DNS

24 Novembre 2013
Josep Ma Solanes 0

Què és un Domain Name Services – DNS?

El Domain Name Service (DNS) ve a ser com les pàgines blanques de telèfons, però d’adreces IP. A l’igual que els telèfons, ens és difícil recordar cada lloc per la seva adreça IP, que és com funciona el sistema. El DNS tinc els Full Qualified Domain Name (FQDN), que vénen a ser com el nom i l’adreça d’una persona i que ho relaciona amb una adreça IP. Molt més fàcil de recordar i, a més, permet crear estructures jeràrquiques (com si fossin pobles, carrers, pisos, etc…).

A la pràctica, si vull anar a Facebook, en el navegador escric: www.facebook.com, però en realitat el que fa el navegador és consultar en el servei de DNS que té configurat quina adreça IP té www.facebook.com: 31.13.80.1 i accedeix a ella.

Es pot donar el cas que diferents FQDN apuntin a una mateixa adreça IP, però responguin diferents serveis segons sigui un FQDN o un altre. Un servidor web és capaç de separar aquestes peticions, a l’igual que un proxy invers.

Exemple d’un DNS

Imaginem la família Solaniu, composta pel pare (Joan), la mare (Montserrat), una filla (Noa) i un fill (Enric). La família Sonaliu viu en una casa al carrer de la Farigola, 25 de Benante, al Pallars Sobirà; província de Lleida.

La casa de la família Solaniu té tres portes, una per les persones, una pels vehicles i l’altre pel bestiar. La casa disposa d’una bústia per les cartes.

A banda de la casa, la família Solaniu té una cabana a la muntanya on guarden part del ramat d’ovelles.

dns-00

Posats en situació, com es resoldria amb un servei de DNS?

Primer cal identificar el domini principal i el de la família, el seu símil FQDN podria ser:

  • Domini principal: .cat (en aquest cas el territorial, però també hi ha el .com, .es, .net, .org, etc…)
  • Domini de la família: solaniu (on s’identifica el grup, la família)

Després, s’han de donar d’alta tots els noms que intervenen (persones, portes, bústies, etc..) formant el FQDN (nom, domini de la família i domini principal separats per un punt); relacionant-los amb l’adreça IP (c/ de la Farigola, 25 de Benante – Lleida; o bé, Cabana muntanyes Pallars Sobirà – Lleida).

Els HOSTS (registres A) que relacionen un nom amb una adreça IP, podrien ser:

Les persones:

  • joan.solaniu.cat – 80.80.80.81
  • montserrat.solaniu.cat – 80.80.80.81
  • noa.solaniu.cat – 80.80.80.81
  • enric.solaniu.cat – 80.80.80.81

Els espais:

  • correu.solaniu.cat – 80.80.80.81
  • cotxes.solaniu.cat – 80.80.80.81
  • bestiar.solaniu.cat – 80.80.80.81
  • cabana.solaniu.cat – 45.45.45.46

 

Els SOBRENOMS (registres CNAME) que relacionen un sobrenom a un nom, podrien ser:

  • pare.solaniu.cat – joan.solaniu.cat
  • mare.solaniu.cat – montserrat.solaniu.cat
  • pubilla.solaniu.cat – noa.solaniu.cat
  • hereu.solaniu.cat – enric.solaniu.cat

 

Alguns serveis especials, com el cas del servei de correu electrònic (registre MX) que relaciona un domini amb el HOST on s’ha d’entregar el correu.

Seguint l’exemple, es pot informar al carter que quan porti una carta la deixi a la bústia, no fa falta que busqui a la persona en concret, ells ja s’ocuparan de distribuir-la:

  • solaniu.cat – correu.solaniu.cat

 

L’encarregat de mantenir tot aquest llistat per qui el vulgui consultar és el servei de DNS i és útil per resoldre les adreces públiques (Internet) com les internes (xarxa privada).

 

Fer consultes a un DNS

El propi sistema ja s’encarrega de fer les consultes automàticament al DNS quan ho necessita, però també és una eina que es pot utilitzar manualment, per extreure informació molt valuosa d’un domini. Motiu pel que hem d’assegurar una bona higiene del mateix.

L’eina, d’ús més habitual, per fer les consultes a un servei de DNS és el nslookup. És una eina de la consola de sistema, per executar-la, cal anar a la consola i escriure:

 nslookup

A l’arrancar, per defecte, l’nslookup ja es connecta al servidor DNS que té configurat el propi ordinador, en la fotografia, un dels nodes principals de Telefònica. Seguit del cursor d’ordres, el símbol >

dns-01

Ja es poden fer consultes del tipus HOST (equips), per exemple www.facebook.com, on el servidor retorna l’adreça IP que li correspon: 31.13.80.81 per IPv4 i 2a03:2880:f00e:201:face:b00c:0:1 per IPv6.

dns-02

Important el tipus de resposta que retorna el servidor: “Respuesta no autoritativa“, si fos autoritativa es pot arribar a “robar” totes les adreces que conté el DNS, per després utilitzar-ho amb finalitats diguem no massa clares.

Per canviar de servidor on realitzar les consultes:

server IP_del_servidor_DNS

dns-12

Per consultar al servidor DNS, la informació general del domini com pot ser el servidor DNS que el manté, adreça de contacte, etc… Cal canviar el tipus de consulta:

set type=SOA
Nom del domini a consultar

dns-04

Per esbrinar quin és el servidor de correu electrònic d’un domini:

set type=MX
Nom del domini a consultar

dns-05

El resultat que retorna va relacionat per la preferència MX i el servidor on enviar el correu.

La preferència MX indica a quin servidor s’ha de preguntar primer, en cas que no respongui, el segon, tercer etc… Com més petit és el número, més preferència té 10, 20, 30…

Per comprovar on apunta un sobrenom (CNAME):

set type=CNAME
nom del host (FQDN) a consultar

dns-07

I en el cas que tinguem una IP (PTR) i es vol saber a qui correspon?

 set type=PTR
 adreça IP

dns-08

 

Per què ens pot ajudar aquesta eina?

  • Comprovar que es resolt correctament un nom d’equip quan s’intenta accedir des d’un navegador i indica que no la troba o no existeix.
  • Comprovar quins són els servidors de correu electrònic d’un domini, per després fer proves de connectivitat sobre els mateixos.
  • Com es resol l’adreça IP i a quin domini pertany, per les comprovacions de reverse lookup de correu electrònic.
  • Saber on està allotjat un domini concret.
  • etc…

 

Configurar el servei de DNS intern amb Active Directory

Tornant al laboratori que estic muntant amb aquest blog. Recordar que la instal·lació d’Active Directory requereix d’un servei de DNS, per tant, toca configurar aquest servei per una resolució correcte del domini intern i d’Internet. De fet, si aquest servei funciona malament, la xarxa funcionarà malament. Val la pena dedicar-hi especial atenció.

Accedir a la consola d’administració del servei de DNS que es troba a la carpeta d’eines administratives o al menú Eines de l’Administrador del servidor.

dns-09

Només arrancar, ja mostra el servidor DNS sobre el què s’està treballant

dns-10

I que a la vegada, cada servidor, conté 5 carpetes.

  • Registres globals. Un accés directe als esdeveniments que registra el servei de DNS.
  • Zonas de búsqueda directa. Les més habituals, a partir del nom s’assigna una adreça IP. Per dir-ho d’alguna manera, útil pels humans.
  • Zonas de búsqueda inversa. Molts cops oblidada, fa la resolució inversa, és a dir, a partir de l’adreça IP obté el nom FQDN. Per dir-ho d’alguna manera, útil per les màquines.
  • Puntos de confianza. Permet establir la configuració del DNSSEC a fi d’autenticar l’origen de les dades DNS. És una extensió molt nova que s’està començant a desplegar ara.
  • Reenviadores condicionales. Per especificar servidors de resolució DNS per a dominis concrets. Per exemple, si estic conectat per VPN a una altre empresa i vull resoldre les adreces internes d’aquesta, m’interessarà fer les peticions al seu servidor intern en comptes d’anar a Internet a buscar-ho on no ho trobaré.

No exposaré MAI el meu servidor DNS amb l’Active Directory a Internet.

 

Configuració del servidor DNS intern

Un cop instal·lat el servei de DNS en un servidor cal assegurar la seva configuració. Botó dret del ratolí damunt el nom del servidor, seleccionar Propiedades ensenyant el quadre de diàleg de configuració. Important les següents pestanyes:

INTERFACES on es pot especificar per on escolta el servei de DNS, en cas de tenir més d’una targeta de xarxa potser interessa que només escolti per una en concret.

dns-11

REENVIADORES que especifica a quin servidor ha d’anar a preguntar les adreces que el propi servidor no conegui. El propi servidor DNS controla el que es crea en ell, però les adreces d’Internet s’han d’anar a preguntar a altres servidors.

Toca posar els servidors DNS de l’operadora d’accés a Internet. Posar els DNS d’una operadora diferent a la que proporciona el servei implica un malfuncionament, ja què les operadores deneguen les peticions de consulta DNS que provenen d’altres operadores.

Els servidors DNS que es poden utilitzar segons l’operadora:

  • Telefònica: 80.58.0.33; 80.58.61.250; 80.58.61.254
  • Ono: 62.81.31.250; 62.81.61.2
  • Orange: 62.81.0.33; 62.36.225.150; 62.81.16.129
  • Jazztel: 62.14.4.64; 62.14.4.65

Jo no sóc gens partidari d’utilitzar els servidors de Google (8.8.8.8 i 8.8.4.4) en un entorn empresarial, pel que comporta a nivell de privacitat i seguretat.

Clicar el botó Editar i afegir les diferents adreces IP dels servidors DNS, en acabar, clicar el botó Aceptar.

dns-14

Es pot deixar la opció de “Usar sugerencias de raíz si no hay reenviadores disponibles“.

dns-15

SUGERENCIAS DE RAÍZ conté, per defecte, els servidors principals d’Internet. Però no per comunicar amb els servidors DNS principals d’Internet s’hagi de respondre millor, sinó potser al contrari, ja què acumulen més latència de comunicació. Una bona resolució DNS es tradueix en accessos més ràpids als recursos.

En cas d’una estructura de múltiples dominis, aquest apartat s’utilitza per indicar els servidors pares.

 

Zonas de búsqueda directa

Al crear el domini de l’Active Directory s’ha creat la zona directa amb els registres necessaris del mateix.

Si es repassa la configuració del mateix, botó dret damunt el nom del domini i seleccionar Propiedades, assegurar que les actualitzacions dinàmiques són permeses només amb seguretat, per evitar registres innecessaris a la zona DNS.

dns-16

Evitar la transferència de la zona a qualsevol altre servidor. Ha d’estar desmarcat o com a molt, marcat amb les IPs dels servidors que poden transferir aquesta zona. En cas que tots els servidors DNS siguin controladors de Active Directory i la zona es guardi en el mateix, no fa falta habilitar aquesta opció; la transferència es realitza amb la pròpia rèplica d’Active Directory.

dns-17

Servidores de nombres mostra tots els servidors DNS que donen servei a la zona. Assegurar que no hi ha servidors vells, desconeguts o que no s’utilitzen per una bona resolució.

En aquest punt, queda anar omplint la zona amb els registres que considerem. Seleccionar el domini i a la part dreta, en un espai en blanc, botó dret del ratolí i seleccionar el tipus de registre a crear.

dns-18

 

Zonas de búsqueda inversa

Per defecte no es crea cap zona inversa, per tant, s’ha de crear segons la configuració de xarxa IPv4 o IPv6 que es disposi.

Per exemple, crear una xarxa de la classe C estàndard, la 192.168.0.0/24. Botó dret del ratolí a Zonas de búsqueda inversa, seleccionar Zona nueva.

dns-19

S’inicia l’assistent per la creació d’una nova zona. Clicar el botó Siguiente.

dns-20

Indicar el tipus de zona:

  • principal
  • secundaria
  • rutes internes

Crear una zona principal i guardar-la a l’Active Directory. Clicar el botó Siguiente.

dns-21

Seleccionar on es replica la zona, a tots els servidors del bosc de l’Active Directory, només als servidors del domini…Seleccionar tots els servidors DNS del domini i clicar a Siguiente.

dns-22

Seleccionar el tipus d’adreçament IP de la zona inversa. Seleccionar IPv4 i clicar el botó Siguiente.

dns-29

Introduir l’identificador de la xarxa: 192.168.0. Clicar el botó Siguiente.

dns-31

Les actualitzacions dinàmiques permeten donar d’alta i de baixa les màquines del domini directament al DNS, sense que l’administrador les hagi de gestionar. Però té l’inconvenient que si una màquina no pertany al domini el pugui “embrutar”. La configuració segura d’aquestes actualitzacions fa que només les màquines que pertanyen al domini d’Active Directory pugui fer aquestes actualitzacions. Per tant, recomanable seleccionar aquesta opció. Seleccionar només actualitzacions dinàmiques segures i clicar el botó Siguiente.

dns-32

Ja ho tenim tot, clicar el botó Finalizar.

Seleccionant les propietats de la zona inversa es troben les mateixes opcions que per la zona directe. Fer especial atenció a les opcions de transferència.

Repetir el procés per a cada subxarxa que hagi de registrar equips en el DNS, com en cas de disposar de VLANs o múltiples seus.

 

Crear un domini DNS d’exemple

Seguint l’exemple del principi de la família Solaniu, es pot crear el domini solaniu.cat. Botó dret del ratolí damunt la carpeta Zonas de búsqueda directa. Seleccionar Zona nueva

dns-19

S’inicia l’assistent per la creació d’una nova zona. Clicar el botó Siguiente.

dns-20

Indicar el tipus de zona:

  • principal
  • secundaria
  • rutes internes

Crear la zona principal i guardar-la a l’Active Directory. Clicar el botó Siguiente.

dns-21

Seleccionar on es replica la zona, a tots els servidors del bosc de l’Active Directory, només als servidors del domini…Seleccionar tots els servidors DNS del domini i clicar a Siguiente.

dns-22

Inidicar el nom de la zona: solaniu.cat. Clicar el botó Siguiente.

dns-23

Recordar que les actualitzacions dinàmiques permeten donar d’alta i de baixa les màquines del domini directament al DNS, sense que l’administrador les hagi de gestionar. És recomanable seleccionar l’opció de només actualitzacions segures. Clicar el botó Siguiente.

dns-32

Ja ho tenim tot, clicar el botó Finalizar.

Abans d’omplir els registres de la zona, s’ha de configurar la zona de búsqueda inversa.

Sabent que la família Solaniu té l’adreça 80.80.80.81 i la 45.45.45.46 i, suposant que són dues xarxes diferents de classe C (80.80.80.0/24 i 45.45.45.0/24). Es realitza el procés de creació de les dues zones inverses: 80.80.80.0 i 45.45.45.0. segons el procediment descrit.

 

Donar d’alta registres al DNS

A la zona directe on crear els nous registres. Botó dret a la dreta, en la zona en blanc i seleccionar Host nuevo (A o AAAA). El registre A correspon a IPv4 el registre AAAA a IPv6. Indicar el nom, l’adreça IP i marcar l’opció “Crear registro del puntero (PTR) asociado” per crear automàticament l’entrada a la zona inversa. Clicar el botó Agregar host.

dns-35

 

dns-36

Introduir els registres A de l’exemple:

  • joan 80.80.80.81
  • montserrat 80.80.80.81
  • noa 80.80.80.81
  • enric 80.80.80.81
  • correu 80.80.80.81
  • cotxes 80.80.80.81
  • bestiar 80.80.80.81
  • cabana 45.45.45.46

Crear els registres CNAME, botó dret a la part en blanc i seleccionar “Alias nuevo” (CNAME). Indicar el nom del sobrenom i el nom complet de destí:

dns-37

Introduir els registres CNAME de l’exemple:

  • pare joan.solaniu.cat
  • mare montserrat.solaniu.cat
  • pubilla noa.solaniu.cat
  • hereu enric.solaniu.cat

 

Per indicar quin és el servidor de correu electrònic, on ha d’enviar el correu @solaniu.cat, botó dret a la part en blanc i seleccionar “Nuevo intercambio de correo (MX)“.

Com que és per tot el domini, el host o domini secundari es deixa en blanc, a domini complet hi ha d’haver solaniu.cat, a servidor de correu correu.solaniu.cat i la prioritat estableix l’ordre en que es selecciona el servidor on enviar el correu. Si només n’hi ha un i el servidor no respon, es reté el correu electrònic, en cas que n’hi hagi un altre, es prova d’enviar a l’altre servidor.

dns-38

Clicar el botó Aceptar.

Ja hi ha la zona directe configurada!

dns-40

Però i l’inversa?

Cliclar l’adreçament 80.80.80, botó dret i seleccionar la opció Actualizar. Mostra els registres IP de la xarxa 80.80.80.0/24 amb el seu nom corresponent.

dns-41

Fer el mateix per la xarxa 45.45.45.0/24, es veu només el registre de la cabana.

dns-42

 

Practicant consultes DNS amb nslookup

Botó dret damunt el nom del servidor, seleccionar Ejecutar nslookup.

dns-43

S’inicia l’eina de consulta DNS sobre el servidor seleccionat. Però atenció, el missatge mostra Servidor predeterminado: Unknown. Senyal que el servidor no està registrat a la zona inversa.

dns-44

Per forçar un equip Microsoft Windows a fer el registre o actualització en el servidor DNS, des de la consola de sistema amb privilegis d’administrador executar:

ipconfig /registerdns

dns-45

Posats a la consola de sistema, també és útil la instrucció per buidar la memòria cau d’adreces DNS de l’equip, sobretot per quan es fan canvis al servidor DNS i l’equip no reflexa aquests canvis.

ipconfig /flushdns

dns-46

Realitzades aquestes operacions, al tornar a executar nslookup ja es reflexa el nom del servidor correctament.

dns-47

Queda fer les consultes del nou domini que s’ha creat:

set type=SOA
solaniu.cat
set type=MX
solaniu.cat

dns-48

set type=A
joan.solaniu.cat
set type=CNAME
pare.solaniu.cat

Però també ha de ser capaç de resoldre adreces dels dominis d’Internet mitjançant els reenviadors:

set type=A
www.google.es

dns-50

 

Ja tenim el nostre propi servidor de DNS configurat, per resolució interna i externa!

 

Què passa quan coincideix el nom de domini DNS intern i públic?

En cas que el domini intern (FQDN), que manté l’Active Directory i que no està publicat a Internet, tingui el mateix nom que el domini públic, que el manté un altre servidor DNS a Internet. Caldrà donar d’alta els registres públics en el DNS intern per resoldre aquestes adreces sinó, des de la xarxa interna serà incapaç de resoldre les adreces externes, retornant errors que l’adreça no es troba.

Seguint amb la família Solaniu, resulta que ha contractat un servei d’allotjament a Internet on mantenen la pàgina Web (www.solaniu.cat) i la resolució pública del domini (correu electrònic @solaniu.cat, etc…). Però des de la seva xarxa local són incapaços de visualitzar la plana web, retorna host no trobat. Això és degut que el servidor DNS intern no sap què és www.solaniu.cat.

Per tant, s’ha de donar d’alta al domini DNS. Però amb quina adreça IP? Això és molt fàcil:

Arrancar l’eina de consultes DNS nslookup, fer la connexió a un servidor de DNS extern (un dels que s’ha posat com a reenviador, per exemple):

server 80.58.0.33

Fer la consulta del registre A que es vol resoldre:

 www.solaniu.cat

El servei de DNS retorna la IP pública on apunta el nom del domini FQDN. Copiar aquesta adreça IP i donar d’alta el registre A al nostre servidor, però desmarcant l’opció “Crear registro del puntero (PTR) asociado” al no tenir el control sobre la subxarxa.

 

 

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada