Pregunta.Tengo un dominio de Windows AD y hay una parte que es un misterio para mí: ¿cómo realiza el dominio de Windows/servidor DNS búsquedas de dominios fuera del dominio de Windows?
En una red doméstica sencilla, el enrutamiento de solicitudes DNS es fácil de entender:
Generic Example: Client machine -> (defined DNS or from DHCP) ->
->Router / Gateway -> (usually ISP DNS) -> DNS root servers -> Internet
Specific Example: 192.168.1.101 -> 192.168.1.1 -> 8.8.8.8 -> DNS root servers -> Internet
Por el contrario, la ruta que veo actualmente para mi red AD es esta:
Client Machine -> Windows Domain / DNS -> ??????? -> DNS root servers -> Internet
Si verifico la configuración de red en mi servidor de dominio, el DNS se configura en el servidor DNS alternativo (servidor de dominio secundario), en sí mismo, en el loopback y nada más.
Mi Internet funciona, por lo que de alguna manera el servidor de dominio de Windows es lo suficientemente inteligente como para obtener información DNS de un servidor ascendente, pero ¿dónde y cómo se define esto?
Respuesta1
Hay varias formas en que sus controladores de dominio podrían consultar un servidor de nombres externo:
- Consejos de raíz
- Transportistas globales
- Zonas stub, delegaciones o zonas directas condicionales explícitamente definidas
- Configuraciones en la interfaz de red de su DC, que ha verificado.
Voy a adivinar el número 1 o el número 2. Su pregunta solo incluye verificar la configuración de red: ¿ha verificado el administrador de DNS en los DC?
Si todo lo anterior está en blanco, algo no deseado está sucediendo y quizás deberías rastrear las consultas DNS salientes usando Wirehark.
Respuesta2
DNS consta de dos partes bastante diferenciadas. Una parte es responsable de publicar los datos y la otra parte es responsable de aceptar solicitudes de DNS de los clientes e intentar responder esas solicitudes recopilando datos. Los servidores DNS que desempeñan la función de publicar datos a menudo se denominan servidores "autorizados", aunque en realidad no es un nombre técnicamente correcto. Personalmente, prefiero el nombre "servidor de contenido DNS", pero ese término no se usa mucho. Los servidores que aceptan y responden solicitudes de los clientes a menudo se denominan servidores de "resolución".
En realidad, esto es bastante similar a cómo funcionan los servidores HTTP y los servidores proxy HTTP: los servidores HTTP publican los datos y los servidores proxy HTTP aceptan solicitudes de los clientes (navegadores) y se pondrán en contacto con los servidores para recopilar los datos que el cliente solicitó. Una diferencia entre los navegadores web y los clientes DNS es que un cliente DNS no es capaz de contactar con los servidores DNS de contenido por sí solo. Un cliente DNStiene queutilice un servidor de resolución de DNS, mientras que un navegador web puede funcionar perfectamente sin un proxy HTTP.
Debido a que la información DNS se almacena de forma jerárquica y distribuida, para responder a una sola consulta necesitará información de varios servidores de contenido DNS, probablemente ubicados en todo el mundo. Cuando un cliente DNS quiere saber la dirección de "www.serverfault.com", puede simplemente enviar esa solicitud a un servidor de resolución de DNS. Ese servidor de resolución de DNS tiene que realizar el trabajo real de contactar a los servidores DNS en todo el mundo.
Primero, el servidor DNS de resolución envía la consulta completa a un servidor raíz (que es un servidor DNS de contenido). Ese servidor raíz no tiene una respuesta completa, perohacesaber qué servidores de contenidos DNS tienen más información sobre los nombres del dominio ".com". Entonces, el solucionador de DNS ahora envía la consulta completa a uno de los servidores DNS de contenido ".com". Ese servidor tampoco tiene una respuesta completa, pero sí sabe qué servidores de contenidos DNS tienen más información sobre los nombres del servervault.comdominio. El servidor DNS de resolución seguirá preguntando a los servidores DNS de contenido de todo el mundo hasta que tenga una respuesta completa para el cliente. Por supuesto, el servidor DNS de resolución almacenará información en caché a lo largo del camino: no se comunicará con los servidores DNS de contenido raíz para cada consulta en un dominio ".com" si sabe por su caché dónde están los servidores DNS de contenido ".com".
Un "reenviador" es simplemente un servidor DNS de resolución que envía consultas de clientes a otro servidor DNS de resolución (preconfigurado), en lugar de intentar responderlas él mismo contactando servidores DNS de contenido en todo el mundo. Los enrutadores domésticos suelen contener un servidor DNS de resolución, que está configurado para utilizar el servidor DNS de resolución del ISP como reenviador.
Puede resultar confuso cuando las dos funciones diferentes (tanto de servicio como de resolución de contenido) se combinan en un servidor DNS. Esto es más o menos lo que sucede con Active Directory. En Active Directory, DNS se utiliza para publicar información sobre dónde se pueden encontrar ciertos servicios. Por ejemplo, cuando un cliente en el dominio ad.example.comdesea comunicarse con un servidor de cambio de contraseña Kerberos para su dominio, emite una solicitud DNS para un registro SRV llamado _kpasswd._tcp.ad.example.com. Esta solicitud de DNS se envía, como cualquier otra solicitud de DNS, al servidor DNS de resolución configurado en el cliente. El servidor DNS de resolución se pone a trabajar intentando responder a la solicitud.
Aquí es donde puede resultar un poco confuso. Es posible que el servidor de resolución de DNS sepa que es parte de un dominio de Active Directory específico, lo que significa que puede reconocer consultas entrantes de nombres en ese dominio. Si el solucionador recibe una consulta de este tipo, no se pondrá en contacto con servidores DNS externos, pero puede responder directamente con información de la base de datos de Active Directory. Si una consulta entrante no es para un nombre en el dominio, el solucionador intenta responder la pregunta contactando a los servidores DNS de contenido o (en caso de que esté configurado para usar un reenviador) simplemente envía la consulta a otro servidor de resolución DNS. . Lo más probable es que esto sea lo que suceda en su escenario.
Lo que puede confundir aún más las cosas son las actualizaciones dinámicas. En cualquier dominio no trivial, los servicios no son estáticos. Se pueden agregar o eliminar controladores de dominio, etc. Lo mismo se aplica a las estaciones de trabajo. Esto significa que la información en DNS debe actualizarse para reflejar esto. Actualizaciones dinámicas es un protocolo que permite a un cliente modificar la información que se publica en DNS. Un cliente envía una consulta a su servidor DNS de resolución para averiguar a qué servidor DNS de contenido puede enviar la nueva información. En el caso de una infraestructura DNS integrada de Active Directory, el servidor DNS de resolución podría muy bien tener acceso a la propia base de datos: en ese caso, el servidor DNS de resolución le dice al cliente que puede actualizar la información por sí mismo.