DNS (Domain Name System) es un sistema de resolución de nombres. Si bien este servicio aplica a una variedad de escenarios, como por ejemplo navegación web, en esta oportunidad vamos a ver lo más pertinente en relación a Active Directory y Exchange.
Active Directory depende de DNS y lo utiliza para todo lo referente a registro de nombres, localización de servicios y resolución. Al día de hoy DNS es un requerimiento básico, sin DNS no hay Active Directory y sin este no hay Exchange.
DNS provee una base de datos jerárquica y escalable donde hosts (equipos con TCP/IP) pueden consultar y actualizar sus registros.
Donde instalar el servicio de DNS?
En un entorno con Active Directory se recomienda instalar el servicio de DNS en un controlador de dominio. Esto es una excepción ya que en general la recomendación es no instalar nada en un DC, pero el caso puntual de DNS ofrece varias ventajas:
- Integración de información de zonas dentro de Active Directory (esto implica que utilizaría el mismo mecanismo de replicación que el de AD)
- No es necesario utilizar zonas primarias y secundarias tradicionales. Las zonas primarias son de lectura y escritura, las secundarias de solo lectura, si hay un problema con la zona primaria no sería posible actualizar registros
- Actualización dinámica y segura de registros en DNS
Cuando se instala un controlador de dominio se configuran una serie de registros en DNS. Estos registros van más allá del típico registro A (que resuelve nombre a IP), incluyendo registros SRV (Service Locator) utilizados para localizar servicios en la red, por ejemplo para LDAP, Kerberos e información específica de sitios entre otros.
Exchange utiliza estos servicios para localizar controladores de dominio / catálogo global, información de sitios para ruteo de mail, autenticación, etc.
Algo fundamental en este aspecto es que tanto los controladores de dominio como los servidores de Exchange deben estar configurados con las IP de los DNS internos, en ningún caso se debe configurar un DNS externo (error común cuando se intenta configurar resolución de nombres hacia Internet).
Registros DNS
Exchange utiliza varios tipos de registros en DNS, algunos son utilizados internamente, otros se utilizan a nivel externo por ejemplo para intercambiar correo con otras organizaciones:
Registro A
El registro A se utiliza para resolver un nombre de host a su dirección IPv4. Internamente en general los equipos registran automáticamente su nombre dentro de la zona de dominio.
En el caso de Exchange puede ser necesario crear registros A explícitos en la zona interna por cuestiones de configuración de certificados y servicios específicos.
Este tipo de registro también es necesario en la zona externa de la organización, por ejemplo para incluir un registro “mail.empresa.com” apuntando a una IP pública.
Registro PTR
El registro PTR (Pointer) resuelve una dirección IP a un registro A (ej: mail.dominio.com), a nivel de correo electrónico este podría ser chequeado externamente cuando enviamos mail fuera de nuestra organización.
Por ejemplo, si el servidor de correo destino hace un consulta reversa al nombre con el que se presentó nuestro servidor de envío (smarthost o Exchange), este debería coincidir con la dirección IP utilizada, de lo contrario podría derivar en el rechazo de correos de la organización.
Registro SRV
El registro SRV identifica servidores que proveen servicios específicos en la red, por ejemplo los clientes utilizan registros SRV para localizar controladores de dominio, GCs y en muchos casos configuración de aplicaciones como Outlook o Activesync.
Registro MX
Para que una organización externa pueda enviarnos mail esta debe ser capaz de localizarnos, para esto se utilizan registros MX (Mail Exchanger). Esto es independiente a si usamos Exchange u otro tipo de servidor de correo.
Este registro MX es utilizado por organizaciones externas y no lo precisamos internamente. Del mismo modo cuando nuestra organización envía correo debemos ser capaces de localizar un registro MX del dominio destino.
El registro MX debe apuntar a un registro de tipo “A” que a su vez apunta a una dirección IP (se pueden usar alias o cname pero esto no es recomendado).
En adición, los registros MX utilizan lo que se conoce como “preferencia”, cuanto más bajo sea el número de preferencia, mayor prioridad tiene el registro.
La preferencia puede ser utilizada para obtener balanceo y alta disponibilidad a nivel de recepción de correo, por ejemplo se podría tener un registro MX dedicado para un sitio principal y otro con menor prioridad apuntando a una IP de contingencia como “backup”.
Si tenemos una pequeña organización con un único sitio y sin alta disponibilidad, con un registro MX sería suficiente.
En general, en producción vamos a encontrar que los registros MX apuntan a un registro A asociado a una IP pública en un firewall de frontera que posteriormente hace NAT a un servidor corriendo software de antivirus /antispam y configurado para reenviar todo mail entrante a nuestro Exchange.
Como alternativa, en caso de no tener un servidor adicional para higiene de transporte, el NAT podría estar configurado directo hacia el Exchange.
Registro SPF
El registro SPF (Sender Policy Framework) es utilizado para indicar desde que hosts nuestra organización podría enviar correo. De este modo una organización destino podría verificar la IP desde la que se conecta nuestro servidor de envío y en base a si existe un registro SPF y coincide o no con nuestra IP que acción tomar.
Este tipo de registro es muy utilizado para evitar el spoofing de mails, por ejemplo cuando se recibe spam desde direcciones supuestamente internas.
https://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard
De tener un registro SPF configurado, cuando el servidor recibe este tipo de correo, chequearía que la IP desde la que proviene no coincide con las indicadas en el registro SPF y en base a esto dependiendo de la configuración del filtro si lo rechaza o simplemente estampa el resultado para posterior análisis.
Por último, a tener en cuenta que si bien en la documentación general se trata este tipo de registro como SPF, técnicamente a nivel de configuración de DNS es un registro de tipo TXT (se puede encontrar más información sobre su evolución en Wikipedia).
Por más información teórica y práctica, ver el siguiente recurso (videos de entrenamiento):