none
Relación entre los nombres de dominio de la red interna y del dominio frente a Internet. RRS feed

  • Pregunta

  • Cordial saludo  a todos.

    Me permito consultar por la relacion que debe existir para una empresa a nivel de sus nombres de domino entre el nombre de dominio de la red interna y el nombre de dominio que soportara la presencia de la empresa frente a Internet.

    Lo consulto por que no tengo claridad frente al tema y me han sugerido utilizar nombres de dominio que no seas contiguos, es decir que no compartan un espacio contiguo del DNS y me permito adicionar unas recomendaciones de un documento llamado Step by step guide for DNS in small networks  publicado por Microsft: 

    De acuerdo al documento Step by step guide for DNS in small networks publicado por Microsft, se sugiere utilizar en la red interna un nombre de dominio que sea hijo del nombre de dominio registrado en Internet, de hecho indica no hacer uso de nombres de dominio no estándar tales como los terminados en .local.

    En el documento Step by step guide for DNS in small networks   se mencionan las siguientes ventajas:

     

    • Solo es necesario registrar en Internet un nombre de dominio, si a futuro se ve la necesidad de hacer visible ante Internet un nombre de dominio de la red interna.
    • Se asegura que todos los nombres de dominio de la red interna son únicos a nivel mundial.
    • Simplifica la administración ya que se mantienen separados los nombres de dominio.
    • Permite utilizar un servidor de seguridad entre los dominios interno y externo para asegurar la implementación de DNS. 

    Agradezco de antemano su valiosa colaboracion


    viernes, 30 de noviembre de 2012 8:37

Respuestas

  • Partamos de la siguiente base:

    • Los equipos de la red interna deben poder resolver los nombres del dominio AD, y de todo Internet
    • Los equipos externos deben poder resolver (de tu organización) sólo los servidores/servicios que expongas en forma pública (www, mail, etc.)

    Si en el DNS que maneja el dominio público (contoso.com) tuviera la hecha la delegación del subdominio (corp.contoso.com), entonces desde afuera teóricamente se podría acceder al DNS interno que resuelve corp.contoso.com y resolver nombres y direcciones de la red interna.
    Seguramente no se podrá por cortafuegos por ejemplo, pero el peligro está :-)

    Fue una situación que sucedió varias veces en los comienzos de AD, y en empresas importantes

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 18 de diciembre de 2012 10:26
    Moderador
  • Hola Antonio,

    Lo importante respecto a la construcción del espacio de nombres de un dominio es que cumpla la normal "nombre.sufijo".

    Respecto a las zonas públicas y privadas de una organización, no existe ninguna limitación respecto a que el espacio de nombres publico/privado coincida, eso si, en el caso que coincidan la administración será más compleja ya que las consultas hacia los recursos de tu dominio público no serán recursivas al tratarse del dominio autoritativo.

    Para estos casos revísate como configurar un split DNS ->  http://www.isaserver.org/tutorials/you_need_to_create_a_split_dns.html 

    Para casos normales, con espacio de nombres público/privado diferentes, las consultas hacia tu dominio público requerirán resolución a través de forwarders o o sugerencias de raiz.

    Un saludo

    Julio Rosua

    viernes, 30 de noviembre de 2012 9:10
  • Hola Antonio hay varias posibilidades, todas manejables con mayor o menor configuración

    Pueden coincidir los nombres (la más compleja y delicada), o pueden ser subdominios, o pueden ser diferentes (quizás la más usada)
    En todos los casos es manejable, con ventajas e inconvenientes en cada una

    Respecto de las recomendaciones de Microsoft, ten cuidado porque han ido cambiando con el tiempo. Originalmente (W2000) nombraba las "ventajas" de que coincidieran :-S

    El sufijo "inventado", tipo ".local" es muy usado pero también tiene sus riesgos desde que se ha liberado el uso de extensiones de dominio en Internet

    No es una mala opción un subdominio, lo único a cuidar es que no esté hecha la delegación en el dominio externo

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 17 de diciembre de 2012 10:35
    Moderador

Todas las respuestas

  • Hola Antonio,

    Lo importante respecto a la construcción del espacio de nombres de un dominio es que cumpla la normal "nombre.sufijo".

    Respecto a las zonas públicas y privadas de una organización, no existe ninguna limitación respecto a que el espacio de nombres publico/privado coincida, eso si, en el caso que coincidan la administración será más compleja ya que las consultas hacia los recursos de tu dominio público no serán recursivas al tratarse del dominio autoritativo.

    Para estos casos revísate como configurar un split DNS ->  http://www.isaserver.org/tutorials/you_need_to_create_a_split_dns.html 

    Para casos normales, con espacio de nombres público/privado diferentes, las consultas hacia tu dominio público requerirán resolución a través de forwarders o o sugerencias de raiz.

    Un saludo

    Julio Rosua

    viernes, 30 de noviembre de 2012 9:10
  • Cordial saludo julio Rosua.

    Agradezco tu respuesta, sin embargo el ejemplo que planteo indica que el espacio de nombres de dominio de las zonas publicas y privadas son contiguos, por ejemplo:

    Zona publica:    contoso.com

    Zona privada:   corp.contoso.com

    Agradezco de antemano la colaboracion que pueda recibir.

    domingo, 16 de diciembre de 2012 0:32
  • Hola Antonio hay varias posibilidades, todas manejables con mayor o menor configuración

    Pueden coincidir los nombres (la más compleja y delicada), o pueden ser subdominios, o pueden ser diferentes (quizás la más usada)
    En todos los casos es manejable, con ventajas e inconvenientes en cada una

    Respecto de las recomendaciones de Microsoft, ten cuidado porque han ido cambiando con el tiempo. Originalmente (W2000) nombraba las "ventajas" de que coincidieran :-S

    El sufijo "inventado", tipo ".local" es muy usado pero también tiene sus riesgos desde que se ha liberado el uso de extensiones de dominio en Internet

    No es una mala opción un subdominio, lo único a cuidar es que no esté hecha la delegación en el dominio externo

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 17 de diciembre de 2012 10:35
    Moderador
  • Cordial saludo Guillermo.

    Agradezco tu respuesta y me gustaria contar con mas informacion en relacion a tu comentario:

    "lo único a cuidar es que no esté hecha la delegación en el dominio externo"

    Agradezco de antemano tu colaboracion.

    Antonio Roncancio

    martes, 18 de diciembre de 2012 5:00
  • Partamos de la siguiente base:

    • Los equipos de la red interna deben poder resolver los nombres del dominio AD, y de todo Internet
    • Los equipos externos deben poder resolver (de tu organización) sólo los servidores/servicios que expongas en forma pública (www, mail, etc.)

    Si en el DNS que maneja el dominio público (contoso.com) tuviera la hecha la delegación del subdominio (corp.contoso.com), entonces desde afuera teóricamente se podría acceder al DNS interno que resuelve corp.contoso.com y resolver nombres y direcciones de la red interna.
    Seguramente no se podrá por cortafuegos por ejemplo, pero el peligro está :-)

    Fue una situación que sucedió varias veces en los comienzos de AD, y en empresas importantes

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 18 de diciembre de 2012 10:26
    Moderador
  • Cordial saludo Guillermo.

    Muchas gracias por tu respuesta y por compartir  el conocimiento que tienes.

    Antonio Roncancio

    jueves, 20 de diciembre de 2012 4:32