BIND en Active Directory® - KMO-netwerke

Algemene indeks van die reeks: Rekenaarnetwerke vir KMO's: Inleiding

Hallo vriende!. Die hoofdoel van hierdie artikel is om aan te toon hoe ons die DNS-diens gebaseer op die BIND9 in 'n Microsoft-netwerk kan integreer, wat baie algemeen in baie KMO's voorkom.

Dit spruit uit die amptelike versoek van 'n vriend wat in La Tierra del Fuego woon -Die Fuegian- gespesialiseerd in Microsoft® Networks -Certificates ingesluit- om u te lei in hierdie deel van die migrasie van u bedieners na Linux. Die koste van ondersteuning Tegnikus wat Microsoft® betaal, is reeds Ondraaglik vir die maatskappy waarin hy werk en waarvan hy sy hoofaandeelhouer is.

My vriend Die Fuegian het 'n goeie sin vir humor, en aangesien hy die reeks van drie films gesien het «Die Lord of the Rings»Hy was geboei deur baie van die name van sy donker karakters. Dus, lesersvriend, moet u nie verbaas oor die name van u domein en u bedieners nie.

Vir nuwelinge in die onderwerp, en voordat u verder gaan, beveel ons aan dat u die drie vorige artikels oor KMO-netwerke lees en bestudeer:

Dit is soos om drie van die vier dele van «Onderwêreld»Gepubliseer tot vandag, en dat dit die vierde is.

Algemene parameters

Na verskeie uitruilings via e-posUiteindelik was ek duidelik oor die belangrikste parameters van u huidige netwerk, naamlik:

Domeinnaam mordor.fan LAN Netwerk 10.10.10.0/24 ======================================== =============================================== Servers IP-adres Doel (Servers met OS Windows) =================================================== ================================= sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Windows-lêerbediener darklord.mordor.fan. 10.10.10.6 Proxy, gateway en firewall op Kerios troll.mordor.fan. 10.10.10.7 Blog gebaseer op ... kan nie Shadowftp.mordor.fan onthou nie. 10.10.10.8 FTP-bediener blackelf.mordor.fan. 10.10.10.9 Volledige e-posdiens blackspider.mordor.fan. 10.10.10.10 WWW-diens palantir.mordor.fan. 10.10.10.11 Klets op Openfire vir Windows

Ek het toestemming gevra om Die Fuegian om soveel aliasse te stel as wat nodig is om my gedagtes skoon te maak en my toestemming gegee:

Regte CNAME =============================== sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

Ek het al die belangrike DNS-rekords verklaar in my installasie van 'n Active Directory Windows 2008 wat ek moes implementeer om my te lei in die maak van hierdie pos.

Oor die SRV-rekords van die DNS van 'n Active Directory

Die registers SRV o Diensopspoorders - wat baie gebruik word in Microsoft Active Directory - word in die Versoek om kommentaar RFC 2782. Hulle laat die ligging van 'n diens toe op grond van die TCP / IP-protokol deur middel van 'n DNS-navraag. 'N Klant in 'n Microsoft-netwerk kan byvoorbeeld die ligging van domeinbeheerders opspoor - Domeinbeheerders wat die LDAP-diens lewer via die TCP-protokol op poort 389 deur middel van 'n enkele DNS-navraag.

Dit is normaal dat in die bosse - woudeen bome - Bome van 'n groot Microsoft-netwerk is daar verskeie domeinbeheerders. Deur die SRV-rekords in die verskillende sones waaruit die domeinnaamruimte van daardie netwerk bestaan, te gebruik, kan ons 'n lys van bedieners byhou wat soortgelyke bekende dienste lewer, volgens voorkeur volgens die vervoerprotokol en poort van een van die bedieners.

In die Versoek om kommentaar RFC 1700 Definiëring van universele simboliese name vir bekende dienste - Bekende diens, en name soos «_telnet","_smtp»Vir dienste telnet y SMTP. As 'n simboliese naam nie vir 'n bekende diens gedefinieër word nie, kan 'n plaaslike naam of 'n ander naam volgens die voorkeure van die gebruiker gebruik word.

bind

Die doel van elke veld «spesiale»Dit word gebruik in die verklaring van 'n SRV-hulpbronrekord:

  • Domain: "Pdc._msdcs.mordor.fan.«. DNS-naam van die diens waarna die SRV-rekord verwys. Die DNS-naam in die voorbeeld beteken -min of meer- Primêre domeinbeheerder van die gebied _msdcs.mordor.fan.
  • Diens: "_Ldap". Simboliese naam van die diens wat gelewer word, gedefinieer volgens Versoek om kommentaar RFC 1700.
  • Protokol: "_Tcp". Dui die tipe vervoerprotokol aan. Kan gewoonlik die waardes neem _tcp o _udp, hoewel - en in werklikheid - enige soort vervoerprotokol wat in die Versoek om kommentaar RFC 1700. Byvoorbeeld vir 'n diens gesels protokol gebaseer XMPP, sou hierdie veld die waarde hê van _xmpp.
  • Prioriteit"0«. Verklaar die prioriteit of voorkeur vir die Gasheer wat hierdie diens aanbied wat ons later sal sien. Die DNS-navrae van die kliënte oor die diens wat deur hierdie SRV-rekord gedefinieer word, sal na ontvangs van die toepaslike reaksie probeer om die eerste beskikbare gasheer te kontak met die laagste nommer in die veld. Prioriteit. Die reeks waardes wat hierdie veld kan neem, is 0 die 65535.
  • gewig"100«. Kan gebruik word in kombinasie met Prioriteit om 'n vragbalanseringsmeganisme te bied as daar verskeie bedieners is wat dieselfde diens lewer. Daar moet 'n soortgelyke SRV-rekord vir elke bediener in die Zone-lêer wees, met sy naam in die veld Gasheer wat hierdie diens aanbied. Voor bedieners met gelyke waardes in die veld Prioriteit, die veldwaarde gewig dit kan as 'n addisionele vlak van voorkeur gebruik word om 'n presiese bedienerseleksie vir vragbalansering te verkry. Die reeks waardes wat hierdie veld kan neem, is 0 die 65535. As lasbalansering nie nodig is nie, byvoorbeeld soos in die geval van 'n enkele bediener, word dit aanbeveel om die waarde toe te ken 0 om die SRV-rekord makliker te lees.
  • Port nommer - Port"389«. Port nommer in Gasheer wat hierdie diens aanbied wat die diens lewer wat in die veld aangedui word Diens. Die aanbevole poortnommer vir elke tipe bekende diens word op die Versoek om kommentaar RFC 1700, alhoewel dit 'n waarde kan neem tussen 0 en 65535.
  • Gasheer wat hierdie diens aanbied - Doel"sauron.mordor.fan.«. Spesifiseer die FQDN wat die onomwonde identifiseer gasheer wat die diens lewer soos aangedui deur die SRV-rekord. 'N Rekordtipe «A»In die domeinnaamruimte vir elkeen FQDN vanaf die bediener of gasheer wat die diens lewer. Eenvoudiger, 'n tipe rekord A in die direkte sone (s).
    • Let wel:
      Om met gesag aan te dui dat die diens wat deur die SRV-rekord gespesifiseer word, nie op hierdie gasheer aangebied word nie, is 'n enkele (
      .) punt.

Ons wil net herhaal dat die korrekte werking van 'n netwerk of 'n Active Directory® baie afhanklik is van die korrekte werking van die domeinnaamdiens.

Active Directory DNS-rekords

Om die sones van die nuwe DNS-bediener op BIND gebaseer te maak, moet ons al die DNS-rekords van Active Directory® verkry. Om die lewe makliker te maak, gaan ons na die span sauron.mordor.fan -Active Directory® 2008 SR2- en in die DNS-administrasiekonsole aktiveer ons die sone-oordrag -direct en reverse- vir die hoofsones wat in hierdie tipe diens verklaar word, naamlik:

  • _msdcs.mordor.fan
  • mordor.fan
  • 10.10.10.in-addr.harp

Sodra die vorige stap uitgevoer is en verkieslik vanaf 'n Linux-rekenaar waarvan die IP-adres binne die bereik is van die subnet wat deur die Windows-netwerk gebruik word, voer ons:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> temp /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa
  • Onthou uit vorige artikels dat die IP-adres van die toestel is sysadmin.fromlinux.fan is 10.10.10.1 of 192.168.10.1.

In die drie vorige opdragte kan ons die opsie uitskakel 10.10.10.3 -vra die DNS-bediener met daardie adres- as ons in die lêer verklaar /etc/resolv.conf na bediener-IP sauron.mordor.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf # Gegenereer deur NetworkManager soek vanaf linux.fan nameserver 192.168.10.5 nameserver 10.10.10.3

Na versigtige wysiging, soos dit ooreenstem met enige sone-lêer in 'n BIND, sal ons die volgende data verkry:

RR-rekords van die oorspronklike sone _msdcs.mordor.fan

buzz @ sysadmin: ~ $ kat temp / rrs._msdcs.mordor.fan 
; Met betrekking tot SOA en NS _msdcs.mordor.fan. 3600 IN SOA sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 3600 _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; ALGEMENE KATALOGUS gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ; Aliasse - in die gewysigde en private LDAP-databasis van 'n Active Directory - van SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 IN CNAME sauron.mordor.fan. ; ; Gewysigde en privaat LDAP van 'n Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domeine._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; Gewysigde en privaat KERBEROS van 'n Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

RR-rekords van die oorspronklike sone mordor.fan

buzz @ sysadmin: ~ $ kat temp / rrs.mordor.fan 
; Met betrekking tot SOA, NS, MX en die A-rekord wat dit kaart; die domeinnaam tot by die IP van SAURON; Dinge van 'n Active Directory mordor.fan. 3600 IN SOA sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 86400 3600 mordor.fan. 600 IN A 10.10.10.3 mordor.fan. 3600 IN NS sauron.mordor.fan. mordor.fan. 3600 IN MX 10 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; Ook belangrik A teken DomainDnsZones.mordor.fan aan. 600 IN A 10.10.10.3 ForestDnsZones.mordor.fan. 600 IN A 10.10.10.3; ; ALGEMENE KATALOGUS _gc._tcp.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. ; ; Gewysigde en private LDAP van 'n Active Directory _ldap._tcp.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; Gewysigde en private KERBEROS vanaf 'n Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. ; ; Rekords A met vaste IP -> Servers blackelf.mordor.fan. 3600 IN A 10.10.10.9 blackspider.mordor.fan. 3600 IN A 10.10.10.10 darklord.mordor.fan. 3600 IN A 10.10.10.6 mamba.mordor.fan. 3600 IN A 10.10.10.4 palantir.mordor.fan. 3600 IN A 10.10.10.11 sauron.mordor.fan. 3600 IN A 10.10.10.3 shadowftp.mordor.fan. 3600 IN A 10.10.10.8 troll.mordor.fan. 3600 IN A 10.10.10.7; ; CNAME teken ad-dc.mordor.fan aan. 3600 IN CNAME sauron.mordor.fan. blog.mordor.fan. 3600 IN CNAME troll.mordor.fan. lêerserver.mordor.fan. 3600 IN CNAME mamba.mordor.fan. ftpserver.mordor.fan. 3600 IN CNAME shadowftp.mordor.fan. pos.mordor.fan. 3600 IN CNAME balckelf.mordor.fan. openfire.mordor.fan. 3600 IN CNAME palantir.mordor.fan. proxy.mordor.fan. 3600 IN CNAME darklord.mordor.fan. www.mordor.fan. 3600 IN CNAME blackspider.mordor.fan.

RR-rekords vanaf oorspronklike sone 10.10.10.in-addr.arpa

buzz @ sysadmin: ~ $ kat temp / rrs.10.10.10.in-addr.arpa 
; Met betrekking tot SOA en NS 10.10.10.in-addr.arpa. 3600 IN SOA sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400 3600 10.10.10.in-addr.arpa. 3600 IN NS sauron.mordor.fan. ; ; PTR teken 10.10.10.10.in-addr.arpa aan. 3600 IN PTR blackspider.mordor.fan. 11.10.10.10.in-addr.arpa. 3600 IN PTR palantir.mordor.fan. 3.10.10.10.in-addr.arpa. 3600 IN PTR sauron.mordor.fan. 4.10.10.10.in-addr.arpa. 3600 IN PTR mamba.mordor.fan. 5.10.10.10.in-addr.arpa. 3600 IN PTR dnslinux.mordor.fan. 6.10.10.10.in-addr.arpa. 3600 IN PTR darklord.mordor.fan. 7.10.10.10.in-addr.arpa. 3600 IN PTR troll.mordor.fan. 8.10.10.10.in-addr.arpa. 3600 IN PTR skaduweep.mordor.fan. 9.10.10.10.in-addr.arpa. 3600 IN PTR blackelf.mordor.fan.

Tot op hierdie stadium kan ons dink dat ons oor die nodige data beskik om in ons avontuur voort te gaan, nie sonder om eers die TTL's en ander data wat op 'n baie bondige manier die uitvoer en direkte waarneming van die DNS van 'n Microsft® Active Directory® 2008 SR2 64 bisse bied.

Beelde van die DNS-bestuurder in SAURON

Dnslinux.mordor.fan-span.

As ons mooi kyk, na die IP-adres 10.10.10.5 geen naam is juis daaraan toegeken sodat dit deur die naam van die nuwe DNS beset sou word nie dnslinux.mordor.fan. Om die DNS- en DHCP-paar te installeer, kan ons deur die artikels gelei word DNS en DHCP in Debian 8 "Jessie" y DNS en DHCP op CentOS 7.

Basisbedryfstelsel

My vriend Die FuegianBehalwe dat hy 'n ware spesialis in Microsoft® Windows is - hy het 'n paar sertifikate wat deur die maatskappy uitgereik is - het hy ook enkele artikels oor desktops gelees en in die praktyk gepubliseer. Van Linux., en hy het my vertel dat hy uitdruklik 'n Debian-gebaseerde oplossing wil hê. 😉

Om u tevrede te stel, begin ons met 'n vars, skoon installasie van 'n bediener gebaseer op Debian 8 "Jessie". Wat ons vervolgens gaan skryf, is egter geldig vir die verspreiding van CentOS en openSUSE waarvan die artikels ons vroeër genoem het. BIND en DHCP is dieselfde op enige distro. Die verspreiders van pakkette stel klein variasies in elke verspreiding voor.

Ons sal die installasie doen soos aangedui in DNS en DHCP in Debian 8 "Jessie", sorg dat die IP gebruik word 10.10.10.5 en die netwerk 10.10.10.0 / 24., selfs voordat u die BIND instel.

Ons stel die BIND in die Debian-styl op

/etc/bind/named.conf

Die lêer /etc/bind/named.conf ons laat dit soos dit geïnstalleer is.

/etc/bind/named.conf.options

Die lêer /etc/bind/named.conf.options moet die volgende inhoud hê:

root @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dnslinux: ~ # nano /etc/bind/named.conf.options
opsies {directory "/ var / cache / bind"; // As daar 'n firewall tussen u en naambedieners is met wie u wil // moet praat, moet u dalk die firewall oplos om meerdere // poorte toe te laat om te praat. Raadpleeg http://www.kb.cert.org/vuls/id/800113 // As u internetverskaffer een of meer IP-adresse vir stabiele // nameservers verskaf, wil u dit waarskynlik as expediteurs gebruik. // Dink aan die volgende blokkie en plaas die adresse in om // die all-0 se plekhouer te vervang. // aanstuurders {// 0.0.0.0; //}; // ================================================= ====================== $ // As BIND foutboodskappe aanmeld oor die wortelsleutel wat verval het, // moet u u sleutels opdateer. Sien https://www.isc.org/bind-keys // =================================== ====================================== $

    // Ons wil nie DNSSEC hê nie
        dnssec-aktiveer nee;
        //dnssec-validering outomaties;

        auth-nxdomein nie; # voldoen aan RFC1035

 // Ons hoef nie na IPv6-adresse te luister nie
        // luister-op-v6 {enige; };
    luister-op-v6 {geen; };

 // Vir tjeks van localhost en sysadmin
    // deur // dig mordor.fan axfr // dig 10.10.10.in-addr.arpa axfr // dig _msdcs.mordor.fan axfr // Ons het nie Slave DNS nie ... tot nou toe
 laat-oordrag {localhost; 10.10.10.1; };
};

// Logboek BIND
aanteken {

        kanaalnavrae {
        lêer "/var/log/named/queries.log" weergawes 3 grootte 1m;
        ernsinligting;
        druktyd ja;
        druk-erns ja;
        drukkategorie ja;
        };

        kanaalnavraag-fout {
        lêer "/var/log/named/query-error.log" weergawes 3 grootte 1m;
        ernsinligting;
        druktyd ja;
        druk-erns ja;
        drukkategorie ja;
        };

                                
kategorie-navrae {
         navrae;
         };

kategorie-navraagfoute {
         navraag-fout;
         };

};
  • Ons stel die vang van die BIND-logboeke voor as 'n NUWE verskyning in die reeks artikels oor die onderwerp. Ons skep l'n vouer en lêers benodig vir die Logging van die BIND:
root @ dnslinux: ~ # mkdir / var / log / benoem
root @ dnslinux: ~ # touch /var/log/named/queries.log
root @ dnslinux: ~ # touch /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / benoem

Ons kyk na die sintaksis van die gekonfigureerde lêers

root @ dnslinux: ~ # vernoem-checkconf 
root @ dnslinux: ~ #

/etc/bind/named.conf.local

Ons skep die lêer /etc/bind/zones.rfcFreeBSD met dieselfde inhoud as aangedui in DNS en DHCP in Debian 8 "Jessie".

root @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

Die lêer /etc/bind/named.conf.local moet die volgende inhoud hê:

// // Doen hier enige plaaslike konfigurasie // // Oorweeg dit om die 1918-sones hier by te voeg as dit nie in u // organisasie gebruik word nie
sluit "/etc/bind/zones.rfc1918" in; sluit "/etc/bind/zones.rfcFreeBSD" in;

sone "mordor.fan" {tipe meester; lêer "/var/lib/bind/db.mordor.fan"; }; sone "10.10.10.in-addr.arpa" {tipe meester; lêer "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

sone "_msdcs.mordor.fan" {tipe meester;
 tjekname ignoreer; lêer "/etc/bind/db._msdcs.mordor.fan"; }; root @ dnslinux: ~ # vernoem-checkconf
root @ dnslinux: ~ #

Sone-lêer mordor.fan

root @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; reeks 1D; ververs 1H; probeer weer 1W; verval 3H); minimum of; Negatiewe kaptyd om te leef;
; Wees baie versigtig met die volgende rekords
@ IN NS dnslinux.mordor.fan.
@ IN A 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT "Welkom by The Dark Lan of Mordor";
_msdcs.mordor.fan. IN NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. IN A 10.10.10.5
; Eindig baie sorgvuldig met die volgende rekords;
DomainDnsZones.mordor.fan. IN A 10.10.10.3 ForestDnsZones.mordor.fan. IN A 10.10.10.3; ; ALGEMENE KATALOGUS _gc._tcp.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ; ; Gewysigde en private LDAP van 'n Active Directory _ldap._tcp.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. ; ; Gewysigde en private KERBEROS vanaf 'n Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. ; ; Rekords A met vaste IP -> Servers blackelf.mordor.fan. IN A 10.10.10.9 blackspider.mordor.fan. IN A 10.10.10.10 darklord.mordor.fan. IN A 10.10.10.6 mamba.mordor.fan. IN A 10.10.10.4 palantir.mordor.fan. IN A 10.10.10.11
sauron.mordor.fan. IN A 10.10.10.3
skaduweep.mordor.fan. IN 'n 10.10.10.8 troll.mordor.fan. IN A 10.10.10.7; ; CNAME teken ad-dc.mordor.fan aan. IN CNAME sauron.mordor.fan. blog.mordor.fan. IN CNAME troll.mordor.fan. lêerserver.mordor.fan. IN CNAME mamba.mordor.fan. ftpserver.mordor.fan. IN CNAME shadowftp.mordor.fan. pos.mordor.fan. IN CNAME balckelf.mordor.fan. openfire.mordor.fan. IN CNAME palantir.mordor.fan. proxy.mordor.fan. IN CNAME darklord.mordor.fan. www.mordor.fan. IN CNAME blackspider.mordor.fan.

root @ dnslinux: ~ # naam-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
zone mordor.fan/IN: gelaai reeks 1 OK

Die tye TTL 600 van alle SRV-registers sal ons dit hou as ons met tye 'n Slave BIND installeer. Hierdie rekords verteenwoordig Active Directory®-dienste wat meestal data uit u LDAP-databasis lees. Aangesien die databasis gereeld verander, moet die sinkroniseringstye kort gehou word in 'n Master-Slave DNS-skema. Volgens die Microsoft-filosofie wat van Active Directory 2000 tot 2008 opgemerk is, word die waarde van 600 vir hierdie tipe SRV-rekords gehandhaaf.

Die TTL's van die bedieners met vaste IP, is dit in die SOA van 3 uur onder die verklaarde tyd.

Sone-lêer 10.10.10.in-addr.arpa

root @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; reeks 1D; ververs 1H; probeer weer 1W; verval 3H); minimum of; Negatiewe kaptyd om te leef; @ IN NS dnslinux.mordor.fan. ; 10 IN PTR blackspider.mordor.fan. 11 IN PTR palantir.mordor.fan. 3 IN PTR sauron.mordor.fan. 4 IN PTR mamba.mordor.fan. 5 IN PTR dnslinux.mordor.fan. 6 IN PTR darklord.mordor.fan. 7 IN PTR troll.mordor.fan. 8 IN PTR shadowftp.mordor.fan. 9 IN PTR blackelf.mordor.fan.

root @ dnslinux: ~ # benoem-kontrolesone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
sone 10.10.10.in-addr.arpa/IN: gelaai reeks 1 OK

Sone-lêer _msdcs.mordor.fan

Laat ons rekening hou met wat in die lêer aanbeveel word /usr/share/doc/bind9/README.Debian.gz Oor die ligging van die lêers van die hoofsones wat nie deur DHCP aan dinamiese opdaterings onderwerp word nie.

root @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; reeks 1D; ververs 1H; probeer weer 1W; verval 3H); minimum of; Negatiewe kaptyd om te leef; @ IN NS dnslinux.mordor.fan. ; ; ; ALGEMENE KATALOGUS gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ; Aliasse - in die gewysigde en private LDAP-databasis van 'n Active Directory - van SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 IN CNAME sauron.mordor.fan. ; ; Gewysigde en privaat LDAP van 'n Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domeine._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; Gewysigde en privaat KERBEROS van 'n Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Ons kyk na die sintaksis en kan die fout wat dit oplewer, ignoreer, aangesien dit in die sone in die lêer opgestel word /etc/bind/named.conf.local ons sluit die stelling in tjekname ignoreer;. Die sone sal korrek deur die BIND gelaai word.

root @ dnslinux: ~ # benoem-kontrolesone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: sone met slegte eienaar (tjekname) _msdcs.mordor.fan/IN: gelaai reeks 1 OK

root @ dnslinux: ~ # systemctl herlaai bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 
● bind9.service - BIND Domain Name Server gelaai: gelaai (/lib/systemd/system/bind9.service; geaktiveer) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf Aktief: aktief (hardloop) sedert Son 2017-02-12 08:48:38 EST; 2s gelede Dokumente: man: vernoem (8) Proses: 859 ExecStop = / usr / sbin / rndc stop (code = verlaat, status = 0 / SUKSES) Hoof PID: 864 (benoemd) CGroup: /system.slice/bind9.service └─864 / usr / sbin / vernoem -f -u bind 12 Feb 08:48:38 dnslinux benoem [864]: zone 3.efip6.arpa/IN: gelaai reeks 1 Feb 12 08:48:38 dnslinux vernoem [864 ]: zone befip6.arpa/IN: gelaai reeks 1 Feb 12 08:48:38 dnslinux met die naam [864]: zone 0.efip6.arpa/IN: gelaai reeks 1 Feb 12 08:48:38 dnslinux met die naam [864]: sone 7.efip6.arpa/IN: gelaai reeks 1 Feb 12 08:48:38 dnslinux met die naam [864]: zone mordor.fan/IN: gelaai reeks 1 Feb 12 08:48:38 dnslinux met die naam [864]: zone voorbeeld .org / IN: gelaai reeks 1 Feb 12 08:48:38 dnslinux met die naam [864]: zone _msdcs.mordor.fan/IN: gelaai reeks 1 Feb 12 08:48:38 dnslinux met die naam [864]: zone ongeldig / IN : gelaai reeks 1 Feb 12 08:48:38 dnslinux met die naam [864]: alle sones gelaai
12 Feb 08:48:38 dnslinux met die naam [864]: hardloop

Ons raadpleeg die BIND

Voor Nadat ons DHCP geïnstalleer het, moet ons 'n reeks kontroles uitvoer wat insluit dat ons selfs 'n Windows 7-kliënt by die domein moet aansluit mordor.fan verteenwoordig deur die Active Directory wat op die rekenaar geïnstalleer is sauron.mordor.fan.

Die eerste ding wat u moet doen, is om die DNS-diens op die rekenaar te stop sauron.mordor.fan, en verklaar in u netwerk-koppelvlak dat u DNS-bediener van nou af die 10.10.10.5 dnslinux.mordor.fan.

In 'n konsole van die bediener self sauron.mordor.fan ons voer:

Microsoft Windows [Weergawe 6.1.7600]
Kopiereg (c) 2009 Microsoft Corporation. Alle regte voorbehou.

C: \ Gebruikers \ Administrateur> nslookup
Standaardbediener: dnslinux.mordor.fan-adres: 10.10.10.5

> gc._msdcs
Bediener: dnslinux.mordor.fan Adres: 10.10.10.5 Naam: gc._msdcs.mordor.fan Adres: 10.10.10.3

> mordor.fan
Bediener: dnslinux.mordor.fan Adres: 10.10.10.5 Naam: mordor.fan Adres: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Bediener: dnslinux.mordor.fan Adres: 10.10.10.5 Naam: sauron.mordor.fan Adres: 10.10.10.3 Aliasse: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> stel tipe = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Bediener: dnslinux.mordor.fan Adres: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRV serv ice location: Priority = 0 weight = 100 port = 88 svr hostname = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internetadres = 10.10.10.3 dnslinux.mordor.fan internetadres = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Bediener: dnslinux.mordor.fan Adres: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV-dienslokasie: prioriteit = 0 gewig = 100 poort = 389 svr gasheernaam = sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internetadres = 10.10.10.3 dnslinux.mordor.fan internetadres = 10.10.10.5
> uitgang

C: \ Gebruikers \ Administrateur>

DNS-navrae gemaak van sauron.mordor.fan bevredigend is.

Die volgende stap is om 'n ander virtuele masjien te skep met Windows 7 geïnstalleer. Aangesien ons nog nie die DHCP-diens geïnstalleer het nie, gee ons die rekenaar met die naam «win7»Die IP-adres 10.10.10.251. Ons verklaar ook dat u DNS-bediener die 10.10.10.5 dnslinux.mordor.fan, en dat die soekdomein sal wees mordor.fan. Ons sal nie daardie rekenaar in DNS registreer nie, want ons sal dit ook gebruik om die DHCP-diens te toets nadat ons dit geïnstalleer het.

Volgende maak ons ​​'n konsole oop CMD en daarin voer ons:

Microsoft Windows [Weergawe 6.1.7601]
Kopiereg (c) 2009 Microsoft Corporation. Alle regte voorbehou.

C: \ Gebruikers \ buzz> nslookup
Standaardbediener: dnslinux.mordor.fan-adres: 10.10.10.5

> mordor.fan
Bediener: dnslinux.mordor.fan Adres: 10.10.10.5 Naam: mordor.fan Adres: 10.10.10.3

> stel tipe = SRV
> _ldap._tcp.DomainDnsZones
Bediener: dnslinux.mordor.fan Adres: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan SRV-diensligging: prioriteit = 0 gewig = 0 poort = 389 svr gasheernaam = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fan sauron.mordor.fan internetadres = 10.10.10.3 dnslinux.mordor.fan internetadres = 10.10.10.5
> _kpasswd._udp
Bediener: dnslinux.mordor.fan Adres: 10.10.10.5 _kpasswd._udp.mordor.fan SRV-diensligging: prioriteit = 0 gewig = 0 poort = 464 svr gasheernaam = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internetadres = 10.10.10.3 dnslinux.mordor.fan internetadres = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Bediener: dnslinux.mordor.fan Adres: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRV serv ice location: Priority = 0 weight = 0 port = 389 svr hostname = sauron. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internetadres = 10.10.10.3 dnslinux.mordor.fan internetadres = 10.10.10.5
> verlaat

C: \ Gebruikers \ buzz>

DNS-navrae vanaf die kliënt gemaak «win7»Was ook bevredigend.

In Active Directory skep ons die gebruiker «Saruman«, Met die doel om dit te gebruik wanneer u by die kliënt aansluit win7 na die domein mordor.fan., met behulp van die metode «Netwerk-ID«, Gebruik gebruikersname saruman@mordor.fan y administrateur@mordor.fan. Die aansluiting was suksesvol en word bewys deur die volgende kiekie:

Oor dinamiese opdaterings in Microsoft® DNS en BIND

Aangesien die DNS-diens in Active Directory® gestaak is, was dit nie vir die kliënt moontlik nie «win7»Registreer u naam en IP-adres in daardie DNS. Baie minder in dnslinux.mordor.fan omdat ons geen verklaring afgelê het nie toelaat-opdatering vir enige van die betrokke gebiede.

En dit is hier waar die goeie stryd met my vriend gevorm is Die Fuegian. In my eerste e-pos oor hierdie aspek het ek kommentaar gelewer:

  • Microsoft se artikels oor die gebruik van BIND en Active Directory® beveel aan dat, veral die Direct Zone, opgedateer mag word -binnegedring- direk deur Windows-kliënte wat reeds aan die Active Directory-domein gekoppel is.
  • Daarom word standaard in die DNS-sones van 'n Active Directory® Secure Dynamic Updates toegelaat. deur Windows-kliënte wat reeds by die Active Directory-domein aangesluit het. As hulle nie verenig is nie, onthou hulle hulle van die gevolge.
  • Die DNS van 'n Active Directory ondersteun dinamiese opdaterings "Slegs veilig", "Nie-beveilig en veilig", of "Geen" wat dieselfde is as om te sê GEEN opdaterings of geen.
  • Ja, regtig Die Microsoft Philosophy stem nie in dat klante NIE hul data in hul DNS (s) sal opdateer nie, maar dit sal nie die moontlikheid laat staan ​​om dinamiese opdaterings in hul DNS (s) uit te skakel nie, tensy die opsie sal vir meer verborge doeleindes gelaat word.
  • Microsoft bied 'Security' in ruil vir Darkness, het my vertel soos 'n kollega en vriend wat Microsft®-sertifikate-kursusse geslaag het. Waar. Daarbenewens het El Fueguino dit aan my bevestig.
  • 'N Kliënt wat 'n IP-adres verkry deur middel van DHCP wat op 'n UNIX® / Linux-masjien geïnstalleer is, kan byvoorbeeld nie die IP-adres van sy eie naam oplos nie totdat u by die Active Directory-domein aangesluit het, solank Microsoft® of 'n BIND as DNS sonder dinamiese opdaterings deur DHCP gebruik word.
  • As ek DHCP in die Active Directory® self installeer, moet ek verklaar dat die sones deur Microsoft® DHCP opgedateer word.
  • As ons BIND as DNS vir die Windows-netwerk gaan gebruik, is dit logies en word aanbeveel dat ons die BIND-DHCP-duo installeer, met laasgenoemde die BIND dinamies op te dateer en die saak afgehandel.
  • Aangesien dinamiese opdaterings op BIND uitgevind is, is slegs mnr. DHCP toegelaat in die wêreld van LAN-netwerke op UNIX® / Linux «penetreer»Aan mev. BIND met haar opdaterings. Die ontspanning wat met orde is, asseblief.
  • As ek in die sone verklaar mordor.fan byvoorbeeld: toelaat-opdatering {10.10.10.0/24; };, BIND self vertel my wanneer ek dit begin of weer begin, dat:
    • sone 'mordor.fan' laat opdaterings toe volgens IP-adres, wat onveilig is
  • In die gewyde UNIX® / Linux-wêreld is so 'n sous met DNS eenvoudig ontoelaatbaar.

U kan u die res van die gesprek met my vriend voorstel Die Fuegian deur e-posse, Telegram -klets, telefoonoproepe wat hy betaal het (natuurlik man, ek het nie 'n kilo daarvoor nie), en selfs boodskappe deur draerduiwe in die XXI eeu!

Hy het selfs gedreig om nie 'n seun van sy troeteldier, sy leguaan, vir my te stuur nie «Petra»Dat hy my belowe het as deel van die betaling. Daar het ek regtig bang geword. Ek het dus weer begin, maar vanuit 'n ander hoek.

  • Die 'amper' Active Directory wat met Samba 4 bereik kan word, los hierdie aspek op 'n meesterlike manier op, beide wanneer ons die interne DNS gebruik, of die BIND wat saamgestel is om DLZ-sones te ondersteun - Dinamyc-gelaaide sones, of dinamies gelaaide sones.
  • Dit ly steeds onder dieselfde: wanneer 'n kliënt 'n IP-adres verkry deur middel van 'n DHCP geïnstalleer in ander UNIX® / Linux-masjien, kan u nie die IP-adres van u eie naam oplos nie totdat dit aan die domein van die Samba 4 AD-DC gekoppel is.
  • Integreer die BIND-DLZ en DHCP duo op dieselfde masjien waar die AD-DC Samba 4 dit is 'n werk vir 'n regte spesialis.

Die Fuegian Hy het my na hoofstuk geroep en op my geskree: Ons praat NIE AD-DC Samba 4, maar van Microsoft® Active Directory®!. En ek het nederig geantwoord dat ek verheug is oor die volgende artikels wat ek gaan skryf.

Toe vertel ek hom dat die finale besluit oor dinamiese opdaterings vir kliëntrekenaars op sy netwerk aan sy vrye wil oorgelaat is. Dat ek net vir hom die tip voorheen geskryf oor toelaat-opdatering {10.10.10.0/24; };, en meer niks. Dat ek nie verantwoordelik was vir die gevolg van die losbandigheid wat elke Windows-kliënt - of Linux - in hul netwerk «sal binnedring»Straffeloos teen die BIND.

As u geweet het, my vriend, leser dat dit die eindpunt van die bakleiery was, sou u dit nie glo nie. My vriend Die Fuegian hy het die oplossing aanvaar - en hy sal die leguaan vir my stuur «petrika«- dat ek nou met u deel.

Ons installeer en instel DHCP

Lees meer inligting vir meer inligting DNS en DHCP in Debian 8 "Jessie".

root @ dnslinux: ~ # aptitude installeer isc-dhcp-bediener

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # Op watter koppelvlakke moet die DHCP-bediener (dhcpd) DHCP-versoeke bedien? # Skei verskeie koppelvlakke met spasies, bv. "Eth0 eth1". INTERFACES = "eth0" root @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n GEBRUIKER dhcp-sleutel
Kdhcp-sleutel. + 157 + 29836

root @ dnslinux: ~ # kat Kdhcp-sleutel. +157 + 29836. privaat
Privaat-sleutel-formaat: v1.3 Algoritme: 157 (HMAC_MD5) Sleutel: 3HT / bg / 6YwezUShKYofj5g == Bits: AAA = Geskep: 20170212205030 Publiseer: 20170212205030 Aktiveer: 20170212205030

root @ dnslinux: ~ # nano dhcp.key
sleutel dhcp-sleutel {algoritme hmac-md5; geheim "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: ~ # installeer -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # installeer -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/named.conf.local
// // Doen hier enige plaaslike konfigurasie // // Oorweeg dit om die 1918-sones hier by te voeg, as dit nie in u organisasie gebruik word nie, sluit '/etc/bind/zones.rfc1918' in; sluit "/etc/bind/zones.rfcFreeBSD" in;
// Moenie vergeet nie ... ek het vergeet en betaal met foute. ;-)
sluit "/etc/bind/dhcp.key" in;


sone "mordor.fan" {tipe meester;
        toelaat-opdatering {10.10.10.3; sleutel dhcp-sleutel; };
        lêer "/var/lib/bind/db.mordor.fan"; }; sone "10.10.10.in-addr.arpa" {tipe meester;
        toelaat-opdatering {10.10.10.3; sleutel dhcp-sleutel; };
        lêer "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; sone "_msdcs.mordor.fan" {tipe meester; tjekname ignoreer; lêer "/etc/bind/db._msdcs.mordor.fan"; };

root @ dnslinux: ~ # vernoem-checkconf 
root @ dnslinux: ~ #

root @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
tussentydse ddns-opdateringstyl; ddns-opdaterings oor; ddns-domeinnaam "mordor.fan."; ddns-rev-domeinnaam "in-addr.arpa."; ignoreer kliëntopdaterings; gesaghebbend; opsie IP-aanstuur af; opsie domeinnaam "mordor.fan"; sluit "/etc/dhcp/dhcp.key" in; sone mordor.fan. {primêr 127.0.0.1; sleutel dhcp-sleutel; } sone 10.10.10.in-addr.arpa. {primêr 127.0.0.1; sleutel dhcp-sleutel; } herlokale gedeelde netwerk {subnet 10.10.10.0 netmask 255.255.255.0 {option routers 10.10.10.1; opsie subnetmasker 255.255.255.0; opsie uitsaai-adres 10.10.10.255; opsie domeinnaam-bedieners 10.10.10.5; opsie netbios-naam-bedieners 10.10.10.5; reeks 10.10.10.30 10.10.10.250; }} # EINDE dhcpd.conf

root @ dnslinux: ~ # dhcpd -t
Internet Systems Consortium DHCP Server 4.3.1 Kopiereg 2004-2014 Internet Systems Consortium. Alle regte voorbehou. Vir meer inligting, besoek https://www.isc.org/software/dhcp/ Config file: /etc/dhcp/dhcpd.conf Databasis lêer: /var/lib/dhcp/dhcpd.huur PID-lêer: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl herlaai bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 

root @ dnslinux: ~ # systemctl begin met isc-dhcp-server.service
root @ dnslinux: ~ # systemctl status isc-dhcp-server.service

Wat hou verband met Kontrole met kliënte, En Handmatige wysiging van Zone-lêers, ons laat dit aan u voor, leservriend, om dit direk vanaf te lees DNS en DHCP in Debian 8 "Jessie", en pas dit toe op u werklike toestande. Ons het wel al die nodige ondersoeke uitgevoer en bevredigende resultate behaal. Natuurlik stuur ons 'n afskrif van almal na Die Fuegian. Daar sal nie meer wees nie!

Wenke

Algemeen

  • Kry 'n redelike hoeveelheid geduld voordat u begin.
  • Installeer en instel die BIND eers. Gaan alles na en sien al die rekords wat u in elke lêer van die drie of meer sones verklaar het, sowel vanaf die Active Directory as vanaf die DNS-bediener self op Linux. Indien moontlik, vanaf 'n Linux-masjien wat nie aan die domein gekoppel is nie, die nodige DNS-navrae aan die BIND rig.
  • Sluit aan by 'n Windows-kliënt met 'n vaste IP-adres na die bestaande domein en kyk weer na alle BIND-instellings van die Windows-kliënt.
  • Nadat u ongetwyfeld seker is dat die opset van u splinternuwe BIND heeltemal korrek is, moet u die DHCP-diens installeer, instel en begin.
  • In die geval van foute, herhaal die hele prosedure vanaf nul 0.
  • Wees versigtig met die kopie en plak! en die oorblywende spasies in elke reël van die named.conf.xxxx-lêers
  • Daarna kla hy nie - nog minder by my vriend die Fuegian - dat hy nie behoorlik aangeraai is nie.

Ander wenke

  • Verdeel en oorwin.
  • In 'n MKB-netwerk is dit veiliger en voordeliger om 'n gesaghebbende BIND te installeer vir die interne LAN-sones wat nie by enige wortelbediener voorkom nie: rekursie nr;.
  • In 'n KMO-netwerk onder 'n internet-verskaffer - ISP, miskien die dienste Proxy y SMTP hulle moet domeinname op die internet oplos. Hy Squid u het die opsie om u DNS ekstern te verklaar of nie, terwyl u op 'n e-posbediener gebaseer is op postfix o MDaemon® Ons kan ook die DNS-bedieners verklaar wat ons in die diens sal gebruik. In gevalle soos hierdie, dit wil sê gevalle wat nie dienste aan die internet lewer nie en wat onder a Internet diensverskaffer, kan u 'n BIND installeer met expediteurs wys op die DNS van die ISP, en verklaar dit as sekondêre DNS op die bedieners wat eksterne navrae aan die LAN moet oplos, anders is dit moontlik om dit deur hul eie konfigurasielêers te verklaar.
  • As u 'n gedelegeerde sone onder u volle verantwoordelikheid hetDan kraai nog 'n haan:
    • Installeer 'n DNS-bediener gebaseer op NSD, wat per definisie 'n gesaghebbende DNS-bediener is wat reageer op navrae vanaf rekenaars op die internet. Vir 'n bietjie inligting aanlegvertoning nsd. 😉 Beskerm dit asseblief met soveel vuurmure as wat nodig is. Beide hardeware en sagteware. Dit sal 'n DNS vir die internet wees, en dit «Tsaar»Ons moet dit nie met 'n lae broek gee nie. 😉
    • Aangesien ek myself nog nooit in 'n geval soos hierdie gesien het nie, dit wil sê die persoon wat in beheer is van 'n gedelegeerde sone, sal ek baie goed moet dink wat ek moet aanbeveel vir die oplossing van domeinname buite ons LAN vir die dienste wat dit benodig. Kliënte-netwerk-kliënte het dit nie regtig nodig nie. Raadpleeg gespesialiseerde literatuur of 'n spesialis in hierdie vakke, aangesien ek nog lank nie een van hulle is nie. Ernstig.
    • Rekursie bestaan ​​nie op outoritêre bedieners nie. Goed? As iemand dit met 'n BIND doen.
  • Alhoewel ons eksplisiet in die lêer spesifiseer /etc/dhcp/dhcpd.conf die verklaring ignoreer kliëntopdaterings;, as ons op 'n rekenaarkonsole werk dnslinux.mordor.fan die bestelling joernaal -f, sal ons sien dat wanneer ons die kliënt begin wen7.mordor.fan ons kry die volgende foutboodskappe:
    • 12 Feb 16:55:41 dnslinux met die naam [900]: kliënt 10.10.10.30 # 58762: update 'mordor.fan/IN' geweier
      12 Feb 16:55:42 dnslinux met die naam [900]: kliënt 10.10.10.30 # 49763: update 'mordor.fan/IN' geweier
      12 Feb 16:56:23 dnslinux met die naam [900]: kliënt 10.10.10.30 # 63161: update 'mordor.fan/IN' geweier
      
    • Om hierdie boodskappe uit te skakel, moet ons na die gevorderde opsies van die netwerkkaartkonfigurasie gaan en die opsie uitmerk "Registreer hierdie verbinding se adresse in DNS«. Dit sal voorkom dat die kliënt vir ewig probeer om self te registreer in Linux DNS en die probleem eindig. Jammer, maar ek het nie 'n eksemplaar van Windows 7 in Spaans nie. 😉
  • Om te sien wat die ernstige en gekke navrae is wat 'n Windows 7-kliënt doen, gaan na die log navrae.log dat ons dit vir iets in die BIND-konfigurasie verklaar. Die bestelling sou wees:
    • root @ dnslinux: ~ # stert -f /var/log/named/queries.log
  • As u nie toelaat dat u kliëntrekenaars direk aan die internet koppel nie, waarom het u dan DNS-bedieners nodig? Dit sal die uitvoer van die opdrag aansienlik verminder joernaal -f en vanaf die vorige, as u outoritêre DNS-bediener vir die interne sones nie direk met die internet verbind nie, wat uit 'n veiligheidsoogpunt sterk aanbeveel word.
    root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
    root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root
  • As u nie die verklaring van die wortelbedieners nodig het nie, waarom het u dan Recursion nodig - Rekursie?
    root @ dnslinux: ~ # nano /etc/bind/named.conf.options
    opsies {
     ....
     rekursie nr;
     ....
    };

Spesifieke advies waarvan ek nog nie baie duidelik is nie

El man dhcpd.conf vertel ons die volgende onder baie - baie ander dinge:

        Die opdateringsoptimaliseringsverklaring

            update-optimalisering vlag;

            As die parameter vir opdateringsoptimalisering vir 'n gegewe kliënt onwaar is, sal die bediener 'n DNS-opdatering vir die kliënt probeer elke keer as die kliënt sy huurkontrak hernu, in plaas daarvan om slegs 'n opdatering aan te pak as dit nodig blyk te wees. Dit sal die DNS makliker maak om teen databasis-teenstrydighede te genees, maar die koste is dat die DHCP-bediener baie meer DNS-opdaterings moet doen. Ons beveel aan dat u hierdie opsie geaktiveer het, wat die standaard is. Hierdie opsie beïnvloed slegs die gedrag van die tussentydse DNS-opdateringskema en het geen invloed op die ad-hoc DNS-opdateringskema nie. As hierdie parameter nie gespesifiseer is nie, of waar is, sal die DHCP-bediener eers opdateer wanneer die kliëntinligting verander, die kliënt 'n ander huurkontrak kry of die kliënt se huurkontrak verstryk.

Die min of meer presiese vertaling of interpretasie word aan u oorgelaat, liewe leser.

Persoonlik het dit met my gebeur - en dit het tydens die maak van hierdie artikel gebeur - dat as ek 'n BIND aan 'n Active Directory® koppel, dit van Microsft® of Samba 4 af kom, as ek die naam van 'n kliëntrekenaar verander wat in die Active Directory®-domein geregistreer is of van AD-DC van Samba 4 hou dit sy ou naam en IP-adres in die direkte sone, en nie andersom nie, wat korrek bygewerk word met die nuwe naam. Dit wil sê, die ou en nuwe name word in die direkte sone aan dieselfde IP-adres gekarteer, terwyl omgekeerd net die nuwe naam verskyn. Om my goed te verstaan, moet u dit self probeer.

Ek dink dit is 'n soort wraak teenoor Die Fuegian - nie vir my nie, asb. omdat u u dienste na Linux probeer migreer het.

Natuurlik sal die ou naam verdwyn as dit TTL 3600, of die tyd wat ons in die DHCP-opset verklaar het. Maar ons wil hê dat dit onmiddellik moet verdwyn soos dit in 'n BIND + DHCP gebeur sonder 'n Active Directory deur.

Die oplossing vir die situasie het ek gevind deur die verklaring in te voeg update-optimalisering vals; aan die einde van die bokant van die lêer /etc/dhcp/dhcpd.conf:

tussentydse ddns-opdateringstyl; ddns-opdaterings oor; ddns-domeinnaam "mordor.fan."; ddns-rev-domeinnaam "in-addr.arpa."; ignoreer kliëntopdaterings;
update-optimalisering vals;

As enige leser meer daarvan weet, verlig my asseblief. Ek sal dit baie waardeer.

Opsomming

Ons het baie pret gehad met die onderwerp, of hoe? Geen lyding nie, want ons het 'n BIND wat werk as 'n DNS-bediener in 'n Microsoft®-netwerk, wat al die SRV-rekords aanbied en gepas reageer op die DNS-navrae wat aan hulle gestel word. Aan die ander kant het ons 'n DHCP-bediener wat IP-adresse toeken en die BIND-sones korrek bywerk.

Maar ons kan nie op die oomblik vra nie.

Ek hoop my vriend Die Fuegian wees gelukkig en tevrede met die eerste stap in u migrasie na Linux om die ondraaglike koste van Microsft® Technical Support draaglik te maak.

Belangrike opmerking

Karakter "Die Fuegian»Is heeltemal fiktief en 'n produk van my verbeelding. Enige ooreenkoms of toeval met regte mense is dieselfde: suiwer onwillekeurige toeval van my kant. Ek het dit net geskep om die skryf en lees van hierdie artikel 'n bietjie aangenaam te maak. As u nou vir my kan sê dat die DNS-probleem donker is,


Die inhoud van die artikel voldoen aan ons beginsels van redaksionele etiek. Klik op om 'n fout te rapporteer hier.

13 kommentaar, los joune

Laat u kommentaar

Jou e-posadres sal nie gepubliseer word nie. Verpligte velde gemerk met *

*

*

  1. Verantwoordelik vir die data: Miguel Ángel Gatón
  2. Doel van die data: Beheer SPAM, bestuur van kommentaar.
  3. Wettiging: U toestemming
  4. Kommunikasie van die data: Die data sal nie aan derde partye oorgedra word nie, behalwe deur wettige verpligtinge.
  5. Datastoor: databasis aangebied deur Occentus Networks (EU)
  6. Regte: U kan u inligting te alle tye beperk, herstel en verwyder.

  1.   crespo88 dijo

    Baie sterk, geen kommentaar nie. Aangesien Microsoft se DNS nie nodig is nie. Wees versigtig om nie gedagvaar te word nie, hahahaha. Dankie vir die aflewering Fico.

  2.   Federico dijo

    Dagvaar my? Laat hulle saam met EL Fueguino gesien word. 😉
    Dankie vriend!!!

  3.   haniball boontjie dijo

    Was dit nie makliker om zentyal te installeer vir al hierdie dele van die aktiewe gids nie?

  4.   jagter dijo

    Haha, goeie artikulasie om die kragtige band te monteer en ek sien dat Zentyal aanbeveel is in die kommentaar hierbo, ek vertrek voordat die skietery uitbreek.

    PS: Die domein gebaseer op Windows is Mordor, maar as ons 'n suiwer Samba monteer, is dit Gondor of Rohan? 😉

  5.   Federico dijo

    Ek beveel die gebruik van Zentyal vir niemand aan nie. Gebruik Windows omdat dit in baie KMO's 'n werklikheid is. Vra my vriend en kollega Dhunter oor die stabiliteit van die Zentyal. 😉

  6.   Federico dijo

    Natuurlik doen jy dit, vriend. Met Samba 4 sal dit tierramedia.fan heet. 😉

  7.   Federico dijo

    Wees baie versigtig vir diegene wat die artikel al afgelaai het:
    Waar sê
    ; Wees baie versigtig met die volgende rekords
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.3

    Moet reg sê

    ; Wees baie versigtig met die volgende rekords
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.5

    Die kollega Eduardo Noel was die een wat my onwillekeurige fout besef het.

  8.   Federico dijo

    Wees baie versigtig vir diegene wat die artikel al afgelaai het:
    Waar sê
    ; Wees baie versigtig met die volgende rekords
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.3

    Moet reg sê

    ; Wees baie versigtig met die volgende rekords
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.5

    Die kollega Eduardo Noel was die een wat my onwillekeurige fout besef het.

  9.   jagter dijo

    Vir diegene wat van plan is om Zentyal vir iets ernstigs te gebruik, waarsku ek u om baie versigtig te wees, ek gebruik twee Zentyal 4.2-bestuurders (op 14.04), het alles opgedateer en wees versigtig, baie skaars (en skaars is die antwoorde in die projek bugzilla, u Dit laat jou dom voel om iets te gebruik waarvoor jy so min waardering het), hulle was 'n rukkie sonder geweldige terugvoer dat ek gedink het dat hulle verdwyn het en skielik gee hulle 5.0 vry sonder moontlike migrasie vanaf 4.2 ... lieflik ...

    Om foute aan te meld by die gemeenskapsweergawe is nie sinvol nie, tensy u langs die ontwikkelaars hardloop en altyd die nuutste gebruik, kyk hierna: https://tracker.zentyal.org/issues/5080#comment:14

    Uiteindelik moet 'n mens met 'n relatief stabiele weergawe sterf en dit klop totdat dit hou, kyk na die dinge wat my zentyal in die cron het:

    0 7 * * 1-6 /sbin/shutdown -r now

    Soos ek gesê het ... lieflik!

    PS: Vermoedelik spandeer ek al hierdie werk om die gratis weergawe te gebruik, vermoedelik is die betaalde weergawe ernstig, maar ek dink dit is nie die beste strategie om gebruikers te kry nie; 'n ander produk met 'n soortgelyke sakemodel is Proxmox en ek vergelyk die betaalde weergawe vir sulke om geld aan die projek te gee en nie omdat die gratis weergawe tekort skiet nie, is Proxmox 'n juweel.

  10.   Ismael Alvarez Wong dijo

    Hallo Federico:
    Met elke nuwe artikel wat u stop, gaan dit asof dit nie genoeg was met alles wat in die 3 vorige berigte oor die BIND + DHCP-duo behandel is nie, nou publiseer u hierdie "kofferbak" (ekskuus my die eksplisiete) van die artikel oor hoe u Microsoft se DNS kan migreer na die BIND, hoe om dit vanaf 'n DHCP in Linux op te dateer en bo-aan al die bogenoemde saam te leef met 'n Microsoft Active Directory.
    . Geweldig alles wat verband hou met die SRV-rekords van die DNS van 'n Active Directory, die direkte sone "_msdcs.dominio", hoe om die rekords van die sones-of meer- van die DNS van die Microsoft AD vanaf Linux op te vang om die databasisse van het Zones in die BIND gesê.
    . Dit is baie handig om die logboeke van die navrae in die BIND-konfigurasie in te skakel.
    . BAIE WAARDEBAAR die advies dat: 'n Kliënt wat 'n IP-adres verkry deur middel van 'n DHCP wat op Linux geïnstalleer is, nie die IP-adres van sy eie naam kan oplos voordat hy aan die Active Directory-domein gekoppel is nie. In die voorbeeld van die laboratorium van die artikel word eers aan die "win7" -rekenaar die IP-adres 10.10.10.251 toegeken om DNS-tjeks van die domein "mordor.fan" te maak, en dan word dit vanaf daardie vaste IP aan die Microsoft AD gekoppel, sodat uiteindelik wanneer As DHCP in Linux geïnstalleer is, is dit die een wat sy IP toewys en terselfdertyd updates 'die BIND' binnedring 'om die register van die toerusting in die voorwaartse en omgekeerde sones te skryf. GAAN MEER GEDETAILLEER U SAL NIE VIND NIE!
    . Baie goed al die oorwegings rakende die dinamiese opdaterings in die Microsoft® DNS en in die BIND; asook al die advies wat in die laaste gedeelte uiteengesit word, en spesifiek al die ontwikkeling en die voorgestelde oplossing vir die "Spesifieke Raad waarvan ek nog nie baie duidelik is nie.
    ! 5 STERRE VIR DIE SKRYWER! en ek volg die PYMES-reeks met toenemende belangstelling!

  11.   Federico dijo

    Dhunter: het die stem van ervaring geskryf. 'Oefening is die beste maatstaf vir waarheid.'

    Wong: Ek het u kommentaar alreeds gemis - artikel aanvulling. Hoop dat een oor dnsmasq binnekort uit sal kom.

    Baie dankie vir julle kommentaar.

  12.   crespo88 dijo

    U het nie + gepraat oor die vennoot genaamd «El Fueguino» nie, en ook nie oor sy besluit om die migrasie van sy bedieners te begin nie. Jy het nog een van Microsoft gesteel, hahaha !!!! ????

  13.   Federico dijo

    hahahaha vriend crespo88. Ek sien jy hou van die golf van die fiktiewe karakter. As ander meer soos u het, kan dit artikels oor digte onderhoude meer aangenaam maak. Kom ons wag vir ander kommentaar daaroor.