El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 1)

En este blog trato principalmente temas referidas a Active Directory, el cual se apoya fuertemente en la resolución de nombres del servicio DNS, pero veo que en muchos casos hay desconocimiento sobre su funcionamiento y las diferentes configuraciones que se pueden hacer para llegar a una corecta configuración que sea optimizada e inclusive tolerante a fallas

Por esto he decidido un poco volver a las fuentes para comprender las diferentes posibilidades de configuración, desde lo más básico hasta opciones avanzadas

Lo haré de la forma más “primitiva”, esto es, con servidores en grupo de trabajo, sin actualizaciones dinámicas ni seguras; y abarcará desde la resolución de nombres públicos de Internet, hasta un ambiente de múltiples dominos con múltiples Árboles

Al finalizar la serie de notas los objetivos son demostrar:

  • Resolución de nombres públicos de Internet con dos opciones diferentes
  • Resolución de nombres internos
  • Tolerancia a fallas
  • Zonas Secundarias y configuración de transferencias de zona
  • Resolución de nombres de Subdominio, con y sin delegación de zona
  • Reenviadores Condicionales
  • Uso de “Stub Zones” (Zonas de Código Auxiliar), esas desconocidas :)

Todas las máquinas usadas en esta serie de notas son Windows Server 2012 R2 en Grupo de Trabajo

Para quien desee repasar la teoría del funcionamiento de DNS dejo enlaces a tres notas escrita ya hace tiempo

En todos los ejemplos utilizaré para mostrar la resolución de nombres el comando NSLOOKUP ya que este es una aplicación independiente dentro del sistema operativo y además de permitir configuraciones específicas no depende de la información “cacheada”. No faltará alguien que critique la forma de uso que le daré, pero el objetivo es que sea fácil para el que no comprende totalmente sus opciones y que no se confunda con su uso :)

La única máquina que utilizaré para comenzar (iremos agregando más de acuerdo a las necesidades de la demostración) es un Windows Server 2012 R2 en Grupo de Trabajo, con configuración IP adecuada para mi red, conectada a un Router que le proporciona conectividad a Internet

Para hacer que las demostraciones sean lo más claras y sencillas posibles, le he cambiado el nombre y sufijo de dominio DNS como muestra la siguiente captura, por supuesto reiniciando luego del cambio

Una configuración típica que permite salida a Internet, y por supuesto válida para mi red

Para verificar y resaltar los datos importantes muestro la salida de IPCONFIG /ALL. Observen que he puesto como DNS a un servidor de Google. En general no es aconsejable poner como DNS la dirección del Router, aunque este pueda ser “DNS proxy” por un tema de rendimiento, o a veces los DNSs del ISP no tienen la fiabilidad y rapidez necesaria

Comencemos viendo si puede resolver nombres públicos de Internet. Por supuesto que sí, pues le pregunta a un servidor DNS público de Google en Internet que no tiene problemas.
Noten que responde con la leyenda “Non-authoritative answer”. Esto significa que el servidor DNS ha respondido usando información “cacheada”, y no que ha tenido que consultar a otros servidores DNS lo cual hace que la resolución sea más rápida

Y por supuesto que teniendo resolución de nombres, y conectividad IP provista por el Router, se puede navegar por Internet

 

Usando el procedimiento conocido, instalo en la máquina el servicio DNS

En la consola de administración de DNS, en propiedades del servidor, ficha “Root Hints” podemos ver que ya por omisión y sin hacer nada, este servidor DNS tiene la información de cuáles son los servidores del dominio “.” de Internet, y por lo tanto podrá hacer cualquier resolución de nombre de Internet, lógicamente comenzando todo el proceso desde el Dominio “.” que es lo único que conoce inicialmente

Configuro en la interfaz de red para que se utilice como DNS a sí mismo, en lugar del 8.8.8.8

Y vemos si configurado de esta forma puede resolver nombres de Internet. La respuesta es “si”, pero “muy lenta”. Observen que la primera vez que intenta resolver un nombre además de los tiempos de espera agotados, resuelve solamente a la primera dirección, que como si fuera poco es IPv6, y no IPv4

Repitiendo el comando, y como ya tiene información “cacheada” (del “.com”) entonces ya resuelve sin problemas

Este tema del rendimiento lo podemos solucionar fácilmente, si en las propiedades del servidor en la consola DNS, ingresamos a la ficha “Reenviadores” y le configuramos, por ejemplo uno de Google, o podría ser del ISP, etc. por lo cual al evitar tener que “comenzar desde el ‘.’” todo será mucho más rápido. Lo haremos más adelante, por ahora dejemos como está

 

Por más que esté configurado para usarse a sí mismo como DNS, no se podrá resolver su propio nombre, esto es así porque no está creado el archivo de zona correspondiente a su sufijo de dominio (dom1.central)

Por lo tanto vamos a crear la zona correspondiente a “dom1.central” y que así pueda haber resolución de nombres locales, siguiendo el siguiente procedimiento

Completado el asistente vemos que automáticamente ha creado los registros SOA, NS y A correspondientes a la propia máquina

Con la zona correspondiente al dominio local ya creada y configurada podemos constatar que la resolución de nombres locales ya funciona

 

Volviendo un poco atrás, habíamos dejado pendiente el tema de optimizar el rendimiento para la resolución de nombres públicos de Internet, para eso utilizaremos la configuración “Reenviadores”
A partir que configuremos esto, lo que hará es que todo lo que no pueda resolver por sí mismo, y antes de comenzar el proceso por los servidores DNS de “.” le reenvíe el pedido a otro servidor DNS, lo cual normalmente es el proceso más rápido
Un tema a tener en cuenta: un servidor DNS nunca reenviará un pedido para un nombre del cual es autoridad, esto es, que tiene la zona localmente. En nuestro ejemplo, nunca reenviará un pedido que sea “CualquierNombre.dom1.central”

Configuremos entonces para que reenvíe lo que no puede resolver localmente a un DNS de Google (8.8.8.8) como se muestra

Observen que ahora la resolución es inmediata, y además en todos los casos resuelve con “non-authoritative answer”, esto es porque es muy difícil que un servidor DNS de Google tan usado, no tenga la información “cacheada” y tenga que salir a buscar desde el “.”

 

Continuaré en una próxima nota “El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 2)” donde instalaré una segunda máquina y veremos el tema de Zonas Secundarias, y configuración para su transferencia, como así también trataremos el tema de tolerancia a fallas

Anuncios
Post a comment or leave a trackback: Trackback URL.

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: