Fernando Garcia

Suscríbete, comparte y dale me gusta a los vídeos, así ayudarás a JGAITPro para que siga adelante llevando Conocimiento para TI totalmente gratis. Dale! no te cuesta nada, también puedes ayudarnos en http://JGAITPro.com/donar

Uno de los requisitos necesarios para conectar el Directorio Activo a cualquier equipo hardware principalmente los Firewalls, es conectarlo a LDAP y así desde el propio equipo poder dar permisos a los usuarios a las aplicaciones.

Una manera sencilla pero que debemos de tener mucha precaución es obtener esa cadena LDAP usando el ADSI Edit

Esta opción la tenemos disponibles en los DC Windows, pero como he dicho debemos de tener mucho cuidado ya que cualquier cambio no controlado puede afectar nuestro directorio activo.

En este ejemplo vamos a utilizar un usuario ubicado en la OU Tecnología IT.

El usuario es Peter Diaz.

Ya una vez ubicado el usuario nos vamos al ADSI EDIT para localizar la cadena LDAP.

Apenas abrir el ADSI EDIT nos vamos a la OU y veremos inmediatamente la cadena LDAP.

En este ejemplo la cadena es: OU=Tecnologia IT,DC=pdiaz,DC=com

Es toda la informacion que debemos de colocar en el equipo firewall o hardware en el campo LDAP.

Luego por supuesto colocar el user y el pasword correspondiente para que se pueda conectar.

Hasta la próxima….

Peter Frank

MVP/MCT/MCSE Productivity & Communication

Si alguna vez has usado Windows en versiones anteriores a la 8 y a la 10, estás al tanto de que en aquellos tiempos el único lugar en el que podías gestionar los programas que se iniciaban con Windows era a través de MSCONFIG. Sin embargo, a partir de Windows 8, Microsoft movió esta información al Administrador de Tareas.

Además de permitirte deshabilitar programas, la nueva pestaña de Inicio ofrece nuevas y mejoradas funcionalidades. Por ejemplo, puedes rastrear la localización de un archivo en tu disco duro, así como buscar en la web de forma instantánea para recibir información más detallada acerca de un programa. Incluso puedes obtener información adicional habilitando más columnas en la vista por defecto.

¿Qué información podemos consultar por defecto?

Para poder hablar de esto, en primer lugar abre el Administrador de Tareas haciendo clic con el botón derecho en la barra de tareas. Cuando esté abierto, selecciona la pestaña inicio. Deberías encontrarte con algo parecido a esto:

Como ya hemos comentado, se trata de una lista de programas que se inician cuando arranca Windows. Para investigar más acerca de ellos, haz clic con el botón derecho en cualquiera y elige entre las opciones que verás en el menú:

Cada una de ellas hace lo siguiente:

• "Deshabilitar" hace que el programa deje de estar operativo. Si ya está deshabilitado, la opción se cambiará por "Habilitar".
• "Abrir ubicación del archivo" mostrará en qué carpeta está el archivo ejecutable.
• "Buscar en línea" abrirá una búsqueda en Internet para que podamos recabar más información sobre el programa.
• "Propiedades" abrirá el cuadro de diálogo por defecto en el que encontraremos toda clase de datos sobre el software.

Además, hay una columna llamada "Impacto de inicio" que nos permite saber cuánto afecta un programa al arranque de Windows. Esta medida se determina por la cantidad de recursos del procesador y del disco duro que una aplicación necesita para empezar a funcionar durante el arranque. Después se puede usar este valor para determinar qué aplicaciones están sumando tiempo al arranque, lo que puede ayudar a saber cuáles deshabilitar.

Según Microsoft, los valores de impacto se determinan de la siguiente manera:

• Alto: usan más de un segundo de tiempo de CPU o más de 3 MB de E/S del disco duro en el arranque.
• Medio: requieren de 300 milisegundos a un segundo en la CPU y de 300 KB a 3 MB de disco duro.
• Bajo: necesitan utilizar menos de 300 milisegundos en el procesador y menos de 300 KB en el disco.

Añadir columnas adicionales

A través de estas columnas que puedes añadir se puede obtener más detalles sobre las aplicaciones que arrancan con nuestro sistema operativo. Para colocarlas en la vista de la pestaña Inicio, haz clic con el botón derecho en cualquier columna que ya esté presente:

Si añades la columna "E/S de disco al inicio" verás la cantidad memoria en disco que requiere cada aplicación para arrancar. Si habilitas "Tipo de inicio" podrás comprobar si cada programa se inicia desde un archivo o desde un registro y "Tiempo deshabilitado" te dirá durante cuánto tiemp un programa concreto ha estado en ese estado. Por último, la columna "Línea de comandos" te dirá la ruta exacta y el archivo ejecutable que Windows usa para lanzar el programa.

También te recomendamos

Cómo añadir un mensaje personalizado al inicio de Windows

Trucos de conducción que te hubiera gustado aprender en la autoescuela (I)

Cómo borrar cualquier rastro en el registro de Windows de un programa desinstalado

-
La noticia Sácale más partido a la pestaña Inicio del Administrador de Tareas añadiendo columnas fue publicada originalmente en Genbeta por Sergio Agudo .

In today’s guest blog, Andy Clark, Engineering Manager at RealVNC, introduces VNC Connect: a brand-new, and free, version of VNC that makes it simple to connect securely to your Raspberry Pi from anywhere in the world.

Since September 2016, every version of Raspbian has come with the built-in ability to remotely access and control your Raspberry Pi’s screen from another computer, using a technology called VNC. As the original inventors of this technology, RealVNC were happy to partner with Raspberry Pi to provide the community with the latest and most secure version of VNC for free.

We’re always looking to improve things, and one criticism of VNC technology over the years has been its steep learning curve. In particular, you need a bit of networking knowledge in order to connect to a Pi on the same network, and a heck of a lot to get a connection working across the internet!

This is why we developed VNC Connect, a brand-new version of VNC that allows you not only to make direct connections within your own networks, but also to make secure cloud-brokered connections back to your computer from anywhere in the world, with no specialist networking knowledge needed.

I’m delighted to announce that VNC Connect is available for Raspberry Pi, and from today is included in the Raspbian repositories. What’s more, we’ve added some extra features and functionality tailored to the Raspberry Pi community, and it’s all still free for non-commercial and educational use.

‘Back to my Pi’ and direct connections

The main change in VNC Connect is the ability to connect back to your Raspberry Pi from anywhere in the world, from a wide range of devices, without any complex port forwarding or IP addressing configuration. Our cloud service brokers a secure, end-to-end encrypted connection back to your Pi, letting you take control simply and securely from wherever you happen to be.

While this convenience is great for a lot of our standard home users, it’s not enough for the demands of the Raspberry Pi community! The Raspberry Pi is a great educational platform, and gets used in inventive and non-standard ways all the time. So on the Raspberry Pi, you can still make direct TCP connections the way you’ve always done with VNC. This way, you can have complete control over your project and learn all about IP networking if you want, or you can choose the simplicity of a cloud-brokered connection if that’s what you need.

Simpler connection management

Choosing the computer to connect to using VNC has historically been a fiddly process, requiring you to remember IP addresses or hostnames, or use a separate application to keep track of things. With VNC Connect we’ve introduced a new VNC Viewer with a built-in address book and enhanced UI, making it much simpler and quicker to manage your devices and connections. You now have the option of securely saving passwords for frequently used connections, and you can synchronise your entries with other VNC Viewers, making it easier to access your Raspberry Pi from other computers, tablets, or mobile devices.

Direct capture performance improvements

We’ve been working hard to make improvements to the experimental ‘direct capture’ feature of VNC Connect that’s unique to the Raspberry Pi. This feature allows you to see and control applications that render directly to the screen, like Minecraft, omxplayer, or even the terminal. You should find that performance of VNC in direct capture mode has improved, and is much more usable for interactive tasks.

Getting VNC Connect

VNC Connect is available in the Raspbian repositories from today, so running the following commands at a terminal will install it:

sudo apt-get update

sudo apt-get install realvnc-vnc-server realvnc-vnc-viewer

If you’re already running VNC Server or VNC Viewer, the same commands will install the update; then you’ll need to restart it to use the latest version.

There’s more information about getting set up on the RealVNC Raspberry Pi page. If you want to take advantage of the cloud connectivity, you’ll need to sign up for a RealVNC account, and you can do that here too.

Come and see us!

We’ve loved working with the Raspberry Pi Foundation and the community over the past few years, and making VNC Connect available for free on the Raspberry Pi is just the next phase of our ongoing relationship.

We’d love to get your feedback on Twitter, in the forums, or in the comments below. We’ll be at the Raspberry Pi Big Birthday Weekend again this year on 4-5 March in Cambridge, so please come and say hi and let us know how you use VNC Connect!

The post Get ‘Back to my Pi’ from anywhere with VNC Connect appeared first on Raspberry Pi.

Echa un vistazo a la foto que encabeza este artículo. Se trata de uno de los nuevos televisores QLED de Samsung expuesto en un entorno real (vamos, no hay Photoshop ni retoque), al que hay conectado una Xbox One, un Apple TV y un decodificador de Movistar+. Seguro que pronto hay algo que te llama la atención: no hay cables visibles (y no, tampoco van por detrás de la pared). Si lo pudieras ver de perfil, también te sorprendería ver que la pantalla está pegada a la pared como si de un cuadro se tratase. ¿Y los cables? ¿Y la "ventilación"?

Del panel del modelo que te mostramos tan sólo salen dos cables: el de alimentación y uno propietario de Samsung. Ambos cables bajan por una canaleta que los oculta hasta el armario que se puede ver a la izquierda. No se aprecia en la foto porque está tapado, pero el cable "invisible" de Samsung es de fibra, fino, transparente y por él pasa toda la información al televisor. El panel, por tanto, puede "pegarse" a la pared casi por completo gracias a una montura especial.

Cable de "Conexión invisible" de Samsung: éste, junto al cable de alimentación, es el único cable que va directamente al panel de las nuevas QLED

El "cerebro" de la tele, un dispositivo independiente

Samsung One Connect: el "cerebro" de las nuevas QLED va en un dispositivo independiente, al que se conectan todos los cables

Pero volvamos al armario de la izquierda. En él se aloja el verdadero "cerebro" del televisor: le llaman Samsung One Connect y tiene forma de decodificador, pero en realidad en su interior está la CPU y todos los demás componentes que necesita el televisor para funcionar. También actúa como "hub" de conexiones: a él van conectados todos los dispositivos de los que hablaba el principio, y de él sale el cable "invisible" hacia la pantalla.

Aunque Samsung ha apostado por esta "caja" adicional para su nueva línea de televisores QLED, en realidad llevan desde 2013 ofreciendo distintas opciones de One Connect y probando diferentes estrategias. La Samsung KS9000 del año pasado, así como otros modelos de sus gamas altas, incluían una cajita denominada Samsung One Connect Mini, que simplemente actuaba como una caja de conexiones (con HDMIs, USBs y entrada de antena, por ejemplo).

El One Connect Mini de la Samsung KS9000 era simplemente una "caja" de conexiones

Aunque nunca fue demasiado conocido, en 2015 también llegaron a vender un One Connect Box Evolution Kit, que permitía que televisores de 2013 y 2014 tuvieran un mejor rendimiento y pudieran utilizar la misma interfaz (mando a distancia incluido) y Smart TV que el de los modelos que acababan de llegar al mercado. En el caso de aquel modelo concreto, por ejemplo, con la potencia añadida las teles ya tenían suficientes recursos para reproducir vídeos de YouTube en 4K.

¿Por qué entonces estamos en pleno 2017 hablando de esto? Porque por primera vez Samsung utiliza esto como argumento en la promoción de su nueva generación de televisores QLED. ¿Su razón? Gracias a esto y su nuevo cable son capaces de ofrecer la experiencia sin cables que algunos añoramos. Pero los televisores modulares podrían tener todavía una mayor razón para existir si los fabricantes apostaran de verdad por ellos.

No sólo Samsung: también Xiaomi y LG

Samsung no es la única marca que lleva un tiempo experimentando con algo similar, y es que es normal que vayamos viendo alternativas de este tipo cuando cada vez más los fabricantes están apostando por hacer los televisores más finos. Los nuevos televisores LG Signature de este año llevan una especie de "mesita" que tiene función de sistema de sonido y, aunque LG no lo especificó en su presentación, se encargan de toda la conectividad, de la CPU y del resto de componentes. Si no fuera así, difícilmente podrían conseguir esos 3 mm de grosor de los que presumen.

Como puede verse en el vídeo de montaje que han publicado recientemente, de la pantalla sale un único cable que va directamente al sistema de sonido que, a su vez, recibe el resto de conexiones:

Quien no lo oculta, sino que más bien presume de ello, es Xiaomi: durante el CES presentó el Mi TV 4, un televisor de 4,9 mm en su parte más delgada que incluye una barra de sonido independiente. La barra de sonido no sólo se ocupa del audio, sino que a ella van todas las conexiones y toda la parte electrónica del televisor. Ésta se conecta al panel con un Mi Port, un único cable propietario por el que pasan todos los datos.

La Mi TV Bar es la que lleva las conexiones: a la pantalla en sí sólo va un cable, el Mi Port, además del de alimentación

"El diseño de TV modular separa de forma inteligente la placa base y el sistema de sonido de la pantalla, y por tanto permite actualizaciones de la placa base independientes", explican en el sitio web de Xiaomi. Los modelos 3 (2015) y 3S (2016) ya utilizaban un sistema similar, pero hasta ahora el fabricante chino no había incidido en ello como una ventaja.

Tiene sentido, pero los fabricantes tienen que cumplir su parte

Sí, sé lo que alguien puede estar pensando: "otro aparato más a meter en el salón, como si ya hubiera pocos". Y ese alguien tiene toda la razón: no deja de ser un dispositivo independiente que, en el caso de Samsung, no tiene una funcionalidad específica adicional. LG y Xiaomi al menos te incluyen el sonido, algo muy necesario cuando hablamos de teles muy delgadas y sin posibilidad física de ofrecer un buen audio.

Sin embargo, este diseño "modular" tiene sus ventajas. Desde el punto de vista de la estética, hace que ocultar los cables sea mucho más sencillo (tan sólo hace falta uno entre pantalla y "cerebro") y permite que los paneles parezcan cuadros, "pegados" a la pared como si así lo fueran. Fuera conectores por la parte trasera del panel y fuera cables colgando.

A la izquierda, tele con montura convencional. A la derecha, tele Samsung QLED con montura pegada a la pared

Estos diseños por ahora se suelen ver sólo en los modelos de las gamas más altas de los principales fabricantes, por lo que no es extraño que las gamas medias y las gamas bajas todavía no dispongan de cajas de conexión similares. Supongo que será cuestión de tiempo: en cuanto las teles ultrafinas bajen de precio y lleguen a más gamas, seguramente veremos este tipo de módulos en modelos mucho más asequibles.

Pero la verdadera utilidad de que un televisor se componga de dos piezas separadas es lo fácil que, siempre que los fabricantes quieran, pueden permitir que cualquier persona con un modelo de unos años de antigüedad pueda renovar, en mayor o menor medida, sus funcionalidades. Y esto, en dispositivos caros que renovamos con muy poca frecuencia y especialmente ahora que hay tantos avances y cambios de un año para otro, puede ser algo a tener muy en cuenta.

Y si no que se lo digan a quien gasta ahora 2.000 euros o más en una tele y al año siguiente le queda "desfasada". Sin falta de irse a tanto dinero, para gamas bajas y medias también puede ser útil. En mi caso, una Smart TV de gama media comprada en 2013 se ha quedado totalmente anticuada en software (Netcast 4.5), potencia (aplicaciones que van a pedales) y conectividad (pocos puertos y versiones antiguas). La parte del software se puede solucionar comprando otro aparato adicional, pero ¿si lo solucionaras todo con un único módulo?

Si el día de mañana tu fabricante cambia el sistema operativo de su Smart TV, la interfaz de sus menús, el mando a distancia e incluso introduce mejoras en el procesado de la imagen que sólo son posibles gracias a un aumento de capacidad del procesador, podría incluir todas estas novedades en una "caja" nueva que poder ofrecer a los poseedores de modelos de años anteriores. Que nadie espere que una actualización de este tipo vaya a hacer que su actual tele 4K vaya a convertirse en el futuro 8K (el panel sigue siendo el mismo), pero hay muchos otros componentes en un televisor que van mejorando cada año.

Aunque, para que todo esto tenga sentido de verdad, los fabricantes tienen que ponerse las pilas y comprometerse a que sus teles sean actualizables durante X años. Ni Samsung ni LG se han pronunciado al respecto sobre sus modelos de 2017, aunque parece poco probable que sean candidatos a recibir una actualización de hardware en 2018 (si lo fueran, seguramente lo habrían anunciado por todo lo alto para dar tranquilidad a sus posibles compradores). Xiaomi sí lo ha confirmado, aunque sin dar más detalles sobre hasta cuándo. Para que los televisores modulares tengan sentido más allá de de la pura estética, hace falta que los fabricantes se comprometan.

También te recomendamos

QLED y Nano Cell: qué son y por qué decimos que pueden competir con la calidad del OLED

QLED es la nueva tecnología en televisores de Samsung que busca igualar la calidad de los paneles OLED

¿Por qué en Rusia hay que llevar una cámara en el coche?

-
La noticia Tu próxima tele podría venir en dos "piezas" y, si los fabricantes quieren, tendrá todo el sentido del mundo fue publicada originalmente en Xataka por María González .

Ars Technica da cuenta del trabajo de unos investigadores que han desarrollado un método efectivo al 99% para identificar a un usuario que navega por la web aunque utilice diferentes navegadores en un mismo ordenador.

Esto normalmente se hace a través de cookies, pero una forma sencilla y conocida de evitar ser «reconocido» por los sitios web que se visitan es simplemente usar otro navegador (por ejemplo Firefox, Opera o Edge en vez de Chrome) en la misma máquina. Las cookies no se comparten de una aplicación a otra.

Pero esta técnica evita usar ese truqui: lo que hace es aprovechar la información relativa al hardware del equipo y los propios navegadores sobre hora, plataforma, tamaño de la pantalla, tipografías, etcétera) – además de las clásicas cookies, las supercookies y las cookies eternas– para calcular cuán probable es que cierto visitante sea el mismo que otro, aunque los navegadores sean diferentes. La fiabilidad es muy alta.

Es similar a aquello que ya nos descubrió Panopticlick hace años: que es muy fácil identificar a un navegador determinado porque no hay dos iguales. (Prepárate a temblar y sentirte desnudo si lo visitas.)

Los detalles del trabajo están aquí: (Cross-)Browser Fingerprinting via OS and Hardware Level Features.

Esta técnica tiene diversas consecuencias para la privacidad, seguridad y funcionalidad de los sitios web, porque como siempre todo depende de cómo se use. La primera impresión es que sin duda se empleará más para el mal que para el bien y es casi seguro que surjan contramedidas en forma de plugins y otras técnicas y escaramuzas, del mismo modo que en su día surgieron los «modos anónimos», el Do not Track y similares.

# Enlace Permanente

El mercado de las videollamadas tiene un nuevo competidor. Se llama Chime, y es la apuesta de Amazon para comerle terreno a Skype con una plataforma propia que funciona por igual en móviles o PC de cualquier sistema operativo.

Read more...

Los amantes de los videojuegos seguramente sueñan con contar en sus equipos con las configuraciones más potentes tanto a nivel de CPU como de GPU, y en este sentido la combinación de varias tarjetas gráficas era una de las opciones más atractivas. Lo que ocurre es que combinar varias tarjetas gráficas no solo sirve para jugar.

De hecho un grupo de expertos en seguridad han desvelado cómo combinar nada menos que ocho GeForce GTX 1080 para un propósito singular: crackear contraseñas a velocidades de vértigo.

Una potencia brutal para romper contraseñas

El servidor dedicado a romper contraseñas no es barato, pero desde luego no es tan caro como suelen ser los supercomputadores que se centran en esta tarea. Los creadores del mismo hacen usaron de una placa base de Tyan, tradicional en las configuraciones multiCPU y multiGPU, a la que "inundaron" con 2 procesadores Xeon E5, 64 GB de memoria, un SSD de 1 TB y 8 tarjetas EVGA GeForce GTX 1080 Founders Edition (recomiendan esas ediciones específicas).

El software utilizado para controlar ese singular servidor es Ubuntu 14.04.3 Server, sobre el cual corren tanto hashcat como hashview, dos programas muy populares entre los "cazadores de contraseñas".

El uso de diccionarios (en ciertos casos) y de la potencia bruta de la computación GPGPU que ofrecen esas ocho tarjetas gráficas bestiales hace el resto. En una prueba sintética rápida comprobaron cómo ese servidor era capaz de llegar a ofrecer 341 GH/s (gigahash por segundo, mil millones de comprobaciones de contraseñas), algo que lógicamente hace que incluso la búsqueda con métodos de fuerza bruta sean factibles en ciertos escenarios.

Este tipo de servidor puede usarse para realizar auditorías de seguridad en todo tipo de servicios web, pero también para verificar que las contraseñas siguen siendo el eslabón débil de muchos usuarios que tratan de proteger sus datos. En un ejemplo del que mostraban la captura se veía como contraseñas como "Passw0rd!", "Password1", "Winter2017" o "Password!" eran especialmente populares en el fichero analizado. Lo que todos nos preguntamos, claro, es qué tal se jugaría a "Battlefield 1" o a "Overwatch" con este "monstruo".

Más información | ShellIntel
En Xataka | NVIDIA Pascal: 1 TB/s y hasta 32 Gb de RAM para intentar reinar entre las tarjetas gráficas

También te recomendamos

Cambia de password: este generador de contraseñas inspirado en xkcd te ayuda

La Raspberry Pi Zero se convierte en un diminuto sistema de hacking letal gracias a PoisonTap

¿Por qué en Rusia hay que llevar una cámara en el coche?

-
La noticia Ocho tarjetas GTX 1080 conectadas sirven no para jugar, sino para crackear contraseñas fue publicada originalmente en Xataka por Javier Pastor .

¡Hola amigos!. El objetivo principal de este artículo es mostrar cómo podemos integrar el servicio DNS basado en el BIND9 en una red Microsoft, muy común en muchas PYMES.

Surge de la solicitud oficial de un amigo que vive en La Tierra del Fuego –El Fueguino– especializado en Redes Microsoft® -Certificados incluidos- de guiarlo en ésta parte de la migración de sus servidores a Linux. Los Costes del Soporte Técnico que pagan a Microsoft® ya son Insoportables para la Compañía en que trabaja y de la que es su Accionista Principal.

Mi amigo El Fueguino tiene un gran sentido del humor, y desde que vio la serie de tres películas “El Señor de los Anillos” quedó prendado de muchos de los nombres de sus personajes sombríos. Así que, amigo Lector, no se extrañe de los nombres de su dominio y de sus servidores.

A los recién llegados al tema y antes de continuar la lectura le recomendamos lean y estudien los tres artículos anteriores sobre las Redes PYMES:

• DNS y DHCP en openSUSE 13.2 “Harlequin”
• DNS y DHCP en CentOS 7
• DNS y DHCP en Debian 8 “Jessie”

Es como ver tres de las cuatro partes de “UnderWorld” publicadas hasta hoy, y que ésta sea la cuarta.

Parámetros generales

Después de varios intercambios vía e-mail, al fin quedé claro de los parámetros principales de su red actual, los cuales son:

Nombre de dominio  mordor.fan
Red LAN         10.10.10.0/24

===============================================================================
Servidores      Dirección IP    Propósito (Servidores con SO Windows)
===============================================================================
sauron.mordor.fan.  10.10.10.3  Active Directory® 2008 SR2
mamba.mordor.fan.   10.10.10.4  Servidor de archivos Windows
darklord.mordor.fan.    10.10.10.6  Proxy, gateway y firewall sobre Kerios  
troll.mordor.fan.   10.10.10.7  Blog basado en... no recuerdo
shadowftp.mordor.fan.   10.10.10.8  Servidor FTP
blackelf.mordor.fan.    10.10.10.9  Servicio e-mail completo
blackspider.mordor.fan. 10.10.10.10 Servicio WWW
palantir.mordor.fan.    10.10.10.11 Chat en Openfire para Windows

Le pedí permiso a El Fueguino para establecer tantos Alias como fueran necesarios para aclarar mi mente y me dio su autorizo:

Real       CNAME
==============================
sauron      ad-dc
mamba       fileserver
darklord    proxyweb
troll       blog
shadowftp   ftpserver
blackelf    mail
blackspider www
palantir    openfire

Todos los registros DNS importantes los declaré en mi instalación de un Active Directory Windows 2008 que me vi obligado a implementar para guiarme en la confección de éste post.

Sobre los registros SRV del DNS de un Active Directory

Los Registros SRV o Localizadores de Servicios -muy empleados en los Active Directory de Microsoft- se definen en la Request for Comments RFC 2782. Permiten la localización de un servicio basado en el protocolo TCP/IP mediante un consulta DNS. Por ejemplo, un cliente en una red Microsoft puede localizar la ubicación de los Controladores de Dominio – Domain Controllers que brindan el servicio  LDAP sobre el protocolo TCP por el puerto 389 mediante una sola consulta DNS.

Es normal que en los Bosques – Forests, y Árboles – Trees de una gran Red Microsoft existan varios Controladores de Dominio. Mediante el uso de los registros SRV en las diferentes Zonas que conforman El Espacio de Nombres de Dominio de esa Red, podemos mantener una Lista de los Servidores que brindan similares servicios bien conocidos, ordenados por preferencia acorde al protocolo de transporte y el puerto de cada uno de los servidores.

En la Request for Comments RFC 1700 se definen los Nombres Simbólicos Universales para los Servicios Bien Conocidos – Well-Known Service, y se reservan nombres como “_telnet“, “_smtp” para los servicios telnet y SMTP. Si no está definido un nombre simbólico para un Servicio Bien Conocido, se puede utilizar un nombre local u otro nombre acorde a las preferencias del usuario.

El propósito de cada campo “especial” que se utiliza en la declaración de un Registro de Recurso SRV es el siguiente:

• Domain: “pdc._msdcs.mordor.fan.“. Nombre DNS del servicio al cual se refiere el registro SRV. El nombre DNS del ejemplo significa -mas o menos- Primary Domain Controller de la zona _msdcs.mordor.fan.
• Service: “_ldap”. Nombre Simbólico del servicio que se brinda definido según la Request for Comments RFC 1700.
• Protocol: “_tcp”. Indica el tipo de protocolo de transporte. Típicamente puede tomar los valores _tcp o _udp, aunque -y de hecho- se puede utilizar cualquier tipo de protocolo de transporte indicado en la Request for Comments RFC 1700. Por ejemplo, para un servicio chat basado en el protocolo XMPP, este campo tendría el valor de _xmpp.
• Priority: “0“. Declara la prioridad o preferencia para el Host offering this service que veremos mas adelante. Las consultas DNS de los clientes sobre el servicio definido por este registro SRV, al recibir la respuesta adecuada, intentarán contactar con el primer host disponible con el número mas bajo listado en el campo Priority. El rango de valores que puede tomar este campo es de 0 a 65535.
• Weight: “100“. Se puede utilizar en combinación con Priority para proveer un mecanismo de balance de carga cuando existan varios servidores que prestan el mismo servicio. Deberá existir un registro similar SRV  para cada servidor en el archivo de Zona, con su nombre declarado en el campo Host offering this service. Ante servidores con iguales valores en el campo Priority, el valor del campo Weight se puede usar como un nivel adicional de preferencia y así obtener una exacta selección de servidor para balancear la carga. El rango de valores que puede tomar este campo es de 0 a 65535. Si no se necesita el balance de carga, por ejemplo como en el caso de un solo servidor, se recomienda asignar el valor 0 para facilitar la lectura del registro SRV.
• Port number – Port: “389“. Número del puerto en el Host offering this service que brinda el servicio indicado en el campo Service. El número del puerto que se recomienda para cada tipo de Servicio Bien Conocido está indicado en la Request for Comments RFC 1700, aunque pueda tomar un valor entre 0 y 65535.
• Host offering this service – Target: “sauron.mordor.fan.“. Especifica el FQDN que identifica inequívocamente al host que provee el servicio indicado por el registro SRV. Se requiere un registro tipo “A” en el espacio de nombres del dominio para cada FQDN del servidor o host que brinde el servicio. Mas simple, un registro tipo A en la(s) zona(s) directa(s).
  • Nota:
    Para indicar de forma autoritaria que el servicio especificado por el registro SRV no se presta en éste host, se utiliza un solo (.) punto.

Solo queremos repetir que el correcto funcionamiento de una red o de un Active Directory® descansa enormemente en el correcto funcionamiento del Servicio de Nombres de Dominio.

Registros DNS del Active Directory

Para confeccionar las Zonas del nuevo Servidor DNS basado en BIND, debemos obtener todos los registros DNS del Active Directory®. Para facilitarnos la vida, vamos al equipo sauron.mordor.fan -Active Directory® 2008 SR2- y en la Consola de Administración del DNS activamos la Transferencia de Zona -directas e inversa- para las principales zonas declaradas en éste tipo de servicio que son:

• _msdcs.mordor.fan
• mordor.fan
• 10.10.10.in-addr.arpa

Una vez efectuado el paso anterior y preferentemente desde un equipo con Linux cuya dirección IP esté dentro del rango de la subred empleada por la Red Windows, ejecutamos:

buzz@sysadmin:~$ dig @10.10.10.3 _msdcs.mordor.fan axfr > temp/rrs._msdcs.mordor.fan
buzz@sysadmin:~$ dig @10.10.10.3 mordor.fan axfr > temp/rrs.mordor.fan
buzz@sysadmin:~$ dig @10.10.10.3 10.10.10.in-addr.arpa axfr > temp/rrs.10.10.10.in-addr.arpa

• Recordemos de artículos anteriores que la dirección IP del equipo sysadmin.desdelinux.fan es 10.10.10.1 o la 192.168.10.1.

En los tres comandos anteriores podemos eliminar la opción @10.10.10.3 –pregunta al servidor DNS con esa dirección– si declaramos en el archivo /etc/resolv.conf a la IP del servidor sauron.mordor.fan:

buzz@sysadmin:~$ cat /etc/resolv.conf 
# Generated by NetworkManager
search desdelinux.fan
nameserver 192.168.10.5
nameserver 10.10.10.3

Después de editar con extremo cuidado, como corresponde a cualquier archivo de zona de un BIND, obtendremos los datos siguientes:

Registros RRs de la zona original _msdcs.mordor.fan

buzz@sysadmin:~$ cat temp/rrs._msdcs.mordor.fan 
; Relativos al SOA y NS
_msdcs.mordor.fan.  3600    IN  SOA sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 3600
_msdcs.mordor.fan.  3600    IN  NS  sauron.mordor.fan.
;
; GLOBAL CATALOG
gc._msdcs.mordor.fan.   600 IN  A   10.10.10.3
;
; Alias -en la base de datos del LDAP modificado y privado de un Active Directory- de SAURON
03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 IN CNAME sauron.mordor.fan.
;
; LDAP modificado y privado de un Active Directory
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan.
_ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan.
_ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV    0 100 389 sauron.mordor.fan.
;
; KERBEROS modificado y privado de un Active Directory
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.
_kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Registros RRs de la zona original mordor.fan

buzz@sysadmin:~$ cat temp/rrs.mordor.fan 
; Relativos al SOA, NS, MX y al registro A que mapea
; el Nombre del Dominio a la IP de SAURON
; Cosas de un Active Directory
mordor.fan.     3600    IN  SOA sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 86400 3600
mordor.fan.     600 IN  A   10.10.10.3
mordor.fan.     3600    IN  NS  sauron.mordor.fan.
mordor.fan.     3600    IN  MX  10 blackelf.mordor.fan.
_msdcs.mordor.fan.  3600    IN  NS  sauron.mordor.fan.
;
; Registros A tambien importantes
DomainDnsZones.mordor.fan. 600  IN  A   10.10.10.3
ForestDnsZones.mordor.fan. 600  IN  A   10.10.10.3
; 
; GLOBAL CATALOG
_gc._tcp.mordor.fan.    600 IN  SRV 0 100 3268 sauron.mordor.fan.
_gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan.
;
; LDAP modificado y privado de un Active Directory
_ldap._tcp.mordor.fan.  600 IN  SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
;
; KERBEROS modificado y privado de un Active Directory
_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.
_kerberos._tcp.mordor.fan. 600  IN  SRV 0 100 88 sauron.mordor.fan.
_kpasswd._tcp.mordor.fan. 600   IN  SRV 0 100 464 sauron.mordor.fan.
_kerberos._udp.mordor.fan. 600  IN  SRV 0 100 88 sauron.mordor.fan.
_kpasswd._udp.mordor.fan. 600   IN  SRV 0 100 464 sauron.mordor.fan.
;
; Registros A con IP fijas -> Servidores
blackelf.mordor.fan.    3600    IN  A   10.10.10.9
blackspider.mordor.fan. 3600    IN  A   10.10.10.10
darklord.mordor.fan.    3600    IN  A   10.10.10.6
mamba.mordor.fan.   3600    IN  A   10.10.10.4
palantir.mordor.fan.    3600    IN  A   10.10.10.11
sauron.mordor.fan.  3600    IN  A   10.10.10.3
shadowftp.mordor.fan.   3600    IN  A   10.10.10.8
troll.mordor.fan.   3600    IN  A   10.10.10.7
;
; Registros CNAME
ad-dc.mordor.fan.   3600    IN  CNAME   sauron.mordor.fan.
blog.mordor.fan.    3600    IN  CNAME   troll.mordor.fan.
fileserver.mordor.fan.  3600    IN  CNAME   mamba.mordor.fan.
ftpserver.mordor.fan.   3600    IN  CNAME   shadowftp.mordor.fan.
mail.mordor.fan.    3600    IN  CNAME   balckelf.mordor.fan.
openfire.mordor.fan.    3600    IN  CNAME   palantir.mordor.fan.
proxy.mordor.fan.   3600    IN  CNAME   darklord.mordor.fan.
www.mordor.fan.     3600    IN  CNAME   blackspider.mordor.fan.

Registros RRs de la zona original 10.10.10.in-addr.arpa

buzz@sysadmin:~$ cat temp/rrs.10.10.10.in-addr.arpa 
; Relativos al SOA y al NS
10.10.10.in-addr.arpa.  3600    IN  SOA sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400 3600
10.10.10.in-addr.arpa.  3600    IN  NS  sauron.mordor.fan.
;
; Registros PTR
10.10.10.10.in-addr.arpa. 3600  IN  PTR blackspider.mordor.fan.
11.10.10.10.in-addr.arpa. 3600  IN  PTR palantir.mordor.fan.
3.10.10.10.in-addr.arpa. 3600   IN  PTR sauron.mordor.fan.
4.10.10.10.in-addr.arpa. 3600   IN  PTR mamba.mordor.fan.
5.10.10.10.in-addr.arpa. 3600   IN  PTR dnslinux.mordor.fan.
6.10.10.10.in-addr.arpa. 3600   IN  PTR darklord.mordor.fan.
7.10.10.10.in-addr.arpa. 3600   IN  PTR troll.mordor.fan.
8.10.10.10.in-addr.arpa. 3600   IN  PTR shadowftp.mordor.fan.
9.10.10.10.in-addr.arpa. 3600   IN  PTR blackelf.mordor.fan.

Hasta este punto podemos pensar que tenemos los datos necesarios para continuar en nuestra aventura, no sin antes observar los TTLs y demás datos que de forma muy concisa nos brinda la salida y observación directa del DNS de un Active Directory® 2008 SR2 de 64 bits de Microsft®.

Imágenes del DNS Manager en SAURON

Equipo dnslinux.mordor.fan.

Si observamos bien, a la dirección IP 10.10.10.5 no se le asignó nombre alguno para que precisamente quedara ocupada por el nombre del nuevo DNS dnslinux.mordor.fan. Para instalar la pareja DNS y DHCP nos podemos guiar por los artículos DNS y DHCP en Debian 8 “Jessie” y DNS y DHCP en CentOS 7.

Sistema operativo base

Mi amigo El Fueguino, además de ser un verdadero especialista en Microsoft® Windows -posee un par de Certificados expedidos por esa compañía- ha leído y puesto en práctica algunos de los artículos sobre escritorios publicados en DesdeLinux., y me comentó que expresamente quería una solución basada en Debian.

Para complacerlo, partiremos de una instalación nueva y limpia de un servidor basado en Debian 8 “Jessie”. No obstante, lo que escribiremos a continuación es válido para las distribuciones CentOS y openSUSE cuyos artículos mencionamos antes. El BIND y el DHCP son los mismos en cualquier distro. Las ligeras variaciones las introducen los mantenedores de los paquetes en cada distribución.

La instalación la haremos según lo indicado en DNS y DHCP en Debian 8 “Jessie”, poniendo cuidado en utilizar la IP 10.10.10.5 y la red 10.10.10.0/24., hasta antes de configurar el BIND.

Configuramos el BIND al estilo Debian

/etc/bind/named.conf

El archivo /etc/bind/named.conf lo dejamos tal cual se instala.

/etc/bind/named.conf.options

El archivo /etc/bind/named.conf.options debe quedar con el contenido siguiente:

root@dnslinux:~# cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root@dnslinux:~# nano /etc/bind/named.conf.options
options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        // forwarders {
        //      0.0.0.0;
        // };

        //=====================================================================$
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //=====================================================================$

    // No queremos DNSSEC
        dnssec-enable no;
        //dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035

 // No necesitamos escuchar por direcciones IPv6
        // listen-on-v6 { any; };
    listen-on-v6 { none; };

 // Para comprobaciones desde el localhost y sysadmin
    // mediante 
    // dig mordor.fan axfr
    // dig 10.10.10.in-addr.arpa axfr
    // dig _msdcs.mordor.fan axfr
    // No tenemos DNS Esclavos... hasta ahora
 allow-transfer { localhost; 10.10.10.1; };
};

// Logging BIND
logging {

        channel queries {
        file "/var/log/named/queries.log" versions 3 size 1m;
        severity info;
        print-time yes;
        print-severity yes;
        print-category yes;
        };

        channel query-error {
        file "/var/log/named/query-error.log" versions 3 size 1m;
        severity info;
        print-time yes;
        print-severity yes;
        print-category yes;
        };

                                
category queries {
         queries;
         };

category query-errors {
         query-error;
         };

};

• Introducimos la captura de los logs del BIND como un NUEVO aspecto en la serie de artículos sobre el tema. Creamos la carpeta y archivos necesarios para el Logging del BIND:

root@dnslinux:~# mkdir /var/log/named
root@dnslinux:~# touch /var/log/named/queries.log
root@dnslinux:~# touch /var/log/named/query-error.log
root@dnslinux:~# chown -R bind:bind /var/log/named

Comprobamos la sintaxis de los archivos configurados

root@dnslinux:~# named-checkconf 
root@dnslinux:~#

/etc/bind/named.conf.local

Creamos el archivo /etc/bind/zones.rfcFreeBSD con igual contenido que lo indicado en DNS y DHCP en Debian 8 “Jessie”.

root@dnslinux:~# nano /etc/bind/zones.rfcFreeBSD

El archivo /etc/bind/named.conf.local deberá quedar con el siguiente contenido:

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
include "/etc/bind/zones.rfc1918";
include "/etc/bind/zones.rfcFreeBSD";

zone "mordor.fan" {
        type master;
        file "/var/lib/bind/db.mordor.fan";
};

zone "10.10.10.in-addr.arpa" {
        type master;
        file "/var/lib/bind/db.10.10.10.in-addr.arpa";
};

zone "_msdcs.mordor.fan" {
        type master;
 check-names ignore;
        file "/etc/bind/db._msdcs.mordor.fan";
};

root@dnslinux:~# named-checkconf
root@dnslinux:~#

Archivo de la Zona mordor.fan

root@dnslinux:~# nano /var/lib/bind/db.mordor.fan
$TTL 3H
@   IN SOA  dnslinux.mordor.fan.    root.dnslinux.mordor.fan. (
                                        1   ; serial
                                        1D  ; refresh
                                        1H  ; retry
                                        1W  ; expire
                                        3H )    ; minimum or
                                                ; Negative caching time to live
;
; MUCHO CUIDADO CON LOS SIGUIENTES REGISTROS
@               IN   NS  dnslinux.mordor.fan.
@        IN  A   10.10.10.5
@               IN  MX  10 blackelf.mordor.fan.
@       IN  TXT "Wellcome to The Dark Lan of Mordor"
;
_msdcs.mordor.fan.       IN  NS  dnslinux.mordor.fan.
;
dnslinux.mordor.fan.     IN  A   10.10.10.5
; FIN DE MUCHO CUIDADO CON LOS SIGUIENTES REGISTROS
;
DomainDnsZones.mordor.fan.  IN  A   10.10.10.3
ForestDnsZones.mordor.fan.  IN  A   10.10.10.3
; 
; GLOBAL CATALOG
_gc._tcp.mordor.fan.    600 IN  SRV 0 0 3268 sauron.mordor.fan.
_gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan.
;
; LDAP modificado y privado de un Active Directory
_ldap._tcp.mordor.fan.  600 IN  SRV 0 0 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan.
_ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan.
_ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan.
;
; KERBEROS modificado y privado de un Active Directory
_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan.
_kerberos._tcp.mordor.fan. 600  IN  SRV 0 0 88 sauron.mordor.fan.
_kpasswd._tcp.mordor.fan. 600   IN  SRV 0 0 464 sauron.mordor.fan.
_kerberos._udp.mordor.fan. 600  IN  SRV 0 0 88 sauron.mordor.fan.
_kpasswd._udp.mordor.fan. 600   IN  SRV 0 0 464 sauron.mordor.fan.
;
; Registros A con IP fijas -> Servidores
blackelf.mordor.fan.    IN  A   10.10.10.9
blackspider.mordor.fan. IN  A   10.10.10.10
darklord.mordor.fan.    IN  A   10.10.10.6
mamba.mordor.fan.   IN  A   10.10.10.4
palantir.mordor.fan.    IN  A   10.10.10.11
sauron.mordor.fan.   IN  A   10.10.10.3
shadowftp.mordor.fan.   IN  A   10.10.10.8
troll.mordor.fan.   IN  A   10.10.10.7
;
; Registros CNAME
ad-dc.mordor.fan.   IN  CNAME   sauron.mordor.fan.
blog.mordor.fan.    IN  CNAME   troll.mordor.fan.
fileserver.mordor.fan.  IN  CNAME   mamba.mordor.fan.
ftpserver.mordor.fan.   IN  CNAME   shadowftp.mordor.fan.
mail.mordor.fan.    IN  CNAME   balckelf.mordor.fan.
openfire.mordor.fan.    IN  CNAME   palantir.mordor.fan.
proxy.mordor.fan.   IN  CNAME   darklord.mordor.fan.
www.mordor.fan.     IN  CNAME   blackspider.mordor.fan.

root@dnslinux:~# named-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
zone mordor.fan/IN: loaded serial 1
OK

Los tiempos TTL 600 de todos los registros SRV los mantendremos por si instalamos un BIND Esclavo en tiempos por vanir. Esos registros representan servicios del Active Directory® que mayormente leen datos de su base de datos del LDAP. Como esa base de datos cambia con frecuencia, se deben mantener cortos los tiempos de sincronismo, en un esquema DNS Maestro – Esclavo. Según la filosofía Microsoft observada desde el Active Directory 2000 hasta el 2008, se mantiene el valor de 600 para éstos tipos de registros SRV.

Los TTLs de los servidores con IP fijas, quedan bajo el tiempo declarado en el SOA de 3 horas.

Archivo de la Zona 10.10.10.in-addr.arpa

root@dnslinux:~# nano /var/lib/bind/db.10.10.10.in-addr.arpa
$TTL 3H
@   IN SOA  dnslinux.mordor.fan.    root.dnslinux.mordor.fan. (
                                        1   ; serial
                                        1D  ; refresh
                                        1H  ; retry
                                        1W  ; expire
                                        3H )    ; minimum or
                                                ; Negative caching time to live
;
@       IN  NS  dnslinux.mordor.fan.
;
10  IN  PTR blackspider.mordor.fan.
11  IN  PTR palantir.mordor.fan.
3   IN      PTR     sauron.mordor.fan.
4   IN      PTR     mamba.mordor.fan.
5   IN      PTR     dnslinux.mordor.fan.
6   IN      PTR     darklord.mordor.fan.
7   IN      PTR     troll.mordor.fan.
8   IN      PTR     shadowftp.mordor.fan.
9   IN      PTR     blackelf.mordor.fan.

root@dnslinux:~# named-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
zone 10.10.10.in-addr.arpa/IN: loaded serial 1
OK

Archivo de la Zona _msdcs.mordor.fan

Tengamos en cuenta lo recomendado en el archivo /usr/share/doc/bind9/README.Debian.gz dobre la ubicación de los archivos de las Zonas Maestras no sometidas a actualizaciones dinámicas por el DHCP.

root@dnslinux:~# nano /etc/bind/db._msdcs.mordor.fan
$TTL 3H
@       IN SOA  dnslinux.mordor.fan.    root.dnslinux.mordor.fan. (
                                        1       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum or
                                                ; Negative caching time to live
;
@               IN      NS      dnslinux.mordor.fan.
;
;
; GLOBAL CATALOG
gc._msdcs.mordor.fan.   600     IN      A       10.10.10.3
;
; Alias -en la base de datos del LDAP modificado y privado de un Active Directory- de SAURON
03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 IN CNAME sauron.mordor.fan.
;
; LDAP modificado y privado de un Active Directory
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV     0 100 389 sauron.mordor.fan.
_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan.
_ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV     0 100 3268 sauron.mordor.fan.
_ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV    0 100 389 sauron.mordor.fan.
;
; KERBEROS modificado y privado de un Active Directory
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.
_kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Comprobamos la sintaxis y podemmos ignorar el error que devuelve, ya que en la configuración de ésta Zona en el archivo /etc/bind/named.conf.local incluimos la declaración check-names ignore;. La zona será correctamente cargada por el BIND.

root@dnslinux:~# named-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: bad owner name (check-names)
zone _msdcs.mordor.fan/IN: loaded serial 1
OK

root@dnslinux:~# systemctl restart bind9.service 
root@dnslinux:~# systemctl status bind9.service 
● bind9.service - BIND Domain Name Server
   Loaded: loaded (/lib/systemd/system/bind9.service; enabled)
  Drop-In: /run/systemd/generator/bind9.service.d
           └─50-insserv.conf-$named.conf
   Active: active (running) since dom 2017-02-12 08:48:38 EST; 2s ago
     Docs: man:named(8)
  Process: 859 ExecStop=/usr/sbin/rndc stop (code=exited, status=0/SUCCESS)
 Main PID: 864 (named)
   CGroup: /system.slice/bind9.service
           └─864 /usr/sbin/named -f -u bind

feb 12 08:48:38 dnslinux named[864]: zone 3.e.f.ip6.arpa/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: zone b.e.f.ip6.arpa/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: zone 0.e.f.ip6.arpa/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: zone 7.e.f.ip6.arpa/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: zone mordor.fan/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: zone example.org/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: zone _msdcs.mordor.fan/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: zone invalid/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: all zones loaded
feb 12 08:48:38 dnslinux named[864]: running

Consultamos el BIND

Antes de instalar el DHCP, debemos efectuar toda una serie de comprobaciones que incluye hasta la unión de un cliente Windows 7 al dominio mordor.fan representado por el Active Directory instalado en el equipo sauron.mordor.fan.

Lo primero que debemos hacer es detener el servicio DNS en el equipo sauron.mordor.fan, y declarar en su interfaz de red que en lo adelante su servidor DNS será el 10.10.10.5 dnslinux.mordor.fan.

En una consola del propio servidor sauron.mordor.fan ejecutamos:

Microsoft Windows [Version 6.1.7600]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Users\Administrator>nslookup
Default Server:  dnslinux.mordor.fan
Address:  10.10.10.5

> gc._msdcs
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

Name:    gc._msdcs.mordor.fan
Address:  10.10.10.3

> mordor.fan
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

Name:    mordor.fan
Address:  10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

Name:    sauron.mordor.fan
Address:  10.10.10.3
Aliases:  03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> set type=SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan      SRV serv
ice location:
          priority       = 0
          weight         = 100
          port           = 88
          svr hostname   = sauron.mordor.fan
_msdcs.mordor.fan       nameserver = dnslinux.mordor.fan
sauron.mordor.fan       internet address = 10.10.10.3
dnslinux.mordor.fan     internet address = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = sauron.mordor.fan
_msdcs.mordor.fan       nameserver = dnslinux.mordor.fan
sauron.mordor.fan       internet address = 10.10.10.3
dnslinux.mordor.fan     internet address = 10.10.10.5
> exit

C:\Users\Administrator>

Las consultas DNS realizadas desde sauron.mordor.fan son satisfactorias.

El próximo paso será la creación de otra máquina virtual con Windows 7 instalado. Como aun no tenemos instalado el servicio DHCP, le daremos al equipo con nombre “win7” la dirección IP 10.10.10.251. También le declaramos que su servidor DNS será el 10.10.10.5 dnslinux.mordor.fan, y que el dominio de búsqueda será mordor.fan. No registraremos ese equipo en el DNS porque lo usaremos también para probar el servicio DHCP después que lo instalemos.

A continuación abrimos una consola CMD y en ella ejecutamos:

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Users\buzz>nslookup
Default Server:  dnslinux.mordor.fan
Address:  10.10.10.5

> mordor.fan
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

Name:    mordor.fan
Address:  10.10.10.3

> set type=SRV
> _ldap._tcp.DomainDnsZones
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

_ldap._tcp.DomainDnsZones.mordor.fan    SRV service location:
          priority       = 0
          weight         = 0
          port           = 389
          svr hostname   = sauron.mordor.fan
mordor.fan      nameserver = dnslinux.mordor.fan
sauron.mordor.fan       internet address = 10.10.10.3
dnslinux.mordor.fan     internet address = 10.10.10.5
> _kpasswd._udp
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

_kpasswd._udp.mordor.fan        SRV service location:
          priority       = 0
          weight         = 0
          port           = 464
          svr hostname   = sauron.mordor.fan
mordor.fan      nameserver = dnslinux.mordor.fan
sauron.mordor.fan       internet address = 10.10.10.3
dnslinux.mordor.fan     internet address = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan     SRV serv
ice location:
          priority       = 0
          weight         = 0
          port           = 389
          svr hostname   = sauron.mordor.fan
mordor.fan      nameserver = dnslinux.mordor.fan
sauron.mordor.fan       internet address = 10.10.10.3
dnslinux.mordor.fan     internet address = 10.10.10.5
> exit

C:\Users\buzz>

Las consultas DNS efectuadas desde el cliente “win7” también fueron satisfactorias.

En el Active Directory creamos el usuario “saruman“, con el objetivo de utilizarlo al unir el cliente win7 al dominio mordor.fan., mediante el método “Network ID“, usando los nombres de usuarios saruman@mordor.fan y administrator@mordor.fan. La unión se efectuó correctamente y lo prueba la siguiente captura de pantalla:

Sobre las Actualizaciones Dinámicas en el Microsoft® DNS y en el BIND

Como tenemos el servicio DNS detenido en el Active Directory® no le fue posible al cliente “win7” registrar su nombre y dirección IP en ese DNS. Mucho menos en dnslinux.mordor.fan ya que no hicimos ninguna declaración allow-update para cualquiera de las zonas involucradas.

Y aquí fue donde se formó la buena trifulca con mi amigo El Fueguino. En mi primer correo sobre éste aspecto le comenté:

• En los artículos de Microsoft sobre el uso del BIND y el Active Directory® recomiendan que, sobre todo a la Zona Directa, se permita ser actualizada –penetrada– directamente por los clientes Windows que ya están unidos al dominio del Active Directory.
• Por eso es que, por defecto, en las zonas del DNS de un Active Directory® se permiten las Actualizaciones Dinámicas Seguras por parte de los clientes Windows que ya estén unidos al dominio del Active Directory. Sino están unidos, que se abstengan a las consecuencias.
• El DNS de un Active Directory admite las actualizaciones dinámicas “Secure only”, “Nonsecure and secure”, o “None” que es lo mismo que decir SIN Actualizaciones o Ninguna.
• Si de verdad la Filosofía Microsoft no estuviera de acuerdo con que sus clientes NO actualizaran sus datos en su(s) DNS(s), no dejaría abierta la posibilidad de inhabilitar las actualizaciones dinámicas en su(s) DNS(s), a menos que esa opción se dejara para propósitos mas ocultos.
• Microsoft ofrece “Seguridad” a cambio de Obscuridad, como me afirmó un colega y amigo que pasó cursos de Certificados Microsft®. Cierto. Además, me lo confirmó El Fueguino.
• Un cliente que adquiera una dirección IP por medio de un DHCP instalado en una máquina con UNIX®/Linux por ejemplo, no podrá resolver la dirección IP de su propio nombre hasta que no esté unido al dominio del Active Directory, siempre que se utilice como DNS el de Microsoft® o un BIND sin actualizaciones dinámicas por parte de un DHCP.
• Si instalo el DHCP en el propio Active Directory®, entonces debo declarar que las Zonas sean actualizadas por el DHCP de Microsoft®.
• Si vamos a utilizar el BIND como el DNS para la red Windows, lo lógico y recomendado sea que instalemos la dupla BIND-DHCP, con éste último actualizando de forma dinámica al BIND  y asunto concluido.
• En el mundo de las redes LAN en UNIX®/Linux, desde que se inventaron las actualizaciones dinámicas sobre el BIND, solo se le permite al Señor DHCP “penetrar” a la Señora BIND con sus actualizaciones. El relajo que sea con orden, por favor.
• Cuando declaro en la zona mordor.fan por ejemplo: allow-update { 10.10.10.0/24; };, el propio BIND me informa al iniciarlo o reiniciarlo que:

  • zone 'mordor.fan' allows updates by IP address, which is insecure

• En el sacrosanto mundo UNIX®/Linux ese desparpajo con el DNS es sencillamente inadmisible.

Se podrán imaginar el resto del intercambio con mi amigo El Fueguino mediante e-mails, Telegram Chat, llamadas telefónicas pagadas por él (por supuesto hombre, que no tengo un kilo para eso), y hasta ¡mensajes por medio de palomas mensajeras en pleno siglo XXI!.

Hasta me amenazó con no mandarme un hijo de su mascota, su Iguana “Petra” que me había prometido como parte del pago. Ahí si que me asusté de verdad. Entonces empecé de nuevo, pero desde otro ángulo.

• El “casi” Active Directory que se puede lograr con Samba 4, resuelve ese aspecto de forma magistral, tanto cuando utilizamos su DNS Interno, o el BIND compilado para que soporte zonas DLZ – Dinamyc Loaded Zones, o Zonas Cargadas Dinámicamente.
• Sigue padeciendo de lo mismo: cuando un cliente adquiere una dirección IP por medio de un DHCP instalado en otra máquina con UNIX®/Linux, no podrá resolver la dirección IP de su propio nombre hasta que no esté unido al dominio del AD-DC de Samba 4.
• Integrar la dupla BIND-DLZ y DHCP en la misma máquina donde esté instalado el AD-DC Samba 4 es tarea para un especialista de verdad.

El Fueguino me llamó a capítulo y me gritó: ¡NO estamos hablando del AD-DC Samba 4, sino del Microsoft® Active Directory®!. Y humildemente le respondí que me embullé con parte de los siguientes artículos que yo iba a escribir.

Entonces fue cuando le dije que, la decisión final sobre las actualizaciones dinámicas de los equipos clientes en su red quedaba a su libre albedrío. Que solamente le daría el tip escrito antes sobre allow-update { 10.10.10.0/24; };, y más nada. Que yo no me hacía responsable de lo que resultara de esa promiscuidad de que cada cliente Windows -o Linux- en su red “penetrara” impunemente al BIND.

Si Usted supiera amigo Lector que ese fue el Punto Final a la trifulca no me lo creería. Mi amigo El Fueguino aceptó la solución -y me enviará a la iguana “Petrica“- que ahora comparto con Usted.

Instalamos y configuramos el DHCP

Para mas detalles lea DNS y DHCP en Debian 8 “Jessie”.

root@dnslinux:~# aptitude install isc-dhcp-server

root@dnslinux:~# nano /etc/default/isc-dhcp-server
....
# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
#       Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACES="eth0"

root@dnslinux:~# dnssec-keygen -a HMAC-MD5 -b 128 -r /dev/urandom -n USER dhcp-key
Kdhcp-key.+157+29836

root@dnslinux:~# cat Kdhcp-key.+157+29836.private
Private-key-format: v1.3
Algorithm: 157 (HMAC_MD5)
Key: 3HT/bg/6YwezUShKYofj5g==
Bits: AAA=
Created: 20170212205030
Publish: 20170212205030
Activate: 20170212205030

root@dnslinux:~# nano dhcp.key
key dhcp-key {
        algorithm hmac-md5;
        secret "3HT/bg/6YwezUShKYofj5g==";
};

root@dnslinux:~# install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root@dnslinux:~# install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root@dnslinux:~# nano /etc/bind/named.conf.local
//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
include "/etc/bind/zones.rfc1918";
include "/etc/bind/zones.rfcFreeBSD";
// No olvidar... me olvidé y pagué con errores. ;-)
include "/etc/bind/dhcp.key";


zone "mordor.fan" {
        type master;
        allow-update { 10.10.10.3; key dhcp-key; };
        file "/var/lib/bind/db.mordor.fan";
};

zone "10.10.10.in-addr.arpa" {
        type master;
        allow-update { 10.10.10.3; key dhcp-key; };
        file "/var/lib/bind/db.10.10.10.in-addr.arpa";
};

zone "_msdcs.mordor.fan" {
        type master;
        check-names ignore;
        file "/etc/bind/db._msdcs.mordor.fan";
};

root@dnslinux:~# named-checkconf 
root@dnslinux:~#

root@dnslinux:~#  nano /etc/dhcp/dhcpd.conf
ddns-update-style interim;
ddns-updates on;
ddns-domainname "mordor.fan.";
ddns-rev-domainname "in-addr.arpa.";
ignore client-updates;

authoritative;

option ip-forwarding off;
option domain-name "mordor.fan";

include "/etc/dhcp/dhcp.key";

zone mordor.fan. {
        primary 127.0.0.1;
        key dhcp-key;
}
zone 10.10.10.in-addr.arpa. {
        primary 127.0.0.1;
        key dhcp-key;
}

shared-network redlocal {
        subnet 10.10.10.0 netmask 255.255.255.0 {
                option routers 10.10.10.1;
                option subnet-mask 255.255.255.0;
                option broadcast-address 10.10.10.255;
                option domain-name-servers 10.10.10.5;
                option netbios-name-servers 10.10.10.5;
                range 10.10.10.30 10.10.10.250;
        }
}
# FIN dhcpd.conf

root@dnslinux:~# dhcpd -t
Internet Systems Consortium DHCP Server 4.3.1
Copyright 2004-2014 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Config file: /etc/dhcp/dhcpd.conf
Database file: /var/lib/dhcp/dhcpd.leases
PID file: /var/run/dhcpd.pid

root@dnslinux:~# systemctl restart bind9.service 
root@dnslinux:~# systemctl status bind9.service 

root@dnslinux:~# systemctl start isc-dhcp-server.service
root@dnslinux:~# systemctl status isc-dhcp-server.service

Lo relacionado con las Comprobaciones con clientes, y la Modificación manual de los archivos de Zonas, lo dejamos para que Usted, amigo lector, lo lea directamente de DNS y DHCP en Debian 8 “Jessie”, y lo aplique a sus condiciones reales. Nosotros si efectuamos todas las comprobaciones necesarias y obtuvimos resultados satisfactorios. Por supuesto que enviamos copia de todas ellas a El Fueguino. ¡No faltara más!.

Consejos

Generales

• Adquiera una buena cantidad de paciencia antes de empezar.
  
• Primero instale y configure el BIND. Compruebe todo y consulte todos los registros que declaró en cada archivo de las tres -o más- zonas, tanto desde el Active Directory como desde el propio servidor DNS en Linux. Si es posible, desde una máquina Linux que no esté unida al dominio, haga las necesarias consultas DNS al BIND.
  
• Una al dominio existente un cliente Windows con una dirección IP fija, y vuelva a comprobar toda la configuración del BIND desde el cliente Windows.
• Después que Usted esté indudablemente seguro de que la configuración de su nuevo y flamante BIND es totalmente correcta, aventúrese a instalar, configurar, e iniciar el servicio DHCP.
• Ante errores, repita todo el procedimiento desde cero 0.
• ¡Cuidado con el copy & paste! y los espacios sobrantes en cada línea de los archivos named.conf.xxxx
  
• Después no se queje -mucho menos con mi amigo el Fueguino- de que no lo aconsejaron debidamente.

Otros consejos

• Divide y vencerás.
• En una Red PYME es mas seguro y beneficioso instalar un BIND Autoritario para las Zonas de la LAN interna que no haga recursividad a ningún servidor raíz: recursion no;.
• En una Red PYME ubicada bajo un Proveedor de Acceso a Internet – ISP, acaso los servicios Proxy y SMTP necesitan resolver nombres de dominio en la Internet. El Squid tiene la opción de declarar sus DNS sean externos o no, mientras que en un servidor de correo basado en Postfix o MDaemon® también podemos declarar los servidores DNS que utilizaremos en ese servicio. En casos como éste, o sea, casos que no brinden servicios a la Internet y que estén debajo de un Internet Service Provider, se puede instalar un BIND con Forwarders apuntando a los DNS del ISP,  y declararlo como DNS secundario en los servidores que necesiten resolver consultas externas a la LAN, sino es posible declararlos mediante sus propios archivos de configuración.
• Si Usted tiene una Zona Delegada bajo su entera responsabilidad, entonces canta otro gallo:
  • Instale un servidor DNS basado en NSD, el cual es un servidor DNS Autoritario por definición, que responda a las consultas provenientes de equipos en la Internet. Para alguna información aptitude show nsd.   Favor de protegerlo muy bien mediante tantos muros cortafuegos como sean necesarios. Tanto por hardware como por software. Será un DNS cara a Internet, y esa “cara” no la debemos dar con los pantalones bajos.
  • Como nunca me he visto en un caso como el éste, o sea, responsable total de una Zona Delegada, tendría que pensar muy bien que recomendar para la resolución de nombres de dominio externos a nuestra LAN para los servicios que lo necesiten. Los Clientes de la Red PYME no lo necesitan realmente. Consulte literatura especializada, o a un especialista en éstos temas, pues estoy muy lejos de ser uno de ellos. En serio.
  • En los servidores Autoritarios no existe la Recursividad. ¿Ok?. Por si a alguien se le ocurre hacerlo con un BIND.
• A pesar que especificamos explícitamente en el archivo /etc/dhcp/dhcpd.conf la declaración ignore client-updates;, si ejecutamos en una consola del equipo dnslinux.mordor.fan la orden journalctl -f, veremos que al iniciar el cliente win7.mordor.fan obtenemos los siguientes mensajes de error:

  • feb 12 16:55:41 dnslinux named[900]: client 10.10.10.30#58762: update 'mordor.fan/IN' denied
    feb 12 16:55:42 dnslinux named[900]: client 10.10.10.30#49763: update 'mordor.fan/IN' denied
    feb 12 16:56:23 dnslinux named[900]: client 10.10.10.30#63161: update 'mordor.fan/IN' denied
    

  • Para eliminar esos mensajes, debemos ir a las opciones avanzadas de la configuración de la tarjeta de red y desmarcar la opción “Register this connection’s addresses in DNS“. Eso evitará para siempre que el cliente intente auto registrase en el DNS Linux y fin del problema. Lo siento, pero no tengo una copia de Windows 7 en español.
• Para enterarse de todas las consultas serias -y locas- que hace un cliente Windows 7, consulte el log queries.log que para algo lo declaramos en la configuración del BIND. La orden sería:

  • root@dnslinux:~# tail -f /var/log/named/queries.log

• Si Usted no permite que sus equipos clientes se conecten directamente a Internet, entonces ¿para que le hacen falta los Servidores DNS Raíces?. Ésto disminuirá considerablemente la salida del comando journalctl -f y del anterior, si su servidor DNS Autoritario para las Zonas Internas no se conecta directamente con Internet, lo cual es muy recomendado desde el punto de vista de la seguridad.

  root@dnslinux:~# cp /etc/bind/db.root /etc/bind/db.root.original
  root@dnslinux:~# cp /dev/null /etc/bind/db.root

• Sino necesita la declaración de los servidores raíces, entonces ¿para que le hace falta la Recursividad – Recursion?

  root@dnslinux:~# nano /etc/bind/named.conf.options
  options {
   ....
   recursion no;
   ....
  };

Consejo específico del cual aun no estoy muy claro

El man dhcpd.conf nos dice lo siguiente entre muchas -muchísimas- cosa mas:

        The update-optimization statement

            update-optimization flag;

            If the update-optimization parameter is false for a given  client,
            the server will attempt a DNS update for that client each time the
            client renews its lease, rather than  only  attempting  an  update
            when  it appears to be necessary.  This will allow the DNS to heal
            from database inconsistencies more easily, but the  cost  is  that
            the DHCP server must do many more DNS updates.  We recommend leav‐
            ing this option enabled, which is the default.  This  option  only
            affects  the behavior of the interim DNS update scheme, and has no
            effect on the ad-hoc DNS update scheme.  If this parameter is  not
            specified,  or  is true, the DHCP server will only update when the
            client information changes, the client gets a different lease,  or
            the client's lease expires.

La traducción o interpretación mas o menos exacta se la dejamos a Usted, caro lector.

Personalmente me ha sucedido -y sucedió durante la confección de éste artículo- que cuando enlazo un BIND a un Active Directory® sea de Microsft® o de Samba 4, si le cambio el nombre a un equipo cliente registrado en el dominio del Active Directory® o del AD-DC de Samba 4, mantiene su nombre antiguo y dirección IP en la Zona Directa, y no así en la inversa que se actualiza correctamente con el nombre nuevo. O sea, se mapean el nombre antiguo y el nuevo a la misma dirección IP en la Zona Directa, mientras que en la inversa solo aparece el nombre nuevo. Para entenderme bien lo deben probar Ustedes mismos.

Pienso sea una especie de venganza hacia El Fueguino -que no hacia mi, por favor- por tratar de migrar sus servicios a Linux.

Por supuesto que el nombre antiguo desaparecerá cuando expire su TTL 3600, o el tiempo que hayamos declarado en la configuración del DHCP. Pero queremos que desaparezca de inmediato como sucede en un BIND + DHCP sin un Active Directory por medio.

La solución a esa situación la encontré insertando la declaración update-optimization false; al final de la parte superior del archivo /etc/dhcp/dhcpd.conf:

ddns-update-style interim;
ddns-updates on;
ddns-domainname "mordor.fan.";
ddns-rev-domainname "in-addr.arpa.";
ignore client-updates;
update-optimization false;

Si algún Lector conoce mas al respecto, por favor de Iluminarme. Se lo agradeceré y mucho.

Resumen

Nos hemos divertido un montón con el tema, no?. Nada de sufrimientos pues tenemos un BIND funcionando como servidor DNS en una red Microsoft®, ofreciendo todos los registros SRV y respondiendo adecuadamente a las consultas DNS que se les haga. Por otra parte tenemos a un servidor DHCP otorgando direcciones IP y actualizando correctamente de forma dinámica a las Zonas del BIND.

Mas no podemos pedir… por el momento.

Espero que mi amigo El Fueguino esté contento y satisfecho del primer paso en su migración a Linux para hacer soportable los insoportables costos del Soporte Técnico de Microsft®.

Nota importante

El personaje “El Fueguino” es completamente ficticio y producto de mi imaginación. Cualquier parecido o coincidencia con personas reales es eso mismo: Pura Coincidencia Involuntaria de mi parte. Solo lo creé para hacer un poco amena la redacción y lectura de éste artículo. Ahora si que me pueden decir que el tema DNS es obscuro.

El artículo BIND y Active Directory® – Redes PYME aparece primero en BIND y Active Directory® – Redes PYME.

Algo estaba ocurriendo en los routers de Cisco. Tras funcionar bien durante una temporada, de repente algunos de los modelos morían sin aparente explicación. Lo missmo les ocurría a otras compañías que fabrican productos de conectividad empresarial, pero no solo ellos estaban afectados por el problema: Synology, conocida por sus NAS para entornos domésticos, también sufría el problema.

La causa de todos los males parecen ser los chips de la familia Intel Atom C2000. Aunque Intel no ha querido admitir que haya relación entre estos chips y los casos que se han visto en productos de esas empresas, sí que ha reconocido que los chips tienen un problema serio: son, literalmente, bombas de tiempo que al cabo de cierto tiempo dejaban los equipos en los ques estaban instalados inservibles.

Todo va bien hasta que de repente va mal

Intel ya apuntó en la pasada publicación de resultados financieros que habían tenido un problema con uno de sus productos, algo que les había obligado a crear un fondo para solventar las implicaciones del mismo, pero sin dar demasiados detalles. Como apuntan en The Register, ese anuncio coincidió con el de Cisco, que publicaba una advertencia de seguridad para que varios de sus routers, switches y dispositivos de redes ópticas contenían un componente con un "reloj con fallos que es probable que falle con tasas notables tras 18 meses de operación".

Esa descripción del problema coincidía curiosamente con el problema del que Intel sí dio datos en la documentación de sus Intel Atom C2000.

En ella se añadía una nota en la que se indicaba que "el sistema podría experimentar la incapacidad para arrancar o podría dejar de estar operativo", y se añadía que el reloj del bus LPC (Low Pin Count) podría dejar de funcionar de manera permanentemente, algo que explicaban en detalle en AnandTech. Cisco por su parte coincidía en la explicación de un problema que de presentarse haría que "el sistema deje de funcionar, no arranque y no sea recuperable".

Ambas empresas, insistimos, no han querido admitir que lo uno tenga que ver con lo otro. En The Register han contactado con ambas para tratar de que confirmen o desmientan esa relación, pero no ha habido comentarios al respecto. Lo que sí ha revelado Intel es el conjunto de modelos afectados: son los Intel Atom C2308, C2338, C2350, C2358, C2508, C2518, C2530, C2538, C2550, C2558, C2718, C2730, C2738, C2750, y C2758.

Si tienes un NAS, cuidado

Estos procesadores están presentes en productos de Cisco, pero también en el de otros muchos fabricantes como Dell, HP, NEC, Netgear, Sypermicro o Asrock, con dispositivos que sobre todo están orientados a la conectividad, a microservidores y a dispositivos de almacenamiento.

Precisamente en este ámbito es donde nos encontramos con que otra de las empresas afectadas es Synology, conocida por sus NAS, varios de los cuales están basados en este procesador. Synology comentó en ese reportaje que están investigando el problema y que si algún usuario cree que podría estar afectado puede dirigirse al soporte a través de esta dirección web. La empresa indicó específicamente que se omitiese cualquier mención de Intel en sus declaraciones iniciales, para luego reconocer que había estado en conversaciones con Intel sobre el problema, aunque no habían detectado que el problema se debiese a los Atom C2000.

En los foros de Synology, no obstante, aparecen varios casos en los que usarios de modelos como los DS1815+ o los DS1515+ que efectivamente cuentan con estos chips. Un hilo de discusión en los foros de soporte de Synology demuestra la preocupación de los usuarios por un problema que podría comprometer sus datos de buenas a primeras. Otros fabricantes de NAS como Seagate o Advantronix también podrían estar afectados, y si dispones de uno de estos equipos convendría que consultases las especificaciones del modelo para contactar con el fabricante en caso de que esté gobernado por uno de esos chips.

Vía | The Register
En Xataka |

También te recomendamos

Brasswell serán los próximos Atom en 14 nanómetros

¿Tendremos electricidad para tanto gadget?

Hay Atom buenos, malos y regulares, e Intel quiere que lo sepas: ahora serán los Atom X3, X5 y X7

-
La noticia Un fallo en los Intel Atom C2000 está causando estragos en productos de Cisco o Synology fue publicada originalmente en Xataka por Javier Pastor .

Después de un duro trabajo por parte de su equipo de desarrollo, ya tenemos aquí NethServer 7. Se trata de una release muy ambiciosa como veremos más adelante, en las que encontraremos importantes cambios...

La entrada Presentada la release final NethServer 7 aparece primero en ochobitshacenunbyte.

Nokia ha vuelto. El fabricante finlandés vendió su alma a Microsoft durante unos años, pero finalmente se ha liberado de su contrato y vuelve a producir teléfonos, de la mano de HMD Global.

Hace poco os hablamos del Nokia 6, el primer smartphone de la nueva era de Nokia en el mercado de la telefonía, un dispositivo Android con toda la esencia del histórico fabricante. Pero, ¿es el Nokia 6 tan resistente como los antiguos modelos? Pues parece que sí.

Con el Nokia 6 podrás partir nueces sin problemas

Click here to view the embedded video.

Una de las características más propias de la marca siempre ha sido la durabilidad y robustez de los míticos teléfonos Nokia. Y el Nokia 6 no iba a ser una excepción. Ya viendo el vídeo que encabeza estas líneas, donde utilizan el teléfono para partir nueces, deja patente que el nuevo terminal con Android de Nokia es un trasto realmente robusto.

Y es que hay que recordar que el Nokia 6 cuenta con un chasis de aluminio serie 6000 que dota al terminal de una gran resistencia ante golpes y caídas. Ahora, el sitio web asiático ichai8 ha desmontado un Nokia 6 para ver qué hay en su interior. Y la sorpresa no podría haber sido más agradable.

Para empezar, además de contar con un cuerpo realmente resistente, hay varios puntos que hacen que el Nokia 6 sea un teléfono muy bien construido. Para empezar la batería no está pegada al chasis del dispositivo, sino que va encajado en una placa de aluminio. De esta manera es mucho más fácil cambiarla, algo que con otros teléfonos es realmente una odisea.

Además todas las piezas de aluminio están fijadas mediante tornillos por lo que la resistencia del Nokia 6 ante posibles impactos y caídas está garantizada. Lo dicho, un trabajo excelente de Nokia. Lástima que aún no se pueda comprar oficialmente en España, aunque no creo que tarden demasiado en salir de China…

El artículo el Nokia 6 es una verdadera roca, como no podría ser de otra manera ha sido originalmente publicado en Androidsis.

Todo sea por una mayor seguridad, y nosotros lo agradecemos: WhatsApp nos ha permitido jugar con la verificación en dos pasos desde noviembre del año pasado, pero en una versión beta que hasta hoy no se ha convertido en una realidad para los más de mil millones de usuarios que tiene la aplicación de mensajería.

Cuando digo "para todos" quiero decir aquellos usuarios móviles que tienen a Android, iOS o Windows Phone como sistemas operativos, por lo que poca gente se escapa a la posibilidad. ¿Por qué “dos pasos”? Pues el primero es el propio inicio desde el teléfono - con SMS o llamada -, que ya nos sirve como forma de autenticar la cuenta, y el segundo, y nuevo, un código de seis dígitos que tenemos que crear nosotros.

WhatsApp busca reducir los riegos de suplantación de identidad, ofrecer la mejor seguridad en una aplicación que no tiene contraseñas

Ese código será demandado por la aplicación de WhatsApp de forma periódica, algo que no gusta a todo el mundo, ya que puede resultar incómodo, pero estoy seguro que para muchos será importante.

Esta nueva posibilidad la podremos activar de forma sencilla, a través de la siguiente ruta: Configuración > Cuenta > Verificación en dos pasos > Activar. Puede que ahora mismo no te aparezca, actualiza la aplicación o espera un poco, la iremos recibiendo durante el día.

Una vez introducido el código de seis dígitos se convertirá en la clave que necesitaremos para activar la cuenta en otros dispositivos. Hay que comentar que adicionalmente se puede asociar un correo electrónico que nos servirá para desactivar esta verificación, en caso que no la queramos, o hayamos perdido el código.

Hay que tener cuidado con una situación: si queremos registrar nuestro número pero no tenemos el código y no proporcionamos correo, no podremos activar nuestra cuenta de WhatsApp hasta que pasen siete días. Al pasar esa semana volveremos a tener la oportunidad de registrarnos en WhatsApp sin necesidad del código, pero no recibiremos los mensajes pendientes. Si pasan 30 días sin introducir el código de verificación, nuestra cuenta será reiniciada, como si de un nuevo usuario se tratara.

No sé si de la forma más efectiva o cómoda, pero WhatsApp se preocupa por la vulnerabilidad de nuestras cuentas, hasta ahora simplemente asociadas al número de teléfono, pero 2016 fue un año en el que se dio algún paso más en temas de seguridad, como la incorporación del cifrado de extremo a extremo.

En Genbeta | Qué es la verificación en dos pasos de WhatsApp y por qué es tan importante Más información | WhatsApp

También te recomendamos

Consejos prácticos para que una pequeña empresa mejore su posicionamiento en buscadores

WhatsApp se transforma en Snapchat al estrenar stickers y dibujos en fotos y vídeos

Éstas son todas las novedades de WhatsApp: más opciones en la cámara, menciones en los grupos y más

-
La noticia La verificación en dos pasos de WhatsApp ya está disponible para todos: así se activa fue publicada originalmente en Xataka por Kote Puerto .

Llega la hora de reemplazar tu PC, ya sea porque se ha quedado muy viejo, porque te lo cargaste derramándole alguna bebida encima o simplemente porque te quema el dinero en el bolsillo y quieres reemplazar ese trasto con lo último de Intel, en este caso la nueva microarquitectura Kaby Lake.

Read more...

Ya conocemos los beneficios en cuenta a rapidez que nos proporciona una unidad de estado solido o SSD a nuestro equipo, la ejecución de aplicaciones es mucho mayor y por ende el rendimiento completo del computador, en estos 5 vídeos te quiero dar unos consejos o cosas a tener en cuenta a la hora de optimizar nuestro SSD y que su tiempo de vida sea mas largo y mantenerlo al 100%

Evitar que el SSD se apague por inactividad en Windows 10

Activar TRIM en modo automatico para optimizar SSD en Windows 10

Deshabilitar desfragmentación de disco para optimizar SSD en Windows 10

Desactivar el archivo de paginación para optimizar SSD en Windows 10

Desactivar la opción de Restaurar Sistema para optimizar SSD en Windows 10

Suscríbete, comparte y dale me gusta a los vídeos, así ayudarás a JGAITPro para que siga adelante llevando Conocimiento para TI totalmente gratis. Dale! no te cuesta nada, también puedes ayudarnos en http://JGAITPro.com/donar

El operador Vodafone ha comenzado a cobrar una tarifa por solucionar incidencias a través de un teleoperador. Si pierdes tu PIN o PUK y deseas consultarlo con un agente de la operadora, te cobrarán 2,5 euros.

Read more...

Hace dos meses Amazon desvelaba sus planes con Amazon Go, un nuevo tipo de supermercado en el que la automatización llegaría a un nuevo nivel: nada de cajeros, puesto que sensores y cámaras de todo tipo se aliarían con tu móvil para eliminar las tradicionales colas para pagar.

Ahora se han perfilado más datos de ese futuro de los supermercados en versión Amazon, y varias fuentes han indicado en el New York Post cómo estos supermercados podrían rondar los 4.000 m² y a depender casi exclusivamente de una plantilla robótica: solo serán necesarias tres personas para gestionar el resto de la operativa.

El objetivo, reducir los costes laborales al mínimo

En estos supermercados será posible encontrar hasta 4.000 productos distintos que incluso también entrarían en el segmento farmacéutico, un sector que Amazon parece querer conquistar también.

Sin embargo la gran sorpresa de estos establecimientos es esa necesidad mínima de trabajadores humanos: solo tres serían necesarios en un mismo turno, con una plantilla total que se limitaría a 10 personas para cubrir todos los turnos.

Según una de las fuentes, "Amazon utilizará la tecnología para minimizar los costes laborales", y este en realidad sería el último de una serie de movimientos que el gigante del comercio electrónico lleva realizando en esa sustitución del trabajador humano.

Esos recortes tendrán un claro retorno económico para Amazon, que según estimaciones preliminares podría llegar a tener un margen de beneficio operativo de un 20%, algo increíble cuando tenemos en cuenta que la media del mercado es de un 1,7% según el Food Marketing Institute.

¿Podrán los robots pillar a los ladrones de pequeños productos?

Otra de las posibles curiosidades de estos supermercados es que estarán aparentemente disponibles solo para los miembros de sus programas "Prime" y "Prime Fresh", algo que entre otras cosas podría ayudar a eliminar los robos de productos. Según una de las fuentes consultadas "para Amazon la gente que se puede permitir ser miembro de Prime no será proclive a robar productos".

Si alguien que no es miembro de estos programas quiere usar estos supermercados, tendrá que registrarse primero, algo que por lo visto podrá hacer al acceder al establecimiento.

Este proyecto de supermercado automatizado no ha sido oficialmente confirmado con Amazon, y uno de sus portavoces ha indicado que "no tenemos planes de construir un establecimiento de este tipo".

Amazon ama los robots, pero también a los humanos

La ambición de Amazon en el segmento de la automatización de sus procesos de venta y distribución es clara. Lleva años preparando la utilización de drones como mensajeros para ciertos tipos de envíos y ciertos tipos de localizaciones en una tendencia que iría dirigida también a reducir costes de mensajería.

Esa automatización es patente también desde hace tiempo en los grandes centros de almacenaje, en los que robots Kiva (estilo "Roomba") se encargan de trasladar cajas con todo tipo de productos de un sitio a otro para que los pedidos estén perfectamente organizados y preparados para su envío.

El "ejército robótico" de Amazon se ha expandido de forma notable el año pasado: el gigante del comercio electrónico cuenta con 45.000 robots en sus centros de almacenaje y preparación de pedidos, lo que supondría un 50% de aumento sobre el año anterior, en el que la empresa confirmó que tenía 30.000 robots trabajando en sus centros además de 230.000 personas en la plantilla.

Lo cierto es que esa clara proyección hacia una automatización total no parece que esté haciendo que en Amazon recorten puestos de trabajo. De hecho la empresa anunció recientemente que tenía planes de contratar a otras 100.000 personas hasta mediados de 2018 solo en Estados Unidos, pero es que ya cuenta con 341.000 empleados en todo el mundo, muchos más por ejemplo que Microsoft (120.000), algo que contrasta con esos proyectos de automatización.

En Xataka | Supermercados DIA se alía con Amazon Prime Now: las pruebas se inician Madrid, pero esto irá a más

También te recomendamos

En esta fábrica china han sustituido al 90% del personal con robots, y la producción ha crecido un 250%

En Europa quieren regular los aspectos éticos de los robots y clasificarlos como 'personas'

19 profesiones que serán muy populares dentro de 10 años y que ahora ningún niño se imagina

-
La noticia El supermercado de 4.000 m² de Amazon solo tendrá 3 trabajadores humanos, lo demás serán robots fue publicada originalmente en Xataka por Javier Pastor .

Steve Jobs era famoso por su perfeccionismo, por su insistencia en innovar, su megalomanía y esa costumbre de hacer miserable la vida de sus empleados. De todos los proyectos que dirigió, el mayor reto podría ser la nueva sede de la compañía, y eso que ya no está para dirigir el proyecto.

Read more...

Click here to view the embedded video.

Samsung domina el mercado de la telefonía a nivel global por un motivo muy sencillo: sus terminales de gama entrada y gama media. Anteriormente era Nokia el amo y señor, pero hace años que las cosas han cambiado. Y hoy os traigo un análisis de uno de los teléfonos de gama entrada – media del fabricante coreano: el Samsung Galaxy J5 2016. 

La familia J del fabricante se caracteriza por contar con un hardware bastante sencillo aderezado con algún toque premium y unos acabados con toques metálicos. El Samsung Galaxy J5 2016 es el mejor ejemplo de ello. 

Diseño: el Galaxy J52015 mantiene las curvas de sus hermanos mayores

Samsung ha conseguido crear una imagen muy reconocible en sus terminales y, como era de esperar, con el Samsung Galaxy J5 2016 el fabricante mantiene ese particular diseño.

Aunque veremos alguna variación, sobre todo en cuanto a materiales o tamaño, el teléfono cuentan con una serie de elementos muy característicos, como la parte inferior del teléfono con ese botón home situado en el centro y flanqueado por los controles capacitivos recientes y retroceso. 

En la parte superior, nos encontramos con una sorpresa. No hablo del logotipo de la marca, otro toque muy característico de Samsung, sino por el hecho de que junto a la cámara delantera hay un pequeño flash LED que permitirá realizar selfis o videollamadas en entornos poco iluminados. 

Ya pasando a la parte trasera, vemos la configuración típica de todo Samsung que se precie, con la cámara de forma cuadrada situada en el centro del panel trasero, junto con un flash LED y una nueva sorpresa: el Samsung Galaxy J5 2016 cuenta con un altavoz situado en la parte trasera. 

Gran parte del diseño del Samsung Galaxy J5 2016 mantiene ese ADN Samsung tan característico de la marca

Como era de esperar, los botones de control de volumen y encendido y apagado del teléfono mantienen ese ADN Samsung tan característico, por lo que el botón de encendido está situado en el lateral derecho, mientras que las teclas de control de volumen están separadas y situadas en el lateral izquierdo del Galaxy J5 2016. Toda la botonadura está fabricada en aluminio y cuenta con un recorrido y una resistencia al a presión más que adecuada, dotando al teléfono de un toque premium.

Y es que, aunque el Samsung Galaxy J5 2016 está fabricado en policarbonato, Samsung ha dotado al teléfono de un marco fabricado en aluminio que envuelve al terminal dando un aspecto muy premium al nuevo smartphone.  El teléfono sienta realmente bien en la mano, ofreciendo un tacto agradable y una gran sensación. Su tamaño relativamente comedido y su ligero peso, 159 gramos, hacen que el Galaxy J5 2016 no moleste tras un uso prolongado.

Un detalle destacable llega con el hecho de que la batería del Samsung Galaxy J5 2016 es extraíble. De esta manera, tan solo tendremos que quitar la tapa trasera para acceder a ella. En definitiva un teléfono que, sin grandes pretensiones, cumple de sobras con su función, siendo un teléfono cómodo y manejable que, pese a ser un gama entrada, cuenta con algunos puntos  muy interesantes como su marco de aluminio o la pantalla AMOLED.

Características técnicas del Samsung Galaxy J5 2016

Las características técnicas de este Galaxy J5 2016 dejan claro que el teléfono pasa a englobar esa nueva gama entrada – media con terminales que cumplen con las necesidades de cualquier usuario, pero sin grandes sorpresas. De esta manera, el procesador Qualcomm Snapdragon 410 permite mover juegos sencillos sin problemas, aunque en el caso de abrir aplicaciones que requieran de una gran carga gráfica, su GPU Adreno 306 y los 2 GB de memoria RAM con los que cuenta el teléfono se quedan un poco justos.

Los 16 GB de almacenamiento interno son más que suficientes para poder instalar las aplicaciones más conocidas, como servicios de mensajería instantánea, además de algún que otro juego. Me parece un tamaño más que suficiente para un teléfono de este tipo.

El rendimiento general que ofrece el Galaxy J5 2016, con Touchwiz bajo Android 6.0.1 Marshmallow es bastante bueno, no he sufrido en ningún momento de lag o parón alguno durante su uso diario. Otro punto que me ha gustado mucho llega con el apartado de la pantalla

Y es que su panel Super AMOLED de 5.2 pulgadas ofrece una calidad de imagen realmente buena, y eos que es 720p. Como viene siendo habitual con paneles de este tipo, los negros se ven perfectos y el resto de colores, ligeramente saturados, dota a la pantalla de una viveza impresionante.

Los ángulos de visión son más que correctos y el teléfono cuenta con un nivel de brillo suficiente para poder utilizar el teléfono en cualquier entorno, por mucho sol que haya. Eso sí, la pantalla no ajusta el brillo de forma automática, lo hemos de hacer de forma manual, aunque no me ha molestado este hecho, a los dos días ya estaba acostumbrado.

Especial hincapié a su altavoz, situado en la parte trasera del dispositivo y que invita a disfrutar de contenidos multimedia. Evidentemente no cuenta con la calidad de sonido de dispositivos como el ZTE Axon 7, pero el resultado conseguido es suficiente para poder ver películas o jugar a videojuegos sin necesidad de poner los auriculares.

Otro de los puntos más interesantes del Samsung Galaxy J5 2016 viene dado por la autonomía que ofrece el teléfono. Han pasado de los 2400 que contaba el primer Galaxy J5 a los 3.100 que incorpora la versión 2016. ¿El resultado? una autonomía mucho más amplia, alcanzando las 6 horas de pantalla encendida y entre día y medio y dos días de autonomía si no le damos un uso muy intensivo, por lo que no me puedo quejar para nada en este aspecto.

Cámara

La cámara del  Samsung Galaxy J5 2016 está a la altura de las expectativas. Su cámara principal, formada por una lente de1 3 megapíxeles con apertura focal 1.9 ofrece un rendimiento más que suficiente, aunque como viene siendo habitual en este tipo de terminales, no vale cualquier tipo de luz.

Si realizamos fotografías en entornos bien iluminados la calidad de las imágenes es bastante buena, cumpliendo de sobras con las necesidades de cualquier usuario que busque un teléfono por menos de 200 euros. Eso sí, tampoco esperéis una cámara demasiado potente ya que cuando las condiciones lumínicas no sean las ideales, la calidad de imagen caerá de forma notable.

Esto suele pasar con casi cualquier teléfono, por muy buena cámara que haya, pero el rango dinámico del sensor es bastante limitado por lo que sufrirán las imágenes con muchos detalles, más si no hay una buena luz que ayude a capturar todos los detalles.

Y ya de noche hacer una foto con nitidez es una tarea casi imposible a no ser que tengas un pulso de hierro ya que el Galaxy J5 2016 no cuenta con estabilización óptica de imagen La aplicación para la cámara del Galaxy J5 2016 me ha gustado bastante, al ofrecer gran variedad de opciones, incluyendo el modo ráfaga o un modo manual bastante limitado que nos permitirá ajustar el balance de blancos y poco más.

Lo dicho, una cámara que cumple con las expectativas y que, sin grandes alardes, te sacará de forma digna de más de un apuro. 

Ejemplos de fotografías realizadas con el Galaxy J5 2016

Conclusiones finales

Samsung cumple con el Galaxy J5 2016, un gama entrada – media que funciona bien y cuenta con un hardware más que suficiente para el día a día de la mayoría de usuarios. El problema es que en ningún aspecto marca la diferencia con sus competidores, siendo sencillamente un teléfono más en el mercado.

¿Su gran baza? el hecho de ser un Samsung, que es sinónimo de garantía para muchas personas que, si buscan un teléfono de marca que ofrezca un rendimiento suficiente para utilizar WhatsApp, algún juego que no requiera gran carga gráfica y servicios como Spotify, encontrarán en este Samsung Galaxy J5 todo lo que necesitan.

Opinión del editor

El artículo Análisis Samsung Galaxy J5, un gama entrada con acabados premium ha sido originalmente publicado en Androidsis.

Hace casi un año bite-your-idols liberó el proyecto que voy a comentar de nuevo. Se trata de un addons con el que podrás jugar a emuladores retro desde Kodi.

Desde aquel script inicial algo engorroso, el proyecto se convirtió en un addon mas o menos bien estructurado y muy fácil de instalar/configurar por parte del usuario final, solo es necesario bajarse el zip como cualquier addon e instalarlo desde kodi (esta en el aire la opcion de incluirlo en una repo).

Como novedades destacadas podría comentar...

Cont...

Cuando te compras un ordenador es común que este venga bastante lleno de aplicaciones preinstaladas, tanto las que te instala cada fabricante como las propias aplicaciones nativas de Windows 10. Algunas de estas aplicaciones son útiles, pero otras no tanto, por lo que es común que lo primero que hagamos sea desinstalarlas.

¿Pero qué pasa cuando hay demasiadas aplicaciones o no puedas desinstalarlas por ser nativas del sistema operativo? Hoy vamos a decirte un par de trucos, uno para eliminar todo el bloatware o aplicaciones innecesarias de forma automática, y el otro para desinstalar las aplicaciones no desinstalables y nativas de Windows 10 sin tener que utilizar aplicaciones de terceros.

Aquí tienes que tener en cuenta dos cosas. La primera es que con el primer método borrarás todas las configuraciones del ordenador, por lo que es conveniente hacerlo nada más comprarlo. Y la segunda es que eliminando algunas aplicaciones nativas puede que haya algo que deje de funcionar correctamente en Windows 10. Si borras Groove Música puede que no pase nada, pero eliminar OneNote hará que la sincronización que ofrece esta aplicación deje de funcionar.

En Genbeta

Cuatro aplicaciones para imitar las mejores funciones de macOS en Windows

Elimina el bloatware de Windows 10

En la propia Microsoft son conscientes de que a veces a los fabricantes se les puede ir la mano a la hora de instalar bloatware, y por eso han creado una herramienta propia para limpiar por completo Windows 10. Se llama Refresh Windows Tool, y sirve para borrar TODAS las aplicaciones no nativas del sistema operativo, incluidas algunas de la propia Microsoft como Office.

Si sólo te molestan determinadas aplicaciones instaladas por el fabricante lo más rápido es desinstalarlas como se ha hecho siempre, haciendo click derecho sobre ellas en el menú de inicio y eligiendo la opción Desinstalar. Pero si quieres eliminar varias aplicaciones o simplemente empezar de cero con tu sistema operativo esta opción te puede interesar.

En la página de la aplicación Microsoft advierte de que realizar este proceso puede hacer que pierdas algunas licencias digitales, así como contenido asociado a determinadas aplicaciones. También puedes perder el contenido que hayas generado o descargado con estas aplicaciones, por lo que es recomendable hacer una copia de seguridad si la vas a utilizar en un ordenador en el que lleves ya tiempo trabajando.

Si quieres utilizarla, lo único que tienes que hacer es descargar la aplicación desde su página web y ejecutarla. No necesita instalación, sólo te pedirá permiso para hacer cambios en tu dispositivo y que aceptes la licencia antes de llevarte directamente al menú principal. En él te explicará que la herramienta es para empezar de cero con Windows 10 y te dará dos opciones entre las que elegir.

Las opciones son "Conservar solo archivos personales" y "Nada". La primera hará una especie de formateo del sistema para dejártelo limpio con sólo las aplicaciones nativas y esenciales de Windows 10, pero manteniendo archivos personales como puedan ser fotografías, vídeos o documentos. La segunda opción lo borrará absolutamente todo.

Y ya está, lo único que tienes que hacer es elegir una de las dos opciones y pulsar sobre el botón Iniciar para que comience el proceso. Este puede tardar un rato, pero cuando termines podrás empezar a trabajar con un Windows 10 en el que sólo tú decides qué quieres tener instalado.

Desinstalar las aplicaciones nativas de Windows 10

Pero más allá de las aplicaciones preinstaladas por los fabricantes, Windows 10 tiene una serie de aplicaciones nativas que no se pueden desinstalar. Bueno, para ser más exactos lo que pasa es que cuando haces click derecho sobre ellas no aparece la opción para hacerlo, porque poderse se pueden desinstalar. Eso sí, es un poco más complicado.

En resumen, lo que tienes que hacer es ir a la terminal de Windows e introducir un código específico para desinstalar cada una de las aplicaciones concretas, las cuales tienen a su vez un nombre en clave que necesitas saber para iniciar el proceso. Dicho así parece complicado, pero el comando base es siempre el mismo, por lo que no es tan difícil como parece.

Por lo tanto, lo primero que tienes que hacer es abrir el menú de inicio y escribir Powershell para que te sugiera la aplicación Windows PowerShell. Necesitarás ejecutarla como administrador, por lo que en vez de simplemente hacer click izquierdo sobre ella, tienes que hacer click derecho y elegir la opción Ejecutar como administrador.

A continuación tienes que escribir el código preciso con este formato:

Get-AppxPackage "nombre de la app" | Remove-AppxPackage

Y aquí está el quid de la cuestión, porque cada una de las aplicaciones nativas tiene un nombre en código específico que tienes que introducir en lugar de "nombre de la app". Se trata de un nombre en código que no es el mismo que te aparece cuando buscas la aplicación en el menú de inicio, por lo que tendrás que sabértelos para desinstalarlas.

Por ejemplo, si quieres desinstalar la aplicación de Groove Música, tendrás que utilizar este código comando en el PowerShell:

Get-AppxPackage zunemusic | Remove-AppxPackage

Como esto sólo lo eliminará de tu usuario, si tienes más de uno puedes recurrir a este comando:

Remove-AppxProvionedPackage –Online –zunemusic

Para que seas tú quien decida qué aplicaciones se van y cuales se quedan, aquí te dejamos una lista con los códigos de todas ellas para desinstalarlas a tu antojo:

• 3D Builder: 3dbuilder
• Alarmas y reloj: alarms
• Calculadora: calculator
• Calendario y Correo: communicationsapps
• Cámara: camera
• Películas y TV: zunevideo
• Obtener Office: officehub
• Prueba Skype: skypeapp
• Get Started: getstarted
• Groove Música: zunemusic
• Mapas: maps
• Mensajes: messaging
• Microsoft Solitaire Collection: solitaire
• Noticias: bingnews
• OneNote: onenote
• Fotos: photos
• Grabadora de voz: soundrecorder
• El Tiempo: bingweather
• Xbox: xbox

Recuerda lo que te hemos dicho al principio, estas aplicaciones vienen por defecto porque cubren las necesidades básicas de cualquier sistema operativo. Esto quiere decir que si vas a instalar una o varias de ellas tendrás que asegurarte de buscar luego alguna otra que sirva como alternativa para cubrir estas ausencias.

Por cierto, si utilizar este tipo de comandos te parece demasiado complicado, has de saber que existen otros programas de terceros que te dejan hacer exactamente lo mismo de una forma más gráfica e intuitiva. Te los mostramos hace unos días, o sea que échales un vistazo si lo necesitas.

También te recomendamos

Cómo instalar y disfrutar en Windows 10 de AV1, el códec de vídeo del futuro

Tecnología de los materiales y sensores de control del sueño, los verdaderos ingredientes para un descanso de calidad

Cómo colorear, hacer transparente o translúcida la barra de tareas de Windows 10

-
La noticia Cómo desinstalar el bloatware y las aplicaciones nativas no desinstalables de Windows 10 fue publicada originalmente en Genbeta por Yúbal FM .

Western Digital anunció recientemente que ha iniciado las pruebas piloto para la producción de un nuevo chip 3D NAND que ha desarrollado en colaboración con Toshiba y que tiene una característica muy especial: ofrece 512 Gbits de capacidad en sus 64 capas de celdas de memoria apiladas.

Este logro hará que las actuales unidades de estado solido tengan un futuro aún más prometedor precisamente en el apartado que más las limita: la capacidad de almacenamiento. Se espera que las primeras unidades basadas en estos chips lleguen en la segunda mitad de 2017, algo que vuelve a amenazar la validez de los discos duros tradicionales.

Un nuevo salto cualitativo en el segmento de los SSD

La tecnología ha sido bautizada como BiCS3, y es una interesante implementación de los chips 3D NAND que otros fabricantes llevan tiempo desarrollando. Sin embargo este logro de Western Digital y Toshiba va un paso más allá, ya que hasta ahora solo se habían llegado a crear chips de 256 Gbits.

Esta tecnología logra doblar esa densidad, lo que significa que los productos con este tipo de chips doblarán su capacidad. Tanto Western Digital como Toshiba compartirán algunos de los detalles clave de esta tecnología en la International Solid-State Circuits Conference que se celebra estos días.

Toshiba indicó el pasado mes de noviembre que iniciaría la construcción de una nueva fábrica de última generación para la producción de este tipo de productos. En ella existirán sistemas de absorción de temblores producidos por terremotos e incluso un diseño respetuoso con el medioambiente que haga uso de iluminación LED en todo el edificio. No solo eso: un sistema de inteligencia artificial estará integrado con el objetivo de mejorar la productividad.

Vía | Digital Trends
Más información | Western Digital
En Xataka | Al disco duro se le acaba la gasolina: los SSD con NVMe y 3D NAND son el futuro, afirma Samsung

También te recomendamos

WD Blue y WD Green: Western Digital por fin se lanza con los SSD y rediseña My Passport

Western Digital compra SanDisk por 19.000 millones de dólares y pone la mirada en las unidades SSD

Cómo buscar la mejor batería en un móvil por menos de 300 euros

-
La noticia SSDs con el doble de capacidad muy pronto: este chip 3D NAND de 512 Gbits tiene la culpa fue publicada originalmente en Xataka por Javier Pastor .

De vez en cuando la comunidad torrent se lleva algún que otro revés. Desde los múltiples cierres y bloqueos de The Pirate Bay (incluyendo a nuestro país), pasando por el cierre de Kickass Torrents, a la desaparición de algunos lugares emblemáticos como Torrentz (que volvió poco después), la escena es muy convulsa y vale la pena estar pendiente para no perderse.

¿Dónde buscar torrents ahora? Esta es la gran pregunta que muchos usuarios se hacen a día de hoy. En este artículo vamos a hablar de los buscadores de torrents más completos, de forma que siempre puedas tener una lista base a la que recurrir siempre que lo necesites, por mucho que haya quien diga que el streaming ha sustituido al torrent.

The Pirate Bay

Si en tu país aún no ha sido bloqueada (aunque siempre hay formas de saltárselo), The Pirate Bay sigue siendo una de las páginas de referencia en lo que a la búsqueda de torrents se refiere. Desde que Kickass Torrents cayó, parece que la web sueca ha recuperado el trono de las descargas P2P. Todavía tiene que igualar los resultados de aquella (no en vano Kickass llegó al puesto 100 del ranking de Alexa), pero su peso dentro de la comunidad es innegable.

Torrentz2

Torrentz2 llegó para ocupar el hueco dejado por Torrentz, que había llegado a ser considerado como el "Google de los torrents". Puede que su apariencia resulte poco atractiva, pero funciona muy bien. Actúa como un metabuscador, que analiza otras webs de torrents de Internet y te trae justo lo que estás intentando encontrar.

RARBG

Este buscador está dirigido a entusiastas del P2P que se lo toman muy en serio. La comunidad está centrada en torno a torrents de alta calidad, despreciando la cantidad de torrents. Cuando observas los tamaños de los archivos, te das cuenta de que RARBG.to no es para todo el mundo. Además, funciona con un sistema cerrado de usuarios registrados que ahora mismo no admite nuevas cuentas.

Torlock

El caso de Torlock es un poco especial. Los responsables de la web pagan una comisión a los usuarios por detectar torrents falsos y reportarlos a la comunidad. En un mundo donde encontrar fakes suele ser algo habitual, algo así es un regalo. Si has tenido malas experiencias descargando archivos de redes P2P y estás harto de perder tiempo, esta web te ahorrará dolores de cabeza.

EZTV

Si lo tuyo es la versión original, entonces EZTV está hecho para ti. Esta comunidad se centra en series y películas en el idioma de Shakespeare, y está operada por conocidos uploaders internacionales. Puede que no tenga un catálogo muy grande, pero al parecer la calidad de los archivos suele ser siempre muy buena.

SeedPeer

SeedPeer cuenta con una enorme base de datos, de más de tres millones de archivos torrent. La interfaz de búsqueda es muy simple, y el campo de búsquedas populares puede servir como una forma interesante de encontrar nuevas propuestas.

iDope

Esta web se creó inicialmente como una especie de tributo a Kickass Torrents. iDope ofrece también una aplicación para móviles y tablets. Por ahora parece que la web mantiene un perfil bajo y no muchos usuarios la conocen, pero si usan la misma base de datos que utilizó IsoHunt vale la pena darle una oportunidad.

Bitport

Bitport es un servicio encarado a la red torrent ofrecido desde la República Checa. Funciona de una forma un poco peculiar: no te dan torrents, sino que los descargan por ti a sus servidores privados. Una vez que los archivos se transfieren a sus servidores, a los que después entras para descargar el archivo completado directamente a tu PC.

Ahora bien, es un servicio de pago. La versión gratuita permite descargar 100 MB por hora, si bien rascándote el bolsillo podrás conseguir tasas mas altas.

ExtraTorrent

ExtraTorrent es un veterano de las búsquedas de torrents. Su interfaz es muy visual, y la cantidad de imágenes e información sobre las descargas disponible en la web es simplemente enorme. Vale mucho la pena probarlo como buscador, y además anima al usuario a navegar por su interior para descubrir nuevos contenidos que le pueden interesar.

Toorgle

Si antes hablábamos de Torrentz2 como "el Google de los torrents", en Toorgle se lo han tomado muy a pecho. Su interfaz recuerda mucho a la del buscador de la Gran G, y lo que hace es buscar dentro de él para devolvernos información sobre contenidos que puedan interesar al usuario.

Ahora bien, Toorgle también puede mostrar resultados de sitios algo turbios, que podrían contener fakes entre otras cosas menos "alegres". Por tanto, asegúrate bien de dónde vas a entrar y comprueba en los comentarios del torrent que es lo que dice.

IsoHunt

IsoHunt vuelve a estar online. Un veterano dentro del mundo del torrenting, es uno de los buscadores con más solera y que mejores resultados ofrece para quienes andan buscando buen contenido que conseguir en la red torrent. Tienen un nuevo dominio y siguen funcionando igual que siempre, si no los conoces pásate a echar un vistazo.

Torrent Funk

Torrent Funk es un sitio bastante popular entre la comunidad. Tiene una interfaz que cuesta un poco descifrar (especialmente a la hora de distinguir entre anuncios y descargas), pero su disposición es agradable. Su sistema de recomendaciones es muy útil, además de ser un pequeño plus que lo diferencia del resto de webs que existen.

Torrents

Torrents ofrece metabúsqueda de películas y música en inglés y en castellano. Por lo demás, es un sitio web sencillo que hace cierto hincapié en el uso del VPN a la hora de descargar usando este método y que, por desgracia, está algo plagado de pop-ups y publicidad.

LimeTorrents

LimeTorrents se parece mucho a otros competidores suyos: presenta una lista tabular de torrents con publicidad a los lados. Sin embargo, cuentan con una base de datos creciente que ya va por los dos millones de torrents. Puede que sea un actor importante en el futuro.

Sky Torrents

Sky Torrents) es el primer buscador de torrents sin publicidad y enfocado a la privacidad. Afirma que no recopila ningún tipo de datos. Ahora mismo se encuentra en fase beta, pero dado su enfoque a la publicidad y a no querer llenar la página con publicidad, vale la pena darle una oportunidad.

En Genbeta | ¿Vale la pena seguir descargando de redes P2P en la era del streaming?

También te recomendamos

Empieza la temporada de screeners en Internet con cinco estrenos filtrados

Cómo buscar la mejor batería en un móvil por menos de 300 euros

Cierra Torrentz, el Google de los torrents dice adiós tras 13 años de actividad

-
La noticia Los buscadores de torrents más completos de 2017 fue publicada originalmente en Genbeta por Sergio Agudo .

As of today new service packs are available! Keep an eye on the support blog for the availability of the next new service packs.

The following service packs can be downloaded now:

• Exact Globe Next 411SP17
• Exact Globe Next 412SP7
• Exact Synergy Enterprise 256SP17
• Exact Synergy Enterprise 257SP7

Service pack changelogs

Click on the links above to view the service pack changelogs per product line and product version. In these changelogs, you can read per product update which improvements are included in the appropriate service pack. You can also find all improvements of previous service packs in the changelog. So you can use a single document for all release information of all service packs per product update.

Installation

In order to obtain a service pack you need to update the software. The method for installing a service pack is similar to a regular update. Instead of the product update that you want to install, you now select the service pack at ‘Release’. When the service pack is not available in the list, click  to update the list with available updates. For this it’s important that the user name, password, and domain are defined.

For more information how to install an update, please click on the links below:

• How-to: Installing and updating Exact Globe Next
• Update Procedure Exact Synergy Enterprise

Jack es el típico gadget-miniaturizado que resuelve un problema: dotar de un jack de audio de 3,5 mm a aquellos dispositivos que no lo tienen – principalmente el iPhone 7, reconozcámoslo. Su estética es sencilla y minimalista y se puede comprar todavía a 25 dólares (el PVP estimado es de unos 40 dólares).

Es el típico chisme que viene bien llevar encima porque puede salvarte en muchas situaciones: escuchar música mientras se carga el iPhone, llevarlo en bicicleta con un clip sin necesidad de larguísimos cables que se enredan o incluso compartir la música con alguien que utiliza el mismo gadget – y hasta se pueden sincronizar dos iguales con una misma fuente Bluetooth (por ejemplo la música del ordenador o la tele). Su batería dura unas 12 horas y luego hay que recargarlo, normalmente por la noche.

Podría decirse que sigue la tradición de los inventos del tipo «resuelve un problema real» (que siempre hay unos auriculares viejos a mano pero no dónde enchufarlo) y la demostración palpable es que sus creadores, que buscaban tan solo 20.000 dólares para fabricar un millar de unidades se ya han encontrado con 400.000 dólares en pedidos. Y puede que lleguen al medio millón en los días que quedan hasta el cierre de la preventa en KickStarter.

(Vía Techaeris.)

# Enlace Permanente

¡Hola amigos!. Después del par de artículos anteriores sobre el Domain Name System y el Dynamic Host Configuration Protocol publicados en “DNS y DHCP en openSUSE 13.2 ‘Harlequin‘” y “DNS y DHCP en CentOS 7“, ambos de la serie Redes PYMES, nos toca la configuración de esos servicios en Debian.

Repetimos que un buen punto de partida para aprender sobre los conceptos teóricos del DNS y el DHCP lo constituye Wikipedia.

Instalación del sistema operativo

Partiremos de la instalación básica de un servidor con el sistema operativo Debian 8 “Jessie”  sin instalar ambiente gráfico alguno u otro programa. Una máquina virtual con 512 megas de RAM y un disco duro de 20 Gigas es más que suficiente.

Durante el proceso de instalación -en modo texto preferentemente- y siguiendo el orden de las pantallas escogimos los siguientes parámetros:

• Idioma:  Spanish – Español
• País, territorio o área: Estados Unidos
• Mapa de teclado a usar: Inglés estadounidense
• Configurar la red manualmente:
  • Dirección IP: 192.168.10.5
  • Máscara de red: 255.255.255.0
  • Pasarela: 192.168.10.1
  • Direcciones de servidores de nombres: 127.0.0.1
  • Nombre de la máquina: dns
  • Nombre del dominio: desdelinux.fan
• Clave del súper usuario: SuClave (después pide confirmación)
• Nombre completo para el nuevo usuario: Debian First OS Buzz
• Nombre de usuario para la cuenta: buzz
• Elija una contraseña para el nuevo usuario: SuClave (después pide confirmación)
• Seleccione su zona horaria: Este
• Método de particionado: Guiado – utilizar todo el disco
  • Elija disco a particionar: Disco virtual 1 (vda) – 21.5 GB Virto Block Device
  • Esquema de particionado: Todos los ficheros en una partición (recomendado para novatos).
  • Finalizar el particionado y escribir cambios en el disco <Enter>
  • ¿Desea escribir los cambios en los discos? <Sí>
• ¿Desea analizar otro CD o DVD?: <No>
• ¿Desea utilizar una réplica de red?: <No>
• ¿Desea participar en la encuesta sobre el uso de los paquetes?: <No>
• Elegir los programas a instalar:
  [  ]  Entorno de escritorio Debian
  [*]  Utilidades estándar del sistema
  <Continuar>
• ¿Desea instalar el cargador de arranque GRUB en el registro principal de arranque? <Sí>
  • /dev/vda <Enter>
• “Instalación completada”: <Continuar>

En mi modesta opinión, instalar Debian es sencillo. Solo se requiere responder a preguntas de opciones predefinidas y algún que otro dato. Incluso me atrevo a decir que es más fácil seguir los pasos anteriores que mediante un vídeo, por ejemplo. Al leer no pierdo la concentración. Otra cuestión es ver, leer, interpretar, y dar hacia atrás y adelante al vídeo, cuando me pierda o no entienda bien algún significado importante. Un hoja escrita a mano, o un archivo de texto plano copiado en el móvil, servirán perfectamente como una guía eficaz.

Ajustes iniciales

Después de terminada la instalación básica y el primer reinicio, procedemos a declarar los Repositorios de Programas.

Al editar el archivo sources.list, comentamos todas las entradas existentes por defecto debido a que trabajaremos con repositorios locales nada mas. El contenido final del archivo -excluyendo las líneas comentadas- sería:

root@dns:~# nano /etc/apt/sources.list
deb http://192.168.10.1/repos/jessie/debian/ jessie main contrib
deb http://192.168.10.1/repos/jessie/debian-security/ jessie/updates main contrib

Actualizamos el sistema

root@dns:~# aptitude update
root@dns:~# aptitude upgrade
root@dns:~# reboot

Instalamos SSH para acceder remotamente

root@dns:~# aptitude install ssh

Para permitir el inicio de una sesión remota vía SSH al usuario root -desde la LAN Empresarial solamente- modificamos su archivo de configuración:

root@dns:~# nano /etc/ssh/sshd_config
....
PermitRootLogin yes
....

root@dns:~# systemctl restart ssh.service
root@dns:~# systemctl status ssh.service

Iniciamos sesión remota vía SSH en “dns” desde la máquina “sysadmin”:

buzz@sysadmin:~$ rm .ssh/known_hosts 
buzz@sysadmin:~$ ssh root@192.168.10.5
...
root@192.168.10.5's password: 
...
root@dns:~#

Archivos principales de configuración

Los archivos principales de la configuración del sistema estarán acordes a nuestras selecciones durante la instalación:

root@dns:~# cat /etc/hosts
127.0.0.1   localhost
192.168.10.5    dns.desdelinux.fan  dns

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

root@dns:~# cat /etc/resolv.conf 
search desdelinux.fan
nameserver 127.0.0.1

root@dns:~# hostname
dns

root@dns:~# hostname -f
dns.desdelinux.fan

root@dns:~# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
    address 192.168.10.5
    netmask 255.255.255.0
    network 192.168.10.0
    broadcast 192.168.10.255
    gateway 192.168.10.1
    # dns-* options are implemented by the resolvconf package, if installed
    dns-nameservers 127.0.0.1
    dns-search desdelinux.fan

Instalamos paquetes de súper vivencia

root@dns:~# aptitude install htop mc deborphan

Limpieza de paquetes descargados si los hubiera

root@dns:~# aptitude install -f
root@dns:~# aptitude purge ~c
root@dns:~# aptitude clean
root@dns:~# aptitude autoclean

Instalamos el BIND9

• ANTES de instalar el BIND recomendamos encarecidamente visiten la página Tipos de registros DNS en Wikipedia, tanto en sus versiones en español como en inglés. Esos tipos de registros son los que utilizaremos en la configuración de los archivos Zonas, tanto Directa como Inversa. Es muy educativo conocer con qué estamos lidiando.
• También sugerimos lean las siguientes Request for Comments RFC – Solicitudes para Comentarios, las cuales están íntimamente relacionadas con un saludable funcionamiento del servicio DNS, sobre todo con respecto a la Recursividad hacia los Servidores Raíces:
  • RFCs 1912, 5735, 6303, and BCP 32: relativas al localhost
  • RFCs 1912, 6303: Style zone for IPv6 localhost address
  • RFCs 1912, 5735 and 6303: relativas a la Red Local – “This” Network
  • RFCs 1918, 5735 and 6303: Private Use Networks
  • RFC 6598: Shared Address Space
  • RFCs 3927, 5735 and 6303: Link-local/APIPA
  • RFCs 5735 and 5736: Internet Engineering Task Force protocol assignments
  • RFCs 5735, 5737 and 6303: TEST-NET-[1-3] for Documentation
  • RFCs 3849 and 6303: IPv6 Example Range for Documentation
  • BCP 32: Domain Names for Documentation and Testing
  • RFCs 2544 and 5735: Router Benchmark Testing
  • RFC 5735: IANA Reserved – Old Class E Space
  • RFC 4291: IPv6 Unassigned Addresses
  • RFCs 4193 and 6303: IPv6 ULA
  • RFCs 4291 and 6303: IPv6 Link Local
  • RFCs 3879 and 6303: IPv6 Deprecated Site-Local Addresses
  • RFC 4159: IP6.INT is Deprecated

Instalación

root@dns:~# aptitude search bind9
p   bind9                                                     - Internet Domain Name Server                                         
p   bind9-doc                                                 - Documentation for BIND                                              
i   bind9-host                                                - Version of 'host' bundled with BIND 9.X                             
p   bind9utils                                                - Utilities for BIND                                                  
p   gforge-dns-bind9                                          - collaborative development tool - DNS management (using Bind9)       
i A libbind9-90                                               - BIND9 Shared Library used by BIND

Pruebe también a ejecutar aptitude search ~dbind9

root@dns:~# aptitude install bind9

root@dns:~# systemctl restart bind9.service

root@dns:~# systemctl status bind9.service
● bind9.service - BIND Domain Name Server
   Loaded: loaded (/lib/systemd/system/bind9.service; enabled)
  Drop-In: /run/systemd/generator/bind9.service.d
           └─50-insserv.conf-$named.conf
   Active: active (running) since vie 2017-02-03 10:33:11 EST; 1s ago
     Docs: man:named(8)
  Process: 1460 ExecStop=/usr/sbin/rndc stop (code=exited, status=0/SUCCESS)
 Main PID: 1465 (named)
   CGroup: /system.slice/bind9.service
           └─1465 /usr/sbin/named -f -u bind

feb 03 10:33:11 dns named[1465]: automatic empty zone: 8.B.D.0.1.0.0.2.IP6.ARPA
feb 03 10:33:11 dns named[1465]: command channel listening on 127.0.0.1#953
feb 03 10:33:11 dns named[1465]: command channel listening on ::1#953
feb 03 10:33:11 dns named[1465]: managed-keys-zone: loaded serial 2
feb 03 10:33:11 dns named[1465]: zone 0.in-addr.arpa/IN: loaded serial 1
feb 03 10:33:11 dns named[1465]: zone localhost/IN: loaded serial 2
feb 03 10:33:11 dns named[1465]: zone 127.in-addr.arpa/IN: loaded serial 1
feb 03 10:33:11 dns named[1465]: zone 255.in-addr.arpa/IN: loaded serial 1
feb 03 10:33:11 dns named[1465]: all zones loaded
feb 03 10:33:11 dns named[1465]: running
Hint: Some lines were ellipsized, use -l to show in full.

Archivos de configuración instalados por el BIND9

De forma un poco diferente a la configuración del servicio DNS en CentOS y openSUSE, en Debian se crean los siguientes archivos en el directorio /etc/bind:

root@dns:~# ls -l /etc/bind/
total 52
-rw-r--r-- 1 root root 2389 jun 30  2015 bind.keys
-rw-r--r-- 1 root root  237 jun 30  2015 db.0
-rw-r--r-- 1 root root  271 jun 30  2015 db.127
-rw-r--r-- 1 root root  237 jun 30  2015 db.255
-rw-r--r-- 1 root root  353 jun 30  2015 db.empty
-rw-r--r-- 1 root root  270 jun 30  2015 db.local
-rw-r--r-- 1 root root 3048 jun 30  2015 db.root
-rw-r--r-- 1 root bind  463 jun 30  2015 named.conf
-rw-r--r-- 1 root bind  490 jun 30  2015 named.conf.default-zones
-rw-r--r-- 1 root bind  165 jun 30  2015 named.conf.local
-rw-r--r-- 1 root bind  890 feb  3 10:32 named.conf.options
-rw-r----- 1 bind bind   77 feb  3 10:32 rndc.key
-rw-r--r-- 1 root root 1317 jun 30  2015 zones.rfc1918

Todos los archivos anteriores están en texto plano. Si queremos conocer el significado y contenido de cada uno de ellos, lo podemos hacer mediante los comandos less o cat, lo cual es una buena práctica.

Documentación acompañante

En el directorio /usr/share/doc/bind9 tendremos:

root@dns:~# ls -l /usr/share/doc/bind9
total 56
-rw-r--r-- 1 root root  5927 jun 30  2015 copyright
-rw-r--r-- 1 root root 19428 jun 30  2015 changelog.Debian.gz
-rw-r--r-- 1 root root 11790 ene 27  2014 FAQ.gz
-rw-r--r-- 1 root root   396 jun 30  2015 NEWS.Debian.gz
-rw-r--r-- 1 root root  3362 jun 30  2015 README.Debian.gz
-rw-r--r-- 1 root root  5840 ene 27  2014 README.gz

En la documentación anterior encontraremos Abundante Material de Estudio que recomendamos leer ANTES de configurar el BIND, e incluso ANTES de buscar en Internet artículos relativos el BIND y al DNS en general. Vamos a leer el contenido de algunos de esos archivos:

FAQs o Frequently Asked Questions about BIND 9

1. Compilation and Installation Questions – Preguntas sobre la Compilación e Instalación
2. Configuration and Setup Questions – Preguntas sobre la Configuración y puesta a punto
3. Operations Questions – Preguntas sobre la Operación
4. General Questions – Preguntas Generales
5. Operating-System Specific Questions – Preguntas Específicas sobre cada Sistema Operativo
   1. HPUX
   2. Linux
   3. Windows
   4. FreeBSD
   5. Solaris
   6. Apple Mac OS X
      

NEWS.Debian.gz

NEWS.Debian nos dice en resumen que los parámetros allow-query-cache y allow-recursion están habilitados por defecto para las ACL incorporadas en el BIND –built-in– ‘localnets‘ y ‘localhost‘. También nos informa que los cambios por defecto se llevaron a cabo para hacer menos atractivo a los servidores caché a un ataque por Spoofing desde redes externas.

Para comprobar lo escrito en el párrafo anterior, si desde una máquina de la propia red 192.168.10.0/24 que es la de nuestro ejemplo, realizamos una petición DNS sobre el dominio desdelinux.net, y al mismo tiempo en el propio servidor dns.desdelinux.fan ejecutamos tail -f /var/log/syslog obtendremos lo siguiente:

buzz@sysadmin:~$ dig localhost
....
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;localhost.         IN  A

;; ANSWER SECTION:
localhost.      604800  IN  A   127.0.0.1

;; AUTHORITY SECTION:
localhost.      604800  IN  NS  localhost.

;; ADDITIONAL SECTION:
localhost.      604800  IN  AAAA    ::1

buzz@sysadmin:~$ dig desdelinux.net
....
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;desdelinux.net.            IN  A
....

root@dns:~# tail -f /var/log/syslog
....
Feb  4 13:04:31 dns named[1602]: error (network unreachable) resolving 'desdelinux.net/A/IN': 2001:7fd::1#53
Feb  4 13:04:31 dns named[1602]: error (network unreachable) resolving 'desdelinux.net/A/IN': 2001:503:c27::2:30#53
....

La salida del syslog es mucho más larga debido a la búsqueda de los servidores raíces por parte del BIND. Por supuesto que el archivo /etc/resolv.conf en el equipo sysadmin.desdelinux.fan apunta al DNS 192.168.10.5.

De la ejecución de los comandos anteriores podemos sacar varias conclusiones a priori:

• El BIND queda configurado por defecto como un Servidor Caché funcional sin necesidad de configuraciones posteriores, y responde consultas DNS para las localnets y el localhost
• La Recursividad – Recursion está habilitada para las localnets y el localhost
• Aun no es un servidor Autoritario
• A diferencia de CentOS, donde tuvimos que declarar el parámetro “listen-on port 53 { 127.0.0.1; 192.168.10.5; };” de manera explícita para que escuchara peticiones DNS por la interfaz de red 192.168.10.5 del propio DNS, en Debian no es necesario porque admite peticiones DNS para las localnets y el localhost por defecto. Revisen el contenido del archivo /etc/bind/named.conf.options y verán que no existe declaración alguna listen-on.
• Están habilitadas las consultas IPv4 e IPv6

Si con solo leer e interpretar -un tin como decimos en Cuba- el archivo NEWS.Debian.gz hemos arribado a interesantes conclusiones que nos permiten conocer un poco mas sobre la Filosofía de Configuración por defecto del Team Debian con respecto al BIND, ¿qué otros aspectos interesantes podemos conocer de seguir leyendo los archivos de la Documentación Acompañante?.

README.Debian.gz

README.Debian nos informa -entre muchos otros aspectos- que las Extensiones de seguridad para el Sistema de Nombres de Dominio – Domain Name System Security Extensions o DNSSEC, están habilitadas; y reafirma que la configuración por defecto trabaja para la mayoría de los servidores (servidores hojas – leaf servers refiríendose a las hojas del árbol de dominios) sin necesidad de la intervención del usuario.

• DNSSEC según Wikipedia: Las Extensiones de seguridad para el Sistema de Nombres de Dominio ( del inglés Domain Name System Security Extensions, o DNSSEC) es un conjunto de especificaciones de la Internet Engineering Task Force (IETF) para asegurar cierto tipo de información proporcionada por el sistema de nombre de dominio (DNS) que se usa en el protocolo de Internet (IP). Se trata de un conjunto de extensiones al DNS que proporcionan a los clientes DNS (o resolvers) la autenticación del origen de datos DNS, la negación autenticada de la existencia e integridad de datos, pero no disponibilidad o confidencialidad.

Sobre el Esquema de Configuración nos dice que todos los Archivos de Configuración Estáticos, los Archivos de las Zonas para los Servidores Raíces, y las Zonas Directa e Inversa del localhost están en /etc/bind.

El Directorio de Trabajo del demonio named es /var/cache/bind de forma que, cualquier archivo transitorio que genere el named tales como bases de datos para la cual actúa como Servidor Esclavo, sean escritas en el Sistema de Archivos /var, que es adonde pertenecen.

Al contrario que las versiones anteriores del paquete BIND para Debian, el archivo named.conf y las db.* suministradas, están etiquetadas como archivos de configuración. De forma tal que si necesitamos un Servidor DNS que actúe principalmente como Servidor Caché y que no sea Autoritario para nadie más, lo podamos utilizar tal cual se instala y queda configurado por defecto.

Si se necesita implementar un DNS Autoritario, sugieren colocar los archivos de las Zonas Maestras en el mismo directorio /etc/bind. Si la complejidad de las zonas para las que el named será Autoritario lo requiere, se recomienda la creación de una estructura de subdirectorios, haciendo referencia a los archivos de zonas de forma absoluta en el archivo named.conf.

Cualquier Archivo de Zona para la que el named actúe como Servidor Esclavo se debe ubicar en /var/cache/bind.

Los Archivos de Zonas sujetos a Actualizaciones Dinámicas por parte de un DHCP o del comando nsupdate, se deben almacenar en /var/lib/bind.

Si el sistema operativo utiliza apparmor, el perfil instalado solo funciona con la configuración por defecto del BIND. Posteriores cambios en la configuración del named puede que requieran de cambios en el perfil del apparmor. Visite https://wiki.ubuntu.com/DebuggingApparmor antes de rellenar un formulario acusando un bug en ese servicio.

Existen varias cuestiones asociadas a la ejecución del Debian BIND en una Jaula Chroot – chroot jail. Visite http://www.tldp.org/HOWTO/Chroot-BIND-HOWTO.html para mas información.

Otras informaciones

man named, man named.conf, man named-checkconf, man named-checkzone, man rndc, etcétera.

root@dns:~# named -v
BIND 9.9.5-9+deb8u1-Debian (Extended Support Version)

root@dns:~# named -V
BIND 9.9.5-9+deb8u1-Debian (Extended Support Version) <id:f9b8a50e> 
built by make with '--prefix=/usr' '--mandir=/usr/share/man' \
'--infodir=/usr/share/info' '--sysconfdir=/etc/bind' \
'--localstatedir=/var' '--enable-threads' '--enable-largefile' \
'--with-libtool' '--enable-shared' '--enable-static' \
'--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' \
'--with-geoip=/usr' '--with-atf=no' '--enable-ipv6' '--enable-rrl' \
'--enable-filter-aaaa' \
'CFLAGS=-fno-strict-aliasing -fno-delete-null-pointer-checks -DDIG_SIGCHASE -O2'
compiled by GCC 4.9.2
using OpenSSL version: OpenSSL 1.0.1k 8 Jan 2015
using libxml2 version: 2.9.1

root@dns:~# ps -e | grep named
  408 ?        00:00:00 named

root@dns:~# ps -e | grep bind
  339 ?        00:00:00 rpcbind

root@dns:~# ps -e | grep bind9
root@dns:~#

root@dns:~# ls /var/run/named/
named.pid    session.key  
root@dns:~# ls -l /var/run/named/named.pid 
-rw-r--r-- 1 bind bind 4 feb  4 13:20 /var/run/named/named.pid

root@dns:~# rndc status
version: 9.9.5-9+deb8u1-Debian <id:f9b8a50e>
CPUs found: 1
worker threads: 1
UDP listeners per interface: 1
number of zones: 100
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/0/1000
tcp clients: 0/100
server is up and running

• Es innegable la importancia de consultar la Documentación isntalada con el paquete BIND9 antes que cualquier otra.

bind9-doc

root@dns:~# aptitude install bind9-doc links2
root@dns:~# dpkg -L bind9-doc

El paquete bind9-doc instala, entre otras informaciones útiles, el Manual de Referencia del Administrador del BIND 9. Para acceder al manual -en inglés- ejecutamos:

root@dns:~# links2 file:///usr/share/doc/bind9-doc/arm/Bv9ARM.html
BIND 9 Administrator Reference Manual
Copyright (c) 2004-2013 Internet Systems Consortium, Inc. ("ISC")
Copyright (c) 2000-2003 Internet Software Consortium.

Esperamos que disfruten su lectura.

• Sin salir de casa, tenemos a mano Abundante Documentación Oficial sobre el BIND y sobre el servicio DNS en general.

Configuramos el BIND al estilo Debian

/etc/bind/named.conf “el principal”

root@dns:~# nano /etc/bind/named.conf
// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the
// structure of BIND configuration files in Debian, *BEFORE* you customize
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

¿Requiere de traducción el encabezado comentado?.

/etc/bind/named.conf.options

root@dns:~# cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root@dns:~# nano /etc/bind/named.conf.options
options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        // forwarders {
        //      0.0.0.0;
        // };

        //=====================================================================$
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //=====================================================================$

    // No queremos DNSSEC
        dnssec-enable no;
        //dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035

 // No necesitamos escuchar por direcciones IPv6
        // listen-on-v6 { any; };
    listen-on-v6 { none; };

 // Para comprobaciones desde el localhost y sysadmin
    // mediante dig desdelinux.fan axfr
    // No tenemos DNS Esclavos... hasta ahora
 allow-transfer { localhost; 192.168.10.1; };
};

root@dns:~# named-checkconf 
root@dns:~#

/etc/bind/named.conf.local

En el encabezado comentado de éste archivo recomiendan incluir las Zonas indicadas en las RFC-1918 descritas en el archivo /etc/bind/zones.rfc1918. La inclusión de esas zonas localmente prevée que cualquier consulta relativa a ellas no salga de la red local hacia los servidores raíces, lo cual tiene dos ventajas significativas:

• Resolución local más rápida para los usuarios locales
• No se crea un tráfico innecesario -o espurio- hacia los servidores raíces.

Personalmente no dispongo de conexión con Internet para probar la Recursividad o el Forwarding. No obstante, y como no hemos invalidado la Recursividad en el archivo named.conf.options -mediante recursion no;-  podemos incluir las mencionadas zonas y otras más que explico a continuación.

Al instalar el BIND 9.9.7 en el Sistema Operativo FreeBSD 10.0, que también -y de paso- es Software Libre, el archivo de configuración /usr/local/etc/namedb/named.conf.sample contiene toda una serie de zonas que recomiendan servir localmente para -también- obtener las ventajas antes mencionadas.

Para no alterar la configuración original del BIND en Debian, sugerimos crear el archivo /etc/bind/zones.rfcFreeBSD e incluirlo en el /etc/bind/named.conf.local con el contenido indicado abajo, y con los caminos – paths a los archivos ya adaptados a Debian:

root@dns:~# nano /etc/bind/zones.rfcFreeBSD
// Shared Address Space (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local/APIPA (RFCs 3927, 5735 and 6303)
zone "254.169.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// IETF protocol assignments (RFCs 5735 and 5736)
zone "0.0.192.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// TEST-NET-[1-3] for Documentation (RFCs 5735, 5737 and 6303)
zone "2.0.192.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.51.198.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.0.203.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// IPv6 Example Range for Documentation (RFCs 3849 and 6303)
zone "8.b.d.0.1.0.0.2.ip6.arpa" { type master; file "/etc/bind/db.empty"; };

// Domain Names for Documentation and Testing (BCP 32)
zone "test" { type master; file "/etc/bind/db.empty"; };
zone "example" { type master; file "/etc/bind/db.empty"; };
zone "invalid" { type master; file "/etc/bind/db.empty"; };
zone "example.com" { type master; file "/etc/bind/db.empty"; };
zone "example.net" { type master; file "/etc/bind/db.empty"; };
zone "example.org" { type master; file "/etc/bind/db.empty"; };

// Router Benchmark Testing (RFCs 2544 and 5735)
zone "18.198.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "19.198.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// IANA Reserved - Old Class E Space (RFC 5735)
zone "240.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "241.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "242.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "243.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "244.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "245.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "246.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "247.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "248.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "249.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "250.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "251.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "252.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "253.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "254.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// IPv6 Unassigned Addresses (RFC 4291)
zone "1.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "3.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "4.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "5.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "6.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "7.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "8.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "9.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "a.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "b.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "c.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "d.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "e.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "0.f.ip6.arpa" { type master; file "/etc/bind/db.empty"; };
zone "1.f.ip6.arpa" { type master; file "/etc/bind/db.empty"; };
zone "2.f.ip6.arpa" { type master; file "/etc/bind/db.empty"; };
zone "3.f.ip6.arpa" { type master; file "/etc/bind/db.empty"; };
zone "4.f.ip6.arpa" { type master; file "/etc/bind/db.empty"; };
zone "5.f.ip6.arpa" { type master; file "/etc/bind/db.empty"; };
zone "6.f.ip6.arpa" { type master; file "/etc/bind/db.empty"; };
zone "7.f.ip6.arpa" { type master; file "/etc/bind/db.empty"; };
zone "8.f.ip6.arpa" { type master; file "/etc/bind/db.empty"; };
zone "9.f.ip6.arpa" { type master; file "/etc/bind/db.empty"; };
zone "a.f.ip6.arpa" { type master; file "/etc/bind/db.empty"; };
zone "b.f.ip6.arpa" { type master; file "/etc/bind/db.empty"; };
zone "0.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "1.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "2.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "3.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "4.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "5.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "6.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "7.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };

// IPv6 ULA (RFCs 4193 and 6303)
zone "c.f.ip6.arpa" { type master; file "/etc/bind/db.empty"; };
zone "d.f.ip6.arpa" { type master; file "/etc/bind/db.empty"; };

// IPv6 Link Local (RFCs 4291 and 6303)
zone "8.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "9.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "a.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "b.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };

// IPv6 Deprecated Site-Local Addresses (RFCs 3879 and 6303)
zone "c.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "d.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "e.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };
zone "f.e.f.ip6.arpa"   { type master; file "/etc/bind/db.empty"; };

// IP6.INT is Deprecated (RFC 4159)
zone "ip6.int"      { type master; file "/etc/bind/db.empty"; };

Aunque hemos eliminado la posibilidad de escuchar peticiones IPv6 en nuestro ejemplo, no está demás la inclusión de las zonas IPv6 en el archivo anterior para quien las necesite.

El contenido final de /etc/bind/named.conf.local es:

root@dns:~# nano /etc/bind/named.conf.local
//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
include "/etc/bind/zones.rfc1918";
include "/etc/bind/zones.rfcFreeBSD";

// Declaración del nombre, tipo, ubicación, y permiso de actualización
// de las Zonas de Registros DNS
// Ambas Zonas son MAESTRAS
zone "desdelinux.fan" {
 type master;
 file "/var/lib/bind/db.desdelinux.fan";
};

zone "10.168.192.in-addr.arpa" {
 type master;
 file "/var/lib/bind/db.10.168.192.in-addr.arpa";
};

root@dns:~# named-checkconf 
root@dns:~#

Creamos los archivos de cada Zona

El contenido de los archivos de cada zona lo podemos copiar literalmente desde el artículo “DNS y DHCP en CentOS 7“, siempre y cuado pongamos cuidado en cambiar el directorio de destino a /var/lib/bind:

[root@dns ~]# nano /var/lib/bind/db.desdelinux.fan
$TTL 3H
@   IN SOA  dns.desdelinux.fan. root.dns.desdelinux.fan. (
                                        1   ; serial
                                        1D  ; refresh
                                        1H  ; retry
                                        1W  ; expire
                                        3H )    ; minimum or
                                                ; Negative caching time to live
;
@               IN  NS  dns.desdelinux.fan.
@               IN  MX  10 mail.desdelinux.fan.
@       IN  TXT "DesdeLinux, su Blog dedicado al Software Libre"
;
sysadmin        IN  A   192.168.10.1
ad-dc           IN  A   192.168.10.3
fileserver  IN  A   192.168.10.4
dns             IN  A   192.168.10.5
proxyweb        IN  A   192.168.10.6
blog            IN  A   192.168.10.7
ftpserver   IN  A   192.168.10.8
mail            IN  A   192.168.10.9

[root@dns ~]# nano /var/lib/bind/db.10.168.192.in-addr.arpa
$TTL 3H
@   IN SOA  dns.desdelinux.fan. root.dns.desdelinux.fan. (
                                        1   ; serial
                                        1D  ; refresh
                                        1H  ; retry
                                        1W  ; expire
                                        3H )    ; minimum or
                                                ; Negative caching time to live
;
@               IN  NS  dns.desdelinux.fan.
;
1   IN  PTR     sysadmin.desdelinux.fan.
3   IN  PTR     ad-dc.desdelinux.fan.
4   IN  PTR     fileserver.desdelinux.fan.
5   IN  PTR     dns.desdelinux.fan.
6   IN  PTR     proxyweb.desdelinux.fan.
7   IN  PTR     blog.desdelinux.fan.
8   IN  PTR     ftpserver.desdelinux.fan.
9   IN  PTR     mail.desdelinux.fan.

Comprobamos la sintaxis de cada zona

root@dns:~# named-checkzone desdelinux.fan /var/lib/bind/db.desdelinux.fan 
zone desdelinux.fan/IN: loaded serial 1
OK

root@dns:~# named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa 
zone 10.168.192.in-addr.arpa/IN: loaded serial 1
OK

Comprobación de la configuración general del BIND

root@dns:~# named-checkconf -zp

• De seguir el procedimiento de modificar el named.conf acorde a nuestras necesidades y comprobar, y crear cada archivo de zona y comprobarla, dudamos que nos tengamos que enfrentar a problemas mayores de configuración. Al final nos damos cuenta de que es un juego de muchachos, con muchos conceptos y quisquillosa sintaxis.

Las comprobaciones devolvieron resultados satisfactorios, por tanto podemos reiniciar el BIND – named.

Reiniciamos el BIND y comprobamos su status

[root@dns ~]# systemctl restart bind9.service
[root@dns ~]# systemctl status bind9.service
● bind9.service - BIND Domain Name Server
   Loaded: loaded (/lib/systemd/system/bind9.service; enabled)
  Drop-In: /run/systemd/generator/bind9.service.d
           └─50-insserv.conf-$named.conf
   Active: active (running) since dom 2017-02-05 07:45:03 EST; 5s ago
     Docs: man:named(8)
  Process: 1345 ExecStop=/usr/sbin/rndc stop (code=exited, status=0/SUCCESS)
 Main PID: 1350 (named)
   CGroup: /system.slice/bind9.service
           └─1350 /usr/sbin/named -f -u bind

feb 05 07:45:03 dns named[1350]: zone 1.f.ip6.arpa/IN: loaded serial 1
feb 05 07:45:03 dns named[1350]: zone a.f.ip6.arpa/IN: loaded serial 1
feb 05 07:45:03 dns named[1350]: zone localhost/IN: loaded serial 2
feb 05 07:45:03 dns named[1350]: zone test/IN: loaded serial 1
feb 05 07:45:03 dns named[1350]: zone example/IN: loaded serial 1
feb 05 07:45:03 dns named[1350]: zone 5.e.f.ip6.arpa/IN: loaded serial 1
feb 05 07:45:03 dns named[1350]: zone b.f.ip6.arpa/IN: loaded serial 1
feb 05 07:45:03 dns named[1350]: zone ip6.int/IN: loaded serial 1
feb 05 07:45:03 dns named[1350]: all zones loaded
feb 05 07:45:03 dns named[1350]: running

De obtener cualquier tipo de error en la salida del último comando, debemos reiniciar el named.service y volver a comprobar su status. Si los errores desaparecieron, el servicio se inició correctamente. En caso contrario, debemos realizar una minuciosa revisión de todos los archivos modificados y creados, y repetir el procedimiento.

Comprobaciones

Las comprobaciones se pueden ejecutar en el mismo servidor o en una máquina conectada a la LAN. Preferimos realizarlas desde el equipo sysadmin.desdelinux.fan al cual dimos permiso expreso para que pueda realizar Transferencias de Zonas. El archivo /etc/resolv.conf de ese equipo es el siguiente:

buzz@sysadmin:~$ cat /etc/resolv.conf 
# Generated by NetworkManager
search desdelinux.fan
nameserver 192.168.10.5

buzz@sysadmin:~$ dig desdelinux.fan axfr
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> desdelinux.fan axfr
;; global options: +cmd
desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
desdelinux.fan.     10800   IN  NS  dns.desdelinux.fan.
desdelinux.fan.     10800   IN  MX  10 mail.desdelinux.fan.
desdelinux.fan.     10800   IN  TXT "DesdeLinux, su Blog dedicado al Software Libre"
ad-dc.desdelinux.fan.   10800   IN  A   192.168.10.3
blog.desdelinux.fan.    10800   IN  A   192.168.10.7
dns.desdelinux.fan. 10800   IN  A   192.168.10.5
fileserver.desdelinux.fan. 10800 IN A   192.168.10.4
ftpserver.desdelinux.fan. 10800 IN  A   192.168.10.8
mail.desdelinux.fan.    10800   IN  A   192.168.10.9
proxyweb.desdelinux.fan. 10800  IN  A   192.168.10.6
sysadmin.desdelinux.fan. 10800  IN  A   192.168.10.1
desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
;; Query time: 1 msec
;; SERVER: 192.168.10.5#53(192.168.10.5)
;; WHEN: Sun Feb 05 07:49:01 EST 2017
;; XFR size: 13 records (messages 1, bytes 385)

buzz@sysadmin:~$ dig 10.168.192.in-addr.arpa axfr
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> 10.168.192.in-addr.arpa axfr
;; global options: +cmd
10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
10.168.192.in-addr.arpa. 10800  IN  NS  dns.desdelinux.fan.
1.10.168.192.in-addr.arpa. 10800 IN PTR sysadmin.desdelinux.fan.
3.10.168.192.in-addr.arpa. 10800 IN PTR ad-dc.desdelinux.fan.
4.10.168.192.in-addr.arpa. 10800 IN PTR fileserver.desdelinux.fan.
5.10.168.192.in-addr.arpa. 10800 IN PTR dns.desdelinux.fan.
6.10.168.192.in-addr.arpa. 10800 IN PTR proxyweb.desdelinux.fan.
7.10.168.192.in-addr.arpa. 10800 IN PTR blog.desdelinux.fan.
8.10.168.192.in-addr.arpa. 10800 IN PTR ftpserver.desdelinux.fan.
9.10.168.192.in-addr.arpa. 10800 IN PTR mail.desdelinux.fan.
10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
;; Query time: 1 msec
;; SERVER: 192.168.10.5#53(192.168.10.5)
;; WHEN: Sun Feb 05 07:49:47 EST 2017
;; XFR size: 11 records (messages 1, bytes 333)

buzz@sysadmin:~$ dig IN SOA desdelinux.fan
buzz@sysadmin:~$ dig IN MX desdelinux.fan
buzz@sysadmin:~$ dig IN TXT desdelinux.fan

buzz@sysadmin:~$ host proxyweb
proxyweb.desdelinux.fan has address 192.168.10.6

buzz@sysadmin:~$ host ftpserver
ftpserver.desdelinux.fan has address 192.168.10.8

buzz@sysadmin:~$ host 192.168.10.9
9.10.168.192.in-addr.arpa domain name pointer mail.desdelinux.fan.

… Y cualquier otra comprobación que necesitemos.

Instalamos y configuramos el DHCP

En Debian, el servicio DHCP lo brinda el paquete isc-dhcp-server:

root@dns:~# aptitude search isc-dhcp
i   isc-dhcp-client      - DHCP client for automatically obtaining an IP address               
p   isc-dhcp-client-dbg  - ISC DHCP server for automatic IP address assignment (client debug)  
i   isc-dhcp-common      - common files used by all of the isc-dhcp packages                   
p   isc-dhcp-dbg         - ISC DHCP server for automatic IP address assignment (debuging symbol
p   isc-dhcp-dev         - API for accessing and modifying the DHCP server and client state    
p   isc-dhcp-relay       - ISC DHCP relay daemon                                               
p   isc-dhcp-relay-dbg   - ISC DHCP server for automatic IP address assignment (relay debug)   
p   isc-dhcp-server      - ISC DHCP server for automatic IP address assignment                 
p   isc-dhcp-server-dbg  - ISC DHCP server for automatic IP address assignment (server debug)  
p   isc-dhcp-server-ldap - DHCP server that uses LDAP as its backend

root@dns:~# aptitude install isc-dhcp-server

Terminada la instalación del paquete, el -omnipresente- systemd se queja de que no pudo iniciar el servicio. En Debian, tenemos que declarar explícitamente por cual interfaz de red arrendará direcciones IP y responderá a las solicitudes, el isc-dhcp-server:

root@dns:~# nano /etc/default/isc-dhcp-server
....
# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
#       Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACES="eth0"

Documentación instalada

root@dns:~# ls -l /usr/share/doc/isc-dhcp-server/
total 44
-rw-r--r-- 1 root root  1235 dic 14  2014 copyright
-rw-r--r-- 1 root root 26031 feb 13  2015 changelog.Debian.gz
drwxr-xr-x 2 root root  4096 feb  5 08:10 examples
-rw-r--r-- 1 root root   592 dic 14  2014 NEWS.Debian.gz
-rw-r--r-- 1 root root  1099 dic 14  2014 README.Debian

Clave TSIG “dhcp-key”

Es recomendable la generación de la clave TSIG o Firma de Transacción – Transaction SIGnature, para la autenticación de las actualizaciones dinámicas del DNS por el DHCP. Como vimos en el artículo anterior “DNS y DHCP en CentOS 7“, consideramos que no es tan imprescindible la generación de esa clave, sobre todo cuando ambos servicios están instalados en un mismo servidor. No obstante, ofrecemos el procedimiento general para su generación automática:

root@dns:~# dnssec-keygen -a HMAC-MD5 -b 128 -r /dev/urandom -n USER dhcp-key
Kdhcp-key.+157+11088

root@dns:~# cat Kdhcp-key.+157+11088.private 
Private-key-format: v1.3
Algorithm: 157 (HMAC_MD5)
Key: TEqfcx2FUMYBQ1hA1ZGelA==
Bits: AAA=
Created: 20170205121618
Publish: 20170205121618
Activate: 20170205121618

root@dns:~# nano dhcp.key
key dhcp-key {
        algorithm hmac-md5;
        secret "TEqfcx2FUMYBQ1hA1ZGelA==";
};

root@dns:~# install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root@dns:~# install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key
root@dns:~# ls -l /etc/bind/*.key
-rw-r----- 1 root bind 78 feb  5 08:21 /etc/bind/dhcp.key
-rw-r----- 1 bind bind 77 feb  4 11:47 /etc/bind/rndc.key
root@dns:~# ls -l /etc/dhcp/dhcp.key 
-rw-r----- 1 root root 78 feb  5 08:21 /etc/dhcp/dhcp.key

Actualización de las Zonas del BIND mediante la clave dhcp-key

root@dns:~# nano /etc/bind/named.conf.local
//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
include "/etc/bind/zones.rfc1918";
include "/etc/bind/zones.rfcFreeBSD";
include "/etc/bind/dhcp.key";

// Declaración del nombre, tipo, ubicación, y permiso de actualización
// de las Zonas de Registros DNS
// Ambas Zonas son MAESTRAS
zone "desdelinux.fan" {
    type master;
    file "/var/lib/bind/db.desdelinux.fan";
 allow-update { key dhcp-key; };
};

zone "10.168.192.in-addr.arpa" {
    type master;
    file "/var/lib/bind/db.10.168.192.in-addr.arpa";
 allow-update { key dhcp-key; };
};

root@dns:~# named-checkconf 
root@dns:~#

Configuramos el isc-dhcp-server

root@dns:~# mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root@dns:~# nano /etc/dhcp/dhcpd.conf
ddns-update-style interim;
ddns-updates on;
ddns-domainname "desdelinux.fan.";
ddns-rev-domainname "in-addr.arpa.";
ignore client-updates;

authoritative;

option ip-forwarding off;
option domain-name "desdelinux.fan";

include "/etc/dhcp/dhcp.key";

zone desdelinux.fan. {
        primary 127.0.0.1;
        key dhcp-key;
}
zone 10.168.192.in-addr.arpa. {
        primary 127.0.0.1;
        key dhcp-key;
}

shared-network redlocal {
        subnet 192.168.10.0 netmask 255.255.255.0 {
                option routers 192.168.10.1;
                option subnet-mask 255.255.255.0;
                option broadcast-address 192.168.10.255;
                option domain-name-servers 192.168.10.5;
                option netbios-name-servers 192.168.10.5;
                range 192.168.10.30 192.168.10.250;
        }
}
# FIN dhcpd.conf

Comprobamos el archivo dhcpd.conf

root@dns:~# dhcpd -t
Internet Systems Consortium DHCP Server 4.3.1
Copyright 2004-2014 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Config file: /etc/dhcp/dhcpd.conf
Database file: /var/lib/dhcp/dhcpd.leases
PID file: /var/run/dhcpd.pid

Reiniciamos el BIND e iniciamos el isc-dhcp-server

root@dns:~# systemctl restart bind9.service 
root@dns:~# systemctl status bind9.service 

root@dns:~# systemctl start isc-dhcp-server.service
root@dns:~# systemctl status isc-dhcp-server.service 
● isc-dhcp-server.service - LSB: DHCP server
   Loaded: loaded (/etc/init.d/isc-dhcp-server)
   Active: active (running) since dom 2017-02-05 08:41:45 EST; 6s ago
  Process: 2039 ExecStop=/etc/init.d/isc-dhcp-server stop (code=exited, status=0/SUCCESS)
  Process: 2049 ExecStart=/etc/init.d/isc-dhcp-server start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/isc-dhcp-server.service
           └─2057 /usr/sbin/dhcpd -q -cf /etc/dhcp/dhcpd.conf -pf /var/run/dhcpd.pid eth0

feb 05 08:41:43 dns dhcpd[2056]: Wrote 0 leases to leases file.
feb 05 08:41:43 dns dhcpd[2057]: Server starting service.
feb 05 08:41:45 dns isc-dhcp-server[2049]: Starting ISC DHCP server: dhcpd.

Comprobaciones con clientes

Iniciamos un cliente con el sistema operativo Windows 7, con el nombre “LAGER”.

buzz@sysadmin:~$ host lager
LAGER.desdelinux.fan has address 192.168.10.30

buzz@sysadmin:~$ dig in txt lager.desdelinux.fan

Cambiamos el nombre de ese cliente a “seven” y reiniciamos al cliente

buzz@sysadmin:~$ host lager
;; connection timed out; no servers could be reached

buzz@sysadmin:~$ host seven
seven.desdelinux.fan has address 192.168.10.30
buzz@sysadmin:~$ host 192.168.10.30
30.10.168.192.in-addr.arpa domain name pointer seven.desdelinux.fan.

buzz@sysadmin:~$ dig in txt seven.desdelinux.fan

Volvimos a cambiar el nombre del cliente con Windows 7 a “win7”

buzz@sysadmin:~$ host seven
;; connection timed out; no servers could be reached

buzz@sysadmin:~$ host win7
win7.desdelinux.fan has address 192.168.10.30
buzz@sysadmin:~$ host 192.168.10.30
30.10.168.192.in-addr.arpa domain name pointer win7.desdelinux.fan.

buzz@sysadmin:~$ dig in txt win7.desdelinux.fan
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> in txt win7.desdelinux.fan
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11218
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;win7.desdelinux.fan.       IN  TXT

;; ANSWER SECTION:
win7.desdelinux.fan.    3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

;; AUTHORITY SECTION:
desdelinux.fan.     10800   IN  NS  dns.desdelinux.fan.

;; ADDITIONAL SECTION:
dns.desdelinux.fan. 10800   IN  A   192.168.10.5

;; Query time: 0 msec
;; SERVER: 192.168.10.5#53(192.168.10.5)
;; WHEN: Sun Feb 05 09:13:20 EST 2017
;; MSG SIZE  rcvd: 129

buzz@sysadmin:~$ dig desdelinux.fan axfr
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> desdelinux.fan axfr
;; global options: +cmd
desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 8 86400 3600 604800 10800
desdelinux.fan.     10800   IN  NS  dns.desdelinux.fan.
desdelinux.fan.     10800   IN  MX  10 mail.desdelinux.fan.
desdelinux.fan.     10800   IN  TXT "DesdeLinux, su Blog dedicado al Software Libre"
ad-dc.desdelinux.fan.   10800   IN  A   192.168.10.3
blog.desdelinux.fan.    10800   IN  A   192.168.10.7
dns.desdelinux.fan. 10800   IN  A   192.168.10.5
fileserver.desdelinux.fan. 10800 IN A   192.168.10.4
ftpserver.desdelinux.fan. 10800 IN  A   192.168.10.8
mail.desdelinux.fan.    10800   IN  A   192.168.10.9
proxyweb.desdelinux.fan. 10800  IN  A   192.168.10.6
sysadmin.desdelinux.fan. 10800  IN  A   192.168.10.1
win7.desdelinux.fan. 3600 IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
win7.desdelinux.fan. 3600    IN  A   192.168.10.30
desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 8 86400 3600 604800 10800
;; Query time: 2 msec
;; SERVER: 192.168.10.5#53(192.168.10.5)
;; WHEN: Sun Feb 05 09:15:13 EST 2017
;; XFR size: 15 records (messages 1, bytes 453)

En la salida anterior, resaltamos en negritas los TTL -en segundos- para los equipos con direcciones IP otorgadas por el servicio DHCP los que poseen una declaración explícita del TTL 3600 dada por el DHCP.  Las IP fijas se guían por el $TTL de 3H -3 horas = 10800 segundos- declarados en el registro SOA de cada archivo de zona.

Pueden comprobar de igual forma la zona inversa.

[root@dns ~]# dig 10.168.192.in-addr.arpa axfr

Otros comandos sumamente interesantes son:

[root@dns ~]# named-journalprint /var/lib/bind/db.desdelinux.fan.jnl
del desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
add desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 2 86400 3600 604800 10800
add LAGER.desdelinux.fan.   3600    IN  A   192.168.10.30
add LAGER.desdelinux.fan.   3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
del desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 2 86400 3600 604800 10800
del LAGER.desdelinux.fan.   3600    IN  A   192.168.10.30
add desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 3 86400 3600 604800 10800
del desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 3 86400 3600 604800 10800
del LAGER.desdelinux.fan.   3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
add desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 4 86400 3600 604800 10800
del desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 4 86400 3600 604800 10800
add desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 5 86400 3600 604800 10800
add seven.desdelinux.fan.   3600    IN  A   192.168.10.30
add seven.desdelinux.fan.   3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
del desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 5 86400 3600 604800 10800
del seven.desdelinux.fan.   3600    IN  A   192.168.10.30
add desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 6 86400 3600 604800 10800
del desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 6 86400 3600 604800 10800
del seven.desdelinux.fan.   3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
add desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 7 86400 3600 604800 10800
del desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 7 86400 3600 604800 10800
add desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 8 86400 3600 604800 10800
add win7.desdelinux.fan.    3600    IN  A   192.168.10.30
add win7.desdelinux.fan.    3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

[root@dns ~]# named-journalprint /var/lib/bind/db.10.168.192.in-addr.arpa.jnl
del 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
add 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 2 86400 3600 604800 10800
add 30.10.168.192.in-addr.arpa. 3600 IN PTR LAGER.desdelinux.fan.
del 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 2 86400 3600 604800 10800
del 30.10.168.192.in-addr.arpa. 3600 IN PTR LAGER.desdelinux.fan.
add 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 3 86400 3600 604800 10800
del 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 3 86400 3600 604800 10800
add 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 4 86400 3600 604800 10800
add 30.10.168.192.in-addr.arpa. 3600 IN PTR seven.desdelinux.fan.
del 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 4 86400 3600 604800 10800
del 30.10.168.192.in-addr.arpa. 3600 IN PTR seven.desdelinux.fan.
add 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 5 86400 3600 604800 10800
del 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 5 86400 3600 604800 10800
add 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 6 86400 3600 604800 10800
add 30.10.168.192.in-addr.arpa. 3600 IN PTR win7.desdelinux.fan.

[root@dns ~]# journalctl -f

Modificación manual de archivos de Zonas

Después que el DHCP entra en el juego de actualizar de forma dinámica a los archivos de zonas del BIND, si necesitamos en algún momento modificar manualmente un archivo de zona, debemos efectuar el siguiente procedimiento, no sin antes conocer un poco mas el funcionamiento de la utilidad rndc –man rndc– para el control del named.

• rndc freeze [zone [class [view]]], suspende la actualización dinámica de una zona. Sino se especifica una, todas se congelarán. El comando permite la edición manual de la zona congelada o de todas las zonas. Se negará cualquier actualización dinámica mientras esté congelada.
• rndc thaw [zone [class [view]]], habilita las actualizaciones dinámicas en una zona previamente congelada. El servidor DNS recarga el archivo de zona desde el disco y se vuelven a habilitar las actualizaciones dinámicas después que la recarga se termine.

¿Cuidados a tener cuando editamos manualmente un archivo de zona?. Los mismos que si la estuviéramos creando, sin olvidar incrementar en 1 el número de serie o serial antes de guardar el archivo con los cambios definitivos.

Congelamos las zonas

Como vamos a realizar cambios en las Zonas Directa e Inversa mientras se están ejecutando el DNS y el DHCP, lo mas saludable es congelar las Zonas del DNS:

[root@dns ~]# rndc freeze

La Zona desdelinux.fan contiene los siguientes registros:

[root@dns ~]# cat /var/lib/bind/db.desdelinux.fan
$ORIGIN .
$TTL 10800      ; 3 hours
desdelinux.fan          IN SOA  dns.desdelinux.fan. root.dns.desdelinux.fan. (
                                8          ; serial
                                86400      ; refresh (1 day)
                                3600       ; retry (1 hour)
                                604800     ; expire (1 week)
                                10800      ; minimum (3 hours)
                                )
                        NS      dns.desdelinux.fan.
                        MX      10 mail.desdelinux.fan.
                        TXT     "DesdeLinux, su Blog dedicado al Software Libre"
$ORIGIN desdelinux.fan.
ad-dc                   A       192.168.10.3
blog                    A       192.168.10.7
dns                     A       192.168.10.5
fileserver              A       192.168.10.4
ftpserver               A       192.168.10.8
mail                    A       192.168.10.9
proxyweb                A       192.168.10.6
sysadmin                A       192.168.10.1
$TTL 3600       ; 1 hour
win7                    A       192.168.10.30
                        TXT     "31b7228ddd3a3b73be2fda9e09e601f3e9"

Agreguemos el servidor “shorewall” con la IP 192.168.10.10:

root@dns:~# nano /var/lib/bind/db.desdelinux.fan
$ORIGIN .
$TTL 10800  ; 3 hours
desdelinux.fan      IN SOA  dns.desdelinux.fan. root.dns.desdelinux.fan. (
                9          ; serial
                86400      ; refresh (1 day)
                3600       ; retry (1 hour)
                604800     ; expire (1 week)
                10800      ; minimum (3 hours)
                )
            NS  dns.desdelinux.fan.
            MX  10 mail.desdelinux.fan.
            TXT "DesdeLinux, su Blog dedicado al Software Libre"
$ORIGIN desdelinux.fan.
ad-dc           A   192.168.10.3
blog            A   192.168.10.7
dns         A   192.168.10.5
fileserver      A   192.168.10.4
ftpserver       A   192.168.10.8
mail            A   192.168.10.9
proxyweb        A   192.168.10.6
shorewall        A   192.168.10.10
sysadmin        A   192.168.10.1
$TTL 3600   ; 1 hour
win7            A   192.168.10.30
            TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

Se supone debemos modificar también la Zona inversa:

root@dns:~# nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ORIGIN .
$TTL 10800      ; 3 hours
10.168.192.in-addr.arpa IN SOA  dns.desdelinux.fan. root.dns.desdelinux.fan. (
                                7          ; serial
                                86400      ; refresh (1 day)
                                3600       ; retry (1 hour)
                                604800     ; expire (1 week)
                                10800      ; minimum (3 hours)
                                )
                        NS      dns.desdelinux.fan.
$ORIGIN 10.168.192.in-addr.arpa.
1                       PTR     sysadmin.desdelinux.fan.
3                       PTR     ad-dc.desdelinux.fan.
$TTL 3600       ; 1 hour
30                      PTR     win7.desdelinux.fan.
$TTL 10800      ; 3 hours
4                       PTR     fileserver.desdelinux.fan.
5                       PTR     dns.desdelinux.fan.
6                       PTR     proxyweb.desdelinux.fan.
7                       PTR     blog.desdelinux.fan.
8                       PTR     ftpserver.desdelinux.fan.
9                       PTR     mail.desdelinux.fan.
10                      PTR     shorewall.desdelinux.fan.

Descongelamos y recargamos las zonas

[root@dns ~]# rndc thaw

root@dns:~# journalctl -f
-- Logs begin at dom 2017-02-05 06:27:10 EST. --
feb 05 12:00:29 dns named[1996]: received control channel command 'thaw'
feb 05 12:00:29 dns named[1996]: thawing all zones: success
feb 05 12:00:29 dns named[1996]: zone 10.168.192.in-addr.arpa/IN: journal file is out of date: removing journal file
feb 05 12:00:29 dns named[1996]: zone 10.168.192.in-addr.arpa/IN: loaded serial 7
feb 05 12:00:29 dns named[1996]: zone desdelinux.fan/IN: journal file is out of date: removing journal file
feb 05 12:00:29 dns named[1996]: zone desdelinux.fan/IN: loaded serial 9

buzz@sysadmin:~$ host shorewall
shorewall.desdelinux.fan has address 192.168.10.10

buzz@sysadmin:~$ host 192.168.10.10
10.10.168.192.in-addr.arpa domain name pointer shorewall.desdelinux.fan.

buzz@sysadmin:~$ dig desdelinux.fan axfr

buzz@sysadmin:~$ dig 10.168.192.in-addr.arpa axfr

root@dns:~# journalctl -f
....
feb 05 12:03:05 dns named[1996]: client 192.168.10.1#37835 (desdelinux.fan): transfer of 'desdelinux.fan/IN': AXFR started
feb 05 12:03:05 dns named[1996]: client 192.168.10.1#37835 (desdelinux.fan): transfer of 'desdelinux.fan/IN': AXFR ended
feb 05 12:03:20 dns named[1996]: client 192.168.10.1#46905 (10.168.192.in-addr.arpa): transfer of '10.168.192.in-addr.arpa/IN': AXFR started
feb 05 12:03:20 dns named[1996]: client 192.168.10.1#46905 (10.168.192.in-addr.arpa): transfer of '10.168.192.in-addr.arpa/IN': AXFR ended

Resumen

Hasta aquí tenemos en funcionamiento un servidor DNS Caché, que admite la Recursividad, que es Autoritario para la Zona desdelinux.fan, y que le permite al DHCP actualizar las Zonas Directa e Inversa con los nombres de equipos e IP que él otorga.

Éste artículo y los dos anteriores “DNS y DHCP en openSUSE 13.2 ‘Harlequin‘” y “DNS y DHCP en CentOS 7” constituyen prácticamente uno solo. Encontrarán conceptos generales sobre el DNS y DHCP, y particularidades de cada distribución en cada uno de ellos. Son un Punto de Entrada al tema, y una base para desarrollos mas complejos.

No dudaremos en insistir -una vez más- en la importancia que tiene el leer la documentación técnica que se instala por defecto con cada paquete, ANTES de configurar cualquier detalle. Lo decimos por propia experiencia.

Próxima entrega

Probablemente sea “Microsoft® Active Directory + BIND”

El artículo DNS y DHCP en Debian 8 “Jessie” – Redes PYMES aparece primero en DNS y DHCP en Debian 8 “Jessie” – Redes PYMES.

La Dark Web ha sido hackeada. Este fin de semana se ha accedido y tirado a los servidores de Freedom Hosting II, un importante servicio de hosting que alberga alrededor de 10.000 páginas de la darknet de TOR, lo que según algunos investigadores representa entre el 15 y el 20% del total de páginas que contiene esta red oculta.

Tal y como le ha contado a Motherboard quien dice ser el responsable de la operación, esta se ha realizado para luchar contra la pornografía infantil. De hecho, asegura que tras haber obtenido las bases de datos de la empresa de hosting le han enviado una copia a las autoridades para que tomen medidas oportunas.

Tras el hackeo, este es el mensaje que podía leerse en la web de Freedom Hosting II

Esta copia contiene 74 GB de archivos y 2,3 GB en bases de datos, y dice que no ha sido liberada públicamente por contener bastantes imágenes de pornografía infantil, y que para proteger al total de los usuarios se han omitido datos personales al enviársela a las autoridades. Sin información oficial posiblemente el FBI no pueda hacer gran cosa, pero quizá puedan encontrar datos que les ayuden a saber cómo opera este tipo de redes.

Sin embargo, no todo parece haber sido altruismo en el acto de este grupo que algunos medios han relacionado con Anonymous. También hay indicios de que los datos personales de los usuarios que supuestamente no se le han entregado a las autoridades los han utilizado después para pedir rescates a las páginas.

Según cuenta Softpedia, los hackers han extraído la información de las páginas .onion de las bases de datos y se le han pedido rescates a los responsables. La página Have I Been Pwned ha asegurado en Twitter que han obtenido una parte de los datos con los que están intentando pedir rescates, y que estos contienen información personal como 381.000 correos electrónicos de los usuarios.

¿Por qué tumbar una quinta parte de la Dark Web?

Los pasos seguidos para realizar el ataque, según su supuesto responsable.

En sus declaraciones a Motherboard, quien dice ser el organizador del ataque asegura que al principio no quería tumbar una quinta parte de la Dark Web. También asegura que este ha sido el primer hackeo que ha hecho nunca, por lo que no ha sido fruto de la experiencia sino de tener los conocimientos e ideas adecuadas.

"Inicialmente no quería derribar el FH2, solo mirar dentro de él", ha asegurado el hacker. Pero todo cambió cuando descubrió que estaba permitiendo que se alojasen páginas con contenido de pornografía infantil. De media, las páginas alojadas tenían 256MB de datos cada una, pero las de pornografía infantil tenían gigas de material. "Esto sugiere que pagaban por el alojamiento y que el admin sabía de estas webs. Fue entonces cuando decidí tomar el control".

Tras asegurar que estaría dispuesto a volver a actuar contra más hosting que albergen pornografía infantil, pero que de momento no tiene previsto hacerlo, el hacker ha enviado una lista con los pasos técnicos que dio para tomar Freedom Hosting II. La imagen con la lista la tenéis arriba, y en ella se explica desde cómo acceder a la base de datos hasta cómo tomar el control.

Cabe recordar que esta no es ni la primera ni posiblemente sea la última operación de grupos relacionados con Anonymous contra la pornografía infantil den la Dark Web. En 2011 ya se hizo algo parecido contra una única web llamada Lolita City, de la que consiguieron recopilar los nombres de sus 1589 usuarios y filtrarlos. Y en 2014 también se volvió a hacer algo parecido.

Vía | Motherboard
Imagen | photophilde
En Genbeta | 47 páginas .onion para visitar el lado amable de la Deep Web

También te recomendamos

Los errores más incomprensibles de la censura en Facebook que hace dudar de esta

Así de fácil me ha resultado entrar en la Darknet y encontrar cuentas robadas de casi todo

'Respuestas Ocultas', así es el Yahoo Respuestas de la Darknet

-
La noticia La Dark Web ha sido hackeada, caen el 20% de las webs .onion en un acto contra la pornografía infantil fue publicada originalmente en Genbeta por Yúbal FM .