Exchange INTENSIVO. 10 días de entrenamiento

  • Implementación de Exchange
  • Administración de la plataforma
  • Mantenimiento del servidor
 
 

Split DNS con Exchange

Utilizar split DNS nos permite que un mismo nombre se resuelva a una IP diferente dependiendo desde donde consulta el cliente. Por ejemplo, cuando un usuario interno ingresa a mail.dominio.com este registro se resolvería a una IP privada mientras que el mismo nombre consultado desde internet devolvería una IP pública.

Puntualmente esto habilitaría a minimizar la cantidad de nombres en el certificado para Exchange y eliminar la necesidad de incluir el nombre del servidor. En adición simplificaría el acceso a los recursos por parte de los usuarios ya que solo tendrían que recordar un nombre.


Cómo funciona el split DNS?

Dependiendo del diseño de DNS, el nombre interno del dominio podría ser diferente al manejado externamente, de hecho este sería el escenario más usual, en este caso tendríamos por ejemplo que el nombre DNS del dominio de Active Directory es contoso.local mientras que la “presencia” pública de la organización incluyendo sitio web, dominio de correo, etc utiliza el nombre contoso.com.

En este escenario de forma predeterminada los recursos internos tendrían un nombre del tipo servidor.contoso.local mientras que cuando son accedidos desde Internet utilizarían uno tipo www.contoso.com.

Las consultas de la zona contoso.com serían resueltas por un DNS externo devolviendo una IP pública generalmente configurada en un firewall o router el cual posteriormente realizaría NAT a la IP privada del recurso.

Cuando utilizamos split DNS mantenemos la zona externa contoso.com e internamente creamos una zona con el mismo nombre. La idea dentro de esta zona sería mapear los mismos registros que tenemos externamente pero apuntando hacia la IP privada:

Split DNS con Exchange

En el diagrama incluí únicamente el caso del correo, en producción también tendríamos que pensar en la web y cualquier otro recurso que este accesible desde Internet, por ejemplo:


Tiene alguna desventaja el split DNS?

En este caso si olvidamos incluir alguno de los registros externos en la zona interna vamos a encontrarnos con que los usuarios internos no pueden acceder al recurso mientras que desde internet va a funcionar correctamente.

Esto se debe a que cuando creamos la zona interna, el servidor pasa a ser autoritativo, si un cliente le solicita resolver www.contoso.com y el servidor no tiene el registro, este no va a salir a consultar a un servidor externo sino que va a devolver una respuesta autoritativa indicando que el recurso no existe.

Para evitar esta situación, lo ideal sería actualizar la zona interna (en split) con los mismos registros que la externa pero si esto representa una carga significativa es posible utilizar lo que se conoce como pinpoint DNS, donde en lugar de crear una zona interna contoso.com lo que hacemos es crear una zona mail.contoso.com, autodiscover.contoso.com, etc, únicamente con la IP que se resuelve al servidor Exchange. Esto en general funciona bien en clientes chicos con pocos servidores que quizás no tienen un administrador dedicado como para mantener la zona en split.

En definitiva hay que tener especial cuidado al utilizar una zona DNS en split ya que si no mantenemos la zona con los mismos registros que en la externa nos podemos encontrar con problemas cuando se consulta internamente.


Conclusión

Utilizar split DNS con Exchange nos permite evitar el uso de nombres de servidores en el certificado y unificar el espacio de nombres para acceder a los recursos entre otros. En adición se debe considerar que entidades certificadoras externas ya no emiten certificados con nombres internos por lo que esto podría resultar una buena opción.

El tipo de configuración DNS a utilizar con Exchange es una de las áreas a tener en cuenta al momento del diseño de la solución. Esto es solo una parte del proceso y también debemos considerar los nombres a utilizar en la configuración, el tipo de certificado y mecanismo para autodiscover, es decir que usar split DNS por si solo no resuelve estos temas sino que esto debe ser complementado.

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

7 Responses to Split DNS con Exchange

  1. gilberto says:

    hola daniel tu pagina es excelente y viene mucha informacion sobre exchange server tengo una pregunta en una empresa pequeña tengo instalado un servidor fisico con un controlador de dominio virtualmente tengo instalado otro servidor con exchange server 2013 en hyperv y ambos con windows server 2012 el servidor de correos funciona bien gracias a todas las guias que nos proporcionas aqui.
    Solo que tengo un inconveniente aun no puedo lograr que los clientes puedan enviar y recibir correos externamente que entidad certificadora me recomiendas o de que forma crees que me convenga realizar este paso gracias por tu ayuda

  2. Santyuste says:

    Hola Daniel
    Tengo un Exchange 2013 con un certificado instalado emitido por una entidad certificadora externa con el registro owa.dominio.com
    El dominio externo seria dominio.com y el interno dominio.local
    En los DNS externos tengo configurado los registros autodiscover.dominio.con y owa.dominio.com apuntando a la IP externa del exchange (la del firewall)
    En los DNs internos tengo el registro autodiscover.dominio.local y owa.dominio.local apuntando a la Ip interna del servidor Exchange
    Desde internet por owa accedo bien, pero con los clientes Outlook me sale una advertencia de nombre de certificado.
    En este caso, ¿Cómo puede hacer para quitar ese error?. Entiendo que los clientes Outlook se están conectando al nombre interno del Exchange “servexch.dominio.local” y ese registro no esta en el certificado emitido

    Saludos

    • Daniel Núñez Banega says:

      Hola Santyuste, para que no aparezca más el error de certificado tendrías que hacer uso de split DNS o pinpoint DNS. En este caso tendrías que crear los registros Autodiscover.dominio.com y Owa.dominio.com en el DNS interno de la empresa (evaluar el impacto antes de avanzar) apuntando a la IP interna del servidor.
      Posteriormente configurar los directorios virtuales con las URLs internas y externas de forma similar. Por último configurar el autodiscover interno con el comando Set-ClientAccessServer y el parámetro AutodiscoverServiceInternalUri.

      saludos

  3. Santyuste says:

    Ok. Perfecto,
    Funcionando
    Gracias Daniel !!!!

  4. Fabian says:

    Saludos muy buena pagina muchas gracias por la información bien ordenada.

    Tengo una duda bastante grande que me esta perturbando un poco.

    Tengo un servidor configurado con exchange 2016 contoso.com tengo una pagina web contoso.com alojada en un proveedor de host externo que tiene configurado en cname y el mxrecords apuntando hacia el ip de mi servidor.

    puedo enviar y recibir mensajes sin problemas salvo algunos que me rebotan “553 La IP de origen no tiene reverso DNS. Posible Spam!”. he seguido algunos instructivos para modificar el PTR pero nada me a funcionado.

    agradezco me puedas ayudar al menos entendiendo el funcionamiento. de este tema

    saludos

Responder a Daniel Núñez Banega Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Registrarse