Gran Confusion con AD DNS->root hints

Los root-hints los puedes dejar tranquilamente ya que no te molestan para nada; si tu servidor DNS no tiene configurado los forwarders para resolver nombres, usará entonces los root.

Javier Inglés
MS MVP Directory Services
E-Mail:
<<<quitar "NOSPAM" para mandar mail>>>


"periko" escribió en el mensaje news:

Holas camaradas, saben estoy tratando de entender el funcionamiento
del DNS en AD de windows 2k3.

La empresa donde laboro da accesos a internet atraves de un proxy
corriendo en Linux y para ello se requiere una cuenta de acceso, y no
todos tienen cuenta aproximadamente un 15% de los usuarios.

Ahora tratando de enteder bien el funcionamiento del DNS para AD, me
encuentro con que cuando uno instala AD por default habilita root hints
en el DNS como preferente y segun es el mas conveniente, hasta donde
entiendo es bueno cuando uno lo tiene conectado a Internet y los
clientes hacen consultas a Internet.

Pero este servidor es solo para nuestra Intranet, el gateway o sea el
router es el que esta conectado a nuestro proxy y estan en distintas
sub-redes.

Nuestro dominio es 192.168.2.X router 192.168.2.1
El proxy trabaja en la sub-red 192.168.1.X y su IP es 192.168.1.2 y
su router es la 192.168.1.1.

El gateway 192.168.2.1 se asigna automaticamente atraves del DHCP de
NT4(aun).

Y estamos en distintos paises, bueno somos frontera, pero distintos
paises, el DNS solo se conectara a Internet para actualizarse y eso
cuando sea necesario, mientras menos este comunicado hacia
afuera(Internet) tendra menos posibilidad de ser atacado.

Entonces es necesario tener habilitado la opcion root-hints...?

Perfecto, por que tengo un problema, fijate Javier como anteriormente
te habia mencionado, instale un servidor de pruebas con windows 2k3,
donde estoy haciendo todos los movimientos en ese antes de llevarlos a
el servidor real, este pequeño laboratorio me ha funcionado
perfectamente, ahora acabo de instalar win2k3 + todos los parches + AD
+ DNS en el servidor real y no me funcionado del todo bien.

Segui los mismo pasos para el otro y estuve comparando las
configuraciones y a este ultimo le falta el:

"reverse lookup zone"

Segun lo que he leido hay veces que uno puede vivir son los Reverse
Lookup Zones o PTR's sin ningun problema, pero creo que en mi caso si
va hacer necesaria su presencia.

Y un detalle interesante, los clientes XP a veces no logran ver nada
en el dominio, pueden logearse y todo, el DNS tiene sus Records, pero
tampoco los logra ver, es inestable, ya que a veces si a veces no, es
algo que me tiene con pendiente esa inestabilidad, ahora solo falta
habilitar el "reverse lookup zone" y ver como funciona,

Estuve haciendo pruebas con ping, y estoy perdiendo paquetes, en un
horario donde la red no esta casi teniendo trafico, en el nuevo server
si pingeo ya sea por IP o Nombre de host, a veces me respondia solo la
primera respuesta ejm:

ping devhora

pinging devhora [192.168.2.166] with 32 bytes of data:

Y ahi se queda no hacia lo que sigue, entonces, esta perdida de
paquetes de ambos lados, tanto del cliente como del servidor tendra
mucho que ver en cuanto a la instabilidad del servicio, no quiero decir
con esto que deseo hacer a un lado el problema de la red local y seguir
mi configuracion del servidor, por que si esto tiene mucho que ver con
el desempeño del nuevo servidor, entonces prefiero primero que nada
arreglar el transito de mi red y despues continuar la configuracion.

Ya le paro por que no quiero salirme del tema, comprendo que esto ya
tiene que ver con redes, pero es bueno dar a conocer un poco de esto,
por si hay alguien que haya tenido problemas en la comunicacion de su
red y que afecten a los servidores podria ayudarnos.

Gracias Javier por tus comentarios y vamos a seguirle, salu2 a todos
los del grupo.

Necesitas que los servidores DNS internos puedan resolver en internet ? si
la respuesta es NO, debes eliminar tanto la configuracion de reenviadores
como los root-hints.
La zona inversa, a priori, no es necesaria. De todas formas, crearla es
cuestion de 2 segundos. Si es mas critica en la configuracion de tus DNS
publicos y sobre todo en lo referente a los servidores de correo. De todas
formas, antes de nada debes hablar con tu ISP para que delege en tus
servidores DNS de internet tu zona inversa.
Respecto a "ver", imagino que te refieres a entorno de red. Si quieres que
el browsing funcione correctamente, debes apostar por el uso de WINS, mas
aun en entornos de multiples redes separados por routers.
Perdida de paquetes ? una cosa es que realizando un ping veas esas perdidas
y otra muy distinta que no puedas alcanzar un servidor. Tienes que matizar
esto y dar detalles porque por tus explicaciones, lo que parece es que el
servidor no es alcanzable, bien por un problema de enrutamiento o bien por
algun tipo de filtrado en dispositivos intermedios.

Un saludo.
Ivan
MS MVP ISA Server


"periko" escribió en el mensaje
news:
Perfecto, por que tengo un problema, fijate Javier como anteriormente
te habia mencionado, instale un servidor de pruebas con windows 2k3,
donde estoy haciendo todos los movimientos en ese antes de llevarlos a
el servidor real, este pequeño laboratorio me ha funcionado
perfectamente, ahora acabo de instalar win2k3 + todos los parches + AD
+ DNS en el servidor real y no me funcionado del todo bien.

Segui los mismo pasos para el otro y estuve comparando las
configuraciones y a este ultimo le falta el:

"reverse lookup zone"

Segun lo que he leido hay veces que uno puede vivir son los Reverse
Lookup Zones o PTR's sin ningun problema, pero creo que en mi caso si
va hacer necesaria su presencia.

Y un detalle interesante, los clientes XP a veces no logran ver nada
en el dominio, pueden logearse y todo, el DNS tiene sus Records, pero
tampoco los logra ver, es inestable, ya que a veces si a veces no, es
algo que me tiene con pendiente esa inestabilidad, ahora solo falta
habilitar el "reverse lookup zone" y ver como funciona,

Estuve haciendo pruebas con ping, y estoy perdiendo paquetes, en un
horario donde la red no esta casi teniendo trafico, en el nuevo server
si pingeo ya sea por IP o Nombre de host, a veces me respondia solo la
primera respuesta ejm:

ping devhora

pinging devhora [192.168.2.166] with 32 bytes of data:

Y ahi se queda no hacia lo que sigue, entonces, esta perdida de
paquetes de ambos lados, tanto del cliente como del servidor tendra
mucho que ver en cuanto a la instabilidad del servicio, no quiero decir
con esto que deseo hacer a un lado el problema de la red local y seguir
mi configuracion del servidor, por que si esto tiene mucho que ver con
el desempeño del nuevo servidor, entonces prefiero primero que nada
arreglar el transito de mi red y despues continuar la configuracion.

Ya le paro por que no quiero salirme del tema, comprendo que esto ya
tiene que ver con redes, pero es bueno dar a conocer un poco de esto,
por si hay alguien que haya tenido problemas en la comunicacion de su
red y que afecten a los servidores podria ayudarnos.

Gracias Javier por tus comentarios y vamos a seguirle, salu2 a todos
los del grupo.