Pinceladas de DNS en AD (La zona msdcs)

En este post mi intencin es aportar algo de informacin sobre la integracin entre DNS y AD, comentar algo sobre los tipos de registros que existen, las zonas, sobre todo una en concreto (msdcs) y me gustara incluir algo de Troubleshooting. Sobre DNS y AD se podran escribir muchas pginas pero como siempre intentar ser escueto, ir al grano y dar todos los datos que pueda sin aburrir. Bien, en primer lugar retrocedamos un poco en la historia, cuando hablamos de Sistemas Operativos de Red, todos recordamos de forma algo gris NT, Windows NT utilizaba como mecanismo de comunicacin principal de Red NetBIOS. Esto significa que antiguamente tenamos la necesidad de instalar un servidor WINS para nuestros dominios, los administradores de Red necesitaban mantener dos bases de datos de consultas, DNS para resolucin de nombres y WINS para resolucin de nombres NetBIOS. Con la aparicin de Windows Server 2000 y Active Directory esto ya no es necesario y solo necesitamos mantener nuestros servidores WINS por compatibilidad con aplicaciones antiguas y no por su necesidad en Active Director ()y. DNS es un protocolo de capa de aplicacin de la pila de protocolos de TCP/IP y de la misma capa dentro del modelo OSI, trabaja por el puerto 53 tanto en TCP como en UDP y Active Directory se apoya en l. Inicialmente se publicaron las RFCs 882 y 883 que quedaron obsoletas con la publicacin a partir de 1987 de las RFCs 1034, 1035, 1912, 1995, 1996 y 2181 recientemente, en ellas podis encontrar toda la informacin del protocolo. DNS se compone de ZONAS, las ZONAS son porciones del espacio de nombres de dominio que almacenan los datos. Cada zona de autoridad abarca al menos un dominio y posiblemente sus subdominios, si estos ltimos no son delegados a otras zonas de autoridad. Las zonas contienen los registros que es la unidad de informacin de DNS, en la siguiente tabla podemos ver los tipos de registros que hay.

Tipo de Registro A AAAA PTR CNAME MX NS SOA SRV

Nombre Address Address Pointer Alias Mail Exchanger Name Server Start of Authority Service

Descripcin Mapea un hostname a una IPv4 Mapea un hostname a una IPv6 Mapea una IPv4 a un hostname Mapea un Alias a un hostname Especifica una ruta de correo para un dominio Especifica un nombre de servidor para un dominio dado Contiene datos administrativos sobre una zona incluido el nombre de servidor primario. Mapea un servicio a varios hostnames

Los clientes siguen un proceso sencillo para localizar un controlador de dominio utilizando consultas DNS, en la KB247811 y KB314861 de Microsoft podemos ver como un cliente localiza un controlador de dominio. Durante esta bsqueda, el cliente realizar varias consultas al DNS para localizar cualquier DC del dominio o bien un DC perteneciente a su site, dependiendo si el cliente ha logado en alguna ocasin o no, se seguir un orden en la bsqueda. Para ello el cliente utilizar registros de tipo SRV como los que vemos a continuacin: _ldap._tcp.<DnsDomainName> _ldap._tcp.dc._msdcs.<DnsDomainName> _ldap._tcp.<SiteName>._sites.<DnsDomainName>

NOTA: Para aquellos que no estis familiarizados <DnsDomainName> es la zona con el nombre de vuestro dominio. Bien, algunos de estos registros se encuentran en la zona msdcs, esta es una zona importantsima para muchas tareas de Active Directory, el primer ejemplo lo podis ver en las KBs mencionadas, pero cuando un servidor de Exchange quiere localizar un Catlogo Global utiliza la zona msdcs, cuando un controlador de dominio quiere replicar contra otro usa la zona msdcs y para mltiples tareas ms. Esta es una zona bastante crtica que casi nadie conoce. En Windows 2000 Server, msdcs estaba alojada dentro de la zona <DnsDomainName>, en Windows Server 2003, msdcs es una zona independiente de la zona <DnsDomainName> pero est delegada en todos los controladores de dominio, por eso aparece en gris en la siguiente imagen:

Otro punto importante del servicio es el DDNS (Dynamic DNS), est definido en la RFC 2136 y permite a los clientes aadir o eliminar registros en las zonas. Cuando un DC se agrega al dominio o arranca el servicio Netlogon se registra contra su DNS aadiendo una entrada con su nombre y su IP (host A), los controladores de dominio adems de crear su registro A, tambin aaden los siguientes registros que tienen las funciones que detallo a continuacin:

_ldap._tcp.<DnsDomainName>, permite a los clientes localizar un servidor que corra ldap en su dominio.

_ldap._tcp.<SiteName>._sites.<DnsDomainName>, permite a los clientes localizar un servidor que corra ldap en un site de un dominio especifico.

_ldap._tcp.dc._msdcs.<DnsDomainName>, permite al cliente localizar un DC en un dominio. _ldap._tcp.<SiteName>._sites.dc._msdcs.<DnsDomainName> , permite al cliente localizar un DC en un site de un dominio especifico.

_ldap._tcp.pdc._msdcs.<DnsDomainName>, permite al cliente localizar el PDC emulator, este registro solo lo grabara el DC con dicho rol.

_ldap._tcp.gc._msdcs.<DnsDomainName>, permite al cliente localizar un Catlogo Global de su dominio, este registro slo lo grabar el DC con dicho rol.

_ldap._tcp.<SiteName>._sites.gc._msdcs.<DnsDomainName> , permite al cliente localizar un Catlogo Global de un site especifico de su dominio, este registro slo lo grabar el DC con dicho rol.

gc._tcp.<DnsDomainName>, permite al cliente localizar un Catlogo Global para este forest, este registro slo lo grabar el DC con dicho rol.

D1539E64-58F8-4C7F-A97B-1582D0D5B348._msdcs.<DnsDomainName>, este registro es el GUID del DC y lo utilizarn otros DCs para la replicacin.

Este ltimo registro es un ALIAS y es de vital importancia para la replicacin, veremos qu es lo que ocurre cuando este registro no est. En primer lugar encontraremos informacin sobre este tipo de registro en la consola de Sitios y Servicios de Active Directory, usando el botn derecho contra NTDS Settings de cada controlador de dominio como vemos en la siguientes imgenes:

En las siguientes imgenes se puede comprobar que si usamos un ping contra el registro, este es resuelto y el controlador de dominio responde a la prueba de conectividad, tambin podemos ver que este tipo de registros para todos los controladores de dominio estn almacenados en la zona msdcs.

Bien, una vez que tenemos claro que son estos registros y donde estn, supongamos que realizando una serie de tareas rutinarias en nuestro Active Directory, forzamos la replicacin entre dos DCs despus de hacer unos cambios y nos aparece el siguiente mensaje en pantalla.

Este no es un error muy comn ya que tienen que unirse una serie de factores, pero si es uno de los errores que ms quebraderos de cabeza os pueden dar ya que hay veces que el propio mensaje de advertencia nos puede confundir y hacernos creer que existe un error en el servidor DNS. Puesto que sospechamos que existe un problema DNS y este error nos ha cantado al forzar una replicacin, ejecutaremos el comando dnslint con el argumento /ad que permite realizar el test sobre Active Directory, el comando a ejecutar sera el siguiente: dnslint.exe /ad 100.1.0.254 /s 10.1.0.253 /v Este comando nos emite un reporte en html que entre otras cosas mostrar la siguiente informacin: Alias (CNAME) and glue (A) records for forest GUIDs from server: Total number of CNAME records found on this server: 0 Total number of CNAME records missing on this server: 3 Total number of glue (A) records this server could not find: 0 CNAME records for forest GUIDs missing on server: GUID: d1539e64-58f8-4c7f-a97b-1582d0d5b348._msdcs.contoso.com DC: ROOTDC GUID: e3415b00-f56f-405e-b851-ebfb00554a1a._msdcs.contoso.com DC: CORPDC01 GUID: ed44cd9d-58c1-4300-8cb5-44acc61de1b9._msdcs.contoso.com DC: CORPDC02 Este mensaje nos informa que este servidor tiene algn problema con los CNAME en la zona _msdcs.contoso.com por lo que vamos a comprobar esta zona y vemos lo siguiente:

Este forest est compuesto por dos dominios, contoso.com y su subdominio corp.contoso.com, si os fijis en la imagen anterior hay tres registros de tipo NS y slo dos de tipo CNAME, Falta el CNAME del servidor corpdc01!. Parece que hemos encontrado la solucin por lo que vamos a reiniciar el servicio NetLogon del DC para que este vuelva a registrar el CNAME. Una vez reiniciado el servicio comprobamos que nada ha cambiado por lo que vamos a extraer informacin de la zona con el comando dnscmd.exe /zoneinfo _msdcs.contoso.com, con este comando vemos lo siguiente:

Si repasamos todos los datos hay uno en especial que llama la atencin, las zonas de DNS tienen tres opciones para las actualizaciones, 0-None, 1-Nonsecure and Secure y 2-Secure. En la imagen anterior la opcin de update est en cero por lo cual eso significa que la zona no permite actualizaciones, este es el motivo por el cual el servidor no ha actualizado su registro CNAME. Cambiamos la opcin como se puede ver en la siguiente imagen, reiniciamos el servicio NetLogon y comprobamos de nuevo la zona _msdcs.contoso.com y que el DC actualiz la informacin:

Como podemos comprobar en la imagen anterior el DC corpdc01 ya tiene su CNAME en la zona _msdcs.contoso.com y ya no existir ningn tipo de problema a la hora de replicar contra el resto de controladores de dominio. Podra extenderme muchsimo ms hablando de DNS y su integracin con AD, mi intencin con este post es dar un poco de luz a la zona _msdcs ya que esta es una zona poco conocida por los administradores. Como podis comprobar su importancia es alta ya que son muchas las tareas para las cuales Active Directory necesita consultar esta zona