domingo, 14 de noviembre de 2010

Post 2: Ésta semana DNS y GPO

Esta semana hemos hablado sobre DNS y GPO. Muchas gracias a los compañeros que hacen que ésto sea soportable ;).

1.-Servicio de Resolución de Nombres (DNS)

El directorio activo trabaja con nombres y las máquinas con ip, por lo que nos va a hacer falta algo para que se puedan comunicar. Lo que en la actualidad se usa es un traductor llamado DNS. DNS se usa para resolver o registrar nombres. Con resolver queremos decir que traduce de nombre a ip y de ip a nombre. Con registrar queremos decir que almacena nombres e ip.


  • Resolver: Permiso de sólo lectura.
  • Registrar: Permiso de escritura. Si no se registra es porque no tiene permisos ntfs para hacerlo.
Si en una interface de red disponemos de dos entradas para los servidores DNS, y el primer servidor DNS que tenemos configurado no encuentra una equivalencia, no usamos la segunda dirección para búscar de nuevo. Con esto queremos decir que si un DNS da una respuesta positiva o negativa no se vuelve a realizar la consulta para confirmarlo.

En la página http:\\www.root-servers.org podemos encontrar la lista de los root hints a nivel mundial y las empresas a las que pertenecen. La lista según orden de importancia es la siguiente:
  1. VeriSign, Inc.
  2. Information Sciences Institute
  3. Cogent Communications
  4. University of Maryland
  5. NASA Ames Research Center
  6. Internet Systems Consortium, Inc.
  7. U.S. DOD Network Information Center
  8. U.S. Army Research Lab
  9. Autonomica
  10. VeriSign, Inc.
  11. RIPE NCC
  12. ICANN
  13. WIDE Project 
Podemos salir a internet porque nuestro servidor DNS saben quienes son los root hint.
El servidor DNS puede estar o no integrado en directorio activo  y se añade como un role en windows 2008. Actualmente existen seis métodos de resolucion de nombres: hosts, caché, DNS, lmhost, wins y broadcast.

2.- Zonas DNS

Una zona DNS es una parte de un servidor DNS a la cual le han sido delegadas ciertas responsabilidades. Cada zona abarca almenos un dominio y posiblemente sus subdominios.


Registros en una zona DNS:
  • Soa: Primer DNS creado, es el inicio de autoridad. Proporciona información sobre la zona.
  • A: Es un registro de host. Todo aquello que tenga ip tiene registro A. Se usa para traducir nombres de host a direcciones ipv4. Este registro tiene un número llamado incremento. Cada zona tiene uno y la zona de mayor valor es la zona más actualizada.
  • Cname: Alias que apunta a un registro de tipo A. Se usa para crear nombres de hosts adicionales o alias. Se sulen usar cuando corren varios servicios sobre 1 sola ip. Cada servicio tiene su propia entrada DNS. Ej: ftp.donera.com o mail.donera.com.
  • Mx: Indica el servidor al que entro los correos. Es un registro para el intercambio de correos. Asocia un nombre de dominio a una lista de servidores de intercambio de correo.
  • Srv: Da servicios. Indica los servicios que ofrece el dominio. A nivel de aplicación podemos tener varias configuraciones de éste registro.
  • Ns: Me indica quienes son servidores DNS. Define la asociación entre 1 nombre de dominio y los servidores de nombres que almacena información de dicho dominio. Indica quienes son servidores DNS.
  • AAA: Registro a para ip versión 6.
Cuando se quiere encontrar un catálogo global realizao una petición DNS.

Tolerancia a fallos y equilibrio de carga en DNS.
  • La función de tener varios servidores DNS ante una caída de servicio nos proporciona tolerancia a fallos. DNS no es un servicio que ofrezca equilibrio de carga. 
  • Confiamos en él, si DNS dice "No" es no y no vamos a preguntarla a otro.
La forma de identificar al sitio es por la ip del primer adaptador (el principal) del primer servicio. Para ello necesitamos determinar la tarjeta principal y el servicio principal ipv4 o ipv6.

DNS realiza dos tipos de consultas:
  • Recursiva: Hace la petición y el que recibe la petición es el encargado de buscar y devolver una respuestas. En este tipo de consultas el servidor DNS se "lava las manos" y sólo espera la respuesta. Si el encargado de dar respuesta no sabe donde está haría una petición iterativa.
  • Iterativa: Puede responder con una referencia a otro DNS y el que realizó la petición inicial deberá preguntar a este nuevo DNS por el objeto buscado.
Dentro de una zona ser ealizan peticiones recursivas y fuera de las zonas iterativas. No puede haber consultas iterativas sin recursiva. Un servidor podría ejercer de cliente, pero se configuraría para ello. El que responde es el servicio DNS.

Forwarder (Reenviadores)
  • Dentro del servicio DNS es una opción. 
  • Un servidor DNS solo trabaja en una zona.
  • Esto se suele utilizar cuando vayamos a utilizar un DNS para resolver nombres en internet, hacemos que los demás servidores DNS reenvíen las consultas a este por forwarding.

Forwarder Condicional.
  • Son reenviadores configurados para realizar consultas a un DNS u otro dependiendo del nombre del dominio. 
  • En lugar de tener un servidor DNS para enviar a un reenviador todas las consultas que no pueda resolver de manera local (esto es el forwarding normal.), los servidores DNS pueden configurarse para enviar consultas a reenviadores diferentes según los nombres de dominio específicos contenidos en las consultas. El reenvío según los nombres de dominio mejora el reenvío convencional mediante la adición de una condición basada en nombres al proceso de reenvío.

Catching.
Se almacena en la caché la dirección durante 'X' tiempo para no volver a pedirla y realizar todo el proceso del principio. Éste tiempo es configurable.

Zona directa e inversa DNS.
Dentro de un DN tenemos zons directa y zona inversa:
  • Directa: Se especifican los Fqdn.
  • Inversa: Hablamos de identificadores de red (ip).
 Un registro de tipo PTR (que se encuentran en la parte inversa) siempre va asociado a un registro de tipo A (directa). Y un registro de tipo A (directa) siempre va ligado a un PTR (inveras).

Para la tolerancia a fallos disponemos de las siguientes zonas:
  • Zona principal  o primaria: Dispondremos de una zona directa e inversa. Es de lectura y escritura.
  • Zona secundaria: Copia de la zona primaria. Es de solo lectura. Lo usamos para tolerancia a fallos.
  • Zona de código auxiliar: Aquí sólo tendremos algunos registros.
Para que un servidor DNS ejerzca de DNS secundario debo habilitar al principal la transferencia de zona.


Cajón del sastre.


IMPORTANTE: Un DNS con una zona secundaria no puede ser integrado en directorio activo, para ello lo debemos hacer principal. Con esto dejamos claro que el servicio DNS no tiene dependencia de directorio activo, es alreves el directorio activo tiene dependencia de DNS.

Nota: Cuando creamos un servidor DNS sin integrar en directorio activo, se crear un archivo con extensión ".dns".

Para aplicar cambios no hace falta replicar el controlador de dominio. En la práctica cuando se crea un DNS y lno lo integramos en directorio activo, lo que hacemos es un DNS dinámico. No se replicará mediante directorio activo.

Si integramos el DNS en directorio activo, se borraría el archivo con extensión ".dns" y se integraría en la parte de aplicación. Con lo que utilizariamos la replicación de directorio activo y no la de DNS. Por lo que si tengo DNS y directorio activo integrados se replicarían a todos los DNS.

Para forzar el registro de un equipo en un servidor DNS hacemos uso de la instrucción ipconfig /registerdns.

Buenas formas: Para comprobar que el DNS funciona de forma correcta lo que hacemos es hacer ping mediante nombres Fqdn. Y con el uso de nslookup en la linea de comandos podemos ver cual es la dirección de capa 3 del servidor DNS.

Hacer que coincida el nombre de zona con el nombre del dominio.

Nota: El primer controlador de dominio que se crea no tiene que ser DNS, si en el primer adaptador indicamos que tenemos un servidor DNS y es cierto, al realizar el dcpromo no nos obligará a hacerlo DNS.

Group Policy Object (GPO) 

Hemos hablado de políticas de grupo de la cuál hablaré mas en profundidad en mi siguiente post.

No hay comentarios:

Publicar un comentario