Basico _Configuracion DNS

7/24/2019 Basico _Configuracion DNS

1/12

Be Geek My FriendDaniel Matey, Consultor de infraestructura, Microsoft MCSE, MCSA, MCSD, MCDBA

Basicos: Configuracin de DNS

Con este articulo empiezo una nueva serie de artculos denominados Bsicos.

Como todos sabis, este sitio web est dedicado a la arquitectura informtica tanto de infraestructuras como desoluciones y por lo tanto suelo tratar temas de nivel medio/alto.

Desde hace un tiempo colaboro en los foros de la TechNet de Microsoft, donde veo que continuamente aparecenpreguntas de carcter bsico.

Los artculos de esta serie "bsicos" estn orientados a responder a esas preguntas sencillas que aunque ya estn masque respondidas por la documentacin de Microsoft, algunos administradores siguen sin saber aplicar y requieren deuna explicacin ms sencilla.

Introduccin:

Cuando Windows 2000 sali al mercado, el directorio activo fue la mayor novedad y la funcionalidad con mayores

repercusiones, desde el principio me di cuenta de que el DNS seria uno de los mayores focos de problemas, dado que lamayora de los administradores de Windows no haban tenido ninguna relacin con este servicio que fuera mas lejosque la resolucin de nombres en internet.

En este articulo hablaremos de cmo hay que configurar el DNS en una empresa usando Windows 2003.

Primeros pasos:

Cuando hacemos DCPromo se configura automticamente un servidor DNS en el mismo servidor en el que hemoslanzado el DCPromo, es comn que muchos tcnicos instalen a mano el servicio de DNS desde quitar y aadirprogramas del panel de control antes de lanzar el DCPromo.

En ese caso el DCPromo configurara el servicio para funcionar con el directorio activo.

En posteriores controladores de dominio, siempre deberos de ser nosotros los que instalemos el servicio de DNS, antesde lanzar el dcpromo.

Normalmente las empresas tendrn dos necesidades con respecto al DNS interno:

Que sea capaz de resolver direcciones de internet para que los usuarios puedan navegar y el correo electrnicofuncionar correctamente.

Que permita el buen funcionamiento del directorio activo y resuelva correctamente los nombres y dominios internos.

El error mas comn en las pequeas empresas es poner como DNS de los puestos a un servidor DNS de internet paraque pueda navegar.

Cuando se configura un puesto o un servidor de esta manera, no pasa demasiado tiempo antes de que empiecen a

aparecer los problemas, GPOs que no se aplican, puestos que tardan en arrancar, recursos de red que desaparecen,etc.

Para que un puesto funcione bien, todos los DNS que use, tienen que ser controladores de dominio.

Qu controladores de dominio se deben usar como DNS?, el primario ser el controlador de dominio (DC) ms cercanoque tenga el puesto, el secundario el siguiente aunque este en otra oficina, de esa forma si un DC deja de funcionar elpuesto trabajara con normalidad usando otro DNS de otro DC.

por que los puestos y los servidores dependen tanto de los DCs para todo lo relacionado con el directorio activo?, enWindows NT, los puestos y servidores encontraban a los PDC y BDC usando broadcast netbios, esto era un problemapor muchas razones que no vienen al caso, con el fin de solucionar este problema, Microsoft acertadamente decidi quelos DCs y GCs se localizaran a travs del DNS.

Cuando un DC arranca su servicio de Netlogon escribe en el DNS una serie de registros que ayudaran a que los puestoslo localicen y sepan que servicios presta, por esta razn estos registros se denominan "locators"

Puedes ver dichos registros entrando en la consola del DNS y luego en la zona de tu dominio:


2/12

Figura, 1. Uno de los registros locator de un servidor DC.

Por lo tanto ya conocemos la regla bsica del buen funcionamiento del DNS, todas las maquinas tendrn como DNS a

los controladores de dominio de su red.

Qu DNS tienen que tener configurados los controladores de dominio?, por regla general todo DC se tendr a s mismocomo DNS primario y al DC ms cercano como secundario.

En otros casos se pueden poner como secundarios otros DCs de otros sites, pero esa es una configuracin msavanzada que no es el objetivo de este articulo.

Hemos visto que el DCPromo es capaz de configurar nuestro servidor DNS, pero desgraciadamente no realiza elprocedimiento completo.

NSlookup es una herramienta de lnea de comandos que nos permite interrogar a los servidores DNS, si la ejecutamosse conectara automticamente al DNS primario que tengamos configurado en la maquina en la que lo corramos.

Figura, 2. Nslookup.

NSlookup nos dice que no puede encontrar el nombre para el servidor con la IP 192.168.0.11, que en nuestro caso esla IP de nuestro DC.

Por qu no puedo encontrar el nombre para la IP de mi DC?, cuando DCPromo configura el DNS lo hace para que

podamos averiguar que IP tiene un nombre, esto se llama forward resolution, pero para averiguar el nombre que tieneuna IP hay que lanzar una reverse resolution.

Para solucionar este problema tendremos que crear una zona de resolucin inversa en el servidor de DNS, esta zona de


3/12

resolucin inversa es vlida solo para una subred, tendremos que crear una zona por cada subred que tengamos.

En este articulo estamos usando la subred 192.168.0.0 con mascara 255.255.255.0, vamos a crear la zona deresolucin inversa para esta red.

Figura, 3. Creando zona de resolucin inversa (1)

Figura, 4. Creando zona de resolucin inversa (2)

Figura, 5. Creando zona de resolucin inversa (3), eligiendo el tipo de zona y si se almacenara en el AD.


4/12

Figura, 6. Creando zona de resolucin inversa (4), especificando a que servidores se replicara dentro del Forest.

Figura, 7. Creando zona de resolucin inversa (5), indicando la subred de la que se har cargo la zona.


5/12

Figura, 8. Creando zona de resolucin inversa (6), especificando si la zona permitir actualizaciones automticas de losDHCP y puestos.

Figura, 9. Creando zona de resolucin inversa (7), finalizando.


6/12

Figura, 10. Creando zona de resolucin inversa (8), zona ya creada y con el registro del DC introducido.

Cmo se crea un registro PTR?, los PTR son los registros de las zonas de resolucin inversa, pulsa sobre la zona con elbotn derecho, selecciona "nuevo registro PTR" y rellena el formulario indicando la parte de la IP que no est contenidaen la mscara y el nombre completo del servidor al que har referencia el registro PTR.

Figura, 11. Creacin de un registro PTR.


7/12

Figura 12. Probando de nuevo con nslookup.

Como podemos ver en la figura 12, el nslookup ya funciona correctamente, gracias a la zona de resolucin inversa yaes posible encontrar nombres a partir de IPs, esto tan simple, nos ahorrara mltiples problemas en el futuro.

Que pasa con Internet?

Si has configurado todo como te hemos indicado hasta ahora, tu dominio funcionara bien a nivel de DNS, pero tuspuestos y servidores no podrn resolver nombres de internet, si tratamos de por ejemplo hacer un ping ahttp://www.google.com/, no obtendremos respuesta.

Figura , 13. Ping fallido a http://www.google.com/

Para resolver esta situacin necesitamos que al menos uno de nuestros DNS sea capaz de resolver direcciones deinternet, esto se consigue gracias a los reenviadores o forwarders.

Es importante que comprendamos que los forwarders se configuran para cada servidor DNS, esto significa que :

1) Podemos configurar forwarders en todos nuestros servidores DNS hacia unos controladores de domino concretos quetengan los forwarders hacia internet.

2) Podemos configurar todos nuestros servidores DNS para que tengan como DNS secundarios en las tarjetas de red alos servidores DNS con los forwarders activados (esta solucin hace que la resolucin sea mas lenta)

3)Tambin podemos configurar forwarders en todos los servidores DNS de nuestra empresa.

La eleccin es vuestra, aunque a m me gusta ms la opcin de configurar forwarders en todos los servidores DNS haciados Controladores de dominio concretos que sean los que tengan los forwarders para resolver en internet.

En las empresas pequeas es comn encontrar un solo DC que adems sea el nico DNS, con lo cual solo hay que


8/12

configurar un servidor con forwarders.

Que dns de internet uso para los reenviadores?, la costumbre es usar los DNS de tu proveedor de internet, otrasolucin es ver que servidores DNS son mas rpidos y usarlos como reenviadores, ya que esta velocidad puede mejorarel rendimiento de tus consultas en internet.

Puedes ver la lista de DNS de los ISP en http://www.adslzone.net/dns.html o http://www.34t.com/box-docs.asp?doc=886

Cmo funcionan los reenviadores?, para contestar a esta pregunta veamos el siguiente diagrama.

Diagrama, 1. Funcionamiento de los reenviadores

Vemos en el diagrama que si un puesto pide resolver una direccin como por ejemplo http://www.google.com/, pasaralo siguiente:

1- El puesto se lo pide al servidor DNS que tenga configurado como primario en la tarjeta de red, ya hemos aprendidoque este servidor tiene que ser un DC del dominio en el que este el puesto.

2-El servidor ve que no tiene ninguna zona google.com y por lo tanto usa el reenviador que tenemos configurado parasolicitar al servidor DNS que hayamos indicado que le resuelva el registro http://www.google.com/.

3-El servidor DNS de internet resuelve http://www.google.com/ y responde a la solicitud de nuestro DC.

4-El DC cachea la respuesta para poderla responder directamente si algn puesto se la hace de nuevo.

5-El DC responde al puesto con la direccin de http://www.google.com/.

Estupendo, eso es lo que quiero!!!!! Cmo configuro el reenviador?

Es muy sencillo, antes que nada te tienes que asegurar de que tu controlador de dominio sabe llegar a internet y que turouter y tu firewall le estn dejando usar el puerto 53 de salida para que pueda acceder al los servidores DNS en


9/12

internet.

Puedes ver si todo esto se cumple, es tan fcil como usar nslookup para probarlo.

En nuestro caso vamos a probar con un DNS de telefnica (80.58.0.33)

Figura, 14. Probando si el DC puede usar un DNS de internet con NSlookup.

Para conectarnos con un servidor DNS tenemos que usar el comando server dentro de nslookup indicando la ip delservidor.

Despus podemos escribir directamente el nombre que queremos resolver.

Si esto no funciona, significa que alguna de las siguientes cosas est fallando:

1) El servidor no sabe cmo llegar a internet, tienes que indicar a tu servidor que use como puerta de enlacepredeterminada al dispositivo de tu red que de acceso a internet como por ejemplo un router o un firewall.

2) Tu firewall no est dejando que el servidor salga por el puerto 53 de TCP y de UDP, tienes que configurar una reglaen tu firewall que deje salir al DC por el puerto 53 de TCP y UDP.

Para configurar el reenviador o forwarder sigue estos pasos:

Figura, 15. Configurando el reenviador (1)

Figura, 16. Configurando el reenviador (2)


10/12

Puedes meter tantos servidores DNS como quieras, tambin puedes configurar reenviadores para dominios especficos,esta solucin se emplea por ejemplo cuando se crean relaciones de confianza o hay varios forest dentro de la mismaempresa.

Ahora que ya tenemos configurados los forwarders, nuestro DC ya podr resolver nombres de internet.

Figura, 17. Probando el forwarder con NSlookup.

Una cosa muy interesante de la que hemos hablado es la cache, la cache permite que los servidores DNS guarden lasresoluciones que ya se han hecho y en caso de que se le pida de nuevo a un servidor DNS una consulta que tenga en lacache, el servidor la devolver directamente de la cache, esto acelera el acceso a internet y es muy interesante para losproxys y los servidores de correo.

Puedes ver la cache haciendo lo siguiente.

Figura, 18. Viendo la cache (1)


11/12

Figura, 19. Viendo la cache (2)

Entonces como funcionara el DNS si tengo varias oficinas?, si tienes varias oficinas, se pueden dar los siguientescasos:

1) La oficina es pequea y no cuenta con un DC propio, por lo tanto los puestos tendrs configurados como DNS losDCs de la central y funcionaran como has visto hasta ahora.

2) La oficina tiene bastantes usuarios y cuenta un DC propio, en ese caso, el DC de la delegacin se tendr as mismocomo DNS primario y como secundario al de la central, que cuenta con el forwarder, el funcionamiento sera elsiguiente:

Diagrama, 2. Resolucin en un escenario con DC en delegacin.


12/12

1- El puesto se lo pide al servidor DNS que tenga configurado como primario en la tarjeta de red, ya hemos aprendidoque este servidor tiene que ser un DC del dominio en el que este el puesto, en este caso adems es el DC que esta ensu delegacin.

2-El servidor ve que no tiene ninguna zona google.com y por lo tanto usa el DNS que tiene como secundario pararealizar la solicitud al DC en la central, tambin se puede configurar un forwarder en este servidor para que use al de lacentral.

3-El servidor DNS de de la central usa su forwarder para hacer la solicitud

4- El DNS de internet resuelve http://www.google.com/ y responde a la solicitud de nuestro DC en la central.

5- El DNS de la central cachea la resolucin.

6- El DNS de la central responde al DNS de la delegacin con los datos de la resolucin.

7-El DC cachea la respuesta para poderla responder directamente si algn puesto se la hace de nuevo.

8-El DC responde al puesto con la direccin de http://www.google.com/.

Posted: 16/1/2007 13:55 por Daniel Matey | con 65 comment(s) |Archivado en: Windows Server,Basicos

Comentarios

Ezequiel Jadib ha opinado:

Excelente articulo.

Muy claro.

Basico _Configuracion DNS

Documents

Transcript of Basico _Configuracion DNS