Flashcards: 302.2 - Resolucion De Nombres Ad
37 tarjetas de repaso. Usa el sistema de repeticion espaciada para memorizar.
P: ¿Qué tipo de registro DNS utilizan los clientes de Active Directory para localizar los controladores de dominio?
R: c) Registros SRV. Los registros SRV (Service) son el mecanismo fundamental por el cual los clientes de AD localizan servicios como LDAP (_ldap._tcp.dominio.com) y Kerberos (_kerberos._tcp.dominio.com). Estos registros incluyen el puerto, prioridad, peso y el nombre del host que proporciona el servicio.
P: ¿Qué registro SRV deben consultar los clientes para localizar el servicio LDAP del dominio?
R: b) _ldap._tcp.dominio.com. El registro _ldap._tcp.dominio.com de tipo SRV indica a los clientes dónde encontrar los servicios LDAP del dominio (puerto 389). Para localizar específicamente los DCs, se consulta _ldap._tcp.dc._msdcs.dominio.com. El servicio Kerberos se localiza con _kerberos._tcp.dominio.com.
P: ¿Qué comando añade un registro A para el host “servidor” con IP 192.168.1.50 en el DNS de Samba?
R: b) samba-tool dns add localhost empresa.com servidor A 192.168.1.50 -U administrator. La sintaxis de samba-tool dns add requiere: el servidor DNS (localhost), la zona (empresa.com), el nombre del registro (servidor), el tipo (A) y el dato (IP). Se necesita autenticación con -U administrator o un ticket Kerberos válido.
P: ¿Qué archivo debe configurarse para que BIND9 cargue las zonas AD de Samba mediante DLZ?
R: b) /etc/bind/named.conf.local. Para integrar BIND9 con Samba AD vía DLZ, se debe agregar la directiva dlz "AD DNS Zone" { database "dlopen /path/to/dlz_bind9_12.so"; }; en el archivo de configuración de BIND, típicamente /etc/bind/named.conf.local. También se debe configurar el keytab en named.conf.options.
P: ¿Qué herramienta permite realizar actualizaciones dinámicas de DNS usando autenticación Kerberos?
R: b) nsupdate -g. nsupdate -g utiliza autenticación GSS-TSIG (Kerberos) para realizar actualizaciones dinámicas de DNS. Requiere un ticket Kerberos válido (obtenido con kinit). samba-tool dns add/update/delete también puede modificar registros pero con su propia autenticación.
P: ¿Qué comando crea una zona inversa para la red 192.168.1.0/24 en el DNS de Samba?
R: c) samba-tool dns zonecreate localhost 1.168.192.in-addr.arpa -U administrator. Las zonas inversas en DNS siguen la convención de invertir los octetos de la dirección IP seguido de .in-addr.arpa. Para la red 192.168.1.0/24, el nombre de la zona es 1.168.192.in-addr.arpa. Se crea con samba-tool dns zonecreate.
P: ¿Cuál es la función del parámetro dns forwarder en smb.conf?
R: b) Reenviar consultas DNS que no pueden resolverse localmente a otro servidor. dns forwarder define un servidor DNS externo al que Samba reenviará las consultas que no puede resolver con sus zonas locales (por ejemplo, nombres de Internet). Es equivalente a la directiva forwarders de BIND9. Ejemplo: dns forwarder = 8.8.8.8.
P: ¿Qué script de Samba actualiza automáticamente los registros SRV y otros registros necesarios para AD?
R: b) samba_dnsupdate. samba_dnsupdate es un script que verifica y actualiza los registros DNS necesarios para el correcto funcionamiento de Active Directory (registros SRV para LDAP, Kerberos, GC, etc.). Se puede ejecutar manualmente con --verbose para ver qué registros se actualizan. Samba lo ejecuta automáticamente de forma periódica.
P: ¿Cuál es la ventaja principal de usar BIND9_DLZ frente al DNS interno de Samba?
R: c) Ofrece funcionalidades avanzadas como vistas, ACLs y zonas adicionales. BIND9 con DLZ proporciona todas las funcionalidades avanzadas de BIND: vistas (split-horizon DNS), ACLs de consulta, TSIG, zonas maestras/esclavas adicionales no relacionadas con AD, logging detallado y mayor madurez del código. El DNS interno de Samba es más simple de configurar pero tiene menos funcionalidades.
P: Un cliente no puede unirse al dominio AD y los logs muestran errores de resolución DNS. ¿Qué se debe verificar primero?
R: b) Que el cliente apunte al DC como servidor DNS y que los registros SRV existan. Para unirse a un dominio AD, el cliente debe poder resolver los registros SRV del dominio. Esto requiere que el cliente use el DC (o un servidor DNS que conozca las zonas AD) como su servidor DNS (/etc/resolv.conf debe apuntar al DC). Se debe verificar con dig _ldap._tcp.dominio.com SRV que los registros existen.
P: ¿Qué registro SRV se utiliza para localizar el servicio de Catálogo Global en un dominio Active Directory?
R: b) _ldap._tcp.gc._msdcs.dominio.com. El registro SRV _ldap._tcp.gc._msdcs.dominio.com localiza los servidores de Catálogo Global (GC) del dominio. El GC escucha en el puerto 3268 y contiene una copia parcial de todos los objetos del bosque. Los registros bajo _msdcs son específicos de Microsoft y contienen los registros de servicio críticos para dc, gc, pdc y domains.
P: ¿Cuál es el formato correcto de un registro SRV en DNS?
R: b) _servicio._protocolo.dominio TTL IN SRV prioridad peso puerto host. El formato completo de un registro SRV incluye: el nombre del servicio y protocolo con prefijo de guion bajo (por ejemplo _ldap._tcp.empresa.com), el TTL, la clase IN, el tipo SRV, y los datos que contienen prioridad (menor = preferido), peso (para balanceo entre misma prioridad), puerto del servicio y nombre del host que lo proporciona.
P: ¿Qué subzona de _msdcs contiene los registros para localizar el PDC Emulator del dominio?
R: b) _ldap._tcp.pdc._msdcs.dominio.com. El registro _ldap._tcp.pdc._msdcs.dominio.com permite a los clientes localizar específicamente el PDC Emulator del dominio. Los registros bajo _msdcs organizan los DCs por función: dc para todos los controladores de dominio, gc para Catálogo Global, pdc para el PDC Emulator y domains para GUIDs de dominios.
P: ¿Qué diferencia hay entre forward first y forward only en la configuración de BIND9 con Samba?
R: b) forward first intenta el reenviador primero y luego resuelve recursivamente; forward only solo usa reenviadores. En la configuración de BIND9, forward first intenta resolver primero mediante los reenviadores configurados y, si fallan, realiza resolución recursiva por su cuenta. forward only limita la resolución exclusivamente a los reenviadores; si estos no responden, la consulta falla. En entornos AD, forward first es generalmente preferible para mayor resiliencia.
P: ¿Qué archivo debe configurarse con los permisos adecuados para que BIND9 pueda autenticarse con Samba y cargar las zonas AD vía DLZ?
R: b) /var/lib/samba/bind-dns/dns.keytab. El archivo keytab /var/lib/samba/bind-dns/dns.keytab contiene las claves de autenticación necesarias para que BIND9 se autentique con Samba y acceda a las zonas AD almacenadas en la base de datos LDB. Debe ser propiedad del usuario bind con permisos 640. Se configura en named.conf.options con la directiva tkey-gssapi-keytab.
P: ¿Qué ocurre si se eliminan accidentalmente los registros SRV _ldap._tcp y _kerberos._tcp del DNS de un dominio AD?
R: c) Los clientes no pueden localizar los controladores de dominio y la autenticación falla. Los registros SRV son el mecanismo fundamental mediante el cual los clientes AD localizan los servicios LDAP y Kerberos proporcionados por los controladores de dominio. Sin estos registros, ningún cliente puede encontrar un DC para autenticarse, unirse al dominio o acceder a recursos. El script samba_dnsupdate puede regenerar estos registros.
P: ¿Cuál es la diferencia principal entre la gestión DNS con samba-tool dns y nsupdate -g?
R: b) samba-tool dns modifica la base de datos directamente; nsupdate -g usa el protocolo DNS dinámico con autenticación Kerberos. samba-tool dns interactúa directamente con la base de datos AD de Samba para gestionar registros DNS, mientras que nsupdate -g utiliza el protocolo estándar de actualización dinámica de DNS (RFC 2136) con autenticación GSS-TSIG (Kerberos). nsupdate funciona tanto con DNS interno como con BIND9_DLZ, y es la misma herramienta que usan los clientes Windows para registrar sus nombres.
P: ¿Qué tipo de registro DNS se añade a una zona inversa para asociar una dirección IP con un nombre de host?
R: c) Registro PTR. Los registros PTR (Pointer) se utilizan en zonas inversas (.in-addr.arpa) para asociar una dirección IP con un nombre de host completo (FQDN). Por ejemplo, para la IP 192.168.1.10, se crea un registro PTR en la zona 1.168.192.in-addr.arpa con la clave 10 apuntando a dc.empresa.com. Son necesarios para la resolución inversa, requerida por algunos servicios y por Kerberos.
P: ¿Qué comando de samba-tool lista todas las zonas DNS configuradas en el servidor Samba AD DC?
R: b) samba-tool dns zonelist localhost -U administrator. El comando samba-tool dns zonelist seguido del servidor (localhost) y la autenticación muestra todas las zonas DNS configuradas, incluyendo las zonas directas del dominio, las zonas inversas, la zona _msdcs y cualquier otra zona personalizada. Es útil para verificar que todas las zonas necesarias para AD están presentes.
P: ¿En qué ubicación almacena el DNS interno de Samba las zonas de Active Directory?
R: b) En la base de datos LDB de Active Directory (sam.ldb). El DNS interno de Samba almacena las zonas DNS directamente en la base de datos LDB de Active Directory (/var/lib/samba/private/sam.ldb). Esto significa que los registros DNS se replican automáticamente junto con el resto de la base de datos AD entre controladores de dominio. Con BIND9_DLZ, BIND accede a esta misma base de datos mediante el módulo DLZ.
P: ¿Qué comando añade un registro PTR para la IP 192.168.1.10 que apunta a dc.empresa.com en la zona inversa correspondiente?
R: samba-tool dns add localhost 1.168.192.in-addr.arpa 10 PTR dc.empresa.com -U administrator. Para añadir un registro PTR se utiliza samba-tool dns add especificando: el servidor (localhost), la zona inversa (1.168.192.in-addr.arpa), el último octeto de la IP como nombre del registro (10), el tipo PTR y el FQDN al que apunta. La zona inversa debe estar creada previamente con samba-tool dns zonecreate.
P: ¿Qué comando verifica que los registros SRV de LDAP del dominio empresa.com existen en DNS?
R: dig _ldap._tcp.empresa.com SRV. El comando dig con el tipo de registro SRV consulta los registros de servicio LDAP del dominio. Si los registros existen, la respuesta incluirá el puerto (389), la prioridad, el peso y el nombre del host del controlador de dominio. La ausencia de estos registros impide que los clientes localicen los DCs para autenticación y unión al dominio.
P: ¿Qué comando elimina un registro A del host “servidor” con IP 192.168.1.50 de la zona empresa.com en el DNS de Samba?
R: samba-tool dns delete localhost empresa.com servidor A 192.168.1.50 -U administrator. El comando samba-tool dns delete requiere especificar exactamente el mismo conjunto de datos del registro a eliminar: servidor DNS, zona, nombre, tipo y dato. La sintaxis es simétrica a samba-tool dns add. Si se necesita cambiar la IP de un registro, se puede usar samba-tool dns update que modifica el valor existente.
P: ¿Qué comando crea una zona inversa para la red 10.0.0.0/24 en el DNS de Samba?
R: samba-tool dns zonecreate localhost 0.0.10.in-addr.arpa -U administrator. Para crear una zona inversa, se utiliza samba-tool dns zonecreate con el nombre de la zona en formato in-addr.arpa, invirtiendo los octetos de la dirección de red. Para 10.0.0.0/24, la zona es 0.0.10.in-addr.arpa. Después de crear la zona, se pueden añadir registros PTR individuales con samba-tool dns add.
P: ¿Qué comando ejecuta manualmente la actualización de los registros DNS necesarios para Active Directory mostrando los detalles?
R: samba_dnsupdate —verbose. El comando samba_dnsupdate --verbose ejecuta manualmente el proceso de actualización de registros DNS de Active Directory, mostrando en detalle qué registros SRV, A y otros registros necesarios se verifican y actualizan. Samba ejecuta este script automáticamente de forma periódica, pero puede lanzarse manualmente para forzar la actualización inmediata o para diagnóstico.
P: Tip de examen: DNS no es opcional en AD; es un requisito fundamental. Sin DNS funcional, ningún…
R: DNS no es opcional en AD; es un requisito fundamental. Sin DNS funcional, ningún servicio de Active Directory opera correctamente.
P: Tip de examen: Los registros _ldap._tcp y _kerberos._tcp son los más importantes. Si faltan…
R: Los registros _ldap._tcp y _kerberos._tcp son los más importantes. Si faltan, los clientes no pueden localizar los DCs y la autenticación falla.
P: Tip de examen: Conocer la configuración del módulo DLZ en named.conf y el keytab necesario para…
R: Conocer la configuración del módulo DLZ en named.conf y el keytab necesario para la autenticación entre BIND y Samba.
P: Que hace el comando _ldap._tcp.dominio.com?
R: Localizar servidores LDAP del dominio
P: Que hace el comando _kpasswd._tcp.dominio.com?
R: Servicio de cambio de contraseña Kerberos
P: Que es/son Objetivos del subtema?
R: Este subtema abarca la configuración y gestión del DNS en un entorno Active Directory con Samba, incluyendo registros SRV, backends DNS, actualizaciones dinámicas, zonas inversas y reenviadores.
P: Que es/son DNS en Active Directory?
R: Active Directory depende de DNS para su funcionamiento. A diferencia de los dominios NT4 que usaban NetBIOS/WINS, AD utiliza DNS para:
P: Que es/son Registros SRV en Active Directory?
R: Los registros SRV (Service) son el mecanismo por el cual los clientes localizan servicios en AD:
P: Que es/son Zonas inversas?
R: Las zonas inversas (PTR) son importantes para la resolución inversa de IP a nombre:
P: Que es/son Reenviadores DNS (Forwarders)?
R: Los reenviadores permiten resolver nombres que no están en las zonas locales:
P: Que es/son Resumen de conceptos clave?
R: - DNS es obligatorio para Active Directory; sin él nada funciona
P: Que es/son Trampas del examen?
R: > Errores comunes y distinciones criticas que LPI suele evaluar en este subtema: