Cómo Funciona DNS – Parte 3 – Integración con Active Directory

Luego de haber visto en la Parte 1 y Parte 2, el funcionamiento básico del servicio DNS, vamos a ver ahora, algo muy interesante como es la integración de DNS en (dentro de) Directorio Activo – Active Directory.

Una de los grandes cambios que comenzó Windows Server 2000 y que fue mejorado cada vez más con las nuevas versiones Windows 2003, Windows 2008 y Windows 2008-R2, es la posibilidad de integrar la zona en el Directorio Activo – Active Directory, vamos a ver algunas de las ventajas principales.

Lo primero que debemos considerar es que el servicio DNS es fundamental para el funcionamiento de Active Directory, es uno de los requerimientos para su funcionamiento por los siguientes usos:

  • Los clientes buscan a los Controladores de Dominio a través de DNS
    Esto es fundamental para que tanto los equipos como los usuarios puedan autenticarse en el Dominio
  • Los Controladores de Dominio se encuentran entre sí a través del servicio DNS.
    Esto permite la replicación del Directorio Activo entre ellos
  • Los Controladores de Dominio encuentran a los que tienen la funcionalidad de Catálogo Global usando el servicio DNS
    Inclusive un Controlador de Dominio lo pregunta al DNS aunque él mismo sea Catálogo Global

Si hay un problema de configuración del servicio DNS los problemas que se pueden presentar son múltiples y muchos graves.

Para nombrar sólo algunos ejemplos:

  • Un cliente que demora en arrancar 15 minutos o más
  • Un Controlador de Dominio que demora en arrancar casi una hora
  • Problemas de autenticación de usuarios
  • Problemas de replicación entre Controladores de Dominio
  • Y muchos más. Hasta he visto una ocasión donde los usuarios no podían cerrar sesión, la finalizaba el “timeout” interno de 10 minutos

Por lo tanto es fundamental tener una buena estructura de DNS, e integrarla en Active Directory tiene ventajas importantes.

Primero una aclaración básica, para poder integrar DNS en Active Directory el servicio debe estar instalado en un Controlador de Dominio, y a partir de eso obtendremos las siguientes ventajas:

Tolerancia a Fallas
Ya que todos los Controladores de Dominio pueden escribir en la base de Active Directory, cualquier Controlador de Dominio que tenga el servicio DNS funciona como si tuviera la zona primaria, esto es, acepta cambios.

Seguridad en la Transferencia de Zonas
La replicación de la información de las Zonas, se hace como parte de la replicación de Active Directory. Esto hace que la misma se haga en forma cifrada y protegida.

Seguridad en las Actualizaciones Dinámicas
En cada Zona integrada, e inclusive en cada registración hay una lista de control de acceso (ACL, similar a los permisos sobre archivos) que indica quién puede registrarse o modificar registros. Por omisión sólo los equipos miembros del Dominio. O inclusive puede usarse para delegación de la administración de la Zona en otros usuarios o grupos.

Aprovechamiento de enlaces WAN
Como la información de la Zona se replica como parte de Active Directory, si en el mismo hemos configurados Sitios (Sites), Subredes (Subnets) y Enlaces (Link), se replicará en forma compactada y de acuerdo a la programación que tengamos entre Sitios (Sites)

Configuración de Zonas
Además, si hemos dejado que la promoción (DCPROMO.EXE) haya instalado y configurado el servicio DNS, o bien lo podríamos también hacerlo manualmente, se crean dos Zonas con diferente ámbito de replicación.
Esto se logra mediante la utilización de “Application Partitions”.

Si por ejemplo supongamos que nuestro Dominio Active Directory se llama “Dominio.sufijo”, entonces se crearán dos Zonas.

Una se llamará “Dominio.sufijo” y se replicará a todos los Controladores de Dominio del propio Dominio que tengan el servicio DNS instalado.

La otra se llamará “_msdcs.dominio.sufijo” y se replicará a todos los Controladores de Dominio del Bosque (Forest) que tengan el servicio DNS instalado.

Es muy importante que la zona “_msdcs.dominio.sufijo” sea accesible a todos los Controladores de Domino de nuestro Bosque, ya que esta Zona del Dominio Raíz es la única que contiene los registros (SRV) de los Catálogo Global.

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Mauro MArtin  On 16/03/2012 at 18:57

    Pibe, parece que conoces mucho del tema. Quisiera hacerte una consulta. Tengo que promover un winserver 2008 R2 de WORKGROUP a DOMAIN para implementar el AD y todas sus ventajas. En dicho equipo hay un par de DB SQLServer y un servidor de correo (HmailServer) El equipo está P2P en la red LAN y sus DNS servers son externos.
    Al hacer el dcpromo este equipo se convierte en el DNS server para los demas de la LAN?
    Debo cambiar la configuración de la LAN para que los demas PCs se conecten a través de este servidor ? (Actualmente se conectan por el modem del ISP)
    Como se puede afectar el acceso a las DB una vez hecha la promoción ?
    Esas son entre otras las preguntas, de repente te envío mas :=)
    Un saludo desde Colombia
    Mauro M.

    • Delprato  On 16/03/2012 at 19:32

      Al crear un Dominio, tanto el server como todos los clientes tienen que apuntar como DNS únicamente al que resuelve el AD
      Para que todos puedan resolver nombres de Internet, en el DNS tenés que configurar la ficha Reenviadores, poniendo los del ISP

      Antes de promoverlo, configurá al server para que se apunte como DNS a sí mismo, después durante la promoción te va a dar la opción de que lo instale y configure automáticamente el servicio DNS, decile que lo haga.
      Luego en el DNS en la ficha Reenviadores, le ponés los DNSs del ISP
      Y todos los clientes que usen como DNS *únicamente* al Controlador de Dominio
      El Default Gateway mantenés el mismo que tengas
      Los clientes “no salen por el DNS”, el DNS les resuelve los nombres a las IPs correspondientes. Siguen saliendo por el Router

      Como te va a afectar el cambio al mailserver, y a las bases, ni idea, pero seguro que bastante. Pensá solamente que los usuarios, aunque se llamen igual son otros, ya que vas a pasar de cuentas locales a cuentas de Dominio

      Un buen lugar para hacer preguntas, y que hay varios que responden, y que hay especialistas en cada tema son los foros de Technet en español. Sólo fijate de poner la pregunta en el foro adecuado al tema y describiendo la situación
      Los foros están en: http://social.technet.microsoft.com/forums/es-ES/categories/

  • Javier Cantero  On 27/03/2015 at 12:45

    La verdad que tus tutoriales son excelentes, me gustaría hacerte una pregunta en relación a que tengo 2 servidores uno con Windows 2000 advanced server y otro Windows 2008 R2 Enterprise de 64 bits, yo lo que quiero hacer es que entre ambos exista una relación de confianza, tanto que le permita a los usuarios del server 2008 ejecutar un sistema que esta hecho en fox26 por eso el server 2000, estuve intentando hacer varias cosas ,agregar el dominio del w2000 al árbol del 2008 pero no me dejo , tiene que ver el dns aca? que me sugerís?

    • Guillermo Delprato  On 27/03/2015 at 13:58

      Hola Javier ¡Gracias por el comentario! me alegra te sirvan las notas
      Pero primero aclaremos las cosas :) Las relaciones de confianza son entre *Dominios AD*, no son entre servidores. Además si se han creado los Dominios en Bosques separados no tienes formas de unirlos en uno sólo
      Ahora si la pregunta, para poder crear relaciones de confianza entre Dominios, es necesario que se puedan resolver los nombres de los mismos, tanto para un lado como para el otro
      Esto se hace normalmente con “Reenviadores Condicionales” y relaciones de confianza, en tu caso, deben ser de tipo Externas
      Te paso enlaces a notas relacionadas
      – Relaciones de Confianza (Domain Trusts – Forest Trusts) | WindowServer
      https://windowserver.wordpress.com/2011/12/13/relaciones-de-confianza-domain-trusts-forest-trusts/
      – DNS: Resolución de Nombres Mediante Reenviadores Condicionales | WindowServer
      https://windowserver.wordpress.com/2014/02/11/dns-resolucin-de-nombres-mediante-reenviadores-condicionales/
      – Relaciones de Confianza (Trusts) – “External Trusts” | WindowServer
      https://windowserver.wordpress.com/2014/05/05/relaciones-de-confianza-trusts-external-trusts/

      • novabytespepitogrillo  On 28/03/2015 at 00:06

        Si en realidad el 2008 ya es un AD y el 2000 lo estoy queriendo hacer un AD pero dentro del bosque del 2008 y me da errores de contraseña o de usuario sin permisos, sin embargo le pongo el usuario admin del servidor 2008 miembro del grupo Enterprise como lei en otro tutorial tuyo y nada, tambien intente hacer lo de “Reenviadores condicionales” y me da error no me deja terminar de crearla, Pero bueno voy a terminar de leer todos tus tutoriales para clarificar bien los terminos e intentar todo lo que sea necesario, igual lo estoy haciendo sobre servidores virtuales asi que puedo cambiar y modificar todo lo que sea necesario , estoy probando porque necesito poner en produccion estos servidores en una dependencia donde hay un Novell 3.12 (jaja…ya se, antiguedad total).
        abrazo y desde ya mil gracias, es muy capo lo tuyo!!!

      • Guillermo Delprato  On 28/03/2015 at 08:07

        Si el W2008 ya es Controlador de Dominio de un Dominio, y el W2000 está en grupo de trabajo (no Dominio) entonces es todo mucho más fácil
        Simplemente en el W2000 le pones que use como DNS al W2008, y cuando ejecutas el DCPROMO le indicas la opción para que sea “controlador de dominio adicional en un dominio existente”. Le indicas el nombre del Dominio (usando “dominio.sufijo) y ya está

  • novabytespepitogrillo  On 28/03/2015 at 08:47

    Pruebo y te comento. Muchas Gracias

    • Guillermo Delprato  On 30/03/2015 at 08:05

      Hola novabytespepitogrillo, si puedo resolver algo puntual cuenta conmigo, pero recuerda que este no es un lugar de soporte :)

  • Edwin  On 28/03/2015 at 21:40

    muy buenos los tutoriales, voy a revisar mas y pedire tu apoyo si no lo puedo resolver

    • Guillermo Delprato  On 30/03/2015 at 08:05

      Hola Edwin, si puedo resolver algo puntual cuenta conmigo, pero recuerda que este no es un lugar de soporte :)
      ¡Gracias por el comentario!

  • Francisco Vielma  On 25/05/2015 at 16:02

    Excelente, Muchas Gracias !!!!

  • Diego Ruiz  On 29/10/2015 at 06:48

    Hola que tal Estas? Muy interesante el tema DNS y seguramente mas importante de lo que a veces pensamos, y para mi quizas un poco desconocido como configurar . Se me presenta un problema en mi empresa. No se si ha sucedido siempre o es algo reciente. TEngo varias delegaciones cada uno con su servidor que hace la funcion que antiguamente hacia un BDC , servidor de archivos, DHCP DNS , etc . Estamos pasando poco a poco algunos equipos a WIN7 ( trabajabamos hasta ahora con Win XP ) y me doy cuenta que no me aparecen ( insisto no se si ha sido asi desde el principio o recientemente ) en zona de busqueda inversa. Si que me aparece en zona de busqueda directa por lo que el error parece que es menos grave.
    Como curiosidad , tengo una de las delegaciones que si que me aparecen, y en otra de las zonas me aparecen 4 ordenadores que tienen IP Fija ( el resto esta por DHCP .
    NO se si hay algo que desconozco en la configuracion o si esto es normal. Podriais orientarme un poco??
    Muchas gracias y perdon si me explique mal.

    • Guillermo Delprato  On 29/10/2015 at 08:27

      Hola Diego ¿BDC??? :) estamos entre los “vieja época” :)
      Una de las características de los BDCs era justamente que eran de sólo lectura, pero esto se acabó desde W2000
      Primero aclarar que la zona inversa no es necesaria para el funcionamiento de Active Directory, más que nada se utiliza como una ayuda para cuando hay problemas
      Hay datos que me faltan para darte una respuesta completa, por ejemplo
      – ¿Es un único Dominio en todas las delegaciones?
      – ¿Todos los Controladores de Dominio tienen instalado DNS?
      Suponiendo que estas dos son así, lo primero a revisar es si la zona inversa tiene permitidas las actualizaciones dinámicas y preferiblemente seguras integradas en AD
      Y lo otro a tener en cuenta es cómo está configurado el ámbito de replicación de estas zonas
      O si no estuvieran integradas en AD, si hay configuradas zonas secundarias
      Si aparecen máquinas con IP fija, pero no las que toman por DHCP, entonces seguramente eso es algo que se cambiado en el DHCP, ya que por omisión el que se encarga de la registración inversa es el propio DHCP cuando asigna IPs a los clientes

      • Diego Ruiz  On 29/10/2015 at 13:51

        Hola guillermo gracias por la respuesta. NO vi que me habias conquistado. Si vija escuela, jajaja Empece con el NT 4.0 . Es un unico dominio, y todos los controladores tienen el servicio DNS instalado. Si no tiene ninguna importancia dentro del Active directory no le dare mas valor del que tiene. Lo que pasa que me ha parecido curioso. He mirado la configuracion del DHCP y no he visto nada que este diferente de un servidor a otro. LAs actualizaciones dinamicas estan activas solo para seguras.Lo de la replicacion del ambito no le veo motivo por que ocurre en el servidor que esta presente en ese mismo ambito asi que eso lo descarto.
        Igual hay algo que no se mirar o hacer, pero como ya te digo, si no es problema, no le dare mas importancia.
        Muchisimas gracias. Saludos

      • Guillermo Delprato  On 29/10/2015 at 14:17

        Si la zona inversa permite actualizaciones dinámicas seguras, entonces está integrada en AD, y por omisión se debería replicar. En las propiedades de la zona inversa tienes un botón para configurar el ámbito de replicación
        Por otro lado, cuando los clientes toman configuración IP desde un DHCP, es éste quien hace la registración en DNS. No tengo ahora ninguno a mano para darte el detalle, pero supongo que en la consola DHCP en las propiedades del servidor está la opción para que registre en la inversa y con qué cuenta se hace
        Pero, como mencioné antes, Active Directory no usa ni necesita la resolución inversa

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: