Escolar Documentos
Profissional Documentos
Cultura Documentos
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
DNS:
Funciones del servicio DNS:
-
Resolucion de nombres.
Localizador de servicios en un Directorio Activo.
Registros SRV que almacenan Los servicios disponibles en el Directorio Activo (LDAP, Kerberos, Catalogo
Global,)
Root hints
TLD (Top level domains)
DNS de ISP
Resource Record:
-
A: Nombre -> IP
PTR: IP -> Nombre
CNAME: Tambien llamada Alias. Permite asignar varios nombres de host a la misma IP.
NS: (Name Server) Guarda los hosts que funcionan como servidores DNS
MX: (Mail eXchanger) Guarda los hosts que actuan como servidores de correo electronico (SMTP)
SRV: (Service) Guarda los hosts que funcionan como servidores importantes dentro de la ZONA
SOA: (Start of Authority) Guarda el numero de serie de la zona, TTL (Tiempo que se mantiene un
resultado de una consulta en cache, 60 minutos por defecto), NS principal, Periodo de refresco (cada
cuanto tiempo se hara una transferencia de zona a los DNS secundarios)
AAAA: Nombre -> IPv6
DNS Queries:
Tenemos 2 tipos de consultas en un servidor DNS:
-
Iterativas: En este tipo de consulta si el DNS consultado sabe la respuesta, nos la da, pero si no la sabe,
nos la ip de otro servidor DNS para que le prengutemos.
Recursivas: En este tipo de consulta, si el DNS consultado sabe la respuesta, nos la da, pero si no la sabe,
es el propio servidor DNS el que sigue consultado a otros servidores hasta obtener la respuesta. El
servidor DNS hace el trabajo de parte del DNS resolver. Es el funcionamiento por defecto de un servidor
DNS, a excepcion de los Root Hints.
Por seguridad, suele desactivarse la recursividad en los servidores DNS de Active directory. De esta forma evitamos
que salga a internet.
Authoritative: un servidor nos da una respuesta authoritative cuando el almacena una copia de la zona
sobre la que estamos consultado. Puede ser una zona integrada en AD, una zona Primary o Secundary
No authoritative: un servidor nos da una respuesta no authoritative cuando la obtiene de otro servidor
(y la ha almacenado en su cache)
Cache del cliente: Todo DNS Resolver tiene una cache para almacenar los resultados de las consultas que
el ha iniciado.
Cache de Servidor: Un Servidor DNS guarda en una cache independiente el resultado de las consultas
que el ha hecho de parte de un resolver.
El valor TTL almacenado en el registro SOA es el mismo para las dos caches.
Para Resolver nombres de hosts que estan en otro dominio o en internet, tenemos varias opciones:
-
Root Hints: Podemos configurar un servidor DNS Externo como un Root Hint.
Cache DNS:
El tiempo que el resultado de una consulta se almacena en la cache viene determinado por el TTL en el registro SOA
de la zona. Por defecto es 60 minutos.
Para evitar el ataque DNS cache pollution o DNS cache poisoning, tenemos el parametro DNS cache locking
percent. Un DNS se hace pasar por otro y modifica el contenido de la cache de nuestro DNS haciendo que los
clientes vayan a una IP incorrecta.
El TTL viene determinado por el DNS que guarda la zona principal, pero el DNS cache locking percent podemos
modificarlo de forma local
Practicas DNS
Cuando los clientes hacen consultas al DNS de contoso preguntando por contoso.com el DNS alterna las 3 Ips en sus
respuestas.
Round Robin no es un sistema de alta disponibilidad, no ofrece redundancia. Si una de las IPs se cae, sigue
redirigiendo clientes a ella, aunque no responda nadie.
Puede usarse como un sistema simple de Balanceo de Carga.
Si necesitamos que algunos (o todos) host de la red sean accesibles tanto desde dentro como desde fuera de la red
tenemos varias opciones:
-
Usar el mismo espacio de nombres tanto dentro como fuera y replicar o transferir zonas (no seguro)
Split brain: usar el mismo espacio de nombres tanto dentro como fuera, pero sin replicaciones ni
transferencias. La pega que tenemos que mantener 2 servidores DNS. Es mas seguro.
Usar espacios de nombres diferentes para la intranet y para internet.
o Adatum.local en la intranet
o Adatum.com en internet
Zona:
Es un conjunto de registros RR (Resource Record) en un servidor DNS.
Tipos de zona.
-
Para que una zona secundaria o una zona stub reciban datos, desde la zona primaria debe estar permitida la
Transferencia de zona.
Forward Lookup Zone: Zona de busqueda directa. Incluye los registros SOA, NS, A, MX, CNAME, SRV, pero no los
registros tipo PTR
Reverse Lookup Zone: Zona de busqueda inversa. Incluye los registros SOA, NS y PTR.
Crear PTR
Para crear PTR desde dentro de la reverse lookup zone boton derecho nuevo PTR OJO ASI NO FUNCIONA LA
CONSOLA NO FUNCIONA BIEN
Desde propiedades del registro tipo A en la zona de busqueda directa marcar el check para actualizar registro PTR
Para solucionar este problema hay que crear una zona de resolucion inversa apuntado al servidor dns
Son dos soluciones para resolver nombres de maquinas de un dominio diferente al nuestro.
El condicional Forwarder es un puntero a un servidor DNS en el dominio destino. Cuando recibimos una query sobre
una maquina de dominio destino, la pasamos al conditional forwarder. Cunado nuestro DNS obtiene la respuesta del
conditional forwarder, la almacena en su cache. No necesitamos autorizar a un DNS para usar un Conditional
Forwarder.
Zona stub es una copia de una zona DNS en la que solo almacenamos algunos registros: SOA, NS y Glue A. para
obtener una copia, necesitamos la autorizacion del DNS principal para que hagamos la transferencia de zona.
Si cambiamos la ip del servidor DNS principal, el registro NS de la zona stub se actualiza automaticamente, pero el
conditional forwarder no se actualiza, tenemos que hacerlo a mano.
Cuando creas una zona stub en otro arbol dentro del mismo bosque integrada en AD no hay transferencia de zona es
replicacion y no hay que autorizar la zona.
Delegacion de Zona:
Si una zona tiene una gran cantidad de recuros, puede ser necesario delegar tareas de administracion en otros
usuarios.
Para esto utilizamos la delegacion de zona.
Hay que tener cuidado con el tipo de zona que vas a delegar.
Ejercicio Crear una delegacion de zona para Sales.estanadar.com de forma que el grupo salesadmin tenga las tareas
de administracion
Y ya estaria.
Tranferencias de zona:
A Full Zone Transfer: (AXFR). Enviamos todos los registros de la zona, incluso si no han cambiado.
Incremental Zone Transfer: (IXFR). Enviamos solo los registros que han cambiado desde la ultima
transferencia.
Fast Zone Transfer: (FXFR). La transferencia de zona se envia comprimida. Pero completa.
Windows Server 2012 siempre intenta usar IXFR, si el sistema operativo de destino no soporta IXFR, usa AXFR, que es
el estandar.
Por defecto:
-
Para evitar el DNS poisoning (modificar registros dns en transito), la mejor solucion es cifrar el trafico de la
transferencia de zona. Usar una vpn entre los servidores DNS. Solo es necesario para transferencias de zonas no
integradas en AD.
Otra opcion para mejorar la seguridad del DNS es DNSSec (Permite firmar digitalmente los registros de las zonas para
comprobar su autenticidad y su integridad).
A medida que vamos creando registros en una zona DNS, es posible que algunos de ellos ya no sean necesarios.
Pasado mucho tiempo, una zona DNS podria tener cientos o miles de registros que ya no se utilizan : stale.
A cada registro le podemos asignar un TimeStamp de forma que podemos controlar cuando esta caducado Aged.
Tambien asi
Activar aging/Scavenging
Refresh: La maquina se registra en el dominio (inicia sesion), pero sin cambiar su IP.
Update: se crea un registro que no existia o se cambia la IP de un registro que si existia. Si se produce un
update, se cambia el TimeStamp para reflejar el momento del update.
No-refresh interval: tiempo entre refresh si se hace refresh hoy hasta dentro de 7 dias no se puede volver a hacer
refresh para evitar replicaciones innecesarias.
Refresh interval: tiempo entre el momento mas temprano de un timestap y el momento mas temprano que se
puede borrar.
Si en esos 7 dias no se a hecho refresh se marca como stale para eliminar para cuando pase el proceso de
scavenging. No se modifica por que afecta al rendimiento del servidor.
Aqu podemos lanzar el proceso de scavenging para que elimine todos los registros marcados como stale
Comando para hacer que todos los registros queden en modo stale
Dnscmd /ageallrecords
Aqu podemos activar un log mas detallado pero consume muchos recurosos ya que guarda todas las acciones que
haga el dns
Contadores:
En la propiedades de un registro SOA
Refresh Interval: 15 min. El DNS secundario de una zona consulta (polling) al DNS principal de esa zona si
ha habido algun cambio en ella.
Retry Interval: 10 min. Si el DNS Principal no responde a la consulta, el secundario lo intenta de nuevo a
los 10 minutos (por defecto).
Expires After: 1 dia. Si trancurre mas de 1 dia sin respuesta por parte del Principal, el secundario
considera que la zona a caducado y la elimina.
Ejercicio unir LON-CL1 al dominio adatum.com y configurar los servidores DNS para que LON-cl1 pueda resolver
nombres de hosts de adatum.com y contoso.com (minimo esfuerzo)
Conditional forwarder o replicar zonas a todo el bosque ya que adatum y contoso pertenecen al mismo bosque