Dnsmasq و Active Directory - شبكات SME

الفهرس العام للسلسلة: شبكات الحاسوب للشركات الصغيرة والمتوسطة: مقدمة

مرحبا اصدقاء !. لفهم ومتابعة هذه المقالة بشكل صحيح أساسي قراءة سابقاتها:

يشرحون المفاهيم النظرية والعملية التي لن نشير إليها في هذا المفهوم. سنقوم بتغيير التوزيع في العام الحالي إلى Debian 8.6 "Jessie" وسنستمر مع نفس المعلمات التي نستخدمها في BIND و Active Directory®.

  • الإجراء الموضح في هذا المنشور صالح أيضًا لـ CentOS 7. ملف التكوين / etc / dnsmasq هو نفسه. أصرح بذلك لأنني أعتبر أنه من غير الضروري عمل مقال منفصل لـ Dnsmasq و Active Directory® على أساس CentOS. لحسن الحظ ، الدلائل المتعلقة بالتوثيق والتكوين هي نفسها،
  • Dnsmaq هو من صنع سيمون كيلي

حدود استخدام Dnsmasq

نظرا لأهميتها نكرر حدود التي تدعم Dnsmasq -run رجل dnsmasq- وهو ما يعكس بالضبط ما يلي:

حدود

  • القيم الافتراضية لحدود الموارد متحفظة بشكل عام ومناسبة للاستخدام على أجهزة من نوع جهاز التوجيه. عالق مع المعالجات البطيئة والذاكرة المنخفضة. في الأجهزة أكثر  قادر ، من الممكن زيادة الحدود ودعم المزيد العملاء. ينطبق ما يلي على dnsmasq-2.37: الإصدارات السابقة لا تفعل ذلك لقد تسلقوا بشكل جيد.
  • Dnsmasq قادر على دعم DNS و DHCP على الأقل ألف (1,000،XNUMX) العملاء. يجب ألا تكون أوقات الإيجار قصيرة جدًا (أقل من واحد زمن). يمكن زيادة قيمة –dns-forward-max: ابدأ بـ ما يعادل عدد العملاء وزيادته إذا كان DNS. لاحظ أن أداء DNS يعتمد أيضًا على الخوادم المنبع DNS. يمكن زيادة حجم ذاكرة التخزين المؤقت DNS: الحد مطلوب 10,000 اسم والاسم الافتراضي (150) منخفض جدًا. يؤدي إرسال SIGUSR1 إلى dnsmasq إلى إنشاء معلومات bitacore مفيد لضبط حجم ذاكرة التخزين المؤقت. راجع قسم الملاحظات للحصول على التفاصيل.
  • خادم TFTP المدمج قادر على دعم عمليات نقل متعددة الملفات المتزامنة: الحد المطلق مرتبط بعدد معالجات الملفات المسموح بها لعملية ما وقدرة النظام ‐حدد استدعاء مؤقت () لدعم عدد كبير من مقابض الملفات. إذا تم تعيين الحد على قيمة عالية جدًا باستخدام –tftp-max ، فسيتم إلغاء مقياسه وسيتم تسجيل الحد الفعلي عند بدء التشغيل. لاحظ أن المزيد من التحويلات ممكن عندما يتم إرسال نفس الملف ماذا عند كل عبريرسل ferencia ملفًا مختلفًا. من الممكن استخدام dnsmasq لرفض الإعلان على الويب باستخدام قائمة خوادم البانر المعروفة ، جميعها تصل إلى 127.0.0.1 أو 0.0.0.0 في / etc / hosts أو في ملف hosts إضافي. يمكن للقائمة كن طويلا جدا. تم اختبار Dnsmasq بنجاح بملايين الأسماء. يحتاج حجم الملف هذا إلى وحدة معالجة مركزية 1 جيجا هرتز وتقريبي60 ميجا رام.
  • Dnsmasq قادر على دعم DNS و DHCP على الأقل ألف (1,000،XNUMX) الزبائن.

لنقم بتثبيت وتهيئة Jessie و Dnsmasq

سنبدأ من تثبيت جديد ونظيف للخادم على أساس Debian 8 "Jessie". بمعنى ، نظام التشغيل بدون أي واجهة رسومية أو تثبيت حزمة أخرى. ستكون معلمات الشبكة هي نفسها المستخدمة في المقالة BIND و Active Directory®:

اسم المجال mordor.fan LAN Network 10.10.10.0/24 ===================================== ============================================ غرض عنوان IP للخوادم (الخوادم التي تعمل بنظام التشغيل Windows) ================================================= ================================
sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2
مامبا موردور مروحة. 10.10.10.4 خادم ملفات Windows
dns.mordor.fan 10.10.10.5 خادم DnsMasq على جيسي
darklord.mordor.fan. 10.10.10.6 الوكيل والبوابة وجدار الحماية على Kerios troll.mordor.fan. 10.10.10.7 مدونة تعتمد على ... لا يمكنني تذكر shadowftp.mordor.fan. 10.10.10.8 خادم FTP blackelf.mordor.fan. 10.10.10.9 خدمة البريد الإلكتروني الكاملة blackspider.mordor.fan. 10.10.10.10 خدمة WWW palantir.mordor.fan. 10.10.10.11 الدردشة على Openfire لنظام التشغيل Windows Real CNAME =============================== Sauron ad-dc mamba fileserver darklord proxyweb blog troll blog shadowftp ftpserver بريد بلاكيلف بلاك سبايدر www palantir openfire

الإعدادات الأولية لخادم dns.mordor.fan

root @ dns: ~ # nano / etc / hostname
DNS

root @ dns: ~ # nano / etc / hosts
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # الأسطر التالية مرغوبة للمضيفين القادرون على IPv6

root @ dns: ~ # nano / etc / network / interfaces
# يصف هذا الملف واجهات الشبكة المتوفرة على نظامك # وكيفية تفعيلها. لمزيد من المعلومات ، راجع الواجهات (5). source /etc/network/interfaces.d/* # واجهة شبكة الاسترجاع auto lo iface lo inet loopback # واجهة الشبكة الأولية تسمح hotplug eth0 iface eth0 inet عنوان ثابت 10.10.10.5 netmask 255.255.255.0 شبكة 10.10.10.0 بث 10.10.10.255. بوابة 10.10.10.1 127.0.0.1 # dns- * يتم تنفيذ خيارات بواسطة حزمة resolvconf ، إذا كانت خوادم أسماء DNS المثبتة XNUMX dns-search mordor.fan

لنقم بتثبيت Dnsmasq و htop

الجذر @ DNS: ~ # aptitude تثبيت dnsmasq htop

بعد تثبيت الحزمة HTOP يمكننا التحقق من استهلاك وحدة المعالجة المركزية والذاكرة للجهاز. كان يستهلك فقط حوالي 71 ميغا بايت من ذاكرة الوصول العشوائي. إذا أردنا خفض الاستهلاك أكثر ، فيمكننا تثبيت الحزمة SSMTP -بسيط MTA- والذي بدوره يطهر العبوة Exim4 يقوم Debian دائمًا بتثبيته افتراضيًا وأننا لسنا بحاجة إليه وفقًا للاستخدام الذي سنمنحه لهذا الخادم:

الجذر @ DNS: ~ # aptitude قم بتثبيت ssmtp
الجذر @ DNS: ~ # تطهير الكفاءة ~ ج
@ الجذر DNS: ~ # الكفاءة نظيفة
الجذر @ DNS: ~ # aptitude autoclean
الجذر @ DNS: ~ # إعادة تمهيد النظام

بعد إعادة تشغيل الحاسب يكون الاستهلاك كالتالي: Dnsmasq و Active Directory

 

منخفض ، أليس كذلك؟ هيا لنذهب.

دعنا نشير إلى أن Dnsmasq يستشير أيضًا Microsft® DNS

لاختبار تكوينات Dnsmasq المحتملة على جهاز الكمبيوتر الخاص بك dns.mordor.fan، يجب علينا تضمين بيان يشير إلى أنه تمت استشارة Microsoft DNS الخاص بالخادم sauron.mordor.fan. يمكننا القيام بذلك بما في ذلك التوجيه الخادم = / mordor.fan / 10.10.10.3 في الأرشيف dnsmasq.conf -كما سنرى لاحقًا- أو إضافة السطر 10.10.10.3 خادم الأسماء في الأرشيف / الخ / resolv.conf. نظرًا لأننا لم نقم بتكوين Dnsmasq وفقًا لاحتياجاتنا ، فقد اخترنا الطريقة الثانية:

الجذر @ DNS: ~ # nano /etc/resolv.conf
مجال mordor.fan
127.0.0.1 خادم الأسماء
10.10.10.3 خادم الأسماء

يمكننا الآن حل استفسارات DNS

مع التكوين الافتراضي لـ Dnsmasq الذي يوفره ملفه الرئيسي /etc/dnasmq.confومع ما أعلن في الملف / الخ / resolv.conf من الخادم نفسه «DNS«، أي عميل متصل بالشبكة المحلية - والذي أعلن كخادم DNS dns.mordor.fan- يمكنك حل استعلامات DNS على حساب Microsoft® DNS الى الان…

  • من المهم جدًا التحقق من سرعة استجابة Dnsmasq عند عرض حالتها على أنها وكيل شحن بمجرد إدراج IP 10.10.10.3 في ملفك / الخ / resolv.conf.

من محطة العمل الإدارية الخاصة بي ودعم جميع الأدوات التي أكتب من خلالها ، أدير:

buzz @ sysadmin: ~ cat $ /etc/resolv.conf 
# تم إنشاؤه بواسطة خادم أسماء المجال mordor.fan NetworkManager 10.10.10.5

buzz @ sysadmin: ~ $ nslookup
> DNS
الخادم: 10.10.10.5 العنوان: 10.10.10.5 # 53 الاسم: dns.mordor.fan العنوان: 10.10.10.5

> سورون
الخادم: 10.10.10.5 العنوان: 10.10.10.5 # 53

الجواب غير موثوقة:
الاسم: sauron.mordor.fan العنوان: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
الخادم: 10.10.10.5 العنوان: 10.10.10.5 # 53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan الاسم المتعارف عليه = sauron.mordor.fan. الاسم: sauron.mordor.fan العنوان: 10.10.10.3

> 10.10.10.3
الخادم: 127.0.0.1 العنوان: 127.0.0.1 # 53 3.10.10.10.in-addr.arpa name = sauron.mordor.fan.

> 10.10.10.9
الخادم: 127.0.0.1 العنوان: 127.0.0.1 # 53 9.10.10.10.in-addr.arpa name = blackelf.mordor.fan.

> 10.10.10.5
الخادم: 127.0.0.1 العنوان: 127.0.0.1 # 53 5.10.10.10.in-addr.arpa name = dns.mordor.fan.

> بريد
الخادم: 10.10.10.5 العنوان: 10.10.10.5 # 53 إجابة غير موثوقة: mail.mordor.fan الاسم المتعارف عليه = blackelf.mordor.fan. الاسم: blackelf.mordor.fan العنوان: 10.10.10.9> exit

buzz @ sysadmin: ~ $

دعنا نلقي نظرة فاحصة على الجوانب التالية:

  • dns.mordor.fan يجيب مباشرة على استفسارات DNS التي يمكنه حلها وفقًا لإعدادات Dnsmasq الحالية. إذا لم تتمكن من حلها ، فستعمل مثل وكيل شحن ويسأل IP 10.10.10.3 إذا كان يمكنه الإجابة على الاستعلام. عندما سئل عن IP الخاص بالمعدات «DNS«يجيب مباشرة. عندما يُسأل الدنسماسك من هو «سورون"،؟، يصنع إعادة توجيه إلى 10.10.10.3 -لا يمكنك الإجابة مباشرة لأنك لم تسجلها بعد- من يقوم بإرجاع إجابة غير سلطوية صحيحة.
  • عندما سئل من هو «03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan"؟، يصنع إعادة توجيه مرة أخرى وهذه المرة تتلقى ردًا موثوقًا من Microsoft® DNS.
  • سرعة استجابة Dnsmasq العالية لأي نوع من الاستعلام.

إنها تفاصيل صغيرة تجعل الحب رائعًا ؛-).

الاختلافات الأساسية بين Dnsmasq و BIND متكامل مع Active Directory®

لنقم بتشغيل استعلامين من DNS على السجلات الخدمية y NS المجال موردور، لكل من خوادم الأسماء المعنية:

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.3
باستخدام خادم المجال: الاسم: 10.10.10.3 العنوان: 10.10.10.3 # 53 الأسماء المستعارة: 
mordor.fan لديه سجل SOA sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.5
باستخدام خادم المجال: الاسم: 10.10.10.5 العنوان: 10.10.10.5 # 53 الأسماء المستعارة: 
mordor.fan لديه سجل SOA sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.5
باستخدام خادم المجال: الاسم: 10.10.10.5 العنوان: 10.10.10.5 # 53 الأسماء المستعارة: 
خادم اسم mordor.fan sauron.mordor.fan.

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.3
باستخدام خادم المجال: الاسم: 10.10.10.3 العنوان: 10.10.10.3 # 53 الأسماء المستعارة: 
خادم اسم mordor.fan sauron.mordor.fan.

الإجابات متطابقة - وهو أمر منطقي - لأن دائما أجيب sauron.mordor.fan. قبل استعلام DNS عن السجلات الخدمية o NS، على الرغم من أن تبدو وكأنها ماذا يجيب dns.mordor.fan. ومع ذلك ، فهو يختلف عما هو مذكور في المقال BIND و Active Directory® حيث قمنا بإزالة وظيفة Microsoft® DNS تمامًا. في هذه المقالة ، جميع استفسارات DNS حول Domino Namespace موردور أجابهم BIND ، لأننا قمنا بتكوينها بهذه الطريقة ، ولأن BIND يجيب على الاستفسارات الخدمية y NS بالإضافة إلى السماح بالمخطط سيد - عبد، ونقل المنطقة ، وما إلى ذلك ، وبالتالي فهو خادم DNS أكثر اكتمالاً - معقدًا.

ربما هذه هي الاختلافات الرئيسية بين DNS الخاص بـ Dnsmasq و BIND ... لكن BIND - يمكن أن يكون هناك دائمًا واحد أو أكثر ولكن - لا يحتوي على خادم DHCP الذي يتكامل بسلاسة مع خادم DNS في ملف واحد ديموند، وبدون الحاجة إلى مفاتيح TSIG وملفات التكوين وقواعد بيانات المنطقة وما إلى ذلك ، كما رأينا في المقالات السابقة.

  • أعتقد الآن ، أن القراء الأعزاء قد أدركوا أنني لا أكره BIND أو أفضل Dnsmasq على BIND. المناقشات المستقبلية حوله مضيعة للوقت ، حيث أن له علاقة كبيرة بالاحتياجات والمطالب والأذواق والتفضيلات و .... كل حل له سحره ؛-).
  • في سيناريوهات مماثلة ، اسمح للجميع بتثبيت وتهيئة البرامج التي يختارونها والتي يعرفون المزيد عنها وأن كل شيء يعمل كما هو متوقع.

مزايا تركيبة Dnsmasq + Active Directory®

من خلال هذا المزيج ، لدينا مجموعة كاملة من الردود على استفسارات DNS ووسيلة فعالة لتأجير عناوين IP لشبكة SME LAN الخاصة بنا. كما سنرى لاحقًا ، يعمل بشكل صحيح مع أي موقف يتعلق بما إذا كان الكمبيوتر مرتبطًا بوحدة تحكم المجال Microsoft® Active Directory® أم لا. بالإضافة إلى ذلك ، لدينا خادم DNS و DNS وكيل شحن بامتياز ، بالإضافة إلى خادم DHCP سريع جدًا. وكل ذلك بقليل من الطلب على الموارد. هل تريد المزيد؟

هل من الممكن Dnsmasq + BIND؟

قطعا نعم. على الرغم من أنني أوصي بتثبيتها على أجهزة كمبيوتر مختلفة بحيث لا توجد تصادمات بسبب المنفذ المحبوب 53 لخدمة DNS. ربما سنرى شيئًا عن ذلك عندما نصل إلى AD-DC في Samba 4. من يدري؟

نصائح حول Dnamasq

  • ملفات العمل الأساسية لـ Dnsmasq لتوفير خدمات DHCP و DNS على شبكة LAN هي: /etc/dnsmasq.conf, / الخ / المضيفين, /var/lib/misc/dnsmasq.leases، و / الخ / resolv.conf. الملف إيجارات dnsmasq يتم إنشاؤه عند تأجير عنوان IP الأول الخاص بك.
  • ملف عمل آخر يمكنك استخدامه هو / etc / ethers. في حالة وجود مثل هذا الملف ، التوجيه قراءة إيثر أعلن في ملف التكوين ، ويخبر Dnsmasq لقراءته. إنه مفيد للغاية عندما يتعلق الأمر عناوين MAC / أسماء المضيف لأغراض معينة.
  • يمكن تعطيل خدمة DNS تمامًا باستخدام التوجيه المنفذ = 0 في dnsmasq.conf.
  • يمكن تعطيل خدمة DHCP لواحدة أو أكثر من واجهات الشبكة عن طريق التوجيهات - واحدة لكل سطر - no-dhcp-interface = eth0 ، no-dhcp-interface = eth1، وهلم جرا. مفيد جدًا عندما نكون أمام فريق به واجهات شبكة 2 أو أكثر ونريد أن يتم توفير خدمة DHCP من قبل واحد منهم فقط أو لا شيء. بالطبع ، إذا قمنا بتعطيل خدمة DHCP لجميع الواجهات ، فسنترك خدمة DNS قيد التشغيل فقط. إذا قمنا بتعطيل كلتا الخدمتين ، فلماذا نحتاج إلى Dnsmasq؟ 😉
  • أن تعلن لخوادم أسماء مجال DNS الأخرى ذلك لا عامة أو خارجية لشبكة LAN - كما في حالة Microsoft DNS - نقوم بذلك من خلال التوجيه الخادم = / اسم المجال / IP لخادم DNS في الأرشيف /etc/dnsmasq.conf. مثال: الخادم = / mordor.fan / 10.10.10.3.
  • لإخبار Dnsmasq بأن الاستفسارات حول المجالات المحلية يتم الرد عليها فقط من الملف / الخ / المضيفين أو من خلال DHCP الخاص بك ، يجب أن نضيف التوجيه local = / localnet / في الملف الرئيسي لتكوينك. مثال: local = / mordor.fan /.
  • لتكوين الملف بشكل صحيح / الخ / resolv.conf - محلل نقترح قراءة دليلها باستخدام الأمر رجل يقرر الحكم. إذا قمت بتثبيت Debian 8.6 "Jessie" فستجد أنه مكتوب جيدًا باللغة الإسبانية.
  • لا يستخدم Dnsmasq ملفات المناطق للإجابة على الاستفسارات المباشرة أو العكسية.
  • لمعرفة معنى كل مجال «خاص»يستخدم في التصريح بسجل مورد SRV ، يجب عليك الرجوع إليه BIND و Active Directory®. بناء جملة سجلات SRV في الملف /etc/dnsmasq.conf كالتالي:
    srv- مضيف = و و و و

القراء الذين يريدون معرفة المزيد ، يرجى قراءة الملف الأصلي بعناية /etc/dnsmasq.conf أو المستندات الموجودة في الدليل / usr / share / doc / dnsmasq-base.

root @ dns: ~ # ls -l / usr / share / doc / dnsmasq-base /
إجمالي 128 -rw-r - r - 1 جذر جذر 883 5 مايو 2015 حقوق الطبع والنشر -rw-r - r - 1 جذر 36261 5 مايو 2015 changelog.archive.gz -rw-r - r-- 1 root root 11297 May 5 2015 changelog.Debian.gz -rw-r - r - 1 root root 26014 May 5 2015 changelog.gz -rw-r - r - 1 root root 2084 May 5 2015 DBus-interface. gz -rw-r - r-- 1 root root 4297 May 5 2015 doc.html drwxr-xr-x 2 root root 4096 Feb 19 17:52 أمثلة -rw-r - r-- 1 root root 9721 May 5 2015 FAQ.gz -rw-r - r - 1 root root 4180 May 5 2015 README.Debian -rw-r - r - 1 root root 12019 May 5 2015 setup.html

لنقم بتكوين Dnsmasq و Resolver

سنأخذ كدليل أولي - تغيير الأسماء وغيرها بالطبع - ملف التكوين المستخدم في المقال «Dnsmasq على CentOS 7.3".

دعونا لا ننسى الخطوة التالية:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

عناوين IP الثابتة

عناوين الخوادم أو المعدات التي تتطلب IP ثابتًا على حد سواء IPv4 كما IPv6- معلنة في الملف / الخ / المضيفين:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost # الأسطر التالية مرغوبة للمضيفين القادرون على IPv6: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters # الخوادم وأجهزة الكمبيوتر ذات عناوين IP الثابتة. 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

لنقم بإنشاء ملف /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # خيارات عامة # ----------------------------- -------------------------------------- domain-needed # لا تقم بتمرير الأسماء بدون جزء المجال bogus-priv # لا تمرر العناوين في مضيفات التوسيع غير الموجهة # أضف المجال تلقائيًا إلى واجهة المضيف = eth0 # Interface.  احذر من الواجهة # except-interface = eth1 # لا تستمع إلى هذا الأمر الصارم لـ NIC هذا الأمر الذي تستشير فيه الملف /etc/resolv.conf # تضمين العديد من خيارات التكوين # من خلال ملف أو عن طريق تحديد ملف التكوين # إضافي في الدليل # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # المتعلق بنطاق اسم المجال = mordor.fan # اسم المجال # خادم الوقت هو 10.10.10.1. عنوان 10.10.10.1 = / time.windows.com / XNUMX # يرسل خيارًا فارغًا لقيمة WPAD.  مطلوب لعملاء # Windos 7 وما بعده لكي يتصرفوا بشكل صحيح.  ؛-) dhcp-option = 252، "\ n" # ملف حيث سنعلن عن HOSTS الذي سيتم "حظره" addn-hosts = / etc / banner_add_hosts # استشر خادم Microsoft® DNS "sauron" إذا سمحنا بتشغيله server = / mordor.fan / 10.10.10.3 # سيتم الرد على الاستفسارات حول المجالات المحلية # من / etc / hosts أو من خلال DHCP المحلي = / mordor.fan / # سيتم الرد على الاستفسارات حول PTR أو عكس السجلات # بواسطة الخوادم "dns" و "sauron" بهذا الترتيب الخادم = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3 # ------- -------------------------------------------------- ---------- # REGISTROSCNAMEMXTXT # ------------------------------------- ------------------------------ # يتطلب هذا النوع من التسجيل إدخال # في ملف / etc / hosts # على سبيل المثال: 10.10.0.7 troll.mordor.fan troll # cname = ALIAS ، REAL_NAME cname = ad-dc.mordor.fan ، sauron.mordor.fan cname = fileserver.mordor.fan ، mamba.mordor.fan cname = proxyweb.mordor.fan ، darklord.mordor.fan cname = blog.mordor .fan ، troll.mordor.fan cname = ftpserver.mordor.fan ، shadowftp.mordor.fan cname = mail.mordor.fan ، blackelf.mordor.fan cname = www.mordor.fan ، blackspider.mordor.fan cname = opendire .mordor.fan، palantir.mordor.fan # MX RECORDS # يعيد سجل MX بالاسم "mordor.fan" المخصص # لفريق blackelf.mordor.fan وأولوية 10 mx-host = mordor.fan ، mail. mordor.fan، 10 # الوجهة الافتراضية لسجلات MX التي تم إنشاؤها # باستخدام خيار localmx ستكون: mx-target = mail.mordor.fan # إرجاع سجل MX يشير إلى الهدف mx لجميع أجهزة localmx المحلية # # سجلات TXT. 

dhcp-lease-max = 222 # الحد الأقصى لعدد العناوين المراد تأجيرها
                        # افتراضيًا هو 150
# IPV6 Range # dhcp-range = 1234 ::، ra-only # Options لـ RANGE # OPTIONS dhcp-option = 1,255.255.255.0،3,10.10.10.253 # NETMASK dhcp-option = 6,10.10.10.5،15 # ROUTER GATEWAY dhcp-option = 19,1،28,10.10.10.255 .42,10.10.10.1 # خوادم DNS dhcp-option = 40، mordor.fan # DNS Domain Name dhcp-option = 41,10.10.10.3،44,10.10.10.3 # option ip-forwarding ON dhcp-option = 45,10.10.10.3،73,10.10.10.3 # BROADCAST dhcp-option = 46,8،XNUMX. XNUMX # NTP # dhcp-option = XNUMX، MORDOR # NIS Domain Name # dhcp-option = XNUMX،XNUMX # NIS Server # dhcp-option = XNUMX،XNUMX # WINS # dhcp-option = XNUMX،XNUMX # مخططات بيانات NetBIOS # dhcp-option = XNUMX،XNUMX # Finger Server # dhcp-option = XNUMX،XNUMX # NetBIOS node dhcp-authoritative # DHCP الموثوق في الشبكة الفرعية # ------------- -------------------------------------------------- ---- # --------------------------------------------- ---------------------- # LOGGING tail -f / var / log / syslog أو journalctl -f # ------------ -------------------------------------------------- ----- استعلامات السجل # ----------------------------------------- -------------------------- # إعادة سجلات A و SRV المقابلة لـ Active Directory # ----------------------------------------- --------------------------
# السجلات أ
العنوان = / gc._msdcs.mordor.fan / 10.10.10.3 address = / DomainDnsZones.mordor.fan / 10.10.10.3 address = / ForestDnsZones.mordor.fan / 10.10.10.3

# سجل CNAME لمنطقة DNS لـ Microsoft _msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# سجلات SRV
# srv- مضيف = و و و و

# كتالوج عالمي # منطقة Microsoft DNS _msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan، sauron.mordor.fan، 3268,0,0،3268,0,0،XNUMX srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan، sauron.mordor.fan، XNUMX،XNUMX،XNUMX
# منطقة mordor.fan لـ Microsoft DNS
srv-host = _gc._tcp.mordor.fan، sauron.mordor.fan، 3268,0,0،3268,0,0،XNUMX srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan، sauron.mordor.fan .XNUMX

# LDAP الخاص المعدل والدليل النشط
# منطقة Microsoft DNS _msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# منطقة Microsoft DNS mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# KERBEROS معدل وخاص من Active Directory
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

# نهاية ملف /etc/dnsmasq.conf
# ------------------------------------------------- ------------------

لنقم بإنشاء ملف / etc / banner_add_host

[root @ dns ~] # nano / etc /banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ DNS ~] # اختبار dnsmasq
dnsmasq: فحص بناء الجملة موافق.

[root @ dns ~] # إعادة تشغيل systemctl dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service

دعنا نعدل الملف /etc/resolv.conf - Resolver

الجذر @ DNS: ~ # nano /etc/resolv.conf 
المجال mordor.fan البحث mordor.fan

لماذا لا يتم التصريح عن الأسطر المعتادة في الملف resolv.conf؟ لأننا نعلن في dnsmasq.conf التوجيهات التالية:

# استشر خادم Microsoft® DNS "sauron" إذا سمحنا له بالعمل
الخادم = / mordor.fan / 10.10.10.3

# سيتم الرد على الاستفسارات حول المجالات المحلية # من / etc / hosts أو عبر DHCP
local = / mordor.fan /

# الاستفسارات حول PTR أو عكس السجلات سيتم الرد عليها # بواسطة خوادم "dns" و "sauron" بهذا الترتيب
الخادم = / 10.10.10.in-addr.arpa / 10.10.10.5 الخادم = / 10.10.10.in-addr.arpa / 10.10.10.3

استعلامات من sysadmin.mordor.fan

الملف / الخ / resolv.conf من هذا الفريق:

buzz @ sysadmin: ~ cat $ /etc/resolv.conf
# تم إنشاؤه بواسطة خادم أسماء mordor.fan للبحث في NetworkManager 10.10.10.5
buzz @ sysadmin: ~ $ host -t إلى spynet4.microsoft.com
يحتوي spynet4.microsoft.com على عنوان 127.0.0.1

buzz @ sysadmin: ~ $ host -t إلى www.download.windowsupdate.com
www.download.windowsupdate.com له عنوان 127.0.0.1

شرب حتى الثمالةsysadmin: ~ $ dig dns
buzz @ sysadmin: ~ $ dig dns.mordor.fan
؛؛ قسم السؤال: ؛ dns.mordor.fan. في ؛؛ قسم الإجابة: dns.mordor.fan. 0 في A 10.10.10.5

buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs
buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fan لديه سجل SRV 0 0 3268 sauron.mordor.fan.

buzz @ sysadmin: ~ $ dig _ldap._tcp.gc._msdcs.mordor.fan
؛؛ قسم السؤال :؛ _ldap._tcp.gc._msdcs.mordor.fan. في ؛؛ قسم الإجابة: _ldap._tcp.gc._msdcs.mordor.fan. 0 في A 10.10.10.3

buzz @ sysadmin: ~ $ dig mordor.fan axfr
buzz @ sysadmin: ~ Dig 10.10.10.in-addr.arpa axfr

وبهذه الطريقة ، كم عدد الاستشارات التي نحتاجها

عملاء Dnsmasq + Active Directory® + Microsoft® Windows

إعادة تسمية Microsoft® Windows Client

سبعة.موردور عنوان IP المؤجر:

الجذر @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

دعنا نعيد تسمية «سبعة»-التي لم تنضم إلى مجال Active Directory- بواسطة«الأوكالبتوس«. بعد التغيير وإعادة التشغيل نتحقق من:

الجذر @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

يمكن رؤية تاريخ التغييرات من "مسؤول النظام":

buzz @ sysadmin: ~ $ host -t A سبعة
Seven.mordor.fan لديه عنوان 10.10.10.115

بعد تغيير الاسم

buzz @ sysadmin: ~ $ host -t A سبعة
سبعة ليس لديه سجل A.

buzz @ sysadmin: ~ $ host -t A eucaliptus
eucaliptus.mordor.fan لديه عنوان 10.10.10.115

استفسارات من العميل eucaliptus.mordor.fan

مايكروسوفت ويندوز [النسخة 6.1.7601]
حقوق النشر (c) 2009 شركة مايكروسوفت. كل الحقوق محفوظة.

C: \ Users \ buzz> n البحث
الخادم الافتراضي: dns.mordor.fan العنوان: 10.10.10.5

> سورون
الخادم: dns.mordor.fan العنوان: 10.10.10.5 الاسم: sauron.mordor.fan العنوان: 10.10.10.3

> mordor.fan
الخادم: dns.mordor.fan العنوان: 10.10.10.5 الاسم: mordor.fan العنوان: 10.10.10.3

> الأوكالبتوس
الخادم: dns.mordor.fan العنوان: 10.10.10.5 الاسم: eucaliptus.mordor.fan العنوان: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
الخادم: dns.mordor.fan العنوان: 10.10.10.5 الاسم: sauron.mordor.fan العنوان: 10.10.10.3 الأسماء المستعارة: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> تعيين نوع = SRV
> _kerberos._udp.mordor.fan
الخادم: dns.mordor.fan العنوان: 10.10.10.5 _kerberos._udp.mordor.fan موقع خدمة SRV: الأولوية = 0 وزن = 0 منفذ = 88 svr hostname = sauron.mordor.fan sauron.mordor.fan عنوان الإنترنت = 10.10.10.3. XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
الخادم: dns.mordor.fan العنوان: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan موقع خدمة SRV: الأولوية = 0 الوزن = 0 منفذ = 389 اسم مضيف svr = sauron .mordor.fan sauron.mordor.fan عنوان الإنترنت = 10.10.10.3

> خروج

ج: \ Users \ buzz>

تسجيل عملاء Windows في Microsoft® DNS

لم يتم انضمام عملاء Windows إلى مجال Active Directory®

يجب علينا التحقق مما إذا كانت عناوين IP المؤجرة من قبل عملاء Windows المختلفين من Dnsmasq مسجلة بشكل صحيح في Microsoft® DNS. يمكن أن تؤثر طريقة تشغيل التحديثات الديناميكية - تحديثات ديناميكية في مناطق Microsoft® DNS الخاصة بـ Active Directory®. نبدأ من التكوين الافتراضي لـ Microsoft DNS والذي يسمح فقط بالتحديثات الديناميكية الآمنة - التحديثات الديناميكية -> تأمين فقطفي كل منطقة من مناطقها.

لاحظ أن العميل مع الحالي FQDN eucaliptus.mordor.fan لا مرتبط بنطاق Active Directory (أو Samba4 AD-DC) ، وهو استثناء لقاعدة Microsoft التي "سيحصل العملاء المسجلون في My Domain فقط على إذن من خلال آلية التحديث الخاصة بي - التي أعرفها فقط - للتسجيل في My DNS«. لحسن الحظ ، تعلمنا Samba4 AD-DC شيئًا عنها.

يوكاليبتوس IP المؤجر 10.10.10.115:

buzz @ sysadmin: ~ $ host -t A eucaliptus
eucaliptus.mordor.fan لديه عنوان 10.10.10.115

دعنا نغير اسمه إلى «caoba«، دعنا نعيد تشغيل Windows 7 ، ونرى ما يحدث عندما نسأل عن الأسماء«الأوكالبتوس»Y«caoba»لكل من DNS ، أولاً لـ Microsoft DNS ثم إلى Dnsmasq:

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.3
باستخدام خادم المجال: الاسم: 10.10.10.3 العنوان: 10.10.10.3 # 53 الأسماء المستعارة: 

لم يتم العثور على المضيف eucaliptus.mordor.fan: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
باستخدام خادم المجال: الاسم: 10.10.10.3 العنوان: 10.10.10.3 # 53 الأسماء المستعارة: 

لم يتم العثور على المضيف mahogany.mordor.fan: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.5
باستخدام خادم المجال: الاسم: 10.10.10.5 العنوان: 10.10.10.5 # 53 الأسماء المستعارة: 

لم يتم العثور على المضيف eucaliptus.mordor.fan: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.5
باستخدام خادم المجال: الاسم: 10.10.10.5 العنوان: 10.10.10.5 # 53 الأسماء المستعارة: 

mahogany.mordor.fan لديه عنوان 10.10.10.115

يمكننا تغيير اسم عميل Windows 7 لا متصل بالمجال موردور من Active Directory® عدة مرات كما نريد ، أن Microsoft® DNS لم يكتشف هذه التغييرات أو أن مثل هذا العميل موجود. هل من الممكن أن يكون هذا فقط لأننا حددنا الخيار  التحديثات الديناميكية -> تأمين فقط في كل منطقة من Micorosft DNS؟

لكي يعرف Mr. Microsoft® DNS التغييرات ، يجب علينا الاختيار تحديثات ديناميكية -> غير آمنة وآمنة. يشير هذا الخيار ، أيها القراء الأعزاء ، إلى وجود ثغرة أمنية كبيرة في أمان أي خادم اسم مجال يتم احترامه ، سواء كان Microsft® أو UNIX® / Linux. يحذر Microsoft® DNS من الثغرة الأمنية لأنه في النهاية ليس أكثر من BIND معدل ومخصخص ليقدمه لنا «الأمن للظلام«. إذا لم يكن الأمر كذلك ، فلماذا تنصح بالتوفير على حسابك الشهير تسجيل جميع إعدادات DNS وسجلات Microsoft® DNS الخاصة بك عندما نقوم بتنفيذ Active Directory®؟ بالإضافة إلى دعم التحديثات غير الآمنة لـ Microsoft® DNS ، فإن التعديل التالي مطلوب في تكوين بطاقة شبكة عميل Windows 7:

 

دعونا تحقق:

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
باستخدام خادم المجال: الاسم: 10.10.10.3 العنوان: 10.10.10.3 # 53 الأسماء المستعارة: mahogany.mordor.fan له عنوان 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.3
باستخدام خادم المجال: الاسم: 10.10.10.3 العنوان: 10.10.10.3 # 53 الأسماء المستعارة: 115.10.10.10.in-addr.arpa مؤشر اسم المجال mahogany.mordor.fan.

buzz @ sysadmin: ~ $ host -t A Mahogany 10.10.10.5
باستخدام خادم المجال: الاسم: 10.10.10.5 العنوان: 10.10.10.5 # 53 الأسماء المستعارة: mahogany.mordor.fan له عنوان 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.5
باستخدام خادم المجال: الاسم: 10.10.10.5 العنوان: 10.10.10.5 # 53 الأسماء المستعارة: 115.10.10.10.in-addr.arpa مؤشر اسم المجال mahogany.mordor.fan.

نعم الآن. يا لها من مزامنة لطيفة لاثنين من خوادم DNS غير متزامنتين بأي وسيلة!

عملاء Windows المنضمين إلى مجال Active Directory®

دعونا نوحد العميل الماهوجني إلى المجال ، ولكن ليس قبل إلغاء التعديل الذي أجريناه في تكوين بطاقة الشبكة الخاصة بك ، إذا فعلنا ذلك في مرحلة ما للتحقق من نقطة الفصل السابق. احذف أيضًا إدخال «caoba»في مايكروسوفت® DNS ، ودعنا نعيد التحديثات الديناميكية إلى نقطة نشأتها «آمن فقط«. بالمناسبة ، من الصحيح إعادة تشغيل خدمة Microsoft® DNS.

بعد انضمامه إلى الدومين ، ورغم كل جهودنا ، فإن العميل «caoba»غير مسجل في Microsoft® DNS. حتى أننا أعلنا في dnsmasq.conf -مؤقت- أن خادم DNS الأول هو 10.10.10.3.

مايكروسوفت ويندوز [النسخة 6.1.7601]
حقوق النشر (c) 2009 شركة مايكروسوفت. كل الحقوق محفوظة.

ج: \ Users \ saruman> ipconfig / الكل

اسم مضيف تكوين IP لـ Windows. . . . . . . . . . . . : لاحقة MAHOGANY Primary Dns. . . . . . . : mordor.fan نوع العقدة. . . . . . . . . . . . : تم تمكين توجيه IP الهجين. . . . . . . . : لا يوجد وكيل WINS ممكّن. . . . . . . . : لا توجد قائمة بحث لاحقة DNS. . . . . . : mordor.fan محول إيثرنت محلي اتصال المنطقة: لاحقة DNS الخاصة بالاتصال. : mordor.fan الوصف. . . . . . . . . . . : العنوان الفعلي لاتصال شبكة Intel (R) PRO / 1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 تمكين DHCP. . . . . . . . . . . : نعم تم تمكين التكوين التلقائي. . . . : نعم عنوان IPv6 للارتباط المحلي. . . . . : fe80 :: 352a: b954: 7eba: 963e٪ 12 (مفضل) عنوان IPv4. . . . . . . . . . . : 10.10.10.115 (مفضل) قناع الشبكة الفرعية. . . . . . . . . . . : 255.255.255.0 الحصول على عقد الإيجار. . . . . . . . . . : السبت 25 فبراير 2017 8:19:05 ص انتهاء الإيجار. . . . . . . . . . : السبت ، 25 فبراير 2017 4:20:36 مساءً البوابة الافتراضية. . . . . . . . . : 10.10.10.253 خادم DHCP. . . . . . . . . . . : 10.10.10.5 DHCPv6 IAID. . . . . . . . . . . : 251661353 عميل DHCPv6 DUID. . . . . . . . : 00-01-00-01-20-3B-69-81-00-0C-29-D6-14-36

   خوادم نظام أسماء النطاقات. . . . . . . . . . . : 10.10.10.3
                                       10.10.10.5
   NetBIOS عبر Tcpip. . . . . . . . : محول النفق الممكّن isatap.mordor.fan: حالة الوسائط. . . . . . . . . . . : الوسائط غير متصلة لاحقة DNS الخاصة بالاتصال. : mordor.fan الوصف. . . . . . . . . . . : العنوان الفعلي لمحول Microsoft ISATAP. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP ممكّن. . . . . . . . . . . : لم يتم تمكين التكوين التلقائي. . . . : نعم محول النفق اتصال محلي * 9: حالة الوسائط. . . . . . . . . . . : الوسائط غير متصلة لاحقة DNS الخاصة بالاتصال. : وصف. . . . . . . . . . . : العنوان الفعلي لمحول Microsoft Teredo Tunneling. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP ممكّن. . . . . . . . . . . : لم يتم تمكين التكوين التلقائي. . . . : و هو

ج: \ المستخدمون \ سارومان>

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
باستخدام خادم المجال: الاسم: 10.10.10.3 العنوان: 10.10.10.3 # 53 الأسماء المستعارة: المضيف caoba.mordor.fan غير موجود: 3 (NXDOMAIN)

شرب حتى الثمالةsysadmin: ~ $ host -t إلى mahogany.mordor.fan
mahogany.mordor.fan لديه عنوان 10.10.10.115
  • الطريقة الوحيدة لتسجيل العميل «caoba»في Microsft® يقوم DNS بتعديل بطاقة الشبكة الخاصة بك كما هو موضحó في الصورة السابقة، أي ، ينص صراحة على أن: لاحقة DNS للاتصال هي mordor.fan ، وأنها تسجل عنوان الاتصال في DNS ، وأنها تستخدم لاحقة DNS المعلنة عند تسجيل الاتصال.
buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
باستخدام خادم المجال: الاسم: 10.10.10.3 العنوان: 10.10.10.3 # 53 الأسماء المستعارة: mahogany.mordor.fan له عنوان 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan
mahogany.mordor.fan لديه عنوان 10.10.10.115
دعونا نغير الاسم من "الماهوجني" إلى "الأرز"
buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
باستخدام خادم المجال: الاسم: 10.10.10.3 العنوان: 10.10.10.3 # 53 الأسماء المستعارة: المضيف caoba.mordor.fan غير موجود: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t إلى cedar.mordor.fan 10.10.10.3
باستخدام خادم المجال: الاسم: 10.10.10.3 العنوان: 10.10.10.3 # 53 الأسماء المستعارة: cedro.mordor.fan له عنوان 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.5
باستخدام خادم المجال: الاسم: 10.10.10.5 العنوان: 10.10.10.5 # 53 الأسماء المستعارة: المضيف caoba.mordor.fan غير موجود: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t إلى cedar.mordor.fan 10.10.10.5
باستخدام خادم المجال: الاسم: 10.10.10.5 العنوان: 10.10.10.5 # 53 الأسماء المستعارة: cedro.mordor.fan له عنوان 10.10.10.115

وكلها طبيعية ، مثل عملاء Microsoft® و Microsoft® DNS مثل الأشياء.

لنعمل مع Microsoft® DHCP و Microsoft® DNS

أعزائي القراء ، هذا الفصل خارج سياق مدونة مخصصة للبرمجيات الحرة. انظر تعليمات Microsoft®. لا يؤمنون ؟. 😉

استنتاجات

هناك عدة طرق للعمل على Microsoft® DNS عندما نجعله يتعايش في شبكة SME مع Dnsmasq. من بينها نذكر فقط ما يلي:

  • قم بإيقاف خدمة Microsoft® DNS تمامًا على الكمبيوتر حيث يتم تشغيلها ، مشيرًا بعد ذلك إلى تعطيل بدء تشغيل الخدمة. قم بإلغاء تحديد تكوين بطاقة الشبكة لكل عميل Microsoft® خيار تسجيل عنوان الاتصال في DNS. إزالة من الملف /etc/dnsmasq.conf التوجيه الخادم = / mordor.fan / 10.10.10.3. الملاحظات:
    • حتى لو لم يتم الرد على الاستفسارات حول السجلات الخدمية y NS، ستعمل الشبكة بشكل صحيح ، بالإضافة إلى اتحاد العملاء المختلفين -Microsoft® و Linux- بمجال Active Directory®.
    • ميزة أنه في SME LAN لن يكون هناك سوى خادم اسم مجال واحد - ذكر - وسيكون Dnsmasq. ؛-). من ناحية أخرى ، يتم التخلص من احتمال عدم الاتساق بين سجلات DNS المخزنة في Microsoft® DNS وتلك المتاحة من خلال Dnsmasq.
  • اترك Microsoft® DNS قيد التشغيل للإجابة على استفسارات DNS فقط حول سجلات SOA و NS. مذكرةs:
    • قم بتعديل تكوين بطاقة الشبكة لكل عميل Windows ، وإلغاء تحديد خيار تسجيل عنوان الاتصال في DNS.
    • نحن نعتقد أن هذا الحل هو إهدار للموارد.
  • قم بتكوين الخدمات كما رأينا في جميع أنحاء المقالة ، مما يوضح حلاً أكثر ملاءمة لفلسفة Microsoft® -ليس FreeBSD / Linux- حسنًا؟

ملخص

  • اقتراح Microsoft® DNS مغلق للغاية. إنه لا يترك أي مجال للحلول الأخرى التي لا تتفق مع فلسفتها المحكمة.
  • تعلمنا الطبيعة الأم أننا موجودون في عالم متنوع. الشيء الطبيعي هو أن يكون لديك شبكة LAN مختلطة ، وتتجه نحو البرمجيات الحرة ، وتكون غنية بالحياة والتنوع.
  • يبدو أنه بالنسبة إلى Microsoft® ، فإن العملاء الذين لا ينضمون إلى فلسفته هم منبوذون ، وبالتالي يجب ألا يكلفوا أنفسهم عناء أخذهم في الاعتبار.
  • ما مدى صعوبة العمل مع البرامج الخاصة! أفضل أن أقضي القليل من العمل في إعداد البرمجيات الحرة وأن أكون حراً حقاً ، اللعنة!

"أفضل معيار للحقيقة هو الممارسة."


محتوى المقال يلتزم بمبادئنا أخلاقيات التحرير. للإبلاغ عن خطأ انقر فوق هنا.

11 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   زودياك كاربوروس قال

    مقال رائع كتبته ، فيديريكو!

  2.   جوليو ليون قال

    مقال هائل عزيزي. والملخص هو أفضل XD
    سلدوس.

  3.   اجارتو قال

    لا أعتقد أنني رأيت دليلاً أكثر اكتمالاً وتفصيلاً عن مسؤول النظام على الإنترنت (باللغة الإسبانية) ، فالعمل الذي تقوم به في شبكات الشركات الصغيرة والمتوسطة هو تأطير.

    على الرغم من أن العمل شاق وأن الوصول إلى هذا المستوى من التفاصيل يستغرق عدة ساعات ، أعتقد أنك تقوم بإنشاء نقطة مرجعية سيتم استخدامها كما أصبحت معروفة من قبل عدد كبير من مسؤولي النظام الذين لديهم المفتاح في مقالاتك معلمة للعديد من الأنشطة التي تواجهها كل يوم.

    بالنسبة إلى dnsmasq والدليل النشط ، أعتقد أنه لم تتح لي الفرصة مطلقًا للعمل مع كليهما ، ولكن في مختبري في حالة عدم وجود عميل windows ، يبدو أن كل شيء على ما يرام ، وليس بأقل من هذه الخطوة الممتازة خطوة بخطوة.

    أنقذ عبارة "ما مدى صعوبة العمل مع البرامج الخاصة!" أفضل أن أقضي القليل من العمل في تكوين البرمجيات الحرة وأن أكون مجانيًا حقًا ، اللعنة! »... دعنا نذهب إلى إنفاق القليل من العمل في تكوين تخطي البرامج المجانية بمرور الوقت ، غالبًا للتوثيق مثل عملك ومن العديد من الأشخاص الآخرين ، كيف أيضًا مع إضفاء الطابع الإنساني الدائم على البرمجيات الحرة.

    مبروك FIco ... ننتقل.

  4.   فيديريكو قال

    زودياك: كلماتك هي حافز لمواصلة الكتابة. لا تتردد ، ساعات طويلة جيدة - الأرداف ضرورية لكتابة مقال متواضع مثل هذا.

    خوليو ليون: تحياتي لك أيضًا ، عزيزي جوليو. نأمل أن تستمر معنا على طريق معرفة المزيد عن البرمجيات الحرة.

    لاغارتو: الأيام والساعات التي قضاها تستحق العناء عندما أقرأ تعليقات مثل تلك الموجودة في هذا المنشور. هم أفضل مكافأة لعملنا. لقد قمت بتمرير رابط المقال إلى سايمون كيلي نفسه وكان لطفاء بما يكفي للرد علي.

    أرغب في الاستفادة من هذه المساحة لأقول أنه في قضية DNS و DHCP نبدأ - من خلال الإستراتيجية - من المعقد إلى السهل. Dnsmasq هو حل صالح للغاية لشبكات SME ، وهو أسهل بكثير في التنفيذ من BIND + Isc-Dhcp-Server الثنائي. قد يبدو الموضوع تقنيًا بعض الشيء للعديد من القراء. مع الوقت والممارسة سوف يدركون أن هذا ليس هو الحال. من الجدير دراسة مبادئ خادم البنية التحتية ، وهو عنوان من شأنه أن يشمل المقالات الستة المكتوبة حول خدمات DNS و DHCP ، دون نسيان NTP.

    مبروك للجميع ... ننتقل!

  5.   IWO قال

    شكرًا لـ Federico على مقال رائع آخر يحتوي على تفاصيل هائلة ونظرية شاملة حول Dnsmasq ، الأداة التي نراها بالفعل مفيدة للغاية لمسؤولي النظام.

    كل ما يتعلق بإدراج منطقة DNS لـ Microsoft "_msdcs.mordor.fan" في ملف التكوين /etc/dnsmasq.conf الخاص بك من خلال سجلات SRV التي تستخدم الخدمات: _gc و _ldap و _kerberos و _kpasswd الهدف من استخدام Microsoft DNS (الأمر "server = / mordor.fan / 10.10.10.3") بالإضافة إلى Dnsmasq (الأمر "local = / mordor.fan /") لحل استعلامات DNS.

    GREAT هو أيضًا المثال الذي تم تطويره من أجل Microsoft DNS لتسجيل عملاء Windows مع تغييرات IP على الشبكة المحلية ، يجب عليك تحديد تكوين DNS ، و "التحديثات الديناميكية" على أنها "غير آمنة وآمنة" وما يعنيه ذلك في ضعف أمان أي خادم اسم مجال محترم ، سواء كان Microsoft أو UNIX / Linux. إلى جانب ضرورة التعديل في تكوين بطاقة شبكة عميل Windows.
    لا شيء يجعلك تتوقف مع كل مشاركة جديدة! تنتظر بفارغ الصبر المقالات القادمة!

    1.    فيديريكو قال

      شكرا جزيلا لتقييمك وتعليقك ، IWO. في كل مقال أنشره ، أنتظر دائمًا رأيك ، لأنه يدعمه مهنتك ومعرفتك وممارستك. مبروك IWO. سنراكم في المقال التالي

  6.   صائد قال

    عمل جيد جدًا ، مثل نشر هذه الجواهر لمسؤولي النظام دائمًا. ألف شكرا!

  7.   كريسبو 88 قال

    امنح Microsoft's DNS فرصة ، حتى أنك لم تسمح لها بالظهور. لا نعرف ما إذا كان لا يزال على قيد الحياة أو حتى إذا كان لديه أي عار. مقال ممتاز.

  8.   HO2Gi قال

    جوهرة لا مثيل لها ، محفوظة في المفضلة للتشاور. مقال ممتاز.

  9.   فيديريكو قال

    HO2Gi شكرًا لك على تقييمك. أوصيك - وبشكل عام للجميع - بالزيارة https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/. تم تحريره مرة أخرى بفهرس لجميع المنشورات المنشورة والموضوعات التي سيتم مناقشتها. تحياتي وواصل معنا.

  10.   بابلو أندريس فليمر قال

    وثيقة ممتازة مثل تلك المتوفرة في https://blog.desdelinux.net/bind-active-directory/
    أريد فقط أن أقدم توصية ، وأرجو أن أعتبرها نقدًا بناء ؛ لتوضيح التكوين ، كان من الأفضل أن تستخدم شبكة 10.10.10.0/24 بدلاً من استخدام شبكة تحتوي كل كتلة على أرقام مختلفة ، مثل شبكة 192.168.1.0/24.
    سيجعل هذا الأمر أكثر وضوحًا حيث تذهب عناوين الشبكة في الاتجاه المعاكس ، مثل عندما تضطر إلى إضافة قيم من النوع ".in-addr.arpa"
    شكرا لتقاسم الكثير من المعرفة الجيدة.
    مع أطيب التحيات.