Recursividad/Reenviadores

¿Como se configura el servidor externo para resolver accediendo a los
servidores del "." ?

Enrique

"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:O$

"." es el dominio "punto". El dominio raíz de Internet

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Enrique wrote:
> Estoy muy confundido.
>
> ¿que es "." ?
>
> Saludos
>
> Enrique
>
> "Guillermo Delprato [MS-MVP]"
> escribió en el
> mensaje news:
>> Para hacer la configuración que pides, como te comenté antes,
>> necesitas dos servidores DNS: uno de uso exclusivamente interno
>> (donde no tendrás las amenazas que comentas); y el externo (que
>> funcionará como "caching-only"
>>
>> En el externo, creas solamente los registros de los servicios que
>> expones a Internet
>> Puede resolver por reenviadores o accediendo a los servidores del "."
>> Esto último es obligatorio si le sacas la recursividad.
>> Configura y prueba esto primero, y luego recién la resolución del DNS
>> interno
>>
>> En el interno, todo lo necesario para el funcionamiento de AD. Lo
>> debes configurar para que comience las resoluciones desde el "."
>> pues si al externo le sacas la recursividad, entonces el DNS interno
>> es el que tiene que resolver todos los nombres. O podría reenviar a
>> los del ISP
>> Que este servidor no sea accesible desde Internet
>>
>> Consejo, divide el problema :-)
>> Primero uno, y cuando este funciona, recién comenzar a ver el otro
>>
>> Saludos
>>
>> Guillermo Delprato
>> MVP-MCT-MCSE-MCSA-MCP
>> Buenos Aires, Argentina
>>
>> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>> beneficiamos todos.
>>
>> http://support.microsoft.com/kb/555375/en-us
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna
>> clase, y no otorga ningún derecho. Ud. asume los riesgos This
>> posting is provided "AS IS" with no warranties, and confers no
>> rights. You assume all risk for your use.
>>
>>
>>
>>
>> Enrique wrote:
>>> Gracias Guillermo pero ¿como se hace en la practica?
>>> Tengo en un mismo equipo el DNS, IIS, y SMTP.
>>> Este aquipo se apunta asi mismo como Servidor DNS.
>>> Como estan deshabilitados los Reenviadores no se puede enviar
>>> correo a dominios externos.
>>>
>>> Ahora bien, en otro equipo de la red instalo otro servidor DNS que
>>> no sirve zona alguna y si tiene activados los reenviadores.
>>>
>>> ¿Como configuro el equipo principal para que consulta a este cuando
>>> no pueda resolver?
>>> Colocar simplemente su IP como DNS alternativo no sirve, al menos
>>> para el tema del correo.
>>>
>>> Agradecido
>>>
>>> Enrique
>>>
>>>
>>> "Guillermo Delprato [MS-MVP]"
>>> escribió en el
>>> mensaje news:ec$
>>>> Un DNS "caching-only" es un servidor con el servicio DNS, al que
>>>> otros le preguntan, y este o bien Reenvía a los del ISP, o bien
>>>> comienza desde el dominio raíz. Es un servidor DNS que no tiene
>>>> ninguna zona, pero puede resolver nombres de Internet.
>>>>
>>>> Si tienes un DNS interno, lo puedes configurar para que reenvíe a
>>>> los del ISP, o que reenvíe al "caching-only", funcionará de ambas
>>>> formas
>>>>
>>>> Saludos
>>>>
>>>> Guillermo Delprato
>>>> MVP-MCT-MCSE-MCSA-MCP
>>>> Buenos Aires, Argentina
>>>>
>>>> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>>>> beneficiamos todos.
>>>>
>>>> http://support.microsoft.com/kb/555375/en-us
>>>>
>>>> Este mensaje se proporciona "como está" sin garantías de ninguna
>>>> clase, y no otorga ningún derecho. Ud. asume los riesgos This
>>>> posting is provided "AS IS" with no warranties, and confers no
>>>> rights. You assume all risk for your use.
>>>>
>>>>
>>>>
>>>>
>>>> Enrique wrote:
>>>>> Ya, parece que es un servidor DNS que no tiene configurada ninguna
>>>>> zona y al que si le habilito los reenviadores con las IP del ISP.
>>>>> Al DNS autoritario de la zona le deshabilito los reenviadores.
>>>>> Me imagino que puedo montar el servidor de caching only en otro
>>>>> equipo dentro de la red local tambien por supuesto con su IP fija
>>>>> (interna). Pero como configuro todo este rollo para que, lo que
>>>>> realmente requiero, que es poder enviar correo a dominios fuera de
>>>>> la red (considerando que el mismo equipo que tiene la autoridad de
>>>>> la zona, el que no tendra habilitados los reenviadores, tiene los
>>>>> servicios SMTP), consulte al DNS caching-only.
>>>>>
>>>>> Agradecido por la ayuda
>>>>>
>>>>> Enrique
>>>>>
>>>>>
>>>>> "Enrique" <elsupergatonARROBAhotmail.com> escribió en el mensaje
>>>>> news:
>>>>>> Gracias Guillermo:
>>>>>>
>>>>>> Si lo de los dominios raiz de internet lo tengo claro, son
>>>>>> lapsus. Dos consultas:
>>>>>> Primero: ¿Es realmente importante evitar la recursividad?, he
>>>>>> estado mirando y el 90% de los sitios que compruebo presentan el
>>>>>> mismo error y muchos de ellos son de tremendas instituciones.
>>>>>> Segundo un "caching-only" ¿es otro W2003 configurado de una
>>>>>> manera especial?,
>>>>>>
>>>>>> Saludos y gracias
>>>>>>
>>>>>> Enrique
>>>>>>
>>>>>> "Guillermo Delprato [MS-MVP]"
>>>>>> escribió en
>>>>>> el mensaje news:
>>>>>>> No son 13 zonas, son los servidores del dominio raíz (A a M)
>>>>>>>
>>>>>>> Cuando deshabilitas la recursividad en Avanzadas, lo que haces
>>>>>>> es deshabilitar *la propia* recursividad.
>>>>>>> Prueba lo siguiente: marca la opción Deshabilitar Recursión, y
>>>>>>> luego con NSLOOKUP trata de resolver un nombre de Internet. En
>>>>>>> lugar de resolver la IP responderá sólo con las IPs de los
>>>>>>> servidores a cargo del dominio top-level (com, net, etc.)
>>>>>>>
>>>>>>> Para que no resuelva otros dominios de Internet, salvo el tuyo,
>>>>>>> para no ser usado por otros, tampoco lo podrás hacer tú.
>>>>>>> La solución es tener dos DNSs, el externo sólo resuelve TU
>>>>>>> dominio. Y por otro lado un interno, que podría ser un
>>>>>>> "caching-only" que si resuelve los nombres de Internet.
>>>>>>>
>>>>>>> Un "caching-only" es un servidor al que le preguntan, pero no es
>>>>>>> autoridad para ninguna zona. Por lo cual siempre resuelve por
>>>>>>> afuera, pero cachea la información
>>>>>>>
>>>>>>> Saludos
>>>>>>>
>>>>>>> Guillermo Delprato
>>>>>>> MVP-MCT-MCSE-MCSA-MCP
>>>>>>> Buenos Aires, Argentina
>>>>>>>
>>>>>>> NOTA. Por favor, las preguntas y comentarios en los grupos, así
>>>>>>> nos beneficiamos todos.
>>>>>>>
>>>>>>> http://support.microsoft.com/kb/555375/en-us
>>>>>>>
>>>>>>> Este mensaje se proporciona "como está" sin garantías de ninguna
>>>>>>> clase, y no otorga ningún derecho. Ud. asume los riesgos This
>>>>>>> posting is provided "AS IS" with no warranties, and confers no
>>>>>>> rights. You assume all risk for your use.
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> Enrique wrote:
>>>>>>>> Hola:
>>>>>>>>
>>>>>>>> Gracias por tu respuesta.
>>>>>>>> Tiene solo las 13 zonas de la a a la m.
>>>>>>>> Sin reenviadores no resuelve ningun dominio externo
>>>>>>>> ¿Alguna idea?
>>>>>>>>
>>>>>>>>
>>>>>>>> Enrique
>>>>>>>>
>>>>>>>>
>>>>>>>> "Guillermo Delprato [MS-MVP]"
>>>>>>>> escribió en
>>>>>>>> el mensaje news:%
>>>>>>>>> Van juntos, porque cuando se reenvía una petición a los
>>>>>>>>> Reenviadores, tu DNS hace recursividad.
>>>>>>>>>
>>>>>>>>> Si lo deshabilitas, entonces no puedes usar Reenviadores, pero
>>>>>>>>> eso no implica que tu DNS no pueda resolver los nombres de
>>>>>>>>> Internet.
>>>>>>>>>
>>>>>>>>> Revisa que hay una ficha en las propiedades del servidor que
>>>>>>>>> le indican quienes son los servidores del dominio raíz (.),
>>>>>>>>> por lo tanto comenzará la resolución desde ahí
>>>>>>>>> No deberías tener en tu servidor una zona "."
>>>>>>>>> Hago esta aclaración porque W2k tiene la costumbre de crearla
>>>>>>>>> :-)
>>>>>>>>>
>>>>>>>>> Saludos
>>>>>>>>>
>>>>>>>>> Guillermo Delprato
>>>>>>>>> MVP-MCT-MCSE-MCSA-MCP
>>>>>>>>> Buenos Aires, Argentina
>>>>>>>>>
>>>>>>>>> NOTA. Por favor, las preguntas y comentarios en los grupos,
>>>>>>>>> así nos beneficiamos todos.
>>>>>>>>>
>>>>>>>>> http://support.microsoft.com/kb/555375/en-us
>>>>>>>>>
>>>>>>>>> Este mensaje se proporciona "como está" sin garantías de
>>>>>>>>> ninguna clase,
>>>>>>>>> y no otorga ningún derecho. Ud. asume los riesgos This posting
>>>>>>>>> is provided "AS IS" with no warranties, and confers no rights.
>>>>>>>>> You assume all risk for your use.
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Enrique wrote:
>>>>>>>>>> Hola:
>>>>>>>>>>
>>>>>>>>>> Se me indica que mantener activa la recursividad en el
>>>>>>>>>> servidor DNS que es autoridad para una zona es un error
>>>>>>>>>> grave pues queda afecto a ataques de "Cache Poisoning".
>>>>>>>>>> El problema es que en 2003 Server la deshabilitación de la
>>>>>>>>>> recursividad y el uso de Reenviadores van juntos es decir no
>>>>>>>>>> puedo deshabilitar uno sin deshabilitar ambos.
>>>>>>>>>> Yo requiero resolver dominios externos para que me funcione
>>>>>>>>>> el servicio SMTP.
>>>>>>>>>> ¿Como se enfrenta esto?
>>>>>>>>>>
>>>>>>>>>> Gracias por vuestra asistencia,
>>>>>>>>>>
>>>>>>>>>> Enrique

Haciendo nada :-)
En las propiedades del servidor en la consola DNS, tienes la ficha
Sugerencias de Raíz (Root Hints), esos son los servidores del dominio "." de
Internet


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Enrique wrote:

¿Como se configura el servidor externo para resolver accediendo a los
servidores del "." ?

Enrique

"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:O$

"." es el dominio "punto". El dominio raíz de Internet

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Enrique wrote:

Estoy muy confundido.

¿que es "." ?

Saludos

Enrique

"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

Para hacer la configuración que pides, como te comenté antes,
necesitas dos servidores DNS: uno de uso exclusivamente interno
(donde no tendrás las amenazas que comentas); y el externo (que
funcionará como "caching-only"

En el externo, creas solamente los registros de los servicios que
expones a Internet
Puede resolver por reenviadores o accediendo a los servidores del
"." Esto último es obligatorio si le sacas la recursividad.
Configura y prueba esto primero, y luego recién la resolución del
DNS interno

En el interno, todo lo necesario para el funcionamiento de AD. Lo
debes configurar para que comience las resoluciones desde el "."
pues si al externo le sacas la recursividad, entonces el DNS
interno es el que tiene que resolver todos los nombres. O podría
reenviar a los del ISP
Que este servidor no sea accesible desde Internet

Consejo, divide el problema :-)
Primero uno, y cuando este funciona, recién comenzar a ver el otro

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Enrique wrote:

Gracias Guillermo pero ¿como se hace en la practica?
Tengo en un mismo equipo el DNS, IIS, y SMTP.
Este aquipo se apunta asi mismo como Servidor DNS.
Como estan deshabilitados los Reenviadores no se puede enviar
correo a dominios externos.

Ahora bien, en otro equipo de la red instalo otro servidor DNS que
no sirve zona alguna y si tiene activados los reenviadores.

¿Como configuro el equipo principal para que consulta a este
cuando no pueda resolver?
Colocar simplemente su IP como DNS alternativo no sirve, al menos
para el tema del correo.

Agradecido

Enrique


"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:ec$

Un DNS "caching-only" es un servidor con el servicio DNS, al que
otros le preguntan, y este o bien Reenvía a los del ISP, o bien
comienza desde el dominio raíz. Es un servidor DNS que no tiene
ninguna zona, pero puede resolver nombres de Internet.

Si tienes un DNS interno, lo puedes configurar para que reenvíe a
los del ISP, o que reenvíe al "caching-only", funcionará de ambas
formas

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así
nos beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Enrique wrote:

Ya, parece que es un servidor DNS que no tiene configurada
ninguna zona y al que si le habilito los reenviadores con las
IP del ISP. Al DNS autoritario de la zona le deshabilito los
reenviadores.
Me imagino que puedo montar el servidor de caching only en otro
equipo dentro de la red local tambien por supuesto con su IP
fija (interna). Pero como configuro todo este rollo para que,
lo que realmente requiero, que es poder enviar correo a
dominios fuera de la red (considerando que el mismo equipo que
tiene la autoridad de la zona, el que no tendra habilitados los
reenviadores, tiene los servicios SMTP), consulte al DNS
caching-only.

Agradecido por la ayuda

Enrique


"Enrique" <elsupergatonARROBAhotmail.com> escribió en el mensaje
news:

Gracias Guillermo:

Si lo de los dominios raiz de internet lo tengo claro, son
lapsus. Dos consultas:
Primero: ¿Es realmente importante evitar la recursividad?, he
estado mirando y el 90% de los sitios que compruebo presentan
el mismo error y muchos de ellos son de tremendas
instituciones. Segundo un "caching-only" ¿es otro W2003
configurado de una manera especial?,

Saludos y gracias

Enrique

"Guillermo Delprato [MS-MVP]"
escribió en
el mensaje news:

No son 13 zonas, son los servidores del dominio raíz (A a M)

Cuando deshabilitas la recursividad en Avanzadas, lo que haces
es deshabilitar *la propia* recursividad.
Prueba lo siguiente: marca la opción Deshabilitar Recursión, y
luego con NSLOOKUP trata de resolver un nombre de Internet. En
lugar de resolver la IP responderá sólo con las IPs de los
servidores a cargo del dominio top-level (com, net, etc.)

Para que no resuelva otros dominios de Internet, salvo el
tuyo, para no ser usado por otros, tampoco lo podrás hacer tú.
La solución es tener dos DNSs, el externo sólo resuelve TU
dominio. Y por otro lado un interno, que podría ser un
"caching-only" que si resuelve los nombres de Internet.

Un "caching-only" es un servidor al que le preguntan, pero no
es autoridad para ninguna zona. Por lo cual siempre resuelve
por afuera, pero cachea la información

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos,
así nos beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de
ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties,
and confers no rights. You assume all risk for your use.




Enrique wrote:

Hola:

Gracias por tu respuesta.
Tiene solo las 13 zonas de la a a la m.
Sin reenviadores no resuelve ningun dominio externo
¿Alguna idea?


Enrique


"Guillermo Delprato [MS-MVP]"
escribió
en el mensaje news:%

Van juntos, porque cuando se reenvía una petición a los
Reenviadores, tu DNS hace recursividad.

Si lo deshabilitas, entonces no puedes usar Reenviadores,
pero eso no implica que tu DNS no pueda resolver los
nombres de Internet.

Revisa que hay una ficha en las propiedades del servidor que
le indican quienes son los servidores del dominio raíz (.),
por lo tanto comenzará la resolución desde ahí
No deberías tener en tu servidor una zona "."
Hago esta aclaración porque W2k tiene la costumbre de
crearla :-)

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos,
así nos beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de
ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers
no rights. You assume all risk for your use.




Enrique wrote:

Hola:

Se me indica que mantener activa la recursividad en el
servidor DNS que es autoridad para una zona es un error
grave pues queda afecto a ataques de "Cache Poisoning".
El problema es que en 2003 Server la deshabilitación de la
recursividad y el uso de Reenviadores van juntos es decir
no puedo deshabilitar uno sin deshabilitar ambos.
Yo requiero resolver dominios externos para que me funcione
el servicio SMTP.
¿Como se enfrenta esto?

Gracias por vuestra asistencia,

Enrique

¿Y por que entonces si quito los reenviadores no resuelve ningun dominio
externo?

Enriqueç


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

Haciendo nada :-)
En las propiedades del servidor en la consola DNS, tienes la ficha
Sugerencias de Raíz (Root Hints), esos son los servidores del dominio "."

de

Internet


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Enrique wrote:
> ¿Como se configura el servidor externo para resolver accediendo a los
> servidores del "." ?
>
> Enrique
>
> "Guillermo Delprato [MS-MVP]"
> escribió en el
> mensaje news:O$
>> "." es el dominio "punto". El dominio raíz de Internet
>>
>> Saludos
>>
>> Guillermo Delprato
>> MVP-MCT-MCSE-MCSA-MCP
>> Buenos Aires, Argentina
>>
>> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>> beneficiamos todos.
>>
>> http://support.microsoft.com/kb/555375/en-us
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna
>> clase, y no otorga ningún derecho. Ud. asume los riesgos This
>> posting is provided "AS IS" with no warranties, and confers no
>> rights. You assume all risk for your use.
>>
>>
>>
>>
>> Enrique wrote:
>>> Estoy muy confundido.
>>>
>>> ¿que es "." ?
>>>
>>> Saludos
>>>
>>> Enrique
>>>
>>> "Guillermo Delprato [MS-MVP]"
>>> escribió en el
>>> mensaje news:
>>>> Para hacer la configuración que pides, como te comenté antes,
>>>> necesitas dos servidores DNS: uno de uso exclusivamente interno
>>>> (donde no tendrás las amenazas que comentas); y el externo (que
>>>> funcionará como "caching-only"
>>>>
>>>> En el externo, creas solamente los registros de los servicios que
>>>> expones a Internet
>>>> Puede resolver por reenviadores o accediendo a los servidores del
>>>> "." Esto último es obligatorio si le sacas la recursividad.
>>>> Configura y prueba esto primero, y luego recién la resolución del
>>>> DNS interno
>>>>
>>>> En el interno, todo lo necesario para el funcionamiento de AD. Lo
>>>> debes configurar para que comience las resoluciones desde el "."
>>>> pues si al externo le sacas la recursividad, entonces el DNS
>>>> interno es el que tiene que resolver todos los nombres. O podría
>>>> reenviar a los del ISP
>>>> Que este servidor no sea accesible desde Internet
>>>>
>>>> Consejo, divide el problema :-)
>>>> Primero uno, y cuando este funciona, recién comenzar a ver el otro
>>>>
>>>> Saludos
>>>>
>>>> Guillermo Delprato
>>>> MVP-MCT-MCSE-MCSA-MCP
>>>> Buenos Aires, Argentina
>>>>
>>>> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>>>> beneficiamos todos.
>>>>
>>>> http://support.microsoft.com/kb/555375/en-us
>>>>
>>>> Este mensaje se proporciona "como está" sin garantías de ninguna
>>>> clase, y no otorga ningún derecho. Ud. asume los riesgos This
>>>> posting is provided "AS IS" with no warranties, and confers no
>>>> rights. You assume all risk for your use.
>>>>
>>>>
>>>>
>>>>
>>>> Enrique wrote:
>>>>> Gracias Guillermo pero ¿como se hace en la practica?
>>>>> Tengo en un mismo equipo el DNS, IIS, y SMTP.
>>>>> Este aquipo se apunta asi mismo como Servidor DNS.
>>>>> Como estan deshabilitados los Reenviadores no se puede enviar
>>>>> correo a dominios externos.
>>>>>
>>>>> Ahora bien, en otro equipo de la red instalo otro servidor DNS que
>>>>> no sirve zona alguna y si tiene activados los reenviadores.
>>>>>
>>>>> ¿Como configuro el equipo principal para que consulta a este
>>>>> cuando no pueda resolver?
>>>>> Colocar simplemente su IP como DNS alternativo no sirve, al menos
>>>>> para el tema del correo.
>>>>>
>>>>> Agradecido
>>>>>
>>>>> Enrique
>>>>>
>>>>>
>>>>> "Guillermo Delprato [MS-MVP]"
>>>>> escribió en el
>>>>> mensaje news:ec$
>>>>>> Un DNS "caching-only" es un servidor con el servicio DNS, al que
>>>>>> otros le preguntan, y este o bien Reenvía a los del ISP, o bien
>>>>>> comienza desde el dominio raíz. Es un servidor DNS que no tiene
>>>>>> ninguna zona, pero puede resolver nombres de Internet.
>>>>>>
>>>>>> Si tienes un DNS interno, lo puedes configurar para que reenvíe a
>>>>>> los del ISP, o que reenvíe al "caching-only", funcionará de ambas
>>>>>> formas
>>>>>>
>>>>>> Saludos
>>>>>>
>>>>>> Guillermo Delprato
>>>>>> MVP-MCT-MCSE-MCSA-MCP
>>>>>> Buenos Aires, Argentina
>>>>>>
>>>>>> NOTA. Por favor, las preguntas y comentarios en los grupos, así
>>>>>> nos beneficiamos todos.
>>>>>>
>>>>>> http://support.microsoft.com/kb/555375/en-us
>>>>>>
>>>>>> Este mensaje se proporciona "como está" sin garantías de ninguna
>>>>>> clase, y no otorga ningún derecho. Ud. asume los riesgos This
>>>>>> posting is provided "AS IS" with no warranties, and confers no
>>>>>> rights. You assume all risk for your use.
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> Enrique wrote:
>>>>>>> Ya, parece que es un servidor DNS que no tiene configurada
>>>>>>> ninguna zona y al que si le habilito los reenviadores con las
>>>>>>> IP del ISP. Al DNS autoritario de la zona le deshabilito los
>>>>>>> reenviadores.
>>>>>>> Me imagino que puedo montar el servidor de caching only en otro
>>>>>>> equipo dentro de la red local tambien por supuesto con su IP
>>>>>>> fija (interna). Pero como configuro todo este rollo para que,
>>>>>>> lo que realmente requiero, que es poder enviar correo a
>>>>>>> dominios fuera de la red (considerando que el mismo equipo que
>>>>>>> tiene la autoridad de la zona, el que no tendra habilitados los
>>>>>>> reenviadores, tiene los servicios SMTP), consulte al DNS
>>>>>>> caching-only.
>>>>>>>
>>>>>>> Agradecido por la ayuda
>>>>>>>
>>>>>>> Enrique
>>>>>>>
>>>>>>>
>>>>>>> "Enrique" <elsupergatonARROBAhotmail.com> escribió en el mensaje
>>>>>>> news:
>>>>>>>> Gracias Guillermo:
>>>>>>>>
>>>>>>>> Si lo de los dominios raiz de internet lo tengo claro, son
>>>>>>>> lapsus. Dos consultas:
>>>>>>>> Primero: ¿Es realmente importante evitar la recursividad?, he
>>>>>>>> estado mirando y el 90% de los sitios que compruebo presentan
>>>>>>>> el mismo error y muchos de ellos son de tremendas
>>>>>>>> instituciones. Segundo un "caching-only" ¿es otro W2003
>>>>>>>> configurado de una manera especial?,
>>>>>>>>
>>>>>>>> Saludos y gracias
>>>>>>>>
>>>>>>>> Enrique
>>>>>>>>
>>>>>>>> "Guillermo Delprato [MS-MVP]"
>>>>>>>> escribió en
>>>>>>>> el mensaje news:
>>>>>>>>> No son 13 zonas, son los servidores del dominio raíz (A a M)
>>>>>>>>>
>>>>>>>>> Cuando deshabilitas la recursividad en Avanzadas, lo que haces
>>>>>>>>> es deshabilitar *la propia* recursividad.
>>>>>>>>> Prueba lo siguiente: marca la opción Deshabilitar Recursión, y
>>>>>>>>> luego con NSLOOKUP trata de resolver un nombre de Internet. En
>>>>>>>>> lugar de resolver la IP responderá sólo con las IPs de los
>>>>>>>>> servidores a cargo del dominio top-level (com, net, etc.)
>>>>>>>>>
>>>>>>>>> Para que no resuelva otros dominios de Internet, salvo el
>>>>>>>>> tuyo, para no ser usado por otros, tampoco lo podrás hacer tú.
>>>>>>>>> La solución es tener dos DNSs, el externo sólo resuelve TU
>>>>>>>>> dominio. Y por otro lado un interno, que podría ser un
>>>>>>>>> "caching-only" que si resuelve los nombres de Internet.
>>>>>>>>>
>>>>>>>>> Un "caching-only" es un servidor al que le preguntan, pero no
>>>>>>>>> es autoridad para ninguna zona. Por lo cual siempre resuelve
>>>>>>>>> por afuera, pero cachea la información
>>>>>>>>>
>>>>>>>>> Saludos
>>>>>>>>>
>>>>>>>>> Guillermo Delprato
>>>>>>>>> MVP-MCT-MCSE-MCSA-MCP
>>>>>>>>> Buenos Aires, Argentina
>>>>>>>>>
>>>>>>>>> NOTA. Por favor, las preguntas y comentarios en los grupos,
>>>>>>>>> así nos beneficiamos todos.
>>>>>>>>>
>>>>>>>>> http://support.microsoft.com/kb/555375/en-us
>>>>>>>>>
>>>>>>>>> Este mensaje se proporciona "como está" sin garantías de
>>>>>>>>> ninguna clase, y no otorga ningún derecho. Ud. asume los
>>>>>>>>> riesgos This posting is provided "AS IS" with no warranties,
>>>>>>>>> and confers no rights. You assume all risk for your use.
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Enrique wrote:
>>>>>>>>>> Hola:
>>>>>>>>>>
>>>>>>>>>> Gracias por tu respuesta.
>>>>>>>>>> Tiene solo las 13 zonas de la a a la m.
>>>>>>>>>> Sin reenviadores no resuelve ningun dominio externo
>>>>>>>>>> ¿Alguna idea?
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Enrique
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> "Guillermo Delprato [MS-MVP]"
>>>>>>>>>> escribió
>>>>>>>>>> en el mensaje news:%
>>>>>>>>>>> Van juntos, porque cuando se reenvía una petición a los
>>>>>>>>>>> Reenviadores, tu DNS hace recursividad.
>>>>>>>>>>>
>>>>>>>>>>> Si lo deshabilitas, entonces no puedes usar Reenviadores,
>>>>>>>>>>> pero eso no implica que tu DNS no pueda resolver los
>>>>>>>>>>> nombres de Internet.
>>>>>>>>>>>
>>>>>>>>>>> Revisa que hay una ficha en las propiedades del servidor que
>>>>>>>>>>> le indican quienes son los servidores del dominio raíz (.),
>>>>>>>>>>> por lo tanto comenzará la resolución desde ahí
>>>>>>>>>>> No deberías tener en tu servidor una zona "."
>>>>>>>>>>> Hago esta aclaración porque W2k tiene la costumbre de
>>>>>>>>>>> crearla :-)
>>>>>>>>>>>
>>>>>>>>>>> Saludos
>>>>>>>>>>>
>>>>>>>>>>> Guillermo Delprato
>>>>>>>>>>> MVP-MCT-MCSE-MCSA-MCP
>>>>>>>>>>> Buenos Aires, Argentina
>>>>>>>>>>>
>>>>>>>>>>> NOTA. Por favor, las preguntas y comentarios en los grupos,
>>>>>>>>>>> así nos beneficiamos todos.
>>>>>>>>>>>
>>>>>>>>>>> http://support.microsoft.com/kb/555375/en-us
>>>>>>>>>>>
>>>>>>>>>>> Este mensaje se proporciona "como está" sin garantías de
>>>>>>>>>>> ninguna clase,
>>>>>>>>>>> y no otorga ningún derecho. Ud. asume los riesgos This
>>>>>>>>>>> posting is provided "AS IS" with no warranties, and confers
>>>>>>>>>>> no rights. You assume all risk for your use.
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> Enrique wrote:
>>>>>>>>>>>> Hola:
>>>>>>>>>>>>
>>>>>>>>>>>> Se me indica que mantener activa la recursividad en el
>>>>>>>>>>>> servidor DNS que es autoridad para una zona es un error
>>>>>>>>>>>> grave pues queda afecto a ataques de "Cache Poisoning".
>>>>>>>>>>>> El problema es que en 2003 Server la deshabilitación de la
>>>>>>>>>>>> recursividad y el uso de Reenviadores van juntos es decir
>>>>>>>>>>>> no puedo deshabilitar uno sin deshabilitar ambos.
>>>>>>>>>>>> Yo requiero resolver dominios externos para que me funcione
>>>>>>>>>>>> el servicio SMTP.
>>>>>>>>>>>> ¿Como se enfrenta esto?
>>>>>>>>>>>>
>>>>>>>>>>>> Gracias por vuestra asistencia,
>>>>>>>>>>>>
>>>>>>>>>>>> Enrique

Podrían ser varias razones
¿Tienes en Sugerencias de Raíz los servidores A a M? Revisa en
\Windows\System32\DNS que el archivo CACHE.DNS contenga la siguiente
información:
. 3600000 IN NS A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
;
; formerly NS1.ISI.EDU
;
. 3600000 NS B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET. 3600000 A 128.9.0.107
;
; formerly C.PSI.NET
;
. 3600000 NS C.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12
;
; formerly TERP.UMD.EDU
;
. 3600000 NS D.ROOT-SERVERS.NET.
D.ROOT-SERVERS.NET. 3600000 A 128.8.10.90
;
; formerly NS.NASA.GOV
;
. 3600000 NS E.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET. 3600000 A 192.203.230.10
;
; formerly NS.ISC.ORG
;
. 3600000 NS F.ROOT-SERVERS.NET.
F.ROOT-SERVERS.NET. 3600000 A 192.5.5.241
;
; formerly NS.NIC.DDN.MIL
;
. 3600000 NS G.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4
;
; formerly AOS.ARL.ARMY.MIL
;
. 3600000 NS H.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET. 3600000 A 128.63.2.53
;
; formerly NIC.NORDU.NET
;
. 3600000 NS I.ROOT-SERVERS.NET.
I.ROOT-SERVERS.NET. 3600000 A 192.36.148.17
;
; operated by VeriSign, Inc.
;
. 3600000 NS J.ROOT-SERVERS.NET.
J.ROOT-SERVERS.NET. 3600000 A 192.58.128.30
;
; housed in LINX, operated by RIPE NCC
;
. 3600000 NS K.ROOT-SERVERS.NET.
K.ROOT-SERVERS.NET. 3600000 A 193.0.14.129
;
; operated by IANA
;
. 3600000 NS L.ROOT-SERVERS.NET.
L.ROOT-SERVERS.NET. 3600000 A 198.32.64.12
;
; housed in Japan, operated by WIDE
;
. 3600000 NS M.ROOT-SERVERS.NET.
M.ROOT-SERVERS.NET. 3600000 A 202.12.27.33

Revisa además que el servidor DNS pueda acceder a Internet


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Enrique wrote:

¿Y por que entonces si quito los reenviadores no resuelve ningun
dominio externo?

Enriqueç


"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

Haciendo nada :-)
En las propiedades del servidor en la consola DNS, tienes la ficha
Sugerencias de Raíz (Root Hints), esos son los servidores del
dominio "." de Internet


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Enrique wrote:

¿Como se configura el servidor externo para resolver accediendo a
los servidores del "." ?

Enrique

"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:O$

"." es el dominio "punto". El dominio raíz de Internet

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Enrique wrote:

Estoy muy confundido.

¿que es "." ?

Saludos

Enrique

"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

Para hacer la configuración que pides, como te comenté antes,
necesitas dos servidores DNS: uno de uso exclusivamente interno
(donde no tendrás las amenazas que comentas); y el externo (que
funcionará como "caching-only"

En el externo, creas solamente los registros de los servicios que
expones a Internet
Puede resolver por reenviadores o accediendo a los servidores del
"." Esto último es obligatorio si le sacas la recursividad.
Configura y prueba esto primero, y luego recién la resolución del
DNS interno

En el interno, todo lo necesario para el funcionamiento de AD. Lo
debes configurar para que comience las resoluciones desde el "."
pues si al externo le sacas la recursividad, entonces el DNS
interno es el que tiene que resolver todos los nombres. O podría
reenviar a los del ISP
Que este servidor no sea accesible desde Internet

Consejo, divide el problema :-)
Primero uno, y cuando este funciona, recién comenzar a ver el
otro

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así
nos beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Enrique wrote:

Gracias Guillermo pero ¿como se hace en la practica?
Tengo en un mismo equipo el DNS, IIS, y SMTP.
Este aquipo se apunta asi mismo como Servidor DNS.
Como estan deshabilitados los Reenviadores no se puede enviar
correo a dominios externos.

Ahora bien, en otro equipo de la red instalo otro servidor DNS
que no sirve zona alguna y si tiene activados los reenviadores.

¿Como configuro el equipo principal para que consulta a este
cuando no pueda resolver?
Colocar simplemente su IP como DNS alternativo no sirve, al
menos para el tema del correo.

Agradecido

Enrique


"Guillermo Delprato [MS-MVP]"
escribió en
el mensaje news:ec$

Un DNS "caching-only" es un servidor con el servicio DNS, al
que otros le preguntan, y este o bien Reenvía a los del ISP, o
bien comienza desde el dominio raíz. Es un servidor DNS que no
tiene ninguna zona, pero puede resolver nombres de Internet.

Si tienes un DNS interno, lo puedes configurar para que
reenvíe a los del ISP, o que reenvíe al "caching-only",
funcionará de ambas formas

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así
nos beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de
ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties,
and confers no rights. You assume all risk for your use.




Enrique wrote:

Ya, parece que es un servidor DNS que no tiene configurada
ninguna zona y al que si le habilito los reenviadores con las
IP del ISP. Al DNS autoritario de la zona le deshabilito los
reenviadores.
Me imagino que puedo montar el servidor de caching only en
otro equipo dentro de la red local tambien por supuesto con
su IP fija (interna). Pero como configuro todo este rollo
para que, lo que realmente requiero, que es poder enviar
correo a dominios fuera de la red (considerando que el mismo
equipo que tiene la autoridad de la zona, el que no tendra
habilitados los reenviadores, tiene los servicios SMTP),
consulte al DNS caching-only.

Agradecido por la ayuda

Enrique


"Enrique" <elsupergatonARROBAhotmail.com> escribió en el
mensaje news:

Gracias Guillermo:

Si lo de los dominios raiz de internet lo tengo claro, son
lapsus. Dos consultas:
Primero: ¿Es realmente importante evitar la recursividad?, he
estado mirando y el 90% de los sitios que compruebo presentan
el mismo error y muchos de ellos son de tremendas
instituciones. Segundo un "caching-only" ¿es otro W2003
configurado de una manera especial?,

Saludos y gracias

Enrique

"Guillermo Delprato [MS-MVP]"
escribió
en el mensaje news:

No son 13 zonas, son los servidores del dominio raíz (A a M)

Cuando deshabilitas la recursividad en Avanzadas, lo que
haces es deshabilitar *la propia* recursividad.
Prueba lo siguiente: marca la opción Deshabilitar
Recursión, y luego con NSLOOKUP trata de resolver un nombre
de Internet. En lugar de resolver la IP responderá sólo con
las IPs de los servidores a cargo del dominio top-level
(com, net, etc.)

Para que no resuelva otros dominios de Internet, salvo el
tuyo, para no ser usado por otros, tampoco lo podrás hacer
tú. La solución es tener dos DNSs, el externo sólo resuelve
TU dominio. Y por otro lado un interno, que podría ser un
"caching-only" que si resuelve los nombres de Internet.

Un "caching-only" es un servidor al que le preguntan, pero
no es autoridad para ninguna zona. Por lo cual siempre
resuelve por afuera, pero cachea la información

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos,
así nos beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de
ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties,
and confers no rights. You assume all risk for your use.




Enrique wrote:

Hola:

Gracias por tu respuesta.
Tiene solo las 13 zonas de la a a la m.
Sin reenviadores no resuelve ningun dominio externo
¿Alguna idea?


Enrique


"Guillermo Delprato [MS-MVP]"

escribió en el mensaje
news:%

Van juntos, porque cuando se reenvía una petición a los
Reenviadores, tu DNS hace recursividad.

Si lo deshabilitas, entonces no puedes usar Reenviadores,
pero eso no implica que tu DNS no pueda resolver los
nombres de Internet.

Revisa que hay una ficha en las propiedades del servidor
que le indican quienes son los servidores del dominio
raíz (.), por lo tanto comenzará la resolución desde ahí
No deberías tener en tu servidor una zona "."
Hago esta aclaración porque W2k tiene la costumbre de
crearla :-)

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los
grupos, así nos beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de
ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.




Enrique wrote:

Hola:

Se me indica que mantener activa la recursividad en el
servidor DNS que es autoridad para una zona es un error
grave pues queda afecto a ataques de "Cache Poisoning".
El problema es que en 2003 Server la deshabilitación de
la recursividad y el uso de Reenviadores van juntos es
decir no puedo deshabilitar uno sin deshabilitar ambos.
Yo requiero resolver dominios externos para que me
funcione el servicio SMTP.
¿Como se enfrenta esto?

Gracias por vuestra asistencia,

Enrique

Hola y gracias de nuevo.
El archivo es como sigue:



;
; Root Name Server Hints File:
;
; These entries enable the DNS server to locate the root name servers
; (the DNS servers authoritative for the root zone).
; For historical reasons this is known often referred to as the
; "Cache File"
;

@ NS a.root-servers.net.
a.root-servers.net A 198.41.0.4
@ NS b.root-servers.net.
b.root-servers.net A 192.228.79.201
@ NS c.root-servers.net.
c.root-servers.net A 192.33.4.12
@ NS d.root-servers.net.
d.root-servers.net A 128.8.10.90
@ NS e.root-servers.net.
e.root-servers.net A 192.203.230.10
@ NS f.root-servers.net.
f.root-servers.net A 192.5.5.241
@ NS g.root-servers.net.
g.root-servers.net A 192.112.36.4
@ NS h.root-servers.net.
h.root-servers.net A 128.63.2.53
@ NS i.root-servers.net.
i.root-servers.net A 192.36.148.17
@ NS j.root-servers.net.
j.root-servers.net A 192.58.128.30
@ NS k.root-servers.net.
k.root-servers.net A 193.0.14.129
@ NS l.root-servers.net.
l.root-servers.net A 198.32.64.12
@ NS m.root-servers.net.
m.root-servers.net A 202.12.27.33




Enrique

"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

Podrían ser varias razones
¿Tienes en Sugerencias de Raíz los servidores A a M? Revisa en
\Windows\System32\DNS que el archivo CACHE.DNS contenga la siguiente
información:
. 3600000 IN NS A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
;
; formerly NS1.ISI.EDU
;
. 3600000 NS B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET. 3600000 A 128.9.0.107
;
; formerly C.PSI.NET
;
. 3600000 NS C.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12
;
; formerly TERP.UMD.EDU
;
. 3600000 NS D.ROOT-SERVERS.NET.
D.ROOT-SERVERS.NET. 3600000 A 128.8.10.90
;
; formerly NS.NASA.GOV
;
. 3600000 NS E.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET. 3600000 A 192.203.230.10
;
; formerly NS.ISC.ORG
;
. 3600000 NS F.ROOT-SERVERS.NET.
F.ROOT-SERVERS.NET. 3600000 A 192.5.5.241
;
; formerly NS.NIC.DDN.MIL
;
. 3600000 NS G.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4
;
; formerly AOS.ARL.ARMY.MIL
;
. 3600000 NS H.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET. 3600000 A 128.63.2.53
;
; formerly NIC.NORDU.NET
;
. 3600000 NS I.ROOT-SERVERS.NET.
I.ROOT-SERVERS.NET. 3600000 A 192.36.148.17
;
; operated by VeriSign, Inc.
;
. 3600000 NS J.ROOT-SERVERS.NET.
J.ROOT-SERVERS.NET. 3600000 A 192.58.128.30
;
; housed in LINX, operated by RIPE NCC
;
. 3600000 NS K.ROOT-SERVERS.NET.
K.ROOT-SERVERS.NET. 3600000 A 193.0.14.129
;
; operated by IANA
;
. 3600000 NS L.ROOT-SERVERS.NET.
L.ROOT-SERVERS.NET. 3600000 A 198.32.64.12
;
; housed in Japan, operated by WIDE
;
. 3600000 NS M.ROOT-SERVERS.NET.
M.ROOT-SERVERS.NET. 3600000 A 202.12.27.33

Revisa además que el servidor DNS pueda acceder a Internet


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Enrique wrote:
> ¿Y por que entonces si quito los reenviadores no resuelve ningun
> dominio externo?
>
> Enriqueç
>
>
> "Guillermo Delprato [MS-MVP]"
> escribió en el
> mensaje news:
>> Haciendo nada :-)
>> En las propiedades del servidor en la consola DNS, tienes la ficha
>> Sugerencias de Raíz (Root Hints), esos son los servidores del
>> dominio "." de Internet
>>
>>
>> Saludos
>>
>> Guillermo Delprato
>> MVP-MCT-MCSE-MCSA-MCP
>> Buenos Aires, Argentina
>>
>> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>> beneficiamos todos.
>>
>> http://support.microsoft.com/kb/555375/en-us
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna
>> clase, y no otorga ningún derecho. Ud. asume los riesgos This
>> posting is provided "AS IS" with no warranties, and confers no
>> rights. You assume all risk for your use.
>>
>>
>>
>>
>> Enrique wrote:
>>> ¿Como se configura el servidor externo para resolver accediendo a
>>> los servidores del "." ?
>>>
>>> Enrique
>>>
>>> "Guillermo Delprato [MS-MVP]"
>>> escribió en el
>>> mensaje news:O$
>>>> "." es el dominio "punto". El dominio raíz de Internet
>>>>
>>>> Saludos
>>>>
>>>> Guillermo Delprato
>>>> MVP-MCT-MCSE-MCSA-MCP
>>>> Buenos Aires, Argentina
>>>>
>>>> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>>>> beneficiamos todos.
>>>>
>>>> http://support.microsoft.com/kb/555375/en-us
>>>>
>>>> Este mensaje se proporciona "como está" sin garantías de ninguna
>>>> clase, y no otorga ningún derecho. Ud. asume los riesgos This
>>>> posting is provided "AS IS" with no warranties, and confers no
>>>> rights. You assume all risk for your use.
>>>>
>>>>
>>>>
>>>>
>>>> Enrique wrote:
>>>>> Estoy muy confundido.
>>>>>
>>>>> ¿que es "." ?
>>>>>
>>>>> Saludos
>>>>>
>>>>> Enrique
>>>>>
>>>>> "Guillermo Delprato [MS-MVP]"
>>>>> escribió en el
>>>>> mensaje news:
>>>>>> Para hacer la configuración que pides, como te comenté antes,
>>>>>> necesitas dos servidores DNS: uno de uso exclusivamente interno
>>>>>> (donde no tendrás las amenazas que comentas); y el externo (que
>>>>>> funcionará como "caching-only"
>>>>>>
>>>>>> En el externo, creas solamente los registros de los servicios que
>>>>>> expones a Internet
>>>>>> Puede resolver por reenviadores o accediendo a los servidores del
>>>>>> "." Esto último es obligatorio si le sacas la recursividad.
>>>>>> Configura y prueba esto primero, y luego recién la resolución del
>>>>>> DNS interno
>>>>>>
>>>>>> En el interno, todo lo necesario para el funcionamiento de AD. Lo
>>>>>> debes configurar para que comience las resoluciones desde el "."
>>>>>> pues si al externo le sacas la recursividad, entonces el DNS
>>>>>> interno es el que tiene que resolver todos los nombres. O podría
>>>>>> reenviar a los del ISP
>>>>>> Que este servidor no sea accesible desde Internet
>>>>>>
>>>>>> Consejo, divide el problema :-)
>>>>>> Primero uno, y cuando este funciona, recién comenzar a ver el
>>>>>> otro
>>>>>>
>>>>>> Saludos
>>>>>>
>>>>>> Guillermo Delprato
>>>>>> MVP-MCT-MCSE-MCSA-MCP
>>>>>> Buenos Aires, Argentina
>>>>>>
>>>>>> NOTA. Por favor, las preguntas y comentarios en los grupos, así
>>>>>> nos beneficiamos todos.
>>>>>>
>>>>>> http://support.microsoft.com/kb/555375/en-us
>>>>>>
>>>>>> Este mensaje se proporciona "como está" sin garantías de ninguna
>>>>>> clase, y no otorga ningún derecho. Ud. asume los riesgos This
>>>>>> posting is provided "AS IS" with no warranties, and confers no
>>>>>> rights. You assume all risk for your use.
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> Enrique wrote:
>>>>>>> Gracias Guillermo pero ¿como se hace en la practica?
>>>>>>> Tengo en un mismo equipo el DNS, IIS, y SMTP.
>>>>>>> Este aquipo se apunta asi mismo como Servidor DNS.
>>>>>>> Como estan deshabilitados los Reenviadores no se puede enviar
>>>>>>> correo a dominios externos.
>>>>>>>
>>>>>>> Ahora bien, en otro equipo de la red instalo otro servidor DNS
>>>>>>> que no sirve zona alguna y si tiene activados los reenviadores.
>>>>>>>
>>>>>>> ¿Como configuro el equipo principal para que consulta a este
>>>>>>> cuando no pueda resolver?
>>>>>>> Colocar simplemente su IP como DNS alternativo no sirve, al
>>>>>>> menos para el tema del correo.
>>>>>>>
>>>>>>> Agradecido
>>>>>>>
>>>>>>> Enrique
>>>>>>>
>>>>>>>
>>>>>>> "Guillermo Delprato [MS-MVP]"
>>>>>>> escribió en
>>>>>>> el mensaje news:ec$
>>>>>>>> Un DNS "caching-only" es un servidor con el servicio DNS, al
>>>>>>>> que otros le preguntan, y este o bien Reenvía a los del ISP, o
>>>>>>>> bien comienza desde el dominio raíz. Es un servidor DNS que no
>>>>>>>> tiene ninguna zona, pero puede resolver nombres de Internet.
>>>>>>>>
>>>>>>>> Si tienes un DNS interno, lo puedes configurar para que
>>>>>>>> reenvíe a los del ISP, o que reenvíe al "caching-only",
>>>>>>>> funcionará de ambas formas
>>>>>>>>
>>>>>>>> Saludos
>>>>>>>>
>>>>>>>> Guillermo Delprato
>>>>>>>> MVP-MCT-MCSE-MCSA-MCP
>>>>>>>> Buenos Aires, Argentina
>>>>>>>>
>>>>>>>> NOTA. Por favor, las preguntas y comentarios en los grupos, así
>>>>>>>> nos beneficiamos todos.
>>>>>>>>
>>>>>>>> http://support.microsoft.com/kb/555375/en-us
>>>>>>>>
>>>>>>>> Este mensaje se proporciona "como está" sin garantías de
>>>>>>>> ninguna clase, y no otorga ningún derecho. Ud. asume los
>>>>>>>> riesgos This posting is provided "AS IS" with no warranties,
>>>>>>>> and confers no rights. You assume all risk for your use.
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> Enrique wrote:
>>>>>>>>> Ya, parece que es un servidor DNS que no tiene configurada
>>>>>>>>> ninguna zona y al que si le habilito los reenviadores con las
>>>>>>>>> IP del ISP. Al DNS autoritario de la zona le deshabilito los
>>>>>>>>> reenviadores.
>>>>>>>>> Me imagino que puedo montar el servidor de caching only en
>>>>>>>>> otro equipo dentro de la red local tambien por supuesto con
>>>>>>>>> su IP fija (interna). Pero como configuro todo este rollo
>>>>>>>>> para que, lo que realmente requiero, que es poder enviar
>>>>>>>>> correo a dominios fuera de la red (considerando que el mismo
>>>>>>>>> equipo que tiene la autoridad de la zona, el que no tendra
>>>>>>>>> habilitados los reenviadores, tiene los servicios SMTP),
>>>>>>>>> consulte al DNS caching-only.
>>>>>>>>>
>>>>>>>>> Agradecido por la ayuda
>>>>>>>>>
>>>>>>>>> Enrique
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> "Enrique" <elsupergatonARROBAhotmail.com> escribió en el
>>>>>>>>> mensaje news:
>>>>>>>>>> Gracias Guillermo:
>>>>>>>>>>
>>>>>>>>>> Si lo de los dominios raiz de internet lo tengo claro, son
>>>>>>>>>> lapsus. Dos consultas:
>>>>>>>>>> Primero: ¿Es realmente importante evitar la recursividad?, he
>>>>>>>>>> estado mirando y el 90% de los sitios que compruebo presentan
>>>>>>>>>> el mismo error y muchos de ellos son de tremendas
>>>>>>>>>> instituciones. Segundo un "caching-only" ¿es otro W2003
>>>>>>>>>> configurado de una manera especial?,
>>>>>>>>>>
>>>>>>>>>> Saludos y gracias
>>>>>>>>>>
>>>>>>>>>> Enrique
>>>>>>>>>>
>>>>>>>>>> "Guillermo Delprato [MS-MVP]"
>>>>>>>>>> escribió
>>>>>>>>>> en el mensaje news:
>>>>>>>>>>> No son 13 zonas, son los servidores del dominio raíz (A a M)
>>>>>>>>>>>
>>>>>>>>>>> Cuando deshabilitas la recursividad en Avanzadas, lo que
>>>>>>>>>>> haces es deshabilitar *la propia* recursividad.
>>>>>>>>>>> Prueba lo siguiente: marca la opción Deshabilitar
>>>>>>>>>>> Recursión, y luego con NSLOOKUP trata de resolver un nombre
>>>>>>>>>>> de Internet. En lugar de resolver la IP responderá sólo con
>>>>>>>>>>> las IPs de los servidores a cargo del dominio top-level
>>>>>>>>>>> (com, net, etc.)
>>>>>>>>>>>
>>>>>>>>>>> Para que no resuelva otros dominios de Internet, salvo el
>>>>>>>>>>> tuyo, para no ser usado por otros, tampoco lo podrás hacer
>>>>>>>>>>> tú. La solución es tener dos DNSs, el externo sólo resuelve
>>>>>>>>>>> TU dominio. Y por otro lado un interno, que podría ser un
>>>>>>>>>>> "caching-only" que si resuelve los nombres de Internet.
>>>>>>>>>>>
>>>>>>>>>>> Un "caching-only" es un servidor al que le preguntan, pero
>>>>>>>>>>> no es autoridad para ninguna zona. Por lo cual siempre
>>>>>>>>>>> resuelve por afuera, pero cachea la información
>>>>>>>>>>>
>>>>>>>>>>> Saludos
>>>>>>>>>>>
>>>>>>>>>>> Guillermo Delprato
>>>>>>>>>>> MVP-MCT-MCSE-MCSA-MCP
>>>>>>>>>>> Buenos Aires, Argentina
>>>>>>>>>>>
>>>>>>>>>>> NOTA. Por favor, las preguntas y comentarios en los grupos,
>>>>>>>>>>> así nos beneficiamos todos.
>>>>>>>>>>>
>>>>>>>>>>> http://support.microsoft.com/kb/555375/en-us
>>>>>>>>>>>
>>>>>>>>>>> Este mensaje se proporciona "como está" sin garantías de
>>>>>>>>>>> ninguna clase, y no otorga ningún derecho. Ud. asume los
>>>>>>>>>>> riesgos This posting is provided "AS IS" with no warranties,
>>>>>>>>>>> and confers no rights. You assume all risk for your use.
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> Enrique wrote:
>>>>>>>>>>>> Hola:
>>>>>>>>>>>>
>>>>>>>>>>>> Gracias por tu respuesta.
>>>>>>>>>>>> Tiene solo las 13 zonas de la a a la m.
>>>>>>>>>>>> Sin reenviadores no resuelve ningun dominio externo
>>>>>>>>>>>> ¿Alguna idea?
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>> Enrique
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>> "Guillermo Delprato [MS-MVP]"
>>>>>>>>>>>>
>>>>>>>>>>>> escribió en el mensaje
>>>>>>>>>>>> news:%
>>>>>>>>>>>>> Van juntos, porque cuando se reenvía una petición a los
>>>>>>>>>>>>> Reenviadores, tu DNS hace recursividad.
>>>>>>>>>>>>>
>>>>>>>>>>>>> Si lo deshabilitas, entonces no puedes usar Reenviadores,
>>>>>>>>>>>>> pero eso no implica que tu DNS no pueda resolver los
>>>>>>>>>>>>> nombres de Internet.
>>>>>>>>>>>>>
>>>>>>>>>>>>> Revisa que hay una ficha en las propiedades del servidor
>>>>>>>>>>>>> que le indican quienes son los servidores del dominio
>>>>>>>>>>>>> raíz (.), por lo tanto comenzará la resolución desde ahí
>>>>>>>>>>>>> No deberías tener en tu servidor una zona "."
>>>>>>>>>>>>> Hago esta aclaración porque W2k tiene la costumbre de
>>>>>>>>>>>>> crearla :-)
>>>>>>>>>>>>>
>>>>>>>>>>>>> Saludos
>>>>>>>>>>>>>
>>>>>>>>>>>>> Guillermo Delprato
>>>>>>>>>>>>> MVP-MCT-MCSE-MCSA-MCP
>>>>>>>>>>>>> Buenos Aires, Argentina
>>>>>>>>>>>>>
>>>>>>>>>>>>> NOTA. Por favor, las preguntas y comentarios en los
>>>>>>>>>>>>> grupos, así nos beneficiamos todos.
>>>>>>>>>>>>>
>>>>>>>>>>>>> http://support.microsoft.com/kb/555375/en-us
>>>>>>>>>>>>>
>>>>>>>>>>>>> Este mensaje se proporciona "como está" sin garantías de
>>>>>>>>>>>>> ninguna clase,
>>>>>>>>>>>>> y no otorga ningún derecho. Ud. asume los riesgos This
>>>>>>>>>>>>> posting is provided "AS IS" with no warranties, and
>>>>>>>>>>>>> confers no rights. You assume all risk for your use.
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>> Enrique wrote:
>>>>>>>>>>>>>> Hola:
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Se me indica que mantener activa la recursividad en el
>>>>>>>>>>>>>> servidor DNS que es autoridad para una zona es un error
>>>>>>>>>>>>>> grave pues queda afecto a ataques de "Cache Poisoning".
>>>>>>>>>>>>>> El problema es que en 2003 Server la deshabilitación de
>>>>>>>>>>>>>> la recursividad y el uso de Reenviadores van juntos es
>>>>>>>>>>>>>> decir no puedo deshabilitar uno sin deshabilitar ambos.
>>>>>>>>>>>>>> Yo requiero resolver dominios externos para que me
>>>>>>>>>>>>>> funcione el servicio SMTP.
>>>>>>>>>>>>>> ¿Como se enfrenta esto?
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Gracias por vuestra asistencia,
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Enrique