Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Administración de Sistemas Linux - Anaya Multimedia PDF
Administración de Sistemas Linux - Anaya Multimedia PDF
>NEADERc<- opcode: QUERY, status: NOBRROR, id: 4096
+1) Elages qe ed fa) QUERY: 1, ANGWER: 2, AUTHORITY: 0, ADDITIONAL: ©
ty SERVER: 61.169.263.706H53
La biisqueda directa y la inversa se complementan. Nuestro servidor primario
std completo,gee sistera de nombres de dominio.
Configurando el servidor de nombres secundario
Ahora, levantaremos nuestro servidor de nombres secundario,
server2. centralsoft .org, Actuara como copia de seguridad en caso.
de que el servidor primario (server .centralsoft .oxg) falle, por lo que
las personas todavia podran buscar centralactt.org y sus subdominios.
Elarchivonamed. conf para server? .centraisoft .org es parecido al del
servidor de nombres primario con algunas diferencias:
options {
DidcEiLe */var/run/bina/un/nemed. pias
11 query-soizce addres * port 53:
sone "of
ype inc
Eile ab: root
i
pone "8.9, 127-in-adde.axpa* {
ype acter
Hie "db: local,
h
zone reentratecte.org* {
file "eec.centratactt.org*,
(sorge3,asacagr he
1a diferencia mas importante es Ia que se coment6 antes en este mismo cap
tulo. El tipo esclavo, que se indica en Ia sentencia final indica que es una zona
esclava. En la linea del archivo especificamos el nombre del archivo donde se debe
guardar la zona esclava, y en la linea maestra especificamos la direccion IP del
servidor de nombres primario,
Esto es todo lo que tenemos que hacer para configurar el servidor de nombres
secundario,
Reinicie named en server2.centralaoft. org y liego deberfa encontrar el
archivo /ete/bind/sec. central soft .org en su servider de nombres secun-
dario. ‘Qué ha ocurrido? El servider de nombres secundario ha contactado con et
servidor de nombres primario que Ie ha transferido la zona,
Ahora, eada vez que actualice una zona en el servidor de nombres primario,
asegcirese de que el niimero de serie se incrementa. En caso contrario, la zona
actualizada no se transferira al servidor de nombres secundario.
sistema de nombres de dominio 89
Herramientas BIND
‘Como hemos mencionado anteriormente en este capstulo, BIND se divide en.
tres partes: el demonio named, la ibreria resoluta y algunas herramientas.
Una herramienta que ya ha usado es dig, que los administradores usan para
consultar los servidores de nombres DNS. dig hace busquedas DNS y muestra las
respuestas devueltas por los servidores de nombres y las estadisticas sobre la
consulta.
La mayorfa de Jos administradores DNS usan dig para solucionar los proble-
mas de DNS debido a su flexibilidad, facilidad de uso y claridad. Otras herra-
imientas de biisqueda suclen fener menos funcionalidad. Otra alternativa podria,
ser, no obstante, nslookup. Tambien echaremos un vistazo a rnde, una herr?
mienta de administracion ttil que se ineluye con BIND,
nslookup:
nslookup trabaja de manera similar a dig pero estd obsoleto en Linux. Usarlo,
requiere mas trabajo, pero deberia serle familiar porque Microsoft Windows atin
Jo usa como herramienta primaria de busqueda,
nslookup consulta servidores de nombre de dominio de Internet en dos mo-
dos: interactivo y no interactivo. EL modo interactivo permite consultar los ser~
vidores de nombres para obtener informacién sobre varios equipos y dominios, 0
para imprimir una lista de equipos en un dominio. EI modo no interactive sim-
plemente imprime el nombre y la informacion solicitada para un equipo o domi-
no. Por ejemplo, podria ejecutar la siguiente béisqueda para encontrar informacion
sobre el servidor Google
Radeens: 306.299-02-30
En cl modo interactivo, nslookup ofrece una interfaz. donde se pueden gjecu-
tar comandos. Por ejemplo:
Desde la interfaz se pueden hacer varias basquedas simples, como la de una
siveceion IP0. E sistema de nombres de dominio.
42,156,285, 70.ip-addr orga mane = a4s1-79-269-158-42. 81 x08,
Authoritative aneware can be found from
155,253, 70. n-acdy arpa nameoerver = net_swelt net.
250,255.70 {n-aade espe namese=ver © na? supe nee
Puede ejecutar varios comandos, incluyendo Iserver (que usa su servidor local
para hacer una btisqueda), server (que usa otro servidor para hacer una busque~
dda) y host. El comando Iserver produce una salida como la siguiente:
Default servers google.com
Baarooa: 4.233.167, 29859
Default server: google.com
Auazeva: 6¢.233.189-95439
Elsubcomando host ofrece una utilidad simple para realizar bitsquedas. Cuando
no se dan argumentos u opciones, host imprime un pequefio resumen en la linea
‘de comando de fos argumentos y las opciones. La gente lo usa principalmente
para convertir nombres a direcciones IP y viceversa. He aqui un ¢jemplo:
contralactt org has sddcees 29.26,256.42
Cuando pone host en modo completo con la opcién ~v, ofrece informacion
similar al comando dig:
> host -v centralsott.org
Trying ‘eontraloott.org"
SoHEADERC<- opcode: QUERY, statue: ROERROR, 4a. «3756
fy lager ge sd far QUERY! 1, NEWER. L) AUTVORIEY. 2, appoTzoMAR 0
24 goeerI0N secrzow.
Joontralaote org mos
fenteetestt org 29437 INNS servert.contraleott.o¢g.
ELsistema de nombres de do a”
Esta informacion viene de la direcci6n IP 68.94.156.1, puerto 53, qué es el
servidor de nombres especiticado en el archivo asolv .coné del equipo que
realizé la busqueda, Puede usar host de nuevo para averiquar el nombre de este
servidor
> nowt 6¢.94.356.1
Ziteeco4ccein-adde arpa doeasn name pointer dass1.ebegiobat net
Introduzca exit para cerrar la sesi6n de bitsqueda interactiva.
‘También puede usar named para arreglar fallos en algunas situaciones. Por
jemplo, para averiguar el naimero de version de su implementacién BIND, gje-
cute el siguiente comando:
‘but lddaroelehopper: /bui14/buli4d/bind-8.4.6/ere/bin/mamed
mdc
BIND ofrece un comando ride como parte de la instalacién. rnde permite
administrar named usando la linea de comandos. La ulilidad envia los comandos
introducidos mediante linea de comandos al servidor que ¢jecuta server, que los
pprocesa, El script de inicializacion de BIND 9 también usa mde.
Para evitar que los usuarios no autorizados accedan a su servidor de nombres,
‘deberia usar una clave secreta para autentificar el acceso, Para que made ejecute
Jos comandas en un servidor de nombres, incluso en un equipo local, ambos
deben compartir la misma clave. Psta clave est almacenada en el archivo /ete/
bind/rndc.key, y tanto named como rndc leeran la clave desde esta localiza
ion, Elarchivorndc. key deberia haberse creado durante la instalacion de BIND.
EL comando rnde tiene la siguiente forma
"endo rade-optione comand comand-option
Ahora veremos algunas opciones de rnde comunes que podria necesitar (lea
las paginas-manual de mde para ver la lista completa)
+ Kc key-file: Usa cl archivo con la clave especificado en lugar del archivo
por defecto /ete/bind/rndc. key.
+s server: Envia el comando al servidor espevificado en lugar de al servi-
dor local
+ -V: Activa el modo de informacién completo,
Aqai se muestran algunos de los comandos que rndc suele enviar a named (para
‘una lista completa de los comandos, simplemente introxhzea el comande rndc):a El sistema de nombres de dominio
+ halt: Para el servidor de nombres inmediatamente,
+ querylog: Activa o desactiva el log de todas las consultas hechas por los
clientes a este servidor de nombres. Es un comanido de conmuttacion: con
muta al estado activo si estaba desactivado y viceversa.
+ reload {zone}: Recarga los archivos de zona, pero mantiene todas las res-
puestas que se almacenaron previamente en caché. Esto permite hacer
‘cambios en los archivos de zona y que tengan efectos en sus servidores
maestros ¥ esclavos sin perder todos los nombres ya resueltos, Silos cam-
bios afectan a una Gniea zona, puede indicar que solo se recargue esa
+ retransfer zone: Obliga a volver a transferit la zona especificada sin te-
ner que comprobar cl rtimero de serie
+ stats: Vuetea las estadisticas actuales de named al archivonamed. etate.
+ status: Muestra el estado actual del servidor de nombres,
+ stop: Detiene el servidor, guardando y actualizando dinamicamente los
datos antes de salir.
Resolucién de problemas en BIND
En este punto del capitulo, deberia tener un conocimiento funcional acerca de
DNS. También deberia saber Como configurar sus archivos y cémo corregir pro-
Dlemas de sintaxis, como errores tipograticos,
En sta secci6n, cubriremos algunos aspectos basicos, problemas comunes que
puede encontrar cuando BIND y DNS estan funcionando. No es un tratado ex
haustivo, pero deberia ayudarle a ejecutar DNS en su servidor Lintx si tiene
problemas para que su dominio resuelva nombres de equipos o haga transferen-
cias de zona,
‘Nota: El disci de sistema de nombres de dominio cs robust, peroen ocd
sones puerden aparecererrores. Siguendo estrctamente los patrones par
«ear archivos de zona descrfos anteriormente en este capitulo, pede evitar
problemas que estan fuera del aleance de est libro.
No se puede conectar usando mde
Para empezat, veamos un consejo sobre resolucién DNS, Anteriormente, vi-
‘mos cémo el comando status de rnde muestra el estado actual de ejectcion de
ElLsistema de nombres de dominio 93
nuestro servidor DNS. Probemos a entrar en el sistema como root y ejecutar el
comand:
Sebug Levels ©
query logging 3 OFF
Leomando rnde depende de una clave compartida en el archivo /ete/bind/
nde. key para que named acepte sus comandos, Problemas con este archivo
pueden evitar que mdc envie los comandos.
‘Agus un ejemplo de que deberiamos ver si el archivo de la clave no existiera
‘pind/endc.cont nor /ate/bind/rnde,koy was found
Podemos comprobar gue el archivo no existe con este comand:
event P14 <1 /ate/bind/enda key
Ser fete/bina/ende. key: No uch fle or aivectory
Podemos solucionar el problema regenerando el archivo de la misma forma
que lo hace la instalacion de BIND:
servers ende-contgan -2
Bervesiiog Ia 1 /eca/sina/ rads. Key
Thee ---- 1 toot bind 97 sl 19 23/38 /ete/bind/ende key
Debido a que named no tiene esta nueva clave, debemos matar el proceso,
named y reiniciarlo. Para ello, haremos uso del comando del sistema killall, que
coge la ruta completa del nombre del programa named.
Para detener named de manera correcta, ejecutaremos el comando killa dos
veces en un intervalo de unos cuantos segundos, luego reiniciamos named:
eerverti-f RiMlal2 -THRM /uer/sbin/aaned
Secverlof killa] “KILL /uer/obin/aaned
jaax/ediaysaneds no proceaa kttlee
pecverl--4 /aee/inie-a/bing® stare
ssvasisnf rade status94 EL sistema de nombres de dominio
debug Levens 0
fon querien in progress: 0
Server ie up ana running
named se inicia pero no resuelve nombres
Ahora, veamos algunas situaciones donde named no funciona correctamente.
1a localizacién incorrecta de los archivos BIND a menudo causa problemas, ¢5-
pecialmente en entornos chroot donde los archivos BIND estan en un directorio
islado, Si named se inicia bien pero no carga ningan archivo de zona, puede que
no estén en el directorio aislado, Necesitara mirar el archivo /var/1og/aysloa
para ver sieste es el caso, He aqut un ejemplo de log:
pescting BIND 9.2.4 -u Bind -t /var/ltb/named
Maing 2 CPU,
Loading contiguration fron '/ete/bind/naned. cont’
Listening on #v4 interince Lo, 227°0.0. 1859
Listening on TPv4 snteeface eth, 70.253.258. 42452
command hanne? Listening oa 127"0.0. 1893,
command chanced Listening on :14953
EL oy muestra que BIND se ha iniciado, pero no incluye lmeas indicando que
los archivos de zona se han eargado. Ya que named se ¢jecuta en un entorne
chroot en /var/1ib/named, buscaré todos los archivos relativos del directorio,
Por lo que realmente esta leyendo el archivo /var/1ib/namea/ete/bind/
named. cont para la lista de zonas que debe cargar. Cada uno de estos archivos
de zona debe colocarse en la ruta relativa del directorio /var/1ib/named,
Otro error comin ¢s el fallo de una conexion que involucra a rnde al recargar
o reiniciar el servidor de nombres:
byete/init.d/ binds retoee
Stopping naned: de! connect failed: conection refuoed
tor)
Starcing ameds 08)
.
Este tipo de error también puede suceder como resultado de ejecutar BIND en
un entorno chroot, cuando uno 0 mas archivos no esta en el directorio aislado,
Puede comprobar si los archivos estdn en las localizaciones correctas as:
te -2 /ver/1sb/naned/ate/bind/aamed.cont
Tevtele!"Y’voat pind 1611 2006-08-07 12523. /vat/Lib/naned/ate/bsna/
H sistema de nombres de dominio 95
4 As /vas/2in/naned/eve/bina/
Grd Ndbslocal~ nanedconf Local pri.contraisofe.org
5.127 detect” nawed.conf eptione Prk cpensourcetodsy.
b.255 naned.conf pei.256.18,67 Sn-aade_arpatnde.key
Seveopty aagad.cont pri, 19¢.10 67 Anaade expe gones.rfc2918
Si estos archivos no existen, el entorno chroot no est configurado adecuada
‘0 completamente. Vuelva al comienzo del capitulo y siga las instrucciones con
cuidaclo para asegurarse de que cada archivo esta en su lugar.
Una vez arreglado el problema, necesitars parar y reit
iciar named para que
‘nde pueda conectar con el servidor. Use la secuencia le commandos killa deserita
en la seccion previa
yee so R61a21 THRO /aes/ebLe/naned
0h Rildall “RELL /eer/abie/named
fat/ehin/nened: no. process Killed
server. fh sabe/tnieca/oina® start
Scareing donin some service: nemod,
Ahora, compruebe el archivo /var/1o3/sysiog para ver silos archivos de
zona se han cargado. Deberia ver algo como esto:
carting sii 9.2.4 -u ind -¢ /var/itb/named
"onding configuration tron «/ete/eing/aaned cont
Listening on dbv4 interface 10, 227-0-0.2053,
Hetening on dvd Lntertace etho, 74.254 .150.42053
Saad channel Taseenseg on 14989
fone a,gsi7-in-adde-arpa/sm Loaded serial 1
tone centealgott.org/MKs loaded xeriel 2005070502,
iene supporteallorg/1: lasded serial 2006052708
running
No se reconocen los equipos
Et siguiente paso es comprobar el correct funcionamiento de DNS para ase-
_gurarse de que las consultas acezea de sus equuipos se responden de manera adle-
‘cuada, Primero, necesita asegurarse de que el archivo /ete/resolv. cont lista
sus servidores de nombres con las direcciones correctas. La mayorfa de los pro-
_gramas usan las direcciones de este archivo para determinar qué servidorcs de
nombres deben consultar y en qué orden:86 H sistema de nombres de dominio
servertsp cat /ete/reselv.cont
E] comando host hace una simple busqueda DNS usando los servidores lista-
dos en el archivo /etc/resolv.cont, Necesita el equipo a buscar como
parimetro, y un segundo pardmetro optional hace que el eomando consulte a
lun servidor de nombres especifico. He aqui dos ejemplos del comando hest y sus
resultados:
Giver -# heat wn cantealaott org server! centralsott org
Una alternativa a host es el comando dig, que es més complejo pero ofrece
respuestas mas detalladas. También tiene mas opciones que le posibilitan realizar
consultas mas especificas. La sala de dig esta formateada segtin la sintaxis del
archivo de zona. Esto es una ventaja, puesto que una vez que haya aprendido
{qué formato tienen los registros en un archivo de zona, puede comprender faeil-
‘mente los detalles de estos registros en la salida de dig. dig también ofrece infor-
‘maci6n adicional sobre los resultados de la consulta en los comentarios que
cempiezan por el cardcter "
Echemos un vistazo al resultado del comandlo dig. Muchas lincas de la salida
de dig son muy largas y no caben en el disefio de pagina de este libro. Ln el
siguiente Histado, las hemos divide en lineas, Pod ver un resultado similar cuando
Jo ejecute en su linea de comandos:
servaris# dig wncentraiaofe.org &
Fy global options? printom °
3 epcode: QUERY, atarus: NOBRROR, 4: 1699
|
El sistema de nombres de dominio 97
Sentaieote or actoo OS sexverd.centralsott.org
Centaleote ora) Seo Tf SG gervesz ceneenlacte ong
2 query eter 1 eee
2) SuRvER: 70.299. 158.42453,70.259.256.42),
La primera parte de la salida indica varios e6digos de estado y banderas, Pres~
te atencidn particular al valor del estado de la cuarta linea. Es este ejemplo, el
valor es NOERROR, Cualquier otro valor india algan tipo de problema
Los datos para la zona actual se dividen en cuatro secciones;
+ QUESTION: Esta seccién actualmente detalla una consulta, Se muestra
como un comentario porque no es la informacion que deberfa estar en un
archivo de zona,
‘+ ANSWER: Esta seccién contiene los resultados actuales solicitados por la
consulta. Mostrar los registros espectficos solicitadas, si estan dispon
bles, 0 todos los registros si se esta usando el tipo de consulta especial.
+ AUTHORITY: Esta sevcign identifica los servidores de nombres oficiales
para Ja zona de la que viene la transferencia,
+ ADDITIONAL: Esta seecién ofrece las direcciones de algunos 0 de todos los
nombres de las secciones anteriores, para evitar ef problema de hacer mas
consultas para obtener esa informacion. Ahora, veamos lo que deberta
hacer si se produjera un eror. El ejemplo anterior usaba un nombre de
equipo valido para cl servidor Web. Esta vez lanzaremos una consulta
para el nombre de un servidor FTP que no hayamos configurado en nues-
tro archivo de zona:
2 eos DIG 9.2.4 cess Eep.cenbralaott.org a
ScHGAdSRC-~ opcode. QUERY, etarus: NADONAEN, Sa 6592
Hy lage: qe aa £0 ay QOHRY: 1, ANSWER: 0, AUTBORITY: 1, ADDITIONAL: 028. sistema de nombres de dominio
Seeteaisots.ora,S640o N08 gervert.cenratenttorg. ain
‘SERVER: 70,253. 156.42453 70.259. 288,421
serrecaid
Poese en que el estado para la consulta es NADOMAIN, que en esencia significa
“no existe tal nombre de dominio”. Si usted no tiene o introduce mal el nombre de
‘equipo en el archivo de zona, obtendira este error,
Otro tipo de error que podria ver con dig es cuando un nombre de dominio:
hha sido delegado a su servidor de nombres, pero el dominio no esta configurado
en el servidor o falla al cargarse. Este error devuelve un estado dle SERVEAIL. Si
ve este error para alguno de sus dominios, necesita afiadir el dominio a su ar~
chivo named..conf y asegurar que existe un archivo dle zona valido, Si el error
‘ocurre después de haber dado estos pasos, compruebe el archivo /var/103/
sysLog para ver los mensajes que indican por qué no se ha eargado la zona.
Demostraremos el problema con un nombre de dominio que esta registrado,
pero que no esti en uso:
servoris-# dig Umbelp.org ©
e298 DIG 9.2.4 cess Lamelp org 5
ygispal options. printond
)