Twitter Flickr Pinterest LinkedIn YouTube Google Maps E-mail RSS
formats

DNS: el eslabón invisible que decide si tu red funciona… o se cae

Publicado en 23 diciembre, 2025, por en Redes.
Anuncios
LinkedInPinPrint

Cuando una red “no responde”, rara vez el problema es físico.
Muy a menudo el fallo está en el DNS, ese componente silencioso que traduce nombres en direcciones y sostiene Active Directory, correo, autenticación y aplicaciones corporativas.

Un DNS puede estar “activo”… y aun así resolver mal.

🔍 Diagnóstico inicial en Windows: ver antes de tocar

Windows incluye herramientas internas muy potentes para detectar problemas reales de resolución.

Best Practices Analyzer (BPA) para DNS

Permite auditar el rol DNS y detectar errores de configuración:



1
2
Get-BPAModel

Invoke-BPAModel -ModelId Microsoft/Windows/DNSServer

Filtrar solo errores críticos:



1
2
Get-BPAResult -ModelId Microsoft/Windows/DNSServer |

Where-Object Severity -eq "Error"

Ideal para detectar problemas de reenviadores, zonas o permisos.

🧠 Caché DNS: el enemigo silencioso

Muchas incidencias no están en el servidor… sino en la caché del cliente.

Ver entradas actuales:



1
Get-DnsClientCache

Limpiar caché:



1
Clear-DnsClientCache

También desde CMD:



1
2
3
ipconfig /displaydns

ipconfig /flushdns

ipconfig /registerdns

🧪 nslookup: pruebas reales, no suposiciones

1
nslookup

permite validar exactamente qué servidor responde y cómo se construye el nombre.

Resolver un nombre:



1
nslookup dc01.contoso.int

Usar un DNS concreto:



1
nslookup dc01.contoso.int 192.168.178.223

Comprobar registros críticos de Active Directory:



1
nslookup -type=SRV _ldap._tcp.contoso.int

Si esto falla, Active Directory también lo hará.

🏗️ DNS y Active Directory: donde suelen esconderse los errores

Problemas habituales:

  • Sufijos DNS mal configurados
  • Actualizaciones dinámicas deshabilitadas
  • Registros SRV inexistentes
  • Reenviadores incorrectos

Consultar desde Linux/Kali con

1
dig

:



1
2
dig dc01.contoso.int

dig _ldap._tcp.contoso.int SRV

Muy útil para contrastar resultados fuera de Windows.

🔐 Análisis avanzado y seguridad DNS

El DNS no solo debe funcionar: debe ser seguro.

dnsrecon – auditoría DNS



1
2
dnsrecon -d contoso.int

dnsrecon -d contoso.int -t std

Enumera registros, zonas y posibles fallos de exposición.

fierce – descubrimiento de subdominios



1
2
fierce -dns contoso.int

fierce -dns contoso.int -range 192.168.1.1-192.168.1.254

Muy útil para detectar servicios “olvidados”.

dnstracer – ver la cadena real de resolución



1
dnstracer -s . contoso.int

Permite visualizar el recorrido completo desde la raíz hasta el servidor final.

dnschef – simulación de respuestas DNS (laboratorio)



1
dnschef --fakeip 192.168.1.100 --fakedomains contoso.int

Ideal para pruebas de seguridad y detección de comportamientos inseguros.

🧭 Conclusión

Un DNS estable no se improvisa.
Se verifica, se audita y se observa.

Puedes tener:

  • Servidores encendidos
  • Red operativa
  • Firewalls correctos

Y aun así… todo fallar por un DNS mal resuelto.

Si Active Directory es el cerebro,
DNS es el sistema nervioso.

Y cuando falla, todo lo demás duele.

 

LinkedInPinPrint
Anuncios
« »
Home Redes DNS: el eslabón invisible que decide si tu red funciona… o se cae
© www.palentino.es, desde el 2012 - Un Blog para compartir conocimientos ...

Uso de cookies en mi sitio palentino.es

Este sitio web utiliza cookies para que tengamos la mejor experiencia de usuario. Si continúas navegando estás dando tu consentimiento para la aceptación de las mencionadas cookies y la aceptación de la política de cookies

ACEPTAR
Aviso de cookies