------------------------------------------------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------------------------------------------------ --------------------------------------------------------------70-411------------------------------------------------------------------ ------------------------------------------------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------------------------------------------------ Module 1: Configuring and Troubleshooting Domain Name System ------------------------------------------------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------------------------------------------------ DNS: Funciones del servicio DNS: - Resolucion de nombres. - Localizador de servicios en un Directorio Activo. - Registros SRV que almacenan Los servicios disponibles en el Directorio Activo (LDAP, Kerberos, Catalogo Global, ) Entre los servidores DNS en internet encontramos: - Root hints - TLD (Top level domains) - DNS de ISP Dns Resolver = DNS client Los servidores DNS almacenan Resource Records en Zonas. Resource Record: - A: Nombre -> IP - PTR: IP -> Nombre - CNAME: Tambien llamada Alias. Permite asignar varios nombres de host a la misma IP. - NS: (Name Server) Guarda los hosts que funcionan como servidores DNS - MX: (Mail exchanger) Guarda los hosts que actuan como servidores de correo electronico (SMTP) - SRV: (Service) Guarda los hosts que funcionan como servidores importantes dentro de la ZONA - SOA: (Start of Authority) Guarda el numero de serie de la zona, TTL (Tiempo que se mantiene un resultado de una consulta en cache, 60 minutos por defecto), NS principal, Periodo de refresco (cada cuanto tiempo se hara una transferencia de zona a los DNS secundarios) - AAAA: Nombre -> IPv6
DNS Queries: Tenemos 2 tipos de consultas en un servidor DNS: - Iterativas: En este tipo de consulta si el DNS consultado sabe la respuesta, nos la da, pero si no la sabe, nos la ip de otro servidor DNS para que le prengutemos. - Recursivas: En este tipo de consulta, si el DNS consultado sabe la respuesta, nos la da, pero si no la sabe, es el propio servidor DNS el que sigue consultado a otros servidores hasta obtener la respuesta. El servidor DNS hace el trabajo de parte del DNS resolver. Es el funcionamiento por defecto de un servidor DNS, a excepcion de los Root Hints. Por seguridad, suele desactivarse la recursividad en los servidores DNS de Active directory. De esta forma evitamos que salga a internet. El servidor nos puede dar 2 tipos de respuestas: - Authoritative: un servidor nos da una respuesta authoritative cuando el almacena una copia de la zona sobre la que estamos consultado. Puede ser una zona integrada en AD, una zona Primary o Secundary - No authoritative: un servidor nos da una respuesta no authoritative cuando la obtiene de otro servidor (y la ha almacenado en su cache) En el servicio DNS tenemos 2 tipos de cache: - Cache del cliente: Todo DNS Resolver tiene una cache para almacenar los resultados de las consultas que el ha iniciado. - Cache de Servidor: Un Servidor DNS guarda en una cache independiente el resultado de las consultas que el ha hecho de parte de un resolver. El valor TTL almacenado en el registro SOA es el mismo para las dos caches. Para Resolver nombres de hosts que estan en otro dominio o en internet, tenemos varias opciones: - Forwarder: para cualquier consulta de maquinas externas, configuramos un servidor DNS (Habitualmente el del ISP) para que las resuelva por nosotros.
- Root Hints: Podemos configurar un servidor DNS Externo como un Root Hint.
Aquí podemos desactivar el modo recursivo
En una consulta: Primero forwarder > root hint Si eliminamos los root hint en el cache cache.dns estan almacenados los root hints en system32/dns Ver cache cliente
Ver cache servidor Cache DNS: El tiempo que el resultado de una consulta se almacena en la cache viene determinado por el TTL en el registro SOA de la zona. Por defecto es 60 minutos. Para evitar el ataque DNS cache pollution o DNS cache poisoning, tenemos el parametro DNS cache locking percent. Un DNS se hace pasar por otro y modifica el contenido de la cache de nuestro DNS haciendo que los clientes vayan a una IP incorrecta. El TTL viene determinado por el DNS que guarda la zona principal, pero el DNS cache locking percent podemos modificarlo de forma local Para cambiar el TTL Dnscmd /config /cachelockingpercent 50 Y para consultarlo Get-dnsservercache Practicas DNS
DNS round robin A: contoso.com 172.16.0.11 A: contoso.com 172.16.0.120 A: contoso.com 172.16.0.133 Cuando los clientes hacen consultas al DNS de contoso preguntando por contoso.com el DNS alterna las 3 Ips en sus respuestas. Round Robin no es un sistema de alta disponibilidad, no ofrece redundancia. Si una de las IPs se cae, sigue redirigiendo clientes a ella, aunque no responda nadie. Puede usarse como un sistema simple de Balanceo de Carga.
DNS Externos e Internos: Si necesitamos que algunos (o todos) host de la red sean accesibles tanto desde dentro como desde fuera de la red tenemos varias opciones: - Usar el mismo espacio de nombres tanto dentro como fuera y replicar o transferir zonas (no seguro) - Split brain: usar el mismo espacio de nombres tanto dentro como fuera, pero sin replicaciones ni transferencias. La pega que tenemos que mantener 2 servidores DNS. Es mas seguro. - Usar espacios de nombres diferentes para la intranet y para internet. o Adatum.local en la intranet o Adatum.com en internet Zona: Es un conjunto de registros RR (Resource Record) en un servidor DNS. Si esta integrada en el directorio activo, se almacena en una particion de ntds.dit Si es estandar, tendremos un archivo que se llama: nombre_dominio.dns Una zona puede contener registros de un dominio y subdominios Tipos de zona. - Primaria: Es una copia de lectura/escritura de la zona. El numero de zonas primarias es: o Una, si es estandar o Varias si es integrada en AD. Podemos modificar una zona primaria integrada en AD desde cualquier DC: Multimaster - Secundaria: Es una zona de solo lectura. Podemos tener todas las que queramos, pero no existen zonas secundarias integradas en AD (todas son principales). - Stub: solo almacenan algunos RR, como el SOA, NS y los Glue A Para que una zona secundaria o una zona stub reciban datos, desde la zona primaria debe estar permitida la Transferencia de zona. Practica zonas y tranferencia de zona Creamos zona estandar no integrada en AD
Configurar la transferencia de zona
Al añadir el servidor en name servers activa por defecto el notify. Ahora desde el DNS secundario
Forward Lookup Zone: Zona de busqueda directa. Incluye los registros SOA, NS, A, MX, CNAME, SRV, pero no los registros tipo PTR Reverse Lookup Zone: Zona de busqueda inversa. Incluye los registros SOA, NS y PTR. Creacion de zona inversa
Crear PTR Para crear PTR desde dentro de la reverse lookup zone boton derecho nuevo PTR OJO ASI NO FUNCIONA LA CONSOLA NO FUNCIONA BIEN Desde propiedades del registro tipo A en la zona de busqueda directa marcar el check para actualizar registro PTR
Solucionar cuando al consultar un nslookup el servidor dns muestra UnKnown
Para solucionar este problema hay que crear una zona de resolucion inversa apuntado al servidor dns
Y ahora ya nos aparece el nombre del DNS
Zona Stub VS Conditional Forwarder: Son dos soluciones para resolver nombres de maquinas de un dominio diferente al nuestro. El condicional Forwarder es un puntero a un servidor DNS en el dominio destino. Cuando recibimos una query sobre una maquina de dominio destino, la pasamos al conditional forwarder. Cunado nuestro DNS obtiene la respuesta del conditional forwarder, la almacena en su cache. No necesitamos autorizar a un DNS para usar un Conditional Forwarder. Zona stub es una copia de una zona DNS en la que solo almacenamos algunos registros: SOA, NS y Glue A. para obtener una copia, necesitamos la autorizacion del DNS principal para que hagamos la transferencia de zona. Si cambiamos la ip del servidor DNS principal, el registro NS de la zona stub se actualiza automaticamente, pero el conditional forwarder no se actualiza, tenemos que hacerlo a mano. Crear zona de busqueda directa con PowerShell Add-DnsServerPrimaryZone -Name PowerShell.com -DynamicUpdate Secure -ReplicationScope Domain
Crear Zona Stub OJO NO ES COMPATIBLE CON CONDITIONAL FORWARDER Add-DnsServerStubZone -Name contoso.com -MasterServers 192.168.10.50 -ReplicationScope Domain Cuando creas una zona stub en otro arbol dentro del mismo bosque integrada en AD no hay transferencia de zona es replicacion y no hay que autorizar la zona. Zona integrada en AD: REPLICACION Zona NO intengrada en AD: TRANSFERENCIA DE ZONA Delegacion de Zona: Si una zona tiene una gran cantidad de recuros, puede ser necesario delegar tareas de administracion en otros usuarios. Para esto utilizamos la delegacion de zona. Hay que tener cuidado con el tipo de zona que vas a delegar.
Ejercicio Crear una delegacion de zona para Sales.estanadar.com de forma que el grupo salesadmin tenga las tareas de administracion Desde a donde vamos a delegar la zona la creamos primero Creamos zona primaria
Ahora desde el servidor que queremos delegar Indicamos la ip del servidor donde esta la zona creada
Y ya estaria. Tranferencias de zona: En windows server 2012 tenemos 3 tipos de transferencias de zona: - A Full Zone Transfer: (AXFR). Enviamos todos los registros de la zona, incluso si no han cambiado. - Incremental Zone Transfer: (IXFR). Enviamos solo los registros que han cambiado desde la ultima transferencia. - Fast Zone Transfer: (FXFR). La transferencia de zona se envia comprimida. Pero completa. Windows Server 2012 siempre intenta usar IXFR, si el sistema operativo de destino no soporta IXFR, usa AXFR, que es el estandar. Por defecto: - Si la zona es integrada en AD, no se permiten la transferencia de zona. - Si la zona es estandar, solo se permite la transferencia de zonas a servidores que esten en la pestaña name Server Para evitar el DNS poisoning (modificar registros dns en transito), la mejor solucion es cifrar el trafico de la transferencia de zona. Usar una vpn entre los servidores DNS. Solo es necesario para transferencias de zonas no integradas en AD.
La replicacion de zonas integradas en AD se cifra por defecto. Otra opcion para mejorar la seguridad del DNS es DNSSec (Permite firmar digitalmente los registros de las zonas para comprobar su autenticidad y su integridad). Aging and Scavening: A medida que vamos creando registros en una zona DNS, es posible que algunos de ellos ya no sean necesarios. Pasado mucho tiempo, una zona DNS podria tener cientos o miles de registros que ya no se utilizan : stale. Provoca varios problemas: - Ocupan espacio en la zona - Degradan el rendimiento del DNS, ya que tiene que buscar por un espacio mayor para encontrar la IP de la maquina que si existe. Cada cierto tiempo tenemos que depurar (Scavenging) una zona para eliminar registros que ya no se usan. - Podria impedirnos registrar en el dominio maquinas con nombres que ya existian aunque ya no se usan. A cada registro le podemos asignar un TimeStamp de forma que podemos controlar cuando esta caducado Aged. Por defecto, aging y scavenging esta deshabilitado. Cuando lo habilitamos, se añade el TimeStamp solo a los registros que se han creado de forma dinamica. Para registros creados manualmente, tenemos que asiganarle un TimeStamp tambien manualmente. Un TimeStamp de 0 significa que ese registro no se ve afectado por el Scavenging Para configurar el TTL en las proiedades de la zona Start of Authority (SOA)
Tambien asi Activar aging/scavenging Primero a nivel de servidor
Ahora activar a nivel de zona
Para cada registro debemos tener en cuenta 2 eventos: - Refresh: La maquina se registra en el dominio (inicia sesion), pero sin cambiar su IP. - Update: se crea un registro que no existia o se cambia la IP de un registro que si existia. Si se produce un update, se cambia el TimeStamp para reflejar el momento del update.
No-refresh interval: tiempo entre refresh si se hace refresh hoy hasta dentro de 7 dias no se puede volver a hacer refresh para evitar replicaciones innecesarias. Refresh interval: tiempo entre el momento mas temprano de un timestap y el momento mas temprano que se puede borrar. Si en esos 7 dias no se a hecho refresh se marca como stale para eliminar para cuando pase el proceso de scavenging. No se modifica por que afecta al rendimiento del servidor. Aquí podemos lanzar el proceso de scavenging para que elimine todos los registros marcados como stale Comando para hacer que todos los registros queden en modo stale Dnscmd /ageallrecords
en el visor de eventos tenemos un apartado solo por para DNS Aquí podemos activar un log mas detallado pero consume muchos recurosos ya que guarda todas las acciones que haga el dns
Monitorizar DNS por PowerShell $estadisticas = Get-DnsServerStatistics -ZoneName estandar.com $estadisticas.zonetransferstatistics Contadores: En la propiedades de un registro SOA
Contadores para transferencias de zona: En el registro SOA de cualquier zona tenemos 3 temporizadores o contadores que controlan el proceso de transferencia de zona. - Refresh Interval: 15 min. El DNS secundario de una zona consulta (polling) al DNS principal de esa zona si ha habido algun cambio en ella. - Retry Interval: 10 min. Si el DNS Principal no responde a la consulta, el secundario lo intenta de nuevo a los 10 minutos (por defecto). - Expires After: 1 dia. Si trancurre mas de 1 dia sin respuesta por parte del Principal, el secundario considera que la zona a caducado y la elimina. Ademas, tenemos la funcion Notify del DNS de Windows Server.
Ejercicio unir LON-CL1 al dominio adatum.com y configurar los servidores DNS para que LON-cl1 pueda resolver nombres de hosts de adatum.com y contoso.com (minimo esfuerzo) Conditional forwarder o replicar zonas a todo el bosque ya que adatum y contoso pertenecen al mismo bosque