Luego de haber visto en la Parte 1 y Parte 2, el funcionamiento básico del servicio DNS, vamos a ver ahora, algo muy interesante como es la integración de DNS en (dentro de) Directorio Activo – Active Directory.
Una de los grandes cambios que comenzó Windows Server 2000 y que fue mejorado cada vez más con las nuevas versiones Windows 2003, Windows 2008 y Windows 2008-R2, es la posibilidad de integrar la zona en el Directorio Activo – Active Directory, vamos a ver algunas de las ventajas principales.
Lo primero que debemos considerar es que el servicio DNS es fundamental para el funcionamiento de Active Directory, es uno de los requerimientos para su funcionamiento por los siguientes usos:
- Los clientes buscan a los Controladores de Dominio a través de DNS
Esto es fundamental para que tanto los equipos como los usuarios puedan autenticarse en el Dominio - Los Controladores de Dominio se encuentran entre sí a través del servicio DNS.
Esto permite la replicación del Directorio Activo entre ellos - Los Controladores de Dominio encuentran a los que tienen la funcionalidad de Catálogo Global usando el servicio DNS
Inclusive un Controlador de Dominio lo pregunta al DNS aunque él mismo sea Catálogo Global
Si hay un problema de configuración del servicio DNS los problemas que se pueden presentar son múltiples y muchos graves.
Para nombrar sólo algunos ejemplos:
- Un cliente que demora en arrancar 15 minutos o más
- Un Controlador de Dominio que demora en arrancar casi una hora
- Problemas de autenticación de usuarios
- Problemas de replicación entre Controladores de Dominio
- Y muchos más. Hasta he visto una ocasión donde los usuarios no podían cerrar sesión, la finalizaba el “timeout” interno de 10 minutos
Por lo tanto es fundamental tener una buena estructura de DNS, e integrarla en Active Directory tiene ventajas importantes.
Primero una aclaración básica, para poder integrar DNS en Active Directory el servicio debe estar instalado en un Controlador de Dominio, y a partir de eso obtendremos las siguientes ventajas:
Tolerancia a Fallas
Ya que todos los Controladores de Dominio pueden escribir en la base de Active Directory, cualquier Controlador de Dominio que tenga el servicio DNS funciona como si tuviera la zona primaria, esto es, acepta cambios.
Seguridad en la Transferencia de Zonas
La replicación de la información de las Zonas, se hace como parte de la replicación de Active Directory. Esto hace que la misma se haga en forma cifrada y protegida.
Seguridad en las Actualizaciones Dinámicas
En cada Zona integrada, e inclusive en cada registración hay una lista de control de acceso (ACL, similar a los permisos sobre archivos) que indica quién puede registrarse o modificar registros. Por omisión sólo los equipos miembros del Dominio. O inclusive puede usarse para delegación de la administración de la Zona en otros usuarios o grupos.
Aprovechamiento de enlaces WAN
Como la información de la Zona se replica como parte de Active Directory, si en el mismo hemos configurados Sitios (Sites), Subredes (Subnets) y Enlaces (Link), se replicará en forma compactada y de acuerdo a la programación que tengamos entre Sitios (Sites)
Configuración de Zonas
Además, si hemos dejado que la promoción (DCPROMO.EXE) haya instalado y configurado el servicio DNS, o bien lo podríamos también hacerlo manualmente, se crean dos Zonas con diferente ámbito de replicación.
Esto se logra mediante la utilización de “Application Partitions”.
Si por ejemplo supongamos que nuestro Dominio Active Directory se llama “Dominio.sufijo”, entonces se crearán dos Zonas.
Una se llamará “Dominio.sufijo” y se replicará a todos los Controladores de Dominio del propio Dominio que tengan el servicio DNS instalado.
La otra se llamará “_msdcs.dominio.sufijo” y se replicará a todos los Controladores de Dominio del Bosque (Forest) que tengan el servicio DNS instalado.
Es muy importante que la zona “_msdcs.dominio.sufijo” sea accesible a todos los Controladores de Domino de nuestro Bosque, ya que esta Zona del Dominio Raíz es la única que contiene los registros (SRV) de los Catálogo Global.
WindowServer 
Comentarios
Pibe, parece que conoces mucho del tema. Quisiera hacerte una consulta. Tengo que promover un winserver 2008 R2 de WORKGROUP a DOMAIN para implementar el AD y todas sus ventajas. En dicho equipo hay un par de DB SQLServer y un servidor de correo (HmailServer) El equipo está P2P en la red LAN y sus DNS servers son externos.
Al hacer el dcpromo este equipo se convierte en el DNS server para los demas de la LAN?
Debo cambiar la configuración de la LAN para que los demas PCs se conecten a través de este servidor ? (Actualmente se conectan por el modem del ISP)
Como se puede afectar el acceso a las DB una vez hecha la promoción ?
Esas son entre otras las preguntas, de repente te envío mas :=)
Un saludo desde Colombia
Mauro M.
Al crear un Dominio, tanto el server como todos los clientes tienen que apuntar como DNS únicamente al que resuelve el AD
Para que todos puedan resolver nombres de Internet, en el DNS tenés que configurar la ficha Reenviadores, poniendo los del ISP
Antes de promoverlo, configurá al server para que se apunte como DNS a sí mismo, después durante la promoción te va a dar la opción de que lo instale y configure automáticamente el servicio DNS, decile que lo haga.
Luego en el DNS en la ficha Reenviadores, le ponés los DNSs del ISP
Y todos los clientes que usen como DNS *únicamente* al Controlador de Dominio
El Default Gateway mantenés el mismo que tengas
Los clientes «no salen por el DNS», el DNS les resuelve los nombres a las IPs correspondientes. Siguen saliendo por el Router
Como te va a afectar el cambio al mailserver, y a las bases, ni idea, pero seguro que bastante. Pensá solamente que los usuarios, aunque se llamen igual son otros, ya que vas a pasar de cuentas locales a cuentas de Dominio
Un buen lugar para hacer preguntas, y que hay varios que responden, y que hay especialistas en cada tema son los foros de Technet en español. Sólo fijate de poner la pregunta en el foro adecuado al tema y describiendo la situación
Los foros están en: http://social.technet.microsoft.com/forums/es-ES/categories/
La verdad que tus tutoriales son excelentes, me gustaría hacerte una pregunta en relación a que tengo 2 servidores uno con Windows 2000 advanced server y otro Windows 2008 R2 Enterprise de 64 bits, yo lo que quiero hacer es que entre ambos exista una relación de confianza, tanto que le permita a los usuarios del server 2008 ejecutar un sistema que esta hecho en fox26 por eso el server 2000, estuve intentando hacer varias cosas ,agregar el dominio del w2000 al árbol del 2008 pero no me dejo , tiene que ver el dns aca? que me sugerís?
Hola Javier ¡Gracias por el comentario! me alegra te sirvan las notas
Pero primero aclaremos las cosas :) Las relaciones de confianza son entre *Dominios AD*, no son entre servidores. Además si se han creado los Dominios en Bosques separados no tienes formas de unirlos en uno sólo
Ahora si la pregunta, para poder crear relaciones de confianza entre Dominios, es necesario que se puedan resolver los nombres de los mismos, tanto para un lado como para el otro
Esto se hace normalmente con «Reenviadores Condicionales» y relaciones de confianza, en tu caso, deben ser de tipo Externas
Te paso enlaces a notas relacionadas
– Relaciones de Confianza (Domain Trusts – Forest Trusts) | WindowServer
– DNS: Resolución de Nombres Mediante Reenviadores Condicionales | WindowServer
– Relaciones de Confianza (Trusts) – “External Trusts” | WindowServer
Si en realidad el 2008 ya es un AD y el 2000 lo estoy queriendo hacer un AD pero dentro del bosque del 2008 y me da errores de contraseña o de usuario sin permisos, sin embargo le pongo el usuario admin del servidor 2008 miembro del grupo Enterprise como lei en otro tutorial tuyo y nada, tambien intente hacer lo de «Reenviadores condicionales» y me da error no me deja terminar de crearla, Pero bueno voy a terminar de leer todos tus tutoriales para clarificar bien los terminos e intentar todo lo que sea necesario, igual lo estoy haciendo sobre servidores virtuales asi que puedo cambiar y modificar todo lo que sea necesario , estoy probando porque necesito poner en produccion estos servidores en una dependencia donde hay un Novell 3.12 (jaja…ya se, antiguedad total).
abrazo y desde ya mil gracias, es muy capo lo tuyo!!!
Si el W2008 ya es Controlador de Dominio de un Dominio, y el W2000 está en grupo de trabajo (no Dominio) entonces es todo mucho más fácil
Simplemente en el W2000 le pones que use como DNS al W2008, y cuando ejecutas el DCPROMO le indicas la opción para que sea «controlador de dominio adicional en un dominio existente». Le indicas el nombre del Dominio (usando «dominio.sufijo) y ya está
Pruebo y te comento. Muchas Gracias
Hola novabytespepitogrillo, si puedo resolver algo puntual cuenta conmigo, pero recuerda que este no es un lugar de soporte :)
muy buenos los tutoriales, voy a revisar mas y pedire tu apoyo si no lo puedo resolver
Hola Edwin, si puedo resolver algo puntual cuenta conmigo, pero recuerda que este no es un lugar de soporte :)
¡Gracias por el comentario!
Excelente, Muchas Gracias !!!!
¡Gracias Francisco!
Hola que tal Estas? Muy interesante el tema DNS y seguramente mas importante de lo que a veces pensamos, y para mi quizas un poco desconocido como configurar . Se me presenta un problema en mi empresa. No se si ha sucedido siempre o es algo reciente. TEngo varias delegaciones cada uno con su servidor que hace la funcion que antiguamente hacia un BDC , servidor de archivos, DHCP DNS , etc . Estamos pasando poco a poco algunos equipos a WIN7 ( trabajabamos hasta ahora con Win XP ) y me doy cuenta que no me aparecen ( insisto no se si ha sido asi desde el principio o recientemente ) en zona de busqueda inversa. Si que me aparece en zona de busqueda directa por lo que el error parece que es menos grave.
Como curiosidad , tengo una de las delegaciones que si que me aparecen, y en otra de las zonas me aparecen 4 ordenadores que tienen IP Fija ( el resto esta por DHCP .
NO se si hay algo que desconozco en la configuracion o si esto es normal. Podriais orientarme un poco??
Muchas gracias y perdon si me explique mal.
Hola Diego ¿BDC??? :) estamos entre los «vieja época» :)
Una de las características de los BDCs era justamente que eran de sólo lectura, pero esto se acabó desde W2000
Primero aclarar que la zona inversa no es necesaria para el funcionamiento de Active Directory, más que nada se utiliza como una ayuda para cuando hay problemas
Hay datos que me faltan para darte una respuesta completa, por ejemplo
– ¿Es un único Dominio en todas las delegaciones?
– ¿Todos los Controladores de Dominio tienen instalado DNS?
Suponiendo que estas dos son así, lo primero a revisar es si la zona inversa tiene permitidas las actualizaciones dinámicas y preferiblemente seguras integradas en AD
Y lo otro a tener en cuenta es cómo está configurado el ámbito de replicación de estas zonas
O si no estuvieran integradas en AD, si hay configuradas zonas secundarias
Si aparecen máquinas con IP fija, pero no las que toman por DHCP, entonces seguramente eso es algo que se cambiado en el DHCP, ya que por omisión el que se encarga de la registración inversa es el propio DHCP cuando asigna IPs a los clientes
Hola guillermo gracias por la respuesta. NO vi que me habias conquistado. Si vija escuela, jajaja Empece con el NT 4.0 . Es un unico dominio, y todos los controladores tienen el servicio DNS instalado. Si no tiene ninguna importancia dentro del Active directory no le dare mas valor del que tiene. Lo que pasa que me ha parecido curioso. He mirado la configuracion del DHCP y no he visto nada que este diferente de un servidor a otro. LAs actualizaciones dinamicas estan activas solo para seguras.Lo de la replicacion del ambito no le veo motivo por que ocurre en el servidor que esta presente en ese mismo ambito asi que eso lo descarto.
Igual hay algo que no se mirar o hacer, pero como ya te digo, si no es problema, no le dare mas importancia.
Muchisimas gracias. Saludos
Si la zona inversa permite actualizaciones dinámicas seguras, entonces está integrada en AD, y por omisión se debería replicar. En las propiedades de la zona inversa tienes un botón para configurar el ámbito de replicación
Por otro lado, cuando los clientes toman configuración IP desde un DHCP, es éste quien hace la registración en DNS. No tengo ahora ninguno a mano para darte el detalle, pero supongo que en la consola DHCP en las propiedades del servidor está la opción para que registre en la inversa y con qué cuenta se hace
Pero, como mencioné antes, Active Directory no usa ni necesita la resolución inversa
Hola, mi consulta es… si tengo un unico dominio con 5 controladores de dominio que tienen la zona integrada en AD, como puedo hacer para aislar uno de ellos de la replica? osea, quiero que uno de ellos No replique mas la información de la zona en los demás, con solo configurar la zona para que no sea mas una Zona Integrada de Active directory en el servidor que quiero aislar es suficiente?
Muchas Gracias!
Hola Gaston, que yo sepa eso no se puede hacer. Al estar dentro del NTDS.DIT eso se replica en todos los Controladores de Dominio del Dominio
Trackbacks
[…] Cómo Funciona DNS – Parte 3 – Integración con Active Directory […]
[…] Cómo Funciona DNS – Parte 3 – Integración con Active Directory […]
[…] Cómo Funciona DNS – Parte 3 – Integración con Active Directory […]
[…] Cómo Funciona DNS – Parte 3 – Integración con Active Directory […]
[…] Cómo Funciona DNS – Parte 3 – Integración con Active Directory […]
[…] Cómo Funciona DNS – Parte 3 – Integración con Active Directory […]
[…] Cómo Funciona DNS – Parte 3 – Integración con Active Directory […]
[…] Cómo Funciona DNS – Parte 3 – Integración con Active Directory […]
[…] Cómo Funciona DNS – Parte 3 – Integración con Active Directory […]
[…] Continua en “Cómo funciona DNS – Parte 2” y “Cómo Funciona DNS – Parte 3 – Integración con Active Directory” […]
[…] Continua en “Cómo Funciona DNS – Parte 3 – Integración con Active Directory” […]
[…] Cómo Funciona DNS – Parte 3 – Integración con Active Directory […]
[…] Cómo Funciona DNS – Parte 3 – Integración con Active Directory | WindowServer: https://windowserver.wordpress.com/2011/06/24/cmo-funciona-dns-parte-3-integracin-con-active-directo… […]