none
Problemas con DNS Server 2012 RRS feed

  • Pregunta

  • Que tal!!!

    Mi problema es el siguiente: En el lugar donde laboro acabamos de instalar Windows Server 2012, junto con los roles de Directorio Activo, DNS y DHCP, seguido de Exchange 2013, este servidor lo vamos a utilizar como uno de correo, para que de manera externa los usuarios podamos entrar a nuestra cuenta institucional. Dicho servidor lo tenemos conectado a un equipo Juniper. Lo que queremos hacer es, que a través de una dirección pública podamos tener acceso al servidor del correo que a su vez tiene una dirección IP fija del segmento que se asignó en el Juniper. A través de este último, la idea es utilizar una de sus funciones llamada MIP o Mapeo de IP. Creo que la falla estaría en la configuración del DNS del servidor de correo. Cabe mencionar que ya contamos con un dominio .mx.

    Agradeceré que  pudieran apoyar con este problema.

    Me despido con un cordial saludo. 

    viernes, 9 de octubre de 2015 19:22

Respuestas

  • El servidor con Exchange forma parte de Active Directory, así que la única forma que esto funcione es que utilice solamente a los DNSs internos que resuelven el Dominio. De otra forma tendrás problemas graves con Active Directory

    Para que se resuelvan internamente los nombres de Internet normalmente, en los DNSs internos, se configuran Reenviadores ("Forwarders")

    Por otra parte, y sobre la resolución de nombres:

    - Externamente, se tiene que resolver el nombre a la dirección externa para que pueda ser reenviado el tráfico

    - Pero internamente, hay que resolver el nombre a la dirección IP real e interna, para no tener que pasar por la interfaz externa del cortafuegos

    Otro tema a tener en cuenta es si hay coincidencia entre los nombres de prescencia en Internet, y el nombre del dominio Active Directory

    Además un DNS interno, y que forma parte del dominio, no debería ser accesible desde Internet, como por ejemplo creo que haces por ponerle el servicio DNS

    Debería conocer más datos, pero resumiendo, debes separar muy bien la parte interna de la externa. El Exchange debe resolver a través del DNS interno, normalmente los DCs. Y por otro lado en los DNSs externos que se resuelva la dirección del Exchange a la interfaz externa del Juniper

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Moderador M miércoles, 21 de octubre de 2015 15:54
    lunes, 12 de octubre de 2015 15:13
    Moderador
  • 1) Tu dominio interno basicamente debe esta compuesto por: 1 Directorio Activo que tiene tambien el rol de DNS y un Exchange Server 2013 Unido a Dominio. 

    En la zona interna de tu dominio tienes ejemplo MiDominio.Local o MiDominio.Com, etc. te resolvera unicamente direcciones internas

    2) Si compraste tu dominio .com.mx con godday, akky.mx, etc, ellos traen una consola de administración de la ZONA DNS, para lo cual tienes que crear un Registro A para el nombre de tu servidor (mail.midominio.com) y otro para autodiscover.midominio.com, Un registro MX para apuntar al transporte de correo, Un registro SRV apunte a _autodiscover._tcp.midominio.com puerto 443 y que apunte al host A de mail.midominio.com creado previamente, un registro TXT que contenga las direcciones y dominios que usaras para enviar correo, este registro se conoce como SPF.

    3) Todos los registro de manera basica deben apuntar al NAT que le hagas al juniper es decir la IP publica debe tener un Destination NAT a la IP interna del Exchange a los puertos 80, 443, y 25. 

    Y un Source NAT del equipo Exchange para que su salida de internet sea la IP Publica que pusiste en los registros.

    Y con esooooooooo! ya la armaste! no necesitarias el servidor DNS Externo en tu infra ya que mayormente las paginas de Dominios te dan una consola de administración.

    Por otro lado si no quieres la administración en la pagina web, instala un servidor pequeño, en la pagina cambias el registro NS al registro local de tu servidor en una DMZ de tu red, donde necesitaras un NAT al puerto 53 para que puedan realizar querys desde internet. Y ejecutar el paso 2 pero localmente.

    Saludos


    El éxito nunca llega solo; hay que trabajar arduamente para conseguirlo.

    • Propuesto como respuesta Moderador M martes, 20 de octubre de 2015 14:47
    • Marcado como respuesta Moderador M miércoles, 21 de octubre de 2015 15:54
    lunes, 12 de octubre de 2015 18:50

Todas las respuestas

  • Hola JL_Cruz, pienso que tienes una confusión entre "Dominio Active Directory" y "Dominio de Internet" que usa el servicio de correo. Mucho cuidado porque si es así estarás en un problema grave de seguridad

    Trata de explicar cuál es el error que te da, por qué crees que el problema está en DNS

    Si es cómo configurar el Juniper, ten en cuenta que estos son foros de Microsoft y no para Juniper :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 12 de octubre de 2015 14:24
    viernes, 9 de octubre de 2015 21:50
    Moderador
  • Qué tal Guillermo.

    Antes que nada agradezco tu apoyo. 

    Lo que pasa es que se tiene un equipo Juniper en el lugar donde laboro, en esta parte no hay problema porque ya sabemos cómo configurar este equipo para lo que planeamos implementar: a través de una dirección pública se mapee a una dirección privada de nuestra red que sería la del Exchange. El problema es que no sabemos cómo configurar el servidor DNS de nuestro server Exchange. Implementamos con anterioridad, un servidor Exchange 2013, al cual le colocamos una dirección pública, lo publicamos y configuramos DNS en el server sin problemas, pero no dependía de Juniper, salía directamente a Internet. Pero no entendemos muy bien, ¿cómo configurar el DNS e dicho servidor, ya que estamos utilizando IP Pública e IP Privada??

     
    lunes, 12 de octubre de 2015 14:29
  • El servidor con Exchange forma parte de Active Directory, así que la única forma que esto funcione es que utilice solamente a los DNSs internos que resuelven el Dominio. De otra forma tendrás problemas graves con Active Directory

    Para que se resuelvan internamente los nombres de Internet normalmente, en los DNSs internos, se configuran Reenviadores ("Forwarders")

    Por otra parte, y sobre la resolución de nombres:

    - Externamente, se tiene que resolver el nombre a la dirección externa para que pueda ser reenviado el tráfico

    - Pero internamente, hay que resolver el nombre a la dirección IP real e interna, para no tener que pasar por la interfaz externa del cortafuegos

    Otro tema a tener en cuenta es si hay coincidencia entre los nombres de prescencia en Internet, y el nombre del dominio Active Directory

    Además un DNS interno, y que forma parte del dominio, no debería ser accesible desde Internet, como por ejemplo creo que haces por ponerle el servicio DNS

    Debería conocer más datos, pero resumiendo, debes separar muy bien la parte interna de la externa. El Exchange debe resolver a través del DNS interno, normalmente los DCs. Y por otro lado en los DNSs externos que se resuelva la dirección del Exchange a la interfaz externa del Juniper

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Moderador M miércoles, 21 de octubre de 2015 15:54
    lunes, 12 de octubre de 2015 15:13
    Moderador
  • 1) Tu dominio interno basicamente debe esta compuesto por: 1 Directorio Activo que tiene tambien el rol de DNS y un Exchange Server 2013 Unido a Dominio. 

    En la zona interna de tu dominio tienes ejemplo MiDominio.Local o MiDominio.Com, etc. te resolvera unicamente direcciones internas

    2) Si compraste tu dominio .com.mx con godday, akky.mx, etc, ellos traen una consola de administración de la ZONA DNS, para lo cual tienes que crear un Registro A para el nombre de tu servidor (mail.midominio.com) y otro para autodiscover.midominio.com, Un registro MX para apuntar al transporte de correo, Un registro SRV apunte a _autodiscover._tcp.midominio.com puerto 443 y que apunte al host A de mail.midominio.com creado previamente, un registro TXT que contenga las direcciones y dominios que usaras para enviar correo, este registro se conoce como SPF.

    3) Todos los registro de manera basica deben apuntar al NAT que le hagas al juniper es decir la IP publica debe tener un Destination NAT a la IP interna del Exchange a los puertos 80, 443, y 25. 

    Y un Source NAT del equipo Exchange para que su salida de internet sea la IP Publica que pusiste en los registros.

    Y con esooooooooo! ya la armaste! no necesitarias el servidor DNS Externo en tu infra ya que mayormente las paginas de Dominios te dan una consola de administración.

    Por otro lado si no quieres la administración en la pagina web, instala un servidor pequeño, en la pagina cambias el registro NS al registro local de tu servidor en una DMZ de tu red, donde necesitaras un NAT al puerto 53 para que puedan realizar querys desde internet. Y ejecutar el paso 2 pero localmente.

    Saludos


    El éxito nunca llega solo; hay que trabajar arduamente para conseguirlo.

    • Propuesto como respuesta Moderador M martes, 20 de octubre de 2015 14:47
    • Marcado como respuesta Moderador M miércoles, 21 de octubre de 2015 15:54
    lunes, 12 de octubre de 2015 18:50
  • Ok agradezco sus comentarios, nada más checamos las propuestas que acaban de plantear y les comento lo que pasó.
    lunes, 12 de octubre de 2015 21:59