none
¿Configuración óptima para el DNS? RRS feed

  • Pregunta

  • Saludos a todos.

    Requiero la ayuda de alguno con mas experiencia para que me aclare algunas dudas que se me están presentando en cuanto a la configuración más adecuadada para mi servidor.

    Les explico un poco el panorama.

    Tenemos una red de aprox 70 equipos, que inicialmente estaban divididos en grupos de trabajo, pero por fin luego de varias justificaciones adquirimos el Windows server2008 R2.

    Hasta el momento he unido al servidor unos 15 equipos, fueron los primeros ya que necesitan de un software administrativo que esta instalado en el servidor. La idea es que pronto todos se autentifiquen en el servidor, mientras tanto siguen por ahora siendo miembros de los grupos de trabajo. Los clientes son xp.

    El servidor Windows 2008 R2 tiene instalados los siguientes servicios:  AD, DNS, Impresión y Archivos.

    Adicionalmente, por razones de costo, ya  que no alcanzamos (por ahora) para alguna opción paga,  tengo un equipo con BrazilFW, el cual se encarga del DHCP y luego lo configuraré para controlar un poco el acceso a internet, y bloquear páginas no deseadas.

    El problema que se me presenta es con respecto al DNS, que de seguro lo estoy configurando mal.

    Si coloco en el BrazilFW el servicio de DNS, los equipos navegan por la red e internet a una velocidad aceptable (no como estaba antes) pero no todos los equipos son ubicables.

    Si coloco en el Server2008 el servicio de DNS, la navegación es muucho mas lenta, pero si tengo mas  equipos ubicables en la red.  Obviamente tengo algo mal configurado en  la parte de los DNS.

    Quisiera, y creo que seria lo mejor, dejar a mi W2008 con el servicio de DNS, pero no se como deberia ser entonces, esa configuración mas óptima.

    Actualmente tengo  esta configuración.

    Server2008

    IP:                      192.168.1.5
    Mascara:             255.255.254.0
    Puerta de enlace: 192.168.1.1
    DNS primario:      192.168.1.5
    DNS secundario:  192.168.1.1
    DNS activado.

     

    BrazilFW

    IP:                     192.168.1.1
    Máscara:             255.255.254.0
    Puerta de enlace  192.168.1.1
    DNS primario:      192.168.1.5
    DNS secundario:  192.168.1.1
    DNS activado
    DHCP activo

    Esta configuración es la que, hasta ahora mejor se ha comportado.

    Algo que hice que no se si fue correcto fue, eliminar todas las zonas de búsqueda, y crearlas de nuevo. Creo que con eso no deberia tener problemas.

    Algo adicional, deberia instalar tambien el servidor Wins?

     

    Gracias de antemano y disculpas por lo largo de la exposición.

     

     

     

     

     

     

     

     

    viernes, 12 de agosto de 2011 19:52

Todas las respuestas

  • Hola,

    Si los Servidores son 2wk3 (o superior) y los clientes WindowsXP (o superior) no es necesario que instales WINS.-

    Con respecto a Internet, el servidor BrazilFW es el que tiene la salida directa a Internet?,

    Con respecto a DNS, en el server2008, si haces properties del server, solapa Forwarders, tenes la IP del server BrazilFW

    Con respecto a la resolucion de nombres, tengo una consulta antes de darte una respuesta, el server BrazilFW con el que dices que tienes equipos que no encuentras en DNS, no es Domain Controller no?, porque de si es que no lo es, no tiene la zona DNS integrada al dominio ya que no lo replica y por eso es la falta de varios equipos en DNS cuando pones como primario dicho server.-

    Aguardo tus respuestas para ver el tema mas fino.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.
    viernes, 12 de agosto de 2011 22:33
    Moderador
  • Leonardo gracias por responder.

    Sobre tus preguntas, te informo.

    El Servidor es W2k8 y clientes son xp o mayor,  asi que entonces no me hace falta el wins

    El BrazilFW es que hace las veces de router, y tiene la conexion a internet.

    Sobre la cuarta pregunta,  y tercera pregunta, el BrazilFW no está como DC, como dije anteriormente esta ahora como  DNS y DHCP,  y si, en W2k8,  tengo la direccion Ip del BrazilFW, pero.. ahora viene el detalle... como dije anteriormente  habia eliminado las zonas y el DNS del W2k8,  pero  como que me toca hacerlo de nuevo y con mayor detalle, ya que revisando me he dado cuenta de varios errores, creo que todos relacionados con la configuracion de DNS

    En un cliente: hago un nslookup, y y dice que no me encuentra el nombre del servidor para la direccion ip del servidor,  y como servidor predeterminado me da el nombre del Brazilfw. Pero bajo el mismo nslookup coloco la ip del w2k8 y si me da el nombre. Haciendo ping, si lo encuentra sin problemas

     

    En w2k8, haciendo un nslookup, me da servidor predeterminado desconocido,  y su propia ip. Colocando la ip del BrazilFW me dice que no lo puede ubicar.

    En properties del server, solapa Forwarders, tengo la IP del server BrazilFW, pero ahora me indica "intentando resolver- no se puede resolver"

    y revisando el visor de eventos, sucesos, pues hay una gran cantidad de errores, pero todos ellos generados luego de hacer borrado las zonas, desintalado el DNS y vuelto a instalar,

    Resumiendolos un poco, son asi:

    Error en el registro dinámico del registro DNS 'bd3cdc39-193a-4a12-9c53-7f3c692d2293._msdcs.servidorw2k8.net. 600 IN CNAME SERVER-FP.servidorw2k8.net.' en el siguiente servidor DNS: 

    Dirección IP del servidor DNS: 192.168.2.1
    Código de respuesta devuelto (RCODE): 5
    Código de estado devuelto: 9017 

    Para que los equipos y usuarios puedan localizar este controlador de dominio, este registro deberá registrarse en DNS. 

    DATOS ADICIONALES
    Valor del error: Clave DNS incorrecta.

    Otros tantos asi:


    Error en el registro dinámico del registro DNS 'DomainDnsZones.servidorw2k8.net. 600 IN A 192.168.1.5' en el siguiente servidor DNS:
    Error en el registro dinámico del registro DNS 'ForestDnsZones.servidorw2k8.net. 600 IN A 192.168.1.5' en el siguiente servidor DNS: 
    Error en el registro dinámico del registro DNS 'gc._msdcs.servidorw2k8.net. 600 IN A 192.168.1.5' en el siguiente servidor DNS: 
    Error en el registro dinámico del registro DNS 'servidorw2k8.net. 600 IN A 192.168.1.5' en el siguiente servidor DNS: 
    Error en el registro dinámico del registro DNS '_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.servidorw2k8.net. 600 IN SRV 0 100 389

     

    Haciendo un dcdiag.exe este es el resultado (y disculpen lo extenso)

    Diagnóstico del servidor de directorio

    Realizando instalación inicial:
       Intentando encontrar el servidor principal...
       Servidor principal = SERVER-FP
       * Se identificó el bosque de AD.
       Recopilación de información inicial finalizada.

    Realizando pruebas requeridas iniciales

       Probando servidor: Default-First-Site-Name\SERVER-FP
          Iniciando prueba: Connectivity
             El host
             bd3cdc39-193a-4a12-9c53-7f3c692d2293._msdcs.servidorw2k8.net no se
             pudo resolver en una dirección IP. Compruebe el servidor DNS, el DHCP,
             el nombre de servidor, etc.
             ......................... SERVER-FP no superó la prueba Connectivity

    Realizando pruebas principales

       Probando servidor: Default-First-Site-Name\SERVER-FP
          Omitiendo todas las pruebas porque el servidor SERVER-FP no responde a
          las solicitudes de servicio de directorio.


       Ejecutando pruebas de partición en: ForestDnsZones
          Iniciando prueba: CheckSDRefDom
             ......................... ForestDnsZones superó la prueba
             CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... ForestDnsZones superó la prueba
             CrossRefValidation

       Ejecutando pruebas de partición en: DomainDnsZones
          Iniciando prueba: CheckSDRefDom
             ......................... DomainDnsZones superó la prueba
             CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... DomainDnsZones superó la prueba
             CrossRefValidation

       Ejecutando pruebas de partición en: Schema
          Iniciando prueba: CheckSDRefDom
             ......................... Schema superó la prueba CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... Schema superó la prueba CrossRefValidation

       Ejecutando pruebas de partición en: Configuration
          Iniciando prueba: CheckSDRefDom
             ......................... Configuration superó la prueba CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... Configuration superó la prueba
             CrossRefValidation

       Ejecutando pruebas de partición en: servidorw2k8
          Iniciando prueba: CheckSDRefDom
             ......................... servidorw2k8 superó la prueba
             CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... servidorw2k8 superó la prueba
             CrossRefValidation

       Ejecutando pruebas de empresa en: servidorw2k8.net
          Iniciando prueba: LocatorCheck
             ......................... servidorw2k8.net superó la prueba
             LocatorCheck
          Iniciando prueba: Intersite
             ......................... servidorw2k8.net superó la prueba
             Intersite

     

    Según creo, todos los errores estan ligados al servicio de DNS, creo que lo mejor sera, de nuevo desinstalar y volver a configurarlo, creando nuevamente las zonas. Voy a darme una recorrido por el foro, para leer un poco mas sobre configuración del DNS, porque algo no debo estar haciendolo bien, de todas formas cualquier sugerencia de lo acá expuesto es bienvenida.

     

    Gracias nuevamente.

     

     

     

    sábado, 13 de agosto de 2011 1:27
  • Hola,

    Por los errores que veo y si solo has realizado lo que comentas, no veo la necesidad de reinstalar todo nuevamente...

    Por lo que comentas, solo tienes un Domain Controller, ahora si realizas: nslookup fqdn_del_dominio tienes como resultado esa unica IP? si vas al server, zona DNS del dominio, desplegar opciones, seleccionando "properties" solapa "name Servers" te aparece ese unico DC? hacer el mismo chequeo en la zona _msdcs...

    El inconveniente que estas teniendo, fijate si aplica el siguiente articulo: http://support.microsoft.com/kb/977158/en-us

    Event ID 4521 - DNS Server Active Directory Integration: http://technet.microsoft.com/en-us/library/cc735851.aspx

    Aclarame un poco lo que hiciste en el server que regeneraste las zonas, si puedes, describime los pasos que realizaste, pero antes, chequea el articulo que te paso y los eventos de DNS que aplican en el mismo (de ultima, pasanos tambien eventos que tienes en el server).-

    El server BrazilFW, nunca fue Domain Controller?

    Si corres el comando repadmin /replsummary que resultado tienes?

    El server2008, en DNS, chequea la zona del dominio, despliega el menu opcion properties y ahi veraz a quien replica esa zona (DNS del dominio, del forest, etc), me podrias comentar como lo tienes configurado? tambien la zona _msdcs_..... el dominio lo instalaste de cero en 2008 o es un upgrade de version anterior?

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    sábado, 13 de agosto de 2011 2:31
    Moderador
  • Hola Leonardo

    No habia tenido oportunidad de tocar el servidor por lo cual no habia podido realizar las pruebas.

     

    Te comento sobre tus preguntas.

    haciendo un nslookup obtengo lo siguiente:

    Servidor:  UnKnown
    Address:  192.168.1.5

    Nombre:  server-fp.servidor.net

    Address:  192.168.1.5

    "si vas al server, zona DNS del dominio, desplegar opciones, seleccionando "properties" solapa "name Servers" te aparece ese unico DC? hacer el mismo chequeo en la zona _msdcs..."

    En la zona directa donde esta mi domino, si solo aparece unicamente mi DC.

    el chequeo en la zona _msdcs no lo pude hacer, no se si estamos hablando de lo mismo pero no encontre "propiedades" bajo esa zona, en todo caso, lo que tengo es asi:

     

    SERVER-FP

      | - Zonas de busqueda directa

         |- dominio

             |-  _msdcs (aca no tengo dispoible propiedades)

             |- _sites

             | _tcp

                   etc....

       |- Zonas de busqueda inversa

             |- 0.168.192.in-addr.arpa

      | - Reenviadores

     

    En BrazilFW nunca fue controlador de Dominio.

     

    En cuanto a los reenviadores, en el DNS, solo aparece la ip del BrazilFW.

     

    corriendo el repadmin /replsummary

    obtengo esto (ni idea de como leerlo)

    Tiempo de comienzo del resumen de replicación: 2011-08-16 20:47:11
    Comenzando recolección de datos para el resumen de replicación, puede tomar tiempo: ....
    DSA de origen         delta mayor    errores/total %%   error
    DSA de destino     delta mayor    errores/total %%   error

    Sobre los pasos de lo que hice  fue, en un primer momento, eliminar las zonas, quitar la funcion de DNS, volver a instalarla, y crear las zonas. Alli aparecieron los errores que comente al comienzo. Pero luego (y eso fue antes de haber leido la ultima respuesta tuya) hice lo mismo, eliminé las zonas, y esta vez las cree con el asistente. Eso creo que fue "bueno" ya que desaparecieron la mayoria de los errores que mostraba el registro. Aunque sigo con el problema principal, los errores que presenta el DNS son:

     

    Tipo de evento:    Error
    Origen del evento:    DNS
    Categoría del evento:    Ninguno
    Id. evento:    4011
    Equipo:    SERVER-FP.dominio.net
    Descripción:
    El servidor DNS no pudo agregar o actualizar un nombre de dominio server-fp en la zona dominio.net en Active Directory. Compruebe que Active Directory está funcionado correctamente y agregue o actualice este nombre de dominio con la consola DNS. La información de depuración de error extendida (puede estar vacía) es "0000208D: NameErr: DSID-031001E4, problem 2001 (NO_OBJECT), data 0, best match of:
        'CN=MicrosoftDNS,DC=DomainDnsZones,DC=dominio,DC=net'". Los datos del evento contienen el error.

    Tipo de evento:    Error
    Origen del evento:    DNS
    Categoría del evento:    Ninguno
    Id. evento:    4011
    Equipo:    SERVER-FP.dominio.net
    Descripción:
    El servidor DNS no pudo agregar o actualizar un nombre de dominio dominio en la zona dominio.net en Active Directory. Compruebe que Active Directory está funcionado correctamente y agregue o actualice este nombre de dominio con la consola DNS. La información de depuración de error extendida (puede estar vacía) es "0000208D: NameErr: DSID-031001E4, problem 2001 (NO_OBJECT), data 0, best match of:
        'CN=MicrosoftDNS,DC=DomainDnsZones,DC=dominio,DC=net'". Los datos del evento contienen el error.

    Para obtener más información, consulte el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
    Datos:
    0000: 20 00 00 00               

     

    En el visor de eventos, los mas recientes son varios asi:

     

    Error de publicación del servicio de administración de claves (KMS) en el DNS, en el dominio 'dominio.net'.
    Información:
    hr=0x800705B4

     

    El centro de distribución de claves (KDC) no encuentra un certificado adecuado para usarlo en inicios de sesión de Tarjeta inteligente o no se pudo comprobar el certificado de KDC.

     

    Error en el registro dinámico o en la eliminación de uno o más registros DNS asociados al dominio DNS  'dominio.net.'. Estos registros son utilizados por otros equipos para localizar a este servidor como un controlador de dominio (si el dominio especificado es un dominio de Active Directory) o como un servidor LDAP (si el dominio especificado es una partición de aplicación).

     

    El servicio WinRM no pudo crear los siguientes SPN: WSMAN/SERVER-FP.dominio.net; WSMAN/SERVER-FP.

     

    Pero debo confesarte que no me he puesto a invertigar la causa, ni leer un poco sobre esos errores, espero poder hacerlo en la mañana y ver cuales puedo ir resolviendo.

     

    De tomas formas, este es mi panorama actualmente. Cualquier ayuda es bienvenida

    Gracias nuevamente por la orientación

    Saludos

     

     

     

     

     

     

     

     

    miércoles, 17 de agosto de 2011 1:42