Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Introducción a DNS privado
Microsoft Entra Private Access proporciona una manera rápida y sencilla de reemplazar las VPNs heredadas. Proporciona acceso granular y seguro a los recursos internos sin exponer toda la red. DNS desempeña un papel fundamental al habilitar la resolución de nombres para recursos internos críticos y los usuarios remotos no necesitan conocer la configuración de los sistemas DNS internos. El DNS privado de Microsoft Entra con acceso rápido ofrece una configuración sencilla que usa solucionadores locales del conector para responder a consultas DNS para recursos internos.
El servicio DNS privado permite agregar sufijos de dominio para la organización a la configuración de acceso rápido. Esto actualiza automáticamente el perfil de reenvío de tráfico para los clientes. Una vez configuradas, las consultas DNS para un nombre de dominio completo (FQDN) que finalicen con los sufijos coincidentes desde los dispositivos cliente se envían al proxy DNS en un borde de GSA para su resolución. Si hay disponible un resultado almacenado en caché, las respuestas DNS se devuelven a los clientes. De lo contrario, el proxy DNS reenvía la solicitud al conector, que envía la consulta DNS a su servidor DNS para su resolución. A continuación, el conector vuelve a pasar las respuestas al borde, que devuelve la consulta al cliente. A continuación, el cliente GSA asigna una dirección IP sintética y la devuelve a la aplicación. La dirección IP sintética se usa para dirigir el tráfico de la aplicación a los bordes de GSA.
En el diagrama siguiente se muestra un flujo dns privado de alto nivel para los clientes de Windows.
Configuración
Un administrador habilita DNS privado y agrega un sufijo DNS desde acceso rápido.
En el cliente, se genera una entrada en la tabla de directivas de resolución de nombres (NRPT) para que el sufijo se resuelva a través del cliente GSA.
El perfil de reenvío de tráfico de cliente se actualiza para enviar consultas DNS privadas al perímetro de GSA.
Ruta de datos
- El usuario solicita una consulta DNS para
app.contoso.com. Si no se almacena en caché localmente, la consulta DNS se envía al proxy DNS en el perímetro de GSA. - El proxy DNS responde desde su memoria caché o reenvía la consulta al grupo de conectores definido en Acceso rápido.
- El servidor conector envía la consulta DNS a los servidores DNS configurados en el nivel de sistema operativo.
- El proxy DNS responde de nuevo al cliente con la dirección IP interna. El cliente almacena la dirección IP interna y devuelve una dirección IP sintética a la aplicación.
Cuando se configura un sufijo DNS en Acceso rápido, todas las consultas DNS para un nombre de dominio completo (FQDN) que termina con los sufijos coincidentes se resuelven mediante DNS privado, incluidos los usados para definir Aplicaciones empresariales.
Resolución de dominio de etiqueta única (SLD)
El DNS privado proporciona resolución de nombres para SLD sin un sufijo de dominio. Se crea una entrada NRPT para enviar el sufijo GSA globalsecureaccess.local. al servidor proxy DNS cuando se configura DNS privado. El equipo cliente anexa el <appid>.globalsecureaccess.local. sufijo al SLD y envía la solicitud DNS al proxy DNS. El proxy DNS quita el sufijo de búsqueda antes de enviar la consulta DNS al conector. A continuación, el conector usa sus sufijos de búsqueda local para resolver la consulta SLD. La dirección IP resuelta del recurso se devuelve al proxy DNS y se pasa al cliente.
Nota:
Para algunas aplicaciones como la autenticación Kerberos, es importante tener el SPN correcto. El sufijo sintético de GSA podría interrumpir el flujo de Kerberos, por lo que se recomienda usar FQDN para las aplicaciones que requieren autenticación Kerberos.
Contenido relacionado
Para obtener información sobre cómo habilitar DNS privado con acceso rápido, consulte Configuración del acceso rápido.
Para obtener información sobre cómo funciona DNS privado con SSO, consulte Uso de Kerberos para el inicio de sesión único (SSO) en los recursos con Microsoft Entra Private Access.
Para obtener sugerencias sobre la solución de problemas de DNS, consulte Solución de problemas de acceso a aplicaciones: acceso seguro global.
Para obtener información sobre los diagnósticos avanzados de adquisición de nombres de host, consulte Solución de problemas del cliente de acceso seguro global: diagnóstico: acceso seguro global.