Recursividad/Reenviadores II

:-)

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Enrique wrote:

Gracias y que el trabajo sea hoy productivo.

Enrique

"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

Para enviar correo el servidor debe poder resolver dominios de
Internet

Para resolver por sí mismo debe poder:
- Reenviar a los del ISP
- Comenzar a resolver desde el dominio "."
En ambos casos debe tener habilitada la recursividad

Si necesitas evitar que sea usado desde afuera (terceros), y tiene
dos placas de red, podrías hacer que el DNS "eschuche" sólo en la
interfaz interna

Y ahora ya salgo a trabajar, así que hasta mañana :-)

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Enrique wrote:

Agradezco la voluntad y la constancia tratando de ayudarme.
Lamentablementre , en algun momento. se desvirtuó el sentido de la
consulta, seguramente debido a los alrgos períodos entre cada
pregunta/respuesta.
Mi consulta original del 20-01-05 era, en otras palabras:
¿Estando deshabilitados los reenviadores, ¿se puede enviar correo a
dominios externos? de no ser asi cual seria una posible solución.

Aqui esta el mensaje original:

..

Hola:

Se me indica que mantener activa la recursividad en el servidor DNS
que es autoridad para una zona es un error grave pues queda afecto a
ataques de "Cache Poisoning".
El problema es que en 2003 Server la deshabilitación de la
recursividad y el uso de Reenviadores van juntos es decir no puedo
deshabilitar uno sin deshabilitar ambos.
Yo requiero resolver dominios externos para que me funcione el
servicio SMTP.
¿Como se enfrenta esto?

Gracias por vuestra asistencia,

Enrique

..

Parece que lo que puedo hacer es lo que he descubierto en estos
dias fruto de las pruebas: Definir como DNS preferido en mis
propiedades TCP/IP el del ISP.

Agradeciendo nuevamente,

Enrique



"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

Anoto abajo

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume all risk for your use.




Enrique wrote:

Hola:

Si entiendo ese esquema para una red con AD y clientes internos:
1 Servidor DNS -externo-
-autoridad en las zonas que sirve
-deshabilitada la recursividad/reenviadores

1 Servidor DNS -interno- (es el DNS preferido de los cliente
internos de la red)
-sin zonas definidas
-reenviadores (los del ISP)

[Guillermo] El DNS interno es parte del dominio, generalmente
estamos hablando del Controlador de Dominio, así que SI DEBE tener
zonas definidas: la del dominio AD
Sinó los clientes no encontrarán al dominio

Me quedan las siguientes dudas para ese esquema:
1.-
¿DND preferido del servidor -externo-?

[Guillermo] A sí mismo, o si quieres que resulelva Internet a los
del ISP, y si necesitas que resuelva el dominio AD (no creo) al DNS
interno

¿DSN preferido del servidor -interno-?

[Guillermo] A sí mismo únicamente

Me refiero a cual seria la configuración de las propiedades TCP/IP
de cada servidor
2.-
El SMTP ¿en cual de los dos se instala?

[Guillermo] El servicio SMTP lo instalas donde lo necesites, no
tiene que ver con resolución de nombres

Ahora volviendo a mi tema específico.
-No tengo AD

[Guillermo] ¿Y ahora me lo dices????

-El mismo equipo es DNS, IIS, SMTP

[Guillermo] Yo me preocuparía mucho más por los otros servicios que
por el DNS

-Como no resuelve dominios -externos- no puedo enviar correo a
esos dominios

La solución "bruta" es asignarle como DNS preferido en sus
propiedades TCP/IP la del ISP
Lo corrsco 'pienso' seria como tu dices resolver utilizando los
"." pero ¿como logro eso? ya que estan definidos en las
sugerencias Raiz pero no resuelve.

[Guillermo] Si vas a "." DEBES utilizar recursividad
Que reenvíe al los del ISP no lo considero una solución "bruta" :-)

He resumido de nuevo el problema para que te acuerdes.
Quizas podrías intercalar tus respuestas entre mis preguntas y asi
me sería de gran ayuda.


Gracias

Enrique





"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

Tuve que trabajar ayer viernes :-))) por eso demoré :-)))

De acuerdo, ya voy reordenando mis ideas y recordando cómo viene
la consulta

El tema era deshabilitar la recursión porque eso podría poner un
problema de seguridad en el servidor, en el sentido que lo
utilicen *externamente* y sus consecuencias.
El server *interno* al que apuntan los clientes de AD, no está
sujeto a ese tipo de ataques, por lo que no necesitas
deshabilitar la recursividad.

Si a un DNS no le permites usar recursividad, entonces resuelve
sólo los registros de *sus* propias zonas; y no puede resolver
nombres de Internet ¿si?
Por lo tanto si los clientes de AD apuntan sólo a este DNS, y
deben resolver Internet, entonces este DNS debe usar
recursividad. Puede usar Forwarding o ir a los servidores del
".". Generalmente es más rápido usar reenvío a los del ISP.

El peligro es en el servidor DNS *externo* que expones en
Internet, para que no sea usado recursivamente. Entonces sólo a
éste le deshabilitas la recursividad; y por lo tanto responderá
sólo por sus propias zonas.

Creo que ahora está más claro ¿si?

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así
nos beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume all risk for your use.




Enrique wrote:

Hola:
Esperé ansiosamente todo el dia a ver si me respondias para ver
si puedo aclarar esto.

Respecto a tu respuesta, te agradezco el tiempo y te recuerdo
que precisamente se trataba de no activar los reenviadores,
tengo desactivada la recursividad (y por tanto los
reenviadores). Si los activo resuelve correctamente pero se me
advirte el problema de seguridad que antes te comente y donde
comenzamos el dialogo.

Enrique


"Guillermo Delprato [MS-MVP]"
escribió en
el mensaje news:

Bien, hay conectividad con Internet, y el protocolo no está
filtrado. Entonces el problema está en el DNS, por lo menos lo
vamos acotando :-)))

En el DNS, en la ficha Reenviadores (forwarders) ponle que
reenvíe a la ip del DNS del ISP y no te olvides del botón
Agregar (Add) y botón Aplicar. Luego en la ficha Supervisión,
prueba una consulta sencilla y una recursiva, a ver si
funcionan ambas

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así
nos beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de
ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting
is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




Enrique wrote:

Todo ok
A cualquier dirección valida responde con la IP y en algunos
casos además con el Nombre y el Alias

Enrique



"Guillermo Delprato [MS-MVP]"
escribió
en el mensaje news:

Bien, entonces al segundo paso
Prueba lo siguiente:
NSLOOKUP
server "Dir_IP_DNS_ISP"

La primera línea para entrar al NSLOOKUP
La segunda para apuntar (preguntarle) a un servidor DNS
específico Ahora prueba alguna consulta a ver si funciona,
por ejemplo: www.microsoft.com
Te debería devolver las direcciones IP de los servidores del
sitio

Estoy tratando de ver si no tienes filtrado el protocolo
(UDP53)

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos,
así nos beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de
ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties,
and confers no rights. You assume all risk for your use.




Enrique wrote:

Con las disculpas correspondientes inicio este nuevo hilo ya
que otro quedo muy largo y muy abajo.


Guillermo:

Si, el ping lo realiza correctamente.


Enrique


"Guillermo Delprato [MS-MVP]"
escribió
en el mensaje news:

Es lógico que no navegue si no puede resolver nombres.
Salvo que averigües la dirección IP de destino, y luego
utilices http://IpDelServidor

Primero veamos si el servidor puede salir hacia Internet:
Prueba desde línea de comando:
PING 198.41.0.4
Deberías recibir respuesta. Con esto confirmamos que puedes
llegar a Internet ¿me confirmas esto?

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina