Documente Academic
Documente Profesional
Documente Cultură
Perform normal DNS resolution by combining the single-label name with the
primary DNS suffix of the computer and sending a DNS Name Query Request message
to its DNS server. Windows Vista performs additional DNS queries as needed based on
name devolution or additional search suffixes that have been configured.
2.
If DNS name resolution is not successful (for example, the DNS server returns an
RCODE=3), send up to two sets of multicast LLMNR Name Query Request messages
over both IPv6 and IPv4.
3.
Puede configurar la NRPT con directiva de grupo a travs del registro de Windows
(HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DnsClient\DnsPolicyConfig)
o, en el caso de normas basadas en DirectAccess, mediante el asistente de instalacin de
DirectAccess. No hay interfaces de lneas de comandos para configurar la NRPT. Para normas
basadas en DNSSEC, la directiva de grupo es el mtodo de configuracin preferido. Para
normas basadas en DirectAccess, el asistente de instalacin de DirectAccess es el mtodo de
configuracin preferido.
Para configurar la NRPT a travs de la directiva de grupo, use el complemente de directiva de
grupo en Configuration\Policies\Windows Settings\Name Resolution Policy para el objeto
correcto de directiva de grupo. En la figura 1 se muestra un ejemplo.
con una cadena de una parte nica especfica, seleccione Prefijo y escriba el nombre del
prefijo. Por ejemplo, para todos los nombres de DNS que comiencen con secsvr, seleccione
Prefijo y escribasecsvr.
Para especificar todos los nombres de DNS, seleccione Cualquiera. Una norma de la NRPT
basada en DirectAccess para Cualquiera se usa nicamente si la configuracin de la
directiva de grupo Computer Configuration\Policies\Administrative
Templates\Network\Network Connections\Route all traffic through the internal
network est habilitada para forzar la tunelizacin de DirectAccess. Si un nombre coincide
con varias normas, se aplica la norma con la precedencia ms alta y la orden de precedencia
es FQDN, prefijo, sufijo y luego cualquiera.
Para especificar nombres de DNS para resolucin inversa para una subred IPv4, seleccione
Subred (IPv4) y escriba el prefijo de subred de IPv4 mediante la notacin de longitud del
prefijo de red. Por ejemplo, para todos los nombres de DNS que terminen con 17.168.192.inaddr.arpa, seleccione Subred (IPv4) y escriba192.168.17.0/24. Para especificar nombres
de DNS para resolucin inversa para una subred IPv6, seleccione Subred (IPv6) y escriba el
prefijo de subred de IPv6. Por ejemplo, para todos los nombres de DNS que terminen con
1.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa, seleccione Subred (IPv6) y
escriba2001:db8:0:1::/64.
Cuando habilita DNSSEC para una norma, puede especificar si el servicio cliente de DNS debe
asegurar que el servidor de DNS compruebe la respuesta de nombre consultada y si desea
usar el protocolo de seguridad de Internet (IPsec) para proteger los intercambios de consulta
de nombres de DNS. Para proteccin de IPsec, puede especificar Sin cifrado (slo
integridad), Bajo: 3DES, AES (128, 192, 256), Medio: AES (128, 192, 256) y Alto: AES
(192, 256). DES corresponde al estndar de cifrado de datos y AES al estndar de cifrado
avanzado.
Cuando habilita DirectAccess para una norma, puede especificar las direcciones IPv6 del
conjunto de servidores DNS de intranet para resolver los nombres para clientes de
DirectAccess cuando estn en Internet; ya sea que desee usar un proxy web; y ya sea que
desee usar IPsec para proteger los intercambios de consulta de nombres de DNS. Puede
especificar el mismo conjunto de opciones para proteccin de IPsec.
Puede ver el conjunto configurado de normas de NRPT en un equipo con Windows 7 o
Windows Server 2008 R2 con el comando netsh namespace show policy. Puede ver el
conjunto activo de normas de NRPT con el comando netsh namespace show
effectivepolicy.
Configuracin avanzada de directivas globales
Cuando hace clic en Configuracin avanzada de directivas globales, el complemento de
directivas de grupo de NRPT muestra el cuadro de dilogo predeterminadoConfiguracin
avanzada de directivas globales. En la figura 2 se muestra un ejemplo.
DNS de intranet DNS, un proxy web o proteccin IPsec. Los nombres DNS para las normas de
excepcin de NRPT se procesan mediante servidores DNS configurados por interfaz.
Un ejemplo de una excepcin NRPT requerida es la norma FQDN para el servidor de ubicacin
de red DirectAccess, la cual usan los clientes DirectAccess para determinar si estn
conectados a la intranet. Para enviar consultas de nombres de DNS a servidores de intranet,
la NRPT para clientes DirectAccess tiene una norma de sufijos para el espacio de nombres de
la intranet (por ejemplo, corp.contoso.com) con las direcciones IPv6 de servidores de DNS de
intranet. El servidor de ubicacin de red normalmente se encuentra dentro del mismo espacio
de nombres, por ejemplo, nls.corp.contoso.com. Sin embargo, dependiendo de su
infraestructura de IPv6, los servidores DNS de intranet podran no ser accesibles en las
direcciones IPv6 especificadas, pero son accesibles mediante direcciones IPv4 configuradas
por interfaz.
Sin una norma de excepcin, el cliente DirectAccess conectado a intranet intenta resolver el
nombre del servidor de ubicacin de red en IPv6. Como los servidores DNS de intranet no son
accesibles, el cliente DirectAccess no puede obtener acceso al servidor de ubicacin de red y
determina que est en Internet en lugar de en la intranet. En este estado, el cliente
DirectAccess no puede obtener acceso a los recursos de intranet por nombre. Por tanto, debe
existir una norma de excepcin para el servidor de ubicacin de red (nls.corp.contoso.com)
para que la deteccin de intranet pueda concluir correctamente. El asistente de instalacin de
DirectAccess crea automticamente normas de NRPT para el espacio de nombres de la
intranet y la excepcin para el servidor de ubicacin de red.
Cmo funciona la NRPT
As es cmo funciona el proceso de resolucin de nombres para Windows 7 y Windows Server
2008 R2:
Una aplicacin usa la API DnsQuery() o las API GetAddrInfo() o GetHostByName() Windows
Sockets para resolver un nombre. Si el nombre no tiene formato, el servicio cliente DNS crea
un FQDN mediante sufijos de DNS configurados.
El servicio cliente DNS comprueba si la cach de resolucin de DNS tiene el FQDN, el cual
contiene las entradas del archivo Hosts y los resultados de consultas de nombres recientes
positivas y negativas. Si se encuentra una entrada, se usa el resultado y no tiene lugar mayor
procesamiento.
El servicio cliente DBS pasa el FQDN por la NRPT para determinar las normas en las cuales el
FQDN coincide con el espacio de nombres de la norma.
Si el FQDN no coincide con ninguna norma, o coincide con una norma nica que es una norma
de excepcin, el servicio cliente DNS intenta resolver el FQDN mediante servidores DNS
configurados por interfaz.
Si el FQDN coincide con una norma nica que no es una norma de excepcin, el servicio
cliente DNS aplica el control especial especificado.
Si el FQDN coincide con varias normas, los servicios cliente DNS ordenan las normas
coincidentes por precedencia, en orden: FQDN, prefijo coincidente ms largo, sufijo
coincidente ms largo [incluidas subredes IPv4 y IPv6], cualquiera (para determinar la norma
que coincide ms estrechamente con el FQDN).
Despus de determinar la norma coincidente ms cercana, el servicio cliente DNS aplica el
control especial especificado.
Resumen