------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------70-411----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Module 1: Configuring and Troubleshooting Domain Name System

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

DNS:
Funciones del servicio DNS:
-

Resolucion de nombres.
Localizador de servicios en un Directorio Activo.
Registros SRV que almacenan Los servicios disponibles en el Directorio Activo (LDAP, Kerberos, Catalogo
Global,)

Entre los servidores DNS en internet encontramos:

-

Root hints
TLD (Top level domains)
DNS de ISP

Dns Resolver = DNS client

Los servidores DNS almacenan Resource Records en Zonas.

Resource Record:
-

A: Nombre -> IP
PTR: IP -> Nombre
CNAME: Tambien llamada Alias. Permite asignar varios nombres de host a la misma IP.
NS: (Name Server) Guarda los hosts que funcionan como servidores DNS
MX: (Mail eXchanger) Guarda los hosts que actuan como servidores de correo electronico (SMTP)
SRV: (Service) Guarda los hosts que funcionan como servidores importantes dentro de la ZONA
SOA: (Start of Authority) Guarda el numero de serie de la zona, TTL (Tiempo que se mantiene un
resultado de una consulta en cache, 60 minutos por defecto), NS principal, Periodo de refresco (cada
cuanto tiempo se hara una transferencia de zona a los DNS secundarios)
AAAA: Nombre -> IPv6

DNS Queries:
Tenemos 2 tipos de consultas en un servidor DNS:
-

Iterativas: En este tipo de consulta si el DNS consultado sabe la respuesta, nos la da, pero si no la sabe,
nos la ip de otro servidor DNS para que le prengutemos.
Recursivas: En este tipo de consulta, si el DNS consultado sabe la respuesta, nos la da, pero si no la sabe,
es el propio servidor DNS el que sigue consultado a otros servidores hasta obtener la respuesta. El
servidor DNS hace el trabajo de parte del DNS resolver. Es el funcionamiento por defecto de un servidor
DNS, a excepcion de los Root Hints.

Por seguridad, suele desactivarse la recursividad en los servidores DNS de Active directory. De esta forma evitamos
que salga a internet.

El servidor nos puede dar 2 tipos de respuestas:

-

Authoritative: un servidor nos da una respuesta authoritative cuando el almacena una copia de la zona
sobre la que estamos consultado. Puede ser una zona integrada en AD, una zona Primary o Secundary
No authoritative: un servidor nos da una respuesta no authoritative cuando la obtiene de otro servidor
(y la ha almacenado en su cache)

En el servicio DNS tenemos 2 tipos de cache:

-

Cache del cliente: Todo DNS Resolver tiene una cache para almacenar los resultados de las consultas que
el ha iniciado.
Cache de Servidor: Un Servidor DNS guarda en una cache independiente el resultado de las consultas
que el ha hecho de parte de un resolver.

El valor TTL almacenado en el registro SOA es el mismo para las dos caches.

Para Resolver nombres de hosts que estan en otro dominio o en internet, tenemos varias opciones:
-

Forwarder: para cualquier consulta de maquinas externas, configuramos un servidor DNS

(Habitualmente el del ISP) para que las resuelva por nosotros.

Root Hints: Podemos configurar un servidor DNS Externo como un Root Hint.

Aqu podemos desactivar el modo recursivo

En una consulta: Primero forwarder > root hint

Si eliminamos los root hint en el cache cache.dns estan almacenados los root hints en system32/dns

Ver cache cliente

Ver cache servidor

Cache DNS:

El tiempo que el resultado de una consulta se almacena en la cache viene determinado por el TTL en el registro SOA
de la zona. Por defecto es 60 minutos.

Para evitar el ataque DNS cache pollution o DNS cache poisoning, tenemos el parametro DNS cache locking
percent. Un DNS se hace pasar por otro y modifica el contenido de la cache de nuestro DNS haciendo que los
clientes vayan a una IP incorrecta.

El TTL viene determinado por el DNS que guarda la zona principal, pero el DNS cache locking percent podemos
modificarlo de forma local

Para cambiar el TTL

Dnscmd /config /cachelockingpercent 50
Y para consultarlo
Get-dnsservercache

Practicas DNS

DNS round robin

A: contoso.com 172.16.0.11
A: contoso.com 172.16.0.120
A: contoso.com 172.16.0.133

Cuando los clientes hacen consultas al DNS de contoso preguntando por contoso.com el DNS alterna las 3 Ips en sus
respuestas.

Round Robin no es un sistema de alta disponibilidad, no ofrece redundancia. Si una de las IPs se cae, sigue
redirigiendo clientes a ella, aunque no responda nadie.
Puede usarse como un sistema simple de Balanceo de Carga.

DNS Externos e Internos:

Si necesitamos que algunos (o todos) host de la red sean accesibles tanto desde dentro como desde fuera de la red
tenemos varias opciones:
-

Usar el mismo espacio de nombres tanto dentro como fuera y replicar o transferir zonas (no seguro)
Split brain: usar el mismo espacio de nombres tanto dentro como fuera, pero sin replicaciones ni
transferencias. La pega que tenemos que mantener 2 servidores DNS. Es mas seguro.
Usar espacios de nombres diferentes para la intranet y para internet.
o Adatum.local en la intranet
o Adatum.com en internet

Zona:
Es un conjunto de registros RR (Resource Record) en un servidor DNS.

Si esta integrada en el directorio activo, se almacena en una particion de ntds.dit

Si es estandar, tendremos un archivo que se llama: nombre_dominio.dns

Una zona puede contener registros de un dominio y subdominios

Tipos de zona.
-

Primaria: Es una copia de lectura/escritura de la zona. El numero de zonas primarias es:

o Una, si es estandar
o Varias si es integrada en AD. Podemos modificar una zona primaria integrada en AD desde
cualquier DC: Multimaster
Secundaria: Es una zona de solo lectura. Podemos tener todas las que queramos, pero no existen zonas
secundarias integradas en AD (todas son principales).
Stub: solo almacenan algunos RR, como el SOA, NS y los Glue A

Para que una zona secundaria o una zona stub reciban datos, desde la zona primaria debe estar permitida la
Transferencia de zona.

Practica zonas y tranferencia de zona

Creamos zona estandar no integrada en AD

Configurar la transferencia de zona

Al aadir el servidor en name servers activa por defecto el notify.

Ahora desde el DNS secundario

Forward Lookup Zone: Zona de busqueda directa. Incluye los registros SOA, NS, A, MX, CNAME, SRV, pero no los
registros tipo PTR

Reverse Lookup Zone: Zona de busqueda inversa. Incluye los registros SOA, NS y PTR.

Creacion de zona inversa

Crear PTR

Para crear PTR desde dentro de la reverse lookup zone boton derecho nuevo PTR OJO ASI NO FUNCIONA LA
CONSOLA NO FUNCIONA BIEN

Desde propiedades del registro tipo A en la zona de busqueda directa marcar el check para actualizar registro PTR

Solucionar cuando al consultar un nslookup el servidor dns muestra UnKnown

Para solucionar este problema hay que crear una zona de resolucion inversa apuntado al servidor dns

Y ahora ya nos aparece el nombre del DNS

Zona Stub VS Conditional Forwarder:

Son dos soluciones para resolver nombres de maquinas de un dominio diferente al nuestro.

El condicional Forwarder es un puntero a un servidor DNS en el dominio destino. Cuando recibimos una query sobre
una maquina de dominio destino, la pasamos al conditional forwarder. Cunado nuestro DNS obtiene la respuesta del
conditional forwarder, la almacena en su cache. No necesitamos autorizar a un DNS para usar un Conditional
Forwarder.

Zona stub es una copia de una zona DNS en la que solo almacenamos algunos registros: SOA, NS y Glue A. para
obtener una copia, necesitamos la autorizacion del DNS principal para que hagamos la transferencia de zona.
Si cambiamos la ip del servidor DNS principal, el registro NS de la zona stub se actualiza automaticamente, pero el
conditional forwarder no se actualiza, tenemos que hacerlo a mano.

Crear zona de busqueda directa con PowerShell

Add-DnsServerPrimaryZone -Name PowerShell.com -DynamicUpdate Secure -ReplicationScope Domain

Crear Zona Stub OJO NO ES COMPATIBLE CON CONDITIONAL FORWARDER

Add-DnsServerStubZone -Name contoso.com -MasterServers 192.168.10.50 -ReplicationScope Domain

Cuando creas una zona stub en otro arbol dentro del mismo bosque integrada en AD no hay transferencia de zona es
replicacion y no hay que autorizar la zona.

Zona integrada en AD: REPLICACION

Zona NO intengrada en AD: TRANSFERENCIA DE ZONA

Delegacion de Zona:

Si una zona tiene una gran cantidad de recuros, puede ser necesario delegar tareas de administracion en otros
usuarios.
Para esto utilizamos la delegacion de zona.

Hay que tener cuidado con el tipo de zona que vas a delegar.

Ejercicio Crear una delegacion de zona para Sales.estanadar.com de forma que el grupo salesadmin tenga las tareas
de administracion

Desde a donde vamos a delegar la zona la creamos primero

Creamos zona primaria

Ahora desde el servidor que queremos delegar

Indicamos la ip del servidor donde esta la zona creada

Y ya estaria.

Tranferencias de zona:

En windows server 2012 tenemos 3 tipos de transferencias de zona:

-

A Full Zone Transfer: (AXFR). Enviamos todos los registros de la zona, incluso si no han cambiado.
Incremental Zone Transfer: (IXFR). Enviamos solo los registros que han cambiado desde la ultima
transferencia.
Fast Zone Transfer: (FXFR). La transferencia de zona se envia comprimida. Pero completa.

Windows Server 2012 siempre intenta usar IXFR, si el sistema operativo de destino no soporta IXFR, usa AXFR, que es
el estandar.

Por defecto:
-

Si la zona es integrada en AD, no se permiten la transferencia de zona.

Si la zona es estandar, solo se permite la transferencia de zonas a servidores que esten en la pestaa
name Server

Para evitar el DNS poisoning (modificar registros dns en transito), la mejor solucion es cifrar el trafico de la
transferencia de zona. Usar una vpn entre los servidores DNS. Solo es necesario para transferencias de zonas no
integradas en AD.

La replicacion de zonas integradas en AD se cifra por defecto.

Otra opcion para mejorar la seguridad del DNS es DNSSec (Permite firmar digitalmente los registros de las zonas para
comprobar su autenticidad y su integridad).

Aging and Scavening:

A medida que vamos creando registros en una zona DNS, es posible que algunos de ellos ya no sean necesarios.

Pasado mucho tiempo, una zona DNS podria tener cientos o miles de registros que ya no se utilizan : stale.

Provoca varios problemas:

-

Ocupan espacio en la zona

Degradan el rendimiento del DNS, ya que tiene que buscar por un espacio mayor para encontrar la IP de
la maquina que si existe. Cada cierto tiempo tenemos que depurar (Scavenging) una zona para eliminar
registros que ya no se usan.
Podria impedirnos registrar en el dominio maquinas con nombres que ya existian aunque ya no se usan.

A cada registro le podemos asignar un TimeStamp de forma que podemos controlar cuando esta caducado Aged.

Por defecto, aging y scavenging esta deshabilitado.

Cuando lo habilitamos, se aade el TimeStamp solo a los registros que se han creado de forma dinamica. Para
registros creados manualmente, tenemos que asiganarle un TimeStamp tambien manualmente.

Un TimeStamp de 0 significa que ese registro no se ve afectado por el Scavenging

Para configurar el TTL en las proiedades de la zona Start of Authority (SOA)

Tambien asi

Activar aging/Scavenging

Primero a nivel de servidor

Ahora activar a nivel de zona

Para cada registro debemos tener en cuenta 2 eventos:

Refresh: La maquina se registra en el dominio (inicia sesion), pero sin cambiar su IP.
Update: se crea un registro que no existia o se cambia la IP de un registro que si existia. Si se produce un
update, se cambia el TimeStamp para reflejar el momento del update.

No-refresh interval: tiempo entre refresh si se hace refresh hoy hasta dentro de 7 dias no se puede volver a hacer
refresh para evitar replicaciones innecesarias.

Refresh interval: tiempo entre el momento mas temprano de un timestap y el momento mas temprano que se
puede borrar.
Si en esos 7 dias no se a hecho refresh se marca como stale para eliminar para cuando pase el proceso de
scavenging. No se modifica por que afecta al rendimiento del servidor.

Aqu podemos lanzar el proceso de scavenging para que elimine todos los registros marcados como stale

Comando para hacer que todos los registros queden en modo stale
Dnscmd /ageallrecords

en el visor de eventos tenemos un apartado solo por para DNS

Aqu podemos activar un log mas detallado pero consume muchos recurosos ya que guarda todas las acciones que
haga el dns

Monitorizar DNS por PowerShell

$estadisticas = Get-DnsServerStatistics -ZoneName estandar.com

$estadisticas.ZoneTransferStatistics

Contadores:
En la propiedades de un registro SOA

Contadores para transferencias de zona:

En el registro SOA de cualquier zona tenemos 3 temporizadores o contadores que controlan el proceso de
transferencia de zona.

Refresh Interval: 15 min. El DNS secundario de una zona consulta (polling) al DNS principal de esa zona si
ha habido algun cambio en ella.
Retry Interval: 10 min. Si el DNS Principal no responde a la consulta, el secundario lo intenta de nuevo a
los 10 minutos (por defecto).
Expires After: 1 dia. Si trancurre mas de 1 dia sin respuesta por parte del Principal, el secundario
considera que la zona a caducado y la elimina.

Ademas, tenemos la funcion Notify del DNS de Windows Server.

Ejercicio unir LON-CL1 al dominio adatum.com y configurar los servidores DNS para que LON-cl1 pueda resolver
nombres de hosts de adatum.com y contoso.com (minimo esfuerzo)

Conditional forwarder o replicar zonas a todo el bosque ya que adatum y contoso pertenecen al mismo bosque