none
Problmea DNS AD Primario y DNS ISP Secundario RRS feed

  • Pregunta

  • Sres. paso comentar el problema que tengo con la resolucion de nombres FQDN interno (AD) y Externo (Internet)
    Tengo un ambiente 2003 con AD donde tengo 1 Controlador de Dominio con DNS (192.168.1.100/16) y los clientes dentro de la subnet (192.168.121.0/16)
    Los clientes reciben por DHCP las IP con la siguiente configuracion:
    Ej:
    IP = 192.168.121.100
    Mask = 255.255.0.0
    DNS Primario = 192.168.1.100
    DNS Secundario = 200.3.119.5 (DNS PUBLICO del ISP de Interent)

    El problema ocurre cuando yo quiero tirar un PING a un servidor publico (www.yahoo.com) no me lo resuelve, pero si me resuelve todos los FQDN internos de mi AD (ej. server1.dominio.local)

    Si cambio el orden de los DNS (primario el ISP y secundario el AD) ocurre exactamente al reves.
    Mi consulta es la siguiente:
    Si el servidor o estacion de trabajo tiene asignado los 2 DNS (local e Internet) no tiene que resolver cualquier nombre ya sea local o externo?
    No tendria que funcionar que si no encuentra el sitio en el primario saltar a buscarlo en el secundario que tiene configurada la placa de RED del equipo?

    Hay alguna configuracion especial sobre la placa de red local del equipo que me ayude a que funcione de esta manera SIN tener que hacer un FORWARD a los DNS publicos en el AD?

    Espero se entienda mi situacion y ojala pueda resolverlo.
    Sdos
    Gracias.
    jueves, 7 de mayo de 2009 20:02

Respuestas

  • Tus estaciones de trabajo tienen y deben apuntar UNICAMENTE a tu servidor DNS , luego en tu servidor DNS deberas configurar Fowarders o Reenviadores para reenviar las peticiones publicas al DNS DE TU ISP.

    El funcionamiento seria algo como 

    - Si tu haces una peticion, chequearas contra tu dns 192.168.1.100 si tienes una zona configurada para ese dominio, en caso de tenerla esa consulta sera contestada como autoritativa, caso contrario sera reenviada al fowarder. Entonces si tu haces un ping www.yahoo.com verificara en tu servidor si tiene informacion para esa zona , como esa zona no existira fowardeara la peticion al fowarder configurado en tu servidor DNS.


    1 - Los clientes deben apuntar unicamente a tu Domain Controller,
    2 - Tu domain Controller debe apuntar unicamente a si mismo.
    3 - Deberas configurar tu servidor DNS para utilizar reenviadores, puedes guiarte para configurarlos con la siguiente Guia http://geeks.ms/blogs/dmatey/archive/2007/01/16/basicos-configuraci-n-de-dns.aspx

    Slds
    sebastian del Rio

    Saludos. Colabora con el foro y vota si el mensaje es util.
    viernes, 8 de mayo de 2009 1:14
    Moderador
  • Estimado Gustavo ,

    Entonces el problema lo tienes a nivel de tu diseño de Networking, deberias intentar configurar rutas estaticas para routear el trafico hacia la interfaz correcta. La solucion a tu incoveniente es utilizar fowarders para obtener resolucion externa. Por lo cual deberas verificar la manera de que tu servidor DNS se comunique con Internet, ya sea directamente o mediante alguna ruta estatica para tal fin.

    Slds
    Sebastian del Rio

    Saludos. Colabora con el foro y vota si el mensaje es util.
    viernes, 8 de mayo de 2009 17:43
    Moderador

Todas las respuestas

  • Tus estaciones de trabajo tienen y deben apuntar UNICAMENTE a tu servidor DNS , luego en tu servidor DNS deberas configurar Fowarders o Reenviadores para reenviar las peticiones publicas al DNS DE TU ISP.

    El funcionamiento seria algo como 

    - Si tu haces una peticion, chequearas contra tu dns 192.168.1.100 si tienes una zona configurada para ese dominio, en caso de tenerla esa consulta sera contestada como autoritativa, caso contrario sera reenviada al fowarder. Entonces si tu haces un ping www.yahoo.com verificara en tu servidor si tiene informacion para esa zona , como esa zona no existira fowardeara la peticion al fowarder configurado en tu servidor DNS.


    1 - Los clientes deben apuntar unicamente a tu Domain Controller,
    2 - Tu domain Controller debe apuntar unicamente a si mismo.
    3 - Deberas configurar tu servidor DNS para utilizar reenviadores, puedes guiarte para configurarlos con la siguiente Guia http://geeks.ms/blogs/dmatey/archive/2007/01/16/basicos-configuraci-n-de-dns.aspx

    Slds
    sebastian del Rio

    Saludos. Colabora con el foro y vota si el mensaje es util.
    viernes, 8 de mayo de 2009 1:14
    Moderador
  • Hola Sebastian, gracias por tu respuesta, entiendo y conozco el tema de Forward, pero el problema principal que tengo es que el Default Gateway de mis DC y de mis usuarios no es un ROUTER o Firewall que tenga acceso a Internet. Lo unico que tengo con acceso a internet son MS ISA Server 2006 que los utilizamos como PROXY y que estan configurados de la siguiente manera:
    MS ISA Server:
    1 Placa de red
    IP = 190.168.1.90
    Mask = 255.255.0.0
    GW = en blanco
    DNS 1 = 192.168.1.100
    DNS 2 = 200.45.191.35 (dns Arnet proveedor IE)
    2 placa de red:
    IP = todo por DHCP directo del proveedor

    DC
    IP = 192.168.1.100
    Mask = 255.255.0.0
    GW = 192.168.1.20 (Router que conecta con otras Sucursales WAN)
    DNS 1 = 192.168.1.100

    Usuarios:
    IP = 192.168.121.100
    Mask = 255.255.0.0
    DNS Primario = 192.168.1.100

    Con esta estructura no puedo hacer directamente FORWARD desde mi DC a Internet, ya que mi ISA server NO es mi router predeterminado contra mi WAN para comunicarnos con otras sucursales.
    Mi consulta es la siguiente:
    Puede hacer un FORWARD en mi DC DNS a la IP del ISA Server y que este resuelva los nombres DNS publicos?
    Se te ocurre alguna otra alternativa?

    Desde ya gracias
    Sdos.

    viernes, 8 de mayo de 2009 13:19
  • Estimado Gustavo ,

    Entonces el problema lo tienes a nivel de tu diseño de Networking, deberias intentar configurar rutas estaticas para routear el trafico hacia la interfaz correcta. La solucion a tu incoveniente es utilizar fowarders para obtener resolucion externa. Por lo cual deberas verificar la manera de que tu servidor DNS se comunique con Internet, ya sea directamente o mediante alguna ruta estatica para tal fin.

    Slds
    Sebastian del Rio

    Saludos. Colabora con el foro y vota si el mensaje es util.
    viernes, 8 de mayo de 2009 17:43
    Moderador