none
Configuración DNS

    Question

  • Hola, tengo alguna duda sobre la configuración de nuestros DNS que me gustaría compartir...

    Tenemos registrado en internet mycompany.com, y alojamos nosotros mismos el servidor DNS.

    Al mismo tiempo tenemos un dominio Windows en corp.mycompany.com, que también administramos nosotros.

    Según indican la información de MS, desde mycompany.com hemos delegado el subdominio corp.mycompany.com y hemos configurado un forwarder desde el subdominio, apuntando al DNS externo. Dado que el DNS externo lo tenemos en una DMZ, para permitir la resolución desde la DMZ a máquinas internas hemos habilitado una regla en el firewall. Por último, en el DNS externo tenemos habilitada Recursión. 

     

    Ciertamente nos funciona todo, desde internet se resuelven las direcciones públicas (mycompany.com) y desde dentro resolvelmos tanto las internas como las externas.

    Dudas:

    1.  Para poder resolver desde la DMZ nombres del sub-dominio corp.mycompany.com, y para poder resolver desde la intranet cualquier nombre hemos tenido que habilitar Recursion en el DNS externo, pero esto nos deja expuestos a consultas recursivas desde internet. Existe alguna forma de atender peticiones recursivas para máquinas de la intranet y DMZ, pero no de internet?

    2. Al mantener esta estructura, no tenemos ningún servidor directamente "expuesto" a internet con información de nuestra intranet (tal y como aconsejan las buenas prácticas). Pero cualquiera puede desde internet resolver direcciones internas, adivinando así IPs de nuestra intranet. Es correcto? Como se podría evitar?

     

    Muchas gracias de antemano.

    Tuesday, May 31, 2011 9:32 PM

Answers

  • "Split-brain" se refiere, como bien dices cuando los nombres de dominios son iguales, pero como están usando un *subdominio* en realidad éste es parte del *dominio*. O sea que "corp.mycompany.com" es parte de "company.com"

    Por el primer (-). Si las máquinas de la DMZ no son parte del dominio AD, no habría problemas. Pero si fueran parte del dominio AD entonces no va, deben apuntar al DNS que resuelve el dominio AD

    Por el segundo (-). Creo que deberías considerar cómo resuelven las máquinas internas la dirección de las de la DMZ. Porque si quieres que accedan por su IP directamente, y no pasando por el cortafuegos, entonces habría que crear internamente la zona "mycompany.com" con los registros que necesites, pero en cuyo caso no puden usar Forwardes de una zona que es autoridad.

    Para que las máquinas de la DMZ resuelvan hacia adentro, si no son muchos los equipos podrías directamente ponerlas en el archivo HOSTS y te ahorras un trabajo.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marked as answer by ZZ-Soft Wednesday, June 01, 2011 5:14 PM
    Wednesday, June 01, 2011 5:08 PM

All replies

  • Voy anotado a medida que voy leyendo

    Primero que nada, no debes delegar en "mycompany.com" (tu dominio externo), a "corp.mycompany.com" (tu dominio interno AD), ya que eso permitiría hipotéticamente acceder desde Internet a tu dominio interno de AD.

    En el caso que plantes hay que hacer estructuras separadas, interna de externa. Si buscas en Internet "split brain dns" encontrarás información.

    Esto es, necesitas un DNS que tenga la zona con sólo los registros externos de "mycompany.com" y esté en la DMZ.
    Por otro lado, otro servidor DNS, que también tenga la zona "mycompany.com" pero que sea interno, y por lo tanto puede tener los registros internos que necesites.
    El DNS interno puede tener ambas zonas: "mycompany.com" y "corp.mycompany.com"

    Justamente uno de los peligros de usar internamente el mismo nombre que el de prescencia en Internet, o un subdominio, es evitar que se exponga exteriormente la estructura interna; requiere mucho cuidado en la configuración.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Wednesday, June 01, 2011 11:48 AM
  • Si no estoy equivocado, Split-brain se refiere a la estructura en la que tanto el dominio interno como externo se llaman exactamente igual. Esta opción no me apasiona, la idea de tener que duplicar los nombres externos en los dos dns (interno y externo) no me gusta.

    Creo que sopesando todas las opciones, la menos mala (para nosotros) es:

    - DNS Externo que soporta mycompany.com, con recursión deshabilitada. Un forwarder a los DNS de nuestro ISP. Las máquinas de la DMZ se configuran con este DNS como preferido.

    - DNS Interno que soporta corp.mycompany.com (con recursos tanto el domnio DNS como el de AD), Dos forwarders, uno a nuestro ISP para resolver nombres de Internet, y otro condicional al DNS externo solo para resolver nombres de mycompany.com. Todas las máquinas de la intranet tendrán el DNS interno como preferido.

    De esta forma tenemos resuelto el tema de seguridad, desde internet no se pueden conocer nombres internos, y además nadie puede sobrecargar nuestro DNS con consultas recursivas, ya que únicamente responde a consultas sobre mycompany.com. Por otro lado, no es necesario duplicar nada en el interno, ya que todas las consultas sobre mycompany.com serán reenviadas al servidor externo.

    El único "inconveniente" es que las máquinas de la DMZ no podrán resolver consultas internas (corp.mycompaby.com) pero este será el menor de los males. Si no me equivoco esto podría ser resuelto implementando un BIND com servidor externo y activando la funcionalidad "Recursion ACL", pero por ahora lo dejamos como posibilidad.


    Dejo por aquí, alguna nota interesante... (perdón por el inglés)

    Wednesday, June 01, 2011 4:34 PM
  • Dejo por aquí, alguna nota interesante... (perdón por el inglés)


    ... De "Mastering Windows Server 2008" Copyright © 2010 by Wiley Publishing, Inc., Indianapolis, Indiana

    Split Brain

    Many companies have also implemented a “split-brain” scenario when it comes to DNS, although

    not intentionally. What this means is they have an internal namespace that is the same as the

    external namespace. For example, we have the registered namespace Bigfirm.com. The company

    has decided to build an Active Directory environment with the same name.

    Managing this scenario with one server would be ideal. A split-brain DNS implementation is

    a cool idea that is supposed to remedy this issue. You could have a single DNS server support an

    internal and external zone of the same namespace. The IP addresses for the external zone would

    be provided to external requests and internal IP addresses for the internal requests.

    It’s a nice idea that Windows Server 2008 R2 doesn’t support. Primarily, Microsoft doesn’t support

    your organization exposing the domain controller that hosts the internal DNS namespace to

    even the edge of the Internet. This is not a secure measure. The Active Directory database is too

    valuable to hang in a DMZ like a ripe peach. So, we have to come up with an alternative.

    Our objective is to provide resolution of external requests with external IP addresses and

    internal requests with internal IP addresses. Using Microsoft DNS, you will have to administer

    two DNS servers. Here are the basic steps:


    1. Implement an external DNS server to support Bigfirm.com. Typically, this is already in

    place with the registration of a domain name with the help of the ISP.


    2. Implement the internal DNS structure. Using the Active Directory Domain Services

    Installation Wizard (DCPromo), this is handled quite readil


    3.Add any external records to the internal zone for Bigfirm.com. Remember, the DNS servers

    within the network will be authoritative for the Bigfirm.com domain. If it can’t find

    www.Bigfirm.com, it doesn’t exist. External records must be duplicated in the internal

    zone so a positive result can be returned. You will have to test routing to ensure that the IP

    address is accessible. If routing causes problems, you may have to use an internal address.4.Configure resolving external namespaces using root hints or forwarders. This topic is

    covered in the following section.

     

     


    Avoid Using Your Company’s External DNS Namespace

    Wednesday, June 01, 2011 4:35 PM
  • "Split-brain" se refiere, como bien dices cuando los nombres de dominios son iguales, pero como están usando un *subdominio* en realidad éste es parte del *dominio*. O sea que "corp.mycompany.com" es parte de "company.com"

    Por el primer (-). Si las máquinas de la DMZ no son parte del dominio AD, no habría problemas. Pero si fueran parte del dominio AD entonces no va, deben apuntar al DNS que resuelve el dominio AD

    Por el segundo (-). Creo que deberías considerar cómo resuelven las máquinas internas la dirección de las de la DMZ. Porque si quieres que accedan por su IP directamente, y no pasando por el cortafuegos, entonces habría que crear internamente la zona "mycompany.com" con los registros que necesites, pero en cuyo caso no puden usar Forwardes de una zona que es autoridad.

    Para que las máquinas de la DMZ resuelvan hacia adentro, si no son muchos los equipos podrías directamente ponerlas en el archivo HOSTS y te ahorras un trabajo.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marked as answer by ZZ-Soft Wednesday, June 01, 2011 5:14 PM
    Wednesday, June 01, 2011 5:08 PM
  • Las máquinas no son miembro del AD, con lo que no hay mucho problema.

    Por el otro lado, llevas razón, de esta forma, las máquinas internas resuelven nombres de la DMZ con direcciones púbilcas, lo cual hace intervenir al firewall (en nuestro caso al router posicionado entre internet y nuestro firewall de tres-patas) en el enrutamiento, y eso no es lo mejor... pero creo que no existe una solución perfecta¿?

    Wednesday, June 01, 2011 5:14 PM
  • No, no hay soluciones perfectas para nada de nada :-)

    Por las dificultades que hay con la resolución de nombes, es que en general se utiliza un nombre interno diferente, y no dependiente, del externo: "mycompany.com" y "mycompany.local" por ejemplo

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Wednesday, June 01, 2011 5:39 PM