Recursividad/Reenviadores

Un DNS "caching-only" es un servidor con el servicio DNS, al que otros le
preguntan, y este o bien Reenvía a los del ISP, o bien comienza desde el
dominio raíz. Es un servidor DNS que no tiene ninguna zona, pero puede
resolver nombres de Internet.

Si tienes un DNS interno, lo puedes configurar para que reenvíe a los del
ISP, o que reenvíe al "caching-only", funcionará de ambas formas

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Enrique wrote:

Ya, parece que es un servidor DNS que no tiene configurada ninguna
zona y al que si le habilito los reenviadores con las IP del ISP.
Al DNS autoritario de la zona le deshabilito los reenviadores.
Me imagino que puedo montar el servidor de caching only en otro equipo
dentro de la red local tambien por supuesto con su IP fija (interna).
Pero como configuro todo este rollo para que, lo que realmente
requiero, que es poder enviar correo a dominios fuera de la red
(considerando que el mismo equipo que tiene la autoridad de la zona,
el que no tendra habilitados los reenviadores, tiene los servicios
SMTP), consulte al DNS caching-only.

Agradecido por la ayuda

Enrique


"Enrique" <elsupergatonARROBAhotmail.com> escribió en el mensaje
news:

Gracias Guillermo:

Si lo de los dominios raiz de internet lo tengo claro, son lapsus.
Dos consultas:
Primero: ¿Es realmente importante evitar la recursividad?, he estado
mirando y el 90% de los sitios que compruebo presentan el mismo
error y muchos de ellos son de tremendas instituciones.
Segundo un "caching-only" ¿es otro W2003 configurado de una manera
especial?,

Saludos y gracias

Enrique

"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

No son 13 zonas, son los servidores del dominio raíz (A a M)

Cuando deshabilitas la recursividad en Avanzadas, lo que haces es
deshabilitar *la propia* recursividad.
Prueba lo siguiente: marca la opción Deshabilitar Recursión, y
luego con NSLOOKUP trata de resolver un nombre de Internet. En
lugar de resolver la IP responderá sólo con las IPs de los
servidores a cargo del dominio top-level (com, net, etc.)

Para que no resuelva otros dominios de Internet, salvo el tuyo,
para no ser usado por otros, tampoco lo podrás hacer tú.
La solución es tener dos DNSs, el externo sólo resuelve TU dominio.
Y por otro lado un interno, que podría ser un "caching-only" que si
resuelve los nombres de Internet.

Un "caching-only" es un servidor al que le preguntan, pero no es
autoridad para ninguna zona. Por lo cual siempre resuelve por
afuera, pero cachea la información

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Enrique wrote:

Hola:

Gracias por tu respuesta.
Tiene solo las 13 zonas de la a a la m.
Sin reenviadores no resuelve ningun dominio externo
¿Alguna idea?


Enrique


"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:%

Van juntos, porque cuando se reenvía una petición a los
Reenviadores, tu DNS hace recursividad.

Si lo deshabilitas, entonces no puedes usar Reenviadores, pero
eso no implica que tu DNS no pueda resolver los nombres de
Internet.

Revisa que hay una ficha en las propiedades del servidor que le
indican quienes son los servidores del dominio raíz (.), por lo
tanto comenzará la resolución desde ahí
No deberías tener en tu servidor una zona "."
Hago esta aclaración porque W2k tiene la costumbre de crearla :-)

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así
nos beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume all risk for your use.




Enrique wrote:

Hola:

Se me indica que mantener activa la recursividad en el servidor
DNS que es autoridad para una zona es un error grave pues queda
afecto a ataques de "Cache Poisoning".
El problema es que en 2003 Server la deshabilitación de la
recursividad y el uso de Reenviadores van juntos es decir no
puedo deshabilitar uno sin deshabilitar ambos.
Yo requiero resolver dominios externos para que me funcione el
servicio SMTP.
¿Como se enfrenta esto?

Gracias por vuestra asistencia,

Enrique

Gracias Guillermo pero ¿como se hace en la practica?
Tengo en un mismo equipo el DNS, IIS, y SMTP.
Este aquipo se apunta asi mismo como Servidor DNS.
Como estan deshabilitados los Reenviadores no se puede enviar correo a
dominios externos.

Ahora bien, en otro equipo de la red instalo otro servidor DNS que no sirve
zona alguna y si tiene activados los reenviadores.

¿Como configuro el equipo principal para que consulta a este cuando no pueda
resolver?
Colocar simplemente su IP como DNS alternativo no sirve, al menos para el
tema del correo.

Agradecido

Enrique


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:ec$

Un DNS "caching-only" es un servidor con el servicio DNS, al que otros le
preguntan, y este o bien Reenvía a los del ISP, o bien comienza desde el
dominio raíz. Es un servidor DNS que no tiene ninguna zona, pero puede
resolver nombres de Internet.

Si tienes un DNS interno, lo puedes configurar para que reenvíe a los del
ISP, o que reenvíe al "caching-only", funcionará de ambas formas

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Enrique wrote:
> Ya, parece que es un servidor DNS que no tiene configurada ninguna
> zona y al que si le habilito los reenviadores con las IP del ISP.
> Al DNS autoritario de la zona le deshabilito los reenviadores.
> Me imagino que puedo montar el servidor de caching only en otro equipo
> dentro de la red local tambien por supuesto con su IP fija (interna).
> Pero como configuro todo este rollo para que, lo que realmente
> requiero, que es poder enviar correo a dominios fuera de la red
> (considerando que el mismo equipo que tiene la autoridad de la zona,
> el que no tendra habilitados los reenviadores, tiene los servicios
> SMTP), consulte al DNS caching-only.
>
> Agradecido por la ayuda
>
> Enrique
>
>
> "Enrique" <elsupergatonARROBAhotmail.com> escribió en el mensaje
> news:
>> Gracias Guillermo:
>>
>> Si lo de los dominios raiz de internet lo tengo claro, son lapsus.
>> Dos consultas:
>> Primero: ¿Es realmente importante evitar la recursividad?, he estado
>> mirando y el 90% de los sitios que compruebo presentan el mismo
>> error y muchos de ellos son de tremendas instituciones.
>> Segundo un "caching-only" ¿es otro W2003 configurado de una manera
>> especial?,
>>
>> Saludos y gracias
>>
>> Enrique
>>
>> "Guillermo Delprato [MS-MVP]"
>> escribió en el
>> mensaje news:
>>> No son 13 zonas, son los servidores del dominio raíz (A a M)
>>>
>>> Cuando deshabilitas la recursividad en Avanzadas, lo que haces es
>>> deshabilitar *la propia* recursividad.
>>> Prueba lo siguiente: marca la opción Deshabilitar Recursión, y
>>> luego con NSLOOKUP trata de resolver un nombre de Internet. En
>>> lugar de resolver la IP responderá sólo con las IPs de los
>>> servidores a cargo del dominio top-level (com, net, etc.)
>>>
>>> Para que no resuelva otros dominios de Internet, salvo el tuyo,
>>> para no ser usado por otros, tampoco lo podrás hacer tú.
>>> La solución es tener dos DNSs, el externo sólo resuelve TU dominio.
>>> Y por otro lado un interno, que podría ser un "caching-only" que si
>>> resuelve los nombres de Internet.
>>>
>>> Un "caching-only" es un servidor al que le preguntan, pero no es
>>> autoridad para ninguna zona. Por lo cual siempre resuelve por
>>> afuera, pero cachea la información
>>>
>>> Saludos
>>>
>>> Guillermo Delprato
>>> MVP-MCT-MCSE-MCSA-MCP
>>> Buenos Aires, Argentina
>>>
>>> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>>> beneficiamos todos.
>>>
>>> http://support.microsoft.com/kb/555375/en-us
>>>
>>> Este mensaje se proporciona "como está" sin garantías de ninguna
>>> clase, y no otorga ningún derecho. Ud. asume los riesgos This
>>> posting is provided "AS IS" with no warranties, and confers no
>>> rights. You assume all risk for your use.
>>>
>>>
>>>
>>>
>>> Enrique wrote:
>>>> Hola:
>>>>
>>>> Gracias por tu respuesta.
>>>> Tiene solo las 13 zonas de la a a la m.
>>>> Sin reenviadores no resuelve ningun dominio externo
>>>> ¿Alguna idea?
>>>>
>>>>
>>>> Enrique
>>>>
>>>>
>>>> "Guillermo Delprato [MS-MVP]"
>>>> escribió en el
>>>> mensaje news:%
>>>>> Van juntos, porque cuando se reenvía una petición a los
>>>>> Reenviadores, tu DNS hace recursividad.
>>>>>
>>>>> Si lo deshabilitas, entonces no puedes usar Reenviadores, pero
>>>>> eso no implica que tu DNS no pueda resolver los nombres de
>>>>> Internet.
>>>>>
>>>>> Revisa que hay una ficha en las propiedades del servidor que le
>>>>> indican quienes son los servidores del dominio raíz (.), por lo
>>>>> tanto comenzará la resolución desde ahí
>>>>> No deberías tener en tu servidor una zona "."
>>>>> Hago esta aclaración porque W2k tiene la costumbre de crearla :-)
>>>>>
>>>>> Saludos
>>>>>
>>>>> Guillermo Delprato
>>>>> MVP-MCT-MCSE-MCSA-MCP
>>>>> Buenos Aires, Argentina
>>>>>
>>>>> NOTA. Por favor, las preguntas y comentarios en los grupos, así
>>>>> nos beneficiamos todos.
>>>>>
>>>>> http://support.microsoft.com/kb/555375/en-us
>>>>>
>>>>> Este mensaje se proporciona "como está" sin garantías de ninguna
>>>>> clase,
>>>>> y no otorga ningún derecho. Ud. asume los riesgos This posting is
>>>>> provided "AS IS" with no warranties, and confers no rights. You
>>>>> assume all risk for your use.
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> Enrique wrote:
>>>>>> Hola:
>>>>>>
>>>>>> Se me indica que mantener activa la recursividad en el servidor
>>>>>> DNS que es autoridad para una zona es un error grave pues queda
>>>>>> afecto a ataques de "Cache Poisoning".
>>>>>> El problema es que en 2003 Server la deshabilitación de la
>>>>>> recursividad y el uso de Reenviadores van juntos es decir no
>>>>>> puedo deshabilitar uno sin deshabilitar ambos.
>>>>>> Yo requiero resolver dominios externos para que me funcione el
>>>>>> servicio SMTP.
>>>>>> ¿Como se enfrenta esto?
>>>>>>
>>>>>> Gracias por vuestra asistencia,
>>>>>>
>>>>>> Enrique

Para hacer la configuración que pides, como te comenté antes, necesitas dos
servidores DNS: uno de uso exclusivamente interno (donde no tendrás las
amenazas que comentas); y el externo (que funcionará como "caching-only"

En el externo, creas solamente los registros de los servicios que expones a
Internet
Puede resolver por reenviadores o accediendo a los servidores del "."
Esto último es obligatorio si le sacas la recursividad.
Configura y prueba esto primero, y luego recién la resolución del DNS
interno

En el interno, todo lo necesario para el funcionamiento de AD. Lo debes
configurar para que comience las resoluciones desde el "." pues si al
externo le sacas la recursividad, entonces el DNS interno es el que tiene
que resolver todos los nombres. O podría reenviar a los del ISP
Que este servidor no sea accesible desde Internet

Consejo, divide el problema :-)
Primero uno, y cuando este funciona, recién comenzar a ver el otro

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Enrique wrote:

Gracias Guillermo pero ¿como se hace en la practica?
Tengo en un mismo equipo el DNS, IIS, y SMTP.
Este aquipo se apunta asi mismo como Servidor DNS.
Como estan deshabilitados los Reenviadores no se puede enviar correo a
dominios externos.

Ahora bien, en otro equipo de la red instalo otro servidor DNS que no
sirve zona alguna y si tiene activados los reenviadores.

¿Como configuro el equipo principal para que consulta a este cuando
no pueda resolver?
Colocar simplemente su IP como DNS alternativo no sirve, al menos
para el tema del correo.

Agradecido

Enrique


"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:ec$

Un DNS "caching-only" es un servidor con el servicio DNS, al que
otros le preguntan, y este o bien Reenvía a los del ISP, o bien
comienza desde el dominio raíz. Es un servidor DNS que no tiene
ninguna zona, pero puede resolver nombres de Internet.

Si tienes un DNS interno, lo puedes configurar para que reenvíe a
los del ISP, o que reenvíe al "caching-only", funcionará de ambas
formas

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Enrique wrote:

Ya, parece que es un servidor DNS que no tiene configurada ninguna
zona y al que si le habilito los reenviadores con las IP del ISP.
Al DNS autoritario de la zona le deshabilito los reenviadores.
Me imagino que puedo montar el servidor de caching only en otro
equipo dentro de la red local tambien por supuesto con su IP fija
(interna). Pero como configuro todo este rollo para que, lo que
realmente requiero, que es poder enviar correo a dominios fuera de
la red (considerando que el mismo equipo que tiene la autoridad de
la zona, el que no tendra habilitados los reenviadores, tiene los
servicios SMTP), consulte al DNS caching-only.

Agradecido por la ayuda

Enrique


"Enrique" <elsupergatonARROBAhotmail.com> escribió en el mensaje
news:

Gracias Guillermo:

Si lo de los dominios raiz de internet lo tengo claro, son lapsus.
Dos consultas:
Primero: ¿Es realmente importante evitar la recursividad?, he
estado mirando y el 90% de los sitios que compruebo presentan el
mismo error y muchos de ellos son de tremendas instituciones.
Segundo un "caching-only" ¿es otro W2003 configurado de una manera
especial?,

Saludos y gracias

Enrique

"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

No son 13 zonas, son los servidores del dominio raíz (A a M)

Cuando deshabilitas la recursividad en Avanzadas, lo que haces es
deshabilitar *la propia* recursividad.
Prueba lo siguiente: marca la opción Deshabilitar Recursión, y
luego con NSLOOKUP trata de resolver un nombre de Internet. En
lugar de resolver la IP responderá sólo con las IPs de los
servidores a cargo del dominio top-level (com, net, etc.)

Para que no resuelva otros dominios de Internet, salvo el tuyo,
para no ser usado por otros, tampoco lo podrás hacer tú.
La solución es tener dos DNSs, el externo sólo resuelve TU
dominio. Y por otro lado un interno, que podría ser un
"caching-only" que si resuelve los nombres de Internet.

Un "caching-only" es un servidor al que le preguntan, pero no es
autoridad para ninguna zona. Por lo cual siempre resuelve por
afuera, pero cachea la información

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así
nos beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Enrique wrote:

Hola:

Gracias por tu respuesta.
Tiene solo las 13 zonas de la a a la m.
Sin reenviadores no resuelve ningun dominio externo
¿Alguna idea?


Enrique


"Guillermo Delprato [MS-MVP]"
escribió en
el mensaje news:%

Van juntos, porque cuando se reenvía una petición a los
Reenviadores, tu DNS hace recursividad.

Si lo deshabilitas, entonces no puedes usar Reenviadores, pero
eso no implica que tu DNS no pueda resolver los nombres de
Internet.

Revisa que hay una ficha en las propiedades del servidor que le
indican quienes son los servidores del dominio raíz (.), por lo
tanto comenzará la resolución desde ahí
No deberías tener en tu servidor una zona "."
Hago esta aclaración porque W2k tiene la costumbre de crearla
:-)

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así
nos beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting
is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




Enrique wrote:

Hola:

Se me indica que mantener activa la recursividad en el servidor
DNS que es autoridad para una zona es un error grave pues queda
afecto a ataques de "Cache Poisoning".
El problema es que en 2003 Server la deshabilitación de la
recursividad y el uso de Reenviadores van juntos es decir no
puedo deshabilitar uno sin deshabilitar ambos.
Yo requiero resolver dominios externos para que me funcione el
servicio SMTP.
¿Como se enfrenta esto?

Gracias por vuestra asistencia,

Enrique

Estoy muy confundido.

¿que es "." ?

Saludos

Enrique

"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

Para hacer la configuración que pides, como te comenté antes, necesitas

dos

servidores DNS: uno de uso exclusivamente interno (donde no tendrás las
amenazas que comentas); y el externo (que funcionará como "caching-only"

En el externo, creas solamente los registros de los servicios que expones

a

Internet
Puede resolver por reenviadores o accediendo a los servidores del "."
Esto último es obligatorio si le sacas la recursividad.
Configura y prueba esto primero, y luego recién la resolución del DNS
interno

En el interno, todo lo necesario para el funcionamiento de AD. Lo debes
configurar para que comience las resoluciones desde el "." pues si al
externo le sacas la recursividad, entonces el DNS interno es el que tiene
que resolver todos los nombres. O podría reenviar a los del ISP
Que este servidor no sea accesible desde Internet

Consejo, divide el problema :-)
Primero uno, y cuando este funciona, recién comenzar a ver el otro

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Enrique wrote:
> Gracias Guillermo pero ¿como se hace en la practica?
> Tengo en un mismo equipo el DNS, IIS, y SMTP.
> Este aquipo se apunta asi mismo como Servidor DNS.
> Como estan deshabilitados los Reenviadores no se puede enviar correo a
> dominios externos.
>
> Ahora bien, en otro equipo de la red instalo otro servidor DNS que no
> sirve zona alguna y si tiene activados los reenviadores.
>
> ¿Como configuro el equipo principal para que consulta a este cuando
> no pueda resolver?
> Colocar simplemente su IP como DNS alternativo no sirve, al menos
> para el tema del correo.
>
> Agradecido
>
> Enrique
>
>
> "Guillermo Delprato [MS-MVP]"
> escribió en el
> mensaje news:ec$
>> Un DNS "caching-only" es un servidor con el servicio DNS, al que
>> otros le preguntan, y este o bien Reenvía a los del ISP, o bien
>> comienza desde el dominio raíz. Es un servidor DNS que no tiene
>> ninguna zona, pero puede resolver nombres de Internet.
>>
>> Si tienes un DNS interno, lo puedes configurar para que reenvíe a
>> los del ISP, o que reenvíe al "caching-only", funcionará de ambas
>> formas
>>
>> Saludos
>>
>> Guillermo Delprato
>> MVP-MCT-MCSE-MCSA-MCP
>> Buenos Aires, Argentina
>>
>> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>> beneficiamos todos.
>>
>> http://support.microsoft.com/kb/555375/en-us
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna
>> clase, y no otorga ningún derecho. Ud. asume los riesgos This
>> posting is provided "AS IS" with no warranties, and confers no
>> rights. You assume all risk for your use.
>>
>>
>>
>>
>> Enrique wrote:
>>> Ya, parece que es un servidor DNS que no tiene configurada ninguna
>>> zona y al que si le habilito los reenviadores con las IP del ISP.
>>> Al DNS autoritario de la zona le deshabilito los reenviadores.
>>> Me imagino que puedo montar el servidor de caching only en otro
>>> equipo dentro de la red local tambien por supuesto con su IP fija
>>> (interna). Pero como configuro todo este rollo para que, lo que
>>> realmente requiero, que es poder enviar correo a dominios fuera de
>>> la red (considerando que el mismo equipo que tiene la autoridad de
>>> la zona, el que no tendra habilitados los reenviadores, tiene los
>>> servicios SMTP), consulte al DNS caching-only.
>>>
>>> Agradecido por la ayuda
>>>
>>> Enrique
>>>
>>>
>>> "Enrique" <elsupergatonARROBAhotmail.com> escribió en el mensaje
>>> news:
>>>> Gracias Guillermo:
>>>>
>>>> Si lo de los dominios raiz de internet lo tengo claro, son lapsus.
>>>> Dos consultas:
>>>> Primero: ¿Es realmente importante evitar la recursividad?, he
>>>> estado mirando y el 90% de los sitios que compruebo presentan el
>>>> mismo error y muchos de ellos son de tremendas instituciones.
>>>> Segundo un "caching-only" ¿es otro W2003 configurado de una manera
>>>> especial?,
>>>>
>>>> Saludos y gracias
>>>>
>>>> Enrique
>>>>
>>>> "Guillermo Delprato [MS-MVP]"
>>>> escribió en el
>>>> mensaje news:
>>>>> No son 13 zonas, son los servidores del dominio raíz (A a M)
>>>>>
>>>>> Cuando deshabilitas la recursividad en Avanzadas, lo que haces es
>>>>> deshabilitar *la propia* recursividad.
>>>>> Prueba lo siguiente: marca la opción Deshabilitar Recursión, y
>>>>> luego con NSLOOKUP trata de resolver un nombre de Internet. En
>>>>> lugar de resolver la IP responderá sólo con las IPs de los
>>>>> servidores a cargo del dominio top-level (com, net, etc.)
>>>>>
>>>>> Para que no resuelva otros dominios de Internet, salvo el tuyo,
>>>>> para no ser usado por otros, tampoco lo podrás hacer tú.
>>>>> La solución es tener dos DNSs, el externo sólo resuelve TU
>>>>> dominio. Y por otro lado un interno, que podría ser un
>>>>> "caching-only" que si resuelve los nombres de Internet.
>>>>>
>>>>> Un "caching-only" es un servidor al que le preguntan, pero no es
>>>>> autoridad para ninguna zona. Por lo cual siempre resuelve por
>>>>> afuera, pero cachea la información
>>>>>
>>>>> Saludos
>>>>>
>>>>> Guillermo Delprato
>>>>> MVP-MCT-MCSE-MCSA-MCP
>>>>> Buenos Aires, Argentina
>>>>>
>>>>> NOTA. Por favor, las preguntas y comentarios en los grupos, así
>>>>> nos beneficiamos todos.
>>>>>
>>>>> http://support.microsoft.com/kb/555375/en-us
>>>>>
>>>>> Este mensaje se proporciona "como está" sin garantías de ninguna
>>>>> clase, y no otorga ningún derecho. Ud. asume los riesgos This
>>>>> posting is provided "AS IS" with no warranties, and confers no
>>>>> rights. You assume all risk for your use.
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> Enrique wrote:
>>>>>> Hola:
>>>>>>
>>>>>> Gracias por tu respuesta.
>>>>>> Tiene solo las 13 zonas de la a a la m.
>>>>>> Sin reenviadores no resuelve ningun dominio externo
>>>>>> ¿Alguna idea?
>>>>>>
>>>>>>
>>>>>> Enrique
>>>>>>
>>>>>>
>>>>>> "Guillermo Delprato [MS-MVP]"
>>>>>> escribió en
>>>>>> el mensaje news:%
>>>>>>> Van juntos, porque cuando se reenvía una petición a los
>>>>>>> Reenviadores, tu DNS hace recursividad.
>>>>>>>
>>>>>>> Si lo deshabilitas, entonces no puedes usar Reenviadores, pero
>>>>>>> eso no implica que tu DNS no pueda resolver los nombres de
>>>>>>> Internet.
>>>>>>>
>>>>>>> Revisa que hay una ficha en las propiedades del servidor que le
>>>>>>> indican quienes son los servidores del dominio raíz (.), por lo
>>>>>>> tanto comenzará la resolución desde ahí
>>>>>>> No deberías tener en tu servidor una zona "."
>>>>>>> Hago esta aclaración porque W2k tiene la costumbre de crearla
>>>>>>> :-)
>>>>>>>
>>>>>>> Saludos
>>>>>>>
>>>>>>> Guillermo Delprato
>>>>>>> MVP-MCT-MCSE-MCSA-MCP
>>>>>>> Buenos Aires, Argentina
>>>>>>>
>>>>>>> NOTA. Por favor, las preguntas y comentarios en los grupos, así
>>>>>>> nos beneficiamos todos.
>>>>>>>
>>>>>>> http://support.microsoft.com/kb/555375/en-us
>>>>>>>
>>>>>>> Este mensaje se proporciona "como está" sin garantías de ninguna
>>>>>>> clase,
>>>>>>> y no otorga ningún derecho. Ud. asume los riesgos This posting
>>>>>>> is provided "AS IS" with no warranties, and confers no rights.
>>>>>>> You assume all risk for your use.
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> Enrique wrote:
>>>>>>>> Hola:
>>>>>>>>
>>>>>>>> Se me indica que mantener activa la recursividad en el servidor
>>>>>>>> DNS que es autoridad para una zona es un error grave pues queda
>>>>>>>> afecto a ataques de "Cache Poisoning".
>>>>>>>> El problema es que en 2003 Server la deshabilitación de la
>>>>>>>> recursividad y el uso de Reenviadores van juntos es decir no
>>>>>>>> puedo deshabilitar uno sin deshabilitar ambos.
>>>>>>>> Yo requiero resolver dominios externos para que me funcione el
>>>>>>>> servicio SMTP.
>>>>>>>> ¿Como se enfrenta esto?
>>>>>>>>
>>>>>>>> Gracias por vuestra asistencia,
>>>>>>>>
>>>>>>>> Enrique

"." es el dominio "punto". El dominio raíz de Internet

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Enrique wrote:

Estoy muy confundido.

¿que es "." ?

Saludos

Enrique

"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

Para hacer la configuración que pides, como te comenté antes,
necesitas dos servidores DNS: uno de uso exclusivamente interno
(donde no tendrás las amenazas que comentas); y el externo (que
funcionará como "caching-only"

En el externo, creas solamente los registros de los servicios que
expones a Internet
Puede resolver por reenviadores o accediendo a los servidores del "."
Esto último es obligatorio si le sacas la recursividad.
Configura y prueba esto primero, y luego recién la resolución del DNS
interno

En el interno, todo lo necesario para el funcionamiento de AD. Lo
debes configurar para que comience las resoluciones desde el "."
pues si al externo le sacas la recursividad, entonces el DNS interno
es el que tiene que resolver todos los nombres. O podría reenviar a
los del ISP
Que este servidor no sea accesible desde Internet

Consejo, divide el problema :-)
Primero uno, y cuando este funciona, recién comenzar a ver el otro

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Enrique wrote:

Gracias Guillermo pero ¿como se hace en la practica?
Tengo en un mismo equipo el DNS, IIS, y SMTP.
Este aquipo se apunta asi mismo como Servidor DNS.
Como estan deshabilitados los Reenviadores no se puede enviar
correo a dominios externos.

Ahora bien, en otro equipo de la red instalo otro servidor DNS que
no sirve zona alguna y si tiene activados los reenviadores.

¿Como configuro el equipo principal para que consulta a este cuando
no pueda resolver?
Colocar simplemente su IP como DNS alternativo no sirve, al menos
para el tema del correo.

Agradecido

Enrique


"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:ec$

Un DNS "caching-only" es un servidor con el servicio DNS, al que
otros le preguntan, y este o bien Reenvía a los del ISP, o bien
comienza desde el dominio raíz. Es un servidor DNS que no tiene
ninguna zona, pero puede resolver nombres de Internet.

Si tienes un DNS interno, lo puedes configurar para que reenvíe a
los del ISP, o que reenvíe al "caching-only", funcionará de ambas
formas

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Enrique wrote:

Ya, parece que es un servidor DNS que no tiene configurada ninguna
zona y al que si le habilito los reenviadores con las IP del ISP.
Al DNS autoritario de la zona le deshabilito los reenviadores.
Me imagino que puedo montar el servidor de caching only en otro
equipo dentro de la red local tambien por supuesto con su IP fija
(interna). Pero como configuro todo este rollo para que, lo que
realmente requiero, que es poder enviar correo a dominios fuera de
la red (considerando que el mismo equipo que tiene la autoridad de
la zona, el que no tendra habilitados los reenviadores, tiene los
servicios SMTP), consulte al DNS caching-only.

Agradecido por la ayuda

Enrique


"Enrique" <elsupergatonARROBAhotmail.com> escribió en el mensaje
news:

Gracias Guillermo:

Si lo de los dominios raiz de internet lo tengo claro, son
lapsus. Dos consultas:
Primero: ¿Es realmente importante evitar la recursividad?, he
estado mirando y el 90% de los sitios que compruebo presentan el
mismo error y muchos de ellos son de tremendas instituciones.
Segundo un "caching-only" ¿es otro W2003 configurado de una
manera especial?,

Saludos y gracias

Enrique

"Guillermo Delprato [MS-MVP]"
escribió en
el mensaje news:

No son 13 zonas, son los servidores del dominio raíz (A a M)

Cuando deshabilitas la recursividad en Avanzadas, lo que haces
es deshabilitar *la propia* recursividad.
Prueba lo siguiente: marca la opción Deshabilitar Recursión, y
luego con NSLOOKUP trata de resolver un nombre de Internet. En
lugar de resolver la IP responderá sólo con las IPs de los
servidores a cargo del dominio top-level (com, net, etc.)

Para que no resuelva otros dominios de Internet, salvo el tuyo,
para no ser usado por otros, tampoco lo podrás hacer tú.
La solución es tener dos DNSs, el externo sólo resuelve TU
dominio. Y por otro lado un interno, que podría ser un
"caching-only" que si resuelve los nombres de Internet.

Un "caching-only" es un servidor al que le preguntan, pero no es
autoridad para ninguna zona. Por lo cual siempre resuelve por
afuera, pero cachea la información

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así
nos beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Enrique wrote:

Hola:

Gracias por tu respuesta.
Tiene solo las 13 zonas de la a a la m.
Sin reenviadores no resuelve ningun dominio externo
¿Alguna idea?


Enrique


"Guillermo Delprato [MS-MVP]"
escribió en
el mensaje news:%

Van juntos, porque cuando se reenvía una petición a los
Reenviadores, tu DNS hace recursividad.

Si lo deshabilitas, entonces no puedes usar Reenviadores, pero
eso no implica que tu DNS no pueda resolver los nombres de
Internet.

Revisa que hay una ficha en las propiedades del servidor que
le indican quienes son los servidores del dominio raíz (.),
por lo tanto comenzará la resolución desde ahí
No deberías tener en tu servidor una zona "."
Hago esta aclaración porque W2k tiene la costumbre de crearla
:-)

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos,
así nos beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de
ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting
is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




Enrique wrote:

Hola:

Se me indica que mantener activa la recursividad en el
servidor DNS que es autoridad para una zona es un error
grave pues queda afecto a ataques de "Cache Poisoning".
El problema es que en 2003 Server la deshabilitación de la
recursividad y el uso de Reenviadores van juntos es decir no
puedo deshabilitar uno sin deshabilitar ambos.
Yo requiero resolver dominios externos para que me funcione
el servicio SMTP.
¿Como se enfrenta esto?

Gracias por vuestra asistencia,

Enrique