Problemas DNS

13/06/2007 - 00:04 por pipers | Informe spam
Buenas,

Describo la situación:

Tengo un ADSL que mapea en monopuesto mi IP externa a un FW Sonicwall.
Este Sonicwall, por su pata interna está conectado a una LAN
intermedia. En esta LAN intermedia tengo una pata de mi ISA Server. Su
otra pata esta en la LAN interna donde existe un controlador de
dominio (DC). El ISA es parte del dominio. No preguntéis el porqué de
esta arquitectura, ya que el razonamiento es bastante estupido, pero
obligado por una norma de seguridad en la empresa.

He de colocar equipos cliente (Windows XP) en la red intermedia con
esta funcionalidad. Deben pertenecer al dominio, hacer logon en él,
poder navegar por recursos compartidos en el DC y en algún otro equipo
que pertenece al dominio pero que estan en la red interna. Además,
deben salir a Internet (a través del Sonicwall) para navegación y
correo pop3 al menos.

La configuración es la siguiente:
- permito en el ISA el tráfico de Intermedia a Interna para los
protocolos a pasar: DNS, LDAP, RPC, NetBIOS, CIFS, NTP, bla, bla, bla.
- en los equipos pongo como DNS el DC de la red interna. Como GW el
Sonicwall y una ruta estatica permanente hacia la red interna.
- teóricamente no hay problemas de routing (aún...)

Así funciona casi todo, sólo queda navegar a Internet por DNS (navego
por IP).

Si pongo dos DNSs en los clientes (el DC como primario y uno de
Internet como secundario), dejan de poder navegar en el dominio
(cualquier consulta va hacia Internet, en vez de al DC). Y el DC no
debe tener acceso a Internet (por normativa)

¿Hay alguna manera de que manejen inteligentemente las consultas DNS a
dos servidores?
Ya sea con configuración en servidor DNS o en los clientes DNS

¿Se podría solucionar mapeando todas las entradas de nombres en los
archivos hosts de cada cliente?

Muchas gracias,
 

Leer las respuestas

#1 kuky7
13/06/2007 - 00:59 | Informe spam
Deberias de mantener el DNS de tus clientes en la red intermedia apuntando a
tu DNS interno (DC) pues es esencial para la autenticacion, y eliminar la
entrada de tu DNS externo.

Al mismo tiempo, si tu DNS interno no puede (y no debe) tener contacto
alguno con el exterior, deberias de colocar un servidor DNS Cache en la red
intermedia; de manera que el DC este esclavizado al DNS cache, y el DNS
cache este esclavizado al los DNS de tu ISP. De esta manera tendras
resolucion de nombre tanto interna como externa, ademas te garantizas por
medio de DNS y del ISA que tu DC unicamente habla e interactua con el DNS
cache. Lo mismo sucederia con el DNS Cache server, es cual con el otro
firewall y el propio DNS, garantizas que solo se hable con los DNS de tu
ISP.


Saludos Cordiales


"pipers" wrote in message
news:
Buenas,

Describo la situación:

Tengo un ADSL que mapea en monopuesto mi IP externa a un FW Sonicwall.
Este Sonicwall, por su pata interna está conectado a una LAN
intermedia. En esta LAN intermedia tengo una pata de mi ISA Server. Su
otra pata esta en la LAN interna donde existe un controlador de
dominio (DC). El ISA es parte del dominio. No preguntéis el porqué de
esta arquitectura, ya que el razonamiento es bastante estupido, pero
obligado por una norma de seguridad en la empresa.

He de colocar equipos cliente (Windows XP) en la red intermedia con
esta funcionalidad. Deben pertenecer al dominio, hacer logon en él,
poder navegar por recursos compartidos en el DC y en algún otro equipo
que pertenece al dominio pero que estan en la red interna. Además,
deben salir a Internet (a través del Sonicwall) para navegación y
correo pop3 al menos.

La configuración es la siguiente:
- permito en el ISA el tráfico de Intermedia a Interna para los
protocolos a pasar: DNS, LDAP, RPC, NetBIOS, CIFS, NTP, bla, bla, bla.
- en los equipos pongo como DNS el DC de la red interna. Como GW el
Sonicwall y una ruta estatica permanente hacia la red interna.
- teóricamente no hay problemas de routing (aún...)

Así funciona casi todo, sólo queda navegar a Internet por DNS (navego
por IP).

Si pongo dos DNSs en los clientes (el DC como primario y uno de
Internet como secundario), dejan de poder navegar en el dominio
(cualquier consulta va hacia Internet, en vez de al DC). Y el DC no
debe tener acceso a Internet (por normativa)

¿Hay alguna manera de que manejen inteligentemente las consultas DNS a
dos servidores?
Ya sea con configuración en servidor DNS o en los clientes DNS

¿Se podría solucionar mapeando todas las entradas de nombres en los
archivos hosts de cada cliente?

Muchas gracias,

Preguntas similares