Microsoft Active Directory es un estándar de facto (aceptado por norma general) en organizaciones de todos los niveles y tamaños para servicios de directorio que requieren DNS para funcionar. Muchas organizaciones configuran su Active Directory con Microsoft DNS, ya que está integrado en Windows Server. Por ende, a algunas les resulta conveniente integrar esta capacidad «de fábrica» con Active Directory, mientras que otras simplemente desconocen los posibles problemas causados por Microsoft DNS.
Aquí tienes algunos desafíos del DNS en Microsoft.
1. Riesgo de error humano
Las herramientas de gestión de Microsoft no aportan validación de datos para evitar errores humanos. Además, las capacidades de auditoría y los controles de delegación de seguridad no son robustos ni sólidos. Por ejemplo, la capacidad para determinar qué administrador hizo un cambio en particular es sumamente difícil. Esto complica aún más los procesos de solución de problemas y la resolución de errores.
2. Búsqueda de resgistros útiles
Para eliminar los registros DNS obsoletos, Microsoft DNS utiliza un proceso de proceso de «limpieza» basado en la última hora de actualización del registro. No obstante, este proceso es notoriamente poco fiable a la hora de determinar la validez del registro. Como consecuencia, la mayoría de los administradores de Active Directory no utilizan esta función debido al riesgo de eliminar registros DNS válidos y provocar una interrupción del servicio. Esto redunda en problemas secundarios, como información DNS duplicada o desactualizada.
3. Innecesario Complejidad
Las empresas que han crecido mediante adquisiciones pueden tener docenas, o incluso,
cientos de dominios. El mantenimiento de Microsoft DNS en una multitud de servidores es desalentador desde el punto de vista operativo y da lugar a una arquitectura DNS basada en escenarios complejos de reenvío condicional y delegación de DNS.
4. Seguridad
Se suele pasar por alto la seguridad de DNS en las redes privadas debido a que una red interna se considera segura y separada del mundo exterior. El verdadero problema radica en el enorme volumen de exploits en el sistema operativo Windows que acosan a los administradores de redes. Los ramsomware pueden descargar cargas útiles que atacan sistemas internos y se replican mientras ponen una red en estado de vulnerabilidad. Por ejemplo, el trabajo SQL Slammer que explotaba una vulnerabilidad conocida en el motor de datos de Microsoft (MSDE) generaba consultas falsas. Estas consultas provocaron el envío de un gran paquete ICMP, lo que derivó en la desconexión de algunos servidores raíz. Muchas organizaciones también descubrieron que sus propios servidores DNS internos estaban siendo atacados de forma similar.
¿Existe una mejor alternativa al DNS de Microsoft?
Escríbenos a ventas@accessq.com.mx o en la Ciudad de México: // +52 55 1654 9001 y un especialista te dará más información sobre la solución de DNS, DHCP y IPAM en modalidad de servicio que le brindará estabilidad, alta disponibilidad, auditoría, rapidez, y seguridad para los servicios DNS y DHCP y control e inventario en tiempo real de las direcciones IP.
Referencias: