Para resolver nombre externos a nuestro dominio en un entorno con active directory, aunque esto es también aplicable a cualquier entorno Windows, disponemos de varios métodos que se usan según las circunstancias, los enumero por el orden en que se recurre a ellos:
Reenviadores condicionales (conditional forwarders): estos reenviaran la consulta a una serie de servidores DNS según al dominio al que se trate, este tipo de reenviador solo esta disponible a partir de Windows Server 2003 y se suele usar en entornos donde existe mas de una espacio de nombres o existe una relación de confianza (trust) entre dominios o bosques que no comparten un espacio de nombres común.
Reenviadores (forwarders): es el método mas utilizado y eficiente para resolver nombres DNS de Internet, se suele apuntar al servidor DNS que nos facilitara nuestro ISP u otros.
Como podéis ver existen un par de opciones adicionales, si marcamos la casilla “No usar recursividad para este dominio” (do not use recursion for this domain) entonces no se recurrirá a los root hints para intentar resolver el nombre lo cual es una buena medida de seguridad si se trata de algún dominio que no este en Internet como el dominio interno de una empresa por ejemplo. La otra opción, “Segundos transcurridos hasta agotarse el tiempo de espera de envió de consultas” indica como el tiempo que espera el servidor para probar con el siguiente servidor DNS antes de recibir una respuesta.
Sugerencias de raíz (root hints): se trata de los servidores raíz del ICANN (root servers) a través de los que se puede resolver cualquier nombre de dominio registrado para Internet, el gran problema es su lentitud ya que aparte de la distancia geográfica también deberemos hacer distintos -queries- recursivos hasta encontrar el servidor primario o secundario del dominio.
Gran numero de problemas en entornos directorio activo se deben a la configuración de DNS, en gran parte debido a la dependencia que tiene del DNS, ya sea de clientes o servidores. Uno de los problemas mas comunes es que haya una zona DNS root (.) en el DNS creada lo que impide que se hagan uso de los reenviadores absolutos o condicionales de forma que es necesario borrarla para poder hacer uso de ellos, por otro lado crear una zona de este tipo puede ser una buena estrategia si lo que queremos es evitar que los clientes resuelvan nombres DNS externos. Los clientes -siempre- han de estar configurados con las direcciones IP de los servidores internos, ya sean controlador de dominio o servidores secundarios y estos a su vez contener reenviadores para poder resolver nombres externos, tener configurada otros servidores que no pertenezcan al dominio es fuente de gran cantidad de problemas.
Categorias:
ME gustaría saber si puedo limitar de alguna forma la resolución de nombres con el DNS
Que a ciertas web no las resuelva
Por cierto todos los articulos muy interesantes