DNS: Resolución de Nombres Mediante Reenviadores Condicionales

Una de las preguntas y dificultades de comprensión de funcionamiento que veo regularmente están relacionadas con el funcionamiento del servicio DNS, y sobre todo cuando hay que resolver nombres entre Dominios diferentes

La resolución entre máquinas de nombres de Dominios diferentes en Active Directory es fundamental cuando se requiere acceso de uno a otro y en especial con Relaciones de Confianza. Esto no presenta en general problemas cuando todo está dentro del mismo Bosque (Forest), pero cuando son diferentes es distinto pues hay que configurarlo específicamente

Hay tres métodos diferentes para resolver el problema:

El objetivo de esta nota no es la explicación de cómo es el funcionamiento del servicio, ya que si alguien tiene dudas puede consultar:

En esta ocasión veremos el segundo: mediante Zonas Reenviadores Condicionales

La infraestructura existente de la que partiré consiste de dos instalaciones de Windows Server 2012 R2, pero es válido totalmente para versiones anteriores, y supongo que futuras, ya que el servicio DNS no presenta novedades para este tipo de configuración

Cada instalación es el Controlador de Dominio de su propio Bosque (Forest):

  • DC1-A.Domain-A.local – 172.16.1.1/16
  • DC1-B.Domain-B.local – 172.16.2.2/16

Antes de comenzar observemos algunas cosas importantes. Como ambos son Controladores de Dominio tienen permitida la conectividad mediante PING (ICMP) y se puede acceder tanto por “hostname” como por dirección IP, pero no si utilizamos FQDN que es lo que necesitaremos si luego tuviéramos que hacer una relación de confianza entre los Dominios

Incluso, podemos verificar la preferencia de uso de IPv6 sobre IPv4

Comenzamos en DC1-A.Domain-A.local en la consola DNS, sobre la carpeta “Conditional Fowarders” con botón derecho y siguiendo el asistente

Indicamos el nombre del Dominio correspondiente, y la dirección IP del servidor DNS que es autoridad de dicha zona. Observen que en la siguiente pantalla se nota algo que considero un pequeño “bug” pues indica como que no lo puede encontrar, aunque la conectividad es correcta. Podemos seguir adelante pues no presentará problemas más adelante

Observemos que se ha configurado correctamente

Y que hemos solucionado el tema de resolución de nombres que nos faltaba

Si necesitáramos resolución en ambos sentidos, deberemos repetir el procedimiento, sólo que el reenvío sería en sentido opuesto

En la próxima nota continuaremos, pero utilizando Zonas de Código Auxiliar (“Stub Zones”)
DNS: Resolución de Nombres Mediante “Stub Zones”

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Julio  On 11/10/2016 at 19:47

    Que tal Guillermo,
    Unas dudas, al estar tus equipos vmware en dos redes distintas, como lograste que los servidores se comunicaran entre ambos.

    Y siguiendo tu ejemplo, supongamos que Domain A, tiene un Forwarder a un ISP para resolver DNS públicos.

    Y tengo en otra red, otro servidor DNS (no en dominio) con su propio Forwarder hacia su ISP.

    El objetivo es que desde las PCs de dominio A puedan hacer un ping a una PC de esta otra red.

    Además de establecer un reenviador condicional, es necesario considerar otras cosas, ya que en cada red las PCs clientes tienen su propio gateway ?

    Gracias y Saludos

  • Jorge  On 17/12/2016 at 13:17

    Hola, excelente articulo como siempre. Bien ahora si por ejemplo tengo aplicaciones en la nube, y estoy en un dominios. Y quiero redirigir las consultas de IPs que no estan dentro de mi dominio. Te consulto. el servidor reeviador que agrego, ese deberia estar autorizado en AD mas conexione a internet? Gracias

    • Guillermo Delprato  On 17/12/2016 at 15:32

      Hola Jorge, no comprendo bien la pregunta
      “Reenviadores” es: “todo lo que no sepas, pregúntale a tal DNS”
      “Reenviadores condicionales” es: “si no sabes lo que te pregunto, y además el sufijo de dominio es XXXX.XXX, pregúntale a tal DNS”
      Un servidor DNS nunca reenviará por un sufijo de dominio del cual es autoridad (tiene la zona correspondiente, primaria o secundaria). Y tampoco si es subdominio, si es autoridad. Esto lo hace por delegación de dominio
      Si la aplicación/servicio/máquina está en la nube, al lado, o es una virtual local, a DNS no le importa :)
      Para resolver un nombre no se necesita ninguna autorización del Dominio AD; para registrarse en el DNS sí

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: