Problemas DNS

Deberias de mantener el DNS de tus clientes en la red intermedia apuntando a
tu DNS interno (DC) pues es esencial para la autenticacion, y eliminar la
entrada de tu DNS externo.

Al mismo tiempo, si tu DNS interno no puede (y no debe) tener contacto
alguno con el exterior, deberias de colocar un servidor DNS Cache en la red
intermedia; de manera que el DC este esclavizado al DNS cache, y el DNS
cache este esclavizado al los DNS de tu ISP. De esta manera tendras
resolucion de nombre tanto interna como externa, ademas te garantizas por
medio de DNS y del ISA que tu DC unicamente habla e interactua con el DNS
cache. Lo mismo sucederia con el DNS Cache server, es cual con el otro
firewall y el propio DNS, garantizas que solo se hable con los DNS de tu
ISP.


Saludos Cordiales


"pipers" wrote in message
news:
Buenas,

Describo la situación:

Tengo un ADSL que mapea en monopuesto mi IP externa a un FW Sonicwall.
Este Sonicwall, por su pata interna está conectado a una LAN
intermedia. En esta LAN intermedia tengo una pata de mi ISA Server. Su
otra pata esta en la LAN interna donde existe un controlador de
dominio (DC). El ISA es parte del dominio. No preguntéis el porqué de
esta arquitectura, ya que el razonamiento es bastante estupido, pero
obligado por una norma de seguridad en la empresa.

He de colocar equipos cliente (Windows XP) en la red intermedia con
esta funcionalidad. Deben pertenecer al dominio, hacer logon en él,
poder navegar por recursos compartidos en el DC y en algún otro equipo
que pertenece al dominio pero que estan en la red interna. Además,
deben salir a Internet (a través del Sonicwall) para navegación y
correo pop3 al menos.

La configuración es la siguiente:
- permito en el ISA el tráfico de Intermedia a Interna para los
protocolos a pasar: DNS, LDAP, RPC, NetBIOS, CIFS, NTP, bla, bla, bla.
- en los equipos pongo como DNS el DC de la red interna. Como GW el
Sonicwall y una ruta estatica permanente hacia la red interna.
- teóricamente no hay problemas de routing (aún...)

Así funciona casi todo, sólo queda navegar a Internet por DNS (navego
por IP).

Si pongo dos DNSs en los clientes (el DC como primario y uno de
Internet como secundario), dejan de poder navegar en el dominio
(cualquier consulta va hacia Internet, en vez de al DC). Y el DC no
debe tener acceso a Internet (por normativa)

¿Hay alguna manera de que manejen inteligentemente las consultas DNS a
dos servidores?
Ya sea con configuración en servidor DNS o en los clientes DNS

¿Se podría solucionar mapeando todas las entradas de nombres en los
archivos hosts de cada cliente?

Muchas gracias,

Gracias kuky7,

Pero eso me exigiría una nueva licencia W2003 server para hacer tareas
de servidor DNS, además de una máquina extra en la red intermedia.

¿No hay una solución en la parte cliente? ¿No puedo mapear "todo" el
dominio en el archivo hosts de cada cliente?
Me refiero a las cuatro zonas con sus respectivos registros: _msdcs,
_tcp, _udp y _sites.

En dos días vuelvo a hacer las pruebas en el entorno y quiero llevar
una estrategia definida...

Saludos,

On 13 jun, 00:59, "kuky7" wrote:

Deberias de mantener el DNS de tus clientes en la red intermedia apuntando a
tu DNS interno (DC) pues es esencial para la autenticacion, y eliminar la
entrada de tu DNS externo.

Al mismo tiempo, si tu DNS interno no puede (y no debe) tener contacto
alguno con el exterior, deberias de colocar un servidor DNS Cache en la red
intermedia; de manera que el DC este esclavizado al DNS cache, y el DNS
cache este esclavizado al los DNS de tu ISP. De esta manera tendras
resolucion de nombre tanto interna como externa, ademas te garantizas por
medio de DNS y del ISA que tu DC unicamente habla e interactua con el DNS
cache. Lo mismo sucederia con el DNS Cache server, es cual con el otro
firewall y el propio DNS, garantizas que solo se hable con los DNS de tu
ISP.

Saludos Cordiales

"pipers" wrote in message

news:
Buenas,

Describo la situación:

Tengo un ADSL que mapea en monopuesto mi IP externa a un FW Sonicwall.
Este Sonicwall, por su pata interna está conectado a una LAN
intermedia. En esta LAN intermedia tengo una pata de mi ISA Server. Su
otra pata esta en la LAN interna donde existe un controlador de
dominio (DC). El ISA es parte del dominio. No preguntéis el porqué de
esta arquitectura, ya que el razonamiento es bastante estupido, pero
obligado por una norma de seguridad en la empresa.

He de colocar equipos cliente (Windows XP) en la red intermedia con
esta funcionalidad. Deben pertenecer al dominio, hacer logon en él,
poder navegar por recursos compartidos en el DC y en algún otro equipo
que pertenece al dominio pero que estan en la red interna. Además,
deben salir a Internet (a través del Sonicwall) para navegación y
correo pop3 al menos.

La configuración es la siguiente:
- permito en el ISA el tráfico de Intermedia a Interna para los
protocolos a pasar: DNS, LDAP, RPC, NetBIOS, CIFS, NTP, bla, bla, bla.
- en los equipos pongo como DNS el DC de la red interna. Como GW el
Sonicwall y una ruta estatica permanente hacia la red interna.
- teóricamente no hay problemas de routing (aún...)

Así funciona casi todo, sólo queda navegar a Internet por DNS (navego
por IP).

Si pongo dos DNSs en los clientes (el DC como primario y uno de
Internet como secundario), dejan de poder navegar en el dominio
(cualquier consulta va hacia Internet, en vez de al DC). Y el DC no
debe tener acceso a Internet (por normativa)

¿Hay alguna manera de que manejen inteligentemente las consultas DNS a
dos servidores?
Ya sea con configuración en servidor DNS o en los clientes DNS

¿Se podría solucionar mapeando todas las entradas de nombres en los
archivos hosts de cada cliente?

Muchas gracias,