Zona de búsqueda inversa DNS con DHCP

19 enero 2016
Josep Ma Solanes 1

Revisando las últimas configuraciones que he hecho del servicio de DHCP, me he dado cuenta que hay un error de configuración. No es un error grave, porque a nivel funcional casi todo está correcto, pero que afecta a servicios que hacen la comprobación inversa de la dirección IP, es decir, transformar el registro PTR con el nombre de la máquina (registro A). Se pueden ver afectados dispositivos de red que necesitan saber a que máquina corresponde una dirección IP para hacer una consulta sobre el usuario que tiene la sesión abierta. Por ejemplo, cortafuegos o filtros de contenido.

El problema está en qué el servicio de DHCP no actualiza correctamente las entradas de la zona de búsqueda inversa (PTR) en el DNS. Para comprobar si la configuración es incorrecta es tan sencillo como echar un vistazo a los archivos de logs del servicio de DHCP, por defecto, ubicados en el directorio C:\Windows\System32\DHCP. En este directorio encontramos dos archivos de log, uno de IPv4 (DhcpSrvLog-X) y uno de IPv6 (DhcpV6SrvLog-X) para cada día de la semana.

zona-de-cerca-inversa-DNS-amb-DHCP-003

Si se abre el archivo se pueden observar registros que empiezan con el número 31 y que indican un error de actualización en el DNS. Normalmente aparece después de 7 minutos de intentar la actualización (registro 32).

El problema en sí corresponde a la falta de la zona de búsqueda directa, la zona de búsqueda inversa o a los permisos de seguridad con el usuario que hace el registro del DHCP en el DNS. Se entiende que las dos zonas están correctamente creadas en el servidor de DNS, por lo que nos centramos en los permisos de seguridad el entorno.

Para comprobar que permisos tiene este usuario, acceder a la consola de Usuarios y Equipos de Active Directory, localizar la cuenta del usuario, en mi caso Usuario Servicio DHCP, botón derecho y hacer clic en Propiedades.

zona-de-cerca-inversa-DNS-amb-DHCP-002

Hacer clic en la pestaña Miembro de. Aquí está el problema, el usuario debe pertenecer al grupo de seguridad DNSUpdateProxy. Hacer clic en el botón Añadir.

zona-de-cerca-inversa-DNS-amb-DHCP-004

Buscar el grupo DNSUpdateProxy, seleccionarlo y hacer clic en el botón Aceptar.

zona-de-cerca-inversa-DNS-amb-DHCP-007

Ya como miembro del grupo DNSUpdateProxy, marcar este grupo y hacer clic en el botón Establecer como principal.

zona-de-cerca-inversa-DNS-amb-DHCP-008

Para asegurar que nadie puede utilizar este usuario fuera del servidor de DHCP, en la pestaña Cuenta, hacer clic en el botón Iniciar sesión en

zona-de-cerca-inversa-DNS-amb-DHCP-005

Seleccionar Los siguientes equipos añadir el/los servidor/es de DHCP. Hacer clic en Aceptar en los dos cuadros de diálogo abiertos para aplicar los cambios.

zona-de-cerca-inversa-DNS-amb-DHCP-006

Volviendo al administrador de DHCP, botón derecho sobre la opción IPv4 y hacer clic en la opción del menú contextual Propiedades.

zona-de-cerca-inversa-DNS-amb-DHCP-009

En la pestaña Opciones avanzadas, hacer clic en el botón Credenciales.

zona-de-cerca-inversa-DNS-amb-DHCP-011

Asegurar que hay el nombre FQDN del dominio, me he encontrado algún caso en qué sólo con el nombre NetBIOS no acaba de funcionar del todo. Validar la contraseña y hacer clic en el botón Aceptar para aplicar las modificaciones.

zona-de-cerca-inversa-DNS-amb-DHCP-012

Para asegurar el tiro, podéis reiniciar el servicio de DHCP. Botón derecho sobre el nombre del servidor, hacer clic en Todas las tareas y la opción Reiniciar.

zona-de-cerca-inversa-DNS-amb-DHCP-013

Al entrar en funcionamiento, si se han creado registros PTR de otra forma se encontrará con un conflicto y éste no se actualizará. Recomiendo que borréis todos los registro PTR dinámicos que podáis para que los vaya creando el sistema.

Si el registro en el DNS se ha creado previamente, el usuario del servicio de DHCP no lo podrá modificar al no tener permiso sobre él.

Abrir la consola de administración de DNS, hacer clic en Zonas de búsqueda inversa. Se pueden seleccionar y borrar todas las entradas que tienen marca de tiempo. Botón derecho sobre la selección y hacer clic en Eliminar.

zona-de-cerca-inversa-DNS-amb-DHCP-014

Recordad que las entradas que no se vean afectadas por el DHCP se actualizan cada 24 horas o, si se quiere forzar la actualización, ejecutando el siguiente comando con privilegios de administrador:

ipconfig /registerdns

Con la asignación DHCP y las zonas directa y indirecta del servicio de DNS sin registros históricos, se puede comprobar que las nuevas peticiones de direcciones IP se hace de manera correcta.

zona-de-cerca-inversa-DNS-amb-DHCP-015

Iniciar un equipo de la red, ubuntudesk (no es un equipo Windows y por lo tanto no está en el dominio), previamente configurado para obtener la dirección IP mediante el DHCP. Haciendo la comprobación de los registros en las consolas de DHCP y DNS. En la consola de DHCP se observa que se le ha asignado la dirección IP 192.168.0.202.

zona-de-cerca-inversa-DNS-amb-DHCP-016

Si se comprueba la zona de búsqueda directa del DNS, aparece el registro A correspondiente. Botón derecho sobre él y hacer clic en Propiedades.

zona-de-cerca-inversa-DNS-amb-DHCP-018

En la pestaña Seguridad, hacer clic en el botón Opciones avanzadas para comprobar el propietario del registro.

zona-de-cerca-inversa-DNS-amb-DHCP-019

Si todo está correcto, el propietario del registro es el usuario asignado al DHCP para hacer las inscripciones en el servicio de DNS. Cerrar los cuadros de diálogo.

zona-de-cerca-inversa-DNS-amb-DHCP-020

Repetir el proceso en el registro de la zona de búsqueda inversa (PTR).

zona-de-cerca-inversa-DNS-amb-DHCP-021

 

zona-de-cerca-inversa-DNS-amb-DHCP-022

Si se comprueba el registro log del DHCP, ya no aparece el código 31, recordad a esperar los 7 minutos de rigor para que tenga tiempo a enseñar el error si es el caso.

zona-de-cerca-inversa-DNS-amb-DHCP-023

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

Similar Posts by The Author:

 

Un comentari per a
“Zona de búsqueda inversa DNS con DHCP”

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.