none
Windows Server con AD, como hacer funcionar el DNS si hay NAT RRS feed

  • Pregunta

  • Hola,

    Hemos montado un Directorio Activo (AD) en un server 2008R2 y está detrás de un NAT. El problema te tengo es que el servidor tiene un direccionamiento privado, pero los clientes están en otra red con un direccionamiento público. En los clientes he configurado el DNS del servidor son su IP publica, a la hora de navegar lo hacen sin problemas, pero cuando quiero añadir un cliente al dominio da error porque imagino que el DNS del servidor devuelve la IP privada del servidor y el cliente no es capaz de encontrar los servicios publicados.... Ya se que no es aconsejable montar un AD detrás de un NAT, pero hay alguna manera de configurar el DNS del servidor para que cuando un cliente pregunte le de la IP publica del servidor?

    Gracias.

    miércoles, 27 de enero de 2016 12:13

Respuestas

  • Hola LluisR, primero que nada aclara algunos detalles de la infraestructura porque cuando hablas de direcciones IP públicas inmediatamente aparece Internet ¿es un conexión sobre Internet? Si fuera así eso no debe hacerse nunca

    Si es una red privada con direccionamiento público eso trae problemas, pues no podrás acceder a los servidores externos que estén en dicha red, además de un problema posible de seguridad

    Por otro lado NAT, por su naturaleza es unidireccional, de "adentro" hacia "afuera" no hay problemas, pero de "afuera" hacia "adentro" sólo lo que respondan

    Existe la posibilidad de publicar y redirigir puertos, pero la conectividad entre cliente y servidor utiliza muchos puertos, sobre todo al utilizar RPC los puertos que usará son aleatorios y no es por lo tanto una solución aplicable

    Si pones más datos del objetivo quizás podamos ver si hay alguna solución posible

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta LluisR jueves, 28 de enero de 2016 17:11
    miércoles, 27 de enero de 2016 14:58
    Moderador

Todas las respuestas

  • Hola LluisR, primero que nada aclara algunos detalles de la infraestructura porque cuando hablas de direcciones IP públicas inmediatamente aparece Internet ¿es un conexión sobre Internet? Si fuera así eso no debe hacerse nunca

    Si es una red privada con direccionamiento público eso trae problemas, pues no podrás acceder a los servidores externos que estén en dicha red, además de un problema posible de seguridad

    Por otro lado NAT, por su naturaleza es unidireccional, de "adentro" hacia "afuera" no hay problemas, pero de "afuera" hacia "adentro" sólo lo que respondan

    Existe la posibilidad de publicar y redirigir puertos, pero la conectividad entre cliente y servidor utiliza muchos puertos, sobre todo al utilizar RPC los puertos que usará son aleatorios y no es por lo tanto una solución aplicable

    Si pones más datos del objetivo quizás podamos ver si hay alguna solución posible

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta LluisR jueves, 28 de enero de 2016 17:11
    miércoles, 27 de enero de 2016 14:58
    Moderador
  • Hola,

    El motivo de que exista NAT es por que el servidor Windows está en una plataforma de Cloud (privado) dentro de nuestra propia organización. Este cloud tiene tiene un direccionamiento privado y está separado de la red de los clientes. El servidor tiene una ip de direccionamiento privado (una 192.168.x.x) y sale hacia la red de los clientes a través de NAT con otro direccionamiento (lo llamamos público, pero imagina que es otro privado diferente 10.10.x.x). Yo en esta plataforma de virtualización puedo elegir por que puertos hago NAT o si el NAT es directo, lo tengo como directo puertos del 1 al 65535 TCP+UDP y sin firewall. Por tanto el servidor sale a través de NAT hacia la red con una IP 10.10.x.x siempre la misma. Lo que comentas del RPC no es problema, ya tuve ese problema en su día con servidores que están detrás de firewall. El RPC usa puertos aleatorios del 1024 al 65535,  pero se pueden fijar a través de registro o con una orden.

    El problema lo tengo identificado, cuando el cliente que tiene como servidor de DNS al que está en la red 192.168.x.x quiere resolver al dirección del dominio, el dns le devuelve una dirección 192.168.x.x. Esto es por que tiene todos los registros srv, kerberos, etc. que apuntan al nombre del servidor de este rango y este a su vez apunta a un registro tipo A a la 192.168.x.x. Lo que me preguntaba es si no podría añadir otro registro tipo A para que cuando el cliente intente resolver el nombre del servidor este le devuelve la IP 10.10.x.x y como los registros SRV, etc apuntan al registro A los clientes resolverían el nombre correctamente... hace mucho que no administro un servidor DNS y no recuerdo si esto se puede hacer sin que el servidor tenga realmente la dirección IP en uno de sus adaptadores...

    Saludos,

    miércoles, 27 de enero de 2016 15:46
  • Si ambas redes son privadas internas, disculpa la pregunta obvia :) ¿Y por qué no hace Routing y se acaban todos los problemas? :)

    Además que consume mucho menos recursos, y tiene mucho mejor rendimiento

    El problema de agregar dos direcciones, es que el servidor DNS responderá siempre con ambas. Estando habilitado, por omisión, el "Round Robin" alternará el orden en cada pedido

    Hay una opción en las propiedades del DNS, pero yo no he tenido mucha suerte con ella. Fíjate que hay una opción llamada algo así como "Netmask ordering". Esto, en teoría, le ordena al cliente la resolución de forma que quede primero la que tiene "más cerca"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M jueves, 28 de enero de 2016 15:46
    miércoles, 27 de enero de 2016 18:57
    Moderador
  • Hola,

    La cuestión es que no está en mi mano hacer esos cambios, no puedo variar nada de lo que está montado. Lo ideal seria tener el direccionamiento de los clientes en la parte del servidor o el enrutamiento que comentas y se acabaría el problema con el NAT. Hablaré con los administradores de la plataforma de virtualización explicando la problemática para ver si se puede hacer algo, ya que no es la primera vez que ocurre y hace que una buena idea se convierta en una pesadilla.

    Intantaré mirar también la opción que comentas de la parte del cliente, estube jugando con varias opciones en el servidor DNS pero sin éxito...

    Gracias por todo y saludos,

    miércoles, 27 de enero de 2016 20:10