jueves, 27 de noviembre de 2014

Controlador de dominio

El controlador de dominio es el centro neurálgico de un dominio Windows, tal como un servidor NIS lo es del servicio de información de una red Unix. Los controladores de dominio tienen una serie de responsabilidades. Una de ellas es la autentificación. La autentificación es el proceso de garantizar o denegar a un usuario el acceso a recursos compartidos o a otra máquina de la red, normalmente a través del uso de una contraseña. No es que les permita a los usuarios validar para ser partes de clientes.
Cada controlador de dominio usa un security account manager (SAM), o NTDS en Windows 2003 Server (que es la forma promovida de la SAM, al pasar como Controlador de Dominio), para mantener una lista de pares de nombre de usuario y contraseña. El controlador de dominio entonces crea un repositorio centralizado de passwords, que están enlazados a los nombres de usuarios (un password por usuario), lo cual es más eficiente que mantener en cada máquina cliente centenares de passwords para cada recurso de red disponible.
En un dominio Windows, cuando un cliente no autorizado solicita un acceso a los recursos compartidos de un servidor, el servidor actúa y pregunta al controlador de dominio si ese usuario está autentificado. Si lo está, el servidor establecerá una conexión de sesión con los derechos de acceso correspondientes para ese servicio y usuario. Si no lo está, la conexión es denegada.
Una vez que un usuario es autenticado por el controlador de dominio, una ficha especial (o token) de autentificación será retornada al cliente, de manera que el usuario no necesitará volver a "loguearse" para acceder a otros recursos en dicho dominio, ya que el usuario se considera "logueado" en el dominio.

Definición de Servidor DNS

DNS es una abreviatura para Sistema de Nombres de Dominio (Domain Name System), un sistema para asignar nombres a equipos y servicios de red que se organizan en una jerarquía de dominios. La asignación de nombres DNS se utiliza en las redes TCP/IP, como Internet, para localizar equipos y servicios con nombres sencillos. Cuando un usuario escribe un nombre DNS en una aplicación, los servicios DNS podrán traducir el nombre a otra información asociada con el mismo, como una dirección IP.
No cabe duda que un nombre sencillo resulta más fácil de aprender y recordar, pero los equipos se comunican a través de una red mediante direcciones numéricas; para facilitar el uso de los recursos de red, los servicios de nombres como DNS proporcionan una forma de asignar estos nombres sencillos de los equipos o servicios, a sus direcciones numéricas. Si alguna vez hemos utilizado un navegador Web, hemos utilizado resoluciones DNS.
El Sistema de Nombres de Dominio (DNS) se definió originalmente en los documentos de Petición de comentarios (RFC, Request for Comments) 1034 y 1035. Estos documentos especifican elementos comunes a todas las implementaciones de software relacionadas con DNS, entre los que se incluyen:
  • Un espacio de nombres de dominio DNS, que especifica una jerarquía estructurada de dominios utilizados para organizar nombres.
  • Los registros de recursos, que asignan nombres de dominio DNS a un tipo específico de información de recurso para utilizar cuando se registra o se resuelve el nombre en el espacio de nombres.
  • Los servidores DNS, que almacenan y responden a las consultas de nombres para los registros de recursos.
  • Los clientes DNS, también llamados solucionadores, que consultan a los servidores para buscar y resolver nombres de un tipo de registro de recursos especificado en la consulta.
El espacio de nombres de dominio DNS se basa en el concepto de un árbol de dominios con nombre. Cada nivel del árbol puede representar una rama o una hoja del árbol. Una rama es un nivel donde se utiliza más de un nombre para identificar una colección de recursos con nombre. Una hoja representa un nombre único que se utiliza una vez en ese nivel para indicar un recurso específico.

Instalación del Servidor DNS

En este momento el servidor DNS de "Windows 2003 Server" no estará aun instalado, luego este será el instante preciso para llevar a cabo la instalación del mismo; para ello accedemos al "Panel de Control" y haremos doble clic sobre el icono "Agregar o quitar programas", y en dicha ventana pulsaremos sobre el icono "Agregar o quitar componentes de Windows".

En la ventana del "Asistente para componentes de Windows", nos situaremos sobre "Servicios de red" (sin activar la casilla anexa), y pulsaremos sobre el botón "Detalles".

Una vez allí activaremos la casilla correspondiente a "Sistema de nombres de dominio (DNS)" y posteriormente pulsamos sobre el botón "Aceptar", y de vuelta a la ventana anterior, sobre el botón "Siguiente".

En ese instante comienza la instalación del servidor DNS de Windows 2003 en nuestra máquina.


NOTA: El proceso de instalación nos solicitará el CD de Windows 2003 Server, así pues lo introduciremos cuando así se nos indique.
Una vez completado el proceso de instalación del servidor DNS en nuestro equipo, extraemos el CD de Windows 2003 Server, y a continuación pulsaremos sobre el botón "Finalizar".

A partir de ese momento en las "Herramientas Administrativas" del "Panel de Control" de nuestra máquina dispondremos de una nueva entrada "DNS", correspondiente al servidor DNS recién instalado.



Configuración del Servidor DNS

En este apartado vamos a configurar el servidor DNS de "Windows 2003 Server", instalado en el apartado anterior.
Lo primero que hemos de hacer es lanzar el servidor DNS, para lo cual accederemos al "Panel de Control", haremos doble clic sobre el icono "Herramientas Administrativas" y una vez allí haremos doble clic sobre el icono "DNS", mostrándose la siguiente ventana:

A continuación vamos a definir una nueva zona de búsqueda directa, para lo cual pulsamos sobre el icono "+" mostrado junto al SERVIDOR, mostrándose las zonas existentes; nos ubicamos sobre la carpeta "Zonas de búsqueda directa" y pulsaremos sobre ella con el botón derecho del ratón, seleccionando la opción "Zona nueva...".

La primera pantalla que se muestra es la del asistente de creación de nueva zona; pulsaremos sobre el botón "Siguiente" para continuar con la definición de la nueva zona directa.

En la siguiente pantalla de instalación, debemos seleccionar el tipo de zona que deseamos crear; dejaremos las opciones ofertadas por defecto, es decir dejaremos activada la primera opción de las 3 disponibles ("Zona principal") y seleccionada la casilla "Almacenar la zona en Active Directory (sólo disponible si el servidor DNS es un controlador de dominio)", y pulsaremos directamente sobre el botón "Siguiente".

En el siguiente apartado debemos indicar en qué condiciones se replicará el servidor DNS, dejaremos la opción por defecto "Para todos los controladores de dominio en el dominio MiCentro.edu de Active Directory", y pulsaremos directamente sobre el botón "Siguiente".

A continuación debemos indicar el nombre que vamos a asignar a la nueva zona definida; dado que nuestro servidor DNS va a resolver el dominio "micentro.edu", indicamos éste como nombre de la zona a gestionar, tras lo cual pulsamos sobre el botón "Siguiente".

En el siguiente paso hemos de indicar como se realizarán las actualizaciones de nuestro servidor DNS; dejaremos activada la opción por defecto "Permitir sólo actualizaciones dinámicas seguras (recomendado para Active Directory)" y pulsaremos directamente sobre el botón "Siguiente".

Para concluir la definición de la nueva zona creada, pulsaremos sobre el botón "Finalizar".

Tras ello, observaremos que la nueva zona de búsqueda directa "micentro.edu" ya ha sido creada en nuestro servidor DNS.
NOTA: Puede ocurrir que la zona estuviera ya creada de forma automática (cuando promocionamos a controlador de dominio a nuestro servidor); en dicho caso nos aparecerá la siguiente ventana, informándonos de ello. Procederemos a su cierre pulsando sobre el botón "Aceptar", y posteriormente pulsaremos sobre el botón "Cancelar" en la ventana de creación de la zona de búsqueda directa "micentro.edu".

Posteriormente definiremos una nueva zona de búsqueda inversa pulsando con el botón derecho del ratón sobre la carpeta correspondiente y seleccionando la opción "Zona nueva...".

De nuevo nos saldrá la pantalla del asistente de creación de zona nueva; pulsaremos sobre el botón "Siguiente".

En la siguiente pantalla de instalación, debemos seleccionar el tipo de zona que deseamos crear; dejaremos las opciones ofertadas por defecto, es decir dejaremos activada la primera opción de las 3 disponibles ("Zona principal") y seleccionada la casilla "Almacenar la zona en Active Directory (sólo disponible si el servidor DNS es un controlador de dominio)", y pulsaremos directamente sobre el botón "Siguiente".

En el siguiente apartado debemos indicar en qué condiciones se replicará el servidor DNS, dejaremos la opción por defecto y pulsaremos directamente sobre el botón "Siguiente".

A continuación debemos especificar la zona de búsqueda inversa que deberá resolver nuestro servidor DNS; indicamos el identificativo de red "192.168.0", para que nuestro servidor DNS haga resolución inversa de cualquier dirección IP "192.168.0.x"; cuando completemos dicho "Id. de red", observaremos que en "Nombre de la zona de búsqueda inversa" se mostrará el nombre "0.168.192.in-addr.arpa"

En el siguiente paso hemos de indicar como se realizarán las actualizaciones de nuestro servidor DNS; dejaremos activada la opción por defecto y pulsaremos directamente sobre el botón "Siguiente".

Finalmente se muestra la pantalla resumen de creación de la nueva zona de búsqueda inversa; pulsaremos sobre el botón "Finalizar" para completar la creación de dicha zona.

Tras completarse la instalación de la nueva zona de búsqueda inversa, observaremos en la ventana de administración del servidor DNS, que la nueva zona ya ha sido creada convenientemente. Así mismo, en dicha ventana observaremos que ya existe una entrada que ha sido incluida automáticamente en nuestro servidor DNS, concretamente una resolución "SERVIDOR" en la zona de búsqueda directa "micentro.edu"; esta resolución es la correspondiente al nombre que le hemos asignado a nuestro servidor Windows 2003.

Para finalizar la configuración de nuestro servidor DNS, hemos de indicarle que cuando las estaciones de trabajo intenten resolver URLs que no pertenezcan a la red local (y que por tanto no sea capaz a resolver nuestro servidor DNS), reenvíe dichas peticiones a otros servidores DNS (que estén en Internet) que sí puedan resolverlas. Para ello nos ubicamos sobre el nombre de nuestro servidor DNS ("SERVIDOR"), pulsamos con el botón derecho del ratón, y seleccionamos la opción "Propiedades".

En la ventana que nos aparece a continuación, seleccionamos la pestaña "Reenviadores", y agregamos las direcciones IP de los servidores DNS que nuestro Proveedor de Servicios de Internet (ISP) nos haya asignado o las de cualquier servidor DNS existente en Internet; en este caso hemos indicado "195.55.30.16" y "194.179.1.101" pertenecientes a servidores DNS públicos, tal y como se muestra en la siguiente imagen, podemos dejar los especificados en este párrafo o bien elegir los que deseemos; finalmente pulsamos sobre el botón "Aceptar".

NOTA: Si hemos seguido  rigurosamente los pasos de instalación y configuración del servidor, la dirección IP "194.179.1.101" del servidor DNS, debería ser mostrada por defecto en el listado de Reenviadores.
A partir de este momento ya tenemos configurado adecuadamente nuestro servidor DNS; a medida que vayamos integrando equipos en el dominio "micentro.edu", de forma automática dichas entradas se reflejarán en nuestro servidor DNS. Además, en su momento, cuando trabajemos con el "IIS" (Internet Information Server), deberemos volver al servidor DNS para agregar ciertas entradas relativas a los servicios Web que vayamos a gestionar.


















miércoles, 26 de noviembre de 2014

Comprobar el registro DNS para controladores de dominio mediante el comando nslookup



Para comprobar el registro DNS para controladores de dominio mediante el comando nslookup
  1. Abra la ventana del símbolo del sistema.
  2. Escriba: nslookup
  3. Cuando finalice el comando anterior, en el indicador de nslookup (">"), escriba:

    set q=tipoRR
  4. Cuando finalice el comando anterior, escriba:

    _ldap._tcp.dc._msdcs.nombreDeDominioDeActiveDirectory
  5. Revise la salida de la consulta SRV anterior y determine si es necesaria una acción adicional en función de si es correcta o errónea: 
    • Si la consulta es correcta, revise los RR de SRV registrados devueltos en la consulta para determinar si todos los controladores de dominio del dominio de Active Directory están incluidos y registrados mediante direcciones IP válidas.
    • Si la consulta es errónea, continúe con el solucionador de problemas de actualizaciones dinámicas o relacionados con el servidor DNS para determinar la causa exacta del problema.




Notas
  • Para llevar a cabo esta tarea no es necesario contar con credenciales administrativas. Por lo tanto, para garantizar la mayor seguridad, se recomienda realizar esta tarea como usuario sin credenciales administrativas.
  • Para abrir el símbolo del sistema, haga clic en Inicio, seleccione Todos los programasAccesorios y, a continuación, haga clic en Símbolo del sistema
  • Para ver la sintaxis completa de este comando, en el símbolo del sistema, escriba:

    nslookup, presione Entrar y, a continuación, escriba help
  • En algunos casos, cuando se realice el procedimiento anterior, podrá ver varios mensajes relacionados con los tiempos de espera. Esto sucede cuando una búsqueda inversa no está configurada para que los servidores DNS sirvan al mismo dominio DNS que el dominio de Active Directory.
  • A continuación se muestra un ejemplo de la salida de la línea de comandos de una sesión Nslookup, que se utiliza para comprobar los registros de recursos de ubicación de servicio (SRV) que se registran mediante controladores de dominio. En este ejemplo, los dos controladores de dominio son dc1 y dc2, y se han registrado en el dominio "ejemplo.microsoft.com". 
  • El comando nslookup es una herramienta estándar de línea de comandos que se incluye en la mayor parte de las implementaciones del servicio DNS. Permite realizar pruebas de consultas en servidores DNS y obtener respuestas detalladas como resultado del comando. Esta información es útil para solucionar problemas de resolución de nombres, comprobar que los registros de recursos (RR) se han agregado o actualizado correctamente en una zona y depurar otros problemas relacionados con un servidor.
  • Compruebe que los registros de recursos utilizados para registrar servicios y hosts importantes, como los controladores de dominio, se agregan correctamente a las zonas.

    En algunos casos, podría tener que agregar manualmente o comprobar el registro de los registros de recursos de ubicación de servicio (SRV) utilizados para admitir controladores de dominio de Windows Server 2003.

    Para agregar los registros de recursos SRV que se han creado para un controlador de dominio, abra y vea el archivo Netlogon.dns, creado por el Asistente para instalación de Active Directory cuando un equipo servidor se promociona a un controlador de dominio. Se puede encontrar en:

    raíz del sistema\System32\Config\Netlogon.dns 
  • Los registros de recursos utilizados en este archivo se enumeran en formato de archivo de texto compatible con RFC. Cuando compruebe estos registros, busque los siguientes:

    _ldap._tcp.nombreDeDominioDeActiveDirectory IN SRV 0 0 389 nombreDeServidorLdap _ldap._tcp.dc._msdcs.nombreDeDominioDeActiveDirectory IN SRV 0 0 389nombreDeControladorDeDominio

    En algunos casos, puede ser necesario modificar el nombre del servidor de Protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol) si utiliza un controlador que no es de dominio como servidor LDAP en la red.
  • El servicio Inicio de sesión de red de cada controlador de dominio registra, según corresponda, un número de registros de recursos DNS diferentes con servidores DNS. Para saber más acerca de estos registros y cómo Net Logon actualiza DNS, obtenga la información técnica adicional de DNS disponible en el sitio Web de Microsoft. Para obtener más información, vea Temas relacionados.