DNS: Resolución de Nombres Mediante Reenviadores Condicionales

Una de las preguntas y dificultades de comprensión de funcionamiento que veo regularmente están relacionadas con el funcionamiento del servicio DNS, y sobre todo cuando hay que resolver nombres entre Dominios diferentes

La resolución entre máquinas de nombres de Dominios diferentes en Active Directory es fundamental cuando se requiere acceso de uno a otro y en especial con Relaciones de Confianza. Esto no presenta en general problemas cuando todo está dentro del mismo Bosque (Forest), pero cuando son diferentes es distinto pues hay que configurarlo específicamente

Hay tres métodos diferentes para resolver el problema:

Zonas Secundarias (“Secondary Zones”)
Reenviadores Condicionales (“Conditional Forwarders”)
Zonas de Código Auxiliar (“Stub Zones”)

El objetivo de esta nota no es la explicación de cómo es el funcionamiento del servicio, ya que si alguien tiene dudas puede consultar:

En esta ocasión veremos el segundo: mediante Zonas Reenviadores Condicionales

La infraestructura existente de la que partiré consiste de dos instalaciones de Windows Server 2012 R2, pero es válido totalmente para versiones anteriores, y supongo que futuras, ya que el servicio DNS no presenta novedades para este tipo de configuración

Cada instalación es el Controlador de Dominio de su propio Bosque (Forest):

DC1-A.Domain-A.local – 172.16.1.1/16
DC1-B.Domain-B.local – 172.16.2.2/16

Antes de comenzar observemos algunas cosas importantes. Como ambos son Controladores de Dominio tienen permitida la conectividad mediante PING (ICMP) y se puede acceder tanto por “hostname” como por dirección IP, pero no si utilizamos FQDN que es lo que necesitaremos si luego tuviéramos que hacer una relación de confianza entre los Dominios

Incluso, podemos verificar la preferencia de uso de IPv6 sobre IPv4

Comenzamos en DC1-A.Domain-A.local en la consola DNS, sobre la carpeta “Conditional Fowarders” con botón derecho y siguiendo el asistente

Indicamos el nombre del Dominio correspondiente, y la dirección IP del servidor DNS que es autoridad de dicha zona. Observen que en la siguiente pantalla se nota algo que considero un pequeño “bug” pues indica como que no lo puede encontrar, aunque la conectividad es correcta. Podemos seguir adelante pues no presentará problemas más adelante

Observemos que se ha configurado correctamente

Y que hemos solucionado el tema de resolución de nombres que nos faltaba

Si necesitáramos resolución en ambos sentidos, deberemos repetir el procedimiento, sólo que el reenvío sería en sentido opuesto

En la próxima nota continuaremos, pero utilizando Zonas de Código Auxiliar (“Stub Zones”)
DNS: Resolución de Nombres Mediante “Stub Zones”

Comentarios

Julio El 11/10/2016 a las 19:47
Permalink | Responder

Que tal Guillermo,
Unas dudas, al estar tus equipos vmware en dos redes distintas, como lograste que los servidores se comunicaran entre ambos.

Y siguiendo tu ejemplo, supongamos que Domain A, tiene un Forwarder a un ISP para resolver DNS públicos.

Y tengo en otra red, otro servidor DNS (no en dominio) con su propio Forwarder hacia su ISP.

El objetivo es que desde las PCs de dominio A puedan hacer un ping a una PC de esta otra red.

Además de establecer un reenviador condicional, es necesario considerar otras cosas, ya que en cada red las PCs clientes tienen su propio gateway ?

Gracias y Saludos
- Guillermo Delprato El 12/10/2016 a las 07:23
  Permalink | Responder
  
  Hola Julio, hay varias notas donde se explica y demuestra la conectividad entre diferentes redes en VMware
  VMware Workstation – Parte 3 El Administrador de Redes | WindowServer:
  https://windowserver.wordpress.com/2015/03/03/vmware-workstation-parte-3-el-administrador-de-redes/
  VMware Workstation – Parte 5 Conectividad Entre las Diferentes Clases de Redes | WindowServer:
  https://windowserver.wordpress.com/2015/03/17/vmware-workstation-parte-5-conectividad-entre-las-diferentes-clases-de-redes/
  VMWare Workstation: Uso de Redes Virtuales y Ejemplos de Utilización | WindowServer:
  https://windowserver.wordpress.com/2016/02/02/vmware-workstation-uso-de-redes-virtuales-y-ejemplos-de-utilizacin/
  VMware – Redes en Laboratorio de Pruebas | WindowServer:
  https://windowserver.wordpress.com/2016/02/23/vmware-redes-en-laboratorio-de-pruebas/
  Para una configuración en particular para tu entorno por favor recurre a un foro de soporte, y agrega datos que permitan comprender y que te puedan ayudar, por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Jorge El 17/12/2016 a las 13:17
Permalink | Responder

Hola, excelente articulo como siempre. Bien ahora si por ejemplo tengo aplicaciones en la nube, y estoy en un dominios. Y quiero redirigir las consultas de IPs que no estan dentro de mi dominio. Te consulto. el servidor reeviador que agrego, ese deberia estar autorizado en AD mas conexione a internet? Gracias
- Guillermo Delprato El 17/12/2016 a las 15:32
  Permalink | Responder
  
  Hola Jorge, no comprendo bien la pregunta
  «Reenviadores» es: «todo lo que no sepas, pregúntale a tal DNS»
  «Reenviadores condicionales» es: «si no sabes lo que te pregunto, y además el sufijo de dominio es XXXX.XXX, pregúntale a tal DNS»
  Un servidor DNS nunca reenviará por un sufijo de dominio del cual es autoridad (tiene la zona correspondiente, primaria o secundaria). Y tampoco si es subdominio, si es autoridad. Esto lo hace por delegación de dominio
  Si la aplicación/servicio/máquina está en la nube, al lado, o es una virtual local, a DNS no le importa :)
  Para resolver un nombre no se necesita ninguna autorización del Dominio AD; para registrarse en el DNS sí
René Llamoccca El 14/10/2017 a las 11:15
Permalink | Responder

Estimado Guillermo me podrías indicar cual seria la configuración por power shell de los reenviadores condicionales.
- Guillermo Delprato El 16/10/2017 a las 07:48
  Permalink | Responder
  
  https://www.google.com.ar/search?q=powershell+dns+forwarders&oq=powershell+dns+for&gs_l=psy-ab.1.0.0l2j0i22i30k1l8.3292.10419.0.14384.20.20.0.0.0.0.93.1141.20.20.0….0…1.1.64.psy-ab..0.20.1138…46j0i67k1j0i46k1j0i10i67k1.0.27WMA1PLS_c

Trackbacks

Por DNS: Resolución de Nombres Mediante Zonas Secundarias | WindowServer el 11/02/2014 a las 09:02

[…] En la próxima nota continuaremos, pero utilizando Reenviadores Condicionales DNS: Resolución de Nombres Mediante Reenviadores Condicionales […]
Por » DNS: Resolución de Nombres Mediante Zonas Secundarias WindowServer el 12/02/2014 a las 13:40

[…] En la próxima nota continuaremos, pero utilizando Reenviadores Condicionales DNS: Resolución de Nombres Mediante Reenviadores Condicionales […]
Por DNS: Resolución de Nombres Mediante “Stub Zones” | WindowServer el 18/02/2014 a las 13:58

[…] Reenviadores Condicionales (“Conditional Forwarders”) […]
Por Relaciones de Confianza (Trusts) – “Parent-Child” y “Tree-Root” | WindowServer el 16/04/2014 a las 13:42

[…] DNS: Resolución de Nombres Mediante Reenviadores Condicionales […]
Por DNS – Dominios y la Zona “_msdcs” | WindowServer el 15/08/2017 a las 06:36

[…] DNS: Resolución de Nombres Mediante Reenviadores Condicionales | WindowServer: https://windowserver.wordpress.com/2014/02/11/dns-resolucin-de-nombres-mediante-reenviadores-condici… […]

Este espacio es para comentarios sobre la nota. No es un sitio de soporte Cancelar la respuesta

Introduce aquí tu comentario...

Introduce tus datos o haz clic en un icono para iniciar sesión:

Correo electrónico (obligatorio) (La dirección no se hará pública)

Nombre (obligatorio)

Web

Estás comentando usando tu cuenta de WordPress.com. ( Salir / Cambiar )

Estás comentando usando tu cuenta de Facebook. ( Salir / Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

WindowServer