DNS
¿Qué es un Domain Name Services – DNS?
El Domain Name Service (DNS) viene a ser como las páginas blancas de teléfonos, pero de direcciones IP. Al igual que los teléfonos, nos es difícil recordar cada sitio por su dirección IP, que es como funciona el sistema. El DNS tengo los Full Qualified Domain Name (FQDN), que vienen a ser como el nombre y la dirección de una persona y que lo relaciona con una dirección IP. Mucho más fácil de recordar y, además, permite crear estructuras jerárquicas (como si fueran pueblos, calles, pisos, etc…).
En la práctica, si quiero ir a Facebook, en el navegador escribo: www.facebook.com, pero en realidad lo que hace el navegador es consultar en el servicio de DNS que tiene configurado que dirección IP tiene www.facebook.com: 31.13.80.1 y accede a ella.
Se puede dar el caso que diferentes FQDN apunten a una misma dirección IP, pero respondan diferentes servicios según sea un FQDN o otro. Un servidor web es capaz de separar estas peticiones, al igual que un proxy inverso.
Ejemplo de un DNS
Imaginemos la familia Solaniu, compuesta por el padre (Joan), la madre (Montserrat), una hija (Noa) y un hijo (Enric). La familia Solaniu vive en una casa en la calle de la Farigola 25 de Benante, en el Pallars Sobirá; provincia de Lleida.
La casa de la familia Solaniu tiene tres puertas, una para las personas, una para los vehículos y la otra para el ganado. La casa dispone de un buzón para las cartas.
Aparte de la casa, la familia Solaniu tiene una cabaña en la montaña donde guardan parte del rebaño de ovejas.
¿Puestos en situación, como se resolvería con un servicio de DNS?
Primero hay que identificar el dominio principal y el de la familia, su símil FQDN podría ser:
- Dominio principal: .cat (en este caso el territorial, pero también hay el .com, .es, .net, .org, etc…)
- Dominio de la familia: solaniu (donde se identifica el grupo, la familia)
Después, se tienen que dar de alta todos los nombres que intervienen (personas, puertas, buzones, etc..) formando el FQDN (nombre, dominio de la familia y dominio principal separados por un punto); relacionándolos con la dirección IP (c/ de la Farigola, 25 de Benante – Lleida; o bien, Cabaña montañas Pallars Sobirá – Lleida).
Los HOSTS (registros A) que relacionan un nombre con una dirección IP, podrían ser:
Las personas:
- joan.solaniu.cat – 80.80.80.81
- montserrat.solaniu.cat – 80.80.80.81
- noa.solaniu.cat – 80.80.80.81
- enric.solaniu.cat – 80.80.80.81
Los espacios:
- correu.solaniu.cat – 80.80.80.81
- cotxes.solaniu.cat – 80.80.80.81
- bestiar.solaniu.cat – 80.80.80.81
- cabana.solaniu.cat – 45.45.45.46
Los SOBRENOMBRES (registros CNAME) que relacionan un sobrenombre a un nombre, podrían ser:
- padre.solaniu.cat – joan.solaniu.cat
- madre.solaniu.cat – montserrat.solaniu.cat
- pubilla.solaniu.cat – noa.solaniu.cat
- heredero.solaniu.cat – enric.solaniu.cat
Algunos servicios especiales, como el caso del servicio de correo electrónico (registro MX) que relaciona un dominio con el HOST donde se tiene que entregar el correo.
Siguiendo el ejemplo, se puede informar al cartero que cuando lleve una carta la deje en el buzón, no hace falta que busque a la persona en concreto, ellos ya se ocuparán de distrubuirla:
- solaniu.cat – correo.solaniu.cat
El encargado de mantener todo este listado para el que lo quiera consultar es el servicio de DNS y es útil para resolver las direcciones públicas (Internet) como las internas (red privada).
Hacer consultas a un DNS
El propio sistema ya se encarga de hacer las consultas automáticamente al DNS cuando lo necesita, pero también es una herramienta que se puede utilizar manualmente, para extraer información muy valiosa de un dominio. Motivo por el cual tenemos que asegurar una buena higiene del mismo.
La herramienta, de uso más habitual, para hacer las consultas a un servicio de DNS es el nslookup. Es una herramienta de la consola de sistema, para ejecutarla, hay que ir a la consola y escribir:
nslookup
Al arrancar, por defecto, el nslookup ya se conecta al servidor DNS que tiene configurado el propio ordenador, en la fotografía, uno de los nodos principales de Telefónica. Seguido del cursor de órdenes, el símbolo >
Ya se pueden hacer consultas del tipo HOST (equipos), por ejemplo www.facebook.com, donde el servidor devuelve la dirección IP que le corresponde: 31.13.80.81 por IPv4 y 2a03:2880:f00e:201:face:b00c:0:1 por IPv6.
Importante el tipo de respuesta que devuelve el servidor: «Respuesta no autoritativa«, si fuese autoritativa se puede llegar a «robar» todas las direcciones que contiene el DNS, para después utilizarlo con finalidades digamos no demasiado claras.
Para cambiar de servidor donde realizar las consultas:
server IP_del_servidor_DNS
Para consultar al servidor DNS, la información general del dominio como puede ser el servidor DNS que lo mantiene, dirección de contacto, etc… Hay que cambiar el tipo de consulta:
set type=SOA Nombre del dominio a consultar
Para averiguar cuál es el servidor de correo electrónico de un dominio:
set type=MX Nombre del dominio a consultar
El resultado que devuelve va relacionado por la preferencia MX y el servidor donde enviar el correo.
La preferencia MX indica a que servidor se debe preguntar primero, en caso que no responda, el segundo, tercero etc… Cuánto más pequeño es el número, más preferencia tiene 10, 20, 30…
Para comprobar donde apunta un sobrenombre (CNAME):
set type=CNAME nombre del host (FQDN) a consultar
¿Y en el caso que tengamos una IP (PTR) y se quiere saber a quien corresponde?
set type=PTR dirección IP
¿Por que nos puede ayudar esta herramienta?
- Comprobar que se resuelve correctamente un nombre de equipo cuando se intenta acceder desde un navegador y indica que no lo encuentra o no existe.
- Comprobar cuáles son los servidores de correo electrónico de un dominio, para después hacer pruebas de conectividad sobre los mismos.
- Como se resuelve la dirección IP y a que dominio pertenece, para las comprobaciones de reverse lookup de correo electrónico.
- Saber donde está alojado un dominio concreto.
- etc…
Configurar el servicio de DNS interno con Active Directory
Volviendo al laboratorio que estoy montando en este blog, Recordar que la instalación de Active Directory requiere de un servicio de DNS, por lo tanto, toca configurar este servicio para una resolución correcta del dominio interno y de Internet. De hecho, si este servicio funciona mal, la red funcionará mal. Vale la pena dedicarle especial atención.
Acceder a la consola de administración del servicio de DNS que se encuentra en la carpeta de herramientas administrativas o en el menú Herramientas del Administrador del servidor.
Sólo arrancar, ya muestra el servidor DNS sobre el que se está trabajando
Y que a la vez, cada servidor, contiene 5 carpetas.
- Registros globales. Un acceso directo a los eventos que registra el servicio de DNS.
- Zonas de búsqueda directa. Las más habituales, a partir del nombre se asigna una dirección IP. Para decirlo de alguna manera, útil para los humanos.
- Zonas de búsqueda inversa. Muchas veces olvidada, hace la resolución inversa, es decir, a partir de la dirección IP obtiene el nombre FQDN. Para decirlo de alguna manera, útil para las máquinas.
- Puntos de confianza. Permite establecer la configuración del DNSSEC a fin de autenticar el origen de los datos DNS. Es una extensión muy nueva que se está empezando a desplegar ahora.
- Reenviadores condicionales. Para especificar servidores de resolución DNS para dominios concretos. Por ejemplo, si estoy conectado por VPN a otra empresa y quiero resolver las direcciones internas de esta, me interesará hacer las peticiones a su servidor interno en lugar de ir a Internet a buscarlo donde no lo encontraré.
No expondré NUNCA mi servidor DNS con el Active Directory en Internet.
Configuración del servidor DNS interno
Una vez instalado el servicio de DNS en un servidor hay que asegurar su configuración. Botón derecho del ratón sobre el nombre del servidor, seleccionar Propiedades enseñando el cuadro de diálogo de configuración. Importante las siguientes pestañas:
INTERFACES donde se puede especificar por donde escucha el servicio de DNS, en caso de tener más de una tarjeta de red quizás interesa que sólo escuche por una en concreto.
REENVIADORES que especifica a que servidor debe ir a preguntar las direcciones que el propio servidor no conozca. El propio servidor DNS controla lo que se crea en él, pero las direcciones de Internet se deben ir a preguntar a otros servidores.
Toca poner los servidores DNS de la operadora de acceso a Internet. Poner los DNS de una operadora diferente a la que proporciona el servicio implica un malfuncionamiento, ya que las operadoras deniegan las peticiones de consulta DNS que provienen de otros operadores.
Los servidores DNS que se pueden utilizar según la operadora:
- Telefónica: 80.58.0.33; 80.58.61.250; 80.58.61.254
- Ono: 62.81.31.250; 62.81.61.2
- Orange: 62.81.0.33; 62.36.225.150; 62.81.16.129
- Jazztel: 62.14.4.64; 62.14.4.65
Yo no soy nada partidario de utilizar los servidores de Google (8.8.8.8 y 8.8.4.4) en un entorno empresarial, por lo que conlleva a nivel de privacidad y seguridad.
Hacer clic en el botón Editar y añadir las diferentes direcciones IP de los servidores DNS, al terminar, hacer clic en el botón Aceptar.
Se puede dejar la opción de «Usar sugerencias de raíz si no hay reenviadores disponibles«.
SUGERENCIAS DE RAÍZ contiene, por defecto, los servidores principales de Internet. Pero no por comunicar con los servidores DNS principales de Internet se tenga que responder mejor, sino quizás al contrario, ya que acumulan más latencia de comunicación. Una buena resolución DNS se traduce en accesos más rápidos a los recursos.
En caso de una estructura de múltiples dominios, este apartado se utiliza para indicar los servidores pares.
Zonas de búsqueda directa
Al crear el dominio del Active Directory se ha creado la zona directa con los registros necesarios del mismo.
Si se repasa la configuración del mismo, botón derecho sobre el nombre del dominio y seleccionar Propiedades, asegurar que las actualizaciones dinámicas son permitidas sólo con seguridad, para evitar registros innecesarios en la zona DNS.
Evitar la transferencia de la zona a cualquier otro servidor. Tiene que estar desmarcado o como mucho, marcado con las IPs de los servidores que pueden transferir esta zona. En caso que todos los servidores DNS sean controladores de Active Directory y la zona se guarde en el mismo, no hace falta habilitar esta opción; la transferencia se realiza con la propia réplica de Active Directory.
Servidores de nombres muestra todos los servidores DNS que dan servicio a la zona. Asegurar que no hay servidores viejos, desconocidos o que no se utilizan para una buena resolución.
En este punto, queda ir llenando la zona con los registros que consideremos. Seleccionar el dominio y en la parte derecha, en un espacio en blanco, botón derecho del ratón y seleccionar el tipo de registro a crear.
Zonas de búsqueda inversa
Por defecto no se crea ninguna zona inversa, por lo tanto, se debe crear según la configuración de red IPv4 o IPv6 que se disponga.
Por ejemplo, crear una red de la clase C estándar, la 192.168.0.0/24. Botón derecho del ratón en Zonas de búsqueda inversa, seleccionar Zona nueva.
Se inicia el asistente para la creación de una nueva zona. Hacer clic en el botón Siguiente.
Indicar el tipo de zona:
- principal
- secundaria
- rutas internas
Crear una zona principal y guardarla en el Active Directory. Hacer clic en el botón Siguiente.
Seleccionar donde se replica la zona, en todos los servidores del bosque del Active Directory, sólo en los servidores del dominio… Seleccionar todos los servidores DNS del dominio y hacer clic en Siguiente.
Seleccionar el tipo de direccionamiento IP de la zona inversa. Seleccionar IPv4 y hacer clic en el botón Siguiente.
Introducir el identificador de la red: 192.168.0. Hacer clic en el botón Siguiente.
Las actualizaciones dinámicas permiten dar de alta y de baja las máquinas del dominio directamente en el DNS, sin que el administrador las tenga que gestionar. Pero tiene el inconveniente que si una máquina no pertenece al dominio lo pueda «ensuciar». La configuración segura de estas actualizaciones hace que sólo las máquinas que pertenecen al dominio de Active Directory pueda hacer estas actualizaciones. Por lo tanto, recomendable seleccionar esta opción. Seleccionar sólo actualizaciones dinámicas seguras y hacer clic en el botón Siguiente.
Ya lo tenemos todo, hacer clic en el botón Finalizar.
Seleccionando las propiedades de la zona inversa se encuentran las mismas opciones que para la zona directa. Prestar especial atención a las opciones de transferencia.
Repetir el proceso para cada subred que tenga que registrar equipos en el DNS, como en caso de disponer de VLANs o múltiples sedes.
Crear un dominio DNS de ejemplo
Siguiendo el ejemplo del principio de la familia Solaniu, se puede crear el dominio solaniu.cat. Botón derecho del ratón sobre la carpeta Zonas de búsqueda directa. Seleccionar Zona nueva…
Se inicia el asistente para la creación de una nueva zona. Hacer clic en el botón Siguiente.
Indicar el tipo de zona:
- principal
- secundaria
- rutas internas
Crear la zona principal y guardarla en el Active Directory. Hacer clic en el botón Siguiente.
Seleccionar donde se replica la zona, en todos los servidores del bosque del Active Directory, sólo en los servidores del dominio… Seleccionar todos los servidores DNS del dominio y hacer clic en Siguiente.
Indicar el nombre de la zona: solaniu.cat. Hacer clic en el botón Siguiente.
Recordar que las actualizaciones dinámicas permiten dar de alta y de baja las máquinas del dominio directamente en el DNS, sin que el administrador las tenga que gestionar. Es recomendable seleccionar la opción de sólo actualizaciones seguras. Hacer clic en el botón Siguiente.
Ya lo tenemos todo, hacer clic en el botón Finalizar.
Antes de llenar los registros de la zona, se tiene que configurar la zona de búsqueda inversa.
Sabiendo que la familia Solaniu tiene la dirección 80.80.80.81 y la 45.45.45.46 y, suponiendo que son dos redes diferentes de clase C (80.80.80.0/24 y 45.45.45.0/24). Se realiza el proceso de creación de las dos zonas inversas: 80.80.80.0 y 45.45.45.0. según el procedimiento descrito.
Dar de alta registros en el DNS
En la zona directa donde crear los nuevos registros. Botón derecho a la derecha, en la zona en blanco y seleccionar Host nuevo (A o AAAA). El registro A corresponde a IPv4 el registro AAAA a IPv6. Indicar el nombre, la dirección IP y marcar la opción «Crear registro del puntero (PTR) asociado» para crear automáticamente la entrada a la zona inversa. Hacer clic en el botón Agregar host.
Introducir los registros A del ejemplo:
- joan 80.80.80.81
- montserrat 80.80.80.81
- noa 80.80.80.81
- enric 80.80.80.81
- correu 80.80.80.81
- cotxes 80.80.80.81
- bestiar 80.80.80.81
- cabana 45.45.45.46
Crear los registros CNAME, botón derecho en la parte en blanco y seleccionar «Alias nuevo» (CNAME). Indicar el nombre del sobrenombre y el nombre completo de destino:
Introducir los registros CNAME del ejemplo:
- padre joan.solaniu.cat
- madre montserrat.solaniu.cat
- pubilla noa.solaniu.cat
- heredero enric.solaniu.cat
Para indicar cuál es el servidor de correo electrónico, donde se tiene que enviar el correo @solaniu.cat, botón derecho en la parte en blanco y seleccionar «Nuevo intercambio de correo (MX)«.
Como que es para todo el dominio, el host o dominio secundario se deja en blanco, en dominio completo debe haber solaniu.cat, en servidor de correo correu.solaniu,cat y la prioridad establece el orden en que se selecciona el servidor donde enviar el correo. Si sólo hay uno y el servidor no responde, se retiene el correo electrónico, en caso que haya otro, se trata de enviar a otro servidor.
Hacer clic en el botón Aceptar.
¡Ya hay la zona directa configurada!
¿Pero y la inversa?
Hacer clic en el direccionamiento 80.80.80, botón derecho y seleccionar la opción Actualizar. Muestra los registros IP de la red 80.80.80.0/24 con su nombre correspondiente.
Hacer lo mismo para la red 45.45.45.0/24, se ve sólo el registro de la cabaña.
Practicando consultas DNS con nslookup
Botón derecho sobre el nombre del servidor, seleccionar Ejecutar nslookup.
Se inicia la herramienta de consulta DNS sobre el servidor seleccionado. Pero atención, el memsaje muestra Servidor predeterminado: Unknown. Señal que el servidor no está registrado en la zona inversa.
Para forzar un equipo Microsoft Windows a hacer el registro o actualización en el servidor DNS, desde la consola de sistema con privilegios de administrador ejecutar:
ipconfig /registerdns
Puestos en la consola de sistema, también es útil la instrucción para vaciar la memoria caché de direcciones DNS del equipo, sobretodo para cuando se hacen cambios en el servidor DNS y el equipo no refleja estos cambios.
ipconfig /flushdns
Realizadas estas operaciones, al volver a ejecutar nslookup ya se refleja el nombre del servidor correctamente.
Queda hacer las consultas del nuevo dominio que se ha creado:
set type=SOA solaniu.cat
set type=MX solaniu.cat
set type=A joan.solaniu.cat
set type=CNAME padre.solaniu.cat
Pero también debe ser capaz de resolver direcciones de los dominios de Internet mediante los reenviadores:
set type=A www.google.es
¡Ya tenemos nuestro propio servidor de DNS configurado, para resolución interna y externa!
¿Qué pasa cuando coincide el nombre de dominio DNS interno y público?
En caso que el dominio interno (FQDN), que mantiene el Active Directory y que no está publicado en Internet, tenga el mismo nombre que el dominio público, que mantiene otro servidor DNS en Internet. Tendrá que dar de alta los registros públicos en el DNS interno para resolver estas direcciones sino, desde la red interna será incapaz de resolver las direcciones externas, devolviendo errores que la dirección no se encuentra.
Siguiendo con la familia Solaniu, resulta que ha contratado un servicio de alojamiento en Internet donde mantienen la página Web (www.solaniu.cat) y la resolución pública del dominio (correo electrónico @solaniu.cat, etc…). Pero desde su red local son incapaces de visualizar la página web, devuelve host no encontrado. Eso es debido que el servidor DNS interno no sabe qué es www.solaniu.cat.
Por lo tanto, se debe dar de alta en el dominio DNS. ¿Pero con que dirección IP? Eso es muy fácil:
Arrancar la herramienta de consultas DNS nslookup, hacer la conexión a un servidor de DNS externo (uno de los que se ha puesto como reenviador, por ejemplo):
server 80.58.0.33
Hacer la consulta del registro A que se quiere resolver:
www.solaniu.cat
El servicio de DNS devuelve la IP pública donde apunta el nombre del dominio FQDN. Copiar esta dirección IP y dar de alta el registro A a nuestro servidor, pero desmarcando la opción «Crear registro del puntero (PTR) asociado» al no tener el control sobre la subred.
¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!
Similar Posts by The Author:
- Microsoft SQL Server con SMB3
- Microsoft SQL Server amb SMB3
- Containers en Linux
- Containers amb Linux
- Migrar el servidor de archivos a Windows Server 2019
- Migrar el servidor de fitxers a Windows Server 2019
- Puerta enlace a Azure en el Windows Admin Center
- Porta enllaç a Azure en el Windows Admin Center
- Hola mundo! WordPress 5 y Gutenberg
- Hola món! WordPress 5 i Gutenberg
Hola,
Me ha encantado el articulo, una duda, tengo un dominio Windows 2012 R2 con 3 DNS, y tengo otro dominio no Windows con 4 servidores DNS, he puesto en reenviadores los servidores de los otros DNS del dominio n Windows, como puedo hacer para que cualquier cambio que haya en mi dominio Windows inmediatamente se replique a los DNS del domino No Windows?
muchas gracias
Hola José Luis, tienes dos opciones para hacer esto:
1a crear una zona secundaria en tus otros servidores con la copia del original y replicarla cada cierto tiempo.
2n crear un reenviador condicional para que las peticiones al dominio se resuelvan directamente por los otros servidores. En este caso no hay réplicas ni posibilidad de error.
Saludos
Hola Jose Luis, mi nombre Luis Muro desde Venezuela..Resulta que la ip que me asigno mi proveedor de internet cayo en lista negra de RAT NOPTR, por lo que he leido esto tiene que ver con la creacion de un reverse DNS o registro PTR. como hago esto si mi servicio de correo esta alojado en un hosting externo? ya que el proveedor de la ip me pregunta que si tengo mi propio sevidor interno de correos para poder realizar lo qu te comento y asi eliminar ese registro de la lista negra.
Por favor agradeceria tus comentarios