{"id":15583,"date":"2025-12-23T14:03:03","date_gmt":"2025-12-23T13:03:03","guid":{"rendered":"https:\/\/www.palentino.es\/blog\/?p=15583"},"modified":"2025-12-23T14:09:15","modified_gmt":"2025-12-23T13:09:15","slug":"dns-el-eslabon-invisible-que-decide-si-tu-red-funciona-o-se-cae","status":"publish","type":"post","link":"https:\/\/www.palentino.es\/blog\/dns-el-eslabon-invisible-que-decide-si-tu-red-funciona-o-se-cae\/","title":{"rendered":"DNS: el eslab\u00f3n invisible que decide si tu red funciona\u2026 o se cae"},"content":{"rendered":"

Cuando una red \u201cno responde\u201d, rara vez el problema es f\u00edsico.
\nMuy a menudo el fallo est\u00e1 en el DNS<\/strong>, ese componente silencioso que traduce nombres en direcciones y sostiene Active Directory, correo, autenticaci\u00f3n y aplicaciones corporativas.<\/p>\n

Un DNS puede estar \u201cactivo\u201d\u2026 y aun as\u00ed resolver mal.<\/p>\n

\"\"<\/a><\/p>\n

<\/p>\n

\n

🔍 Diagn\u00f3stico inicial en Windows: ver antes de tocar<\/h2>\n

Windows incluye herramientas internas muy potentes para detectar problemas reales de resoluci\u00f3n.<\/p>\n

Best Practices Analyzer (BPA) para DNS<\/h3>\n

Permite auditar el rol DNS y detectar errores de configuraci\u00f3n:<\/p>\n

\n\n
1
2
<\/div><\/td>
Get-BPAModel
\nInvoke-BPAModel -ModelId Microsoft\/Windows\/DNSServer<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n
Filtrar solo errores cr\u00edticos:<\/p>\n
\n\n
1
2
<\/div><\/td>
Get-BPAResult -ModelId Microsoft\/Windows\/DNSServer |
\nWhere-Object Severity -eq "Error"<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n
Ideal para detectar problemas de reenviadores, zonas o permisos.<\/p>\n
\n
🧠 Cach\u00e9 DNS: el enemigo silencioso<\/h2>\n
Muchas incidencias no est\u00e1n en el servidor\u2026 sino en la cach\u00e9 del cliente.<\/p>\n
Ver entradas actuales:<\/p>\n
\n\n
1
<\/div><\/td>
Get-DnsClientCache<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n
Limpiar cach\u00e9:<\/p>\n
\n\n
1
<\/div><\/td>
Clear-DnsClientCache<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n
Tambi\u00e9n desde CMD:<\/p>\n
\n\n
1
2
3
<\/div><\/td>
ipconfig \/displaydns
\nipconfig \/flushdns
\nipconfig \/registerdns<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n
\n
🧪 nslookup: pruebas reales, no suposiciones<\/h2>\n
1
<\/div><\/td>
nslookup<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n
permite validar exactamente qu\u00e9 servidor responde<\/strong> y c\u00f3mo se construye el nombre<\/strong>.<\/p>\n
Resolver un nombre:<\/p>\n
\n\n
1
<\/div><\/td>
nslookup dc01.contoso.int<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n
Usar un DNS concreto:<\/p>\n
\n\n
1
<\/div><\/td>
nslookup dc01.contoso.int 192.168.178.223<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n
Comprobar registros cr\u00edticos de Active Directory:<\/p>\n
\n\n
1
<\/div><\/td>
nslookup -type=SRV _ldap._tcp.contoso.int<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n
Si esto falla, Active Directory tambi\u00e9n lo har\u00e1.<\/p>\n
\n
🏗️ DNS y Active Directory: donde suelen esconderse los errores<\/h2>\n
Problemas habituales:<\/p>\n
    \n
  • Sufijos DNS mal configurados<\/li>\n
  • Actualizaciones din\u00e1micas deshabilitadas<\/li>\n
  • Registros SRV inexistentes<\/li>\n
  • Reenviadores incorrectos<\/li>\n<\/ul>\n
    Consultar desde Linux\/Kali con<\/p>\n
    1
    <\/div><\/td>
    dig<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n
    :<\/p>\n
    \n\n
    1
    2
    <\/div><\/td>
    dig dc01.contoso.int
    \ndig _ldap._tcp.contoso.int SRV<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n
    Muy \u00fatil para contrastar resultados fuera de Windows.<\/p>\n
    \n
    🔐 An\u00e1lisis avanzado y seguridad DNS<\/h2>\n
    El DNS no solo debe funcionar: debe ser seguro<\/strong>.<\/p>\n
    dnsrecon \u2013 auditor\u00eda DNS<\/h3>\n
    \n\n
    1
    2
    <\/div><\/td>
    dnsrecon -d contoso.int
    \ndnsrecon -d contoso.int -t std<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n
    Enumera registros, zonas y posibles fallos de exposici\u00f3n.<\/p>\n
    fierce \u2013 descubrimiento de subdominios<\/h3>\n
    \n\n
    1
    2
    <\/div><\/td>
    fierce -dns contoso.int
    \nfierce -dns contoso.int -range 192.168.1.1-192.168.1.254<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n
    Muy \u00fatil para detectar servicios \u201colvidados\u201d.<\/p>\n
    dnstracer \u2013 ver la cadena real de resoluci\u00f3n<\/h3>\n
    \n\n
    1
    <\/div><\/td>
    dnstracer -s . contoso.int<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n
    Permite visualizar el recorrido completo desde la ra\u00edz hasta el servidor final.<\/p>\n
    dnschef \u2013 simulaci\u00f3n de respuestas DNS (laboratorio)<\/h3>\n
    \n\n
    1
    <\/div><\/td>
    dnschef --fakeip 192.168.1.100 --fakedomains contoso.int<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n
    Ideal para pruebas de seguridad y detecci\u00f3n de comportamientos inseguros.<\/p>\n
    \n
    🧭 Conclusi\u00f3n<\/h2>\n
    Un DNS estable no se improvisa.
    \nSe verifica<\/strong>, se audita<\/strong> y se observa<\/strong>.<\/p>\n
    Puedes tener:<\/p>\n
      \n
    • Servidores encendidos<\/li>\n
    • Red operativa<\/li>\n
    • Firewalls correctos<\/li>\n<\/ul>\n
      Y aun as\u00ed\u2026 todo fallar por un DNS mal resuelto.<\/p>\n
      Si Active Directory es el cerebro,
      \nDNS es el sistema nervioso<\/strong>.<\/p>\n
      Y cuando falla, todo lo dem\u00e1s duele.<\/p>\n
      \n
       <\/p>\n","protected":false},"excerpt":{"rendered":"
      Cuando una red \u201cno responde\u201d, rara vez el problema es f\u00edsico. Muy a menudo el fallo est\u00e1 en el DNS, ese componente silencioso que traduce nombres en direcciones y sostiene Active Directory, correo, autenticaci\u00f3n y aplicaciones corporativas. Un DNS puede estar \u201cactivo\u201d\u2026 y aun as\u00ed resolver mal.<\/p>\n","protected":false},"author":1,"featured_media":8568,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15],"tags":[],"class_list":["post-15583","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-redes"],"_links":{"self":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/15583","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/comments?post=15583"}],"version-history":[{"count":4,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/15583\/revisions"}],"predecessor-version":[{"id":15588,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/15583\/revisions\/15588"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media\/8568"}],"wp:attachment":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media?parent=15583"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/categories?post=15583"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/tags?post=15583"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}