equipo basado en su dirección.

La búsqueda inversa adopta la forma de una pregunta, como “¿Puede indicar el nombre DNS del equipo que usa la dirección IP 192.168.1.20?”

DNS no se diseñó en un principio para admitir este tipo de consultas. Un problema para admitir el proceso de consultas inversas es la diferencia con la que el espacio de nombres DNS organiza e indiza los nombres y la forma de asignar las direcciones IP. Si el único método para responder la consulta anterior es buscar en todos los dominios del espacio de nombres DNS, una consulta inversa tardaría demasiado y requeriría demasiados procesos para resultar útil.

Para resolver este problema, se ha definido un dominio especial en los estándares DNS, el dominio in-addr.arpa, y se ha reservado en el espacio de nombres DNS de Internet para proporcionar una forma práctica y confiable de llevar a cabo consultas inversas. Para crear el espacio de nombres inverso, se forman subdominios dentro del dominio in-addr.arpa, con la clasificación inversa de los números en la notación decimal con punto de direcciones IP.

Esta clasificación inversa de los dominios para cada valor de octeto es necesaria ya que, a diferencia de los nombres DNS, cuando las direcciones IP se leen de izquierda a derecha, se interpretan de forma opuesta. Cuando se lee una dirección IP de izquierda a derecha, se visualiza desde su información más generalizada (una dirección de red IP) en la primera parte de la dirección hasta la información más específica (una dirección de host IP) que está contenida en los últimos octetos.

Por este motivo, el orden de los octetos de la dirección IP debe invertirse cuando se genera el árbol de dominios in-addr.arpa. Las direcciones IP del árbol in-addr.arpa de DNS se pueden delegar en organizaciones ya que se les asigna un conjunto específico o limitado de direcciones IP dentro de las clases de direcciones definidas por Internet.
Por último, el árbol de dominios in-addr.arpa, al estar integrado en DNS, requiere que se defina un tipo de registro de recursos adicional: el registro de recursos de puntero (PTR).

Este registro de recursos crea una asignación en la zona de búsqueda inversa que suele corresponder a un registro de recursos de host (A) con nombre asignado para el nombre del equipo DNS de un host en su zona de búsqueda directa.
El dominio in-addr.arpa se aplica a todas las redes TCP/IP que están basadas en el direccionamiento del protocolo de Internet versión 4 (IPv4). El Asistente para nueva zona da por supuesto que se usa este dominio al crear una zona de búsqueda inversa nueva.
Si va a instalar DNS y a configurar zonas de búsqueda inversa para una red de protocolo de Internet versión 6 (IPv6), puede especificar un nombre exacto en el Asistente para nueva zona. De esta forma, puede crear zonas de búsqueda inversa en el Administrador de DNS que pueden admitir redes IPv6, que usan un nombre de dominio diferente, el dominio ip6.arpa.

Existe información adicional sobre IPv6 y DNS, entre la que se incluyen ejemplos de cómo crear y usar los nombres de dominio ip6.arpa, en la solicitud de comentarios (RFC) 3596, que trata sobre extensiones DNS que admiten IP versión 6. Para obtener más información, consulte directamente esta RFC, que encontrará en el sitio web de RFC Editor (http://go.microsoft.com/fwlink/?LinkId=240) (puede estar en inglés).

  • El proceso de consulta inversa sigue estos pasos:
    El cliente consulta al servidor DNS un registro de recursos de puntero (PTR) que se asigna a la dirección IP de 192.168.1.20 para host-a.
  • Como la consulta es para registros de recursos de puntero (PTR), la resolución invierte la dirección y anexa el dominio in-addr.arpa al final de la dirección invertida. Así se obtiene el nombre de dominio completo (FQDN) (20.1.168.192.in-addr.arpa.) que se puede buscar en la zona de búsqueda inversa.
  • Una vez localizado, el servidor DNS autoritativo de 20.1.168.192.in-addr.arpa puede responder con la información del registro de recursos de puntero (PTR). Esto incluye el nombre de dominio DNS de host-a, que completa el proceso de búsqueda inversa.

Recuerde que, si el nombre inverso consultado no obtiene una respuesta del servidor DNS, se puede usar la resolución de DNS normal (recursión o iteración) para buscar un servidor DNS que sea autoritativo para la zona de búsqueda inversa y que contenga el nombre consultado. En este sentido, el proceso de resolución de nombres que se usa en una búsqueda inversa es idéntico al de la búsqueda directa.

El uso de consultas inversas es una práctica obsoleta, propuesta originariamente como parte del estándar DNS para buscar un nombre de host basándose en su dirección IP. Se usa la operación de consulta DNS no estándar y su uso está limitado a algunas de las primeras versiones de Nslookup, una utilidad de línea de comandos para solucionar problemas y comprobar el servicio Servidor DNS.

La configuración de los registros de recursos de puntero (PTR) y las zonas de búsqueda inversa para identificar hosts mediante consultas inversas es estrictamente una parte opcional de la implementación estándar de DNS. No es obligatorio usar zonas de búsqueda inversa, aunque en algunas aplicaciones de red, se usan para realizar comprobaciones de seguridad.

Si bien agregar una zona de búsqueda inversa al Sistema de nombres de dominio (DNS) es similar en muchos aspectos a crear una zona de búsqueda directa, hay algunas diferencias importantes, sobre todo en lo que respecta a las convenciones de nomenclatura.
Una diferencia importante reside en que una zona de búsqueda inversa es siempre un subdominio del dominio in-addr.arpa (que admite búsquedas inversas para las direcciones IP versión 4 [IPv4]) o del dominio ip6.arpa (que admite búsquedas inversas para las direcciones IP versión 6 [IPv6]).
Otra diferencia importante es que el nombre de subdominio se construye a partir de la dirección de la subred que contiene el intervalo de direcciones del cual es responsable la zona de búsqueda inversa. Cuando se crea la zona de búsqueda inversa, esta dirección se especifica en un formato particular de modo que el servidor DNS pueda reconocerla como relativa a la dirección en una consulta de búsqueda inversa.
Cuando se crea una zona de búsqueda inversa IPv4 mediante el complemento Administrador DNS, el Asistente para nueva zona solicita un identificador de red, esto es, la parte del intervalo de direcciones IP del cual es responsable la zona de búsqueda inversa. Por ejemplo, si la zona de búsqueda inversa abarca todas las direcciones que comienzan con 10 (es decir, de 10.0.0.0 a 10.255.255.255), debe escribir 10. Para abarcar solo aquellas direcciones de la subred que tienen una dirección en el intervalo comprendido entre 192.168.0.0 y 192.168.0.255, debe escribir 192.168.0. El asistente creará a continuación el nombre de zona de búsqueda inversa invirtiendo el orden de los bloques de dígitos y anexando el resultado al nombre de dominio “raíz”. Por ejemplo, si especifica 192.168.0 en el asistente, el nombre resultante de la zona de búsqueda inversa será 0.168.192.in-addr.arpa.

Cuando se crea una zona de búsqueda inversa IPv6 mediante el complemento Administrador DNS, el Asistente para nueva zona solicita el prefijo de dirección IPv6 de la subred que contiene el intervalo de direcciones del cual es responsable la zona de búsqueda inversa. Esta dirección se escribe usando la convención IPv6 normal, que incluye el indicador de longitud. Por ejemplo, para especificar un prefijo de dirección de 64 bits para el intervalo de direcciones que comienza con FE80, debe escribir FE80::/64. El nombre de la zona resultante se crea invirtiendo los dígitos hexadecimales en el prefijo de dirección expandido, separándolos con puntos (creando así un nombre de subdominio lógico de cada dígito) y anexando el resultado al nombre de dominio “raíz”. Por ejemplo, si se especifica FE80::/32 en el asistente, el nombre de zona de búsqueda inversa IPV6 resultante será 0.0.0.0.0.8.e.f.ip6.arpa.
Además, puede crear una zona de búsqueda inversa con la herramienta de línea de comandos Dnscmd. En este caso, debe proporcionar el nombre de la zona de búsqueda inversa en sí.

Para agregar una zona de búsqueda inversa mediante una línea de comandos en Windows Server: Abra una ventana del símbolo del sistema. Para abrir la ventana elevada del símbolo del sistema, haga clic en Inicio, seleccione Todos los programas, Accesorios, haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.
Escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:

dnscmd /ZoneAdd {/Primary|/DsPrimary} [/file ] [/load] [/a <correoElectrónicoDeAdmin>] [/DP ]

donde:

Parámetro Descripción
dnscmd
Herramienta de línea de comandos para administrar servidores DNS.

Obligatorio. Especifica el nombre de host DNS del servidor DNS. Además, puede escribir la dirección IP del servidor DNS. Para especificar el servidor DNS en el equipo local, también puede escribir un punto (.)
/ZoneAdd
Obligatorio. Agrega una zona.

Obligatorio. Especifica el nombre de dominio completo (FQDN) de los dominios in-addr.arpa o ip6.arpa para la zona.
/Primary|/DsPrimary
Obligatorio. Especifica el tipo de zona. Para especificar una zona integrada en Active Directory, escriba /DsPrimary.
/file
Obligatorio para /Primary. Especifica un archivo para la nueva zona. Este parámetro no es válido para el tipo de zona /DsPrimary.

Obligatorio para /Primary. Especifica el nombre del archivo de la zona. Este parámetro no es válido para el tipo de zona /DsPrimary.
/load
Carga un archivo existente para la zona. Si este parámetro no se especifica, se crean registros de zona predeterminados de forma automática. Este parámetro no se aplica a /DsPrimary.
/a
Agrega una dirección de correo electrónico de administrador para la zona.
<correoElectrónicoDeAdmin>
Especifica el nombre de correo electrónico de administrador para la zona.
/DP
Agrega la zona a una partición de directorio de aplicación. Además, se pueden usar los siguientes parámetros:
/DP /domain: para una partición de directorio de dominio (se replica en todos los servidores DNS del dominio).

/DP /forest: para una partición de directorio de bosque (se replica en todos los servidores DNS del bosque).

/DP /legacy: para una partición de directorio heredada (se replica en todos los controladores de dominio del dominio). Esta configuración admite dominios que tengan controladores de dominio heredados de Windows 2000 Server.
Especifica el FQDN de la partición de directorio.

— Fin de nota.

Anuncios