Be Geek My Friend

Daniel Matey, Consultor de infraestructura, Microsoft MCSE, MCSA, MCSD, MCDBA

Basicos: Configuracin de DNS

Con este articulo empiezo una nueva serie de artculos denominados Bsicos.
Como todos sabis, este sitio web est dedicado a la arquitectura informtica tanto de infraestructuras como de
soluciones y por lo tanto suelo tratar temas de nivel medio/alto.
Desde hace un tiempo colaboro en los foros de la TechNet de Microsoft, donde veo que continuamente aparecen
preguntas de carcter bsico.
Los artculos de esta serie "bsicos" estn orientados a responder a esas preguntas sencillas que aunque ya estn mas
que respondidas por la documentacin de Microsoft, algunos administradores siguen sin saber aplicar y requieren de
una explicacin ms sencilla.
Introduccin:
Cuando Windows 2000 sali al mercado, el directorio activo fue la mayor novedad y la funcionalidad con mayores
repercusiones, desde el principio me di cuenta de que el DNS seria uno de los mayores focos de problemas, dado que la
mayora de los administradores de Windows no haban tenido ninguna relacin con este servicio que fuera mas lejos
que la resolucin de nombres en internet.
En este articulo hablaremos de cmo hay que configurar el DNS en una empresa usando Windows 2003.
Primeros pasos:
Cuando hacemos DCPromo se configura automticamente un servidor DNS en el mismo servidor en el que hemos
lanzado el DCPromo, es comn que muchos tcnicos instalen a mano el servicio de DNS desde quitar y aadir
programas del panel de control antes de lanzar el DCPromo.
En ese caso el DCPromo configurara el servicio para funcionar con el directorio activo.
En posteriores controladores de dominio, siempre deberos de ser nosotros los que instalemos el servicio de DNS, antes
de lanzar el dcpromo.
Normalmente las empresas tendrn dos necesidades con respecto al DNS interno:
Que sea capaz de resolver direcciones de internet para que los usuarios puedan navegar y el correo electrnico
funcionar correctamente.
Que permita el buen funcionamiento del directorio activo y resuelva correctamente los nombres y dominios internos.
El error mas comn en las pequeas empresas es poner como DNS de los puestos a un servidor DNS de internet para
que pueda navegar.
Cuando se configura un puesto o un servidor de esta manera, no pasa demasiado tiempo antes de que empiecen a
aparecer los problemas, GPOs que no se aplican, puestos que tardan en arrancar, recursos de red que desaparecen,
etc.
Para que un puesto funcione bien, todos los DNS que use, tienen que ser controladores de dominio.
Qu controladores de dominio se deben usar como DNS?, el primario ser el controlador de dominio (DC) ms cercano
que tenga el puesto, el secundario el siguiente aunque este en otra oficina, de esa forma si un DC deja de funcionar el
puesto trabajara con normalidad usando otro DNS de otro DC.
por que los puestos y los servidores dependen tanto de los DCs para todo lo relacionado con el directorio activo?, en
Windows NT, los puestos y servidores encontraban a los PDC y BDC usando broadcast netbios, esto era un problema
por muchas razones que no vienen al caso, con el fin de solucionar este problema, Microsoft acertadamente decidi que
los DCs y GCs se localizaran a travs del DNS.
Cuando un DC arranca su servicio de Netlogon escribe en el DNS una serie de registros que ayudaran a que los puestos
lo localicen y sepan que servicios presta, por esta razn estos registros se denominan "locators"
Puedes ver dichos registros entrando en la consola del DNS y luego en la zona de tu dominio:

Figura, 1. Uno de los registros locator de un servidor DC.

Por lo tanto ya conocemos la regla bsica del buen funcionamiento del DNS, todas las maquinas tendrn como DNS a
los controladores de dominio de su red.
Qu DNS tienen que tener configurados los controladores de dominio?, por regla general todo DC se tendr a s mismo
como DNS primario y al DC ms cercano como secundario.
En otros casos se pueden poner como secundarios otros DCs de otros sites, pero esa es una configuracin ms
avanzada que no es el objetivo de este articulo.
Hemos visto que el DCPromo es capaz de configurar nuestro servidor DNS, pero desgraciadamente no realiza el
procedimiento completo.
NSlookup es una herramienta de lnea de comandos que nos permite interrogar a los servidores DNS, si la ejecutamos
se conectara automticamente al DNS primario que tengamos configurado en la maquina en la que lo corramos.
Figura, 2. Nslookup.

NSlookup nos dice que no puede encontrar el nombre para el servidor con la IP 192.168.0.11, que en nuestro caso es
la IP de nuestro DC.
Por qu no puedo encontrar el nombre para la IP de mi DC?, cuando DCPromo configura el DNS lo hace para que
podamos averiguar que IP tiene un nombre, esto se llama forward resolution, pero para averiguar el nombre que tiene
una IP hay que lanzar una reverse resolution.
Para solucionar este problema tendremos que crear una zona de resolucin inversa en el servidor de DNS, esta zona de

resolucin inversa es vlida solo para una subred, tendremos que crear una zona por cada subred que tengamos.
En este articulo estamos usando la subred 192.168.0.0 con mascara 255.255.255.0, vamos a crear la zona de
resolucin inversa para esta red.
Figura, 3. Creando zona de resolucin inversa (1)

Figura, 4. Creando zona de resolucin inversa (2)

Figura, 5. Creando zona de resolucin inversa (3), eligiendo el tipo de zona y si se almacenara en el AD.

Figura, 6. Creando zona de resolucin inversa (4), especificando a que servidores se replicara dentro del Forest.

Figura, 7. Creando zona de resolucin inversa (5), indicando la subred de la que se har cargo la zona.

Figura, 8. Creando zona de resolucin inversa (6), especificando si la zona permitir actualizaciones automticas de los
DHCP y puestos.

Figura, 9. Creando zona de resolucin inversa (7), finalizando.

Figura, 10. Creando zona de resolucin inversa (8), zona ya creada y con el registro del DC introducido.

Cmo se crea un registro PTR?, los PTR son los registros de las zonas de resolucin inversa, pulsa sobre la zona con el
botn derecho, selecciona "nuevo registro PTR" y rellena el formulario indicando la parte de la IP que no est contenida
en la mscara y el nombre completo del servidor al que har referencia el registro PTR.
Figura, 11. Creacin de un registro PTR.

Figura 12. Probando de nuevo con nslookup.

Como podemos ver en la figura 12, el nslookup ya funciona correctamente, gracias a la zona de resolucin inversa ya
es posible encontrar nombres a partir de IPs, esto tan simple, nos ahorrara mltiples problemas en el futuro.
Que pasa con Internet?
Si has configurado todo como te hemos indicado hasta ahora, tu dominio funcionara bien a nivel de DNS, pero tus
puestos y servidores no podrn resolver nombres de internet, si tratamos de por ejemplo hacer un ping a
http://www.google.com/, no obtendremos respuesta.
Figura , 13. Ping fallido a http://www.google.com/

Para resolver esta situacin necesitamos que al menos uno de nuestros DNS sea capaz de resolver direcciones de
internet, esto se consigue gracias a los reenviadores o forwarders.
Es importante que comprendamos que los forwarders se configuran para cada servidor DNS, esto significa que :
1) Podemos configurar forwarders en todos nuestros servidores DNS hacia unos controladores de domino concretos que
tengan los forwarders hacia internet.
2) Podemos configurar todos nuestros servidores DNS para que tengan como DNS secundarios en las tarjetas de red a
los servidores DNS con los forwarders activados (esta solucin hace que la resolucin sea mas lenta)
3)Tambin podemos configurar forwarders en todos los servidores DNS de nuestra empresa.
La eleccin es vuestra, aunque a m me gusta ms la opcin de configurar forwarders en todos los servidores DNS hacia
dos Controladores de dominio concretos que sean los que tengan los forwarders para resolver en internet.
En las empresas pequeas es comn encontrar un solo DC que adems sea el nico DNS, con lo cual solo hay que

configurar un servidor con forwarders.

Que dns de internet uso para los reenviadores?, la costumbre es usar los DNS de tu proveedor de internet, otra
solucin es ver que servidores DNS son mas rpidos y usarlos como reenviadores, ya que esta velocidad puede mejorar
el rendimiento de tus consultas en internet.
Puedes ver la lista de DNS de los ISP en http://www.adslzone.net/dns.html o http://www.34t.com/box-docs.asp?
doc=886
Cmo funcionan los reenviadores?, para contestar a esta pregunta veamos el siguiente diagrama.
Diagrama, 1. Funcionamiento de los reenviadores

Vemos en el diagrama que si un puesto pide resolver una direccin como por ejemplo http://www.google.com/, pasara
lo siguiente:
1- El puesto se lo pide al servidor DNS que tenga configurado como primario en la tarjeta de red, ya hemos aprendido
que este servidor tiene que ser un DC del dominio en el que este el puesto.
2-El servidor ve que no tiene ninguna zona google.com y por lo tanto usa el reenviador que tenemos configurado para
solicitar al servidor DNS que hayamos indicado que le resuelva el registro http://www.google.com/.
3-El servidor DNS de internet resuelve http://www.google.com/ y responde a la solicitud de nuestro DC.
4-El DC cachea la respuesta para poderla responder directamente si algn puesto se la hace de nuevo.
5-El DC responde al puesto con la direccin de http://www.google.com/.
Estupendo, eso es lo que quiero!!!!! Cmo configuro el reenviador?
Es muy sencillo, antes que nada te tienes que asegurar de que tu controlador de dominio sabe llegar a internet y que tu
router y tu firewall le estn dejando usar el puerto 53 de salida para que pueda acceder al los servidores DNS en

internet.
Puedes ver si todo esto se cumple, es tan fcil como usar nslookup para probarlo.
En nuestro caso vamos a probar con un DNS de telefnica (80.58.0.33)
Figura, 14. Probando si el DC puede usar un DNS de internet con NSlookup.

Para conectarnos con un servidor DNS tenemos que usar el comando server dentro de nslookup indicando la ip del
servidor.
Despus podemos escribir directamente el nombre que queremos resolver.
Si esto no funciona, significa que alguna de las siguientes cosas est fallando:
1) El servidor no sabe cmo llegar a internet, tienes que indicar a tu servidor que use como puerta de enlace
predeterminada al dispositivo de tu red que de acceso a internet como por ejemplo un router o un firewall.
2) Tu firewall no est dejando que el servidor salga por el puerto 53 de TCP y de UDP, tienes que configurar una regla
en tu firewall que deje salir al DC por el puerto 53 de TCP y UDP.
Para configurar el reenviador o forwarder sigue estos pasos:
Figura, 15. Configurando el reenviador (1)

Figura, 16. Configurando el reenviador (2)

Puedes meter tantos servidores DNS como quieras, tambin puedes configurar reenviadores para dominios especficos,
esta solucin se emplea por ejemplo cuando se crean relaciones de confianza o hay varios forest dentro de la misma
empresa.
Ahora que ya tenemos configurados los forwarders, nuestro DC ya podr resolver nombres de internet.
Figura, 17. Probando el forwarder con NSlookup.

Una cosa muy interesante de la que hemos hablado es la cache, la cache permite que los servidores DNS guarden las
resoluciones que ya se han hecho y en caso de que se le pida de nuevo a un servidor DNS una consulta que tenga en la
cache, el servidor la devolver directamente de la cache, esto acelera el acceso a internet y es muy interesante para los
proxys y los servidores de correo.
Puedes ver la cache haciendo lo siguiente.
Figura, 18. Viendo la cache (1)

Figura, 19. Viendo la cache (2)

Entonces como funcionara el DNS si tengo varias oficinas?, si tienes varias oficinas, se pueden dar los siguientes
casos:
1) La oficina es pequea y no cuenta con un DC propio, por lo tanto los puestos tendrs configurados como DNS los
DCs de la central y funcionaran como has visto hasta ahora.
2) La oficina tiene bastantes usuarios y cuenta un DC propio, en ese caso, el DC de la delegacin se tendr as mismo
como DNS primario y como secundario al de la central, que cuenta con el forwarder, el funcionamiento sera el
siguiente:
Diagrama, 2. Resolucin en un escenario con DC en delegacin.

1- El puesto se lo pide al servidor DNS que tenga configurado como primario en la tarjeta de red, ya hemos aprendido
que este servidor tiene que ser un DC del dominio en el que este el puesto, en este caso adems es el DC que esta en
su delegacin.
2-El servidor ve que no tiene ninguna zona google.com y por lo tanto usa el DNS que tiene como secundario para
realizar la solicitud al DC en la central, tambin se puede configurar un forwarder en este servidor para que use al de la
central.
3-El servidor DNS de de la central usa su forwarder para hacer la solicitud
4- El DNS de internet resuelve http://www.google.com/ y responde a la solicitud de nuestro DC en la central.
5- El DNS de la central cachea la resolucin.
6- El DNS de la central responde al DNS de la delegacin con los datos de la resolucin.
7-El DC cachea la respuesta para poderla responder directamente si algn puesto se la hace de nuevo.
8-El DC responde al puesto con la direccin de http://www.google.com/.
Posted: 16/1/2007 13:55 por Daniel Matey | con 65 comment(s) |
Archivado en: Windows Server,Basicos
Comentarios
Ezequiel Jadib ha opinado:

Excelente articulo.
Muy claro.