Una de las preguntas y dificultades de comprensión de funcionamiento que veo regularmente están relacionadas con el funcionamiento del servicio DNS, y sobre todo cuando hay que resolver nombres entre Dominios diferentes
La resolución entre máquinas de nombres de Dominios diferentes en Active Directory es fundamental cuando se requiere acceso de uno a otro y en especial con Relaciones de Confianza. Esto no presenta en general problemas cuando todo está dentro del mismo Bosque (Forest), pero cuando son diferentes es distinto pues hay que configurarlo específicamente
Hay tres métodos diferentes para resolver el problema:
- Zonas Secundarias (“Secondary Zones”)
- Reenviadores Condicionales (“Conditional Forwarders”)
- Zonas de Código Auxiliar (“Stub Zones”)
El objetivo de esta nota no es la explicación de cómo es el funcionamiento del servicio, ya que si alguien tiene dudas puede consultar:
- Cómo funciona DNS – Parte 1
- Cómo funciona DNS – Parte 2
- Cómo Funciona DNS – Parte 3 – Integración con Active Directory
En esta ocasión veremos el segundo: mediante Zonas Reenviadores Condicionales
La infraestructura existente de la que partiré consiste de dos instalaciones de Windows Server 2012 R2, pero es válido totalmente para versiones anteriores, y supongo que futuras, ya que el servicio DNS no presenta novedades para este tipo de configuración
Cada instalación es el Controlador de Dominio de su propio Bosque (Forest):
- DC1-A.Domain-A.local – 172.16.1.1/16
- DC1-B.Domain-B.local – 172.16.2.2/16
Antes de comenzar observemos algunas cosas importantes. Como ambos son Controladores de Dominio tienen permitida la conectividad mediante PING (ICMP) y se puede acceder tanto por “hostname” como por dirección IP, pero no si utilizamos FQDN que es lo que necesitaremos si luego tuviéramos que hacer una relación de confianza entre los Dominios
Incluso, podemos verificar la preferencia de uso de IPv6 sobre IPv4
Comenzamos en DC1-A.Domain-A.local en la consola DNS, sobre la carpeta “Conditional Fowarders” con botón derecho y siguiendo el asistente
Indicamos el nombre del Dominio correspondiente, y la dirección IP del servidor DNS que es autoridad de dicha zona. Observen que en la siguiente pantalla se nota algo que considero un pequeño “bug” pues indica como que no lo puede encontrar, aunque la conectividad es correcta. Podemos seguir adelante pues no presentará problemas más adelante
Observemos que se ha configurado correctamente
Y que hemos solucionado el tema de resolución de nombres que nos faltaba
Si necesitáramos resolución en ambos sentidos, deberemos repetir el procedimiento, sólo que el reenvío sería en sentido opuesto
En la próxima nota continuaremos, pero utilizando Zonas de Código Auxiliar (“Stub Zones”)
DNS: Resolución de Nombres Mediante “Stub Zones”