Luego de haber visto en la Parte 1 y Parte 2, el funcionamiento básico del servicio DNS, vamos a ver ahora, algo muy interesante como es la integración de DNS en (dentro de) Directorio Activo – Active Directory.
Una de los grandes cambios que comenzó Windows Server 2000 y que fue mejorado cada vez más con las nuevas versiones Windows 2003, Windows 2008 y Windows 2008-R2, es la posibilidad de integrar la zona en el Directorio Activo – Active Directory, vamos a ver algunas de las ventajas principales.
Lo primero que debemos considerar es que el servicio DNS es fundamental para el funcionamiento de Active Directory, es uno de los requerimientos para su funcionamiento por los siguientes usos:
- Los clientes buscan a los Controladores de Dominio a través de DNS
Esto es fundamental para que tanto los equipos como los usuarios puedan autenticarse en el Dominio - Los Controladores de Dominio se encuentran entre sí a través del servicio DNS.
Esto permite la replicación del Directorio Activo entre ellos - Los Controladores de Dominio encuentran a los que tienen la funcionalidad de Catálogo Global usando el servicio DNS
Inclusive un Controlador de Dominio lo pregunta al DNS aunque él mismo sea Catálogo Global
Si hay un problema de configuración del servicio DNS los problemas que se pueden presentar son múltiples y muchos graves.
Para nombrar sólo algunos ejemplos:
- Un cliente que demora en arrancar 15 minutos o más
- Un Controlador de Dominio que demora en arrancar casi una hora
- Problemas de autenticación de usuarios
- Problemas de replicación entre Controladores de Dominio
- Y muchos más. Hasta he visto una ocasión donde los usuarios no podían cerrar sesión, la finalizaba el "timeout" interno de 10 minutos
Primero una aclaración básica, para poder integrar DNS en Active Directory el servicio debe estar instalado en un Controlador de Dominio, y a partir de eso obtendremos las siguientes ventajas:
Tolerancia a Fallas
Ya que todos los Controladores de Dominio pueden escribir en la base de Active Directory, cualquier Controlador de Dominio que tenga el servicio DNS funciona como si tuviera la zona primaria, esto es, acepta cambios.
Seguridad en la Transferencia de Zonas
La replicación de la información de las Zonas, se hace como parte de la replicación de Active Directory. Esto hace que la misma se haga en forma cifrada y protegida.
Seguridad en las Actualizaciones Dinámicas
En cada Zona integrada, e inclusive en cada registración hay una lista de control de acceso (ACL, similar a los permisos sobre archivos) que indica quién puede registrarse o modificar registros. Por omisión sólo los equipos miembros del Dominio. O inclusive puede usarse para delegación de la administración de la Zona en otros usuarios o grupos.
Aprovechamiento de enlaces WAN
Como la información de la Zona se replica como parte de Active Directory, si en el mismo hemos configurados Sitios (Sites), Subredes (Subnets) y Enlaces (Link), se replicará en forma compactada y de acuerdo a la programación que tengamos entre Sitios (Sites)
Configuración de Zonas
Además, si hemos dejado que la promoción (DCPROMO.EXE) haya instalado y configurado el servicio DNS, o bien lo podríamos también hacerlo manualmente, se crean dos Zonas con diferente ámbito de replicación.
Esto se logra mediante la utilización de "Application Partitions".
Si por ejemplo supongamos que nuestro Dominio Active Directory se llama "Dominio.sufijo", entonces se crearán dos Zonas.
Una se llamará "Dominio.sufijo" y se replicará a todos los Controladores de Dominio del propio Dominio que tengan el servicio DNS instalado.
La otra se llamará "_msdcs.dominio.sufijo" y se replicará a todos los Controladores de Dominio del Bosque (Forest) que tengan el servicio DNS instalado.
Es muy importante que la zona "_msdcs.dominio.sufijo" sea accesible a todos los Controladores de Domino de nuestro Bosque, ya que esta Zona del Dominio Raíz es la única que contiene los registros (SRV) de los Catálogo Global.
No hay comentarios:
Publicar un comentario