------------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------------

Module 7: Implementing DNS

------------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------------

Resolver nombres de maquina

Localizar servicios: registros tipo SRV

Ver servidores dns del dominio

.com .es .org .tl etc son “TLD” = TOP LEVEL DOMAIN

FQDN = Fully qualified domain name = hostname.domain.TDL (LON-DC1.adatum.com)

El sufijo es = adatum.com

Solo si el nombre de la maquina tiene 8 o menos caracteres el nombre de la maquina y el netbios seria igual

Los nombres de NETBIOS no se suelen utilizar por que estan limitados a 8 caracteres

Sin embargo FQDN puede llegar a 256 caracteres

El dns se encarga de resolver el FQDN

El WINS se encargaba de resolver NETBIOS pero ya no se utiliza.

Se sustituye por Globalnames zone en windows 2012 server

Es una zona que se tiene que crear con ese nombre especifico

“Globalnames”

Para activarlo desde cmd

Dnscmd LON-DC1 /config /EnableGlobalNamesSupport 1

Resolver Ips desde hostname (reverse)

Localizar servidores de correo (MX)

Actualizacion dinamica el dhcp se encargaria de actualizar el registro A que apunta al dns que ha cambiado de IP

Forzar registrar el DNS si ha cambiado la ip del servidor DNS

Desde el cliente

Ipconfig /registerdns

Archivo de zona

nombre.dns

adatum.dns

Integrado en el AD = ADI

La raiz del dns simpre sera un . aun que se suele omitir y es una estructura de arbol invertido

.

/ | \

.com .org .es

/ \

.adatum .contoso

/ \

Lon-dc1 .curso

\

FQDN Lon.srv3

Espacio de nombres DNS

ZONA= Porcion del espacio de nombre

Las zonas se intentara integrar la zona en el AD

A a partir de ip te da nombre

MX servidor de correo

SRV: servicios

NS: identifica al servidor DNS

En SOA configuraciones y esta el TTL time to lease

CNAME : alias

PTR: de una IP te dan FQDN

Zona en un archivo (nombre: Zona.dns):

- primary dns: donde se crea por primera vez una zona y es el unico servidor que guarda una copia de R/W de ese archivo. Solo

hay uno para cada zona.

- Secondary DNS: los servidores dns secundarios son RO (read only) se pueden tener todos los que se deseen pero no se puden

modificar ya que son RO

-Cuando modificamos el principal se tiene que replicar en los secundarios y eso se llama zone transfer (transferencia de zona)

Zona ADI (Active Directory integrated la recomendada por MS):

-se almacena en la BBDD del AD y utiliza la replicacion multimaster del AD

Al ser mutimaster se puede modificar en cualquier servidor

-no hay primarios ni secundarios son todos iguales

Crear zona en el DNS sin integracion con el AD

Desmarcando la ultima casilla quitamos la integracion con el AD

Avisa que al no estar integrado con el dominio no se puede activar la actualizacion dinamica

El archivo creado

Creamos una zona secundaria.

Pulsamos en Browse para buscar el archivo de zona.

Le podemos dar la dirección o el nombre(Tabulando me lo autocompleta)

Al abrirlo nos da error, porque no están habilitadas las transferencia de zona.(como vemos en la imagen).

Para habilitarlo hay que hacerlo desde el origen, hay que pulsar sobre el botón derecho en él. Podemos permitir la trasferencia

de zona para que no tengan salida a Internet.

Como hemos visto en la ventana de propiedades del LON-DC1, no hay ninguna pestaña que nos indique como hacer la

transferencia de zona. La transferencia de zona es algo crítico y se hace a nivel de zona. Hay que hacerlo a la zona que quiero

que se transfiera como vemos en la siguiente imagen.

Primero añadimos en name servers el servidor al que queremos copiar zonas

La ventana propiedades Vamos a la pestaña de la transferencia de zonas y hacemos clic en notify.

Para permitirlo hay que añadirlo y es válido para cualquier servidor DNS que este activo, pero no va a ser válido para los que no

están activos.

ERROR CONOCIDO EN ESTA CONSOLA

Pulsar Apply, para que guarde los cambios y no haya errores.

Pulsamos en Notify para acelerar la transferencia de zona, ya que pude tardar hasta 24 horas en realizar la transferencia.

Se les avisa que hay algún cambio automáticamente, para que haga la transferencia de zona.

Volvemos a la pantalla principal, pulsamos en actualizar, hasta que veamos que está activado.

Comprobamos en el LON-SRV1 que se ha realizado la transferencia.

Si vamos a la zona en el servidor que hemos realizado la transferencia nos va a dejar solo Lectura, mientras que en la zona

primaria nos permite modificar (R/W)

VAMOS A REALIZAR UNA TRANSFERENCIA DE ZONA INTEGRADA EN DIRECTORIO ACTIVO

Desde la zona de búsqueda directa del LON-DC1, vamos a crear una nueva zona.

A que servidores quiere que se replique.

Mientras se replica creamos un registro de HOST o de Tipo A.

Vemos como ha realizado la replicación, al ser una zona primaria se puede realizar modificaciones.

Como resuelve en internet los nombres DNS.

Los trece root hints se encuentran en la siguiente imagen, se encuentran en una archivo llamado cache.dns

En la siguiente pantalla vemos donde se encuentran los 13 dominios raiz(root hints)

Estos servidores raíz si se cayeran pararían la mitad del mundo, es crítico el servicio DNS, porque nos quedaríamos sin acceso a

nada. Hay 13 root hints, pero detrás de esos 13 root hints tenemos cientos de servidores.

DNS en linux BIND9

Query RECURSIVA: Respuesta final IP o NO EXISTE

Primero pregunta por el TLD (.com .es .org) al ROOT HINTS (13) este te redirije a un DNS con info sobre (.com .es .org)

Como ahora ya sabes quien tiene los .com ahora le pregunta por microsoft.com al DNS que te ha dado el root hints. Este

segundo DNS te redirije al servidor DNS que conoce microsoft.com

El ultimo DNS ya conoce microsoft.com y ya le puedes preguntar por www.microsoft.com y este DNS ya te devuleve la ip

solicitada mas cercana a tu ubicación y si tiene varias ip cerca va alternando para balancear carga eso se llama DNS ROUND

ROBIN

Una vez obtenida la ip de www.microsoft.com lo almacena en su cache(servidor) y se lo devuelve al equipo que solicito la ip de

www.microsoft.com y el cliente tambien lo guarda en cache

DMZ: Desmilitiarized zone es la zona donde estan los servidores con acceso desde el exterior

Para que los equipos internos encuentren sus servidores tienen un servidor DNS interno con todos los registros y otro servidor

DNS externo que no contiene todos los registros, solo los necesarios para que los clientes fuera de la red puedan entrar a

recursos que queramos esto se llama SPLIT BRAIN ambos servidores seran principales. Es mas seguro pero conlleva mas

trabajo administrativo ya que tienes que administrar los 2 servidores DNS por separado.

LINK-local = IPv6

No utiliza DNS

Se envia la peticion en multicast (a un grupo no a toda la red si no seria difusión, los routers tampoco dejan pasar multicast) para

saber a quien le pertenece un nombre

Se puede utilizar desde windows vista en adelante

El Network Discovery tiene que esta activado (cuando configuras una NIC nueva y pregunta buscar equipos en la red darle que

si)

Se controla por GPO (politicas de grupos)

Tambien funciona con IPv4

Resumen resolucion de nombres

Nombre � IP

-DNS

-NETBIOS

-WINS

-LLMNR

- Archivo host (%systemroot%/sistem32/drivers/etc)

Orden del procreso para localizar una IP

Lmhosts file = LAN MANAGER

Aplicaciones para Estadisticas DNS

Desde powershell

Get-DnsServerStatistics -ZoneName adatum.com

La ventaja de utilizar variables que se se actualizan los resultados cada vez que consultamos la variable almacenados en la

variable

Se pueden guardar en una variable para consultar mas adelante o filtrar

$estadisticas = Get-DnsServerStatistics -ZoneName adatum.com

Para ver una opcion especifica

$estadisticas.ZoneUpdateStatistics

Para consultar una zona

$zonaprueba = Get-DnsServerStatistics -ZoneName prueba.org

Para consultar stadisticas de transferencia de zona (Se resetean al reiniciar)

$zonaprueba.ZoneTransferStatistics

Ver cache dns

Ipconfig /displaydns

Fuerza la actualizacion de la ip en el dns

Ipconfig /registerdns

Vacia la cache dns

Ipconfig /flushdns

Nslookup

Modo interactivo

La duracion en cache (TTL) la da el servidor de origen de la peticion

Cuando instalamos el rol de DNS se instala el comando de CMD

DNSCMD

Ver info del DNS

Ver zonas del DNS

DNSLINT es una aplicación y entra en el EXAMEN

En algunos casos ofrece info sobre la replicacion del AD.

Permite eliminar cosas del dns que ya no sirven

Se tiene que descargar desde microsoft y no tiene entorno grafico se usa desde cmd

Sacar informacion del DNS

Vaciar cache del servidor

Modo grafico

En powershell

Ver cache DNS cliente

Get-DnsClientCache

Ver cache DNS Servidor

Get-DnsServerCache

Vaciar cache DNS cliente

Clear-DnsClientCache

Vaciar cache DNS Servidor

Clear-DnsServerCache

Resolver nombre

Resolve-DnsName lon-srv1.adatum.com

Test de servidor DNS pide la ip con el nombre no vale

Test-DnsServer 192.168.10.101

Modo RECURSIVO dns

1.Cliente pregunta al DNS local por www.microsoft.com

2.DNS local:

1.consulta en su cache

2.pregunta a root hint

Si no esta en cache pregunta al root hint de izquierda a derecha el dominio www.microsoft.com al primer root

hint le pregunta por el .com

Y el root hint devuelve un referrer: “pregunta al servidor1 que si sabe de .com”

3.ahora pregunta a servidor1 por microsoft.com

el servidor1 le devuelve un referrer: “preguntale a Server2 que sabe de microsoft.com”

Si el servidor 1 tuviera la direccion en cache seria no authoritative y no segiria preguntando por la ip

4. ahora pregunta a servidor2 por www.microsoft.com

Este le responde con la ip que corresponde a www.microsoft.com

Se conoce al servidor 2 como authoritative por que tiene una copia de la zona que estamos buscando

5. devuelve la ip solicitada al cliente

3.Cliente recibe la respuesta

Modo ITERATIVO dns

1.Cliente pregunta al DNS local por www.microsoft.com

DNS local:

1.consulta en su cache o sus zonas primarias

2.le dice al cliente que le pregunte a root hint

2.Cliente pregunta a root hint por www.microsoft.com

3.Root hint le dice que pregunte a servidor1 que sabe de .com

4.Cliente pregunta a servidor1 microsoft.com

5.Servidor1 dice que pregunte a servidor2 que sabe de microsoft.com

6.Cliente pregunta a servidor2 por www.microsoft.com

7.Servidor 2 devuelve la ip al usuario

Desactivar modo recursivo

ROOT HINTS

FORWARDERS

Se utiliza para quitar trabajo al DNS principal (que es el que mantiene el dominio) delegando la consultas de ip a otra maquina

fuera de la red (DNS ISP) y asi el DNS principal solo tiene que encargarse de la red local y no de las consultas al exterior.

CONDITIONAL FORWARDER

Para comunicar 2 dominios

Desde el dns1 mandariamos preguntar al dns2 que esta en el otro dominio

Aquí le indicamos que cuando pregunten por curso.adatum.com este les dira que pregunten a 192.168.20.10

Tambien podemos almacenar este conditional forwarder en el AD para que se replique en todos los DNS de la red

local

TTL por defecto 1 hora

El TTL lo decide quien tiene la zona con su registro tipo SOA

DNSCACHELOCKING

Indica el porcetaje de tiempo (TTL) donde la cache no se puede modificar para evitar ataques MITM dns cache poisoning

Para ver el DNSCACHELOCKING (lockingPercent)

Get-DnsServerCache

Por defecto esta al 100% es decir que no se puede modificar la cache desde fuera

Para configurar el lockingPercent

Desde CMD

Configurar lockingPercent al 75%

Dnscmd /config /cachelockingpercent 75

Consultar lockingPercent

Dnscmd /info /cachelockingpercent

MICROSOFT RECOMIENDA QUE ESTE COMO MINIMO AL 90%

Ejercicio:

Configurar los sercidores DNS de adatum.com y curso.adatum.com para cualquier maquina de calquiera de los dominios pueda

resolver nombres de maquina del otro dominio. La tarea debe hacerse con el minimo esfuerzo administrativo

Desde LON-DC1

Zonas Stub:

Es un tipo de zona diseñado para que desde un dominio se puedan resolver nombres de maquinas de otro dominio

Una zona secundaria almacena una copia completa (aunque solo de lectura) de la zona primaria.

La zona stub no contiene una copia completa, no contiene todos los registros.

Los registros que tiene una zona stub son:

- Registros SOA

- Registros NS

- Algún A (de los servidores DNS principales)

Contiene lo minimo imprescindible para indicar a quien debemos preguntar cuando queremos resolver un nombre de host de

otro dominio.

Adatum.com consotoso.com

----------------- --------------------

A: servera.contoso.com > IpA

A: serverb.contoso.com > IpB

A:clientC.controso.com > ipC

NS: DNS1.controso.com > ipD

NS: DNS2.contoso.com > ipE

SOA: TTl Nºserie,…

Zona stub contoso:

SOA: TTl Nºserie,…

NS: DNS1.controso.com > ipD

NS: DNS2.contoso.com > ipE

Creacion de zona stub

Las zonas stub SI permiten almacenar la zona en AD y elegir donde se replica

Aparece asi porque hay que habilitar la transferencia de zona a diferencia de un conditional forwarder

Ahora vamos a autorizar al srv3 desde el DC1

Las zonas stub son mas seguras que los conditional forwarders ya que solicitan autorizacion

Caracteristicas Conditional forwarder:

No tiene transferencia de zona

Solo necesita que el otro servidor tenga habilitados los permisos para preguntar

No necesita ser autorizado

No necesita permisos para transferir zona ya que no le hace falta

No se actualiza automaticamente si cambian de ip

Si el servidor al que apuntas cambia de ip ya no funcionara y perderemos la conectividad tendriamos que borrar el conditional

forwarder y crear uno nuevo no se puede modificar la ip a la que apunta

Caracteristicas zona STUB

Necesita autorizacion de la zona de la que se van a copiar

Las ip se actualizan por que dependen del dns principal

no tiene todos los registros del DNS principal solo los SOA NS y algun A que apunte a los DNS principales

Se los cambios de ip se actualizan automaticamente

Estarias creando una copia basica del dns de la zona que quieres resolver

En lon-dc1 tendrias una zona stub de curso.adatum.com que curso.adatum.com te tiene que autorizar la transferencia de zona y

como es una copia del servidor original (basica) si en curso.adatum.com cambia alguna ip se replicara automaticamente a la

zona stub de lon-dc1.

Conditional forwarder VS Stub Zone

Conditional forwarder:

- Es un puntero a un servidor DNS de la zona destino.

- No hay transferencias de zona, por lo que no necesitamos la autorizacion del DNS de destino

- Si el DNS cambia de IP, tenemos que eliminar el CF y crearlo de nuevo

- El DNS destino podria bloquear las consultas que vengan de clientes externos a su dominio y no funcionaria el

CF.

Stub Zone:

- Es un archivo o una porcion del AD (si esta integrada en el AD) que guarda parte de los registros de la zona

destino (SOA, NS y algunos A).

- Necesitamos que el DNS destino nos autorice la transferencia de zonas.

- Si hay cambios de IP en los DNS de destino, la zona stub se actualiza automaticamente, no tenemos que

eliminarla y crearla otra vez.