View
222
Download
0
Category
Preview:
Citation preview
------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------
Module 7: Implementing DNS
------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------
Resolver nombres de maquina
Localizar servicios: registros tipo SRV
Ver servidores dns del dominio
.com .es .org .tl etc son “TLD” = TOP LEVEL DOMAIN
FQDN = Fully qualified domain name = hostname.domain.TDL (LON-DC1.adatum.com)
El sufijo es = adatum.com
Solo si el nombre de la maquina tiene 8 o menos caracteres el nombre de la maquina y el netbios seria igual
Los nombres de NETBIOS no se suelen utilizar por que estan limitados a 8 caracteres
Sin embargo FQDN puede llegar a 256 caracteres
El dns se encarga de resolver el FQDN
El WINS se encargaba de resolver NETBIOS pero ya no se utiliza.
Se sustituye por Globalnames zone en windows 2012 server
Es una zona que se tiene que crear con ese nombre especifico
“Globalnames”
Para activarlo desde cmd
Dnscmd LON-DC1 /config /EnableGlobalNamesSupport 1
Resolver Ips desde hostname (reverse)
Localizar servidores de correo (MX)
Actualizacion dinamica el dhcp se encargaria de actualizar el registro A que apunta al dns que ha cambiado de IP
Forzar registrar el DNS si ha cambiado la ip del servidor DNS
Desde el cliente
Ipconfig /registerdns
Archivo de zona
nombre.dns
adatum.dns
Integrado en el AD = ADI
La raiz del dns simpre sera un . aun que se suele omitir y es una estructura de arbol invertido
.
/ | \
.com .org .es
/ \
.adatum .contoso
/ \
Lon-dc1 .curso
\
FQDN Lon.srv3
Espacio de nombres DNS
ZONA= Porcion del espacio de nombre
Las zonas se intentara integrar la zona en el AD
A a partir de ip te da nombre
MX servidor de correo
SRV: servicios
NS: identifica al servidor DNS
En SOA configuraciones y esta el TTL time to lease
CNAME : alias
PTR: de una IP te dan FQDN
Zona en un archivo (nombre: Zona.dns):
- primary dns: donde se crea por primera vez una zona y es el unico servidor que guarda una copia de R/W de ese archivo. Solo
hay uno para cada zona.
- Secondary DNS: los servidores dns secundarios son RO (read only) se pueden tener todos los que se deseen pero no se puden
modificar ya que son RO
-Cuando modificamos el principal se tiene que replicar en los secundarios y eso se llama zone transfer (transferencia de zona)
Zona ADI (Active Directory integrated la recomendada por MS):
-se almacena en la BBDD del AD y utiliza la replicacion multimaster del AD
Al ser mutimaster se puede modificar en cualquier servidor
-no hay primarios ni secundarios son todos iguales
Crear zona en el DNS sin integracion con el AD
Desmarcando la ultima casilla quitamos la integracion con el AD
Avisa que al no estar integrado con el dominio no se puede activar la actualizacion dinamica
El archivo creado
Al abrirlo nos da error, porque no están habilitadas las transferencia de zona.(como vemos en la imagen).
Para habilitarlo hay que hacerlo desde el origen, hay que pulsar sobre el botón derecho en él. Podemos permitir la trasferencia
de zona para que no tengan salida a Internet.
Como hemos visto en la ventana de propiedades del LON-DC1, no hay ninguna pestaña que nos indique como hacer la
transferencia de zona. La transferencia de zona es algo crítico y se hace a nivel de zona. Hay que hacerlo a la zona que quiero
que se transfiera como vemos en la siguiente imagen.
Primero añadimos en name servers el servidor al que queremos copiar zonas
La ventana propiedades Vamos a la pestaña de la transferencia de zonas y hacemos clic en notify.
Para permitirlo hay que añadirlo y es válido para cualquier servidor DNS que este activo, pero no va a ser válido para los que no
están activos.
ERROR CONOCIDO EN ESTA CONSOLA
Pulsamos en Notify para acelerar la transferencia de zona, ya que pude tardar hasta 24 horas en realizar la transferencia.
Se les avisa que hay algún cambio automáticamente, para que haga la transferencia de zona.
Volvemos a la pantalla principal, pulsamos en actualizar, hasta que veamos que está activado.
Comprobamos en el LON-SRV1 que se ha realizado la transferencia.
Si vamos a la zona en el servidor que hemos realizado la transferencia nos va a dejar solo Lectura, mientras que en la zona
primaria nos permite modificar (R/W)
VAMOS A REALIZAR UNA TRANSFERENCIA DE ZONA INTEGRADA EN DIRECTORIO ACTIVO
Desde la zona de búsqueda directa del LON-DC1, vamos a crear una nueva zona.
Vemos como ha realizado la replicación, al ser una zona primaria se puede realizar modificaciones.
Como resuelve en internet los nombres DNS.
Los trece root hints se encuentran en la siguiente imagen, se encuentran en una archivo llamado cache.dns
Estos servidores raíz si se cayeran pararían la mitad del mundo, es crítico el servicio DNS, porque nos quedaríamos sin acceso a
nada. Hay 13 root hints, pero detrás de esos 13 root hints tenemos cientos de servidores.
DNS en linux BIND9
Query RECURSIVA: Respuesta final IP o NO EXISTE
Primero pregunta por el TLD (.com .es .org) al ROOT HINTS (13) este te redirije a un DNS con info sobre (.com .es .org)
Como ahora ya sabes quien tiene los .com ahora le pregunta por microsoft.com al DNS que te ha dado el root hints. Este
segundo DNS te redirije al servidor DNS que conoce microsoft.com
El ultimo DNS ya conoce microsoft.com y ya le puedes preguntar por www.microsoft.com y este DNS ya te devuleve la ip
solicitada mas cercana a tu ubicación y si tiene varias ip cerca va alternando para balancear carga eso se llama DNS ROUND
ROBIN
Una vez obtenida la ip de www.microsoft.com lo almacena en su cache(servidor) y se lo devuelve al equipo que solicito la ip de
www.microsoft.com y el cliente tambien lo guarda en cache
DMZ: Desmilitiarized zone es la zona donde estan los servidores con acceso desde el exterior
Para que los equipos internos encuentren sus servidores tienen un servidor DNS interno con todos los registros y otro servidor
DNS externo que no contiene todos los registros, solo los necesarios para que los clientes fuera de la red puedan entrar a
recursos que queramos esto se llama SPLIT BRAIN ambos servidores seran principales. Es mas seguro pero conlleva mas
trabajo administrativo ya que tienes que administrar los 2 servidores DNS por separado.
LINK-local = IPv6
No utiliza DNS
Se envia la peticion en multicast (a un grupo no a toda la red si no seria difusión, los routers tampoco dejan pasar multicast) para
saber a quien le pertenece un nombre
Se puede utilizar desde windows vista en adelante
El Network Discovery tiene que esta activado (cuando configuras una NIC nueva y pregunta buscar equipos en la red darle que
si)
Se controla por GPO (politicas de grupos)
Tambien funciona con IPv4
Resumen resolucion de nombres
Nombre � IP
-DNS
-NETBIOS
-WINS
-LLMNR
- Archivo host (%systemroot%/sistem32/drivers/etc)
Orden del procreso para localizar una IP
Lmhosts file = LAN MANAGER
Aplicaciones para Estadisticas DNS
Desde powershell
Get-DnsServerStatistics -ZoneName adatum.com
La ventaja de utilizar variables que se se actualizan los resultados cada vez que consultamos la variable almacenados en la
variable
Se pueden guardar en una variable para consultar mas adelante o filtrar
$estadisticas = Get-DnsServerStatistics -ZoneName adatum.com
Para ver una opcion especifica
$estadisticas.ZoneUpdateStatistics
Para consultar una zona
$zonaprueba = Get-DnsServerStatistics -ZoneName prueba.org
Para consultar stadisticas de transferencia de zona (Se resetean al reiniciar)
$zonaprueba.ZoneTransferStatistics
Ver cache dns
Ipconfig /displaydns
Fuerza la actualizacion de la ip en el dns
Ipconfig /registerdns
Vacia la cache dns
Ipconfig /flushdns
Nslookup
Modo interactivo
La duracion en cache (TTL) la da el servidor de origen de la peticion
Cuando instalamos el rol de DNS se instala el comando de CMD
DNSCMD
Ver info del DNS
Ver zonas del DNS
DNSLINT es una aplicación y entra en el EXAMEN
En algunos casos ofrece info sobre la replicacion del AD.
Permite eliminar cosas del dns que ya no sirven
Se tiene que descargar desde microsoft y no tiene entorno grafico se usa desde cmd
Sacar informacion del DNS
Vaciar cache del servidor
Modo grafico
En powershell
Ver cache DNS cliente
Get-DnsClientCache
Ver cache DNS Servidor
Get-DnsServerCache
Vaciar cache DNS cliente
Clear-DnsClientCache
Vaciar cache DNS Servidor
Clear-DnsServerCache
Resolver nombre
Resolve-DnsName lon-srv1.adatum.com
Test de servidor DNS pide la ip con el nombre no vale
Test-DnsServer 192.168.10.101
Modo RECURSIVO dns
1.Cliente pregunta al DNS local por www.microsoft.com
2.DNS local:
1.consulta en su cache
2.pregunta a root hint
Si no esta en cache pregunta al root hint de izquierda a derecha el dominio www.microsoft.com al primer root
hint le pregunta por el .com
Y el root hint devuelve un referrer: “pregunta al servidor1 que si sabe de .com”
3.ahora pregunta a servidor1 por microsoft.com
el servidor1 le devuelve un referrer: “preguntale a Server2 que sabe de microsoft.com”
Si el servidor 1 tuviera la direccion en cache seria no authoritative y no segiria preguntando por la ip
4. ahora pregunta a servidor2 por www.microsoft.com
Este le responde con la ip que corresponde a www.microsoft.com
Se conoce al servidor 2 como authoritative por que tiene una copia de la zona que estamos buscando
5. devuelve la ip solicitada al cliente
3.Cliente recibe la respuesta
Modo ITERATIVO dns
1.Cliente pregunta al DNS local por www.microsoft.com
DNS local:
1.consulta en su cache o sus zonas primarias
2.le dice al cliente que le pregunte a root hint
2.Cliente pregunta a root hint por www.microsoft.com
3.Root hint le dice que pregunte a servidor1 que sabe de .com
4.Cliente pregunta a servidor1 microsoft.com
5.Servidor1 dice que pregunte a servidor2 que sabe de microsoft.com
6.Cliente pregunta a servidor2 por www.microsoft.com
7.Servidor 2 devuelve la ip al usuario
Desactivar modo recursivo
FORWARDERS
Se utiliza para quitar trabajo al DNS principal (que es el que mantiene el dominio) delegando la consultas de ip a otra maquina
fuera de la red (DNS ISP) y asi el DNS principal solo tiene que encargarse de la red local y no de las consultas al exterior.
CONDITIONAL FORWARDER
Para comunicar 2 dominios
Desde el dns1 mandariamos preguntar al dns2 que esta en el otro dominio
Aquí le indicamos que cuando pregunten por curso.adatum.com este les dira que pregunten a 192.168.20.10
Tambien podemos almacenar este conditional forwarder en el AD para que se replique en todos los DNS de la red
local
TTL por defecto 1 hora
El TTL lo decide quien tiene la zona con su registro tipo SOA
DNSCACHELOCKING
Indica el porcetaje de tiempo (TTL) donde la cache no se puede modificar para evitar ataques MITM dns cache poisoning
Para ver el DNSCACHELOCKING (lockingPercent)
Get-DnsServerCache
Por defecto esta al 100% es decir que no se puede modificar la cache desde fuera
Para configurar el lockingPercent
Desde CMD
Configurar lockingPercent al 75%
Dnscmd /config /cachelockingpercent 75
Consultar lockingPercent
Dnscmd /info /cachelockingpercent
MICROSOFT RECOMIENDA QUE ESTE COMO MINIMO AL 90%
Ejercicio:
Configurar los sercidores DNS de adatum.com y curso.adatum.com para cualquier maquina de calquiera de los dominios pueda
resolver nombres de maquina del otro dominio. La tarea debe hacerse con el minimo esfuerzo administrativo
Desde LON-DC1
Zonas Stub:
Es un tipo de zona diseñado para que desde un dominio se puedan resolver nombres de maquinas de otro dominio
Una zona secundaria almacena una copia completa (aunque solo de lectura) de la zona primaria.
La zona stub no contiene una copia completa, no contiene todos los registros.
Los registros que tiene una zona stub son:
- Registros SOA
- Registros NS
- Algún A (de los servidores DNS principales)
Contiene lo minimo imprescindible para indicar a quien debemos preguntar cuando queremos resolver un nombre de host de
otro dominio.
Adatum.com consotoso.com
----------------- --------------------
A: servera.contoso.com > IpA
A: serverb.contoso.com > IpB
A:clientC.controso.com > ipC
NS: DNS1.controso.com > ipD
NS: DNS2.contoso.com > ipE
SOA: TTl Nºserie,…
Zona stub contoso:
SOA: TTl Nºserie,…
NS: DNS1.controso.com > ipD
NS: DNS2.contoso.com > ipE
Creacion de zona stub
Aparece asi porque hay que habilitar la transferencia de zona a diferencia de un conditional forwarder
Ahora vamos a autorizar al srv3 desde el DC1
Las zonas stub son mas seguras que los conditional forwarders ya que solicitan autorizacion
Caracteristicas Conditional forwarder:
No tiene transferencia de zona
Solo necesita que el otro servidor tenga habilitados los permisos para preguntar
No necesita ser autorizado
No necesita permisos para transferir zona ya que no le hace falta
No se actualiza automaticamente si cambian de ip
Si el servidor al que apuntas cambia de ip ya no funcionara y perderemos la conectividad tendriamos que borrar el conditional
forwarder y crear uno nuevo no se puede modificar la ip a la que apunta
Caracteristicas zona STUB
Necesita autorizacion de la zona de la que se van a copiar
Las ip se actualizan por que dependen del dns principal
no tiene todos los registros del DNS principal solo los SOA NS y algun A que apunte a los DNS principales
Se los cambios de ip se actualizan automaticamente
Estarias creando una copia basica del dns de la zona que quieres resolver
En lon-dc1 tendrias una zona stub de curso.adatum.com que curso.adatum.com te tiene que autorizar la transferencia de zona y
como es una copia del servidor original (basica) si en curso.adatum.com cambia alguna ip se replicara automaticamente a la
zona stub de lon-dc1.
Conditional forwarder VS Stub Zone
Conditional forwarder:
- Es un puntero a un servidor DNS de la zona destino.
- No hay transferencias de zona, por lo que no necesitamos la autorizacion del DNS de destino
- Si el DNS cambia de IP, tenemos que eliminar el CF y crearlo de nuevo
- El DNS destino podria bloquear las consultas que vengan de clientes externos a su dominio y no funcionaria el
CF.
Stub Zone:
- Es un archivo o una porcion del AD (si esta integrada en el AD) que guarda parte de los registros de la zona
destino (SOA, NS y algunos A).
- Necesitamos que el DNS destino nos autorice la transferencia de zonas.
- Si hay cambios de IP en los DNS de destino, la zona stub se actualiza automaticamente, no tenemos que
eliminarla y crearla otra vez.
Recommended