Recursividad/Reenviadores

20/01/2006 - 14:10 por Enrique | Informe spam
Hola:

Se me indica que mantener activa la recursividad en el servidor DNS que es
autoridad para una zona es un error grave pues queda afecto a ataques de
"Cache Poisoning".
El problema es que en 2003 Server la deshabilitación de la recursividad y el
uso de Reenviadores van juntos es decir no puedo deshabilitar uno sin
deshabilitar ambos.
Yo requiero resolver dominios externos para que me funcione el servicio
SMTP.
¿Como se enfrenta esto?

Gracias por vuestra asistencia,

Enrique

Preguntas similare

Leer las respuestas

#1 Enrique
20/01/2006 - 21:03 | Informe spam
Hola:

Gracias por tu respuesta.
Tiene solo las 13 zonas de la a a la m.
Sin reenviadores no resuelve ningun dominio externo
¿Alguna idea?


Enrique


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:%
Van juntos, porque cuando se reenvía una petición a los Reenviadores, tu


DNS
hace recursividad.

Si lo deshabilitas, entonces no puedes usar Reenviadores, pero eso no
implica que tu DNS no pueda resolver los nombres de Internet.

Revisa que hay una ficha en las propiedades del servidor que le indican
quienes son los servidores del dominio raíz (.), por lo tanto comenzará la
resolución desde ahí
No deberías tener en tu servidor una zona "."
Hago esta aclaración porque W2k tiene la costumbre de crearla :-)

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Enrique wrote:
> Hola:
>
> Se me indica que mantener activa la recursividad en el servidor DNS
> que es autoridad para una zona es un error grave pues queda afecto a
> ataques de "Cache Poisoning".
> El problema es que en 2003 Server la deshabilitación de la
> recursividad y el uso de Reenviadores van juntos es decir no puedo
> deshabilitar uno sin deshabilitar ambos.
> Yo requiero resolver dominios externos para que me funcione el
> servicio SMTP.
> ¿Como se enfrenta esto?
>
> Gracias por vuestra asistencia,
>
> Enrique


Respuesta Responder a este mensaje
#2 Guillermo Delprato [MS-MVP]
20/01/2006 - 21:23 | Informe spam
Van juntos, porque cuando se reenvía una petición a los Reenviadores, tu DNS
hace recursividad.

Si lo deshabilitas, entonces no puedes usar Reenviadores, pero eso no
implica que tu DNS no pueda resolver los nombres de Internet.

Revisa que hay una ficha en las propiedades del servidor que le indican
quienes son los servidores del dominio raíz (.), por lo tanto comenzará la
resolución desde ahí
No deberías tener en tu servidor una zona "."
Hago esta aclaración porque W2k tiene la costumbre de crearla :-)

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Enrique wrote:
Hola:

Se me indica que mantener activa la recursividad en el servidor DNS
que es autoridad para una zona es un error grave pues queda afecto a
ataques de "Cache Poisoning".
El problema es que en 2003 Server la deshabilitación de la
recursividad y el uso de Reenviadores van juntos es decir no puedo
deshabilitar uno sin deshabilitar ambos.
Yo requiero resolver dominios externos para que me funcione el
servicio SMTP.
¿Como se enfrenta esto?

Gracias por vuestra asistencia,

Enrique
Respuesta Responder a este mensaje
#3 Guillermo Delprato [MS-MVP]
21/01/2006 - 13:14 | Informe spam
No son 13 zonas, son los servidores del dominio raíz (A a M)

Cuando deshabilitas la recursividad en Avanzadas, lo que haces es
deshabilitar *la propia* recursividad.
Prueba lo siguiente: marca la opción Deshabilitar Recursión, y luego con
NSLOOKUP trata de resolver un nombre de Internet. En lugar de resolver la IP
responderá sólo con las IPs de los servidores a cargo del dominio top-level
(com, net, etc.)

Para que no resuelva otros dominios de Internet, salvo el tuyo, para no ser
usado por otros, tampoco lo podrás hacer tú.
La solución es tener dos DNSs, el externo sólo resuelve TU dominio. Y por
otro lado un interno, que podría ser un "caching-only" que si resuelve los
nombres de Internet.

Un "caching-only" es un servidor al que le preguntan, pero no es autoridad
para ninguna zona. Por lo cual siempre resuelve por afuera, pero cachea la
información

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Enrique wrote:
Hola:

Gracias por tu respuesta.
Tiene solo las 13 zonas de la a a la m.
Sin reenviadores no resuelve ningun dominio externo
¿Alguna idea?


Enrique


"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:%
Van juntos, porque cuando se reenvía una petición a los
Reenviadores, tu DNS hace recursividad.

Si lo deshabilitas, entonces no puedes usar Reenviadores, pero eso no
implica que tu DNS no pueda resolver los nombres de Internet.

Revisa que hay una ficha en las propiedades del servidor que le
indican quienes son los servidores del dominio raíz (.), por lo
tanto comenzará la resolución desde ahí
No deberías tener en tu servidor una zona "."
Hago esta aclaración porque W2k tiene la costumbre de crearla :-)

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume all risk for your use.




Enrique wrote:
Hola:

Se me indica que mantener activa la recursividad en el servidor DNS
que es autoridad para una zona es un error grave pues queda afecto a
ataques de "Cache Poisoning".
El problema es que en 2003 Server la deshabilitación de la
recursividad y el uso de Reenviadores van juntos es decir no puedo
deshabilitar uno sin deshabilitar ambos.
Yo requiero resolver dominios externos para que me funcione el
servicio SMTP.
¿Como se enfrenta esto?

Gracias por vuestra asistencia,

Enrique
Respuesta Responder a este mensaje
#4 Enrique
21/01/2006 - 13:32 | Informe spam
Gracias Guillermo:

Si lo de los dominios raiz de internet lo tengo claro, son lapsus.
Dos consultas:
Primero: ¿Es realmente importante evitar la recursividad?, he estado mirando
y el 90% de los sitios que compruebo presentan el mismo error y muchos de
ellos son de tremendas instituciones.
Segundo un "caching-only" ¿es otro W2003 configurado de una manera
especial?,

Saludos y gracias

Enrique

"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:
No son 13 zonas, son los servidores del dominio raíz (A a M)

Cuando deshabilitas la recursividad en Avanzadas, lo que haces es
deshabilitar *la propia* recursividad.
Prueba lo siguiente: marca la opción Deshabilitar Recursión, y luego con
NSLOOKUP trata de resolver un nombre de Internet. En lugar de resolver la


IP
responderá sólo con las IPs de los servidores a cargo del dominio


top-level
(com, net, etc.)

Para que no resuelva otros dominios de Internet, salvo el tuyo, para no


ser
usado por otros, tampoco lo podrás hacer tú.
La solución es tener dos DNSs, el externo sólo resuelve TU dominio. Y por
otro lado un interno, que podría ser un "caching-only" que si resuelve los
nombres de Internet.

Un "caching-only" es un servidor al que le preguntan, pero no es autoridad
para ninguna zona. Por lo cual siempre resuelve por afuera, pero cachea la
información

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Enrique wrote:
> Hola:
>
> Gracias por tu respuesta.
> Tiene solo las 13 zonas de la a a la m.
> Sin reenviadores no resuelve ningun dominio externo
> ¿Alguna idea?
>
>
> Enrique
>
>
> "Guillermo Delprato [MS-MVP]"
> escribió en el
> mensaje news:%
>> Van juntos, porque cuando se reenvía una petición a los
>> Reenviadores, tu DNS hace recursividad.
>>
>> Si lo deshabilitas, entonces no puedes usar Reenviadores, pero eso no
>> implica que tu DNS no pueda resolver los nombres de Internet.
>>
>> Revisa que hay una ficha en las propiedades del servidor que le
>> indican quienes son los servidores del dominio raíz (.), por lo
>> tanto comenzará la resolución desde ahí
>> No deberías tener en tu servidor una zona "."
>> Hago esta aclaración porque W2k tiene la costumbre de crearla :-)
>>
>> Saludos
>>
>> Guillermo Delprato
>> MVP-MCT-MCSE-MCSA-MCP
>> Buenos Aires, Argentina
>>
>> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>> beneficiamos todos.
>>
>> http://support.microsoft.com/kb/555375/en-us
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna
>> clase,
>> y no otorga ningún derecho. Ud. asume los riesgos This posting is
>> provided "AS IS" with no warranties, and confers no rights. You
>> assume all risk for your use.
>>
>>
>>
>>
>> Enrique wrote:
>>> Hola:
>>>
>>> Se me indica que mantener activa la recursividad en el servidor DNS
>>> que es autoridad para una zona es un error grave pues queda afecto a
>>> ataques de "Cache Poisoning".
>>> El problema es que en 2003 Server la deshabilitación de la
>>> recursividad y el uso de Reenviadores van juntos es decir no puedo
>>> deshabilitar uno sin deshabilitar ambos.
>>> Yo requiero resolver dominios externos para que me funcione el
>>> servicio SMTP.
>>> ¿Como se enfrenta esto?
>>>
>>> Gracias por vuestra asistencia,
>>>
>>> Enrique


Respuesta Responder a este mensaje
#5 Enrique
21/01/2006 - 14:41 | Informe spam
Ya, parece que es un servidor DNS que no tiene configurada ninguna zona y al
que si le habilito los reenviadores con las IP del ISP.
Al DNS autoritario de la zona le deshabilito los reenviadores.
Me imagino que puedo montar el servidor de caching only en otro equipo
dentro de la red local tambien por supuesto con su IP fija (interna).
Pero como configuro todo este rollo para que, lo que realmente requiero, que
es poder enviar correo a dominios fuera de la red (considerando que el mismo
equipo que tiene la autoridad de la zona, el que no tendra habilitados los
reenviadores, tiene los servicios SMTP), consulte al DNS caching-only.

Agradecido por la ayuda

Enrique


"Enrique" <elsupergatonARROBAhotmail.com> escribió en el mensaje
news:
Gracias Guillermo:

Si lo de los dominios raiz de internet lo tengo claro, son lapsus.
Dos consultas:
Primero: ¿Es realmente importante evitar la recursividad?, he estado


mirando
y el 90% de los sitios que compruebo presentan el mismo error y muchos de
ellos son de tremendas instituciones.
Segundo un "caching-only" ¿es otro W2003 configurado de una manera
especial?,

Saludos y gracias

Enrique

"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:
> No son 13 zonas, son los servidores del dominio raíz (A a M)
>
> Cuando deshabilitas la recursividad en Avanzadas, lo que haces es
> deshabilitar *la propia* recursividad.
> Prueba lo siguiente: marca la opción Deshabilitar Recursión, y luego con
> NSLOOKUP trata de resolver un nombre de Internet. En lugar de resolver


la
IP
> responderá sólo con las IPs de los servidores a cargo del dominio
top-level
> (com, net, etc.)
>
> Para que no resuelva otros dominios de Internet, salvo el tuyo, para no
ser
> usado por otros, tampoco lo podrás hacer tú.
> La solución es tener dos DNSs, el externo sólo resuelve TU dominio. Y


por
> otro lado un interno, que podría ser un "caching-only" que si resuelve


los
> nombres de Internet.
>
> Un "caching-only" es un servidor al que le preguntan, pero no es


autoridad
> para ninguna zona. Por lo cual siempre resuelve por afuera, pero cachea


la
> información
>
> Saludos
>
> Guillermo Delprato
> MVP-MCT-MCSE-MCSA-MCP
> Buenos Aires, Argentina
>
> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
> beneficiamos todos.
>
> http://support.microsoft.com/kb/555375/en-us
>
> Este mensaje se proporciona "como está" sin garantías de ninguna clase,
> y no otorga ningún derecho. Ud. asume los riesgos This posting is
> provided "AS IS" with no warranties, and confers no rights. You assume
> all risk for your use.
>
>
>
>
> Enrique wrote:
> > Hola:
> >
> > Gracias por tu respuesta.
> > Tiene solo las 13 zonas de la a a la m.
> > Sin reenviadores no resuelve ningun dominio externo
> > ¿Alguna idea?
> >
> >
> > Enrique
> >
> >
> > "Guillermo Delprato [MS-MVP]"
> > escribió en el
> > mensaje news:%
> >> Van juntos, porque cuando se reenvía una petición a los
> >> Reenviadores, tu DNS hace recursividad.
> >>
> >> Si lo deshabilitas, entonces no puedes usar Reenviadores, pero eso no
> >> implica que tu DNS no pueda resolver los nombres de Internet.
> >>
> >> Revisa que hay una ficha en las propiedades del servidor que le
> >> indican quienes son los servidores del dominio raíz (.), por lo
> >> tanto comenzará la resolución desde ahí
> >> No deberías tener en tu servidor una zona "."
> >> Hago esta aclaración porque W2k tiene la costumbre de crearla :-)
> >>
> >> Saludos
> >>
> >> Guillermo Delprato
> >> MVP-MCT-MCSE-MCSA-MCP
> >> Buenos Aires, Argentina
> >>
> >> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
> >> beneficiamos todos.
> >>
> >> http://support.microsoft.com/kb/555375/en-us
> >>
> >> Este mensaje se proporciona "como está" sin garantías de ninguna
> >> clase,
> >> y no otorga ningún derecho. Ud. asume los riesgos This posting is
> >> provided "AS IS" with no warranties, and confers no rights. You
> >> assume all risk for your use.
> >>
> >>
> >>
> >>
> >> Enrique wrote:
> >>> Hola:
> >>>
> >>> Se me indica que mantener activa la recursividad en el servidor DNS
> >>> que es autoridad para una zona es un error grave pues queda afecto a
> >>> ataques de "Cache Poisoning".
> >>> El problema es que en 2003 Server la deshabilitación de la
> >>> recursividad y el uso de Reenviadores van juntos es decir no puedo
> >>> deshabilitar uno sin deshabilitar ambos.
> >>> Yo requiero resolver dominios externos para que me funcione el
> >>> servicio SMTP.
> >>> ¿Como se enfrenta esto?
> >>>
> >>> Gracias por vuestra asistencia,
> >>>
> >>> Enrique
>
>


Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida