Estrategia de copias de seguridad para redes empresariales: nombres DNS frente a direcciones IP

Quien planifique la estrategia de copias de seguridad para una red empresarial se enfrenta rápidamente a una decisión fundamental a la hora de configurar las rutas UNC: ¿Se debe acceder a los destinos de copia de seguridad a través de su nombre DNS (p. ej. , \\backup-server\share) o directamente a través de la dirección IP (p. ej., \\100.114.188.7\share)?

Desde el punto de vista de la arquitectura de TI, la respuesta es clara, pero presenta un matiz importante en caso de emergencia.

El claro favorito: rutas UNC con nombres DNS

En las redes empresariales modernas, el uso de nombres de dominio completos (FQDN) o nombres de host locales se considera la mejor práctica estándar. Las ventajas residen principalmente en la flexibilidad y la seguridad informática:

• Migraciones de hardware sin tiempo de inactividad: si el servidor de copias de seguridad se bloquea o hay que cambiar el hardware, el nuevo servidor no tiene que heredar laboriosamente la misma dirección IP. Basta con redirigir la entrada del servidor DNS central a la nueva IP. Todos los scripts de copia de seguridad y las aplicaciones de cliente siguen funcionando inmediatamente sin necesidad de modificar el código.
• Compatibilidad con DHCP: en redes dinámicas, en las que las direcciones IP se asignan de forma flexible, el DNS detecta los cambios de IP tras el reinicio de los routers de forma totalmente automática.
• Autenticación segura: las redes Windows modernas utilizan el protocolo Kerberos para una autenticación segura. Kerberos requiere obligatoriamente nombres de host. Si se utilizan solo direcciones IP, Windows suele recurrir al método NTLM, obsoleto y menos seguro.

Resolver unidades de red (Z:) en el código: la obligación de utilizar UNC para las copias de seguridad automatizadas

Una trampa frecuente en la práctica: en la configuración del script de copia de seguridad se especifica como destino una unidad de red asignada (p. ej., Z:\Backup). Lo que funciona a la perfección en el PC del administrador durante la prueba, casi siempre provoca errores en el funcionamiento automatizado.

El motivo: Windows gestiona las unidades de red de forma específica para cada usuario. Si la copia de seguridad se ejecuta posteriormente como una tarea programada o como un servicio del sistema en segundo plano, este proceso no «ve» en absoluto la letra Z:.

Conversión automática a UNC

El software de copia de seguridad profesional prohíbe el uso de letras de unidad o las convierte de forma totalmente automática en segundo plano en rutas UNC reales al crear la tarea de copia de seguridad.

Si utiliza sus propios scripts de copia de seguridad: mediante funciones de la API de Windows (como WNetGetConnection), se puede determinar en el código qué ruta de red real se esconde detrás de Z:. De este modo, Z:\Backup se convierte de forma totalmente automática en la ruta estable y universalmente válida \\backup-server\share\Backup. Solo esta conversión garantiza que la copia de seguridad se ejecute sin errores, independientemente del usuario que haya iniciado sesión y de sus asignaciones de unidades actuales.

En casos excepcionales, utilice la dirección IP como «plan B»

La dirección IP directa tiene una única ventaja, pero decisiva en caso de catástrofe: la independencia.

Si el servidor DNS de la empresa deja de funcionar (por ejemplo, debido a un ciberataque, una configuración errónea o un fallo del router), ningún ordenador de la red podrá resolver nombres. Un script de copia de seguridad que solo busque \\backup-server se interrumpirá inmediatamente con un error. La dirección IP directa funciona incluso en una red completamente «ciega».

Práctica recomendada: la estrategia híbrida (el enfoque profesional)

No confíe únicamente en un solo principio. El software de copia de seguridad profesional y los scripts bien escritos utilizan una combinación de ambos mundos:

1. Ruta principal (DNS): por defecto, el sistema intenta realizar la copia de seguridad a través del nombre DNS.
2. Recurso automático (IP): si la resolución del DNS falla (por ejemplo, por tiempo de espera o error de API), el script cambia en segundo de fondo a una IP de recurso predefinida.

Limpieza de rutas

Independientemente del método que utilice: preste mucha atención a que las rutas estén limpias. Un error frecuente en los sistemas automatizados o al leer archivos de configuración son los caracteres especiales añadidos.

Una ruta como \\100.114.188.7\backup; (con punto y coma al final) no es válida ni en Windows ni en Linux y, en muchos lenguajes de programación, provoca fallos repentinos de las API de red. Por lo tanto, es imprescindible realizar una limpieza previa rigurosa en el código.

Para el funcionamiento diario y un mantenimiento limpio, no hay forma de evitar los nombres DNS. Sin embargo, quien busque la máxima fiabilidad ante el peor de los casos, debe implementar en el código una consulta DNS con un fallback automático y validado a la dirección IP directa.