BIND و Active Directory® - شبكات SME

الفهرس العام للسلسلة: شبكات الحاسوب للشركات الصغيرة والمتوسطة: مقدمة

مرحبا اصدقاء !. الهدف الرئيسي من هذه المقالة هو إظهار كيف يمكننا دمج خدمة DNS بناءً على BIND9 في شبكة Microsoft ، وهي شائعة جدًا في العديد من الشركات الصغيرة والمتوسطة.

ينشأ من طلب رسمي من صديق يعيش في لا تييرا ديل فويغو -فويجيان- متخصص في Microsoft® Networks - الشهادات المضمنة - لإرشادك في هذا الجزء من ترحيل خوادمك إلى Linux. تكاليف دعم الفني الذي يدفع Microsoft® هو بالفعل لا يطاق للشركة التي يعمل بها والتي يكون المساهم الرئيسي فيها.

مي أميغو فويجيان يتمتع بروح الدعابة ، ومنذ أن شاهد سلسلة الأفلام الثلاثة «سيد الخواتم»أسرته كثير من أسماء شخصياته المظلمة. لذا ، يا صديق Reader ، لا تتفاجأ بأسماء المجال الخاص بك وخوادمك.

للوافدين الجدد إلى الموضوع ، وقبل مواصلة القراءة ، نوصيك بقراءة ودراسة المقالات الثلاثة السابقة على شبكات SME:

• DNS و DHCP في openSUSE 13.2 "Harlequin"
• DNS و DHCP على CentOS 7
• DNS و DHCP في Debian 8 "Jessie"

إنه أشبه بمشاهدة ثلاثة من أربعة أجزاء من «الجحيم»نشرت حتى اليوم ، وأن هذه هي الرابعة.

المعاملات الشاملة

بعد عدة تبادلات عبر بريد الإلكتروني، أخيرًا كنت واضحًا بشأن المعلمات الرئيسية لشبكتك الحالية ، وهي:

اسم المجال mordor.fan LAN Network 10.10.10.0/24 ===================================== ============================================ غرض عنوان IP للخوادم (الخوادم التي تعمل بنظام التشغيل Windows) ================================================= ================================ sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 خادم ملفات Windows darklord.mordor.fan. 10.10.10.6 الوكيل والبوابة وجدار الحماية على Kerios troll.mordor.fan. 10.10.10.7 مدونة تعتمد على ... لا يمكنني تذكر shadowftp.mordor.fan. 10.10.10.8 خادم FTP blackelf.mordor.fan. 10.10.10.9 خدمة البريد الإلكتروني الكاملة blackspider.mordor.fan. 10.10.10.10 خدمة WWW palantir.mordor.fan. 10.10.10.11 الدردشة على Openfire لنظام التشغيل Windows

طلبت الإذن ل فويجيان لتعيين العديد من الأسماء المستعارة حسب الضرورة لتصفية ذهني ومنحني إذنه:

Real CNAME ============================== Sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

لقد أعلنت جميع سجلات DNS المهمة في تثبيت Active Directory Windows 2008 الذي اضطررت إلى تنفيذه لإرشادي في إنشاء هذا المنشور.

حول سجلات Active Directory DNS SRV

السجلات SRV يتم تعريف محددات مواقع الخدمة - المستخدمة على نطاق واسع في Microsoft Active Directory - في ملف طلب التعليقات RFC 2782. إنها تسمح بتحديد موقع الخدمة بناءً على بروتوكول TCP / IP من خلال استعلام DNS. على سبيل المثال ، يمكن للعميل على شبكة Microsoft تحديد موقع وحدات تحكم المجال - وحدات تحكم المجال التي توفر خدمة LDAP عبر بروتوكول TCP على المنفذ 389 من خلال استعلام DNS واحد.

من الطبيعي في الغابات- الغاباتو الأشجار - الأشجار من شبكة Microsoft كبيرة ، هناك العديد من وحدات تحكم المجال. من خلال استخدام سجلات SRV في المناطق المختلفة التي تشكل مساحة اسم المجال لتلك الشبكة ، يمكننا الاحتفاظ بقائمة من الخوادم التي تقدم خدمات مشهورة مماثلة ، مرتبة حسب التفضيل وفقًا لبروتوكول النقل ومنفذ كل من الخوادم.

في طلب التعليقات RFC 1700 تحديد الأسماء الرمزية العالمية للخدمات المشهورة - خدمة معروفة، وأسماء مثل «_telnet"_smtp"للخدمات التلنت y SMTP. إذا لم يتم تحديد اسم رمزي لخدمة معروفة جيدًا ، فيمكن استخدام اسم محلي أو اسم آخر وفقًا لتفضيلات المستخدم.

الغرض من كل مجال «خاص»المستخدمة في الإعلان عن سجل مورد SRV هي ما يلي:

• نطاق: "Pdc._msdcs.mordor.fan.«. اسم DNS للخدمة التي يشير إليها سجل SRV. اسم DNS في المثال يعني - أكثر أو أقل - تحكم المجال الأساسي في المنطقه _msdcs.mordor.fan.
• العطاء: "_Ldap". الاسم الرمزي للخدمة المقدمة معرّف وفقًا لـ طلب التعليقات RFC 1700.
• بروتوكول: "_Tcp". يشير إلى نوع بروتوكول النقل. عادة يمكن أن تأخذ القيم _tcp o _udp، على الرغم من - وفي الواقع - أي نوع من بروتوكول النقل المشار إليه في طلب التعليقات RFC 1700. على سبيل المثال ، لخدمة الدردشة القائم على البروتوكول XMPP، سيكون لهذا الحقل قيمة _xmpp.
• درجة الأهمية"0«. قم بتعريف الأولوية أو التفضيل لـ مضيف يقدم هذه الخدمة الذي سنراه لاحقًا. ستحاول استعلامات DNS للعملاء حول الخدمة المحددة بواسطة سجل SRV هذا ، عند تلقي الاستجابة المناسبة ، الاتصال بالمضيف الأول المتاح بأقل رقم مدرج في الحقل درجة الأهمية. نطاق القيم التي يمكن أن يأخذها هذا الحقل هو 0 إلى 65535.
• الوزن"100«. يمكن استخدامه مع درجة الأهمية لتوفير آلية موازنة الحمل عند وجود عدة خوادم تقدم نفس الخدمة. يجب أن يكون هناك سجل SRV مشابه لكل خادم في ملف المنطقة ، مع إعلان اسمه في الحقل مضيف يقدم هذه الخدمة. قبل الخوادم بقيم متساوية في الحقل درجة الأهمية، قيمة الحقل الوزن يمكن استخدامه كمستوى إضافي للتفضيل للحصول على اختيار خادم دقيق لموازنة الحمل. نطاق القيم التي يمكن أن يأخذها هذا الحقل هو 0 إلى 65535. إذا لم تكن موازنة الحمل مطلوبة ، على سبيل المثال كما في حالة خادم واحد ، فمن المستحسن تعيين القيمة 0 لتسهيل قراءة سجل SRV.
• رقم المنفذ - المنفذ"389«. رقم المنفذ في مضيف يقدم هذه الخدمة التي تقدم الخدمة المشار إليها في الميدان العطاء. يشار إلى رقم المنفذ الموصى به لكل نوع من أنواع الخدمة المعروفة في طلب التعليقات RFC 1700، على الرغم من أنه يمكن أن يأخذ قيمة بين 0 65535 و.
• المضيف الذي يقدم هذه الخدمة - الهدف"sauron.mordor.fan.«. يحدد ال FQDN التي تحدد بشكل لا لبس فيه مضيف الذي يوفر الخدمة المشار إليها بواسطة سجل SRV. نوع السجل «A»في المجال لكل مجال FQDN من الخادم أو مضيف الذي يقدم الخدمة. أبسط ، نوع السجل A في المنطقة (المناطق) المباشرة.
  • ملاحظة:
    للإشارة بشكل رسمي إلى أن الخدمة المحددة بواسطة سجل SRV لا يتم توفيرها على هذا المضيف ، يجب استخدام ملف واحد (.) نقطة.

نريد فقط أن نكرر أن التشغيل الصحيح لشبكة أو Active Directory® يعتمد بشكل كبير على التشغيل الصحيح لخدمة اسم المجال..

سجلات DNS Active Directory

لجعل مناطق خادم DNS الجديد تستند إلى BIND ، يجب علينا الحصول على جميع سجلات DNS من Active Directory®. لجعل الحياة أسهل ، نذهب إلى الفريق sauron.mordor.fan -Active Directory® 2008 SR2- وفي وحدة تحكم إدارة DNS نقوم بتنشيط نقل المنطقة - مباشر وعكسي - للمناطق الرئيسية المعلنة في هذا النوع من الخدمة ، وهي:

• _msdcs.mordor.fan
• موردور
• 10.10.10.in-addr.harp

بمجرد تنفيذ الخطوة السابقة ويفضل أن يكون ذلك من جهاز كمبيوتر Linux يكون عنوان IP الخاص به ضمن نطاق الشبكة الفرعية المستخدمة بواسطة شبكة Windows ، فإننا ننفذ:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> مؤقت /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa

• أذكر من المقالات السابقة أن عنوان IP الخاص بالجهاز مسؤول النظام.desdelinux.معجب es 10.10.10.1 أو 192.168.10.1.

في الأوامر الثلاثة السابقة يمكننا حذف الخيار @ 10.10.10.3 -اسأل خادم DNS بهذا العنوان- إذا أعلنا في الملف / الخ / resolv.conf لخادم IP sauron.mordor.fan:

Buzz@sysadmin:~$ cat /etc/resolv.conf # تم الإنشاء بواسطة بحث NetworkManager desdelinuxخادم الأسماء 192.168.10.5 خادم الأسماء 10.10.10.3

بعد التحرير بعناية فائقة ، كما يتوافق مع أي ملف منطقة في BIND ، سنحصل على البيانات التالية:

سجلات RR من المنطقة الأصلية _msdcs.mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs._msdcs.mordor.fan 
؛ المتعلقة بخدمات SOA و NS _msdcs.mordor.fan. 3600 IN SOA sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 _msdcs.mordor.fan. 86400 في NS sauron.mordor.fan. ؛ ؛ الكتالوج العالمي gc._msdcs.mordor.fan. 3600 IN A 3600 ؛ ؛ الأسماء المستعارة - في قاعدة بيانات LDAP المعدلة والخاصة للدليل النشط- من SAURON 600-10.10.10.3a03296249-82aa-a1f49-4f0d28900b._msdcs.mordor.fan. 5 في CNAME sauron.mordor.fan. ؛ ؛ LDAP الخاص والمعدّل لـ Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 256 IN SRV 600 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp.100d389d-600fdb-0cf-a100-d389c18b3360d8.domains._msdcs.mordor.fan. 40 IN SRV 678 sauron.mordor.fan. _ldap._tcp. افتراضي- الاسم الأول للموقع ._sites.gc._msdcs.mordor.fan. 7 IN SRV 420 6 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 775 IN SRV 600 0 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. ؛ ؛ KERBEROS المعدل والخاص لـ Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 3268 IN SRV 600 0 sauron.mordor.fan.

سجلات RR من المنطقة الأصلية mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs.mordor.fan 
؛ المتعلقة بسجل SOA و NS و MX والسجل A الذي تعينه ؛ اسم المجال إلى IP الخاص بـ SAURON ؛ أشياء من mordor.fan Active Directory. 3600 في SOA sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 mordor.fan. 86400 IN A 3600 mordor.fan. 600 في NS sauron.mordor.fan. موردور. 10.10.10.3 IN MX 3600 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 في NS sauron.mordor.fan. ؛ ؛ مهم أيضًا سجلات A DomainDnsZones.mordor.fan. 10 IN A 3600 ForestDnsZones.mordor.fan. 600 IN A 10.10.10.3 ؛ ؛ الكتالوج العالمي _gc._tcp.mordor.fan. 600 IN SRV 10.10.10.3 600 sauron.mordor.fan. _gc._tcp. الافتراضي- الاسم الأول للموقع. _sites.mordor.fan. 0 IN SRV 100 3268 sauron.mordor.fan. ؛ ؛ LDAP الخاص المعدل والخاص لـ Active Directory _ldap._tcp.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp. الافتراضي- الاسم الأول- الموقع ._sites.DomainDnsZones.mordor.fan. 100 IN SRV 3268 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp. الافتراضي- الاسم الأول للموقع ._sites.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. _ldap._tcp. الافتراضي- الاسم الأول- الموقع ._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. ؛ ؛ KERBEROS المعدل والخاص لـ Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 389 IN SRV 600 0 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 100 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 389 IN SRV 600 sauron.mordor.fan. ؛ ؛ السجلات أ مع IP ثابت -> خوادم blackelf.mordor.fan. 0 IN A 100 blackspider.mordor.fan. 389 IN A 600 darklord.mordor.fan. 0 IN A 100 mamba.mordor.fan. 88 IN A 600 palantir.mordor.fan. 0 IN A 100 sauron.mordor.fan. 88 IN A 600 shadowftp.mordor.fan. 0 IN A 100 troll.mordor.fan. 464 IN A 600 ؛ ؛ سجلات CNAME ad-dc.mordor.fan. 0 في CNAME sauron.mordor.fan. blog.mordor.fan. 100 في CNAME troll.mordor.fan. fileerver.mordor.fan. 88 IN CNAME mamba.mordor.fan. ftpserver.mordor.fan. 600 في CNAME shadowftp.mordor.fan. mail.mordor.fan. 0 IN CNAME balckelf.mordor.fan. openfire.mordor.fan. 100 في CNAME palantir.mordor.fan. proxy.mordor.fan. 464 IN CNAME darklord.mordor.fan. www.mordor.fan. 3600 IN CNAME blackspider.mordor.fan.

سجلات RR من المنطقة الأصلية 10.10.10.in-addr.arpa

buzz @ sysadmin: ~ $ cat temp / rrs.10.10.10.in-addr.arpa 
؛ بخصوص SOA و NS 10.10.10.in-addr.arpa. 3600 في SOA sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400.in-addr.arpa. 3600 في NS sauron.mordor.fan. ؛ ؛ سجلات PTR 10.10.10.in-addr.arpa. 3600 IN PTR blackspider.mordor.fan. 10.10.10.10.in-addr.arpa. 3600 في PTR palantir.mordor.fan. 11.10.10.10.in-addr.arpa. 3600 IN PTR sauron.mordor.fan. 3.10.10.10.in-addr.arpa. 3600 في PTR mamba.mordor.fan. 4.10.10.10.in-addr.arpa. 3600 في PTR dnslinux.mordor.fan. 5.10.10.10.in-addr.arpa. 3600 في PTR darklord.mordor.fan. 6.10.10.10.in-addr.arpa. 3600 في PTR troll.mordor.fan. 7.10.10.10.in-addr.arpa. 3600 في PTR shadowftp.mordor.fan. 8.10.10.10.in-addr.arpa. 3600 IN PTR blackelf.mordor.fan.

حتى هذه النقطة ، يمكننا أن نعتقد أن لدينا البيانات اللازمة للاستمرار في مغامرتنا ، وليس بدون مراقبة TTL's وغيرها من البيانات التي توفر لنا بطريقة موجزة للغاية الإخراج والملاحظة المباشرة لـ DNS لـ Microsft® Active Directory® 2008 SR2 64 بت.

صور مدير DNS في ساورون

فريق Dnslinux.mordor.fan.

إذا نظرنا عن كثب إلى عنوان IP 10.10.10.5 لم يتم تعيين أي اسم لها على وجه التحديد بحيث يشغلها اسم DNS الجديد dnslinux.mordor.fan. لتثبيت زوج DNS و DHCP ، يمكننا أن نسترشد بالمقالات DNS و DHCP في Debian 8 "Jessie" y DNS و DHCP على CentOS 7.

نظام التشغيل الأساسي

مي أميغو فويجيانبالإضافة إلى كونه متخصصًا حقيقيًا في Microsoft® Windows - لديه شهادتان صادرتان عن تلك الشركة - فقد قرأ بعض المقالات حول أجهزة الكمبيوتر المكتبية المنشورة في DesdeLinux. ، وأخبرني أنه يريد صراحة حلًا قائمًا على دبيان. 😉

لإرضائك ، سنبدأ بتثبيت جديد ونظيف لخادم يعتمد على Debian 8 "Jessie". ومع ذلك ، فإن ما سنكتبه بعد ذلك صالح لتوزيعات CentOS و openSUSE التي ذكرنا مقالاتها سابقًا. BIND و DHCP هما نفس الشيء في أي توزيعة. يتم تقديم اختلافات طفيفة من قبل المشرفين على الحزم في كل توزيع.

سنفعل التثبيت كما هو موضح في DNS و DHCP في Debian 8 "Jessie"، مع الحرص على استخدام IP 10.10.10.5 والشبكة 10.10.10.0/24. ، حتى قبل تكوين ملف BIND.

نقوم بتهيئة BIND بأسلوب دبيان

/etc/bind/named.conf

الملف /etc/bind/named.conf نتركه كما هو مثبت.

/etc/bind/named.conf.options

الملف /etc/bind/itled.conf.options يجب ترك المحتوى التالي:

root @ dnslinux: ~ # cp /etc/bind/itled.conf.options /etc/bind/itled.conf.options.original

الجذر @ dnslinux: ~ # nano /etc/bind/itled.conf.options
الخيارات {directory "/ var / cache / bind"؛ // إذا كان هناك جدار حماية بينك وبين خوادم الأسماء التي تريد // التحدث إليها ، فقد تحتاج إلى إصلاح جدار الحماية للسماح // منافذ متعددة بالتحدث. راجع http://www.kb.cert.org/vuls/id/800113 // إذا قدم موفر خدمة الإنترنت عنوان IP واحدًا أو أكثر لخوادم الأسماء // المستقرة ، فربما تريد استخدامها كموجهين. // قم بإلغاء تعليق الكتلة التالية ، وأدخل العناوين التي تحل محل // العنصر النائب لـ all-0. // معيدي التوجيه {// 0.0.0.0 ؛ //} ؛ // ================================================= ===================== $ // إذا قام BIND بتسجيل رسائل خطأ حول انتهاء صلاحية مفتاح الجذر ، // فستحتاج إلى تحديث مفاتيحك. راجع https://www.isc.org/bind-keys // ================================= ==================================== $

    // لا نريد DNSSEC
        dnssec- تمكين لا ؛
        //dnssec-validation auto؛

        auth-nxdomain no؛ # يتوافق مع RFC1035

 // لا نحتاج إلى الاستماع إلى عناوين IPv6
        // استمع على v6 {أي ؛ } ؛
    الاستماع على v6 {بلا ؛ } ؛

 // للشيكات من المضيف المحلي ومسؤول النظام
    // من خلال // حفر mordor.fan axfr // dig 10.10.10.in-addr.arpa axfr // dig _msdcs.mordor.fan axfr // ليس لدينا Slave DNS ... حتى الآن
 allow-transfer {localhost؛ 10.10.10.1 ؛ } ؛
};

// تسجيل BIND
تسجيل {

        استفسارات القناة {
        ملف "/var/log/itled/queries.log" إصدارات 3 بحجم 1 م ؛
        معلومات الخطورة
        نعم وقت الطباعة ؛
        شدة الطباعة نعم ؛
        فئة الطباعة نعم ؛
        };

        قناة-خطأ الاستعلام {
        ملف "/var/log/itled/query-error.log" إصدارات 3 بحجم 1 م ؛
        معلومات الخطورة
        نعم وقت الطباعة ؛
        شدة الطباعة نعم ؛
        فئة الطباعة نعم ؛
        };

                                
استعلامات الفئات {
         استفسارات
         };

فئة أخطاء الاستعلام {
         خطأ الاستعلام
         };

};

• نقدم لك التقاط سجلات BIND كملف NUEVO الظهور في سلسلة المقالات حول هذا الموضوع. نخلق لمجلد وملفات مطلوبة لملف تسجيل من BIND:

root @ dnslinux: ~ # mkdir / var / log / مسمى
root @ dnslinux: ~ # touch /var/log/igned/queries.log
root @ dnslinux: ~ # touch /var/log/itled/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / named

نتحقق من بنية الملفات المكونة

الجذر @ dnslinux: ~ # named-checkconf 
الجذر @ dnslinux: ~ #

/etc/bind/named.conf.local

نقوم بإنشاء الملف /etc/bind/zones.rfcFreeBSD بنفس المحتوى المشار إليه في DNS و DHCP في Debian 8 "Jessie".

الجذر @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

الملف /etc/bind/named.conf.local يجب ترك المحتوى التالي:

// // قم بأي تكوين محلي هنا // // ضع في اعتبارك إضافة مناطق 1918 هنا ، إذا لم يتم استخدامها في // مؤسستك
تشمل "/etc/bind/zones.rfc1918" ؛ تشمل "/etc/bind/zones.rfcFreeBSD" ؛

منطقة "mordor.fan" {type master؛ ملف "/var/lib/bind/db.mordor.fan" ؛ } ؛ المنطقة "10.10.10.in-addr.arpa" {type master؛ ملف "/var/lib/bind/db.10.10.10.in-addr.arpa" ؛ } ؛

المنطقة "_msdcs.mordor.fan" {type master؛
 تجاهل أسماء الاختيار ؛ ملف "/etc/bind/db._msdcs.mordor.fan" ؛ } ؛ الجذر @ dnslinux: ~ # named-checkconf
الجذر @ dnslinux: ~ #

ملف المنطقة mordor.fan

الجذر @ dnslinux: ~ # نانو /var/lib/bind/db.mordor.fan
TTL 3H $ @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1 ؛ تسلسلي 1D ؛ تحديث 1H ؛ إعادة المحاولة 1 وات ؛ انتهاء الصلاحية 3H) ؛ الحد الأدنى أو ؛ الوقت السلبي للتخزين المؤقت للعيش ؛
؛ كن حذرًا جدًا مع السجلات التالية
@ IN NS dnslinux.mordor.fan.
@ IN A 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT "Wellcome to The Dark Lan of Mordor" ؛
_msdcs.mordor.fan. في NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. في A 10.10.10.5
؛ انتهي بحذر شديد مع السجلات التالية ؛
DomainDnsZones.mordor.fan. في 10.10.10.3 ForestDnsZones.mordor.fan. في A 10.10.10.3 ؛ ؛ الكتالوج العالمي _gc._tcp.mordor.fan. 600 في SRV 0 0 3268 sauron.mordor.fan. _gc._tcp. افتراضي- الاسم الأول للموقع. _sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ؛ ؛ LDAP الخاص المعدل والخاص لـ Active Directory _ldap._tcp.mordor.fan. 600 في SRV 0 0 sauron.mordor.fan. _ldap._tcp. الافتراضي- الاسم الأول- الموقع ._sites.DomainDnsZones.mordor.fan. 389 في SRV 600 0 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 0 في SRV 389 600 sauron.mordor.fan. _ldap._tcp. الافتراضي- الاسم الأول- الموقع ._sites.mordor.fan. 0 في SRV 0 389 sauron.mordor.fan. _ldap._tcp. الافتراضي- الاسم الأول- الموقع ._sites.ForestDnsZones.mordor.fan. 600 في SRV 0 0 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 389 في SRV 600 0 sauron.mordor.fan. ؛ ؛ KERBEROS المعدل والخاص لـ Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 0 في SRV 389 600 0 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 0 في SRV 389 600 0 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 0 IN SRV 88 600 sauron.mordor.fan. _kerberos._udp.mordor.fan. 0 في SRV 0 88 600 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 0 IN SRV 0 464 sauron.mordor.fan. ؛ ؛ السجلات أ مع IP ثابت -> خوادم blackelf.mordor.fan. في 600 blackspider.mordor.fan. في 0 darklord.mordor.fan. في 0 mamba.mordor.fan. في 88 palantir.mordor.fan. في A 600
sauron.mordor.fan. في A 10.10.10.3
shadowftp.mordor.fan. في 10.10.10.8 troll.mordor.fan. في A 10.10.10.7 ؛ ؛ سجلات CNAME ad-dc.mordor.fan. في ملف CNAME sauron.mordor.fan. blog.mordor.fan. في ملف CNAME troll.mordor.fan. fileerver.mordor.fan. في ملف CNAME mamba.mordor.fan. ftpserver.mordor.fan. في ملف CNAME shadowftp.mordor.fan. mail.mordor.fan. في ملف CNAME balckelf.mordor.fan. openfire.mordor.fan. في ملف CNAME palantir.mordor.fan. proxy.mordor.fan. في ملف CNAME darklord.mordor.fan. www.mordor.fan. في ملف CNAME blackspider.mordor.fan.

root @ dnslinux: ~ # named-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
المنطقة mordor.fan/IN: تم تحميل المسلسل 1 موافق

الأوقات تي تي 600 من بين جميع سجلات SRV ، سنحتفظ بها في حالة تثبيت Slave BIND في أوقات للذهاب. تمثل هذه السجلات خدمات Active Directory® التي تقرأ في الغالب البيانات من قاعدة بيانات LDAP. نظرًا لأن قاعدة البيانات هذه تتغير بشكل متكرر ، يجب أن تبقى أوقات المزامنة قصيرة ، في نظام Master - Slave DNS. وفقًا لفلسفة Microsoft التي تمت ملاحظتها من Active Directory 2000 إلى 2008 ، يتم الاحتفاظ بقيمة 600 لهذه الأنواع من سجلات SRV.

الكثير TTL's من الخوادم مع IP ثابت ، هم تحت الوقت المعلن في SOA وهو 3 ساعات.

ملف المنطقة 10.10.10.in-addr.arpa

الجذر @ dnslinux: ~ # نانو /var/lib/bind/db.10.10.10.in-addr.arpa
TTL 3H $ @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1 ؛ تسلسلي 1D ؛ تحديث 1H ؛ إعادة المحاولة 1 وات ؛ انتهاء الصلاحية 3H) ؛ الحد الأدنى أو ؛ الوقت السلبي للتخزين المؤقت للعيش ؛ @ IN NS dnslinux.mordor.fan. ؛ 10 في PTR blackspider.mordor.fan. 11 في PTR palantir.mordor.fan. 3 في PTR sauron.mordor.fan. 4 في PTR mamba.mordor.fan. 5 في PTR dnslinux.mordor.fan. 6 في PTR darklord.mordor.fan. 7 في PTR troll.mordor.fan. 8 في PTR shadowftp.mordor.fan. 9 في PTR blackelf.mordor.fan.

root @ dnslinux: ~ # named-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
المنطقة 10.10.10.in-addr.arpa/IN: تم تحميل المسلسل 1 OK

ملف المنطقة _msdcs.mordor.fan

لنأخذ بعين الاعتبار ما هو موصى به في الملف /usr/share/doc/bind9/README.Debian.gz حول موقع ملفات المناطق الرئيسية التي لا تخضع لتحديثات ديناميكية بواسطة DHCP.

الجذر @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
TTL 3H $ @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1 ؛ تسلسلي 1D ؛ تحديث 1H ؛ إعادة المحاولة 1 وات ؛ انتهاء الصلاحية 3H) ؛ الحد الأدنى أو ؛ الوقت السلبي للتخزين المؤقت للعيش ؛ @ IN NS dnslinux.mordor.fan. ؛ ؛ ؛ الكتالوج العالمي gc._msdcs.mordor.fan. 600 IN A 10.10.10.3 ؛ ؛ الأسماء المستعارة - في قاعدة بيانات LDAP المعدلة والخاصة للدليل النشط- من SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 في CNAME sauron.mordor.fan. ؛ ؛ LDAP المعدل والخاص لـ Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. _ldap._tcp.600d0d-100fdb-389cf-a18-d3360c8b40d678.domains._msdcs.mordor.fan. 7 IN SRV 420 sauron.mordor.fan. _ldap._tcp. الافتراضي- الاسم الأول للموقع ._sites.gc._msdcs.mordor.fan. 6 IN SRV 775 600 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 0 IN SRV 100 389 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. ؛ ؛ KERBEROS المعدل والخاص لـ Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 100 IN SRV 3268 600 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 0 IN SRV 100 3268 sauron.mordor.fan.

نتحقق من بناء الجملة ويمكننا تجاهل الخطأ الذي ترجع إليه ، لأنه في تكوين هذه المنطقة في الملف /etc/bind/named.conf.local نقوم بتضمين البيان تجاهل أسماء الاختيار ؛. سيتم تحميل المنطقة بشكل صحيح بواسطة BIND.

root @ dnslinux: ~ # named-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: اسم مالك غير صالح (التحقق من الأسماء) المنطقة _msdcs.mordor.fan/IN: المسلسل المحمل 1 موافق

root @ dnslinux: ~ # إعادة تشغيل systemctl bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 
● bind9.service - تم تحميل خادم اسم المجال BIND: تم تحميله (/lib/systemd/system/bind9.service ؛ ممكّن) الاتصال الفوري: /run/systemd/generator/bind9.service.d └─50-insserv.conf- نشط $ named.conf: نشط (قيد التشغيل) منذ الأحد 2017-02-12 08:48:38 EST؛ قبل 2 ثانية المستندات: man: مسمى (8) العملية: 859 ExecStop = / usr / sbin / rndc stop (الرمز = الخروج ، الحالة = 0 / نجاح) PID الرئيسي: 864 (الاسم) CGroup: /system.slice/bind9.service └─864 / usr / sbin / مسمى -f -u ربط فبراير 12 08:48:38 dnslinux المسمى [864]: المنطقة 3.efip6.arpa/IN: المسلسل المحمل 1 فبراير 12 08:48:38 dnslinux المسمى [864] ]: المنطقة befip6.arpa/IN: المسلسل المحمل 1 فبراير 12 08:48:38 dnslinux المسمى [864]: المنطقة 0.efip6.arpa/IN: المسلسل المحمل 1 فبراير 12 08:48:38 dnslinux المسمى [864]: المنطقة 7.efip6.arpa/IN: المسلسل المحمل 1 فبراير 12 08:48:38 dnslinux المسمى [864]: المنطقة mordor.fan/IN: المسلسل المحمل 1 فبراير 12 08:48:38 dnslinux المسمى [864]: مثال المنطقة .org / IN: المسلسل الذي تم تحميله في 1 فبراير 12 08:48:38 dnslinux المسمى [864]: المنطقة _msdcs.mordor.fan/IN: المسلسل الذي تم تحميله في 1 فبراير 12 08:48:38 dnslinux المسمى [864]: المنطقة غير صالحة / IN : تم تحميل المسلسل 1 فبراير 12 08:48:38 dnslinux المسمى [864]: تحميل جميع المناطق
فبراير 12 08:48:38 اسم dnslinux [864]: تشغيل

نتشاور مع BIND

قبل بعد تثبيت DHCP ، يجب علينا إجراء سلسلة من الفحوصات التي تتضمن حتى الانضمام إلى عميل Windows 7 إلى المجال موردور يمثلها Active Directory المثبت على الكمبيوتر sauron.mordor.fan.

أول شيء يجب فعله هو إيقاف خدمة DNS على الكمبيوتر sauron.mordor.fan، وأعلن في واجهة الشبكة الخاصة بك أنه من الآن فصاعدًا ، سيكون خادم DNS الخاص بك هو 10.10.10.5 dnslinux.mordor.fan.

في وحدة تحكم الخادم نفسه sauron.mordor.fan ننفذ:

مايكروسوفت ويندوز [النسخة 6.1.7600]
حقوق النشر (c) 2009 شركة مايكروسوفت. كل الحقوق محفوظة.

ج: \ المستخدمون \ المسؤول> البحث
الخادم الافتراضي: عنوان dnslinux.mordor.fan: 10.10.10.5

> gc._msdcs
الخادم: dnslinux.mordor.fan العنوان: 10.10.10.5 الاسم: gc._msdcs.mordor.fan العنوان: 10.10.10.3

> mordor.fan
الخادم: dnslinux.mordor.fan العنوان: 10.10.10.5 الاسم: mordor.fan العنوان: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
الخادم: dnslinux.mordor.fan العنوان: 10.10.10.5 الاسم: sauron.mordor.fan العنوان: 10.10.10.3 الأسماء المستعارة: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> تعيين نوع = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
الخادم: dnslinux.mordor.fan العنوان: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan موقع ثلج خدمة SRV: الأولوية = 0 الوزن = 100 منفذ = 88 اسم مضيف svr = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan عنوان الإنترنت = 10.10.10.3 dnslinux.mordor.fan عنوان الإنترنت = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
الخادم: dnslinux.mordor.fan العنوان: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan موقع خدمة SRV: الأولوية = 0 الوزن = 100 منفذ = 389 اسم مضيف svr = sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan عنوان الإنترنت = 10.10.10.3 dnslinux.mordor.fan عنوان الإنترنت = 10.10.10.5
> خروج

ج: \ المستخدمون \ المسؤول>

استعلامات DNS مصنوعة من sauron.mordor.fan مرضية.

ستكون الخطوة التالية هي إنشاء جهاز افتراضي آخر مثبت عليه Windows 7. بما أننا ما زلنا غير مثبتين على خدمة DHCP ، فسنمنح الكمبيوتر المسمى «win7»عنوان IP 10.10.10.251. نعلن أيضًا أن خادم DNS الخاص بك سيكون 10.10.10.5 dnslinux.mordor.fan، وأن مجال البحث سيكون موردور. لن نسجل هذا الكمبيوتر في DNS لأننا سنستخدمه أيضًا لاختبار خدمة DHCP بعد تثبيتها.

بعد ذلك نفتح وحدة التحكم CMD وفيه ننفذ:

مايكروسوفت ويندوز [النسخة 6.1.7601]
حقوق النشر (c) 2009 شركة مايكروسوفت. كل الحقوق محفوظة.

C: \ Users \ buzz> n البحث
الخادم الافتراضي: عنوان dnslinux.mordor.fan: 10.10.10.5

> mordor.fan
الخادم: dnslinux.mordor.fan العنوان: 10.10.10.5 الاسم: mordor.fan العنوان: 10.10.10.3

> تعيين نوع = SRV
> _ldap._tcp.DomainDnsZones
الخادم: dnslinux.mordor.fan العنوان: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan موقع خدمة SRV: الأولوية = 0 الوزن = 0 المنفذ = 389 svr hostname = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fan sauron.mordor.fan عنوان الإنترنت = 10.10.10.3 عنوان الإنترنت dnslinux.mordor.fan = 10.10.10.5
> _kpasswd._udp
الخادم: dnslinux.mordor.fan العنوان: 10.10.10.5 _kpasswd._udp.mordor.fan موقع خدمة SRV: الأولوية = 0 وزن = 0 منفذ = 464 svr hostname = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan عنوان الإنترنت = 10.10.10.3 عنوان الإنترنت dnslinux.mordor.fan = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
الخادم: dnslinux.mordor.fan العنوان: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan موقع جليد خدمة SRV: الأولوية = 0 الوزن = 0 المنفذ = 389 svr hostname = sauron. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan عنوان الإنترنت = 10.10.10.3 dnslinux.mordor.fan عنوان الإنترنت = 10.10.10.5
> خروج

ج: \ Users \ buzz>

استعلامات DNS المقدمة من العميل «win7»كانت مرضية أيضًا.

في Active Directory نقوم بإنشاء المستخدم «سارومان«بهدف استخدامه عند الانضمام للعميل win7 إلى المجال موردور. ، باستخدام الطريقة «معرف الشبكة«، باستخدام أسماء المستخدمين saruman@mordor.fan y admin@mordor.fan. تم الانضمام بنجاح وثبت من خلال لقطة الشاشة التالية:

حول التحديثات الديناميكية في Microsoft® DNS و BIND

نظرًا لأن خدمة DNS متوقفة في Active Directory® ، لم يكن ذلك ممكنًا للعميل «win7»سجل اسمك وعنوان IP الخاص بك في DNS هذا. أقل بكثير في dnslinux.mordor.fan لأننا لم ندلي بأي بيان السماح بالتحديث لأي من المجالات المعنية.

وهذا هو المكان الذي تم فيه تشكيل القتال الجيد مع صديقي فويجيان. في أول بريد إلكتروني لي حول هذا الجانب ، علقت:

• توصي مقالات Microsoft حول استخدام BIND و Active Directory® بالسماح بالتحديث ، خاصة المنطقة المباشرة -اختراق- مباشرة بواسطة عملاء Windows المنضمين بالفعل إلى مجال Active Directory.
• هذا هو السبب ، افتراضيًا ، في مناطق DNS الخاصة بالتحديثات الديناميكية الآمنة Active Directory® بواسطة عملاء Windows انضموا بالفعل إلى مجال Active Directory. إذا لم يكونوا متحدين ، فإنهم يمتنعون عن العواقب.
• يدعم DNS الخاص بـ Active Directory التحديثات الديناميكية "الآمنة فقط" ، أو "غير الآمنة والآمنة" ، أو "لا شيء" وهو ما يماثل قول لا تحديثات أو لا شيء.
• نعم حقا لا توافق Microsoft Philosophy على أن عملائها لن يقوموا بتحديث بياناتهم في DNS (s) الخاص بهم ، ولن يتركوا إمكانية تعطيل التحديثات الديناميكية في DNS (s) الخاصة بهم ، إلا إذا تم ترك هذا الخيار لأغراض أكثر خفية.
• تقدم Microsoft "الأمان" مقابل Darkness ، كما أخبرني زميل وصديق اجتاز دورات شهادات Microsft®. صحيح. بالإضافة إلى ذلك ، أكد لي فويجينو ذلك.
• العميل الذي يحصل على عنوان IP من خلال DHCP المثبت على جهاز UNIX® / Linux على سبيل المثال ، لن يكون قادرًا على حل عنوان IP الخاص باسمه حتى تنضم إلى مجال Active Directory، طالما يتم استخدام Microsoft® أو BIND كنظام DNS بدون تحديثات ديناميكية بواسطة DHCP.
• إذا قمت بتثبيت DHCP في Active Directory® نفسه ، فيجب أن أعلن أن المناطق يتم تحديثها بواسطة Microsoft® DHCP.
• إذا كنا سنستخدم BIND باعتباره DNS لشبكة Windows ، فمن المنطقي والموصى أن نقوم بتثبيت زوج BIND-DHCP ، مع قيام الأخير بتحديث BIND ديناميكيًا وخلص الأمر.
• في عالم شبكات LAN على UNIX® / Linux ، حيث تم اختراع التحديثات الديناميكية على BIND ، يُسمح فقط للسيد DHCP «اخترق»للسيدة BIND مع تحديثاتها. الاسترخاء مع النظام من فضلك.
• عندما أعلن في المنطقة موردور على سبيل المثال allow-update {10.10.10.0/24؛ } ؛، تخبرني BIND نفسها عند بدء تشغيلها أو إعادة تشغيلها بما يلي:

  • تسمح المنطقة "mordor.fan" بالتحديثات حسب عنوان IP ، وهو أمر غير آمن

• في عالم UNIX® / Linux المقدس ، مثل هذا الذكاء مع DNS هو ببساطة غير مقبول.

يمكنك تخيل ما تبقى من التبادل مع صديقي فويجيان من خلال رسائل البريد الإلكتروني, دردشة برقية، المكالمات الهاتفية التي دفع ثمنها (طبعا يا رجل ، ليس لدي كيلو لذلك) ، وحتى الرسائل عبر الحمام الزاجل في القرن الحادي والعشرين!

حتى أنه هددني بألا يرسل لي ابن حيوانه الأليف ، إغوانا "البتراء»أَنَّهُ عَهَدَني بِهِ. هناك كنت خائفة حقا. لذلك بدأت من جديد ، لكن من زاوية أخرى.

• يحل الدليل النشط "تقريبًا" الذي يمكن تحقيقه باستخدام Samba 4 هذا الجانب بطريقة بارعة ، سواء عند استخدام DNS الداخلي أو BIND الذي تم تجميعه لدعم مناطق DLZ - مناطق تحميل ديناميك، أو المناطق المحملة ديناميكيًا.
• لا يزال يعاني من نفس المشكلة: عندما يحصل العميل على عنوان IP من خلال DHCP مثبتًا في آخر جهاز UNIX® / Linux ، لن تتمكن من حل عنوان IP الخاص باسمك حتى يتم ضمها إلى مجال Samba 4 AD-DC.
• قم بدمج الثنائي BIND-DLZ و DHCP على نفس الجهاز حيث تم إنشاء ملف AD-DC سامبا 4 إنها وظيفة لمتخصص حقيقي.

فويجيان دعاني إلى الفصل وصرخ في وجهي: نحن لا نتحدث عنه AD-DC سامبا 4، ولكن من Microsoft® Active Directory®!. وأجبت بتواضع أنني مسرور بجزء من المقالات التالية التي كنت سأكتبها.

هذا عندما أخبرته أن القرار النهائي بشأن التحديثات الديناميكية لأجهزة الكمبيوتر العميلة على شبكته تُرك لإرادته الحرة. أنني سأعطيه فقط معلومات سرية كتب من قبل عن allow-update {10.10.10.0/24؛ } ؛، ولا شيء أكثر. أنني لم أكن مسؤولاً عما نتج عن ذلك الاختلاط الذي قام به كل عميل Windows - أو Linux - في شبكته «سوف تخترق»مع الإفلات من العقاب.

إذا كنت تعلم يا صديقي القارئ أن تلك كانت نقطة النهاية للشجار ، فلن تصدقها. صديقي فويجيان قبل الحل - وسيرسل لي الإغوانا «بيت«- هذا الآن أشاركك فيه.

نقوم بتثبيت وتهيئة DHCP

لمزيد من التفاصيل اقرأ DNS و DHCP في Debian 8 "Jessie".

root @ dnslinux: ~ # aptitude install isc-dhcp-server

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... على أي واجهات يجب أن يخدم خادم DHCP (dhcpd) طلبات DHCP؟ # افصل الواجهات المتعددة بمسافات ، مثل "eth0 eth1". واجهات = "eth0" root @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
مفتاح kdhcp. +157 + 29836

root @ dnslinux: ~ # cat Kdhcp-key. +157 + 29836.private
تنسيق المفتاح الخاص: v1.3 الخوارزمية: 157 (HMAC_MD5) المفتاح: 3HT / bg / 6YwezUShKYofj5g == بت: AAA = تم الإنشاء: 20170212205030 نشر: 20170212205030 تنشيط: 20170212205030

الجذر @ dnslinux: ~ # nano dhcp.key
key dhcp-key {الخوارزمية hmac-md5؛ سري "3HT / bg / 6YwezUShKYofj5g ==" ؛ } ؛

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/itled.conf.local
// // قم بأي تكوين محلي هنا // // ضع في اعتبارك إضافة مناطق 1918 هنا ، إذا لم يتم استخدامها في // مؤسستك تتضمن "/etc/bind/zones.rfc1918" ؛ تشمل "/etc/bind/zones.rfcFreeBSD" ؛
// لا تنسى ... لقد نسيت ودفعت مع الأخطاء. ؛-)
تشمل "/etc/bind/dhcp.key" ؛


منطقة "mordor.fan" {type master؛
        allow-update {10.10.10.3؛ مفتاح dhcp-key ؛ } ؛
        ملف "/var/lib/bind/db.mordor.fan" ؛ } ؛ المنطقة "10.10.10.in-addr.arpa" {type master؛
        allow-update {10.10.10.3؛ مفتاح dhcp-key ؛ } ؛
        ملف "/var/lib/bind/db.10.10.10.in-addr.arpa" ؛ } ؛ المنطقة "_msdcs.mordor.fan" {type master؛ تجاهل أسماء الاختيار ؛ ملف "/etc/bind/db._msdcs.mordor.fan" ؛ } ؛

الجذر @ dnslinux: ~ # named-checkconf 
الجذر @ dnslinux: ~ #

الجذر @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style المؤقت ؛ تحديثات ddns على ؛ ddns-domainname "mordor.fan." ؛ ddns-rev-domainname "in-addr.arpa." ؛ تجاهل تحديثات العميل ؛ موثوق. خيار ip-forwarding off ؛ اسم مجال الخيار "mordor.fan" ؛ تشمل "/etc/dhcp/dhcp.key" ؛ منطقة موردور. {127.0.0.1 الأساسي ؛ مفتاح dhcp-key ؛ } المنطقة 10.10.10.in-addr.arpa. {127.0.0.1 الأساسي ؛ مفتاح dhcp-key ؛ } الشبكة المحلية الحمراء المشتركة {الشبكة الفرعية 10.10.10.0 قناع الشبكة 255.255.255.0 {أجهزة توجيه الخيار 10.10.10.1 ؛ قناع الشبكة الفرعية للخيار 255.255.255.0 ؛ خيار عنوان البث 10.10.10.255 ؛ الخيار خوادم اسم المجال 10.10.10.5 ؛ خيار خوادم أسماء netbios 10.10.10.5 ؛ النطاق 10.10.10.30 10.10.10.250 ؛ }} # END dhcpd.conf

الجذر @ dnslinux: ~ # dhcpd -t
Internet Systems Consortium DHCP Server 4.3.1 حقوق النشر 2004-2014 اتحاد أنظمة الإنترنت. كل الحقوق محفوظة. للحصول على معلومات ، يرجى زيارة https://www.isc.org/software/dhcp/ ملف التكوين: /etc/dhcp/dhcpd.conf ملف قاعدة البيانات: /var/lib/dhcp/dhcpd.leases ملف PID: / var / run /dhcpd.pid

root @ dnslinux: ~ # إعادة تشغيل systemctl bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 

root @ dnslinux: ~ # systemctl start isc-dhcp-server.service
root @ dnslinux: ~ # systemctl status isc-dhcp-server.service

ما هو متعلق ب الشيكات مع العملاءو التعديل اليدوي لملفات المنطقة، نتركها لك ، أيها الأصدقاء القارئ ، لتقرأها مباشرة من DNS و DHCP في Debian 8 "Jessie"، وتطبيقه على ظروفك الفعلية. لقد أجرينا جميع الفحوصات اللازمة وحصلنا على نتائج مرضية. بالطبع نرسل نسخة منهم جميعًا إلى فويجيان. لن يكون هناك المزيد!

نصائح

عام

• تحلى بالصبر قبل أن تبدأ.
  
• قم بتثبيت وتكوين BIND أولاً. تحقق من كل شيء واطلع على جميع السجلات التي أعلنت عنها في كل ملف من ثلاث مناطق أو أكثر ، سواء من Active Directory ومن خادم DNS نفسه على Linux. إذا كان ذلك ممكنًا ، من جهاز Linux غير متصل بالمجال ، قم بإجراء استعلامات DNS الضرورية إلى BIND.
  
• انضم إلى عميل Windows بعنوان IP ثابت للمجال الحالي ، وأعد فحص جميع إعدادات BIND من عميل Windows.
• بعد أن تكون متأكدًا بلا شك من أن تكوين BIND الجديد تمامًا صحيح تمامًا ، اخرج لتركيب وتهيئة وبدء خدمة DHCP.
• في حالة حدوث أخطاء ، كرر الإجراء بأكمله من صفر 0.
• كن حذرا مع النسخ واللصق! والمسافات المتبقية في كل سطر من ملفات named.conf.xxxx
  
• بعد ذلك ، لم يشتك - ناهيك لصديقي الفويجيان - من أنه لم يتم إخطاره بشكل صحيح.

نصائح أخرى

• فرق تسد.
• في شبكة الشركات الصغيرة والمتوسطة يكون من الأكثر أمانًا وفائدة تثبيت BIND المعتمد لمناطق LAN الداخلية التي لا تتكرر في أي خادم جذر: العودية لا.
• في شبكة الشركات الصغيرة والمتوسطة الواقعة تحت مزود الوصول إلى الإنترنت - ISP، ربما الخدمات الوكيل y SMTP يحتاجون إلى حل أسماء المجالات على الإنترنت. هو حبار لديك خيار إعلان أن DNS الخاص بك خارجي أم لا ، أثناء وجودك على خادم بريد يعتمد على بوستفيكس o مديمون® يمكننا أيضًا الإعلان عن خوادم DNS التي سنستخدمها في تلك الخدمة. في مثل هذه الحالات ، أي الحالات التي لا تقدم خدمات للإنترنت والتي تخضع لـ مزود خدمة الإنترنت، يمكنك تثبيت BIND مع الناقلون مشيرا إلى DNS الخاص بـ ISP، وإعلانه على أنه DNS ثانوي في الخوادم التي تحتاج إلى حل الاستعلامات الخارجية للشبكة المحلية ، وإلا فمن الممكن إعلانها من خلال ملفات التكوين الخاصة بها.
• إذا كان لديك منطقة مفوضة تحت مسؤوليتك الكاملةثم غراب ديك آخر:
  • قم بتثبيت خادم DNS على أساس NSD، وهو خادم DNS موثوق بحكم التعريف ، يستجيب للاستفسارات الواردة من أجهزة الكمبيوتر على الإنترنت. للحصول على بعض المعلومات إظهار الكفاءة nsd. 😉 يرجى حمايتها جيدًا باستخدام أكبر عدد ممكن من جدران النار حسب الضرورة. كل من الأجهزة والبرامج. سيكون DNS للإنترنت ، وذلك «قيصر»لا يجب أن نعطيها بالسراويل المنخفضة. 😉
  • نظرًا لأنني لم أر نفسي مطلقًا في حالة كهذه ، أي مسؤولة تمامًا عن منطقة مفوضة ، يجب أن أفكر جيدًا في ما أوصي به لحل أسماء النطاقات الخارجية لشبكة LAN الخاصة بنا للخدمات التي تحتاجها . عملاء شبكة الشركات الصغيرة والمتوسطة لا يحتاجون إليها حقًا. استشر الأدب المتخصص ، أو متخصص في هذه الموضوعات ، فأنا بعيد عن أن أكون واحداً منهم. بجدية.
  • العودية غير موجودة على الخوادم الاستبدادية. حسنا؟. في حالة قيام شخص ما بفعل ذلك باستخدام BIND.
• على الرغم من أننا نحدده صراحة في الملف /etc/dhcp/dhcpd.conf الإعلان تجاهل تحديثات العميل ؛، إذا قمنا بتشغيل على وحدة تحكم الكمبيوتر dnslinux.mordor.fan الأمر Journalctl -f، سنرى ذلك عند بدء تشغيل العميل win7.mordor.fan نحصل على رسائل الخطأ التالية:

  • فبراير 12 16:55:41 dnslinux المسمى [900]: client 10.10.10.30 # 58762: تم رفض التحديث 'mordor.fan/IN'
    فبراير 12 16:55:42 dnslinux المسمى [900]: client 10.10.10.30 # 49763: تم رفض التحديث 'mordor.fan/IN'
    فبراير 12 16:56:23 dnslinux المسمى [900]: client 10.10.10.30 # 63161: تم رفض التحديث 'mordor.fan/IN'
    

  • للقضاء على هذه الرسائل ، يجب أن نذهب إلى الخيارات المتقدمة لتكوين بطاقة الشبكة وإلغاء تحديد الخيار «قم بتسجيل عناوين هذا الاتصال في DNS«. سيؤدي ذلك إلى منع العميل من محاولة التسجيل الذاتي في Linux DNS إلى الأبد وإنهاء المشكلة. عذرًا ، ولكن ليس لدي نسخة من Windows 7 باللغة الإسبانية. 😉
• لمعرفة كل الاستعلامات الجادة - والمجنونة - التي يقوم بها عميل Windows 7 ، تحقق من ملف استعلامات السجل هذا لشيء نعلنه في تكوين BIND. سيكون الترتيب:

  • root @ dnslinux: ~ # tail -f /var/log/igned/queries.log

• إذا لم تسمح لأجهزة الكمبيوتر العميلة بالاتصال مباشرة بالإنترنت ، فلماذا تحتاج إلى خوادم DNS الجذر؟ سيؤدي هذا إلى تقليل إخراج الأمر بشكل كبير Journalctl -f ومن السابق ، إذا كان خادم DNS الاستبدادي الخاص بك للمناطق الداخلية لا يتصل مباشرة بالإنترنت ، وهو أمر يوصى به بشدة من وجهة نظر أمنية.

  الجذر @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
  root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root

• إذا لم تكن بحاجة إلى إعلان خوادم الجذر ، فلماذا تحتاج إلى العودية - العودية?

  الجذر @ dnslinux: ~ # nano /etc/bind/itled.conf.options
  خيارات {
   ....
   العودية لا
   ....
  };

نصيحة محددة ما زلت غير واضحة للغاية بشأنها

El رجل dhcpd.conf يخبرنا ما يلي من بين العديد من الأشياء الأخرى:

        بيان التحديث الأمثل

            علم التحديث الأمثل ؛

            إذا كانت معلمة تحسين التحديث خاطئة لعميل معين ، فسيحاول الخادم تحديث DNS لذلك العميل في كل مرة يجدد فيها العميل عقد الإيجار ، بدلاً من محاولة التحديث فقط عندما يبدو أنه ضروري. سيسمح هذا لنظام DNS بالشفاء من تناقضات قاعدة البيانات بسهولة أكبر ، ولكن التكلفة هي أن خادم DHCP يجب أن يقوم بالعديد من تحديثات DNS. نوصي بقراءة هذا الخيار ممكّنًا ، وهو الخيار الافتراضي. يؤثر هذا الخيار فقط على سلوك مخطط تحديث DNS المؤقت ، وليس له أي تأثير على مخطط تحديث DNS المخصص. إذا لم يتم تحديد هذه المعلمة ، أو كانت صحيحة ، فسيتم تحديث خادم DHCP فقط عندما تتغير معلومات العميل ، أو يحصل العميل على عقد إيجار مختلف ، أو ينتهي عقد إيجار العميل.

كلما تركت لك الترجمة أو الترجمة الدقيقة إلى حد ما ، عزيزي القارئ.

شخصيًا ، حدث لي - وحدث أثناء كتابة هذا المقال - أنه عندما أقوم بربط BIND بـ Active Directory® ، يكون من Microsft® أو Samba 4 ، إذا قمت بتغيير اسم كمبيوتر عميل مسجل في المجال Active Directory® أو AD – DC من Samba 4 ، فإنه يحتفظ باسمه القديم وعنوان IP في المنطقة المباشرة ، وليس العكس ، حيث يتم تحديثه بشكل صحيح بالاسم الجديد. بمعنى آخر ، يتم تعيين الاسمين القديم والجديد إلى نفس عنوان IP في المنطقة المباشرة ، بينما يظهر الاسم الجديد فقط في الاتجاه المعاكس. لكي تفهمني جيدًا ، يجب أن تجربها بنفسك.

أعتقد أنه نوع من الانتقام منه فويجيان -ليس لي ، من فضلك- لمحاولة ترحيل خدماتك إلى Linux.

بالطبع سيختفي الاسم القديم عندما يكون تي تي 3600، أو الوقت الذي أعلناه في تكوين DHCP. لكننا نريد أن يختفي على الفور كما يحدث في BIND + DHCP بدون دليل نشط من خلال.

الحل لهذا الموقف وجدته من خلال إدخال البيان التحديث الأمثل خطأ ؛ في نهاية الجزء العلوي من الملف /etc/dhcp/dhcpd.conf:

ddns-update-style المؤقت ؛ تحديثات ddns على ؛ ddns-domainname "mordor.fan." ؛ ddns-rev-domainname "in-addr.arpa." ؛ تجاهل تحديثات العميل ؛
التحديث الأمثل خطأ ؛

إذا كان أي قارئ يعرف المزيد عنها ، من فضلك قل لي. سوف أقدر ذلك كثيرا.

ملخص

لقد استمتعنا كثيرًا بالموضوع ، أليس كذلك؟ لا توجد معاناة لأن لدينا BIND يعمل كخادم DNS في شبكة Microsoft® ، ويقدم جميع سجلات SRV ويستجيب بشكل مناسب لاستفسارات DNS المقدمة إليها. من ناحية أخرى ، لدينا خادم DHCP يمنح عناوين IP ويحدث ديناميكيًا مناطق BIND بشكل صحيح.

لكن لا يمكننا أن نطلب ... في الوقت الحالي.

أتمنى صديقي فويجيان كن سعيدًا وراضًا عن الخطوة الأولى في انتقالك إلى Linux لجعل التكاليف التي لا تطاق للدعم الفني Microsft® يمكن تحملها.

ملاحظة مهمة

حرف "فويجيان»خيالي تماما ونتاج خيالي. أي تشابه أو مصادفة مع أناس حقيقيين هو نفس الشيء: صدفة لا إرادية خالصة من جانبي. لقد قمت بإنشائه فقط لأجعل كتابة هذا المقال وقراءته ممتعة بعض الشيء. الآن إذا كان بإمكانك إخباري أن مشكلة DNS مظلمة،