SERVIDOR DE NOMBRES DE DOMINIOS

Servidores de nombres
Los servidores DNS almacenan informacin acerca del espacio de nombres del dominio, y
son conocidos como servidores de nombres.
Los servidores de nombres suelen ser responsables de una o ms zonas (entendiendo como
zona un archivo fsico que almacena registros de la base de datos de una parte del espacio
de nombres DNS).
Se dice que el servidor de nombres tiene autoridad sobre esas zonas.
Cuando se configura un servidor de nombres DNS, se indica cules son los restantes
servidores de nombres DNS que se encuentran en el mismo dominio.

Servidores de nombres maestro y esclavo

Un servidor de nombres maestro es un servidor de nombres que obtiene los datos de sus
zonas de archivos locales. Los cambios en una zona, como la adicin de dominios, se
realizan en el servidor de nombres principal.
Un servidor de nombres secundario obtiene los datos de sus zonas de otro servidor de
nombres de la red que tiene autoridad para esa zona, normalmente de un servidor de
nombres principal. El proceso de obtencin de informacin de estas zonas va red se conoce
como transferencia de zona.
La razn fundamental para la existencia de un servidor de nombres secundario es la de la
redundancia. Se necesitan al menos dos servidores de nombres DNS que sirvan cada zona,
uno maestro y al menos uno esclavo, para que en caso de fallo, alguno de ellos responda a
las peticiones de resolucin de nombres.
En el proceso de resolucin de nombres, los servidores de nombres almacenan en cach las
respuestas obtenidas fuera de su zona para evitar tiempo en la resolucin de respuestas a
peticiones similares. En este proceso, se realiza la bsqueda a travs de la jerarqua de
nodos de nombres del DNS hasta encontrar la resolucin de la peticin. Existe un tiempo de
vida (TTL) que se especifica a travs de los datos que se intercambian los servidores de
nombres, y que controla el tiempo que se almacenarn estos datos. Evidentemente, a menor
tiempo de vida, mayor carga para el servidor de nombres, pero ms fiabilidad de los datos
del dominio.

Acerca de Bind

BIND (acrnimo de Berkeley Internet Name Domain) es una implementacin del protocolo
DNS y provee una implementacin libre de los principales componentes del Sistema de
Nombres de Dominio, los cuales incluyen:

Un servidor de sistema de nombres de dominio (named).

Una biblioteca resolutoria de sistema de nombres de dominio.

Herramientas para verificar la operacin adecuada del servidor DNS (bind-utils).

El Servidor DNS BIND es utilizado de manera amplia en Internet en aproximadamente el

99% de los servidores DNS del mundo, proporcionando una robusta y estable solucin.

Instalacin a travs de yum

yum -y install bind bind-chroot bind-utils

Firma digital del servidor

Con la finalidad de mejorar la seguridad, genere una firma digital de 512 bits (el valor
predeterminado es 128 bits) para el servidor DNS. Ejecute lo siguiente:
rndc-confgen -a -r /dev/urandom -b 512 -c /etc/rndc.key
Cambie las pertenencias para que este archivo sea propiedad del usuario root y grupo
named:
chown root:named /etc/rndc.key
Asegrese que los permisos de acceso sean lectura y escritura para usuario, slo lectura
para grupo y nada para otros, es decir un permiso 640 (rw-r-----):
chmod 640 /etc/rndc.key

Actualice el archivo de cache con los servidores DNS raz

El archivo /var/named/named.ca contiene la informacin de los servidores DNS raz
necesaria para poder iniciar el cache de todo servidor DNS de Internet. Es por ello que
necesitamos actualizarlo para evitar problemas para la resolucin de algunas zonas.
wget -N http://www.internic.net/domain/named.root -O
/var/named/named.ca
Si no tiene instalado el programa wget, ejecute antes el comando yum install wget
-y

El archivo debe pertenecer a root y el grupo named.

chown root:named /var/named/named.ca
Es neceesario asignar permiso de lectura y escritura para root, slo lectura para named y
nada para el resto (rw-r-----).
chmod 640 /var/named/named.ca
Una vez realizado estos ajustes, procedemos a la configuracin de los archivos del servicio.

Configuracin del archivo /etc/named.conf

El archivo named.conf es el archivo de configuracin principal del servicio DNS, cuyo
proceso de servicio se llama named. Lo primero que debemos hacer antes de editar y hacer
cambios a un archivo de configuracin es hacer un respaldo de ste, ya que si cometemos
algn error fcilmente lo podemos revertir
cp /etc/named.conf /etc/named.conf.original
El comando cp nos permite copiar una entrada de directorio (archivo) especificndole el
nuevo nombre de sta. Inclusive, puedes especificar una ruta destino completamente
diferente a la del origen. Una vez realizada la copia, procedemos a editarlo:
nano /etc/named.conf
En este archivo te encontrars la siguiente configuracin:
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND
named(8) DNS
// server as a caching only nameserver (as a localhost DNS
resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named
configuration files.
//
options {
listen-on port 53 { 127.0.0.1; };
listen-on-v6 port 53 { ::1; };
directory
"/var/named";
dump-file
"/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file

"/var/named/data/named_mem_stats.txt";
allow-query
{ localhost; };
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
Para poner comentarios en que ocupen varias lneas se utiliza /* al inicio del bloque y */ al
final del mismo, si utiliza la secuencia // o # los comentarios inician a partir de ah hasta el
final de la lnea.
Primero vamos a realizar los siguientes cambios en las lneas en negritas:
1.

listen-on port 53 { 127.0.0.1; }; por listen-on port 53 { any; }; (lnea 11)

2.

allow-query
{ localhost; }; por allow-query
192.168.3.0/24 }; (lnea 17)

3.

dnssec-enable yes; por dnssec-enable no; (lnea 20)

4.

dnssec-validation yes; por dnssec-validation no; (lnea 21)

{ localhost;

Si no hacemos el cambio en el punto 1. el servidor slo va a "escuchar" peticiones en el

puerto 53 siempre y cuando vengan de l mismo; esto no es til, por ello cambiamos a
any para que escuche peticiones de cualquier punto (en el siguiente punto delimitamos
esto). En el punto 2. agregamos a todas las redes a las que damos servicio. En el escenario
que vamos a trabajar, no existe DNS secundario, de ah los cambios en los puntos 3. y 4.
En la lnea 14 vamos a insertar lo siguiente:
forwarders { 192.100.213.5; 8.8.8.8 }
forward first;
Las direcciones IP que agregamos, la primera corresponde al servidor DNS de la escuela y
la segunda a un servidor DNS pblico como lo es el de Google. Puede poner las que su
proveedor de acceso a Internet le indique. Esto permite al DNS que aprenda cuando se le
solicita un dominio que no conoce y por tanto no tiene en su cach.
En este momento necesitamos tener definido un nombre de dominio. Qu es un dominio?
Es un identificador comn a un grupo de computadoras o equipos conectados a la red. Son
una forma simple de direccin de Internet diseados para permitir a los usuarios localizar
de una manera fcil sitios en Internet. Es el nombre con el que sers identificado en
Internet.
Para efectos del curso, voy a utilizar midominio.com el cual no est registrado ante
ninguna autoridad de registro de nombres de dominio. Hay dos tipos de dominio: ccTLDs
(territoriales) y los gTLDs (gnericos); la diferencia estriba en que los dominios ccTLDs se
asocian a un pas, por ejemplo el .MX los registros se asocian con Mxico y los gTLDs no.
Por cierto, TLD significa Top Level Domain, que es la ms alta categora de las FQDN
(Fully Qualified Domain Name) que son traducidos a direcciones IP por los DNS oficiales
de Internet. Los nombres servidos por los DNS oficiales son administrados por la Internet
Corporation for Assigned Names and Numbers (ICANN). EnMxico, el organismo
encargado de la administracin .MX es AKKY (akky.mx).

Archivos de configuracin de zonas

Estos archivos sern los que utilicemos para definir el o los dominios que nuestro servidor
DNS va a resolver, a cada dominio asociado le llamamos origen. Cada nombre de dominio
o de mquina que aparezca en estos archivos es considerado relativo a este origen a menos
que termine con un punto. Esta regla no debe ser tomada a la ligera: todos los nombres en
un archivo de zona son expandidos agregndoles el origen a menos que terminen en un
punto, y esto nos puede desconcertar en ocasiones. Para hacer referencia al origen en s es
necesario usar el smbolo @. Los archivos de zonas estn hechos de lo que en ingls se
conoce como resource records o, simplemente, RRs, y tienen un tipo asociado. Estos son
los principales:
Start of Authority (SOA)

Requerido por cada archivo de zona. El registro SOA contiene informacin relevante, cmo
la direccin email del administrador de la zona y el nombre de servidor maestro para la
zona. El SOA tambin contiene un nmero que es incrementado cada vez que el archivo de
zona es actualizado. Cuando este nmero es cambiado se lanza el DNS para recargar los
datos de la zona.
Name Server (NS)
El registro NS contiene la informacin name server (servidor de nombre) para la zona.
Mail Exchanger (MX)
Provee la informacin del servidor email para esa zona. Esto permitir que el email sea
enviado al lugar correcto.
Host (A)
El registro A es usado para mapear una direccin IP a un HOST NAME. ste es el tipo ms
comn de registro en Internet.
Canonical Name (CNAME)
Un CNAME es simplemente un alias para un host. Los CNAMEs te permiten tener ms de
un nombre DNS para un host. Los registros CNAME apuntan de regreso hacia un registro
A. Si t cambias tu direccin IP en tu registro A, todo tu registro CNAME seguir
automticamente a la nueva IP del registro A. La solucin alternativa es tener mltiples
registros A, pero entonces t tendras mltiples lugares para cambiar la direccin IP que
incrementa el margen de error. Usando CNAME es ms eficiente.
Text (TXT)
Un registro meramente informativo que t puedes usar para proveer informacin adicional
sobre un host. tu puedes usarlo para proveer informacin tcnica a servidores.
Service Records (SRV)
Los registros SRV son registros de recurso usados para identificar computadores que
hostean servicios especficos.
AAA
Los registros AAA almacenan el protocolo de internet versin 6 de 128 bit (IPV6), lo cual
no se adpata al formato estndar del registro A.
Vamos a ver a detalle el formato del registro SOA:

Campo

Descripcin

Name

El nombre raz de la zona. El smbolo "@" es una es una

forma abreviada de referirse al origen actual (zona) en el
archivo /etc/named.conf

Class

Hay diferentes clases de DNS. En una red de casa o de una

pequea oficina se limitar a la clase IN o Internet
utilizada para definir la informacin de asignacin de
direcciones IP para BIND. Hay otras clases para protocolos y
funciones que no son de Internet pero que raramente son
usados.

Type

El tipo de registro de recurso de DNS. Para este ejemplo,

ste es un registro SOA.

Name-Server

Nombre completo del servidor DNS primario. Debe terminar

con el signo ".".

Email-addres

La direccin de correo del administrador del servidor DNS.

La @ en la direccin de correo se remplaza por un ".". La
direccin de correo debe terminar tambin con un ".".

Serial-no

Nmero de serie de la configuracin actual. Puede utilizar el

formato
AAMMDD
A serial number for the current configuration. You can use
the date format YYYYMMDD with an incremented single
digit number tagged to the end. This will allow you to do
multiple edits each day with a serial number that both
increments and reflects the date on which the change was
made.

Refresh

Le dice al servidor DNS esclavo que tan seguido debera

verificar la configuracin en el servidor DNS maestro. Los
DNS esclavos no se utilizan en redes pequeas.

Retry

Intervalo de reintento del DNS esclavo para conectarse al

maestro en caso de un fallo en la conexin.

Expiry

La cantidad total de tiempo que un DNS esclavo debe

volver a intentar ponerse en contacto con el maestro antes
de expirar los datos que contiene. Referencias futuras
estarn dirigidas a los servidores raz.

Minimum-TTL

Hay ocasiones en que los clientes remotos harn consultas

para subdominios que no existen. El servidor DNS
responder con un no dominio o NXDOMAIN que el
cliente remoto cacha. Este valor define la duracin de
cach que el DNS incluye en la respuesta.

Los tiempos de los campos refresh, retry, expiry y minimu-TTL se expresan en

segundos o bien en su forma abreviada H=Hour, D=Day y W=Week.

Archivo de zona de reenvo

Ahora que sabe los elementos clave de un archivo de zona, es el momento de examinar un
ejemplo para el dominio midominio.com y como ejemplo el servidor utiliza la direccin IP
192.168.3.123:
; archivo de zona de reenvio para midominio.com
$TTL 3600 ; default TTL para la zona
@ 3600
IN
SOA
ns.midominio.com.
hostmaster.midominio.com. (
2014052401 ; serial number
3600
; refresh
3600
; retry
1209600
; expire
3600
; minimum
)
@
IN
NS
ns
@
IN
A
192.168.3.123
@
IN
MX 10 mail
ns
IN
A
192.168.3.123
www
IN
A
192.168.3.123
mail
IN
A
192.168.3.123
ftp
IN
A
192.168.3.123
dbadmin
IN
A
192.168.3.123
webmail
IN
A
192.168.3.123
Cabe hacer notar que ns.midominio.com es el servidor de nombres para el dominio
midominio.com. En ambientes empresariales, el servidor de nombres est instalado en un
equipo aparte, pero para los efectos del curso todo se encontrar instalado en el mismo
equipo. Cuando utilizamos un esquema de servidores de nombres maestro y esclavo
generalmente los nombramos como ns1 y ns2 respectivamente.
El TTL para nuestro dominio es de una hora (3600 segundos), por lo tanto los servidores de
caching DNS remotos almacenarn la informacin referente a la zona de nuestro dominio
por una hora antes de que vace sus cachs.

El registro MX apunta al subdominio mail (mail.midominio.com) el cual se va a encargar

de administrar el servicio de correo electrnico.
Una prctica requerida consiste en incrementar el nmero de serie cada vez que se edite un
archivo de zona. En escenarios donde se utilicen servidores secundarios estos sondean
peridicamente al servidor principal con el fin de averiguar si la informacin de archivo de
zona se ha actualizado, utilizando para determinar esto el nmero de serie. No hacer esto,
podra provocar que los servidores esclavos contengan informacin obsoleta an cuando se
hayan modificado.
www, ftp, dbadmin y webmail son subdominios y apuntan a la direccin especificada en el
registro A.
Este archivo se guardar con el nombre fwd.midominio.com en la ubicacin
/var/named/.

Archivo de zona de reversa

; archivo de zona de reenvio para midominio.com
$TTL 3600 ; default TTL para la zona
@ 3600
IN
SOA
ns.midominio.com.
hostmaster.midominio.com. (
2014052401 ; serial number
3600
; refresh
3600
; retry
1209600
; expire
3600
; minimum
)
@
IN
NS
ns
@
IN
A
192.168.3.123
ns
IN
A
192.168.3.123
250
250
250
250
250

IN
IN
IN
IN
IN

PTR
PTR
PTR
PTR
PTR

www.midominio.com.
mail.midominio.com.
ftp.midominio.com.
dbadmin.midominio.com.
webmail.midominio.com.

Este archivo se guardar con el nombre rev.midominio.com en la

ubicacin /var/named/.

Informacin importante
Cada vez que haga algn cambio en algn archivo de zona, deber cambiar el nmero de
serie a fin de que tomen efecto los cambios de inmediato cuando se reinicie el servicio
named, ya que de otro modo tendra que reiniciar el equipo, algo poco conveniente.

Las zonas de resolucin inversa que involucran direcciones IP pblicas son responsabilidad
de los ISP (proveedores de servicio de acceso hacia Internet). Crear una zona de resolucin
inversa sin ser la autoridad de dicha zona tiene efecto slo para quien use el servidor DNS
recin configurado como nico DNS.

Modificacin del archivo de configuracin /etc/named.conf

Es necesario realizar unos ajustes al archivo de configuracin del servicio DNS. Para ello
debemos agregar las zonas recin creadas en la lnea 44 de la siguiente manera:
zone "midominio.com" IN {
type master;
file "fwd.midominio.com";
allow-update { none; };
};
zone "3.168.192.in-addr.arpa" IN {
type master;
file "rev.midominio.com";
allow-update { none; };
};

Prueba de sintaxis de los archivos configuracin de DNS

1. Checar archivo de configuracin named.conf
named-checkconf /etc/named.conf
2. Checar archivos de configuracin
named-checkzone midominio.com /var/named/fwd.midominio.com
named-checkzone midominio.com /var/named/rev.midominio.com
Si todo est bien, procedemos a arrancar por primera vez nuestro servicio; si hay errores,
debemos seguir las indicaciones producidas por los comandos con los cambios a realizar.

Puesta en marcha del servicio DNS

Antes de arrancar el servicio es necesario modificar quin va a ser el servidor de nombres
para el propio servidor. Para ello deber realizar dos tareas que ya hemos realizado con
anterioridad, por lo que slo voy a indicar lo que se va a hacer:
1. Editar el archivo de configuracin de la interfaz eth0 y modificar el DNS
estableciendo la IP del servidor en vez del que estaba establecido.
2. Reiniciar los servicios de red

Ahora bien, procedemos a arrancar el servidor:

service named start
Nos debe devolver el tan esperado OK de que todo sali bien
... si no fue as, entonces
hay que revisar los mensajes de error que nos devolvi el arranque del servidor y proceder a
corregirlos.
Slo falta indicar que el servicio de nombres se inicie cuando se arranque el servidor:
chkconfig --levels 345 named
Pruebas de verificacin de funcionamiento
Procederemos a realizar pruebas con las utileras que instalamos con BIND:
dig
[root@midominio ~]# dig ns.midominio.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>>
ns.midominio.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51838
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1,
ADDITIONAL: 0
;; QUESTION SECTION:
;ns.midominio.com.
;; ANSWER SECTION:
ns.midominio.com.
;; AUTHORITY SECTION:
midominio.com.
ns.midominio.com.
;;
;;
;;
;;

IN

3600

IN

3600

IN

NS

Query time: 0 msec

SERVER: 192.168.3.123#53(192.168.3.123)
WHEN: Thu Aug 2 13:23:19 2014
MSG SIZE rcvd: 65

nslookup

192.168.3.123

[root@midominio ~]# nslookup midominio.com

Server:
192.168.3.123
Address:
192.168.3.123#53
Name:
midominio.com
Address: 192.168.3.123
host
[root@midominio ~]# host midominio.com
midominio.com has address 192.168.3.123
midominio.com mail is handled by 10 mail.midominio.com.
[root@midominio ~]# host ftp.midominio.com
ftp.midominio.com has address 192.168.3.123
Debers haber obtenido resultados similares.