Serie "Básicos"
Este sitio Web está dedicado a la arquitectura informática y por lo tanto sus artículos son de nivel medio/alto, pero debido a mi colaboración en foros como la TechNet es común que me encuentre con algunas dudas "básicas".
La serie básicos pretende ayudar a los administradores noveles a solucionar situaciones que aunque sencillas pueden representar un problema para ellos.
Introducción
A la hora de decidir cual será el nombre DNS del primer dominio y por lo tanto del bosque que creamos, hay que tomar una elección:
1) Llamar al dominio del directorio activo igual que nuestro dominio externo.
2) Usar un nombre de domino diferente para nuestro directorio activo.
Todas las buenas prácticas apuntan a que es mejor usar la 2ª opción si por ejemplo nuestro dominio externo es Empresa.Com usaremos algo como Empresa.Local para nuestro dominio interno.
En este articulo "básico" analizaremos los problemas más comunes que se encuentra un administrador novel al enfrentarse a cualquiera de las dos decisiones.
Dominio Externo igual que dominio Interno.
En este caso el problema más frecuente es que si por ejemplo se tiene una web publica del tipo http://www.empresa.com/ los usuarios internos de la red no pueden navegar por ella.
La razón es que los puestos tienen configurado como DNS al controlador de dominio que considera la zona empresa.com como local y además se cree completamente autoritativo para ese dominio, por lo cual cuando no sabe resolver algo en esa zona considera que es por que no existe.
Este mismo problema con la web se puede extrapolar a cualquier tipo de servicio como servidores de correo, etc.
Solucionarlo pasa por conseguir que los servidores DNS internos sean capaces de resolver esos recursos públicos.
Conseguir esto es tan sencillo como crear los registros adecuados en la zona DNS empresa.com de nuestros DNS.
Figura, 1. Creando un registro DNS para http://www.empresa.com/ (1)
Figura, 2. Creando un registro DNS para http://www.empresa.com/ (2)
Si usas un servidor Proxy para salir a Internet, tendrás que configurar los navegadores para que soliciten al proxy las direcciones locales y el proxy para que sea capaz de prestar esas páginas web.
Lo segundo depende del tipo de proxy que uses pero lo primero se configura en Internet Explorer.
Figura, 3. Configurando Internet Explorer para que no se salte el proxy en las direcciones locales.
La casilla de no usar proxy para direcciones locales tiene que estar desmarcada.
Domino Interno diferente del dominio Externo.
En este caso, los problemas son:
1)- Al montar exchange este no permite que entren los correos dirigidos al dominio externo Empresa.Com.
2)- Dudas a la hora de publicar servicios o pedir certificados.
Lo primero que tienes que pensar es que este escenario es el mas comun, ademas piensa tambien en la cantidad de proveedores de servicios que prestan servicios de correo electronico a cientos de empresas diferentes o en los grupos de empresas que tienen muchos dominios DNS.
Para conseguir que Exchange acepte el correo electronico del dominio Empresa.Com, lo primero que te tienes que asegurar es que tienes los registros MX creados dentro de la zona publica de tu servidor DNS publico y que apuntan a las IPs publicas en las cuales tengas publicado el puerto 25 de tu servidor exchange.
Una vez que tengas comprobado esto y que desde internet se puede acceder al puerto 25 de tu servidor Exchange en la IP publica de tus MX, ya puedes configurar Exchange para que acepte los correos del dominio Empresa.com y asigne a los usurios una dirección SMTP del domino Empresa.Local.
Para hacer esto es necesario que crees una politica de recipientes desde la consola de Exchange "system manager"
Figura, 4. Creando una política de recipientes en Exchange (1).
Figura, 5. Creando una política de recipientes en Exchange (2)
Figura, 6. Creando una política de recipientes en Exchange (3)
Figura, 7. Creando una política de recipientes en Exchange (4)
En address pondremos nuestro dominio externo en nuestro caso Empresa.Com precedido de una @.
Es importante marcar la casilla "Esta organización de Exchange es la responsable de todo el correo de esta dirección"
Figura, 8. Creando una política de recipientes en Exchange (5)
La dirección que marquemos como primaria será la que se use para responder los correos.
En la mayoría de los casos recomiendo dejar la dirección smtp de @Empresa.local, pero es opcional.
Después de guardar los cambios y esperar un poco, la RUS que es el servicio encargado de asignar las direcciones de correo según lo indicado en las políticas de recipientes se encargara de asignar una dirección con el domino que hayamos indicado.
Respecto a las dudas relativas a la publicación de servicios en internet, tienes que tener en cuenta.
Siempre que publiques algo lo harás sobre una IP Publica y configuraras el DNS público para que resuelva el nombre que quieras en dicha IP.
Una vez que publiques en tu firewall el recurso que quieras en esa IP, los usuarios externos lo encontraran sin problemas sea cual sea el dominio interno.
Si algún recurso publicado exige validación, hay que validarse indicando el nombre del dominio interno.
A la hora de pedir certificados hay que pedirlos con el nombre del dominio externo.
Si publicas algo en ISA especifica el nombre que tendrá el recurso en internet con el dominio externo.
Si los DNS externos será también tuyos en vez de un proveedor de servicios internet tendrás que crear un split DNS, este articulo te ayudara: http://www.isaserver.org/tutorials/You_Need_to_Create_a_Split_DNS.html
Si tienes que publicar varios sitios web sobre una sola ip publica tendrás que usar encabezamientos para que el IIS sepa a que sitio web quiere ir un usuario según el nombre del sitio.
Esto se puede hacer durante la creación del sitio web:
Figura, 9. Configurando un nuevo sitio web para que pueda funcionar en la misma IP que otros (1).
Figura, 10. Configurando un nuevo sitio web para que pueda funcionar en la misma IP que otros (2).
Figura, 11. Configurando un nuevo sitio web para que pueda funcionar en la misma IP que otros (3).
El resto de la configuración será normal.
Si por el contrario queremos modificar un sitio ya existente, lo haremos modificando las propiedades del sitio:
Figura, 12. Modificando un sitio web para que pueda funcionar en la misma IP que otros (1).
Figura, 13. Modificando un sitio web para que pueda funcionar en la misma IP que otros (2).
Referencias:
Para tener mas información sobre como funciona el DNS dentro de una empresa puedes leer el articulohttp://geeks.ms/blogs/dmatey/archive/2007/01/16/basicos-configuraci-n-de-dns.aspx
Para información sobre por que es mejor usar diferentes nombres y una visión mas general del DNS:http://www.microsoft.com/latam/technet/articulos/200110/art03/default.asp
No hay comentarios:
Publicar un comentario