DNS: Resolución de Nombres Mediante Zonas Secundarias

Una de las preguntas y dificultades de comprensión de funcionamiento que veo regularmente están relacionadas con el funcionamiento del servicio DNS, y sobre todo cuando hay que resolver nombres entre Dominios diferentes

La resolución entre máquinas de nombres de Dominios diferentes en Active Directory es fundamental cuando se requiere acceso de uno a otro y en especial con Relaciones de Confianza. Esto no presenta en general problemas cuando todo está dentro del mismo Bosque (Forest), pero cuando son diferentes es distinto pues hay que configurarlo

Hay tres métodos diferentes para resolver el problema:

• Zonas Secundarias (“Secondary Zones”)
• Reenviadores Condicionales (“Conditional Forwarders”)
• Zonas de Código Auxiliar (“Stub Zones”)

El objetivo de esta nota no es la explicación de cómo es el funcionamiento del servicio, ya que si alguien tiene dudas puede consultar:

• Cómo funciona DNS – Parte 1
• Cómo funciona DNS – Parte 2
• Cómo Funciona DNS – Parte 3 – Integración con Active Directory

En esta ocasión veremos el primero: mediante Zonas Secundarias

La infraestructura existente de la que partiré consiste de dos instalaciones de Windows Server 2012 R2, pero es válido totalmente para versiones anteriores, y supongo que futuras, ya que el servicio DNS no presenta novedades para este tipo de configuración

Cada instalación es el Controlador de Dominio de su propio Bosque (Forest):

• DC1-A.Domain-A.local – 172.16.1.1/16
• DC1-B.Domain-B.local – 172.16.2.2/16

Antes de comenzar observemos algunas cosas importantes. Como ambos son Controladores de Dominio tienen permitida la conectividad mediante PING (ICMP) y se puede acceder tanto por “hostname” como por dirección IP, pero no si utilizamos FQDN que es lo que necesitaremos si luego tuviéramos que hacer una relación de confianza entre los Dominios

Incluso, podemos verificar la preferencia de uso de IPv6 sobre IPv4

Comenzaremos en DC1-A.Domain-A.local creando una zona secundaria de Domain-B.local para lo cual abrimos la consola DNS y con botón derecho sobre las zonas directas comenzamos el asistente

Elegimos que vamos a crear una zona secundaria

Indicamos el nombre

Y le indicamos cuál es el “Master Server”, o sea de quien obtendrá la zona

Veremos que no se transfiere la zona, y esto tiene un motivo: las transferencias de zonas deben estar específicamente permitidas; por omisión no lo están

Así que ahora debemos ir a DC1-B.Domain-B.local para permitir la transferencia, para lo cual en la consola DNS, en las propiedades de la zona, debemos ir a la ficha “Zone Transfers” y permitirlas

En este caso, como estamos en una demostración de pruebas en ambiente de laboratorio no me preocuparé por la seguridad y permitiré las transferencias a cualquier otro servidor

Volviendo a la consola de DNS en DC1-A.Domain-A.local podemos tratar de forzar en este momento la transferencia, o esperar unos momentos hasta que la misma se ejecute. No asustarse que demora un poquito

Finalmente se transferirá

Si necesitáramos que la resolución de nombres sea en ambos sentidos deberemos repetir los procedimientos anteriores pero a la inversa, esto es, creando la zona secundaria en DC1-B y permitiéndo la transferencia en DC1-A
Quedará así

Y finalmente obtendremos la resolución de nombres FQDN

En la próxima nota continuaremos, pero utilizando Reenviadores Condicionales DNS: Resolución de Nombres Mediante Reenviadores Condicionales