Dnsmasq i Active Directory - MSP mreže

Opšti indeks serije: Računarske mreže za mala i srednja preduzeća: Uvod

Pozdrav prijatelji! Da biste pravilno razumjeli i slijedili ovaj članak je esencijalno čitajući svoje prethodnike:

• Dnsmasq na CentOS 7.3
• BIND i Active Directory®

Oni objašnjavaju teorijske i praktične koncepte na koje se u ovom nećemo pozivati. Promijenit ćemo distribuciju u tekućoj godini u Debian 8.6 "Jessie" i nastavit ćemo s istim parametrima koje koristimo u BIND i Active Directory®.

• Postupak opisan u ovom postu vrijedi i za CentOS 7. Konfiguracijska datoteka / etc / dnsmasq je ista. Izjavljujem ga jer smatram nepotrebnim praviti zasebni članak za Dnsmasq i Active Directory® zasnovan na CentOS-u. Srećom, direktoriji koji se odnose na dokumentaciju i konfiguraciju su isti, 😉
• Dnsmaq je kreacija Simon Kelley

Ograničenja upotrebe Dnsmasq-a

Zbog njegove važnosti ponavljamo OGRANIČENJA koji podržava Dnsmasq -run man dnsmasq- što se odražava zahtjevna sljedeći:

OGRANIČENJA

• Zadane vrijednosti za ograničenja resursa uglavnom su konzervativne i prikladne za upotrebu na uređajima tipa usmjerivača. zaglavljen sa sporim procesorima i malo memorije. U hardveru više  sposoban, moguće je povećati ograničenja i podržati još mnogo toga kupci. Sljedeće se odnosi na dnsmasq-2.37: prethodne verzije ne popeli su se tako dobro.
  

• Dnsmasq je sposoban podržati DNS i DHCP najmanje hiljadu (1,000) kupci. Vremena najma ne bi trebala biti prekratka (kraća od jednog vrijeme). Vrijednost –dns-forward-max se može povećati: započnite sa ekvivalent broja klijenata i povećajte ga ako DNS. Imajte na umu da performanse DNS-a također ovise o poslužiteljima Uzvodni DNS. Veličina DNS predmemorije može se povećati: ograničenje Potrebno je 10,000 imena, a zadana vrijednost (150) je vrlo niska. Slanje SIGUSR1 na dnsmasq čini bitacore informacije koje jesu korisno za fino podešavanje veličine predmemorije. Za detalje pogledajte odjeljak NAPOMENE.

• Ugrađeni TFTP server može podržati višestruke prijenose simultane datoteke: apsolutno ograničenje povezano je s brojem rukovatelja datotekama koji su dozvoljeni procesu i sposobnošću sys‐tem poziva select () za podršku velikom broju rukovatelja datotekama. Ako je ograničenje postavljeno previsoko sa –tftp-max, ono će biti uklonjeno i stvarno ograničenje će biti taktirano pri pokretanju. Imajte na umu da više transfera su mogući kada se pošalje ista datoteka što kada svaki transferencia šalje drugu datoteku. Pomoću dnsmasq-a možete zabraniti web oglašavanje pomoću liste dobro poznati banner serveri, svi se rješavaju na 127.0.0.1 ili 0.0.0.0 u / etc / hosts ili u dodatnoj datoteci hosts. Lista može biti jako dugo. Dnsmasq je uspješno testiran sa milion imena. Ta veličina datoteke treba približno 1 GHz CPU60MB RAM-a.

• Dnsmasq je sposoban podržati DNS i DHCP najmanje hiljadu (1,000) klijenti.

Instalirajmo i konfigurirajmo Jessie i Dnsmasq

Započet ćemo s novom i čistom instalacijom servera zasnovanog na Debian 8 "Jessie". Odnosno, operativni sistem bez instaliranog grafičkog interfejsa ili drugog paketa. Parametri mreže bit će isti kao i mi u članku BIND i Active Directory®:

Ime domene mordor.fan LAN mreža 10.10.10.0/24 ====================================== ============================================== Namjena IP adresa servera (Serveri sa OS Windows) ================================================== =================================
sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2
mamba.mordor.fan. 10.10.10.4 Windows File Server
dns.mordor.fan 10.10.10.5 DnsMasq poslužitelj na Jessie
darklord.mordor.fan. 10.10.10.6 Proxy, gateway i firewall na Kerios troll.mordor.fan. 10.10.10.7 Blog zasnovan na ... ne mogu se sjetiti shadowftp.mordor.fan. 10.10.10.8 FTP poslužitelj blackelf.mordor.fan. 10.10.10.9 Puna usluga e-pošte blackspider.mordor.fan. 10.10.10.10 WWW usluga palantir.mordor.fan. 10.10.10.11 Chat na Openfire-u za Windows Real CNAME ============================== sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

Početne postavke dns.mordor.fan servera

root @ dns: ~ # nano / etc / hostname
DNS

root @ dns: ~ # nano / etc / hosts
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # Sljedeći redovi su poželjni za hostove koji podržavaju IPv6 :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

root @ dns: ~ # nano / etc / network / sučelja
# Ova datoteka opisuje mrežna sučelja dostupna na vašem sistemu # i kako ih aktivirati. Za više informacija pogledajte sučelja (5). izvor /etc/network/interfaces.d/* # Mrežni interfejs povratne petlje automatski lo iface lo inet loopback # Primarni mrežni interfejs dozvoljava-hotplug eth0 iface eth0 inet statička adresa 10.10.10.5 netmask 255.255.255.0 mreža 10.10.10.0 emitovanje 10.10.10.255. 10.10.10.1 gateway 127.0.0.1 # dns- * opcije su implementirane paketom resolvconf, ako je instaliran dns-nameservers XNUMX dns-search mordor.fan

Instalirajmo Dnsmasq i htop

root @ dns: ~ # aptitude instaliraj dnsmasq htop

Nakon instaliranja paketa htop možemo provjeriti potrošnju procesora i memorije opreme. Potrošio je samo oko 71 megabajta RAM-a. Ako želimo još više smanjiti potrošnju, možemo instalirati paket SSMTP -jednostavno MTA- što zauzvrat pročišćava paket exim4 da se Debian uvijek instalira prema zadanim postavkama i da nam stvarno nije potreban u skladu s upotrebom koju ćemo pružiti ovom poslužitelju:

root @ dns: ~ # aptitude instaliraj ssmtp
root @ dns: ~ # uklanjanje sposobnosti ~ c
root @ dns: ~ # sposobnost uklonjena
root @ dns: ~ # aptitude autoclean
root @ dns: ~ # systemctl ponovno pokretanje

Nakon ponovnog pokretanja računara potrošnja je sljedeća:

Nisko, zar ne? Idemo dalje.

Označimo da se Dnsmasq takođe konsultuje sa Microsft® DNS-om

Da biste testirali moguće Dnsmasq konfiguracije na računaru dns.mordor.fan, moramo uključiti izjavu koja ukazuje da je konsultovan Microsoft DNS servera sauron.mordor.fan. To možemo, uključujući i direktivu server = / mordor.fan / 10.10.10.3 u arhivu dnsmasq.conf -kao što ćemo vidjeti kasnije- ili dodavanje reda nameserver 10.10.10.3 u arhivu /etc/resolv.conf. Kako Dnsmasq još nismo konfigurirali prema našim potrebama, odabiremo drugi način:

root @ dns: ~ # nano /etc/resolv.conf
domena mordor.fan
nameserver 127.0.0.1
nameserver 10.10.10.3

Sada možemo riješiti DNS upite

Sa zadanom konfiguracijom Dnsmasq-a koju pruža njegova glavna datoteka /etc/dnasmq.confi sa onim što je deklarisano u datoteci /etc/resolv.conf sa samog servera «DNS«, Bilo koji klijent povezan na LAN i koji se proglasio kao DNS server dns.mordor.fan- možete riješiti DNS upite na štetu Microsoft® DNS-a za sada…

• Vrlo je važno provjeriti brzinu odziva Dnsmasq-a kada prikazuje njegov status kao Prosleđivač pukim uključivanjem IP 10.10.10.3 u vašu datoteku /etc/resolv.conf.

Iz svoje administrativne radne stanice i podrške svih pribora kroz koje pišem, vodim:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Generirano od strane domene NetworkManager mordor.fan nameserver 10.10.10.5

buzz @ sysadmin: ~ $ nslookup
> DNS
Server: 10.10.10.5 Adresa: 10.10.10.5 # 53 Ime: dns.mordor.fan Adresa: 10.10.10.5

> sauron
Server: 10.10.10.5 Adresa: 10.10.10.5 # 53

Neautoritativni odgovor:
Ime: sauron.mordor.fan Adresa: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: 10.10.10.5 Adresa: 10.10.10.5 # 53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan kanonsko ime = sauron.mordor.fan. Ime: sauron.mordor.fan Adresa: 10.10.10.3

> 10.10.10.3
Server: 127.0.0.1 Adresa: 127.0.0.1 # 53 3.10.10.10.in-addr.arpa name = sauron.mordor.fan.

> 10.10.10.9
Server: 127.0.0.1 Adresa: 127.0.0.1 # 53 9.10.10.10.in-addr.arpa name = blackelf.mordor.fan.

> 10.10.10.5
Server: 127.0.0.1 Adresa: 127.0.0.1 # 53 5.10.10.10.in-addr.arpa name = dns.mordor.fan.

> pošta
Server: 10.10.10.5 Adresa: 10.10.10.5 # 53 Neautoritativni odgovor: mail.mordor.fan kanonsko ime = blackelf.mordor.fan. Ime: blackelf.mordor.fan Adresa: 10.10.10.9> izlaz

buzz @ sysadmin: ~ $

Pogledajmo bliže sljedeće aspekte:

• dns.mordor.fan direktno odgovara na DNS upite koje može riješiti u skladu s vašim trenutnim Dnsmasq postavkama. Ako ih ne možete riješiti, to funkcionira kao Prosleđivač i pita IP 10.10.10.3 može li odgovoriti na upit. Na pitanje o IP opremi «DNS«, Odgovara direktno. Kada se Dnsmasq pita ko je to «sauron",?, napravi prosljeđivanje a la 10.10.10.3 -Ne možete direktno odgovoriti jer ga još niste registrirali- ko vraća tačan neautoritativni odgovor.
• Na pitanje ko je «03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan"?, napravi prosljeđivanje i ovaj put dobivate autoritativni odgovor od Microsoft® DNS-a.
• Velika brzina odziva Dnsmasq-a za bilo koju vrstu upita.

To su mali detalji koji ljubav čine velikom ;-).

Osnovne razlike između Dnsmasq-a i BIND-a integrirane s Active Directory®

Pokrenimo nekoliko DNS upita na zapisima SOA y NS domene mordor.fan, svakom od uključenih servera imena:

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.3
Korištenje poslužitelja domene: Ime: 10.10.10.3 Adresa: 10.10.10.3 # 53 pseudonimi: 
mordor.fan ima SOA zapis sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.5
Korištenje poslužitelja domene: Ime: 10.10.10.5 Adresa: 10.10.10.5 # 53 pseudonimi: 
mordor.fan ima SOA zapis sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.5
Korištenje poslužitelja domene: Ime: 10.10.10.5 Adresa: 10.10.10.5 # 53 pseudonimi: 
mordor.fan poslužitelj imena sauron.mordor.fan.

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.3
Korištenje poslužitelja domene: Ime: 10.10.10.3 Adresa: 10.10.10.3 # 53 pseudonimi: 
mordor.fan poslužitelj imena sauron.mordor.fan.

Odgovori su identični - što je i logično - jer siempre odgovori sauron.mordor.fan. prije DNS upita o zapisima SOA o NSiako izgleda šta on odgovara dns.mordor.fan. Međutim, razlikuje se od onoga što se vidi u članku BIND i Active Directory® gdje smo u potpunosti uklonili funkcionalnost Microsoft® DNS-a. U tom članku SVI DNS upiti o Domino imenskom prostoru mordor.fan BIND im je odgovorio, jer smo to tako konfigurirali i zato što BIND odgovara na upite SOA y NS pored dopuštanja šeme Gospodar - rob, Zonski prenos itd., Te je stoga cjelovitiji DNS server - složen.

Možda su to glavne razlike između DNS-a Dnsmasq-a i BIND-a ... ali BIND - uvijek može biti jedan ili više ali - ali nema DHCP server koji se neometano integrira s DNS serverom u jedan daemon, i bez potrebe za TSIG ključevima, konfiguracijskim datotekama, bazama podataka zona, itd., kao što smo vidjeli u prethodnim člancima.

• Mislim da će do sada, dragi čitatelji shvatiti da ne mrzim BIND niti da više volim Dnsmasq nego BIND. Buduće rasprave o tome totalno su gubljenje vremena, jer ima puno veze s potrebama, zahtjevima, ukusima, preferencijama i .... svako rješenje ima svoju draž ;-).

• U sličnim scenarijima svaki instalira i konfigurira softver po svom izboru i o kojem zna više. i da sve funkcionira prema očekivanjima.

Prednosti kombinacije Dnsmasq + Active Directory®

Ovom kombinacijom imamo čitav niz odgovora na DNS upite i efikasno sredstvo za zakup IP adresa za naš SME LAN. Kao što ćemo kasnije vidjeti, radi ispravno u bilo kojoj situaciji u vezi s tim da li je računar pridružen Microsoft® Active Directory® kontroloru domene. Pored toga, imamo DNS i DNS server Prosleđivač par excellence, plus vrlo brzi DHCP server. I sve to s malo potražnje za resursima. Da li želiš više?

Da li je moguće Dnsmasq + BIND?

Definitivno da. Iako preporučujem da se instaliraju na različite računare kako ne bi došlo do sudara zbog toliko voljenog porta 53 DNS usluge. Možda i nešto o tome vidimo kad dođemo do AD-DC sa sjedištem na Sambi 4. Ko zna?

Savjeti o Dnamasqu

• Osnovne radne datoteke za Dnsmasq za pružanje DHCP i DNS usluga na LAN-u su: /etc/dnsmasq.conf, / etc / hosts, /var/lib/misc/dnsmasq.leases, y /etc/resolv.conf. Fajl dnsmasq.leases kreira se kada zakupite svoju prvu IP adresu.
• Još jedna datoteka posla koju možete koristiti je / etc / eteri. Ako takva datoteka postoji, direktiva eteri za čitanje deklarisan u datoteci konfiguracije, govori Dnsmasqu da ga pročita. Vrlo je korisno kada se odnosimo MAC adrese / imena hostova u određene svrhe.
• DNS usluga se može potpuno onemogućiti pomoću direktive luka = ​​0 u dnsmasq.conf.
• DHCP usluga za jedan ili više mrežnih sučelja može se onemogućiti direktivama -jedan za svaku liniju- no-dhcp-interface = eth0, ne-dhcp-interface = eth1, i tako dalje. Vrlo korisno kada smo ispred tima sa 2 ili više mrežnih sučelja i želimo da DHCP uslugu pruža samo jedan od njih ili nijedan. Naravno, ako onemogućimo DHCP uslugu za sva sučelja, ostavit ćemo pokrenutu samo DNS uslugu. Ako onemogućimo obje usluge, zašto nam onda treba Dnsmasq? 😉
• Da to izjave drugim DNS poslužiteljima domena Ne. su javni ili eksterni u odnosu na LAN - kao u slučaju Microsoftovog DNS-a - to radimo putem direktive server = / ime domene / IP DNS servera u arhivu /etc/dnsmasq.conf. Primjer: server = / mordor.fan / 10.10.10.3.
• Da kažemo Dnsmasqu da na upite o lokalnim domenama odgovara samo datoteka / etc / hosts ili putem vašeg DHCP-a, moramo dodati direktivu lokalno = / localnet / u glavnoj datoteci vaše konfiguracije. Primjer: lokalno = / mordor.fan /.
• Da biste pravilno konfigurirali datoteku /etc/resolv.conf - riješiti predlažemo da pročitate njegov priručnik pomoću naredbe čovjek razr.konf. Ako instalirate Debian 8.6 "Jessie", vidjet ćete da je dobro napisan na španjolskom.
• Dnsmasq ne koristi datoteke zona za odgovaranje na izravne ili obrnute upite.
• Da se zna značenje svakog polja «especial»To se koristi u deklaraciji zapisa o resursima SRV, trebali biste se posavjetovati BIND i Active Directory®. Sintaksa SRV zapisa u datoteci /etc/dnsmasq.conf To je kako slijedi:

  srv-host = , , , ,

Čitatelji koji žele znati više, pažljivo pročitajte originalnu datoteku /etc/dnsmasq.conf ili postojećih dokumenata u direktorijumu / usr / share / doc / dnsmasq-base.

root @ dns: ~ # ls -l / usr / share / doc / dnsmasq-base /
ukupno 128 -rw-r - r-- 1 root root 883 5. maja 2015. copyright -rw-r - r-- 1 root root 36261 5 2015. 1. 11297 changelog.archive.gz -rw-r - r-- 5 root root 2015 1. maja 26014. changelog.Debian.gz -rw-r - r-- 5 root root 2015 1. maja 2084. changelog.gz -rw-r - r-- 5 root root 2015 1. 4297. 5 DBus-interface. gz -rw-r - r-- 2015 root root 2 4096. maja 19. doc.html drwxr-xr-x 17 root root 52 1. februara 9721:5 primjeri -rw-r - r-- 2015 root root 1 4180. maja 5 FAQ.gz -rw-r - r-- 2015 root root 1 12019. maja 5. README.Debian -rw-r - r-- 2015 root root XNUMX XNUMX. maja XNUMX. setup.html

Konfigurirajmo Dnsmasq i Resolver

Kao početni vodič uzet ćemo - promjenu imena i ostalih, naravno - konfiguracijsku datoteku korištenu u članku «Dnsmasq na CentOS 7.3".

Ne zaboravimo na sljedeći korak:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Fiksne IP adrese

Adrese servera ili opreme za koje je potreban fiksni IP IPv4 como IPv6- su deklarisani u datoteci / etc / hosts:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost # Sljedeći redovi su poželjni za hostove koji podržavaju IPv6 :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters # Poslužitelji i računari s fiksnim IP-ovima. 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8. 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

Stvorimo datoteku /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # OPĆE OPCIJE # ----------------------------- ---------------------------------------potrebna domena # Ne prosljeđujte imena bez dijela domene lažni-priv # Ne prosljeđujte adrese u nenarušenom prostoru expand-hosts # Automatski dodaj domenu u host interface = eth0 # Interface.  PAZITE Sučelja # osim-interface = eth1 # NEMOJTE slušati ovaj NIC strogi redoslijed # Redoslijed u kojem pregledavate datoteku /etc/resolv.conf # Uključite mnogo više opcija konfiguracije # kroz datoteku ili pronalaženjem datoteka # konfiguracije dodatno u direktoriju # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # Odnosi se na Ime domene domain = mordor.fan # Ime domene # Vremenski poslužitelj je 10.10.10.1. 10.10.10.1 address = / time.windows.com / XNUMX # Šalje praznu opciju vrijednosti WPAD.  Obavezno za # Windos 7 i novije klijente da se ponašaju ispravno.  ;-) dhcp-option = 252, "\ n" # Datoteka u kojoj ćemo proglasiti HOSTOVE koji će biti "zabranjeni" addn-hosts = / etc / banner_add_hosts # Posavjetujte se sa Microsoft® DNS serverom "sauron" ako # pustimo da se pokrene server = / mordor.fan / 10.10.10.3 # Na upite o lokalnim domenima odgovarat će se # iz / etc / hosts ili putem lokalnog DHCP = / mordor.fan / # Na upite o PTR-u ili obrnutim zapisima odgovarat će # serveri "dns" i "sauron" tim redoslijedom server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3 # ------- -------------------------------------------------- ---------- # REGISTROSCNAMEMXTXT # ------------------------------------- ------------------------------ # Za ovaj tip registracije potreban je unos # u datoteku / etc / hosts #, npr .: 10.10.0.7 troll.mordor.fan troll # cname = ALIAS, REAL_NAME cname = ad-dc.mordor.fan, sauron.mordor.fan cname = fileserver.mordor.fan, mamba.mordor.fan cname = proxyweb.mordor.fan , darklord.mordor.fan cname = blog.mordor .fan, troll.mordor.fan cname = ftpserver.mordor.fan, shadowftp.mordor.fan cname = mail.mordor.fan, blackelf.mordor.fan cname = www.mordor.fan, blackspider.mordor.fan cname = opendire .mordor.fan, palantir.mordor.fan # MX RECORDS # Vraća MX zapis s imenom "mordor.fan" namijenjen # za tim blackelf.mordor.fan i prioritetom od 10 mx-host = mordor.fan, pošta. mordor.fan, 10 # Zadano odredište za MX zapise koji se kreiraju # pomoću opcije localmx bit će: mx-target = mail.mordor.fan # Vraća MX zapis koji pokazuje na mx-cilj za SVE # lokalne localmx mašine # TXT zapisa. 

dhcp-lease-max = 222 # Maksimalan broj adresa za zakup
                        # je prema zadanim postavkama 150
# Opseg IPV6 # dhcp-range = 1234 ::, samo za ra # Opcije za RANGE # OPTIONS dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,10.10.10.253 # ROUTER GATEWAY dhcp-option = 6,10.10.10.5 .15 # DNS poslužitelji dhcp-option = 19,1, mordor.fan # DNS ime domene dhcp-option = 28,10.10.10.255 # option ip-forwarding ON dhcp-option = 42,10.10.10.1 # BROADCAST dhcp-option = 40. 41,10.10.10.3 # NTP # dhcp-option = 44,10.10.10.3, MORDOR # NIS Ime domene # dhcp-option = 45,10.10.10.3 # NIS Server # dhcp-option = 73,10.10.10.3 # WINS # dhcp-option = 46,8 # NetBIOS datagrami # dhcp-option = XNUMX # Finger Server # dhcp-option = XNUMX # NetBIOS čvor dhcp-autoritativni # Autoritativni DHCP u podmreži # ------------- -------------------------------------------------- ---- # --------------------------------------------- ---------------------- # PRIJAVA tail -f / var / log / syslog ili journalctl -f # ------------ -------------------------------------------------- ----- upiti dnevnika # ----------------------------------------- -------------------------- # Re A i SRV zapisi koji odgovaraju Active Directory # ----------------------------------------- --------------------------
# Podaci A
address = / gc._msdcs.mordor.fan / 10.10.10.3 address = / DomainDnsZones.mordor.fan / 10.10.10.3 address = / ForestDnsZones.mordor.fan / 10.10.10.3

# Microsoftova DNS zona CNAME zapis _msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# SRV zapisa
# srv-host = , , , ,

# Globalni katalog # Microsoft DNS zona _msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan, sauron.mordor.fan, 3268,0,0
# Microsoft DNS zona mordor.fan
srv-host = _gc._tcp.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan, sauron.mordor.fan .3268,0,0

# Izmijenjeni i privatni LDAP aktivnog direktorija
# Microsoft DNS zona _msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# Microsoft DNS zona mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# KERBEROS izmijenjen i privatan iz Active Directory-a
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

# KRAJ datoteke /etc/dnsmasq.conf
# ------------------------------------------------- ------------------

Stvorimo datoteku / etc / banner_add_host

[root @ dns ~] # nano / etc /banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq --test
dnsmasq: provjera sintakse u redu.

[root @ dns ~] # systemctl ponovo pokrenite dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service

Izmijenimo datoteku /etc/resolv.conf - Resolver

root @ dns: ~ # nano /etc/resolv.conf 
domena mordor.fan pretraga mordor.fan

Zašto u datoteci nismo deklarisali uobičajene redove resolve.conf? Jer mi izjavljujemo u dnsmasq.conf sljedeće smjernice:

# Konsultujte Microsoft® DNS server „sauron“ ako ga # pustimo da radi
server = / mordor.fan / 10.10.10.3

# Na upite o lokalnim domenima odgovarat će se # sa / etc / hosts ili putem DHCP-a
lokalno = / mordor.fan /

# Na upite o PTR ili Obrnutim zapisima odgovarat će # serveri "dns" i "sauron" tim redoslijedom
server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3

Upiti sa sysadmin.mordor.fan

datoteku /etc/resolv.conf ovog tima je:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf
# Generirano od strane NetworkManager search mordor.fan nameserver 10.10.10.5

buzz @ sysadmin: ~ $ host -t Na spynet4.microsoft.com
spynet4.microsoft.com ima adresu 127.0.0.1

buzz @ sysadmin: ~ $ host -t Na www.download.windowsupdate.com
www.download.windowsupdate.com ima adresu 127.0.0.1

buzz@sysadmin: ~ $ dig dns
buzz @ sysadmin: ~ $ dig dns.mordor.fan
;; ODJELJAK ZA PITANJA :; dns.mordor.fan. U ;; ODJELJAK ODGOVORA: dns.mordor.fan. 0 U 10.10.10.5

buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs
buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fan ima SRV zapis 0 0 3268 sauron.mordor.fan.

buzz @ sysadmin: ~ $ dig _ldap._tcp.gc._msdcs.mordor.fan
;; ODJELJAK ZA PITANJA :; _ldap._tcp.gc._msdcs.mordor.fan. U ;; ODJELJAK ODGOVORA: _ldap._tcp.gc._msdcs.mordor.fan. 0 U 10.10.10.3

buzz @ sysadmin: ~ $ dig mordor.fan axfr
buzz @ sysadmin: ~ $ dig 10.10.10.in-addr.arpa axfr

I na taj način, koliko konsultacija nam treba

Dnsmasq + Active Directory® + Microsoft® Windows klijenti

Preimenovanje Microsoft® Windows klijenta

seven.mordor.fan zakupljena IP adresa:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

Preimenujmo «sedam»- Koji se nije pridružio domeni Active Directory - od«eukaliptus«. Nakon promjene i ponovnog pokretanja provjeravamo:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

Povijest promjena može se vidjeti iz "sysadmina":

buzz @ sysadmin: ~ $ host -t Sedam
seven.mordor.fan ima adresu 10.10.10.115

Nakon promjene imena

buzz @ sysadmin: ~ $ host -t Sedam
sedam nema rekord A

buzz @ sysadmin: ~ $ host -t Eukaliptus
eucaliptus.mordor.fan ima adresu 10.10.10.115

Upiti klijenta eucaliptus.mordor.fan

Microsoft Windows [verzija 6.1.7601]
Autorska prava (c) 2009 Microsoft Corporation. Sva prava zadržana.

C: \ Users \ buzz> nslookup
Zadani poslužitelj: dns.mordor.fan Adresa: 10.10.10.5

> sauron
Server: dns.mordor.fan Adresa: 10.10.10.5 Ime: sauron.mordor.fan Adresa: 10.10.10.3

> mordor.fan
Server: dns.mordor.fan Adresa: 10.10.10.5 Ime: mordor.fan Adresa: 10.10.10.3

> eukaliptus
Poslužitelj: dns.mordor.fan Adresa: 10.10.10.5 Ime: eucaliptus.mordor.fan Adresa: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: dns.mordor.fan Adresa: 10.10.10.5 Ime: sauron.mordor.fan Adresa: 10.10.10.3 Pseudonimi: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> set set = SRV
> _kerberos._udp.mordor.fan
Server: dns.mordor.fan Adresa: 10.10.10.5 _kerberos._udp.mordor.fan SRV lokacija usluge: prioritet = 0 težina = 0 port = 88 svr hostname = sauron.mordor.fan sauron.mordor.fan Internet adresa = 10.10.10.3. XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
Server: dns.mordor.fan Adresa: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV lokacija usluge: prioritet = 0 težina = 0 port = 389 svr hostname = sauron .mordor.fan sauron.mordor.fan Internet adresa = 10.10.10.3

> izlaz

C: \ Korisnici \ buzz>

Registracija Windows klijenata u Microsoft® DNS

Klijenti za Windows koji nisu pridruženi Active Directory® domeni

Moramo provjeriti jesu li IP adrese zakupljene od različitih Windows klijenata od Dnsmasqa ispravno registrirane u Microsoft® DNS. To može uticati način na koji uključujemo dinamička ažuriranja - Dinamička ažuriranja u Microsoft® DNS zonama Active Directory®. Polazimo od zadane konfiguracije Microsoft DNS-a koja omogućava samo sigurna dinamička ažuriranja - Dinamička ažuriranja -> Samo sigurno, u svakoj od svojih zona.

Imajte na umu da je klijent sa trenutnim FQDN eucalyptus.mordor.fan Ne. je pridružen domeni Active Directory (ili Samba4 AD-DC) i izuzetak je Microsoftovog pravila da «Samo klijenti registrirani u Mojoj domeni imat će dozvolu putem Mehanizma za ažuriranje - kojeg ja samo znam - da se registriraju u Mojem DNS-u«. Dobro je što nas Samba4 AD-DC nauči ponešto o tome.

eucalyptus.mordor.fan iznajmljeni IP 10.10.10.115:

buzz @ sysadmin: ~ $ host -t Eukaliptus
eucaliptus.mordor.fan ima adresu 10.10.10.115

Promijenimo mu ime u «mahagonij«, Ponovno pokrenimo Windows 7 i vidimo što će se dogoditi kada tražimo imena«eukaliptus"Y"mahagonij»Za svaki od DNS-a, prvo za Microsoft DNS, a zatim za Dnsmasq:

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.3
Korištenje poslužitelja domene: Ime: 10.10.10.3 Adresa: 10.10.10.3 # 53 pseudonimi: 

Domaćin eucaliptus.mordor.fan nije pronađen: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Mahagoni.mordor.fan 10.10.10.3
Korištenje poslužitelja domene: Ime: 10.10.10.3 Adresa: 10.10.10.3 # 53 pseudonimi: 

Domaćin mahagoni.mordor.fan nije pronađen: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.5
Korištenje poslužitelja domene: Ime: 10.10.10.5 Adresa: 10.10.10.5 # 53 pseudonimi: 

Domaćin eucaliptus.mordor.fan nije pronađen: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Mahagoni.mordor.fan 10.10.10.5
Korištenje poslužitelja domene: Ime: 10.10.10.5 Adresa: 10.10.10.5 # 53 pseudonimi: 

mahogany.mordor.fan ima adresu 10.10.10.115

Možemo promijeniti ime Windows 7 klijenta Ne. je priključen na domenu mordor.fan Active Directory® onoliko puta koliko želimo, da Microsoft® DNS ne sazna za ove promjene ili da takav klijent postoji. Da li je moguće da je to samo zato što smo odabrali opciju  Dinamička ažuriranja -> Samo sigurno u svakoj zoni Micorosft DNS-a?

Da bi gospodin Microsoft® DNS znao za promjene, moramo odabrati Dinamična ažuriranja -> Nesigurna i sigurna. Ova opcija, dragi čitatelji, podrazumijeva značajnu ranjivost sigurnosti bilo kojeg poslužitelja domena koji se poštuje, bilo da je to Microsft® ili UNIX® / Linux. Microsoft® DNS upozorava na ranjivost jer nam na kraju nudi samo modificirani i privatizirani BIND «Sigurnost za tamu«. Ako ne, zašto preporučujete uštedu na svom poznatom registracija sve DNS postavke i zapise vašeg Microsoft® DNS-a kada implementiramo Active Directory®? Pored podrške za nesigurna ažuriranja Microsoft® DNS-a, u konfiguraciji mrežne kartice klijenta za Windows 7 potrebna je sljedeća izmjena:

Provjerimo:

buzz @ sysadmin: ~ $ host -t Mahagoni.mordor.fan 10.10.10.3
Korištenje poslužitelja domene: Ime: 10.10.10.3 Adresa: 10.10.10.3 # 53 pseudonimi: mahogany.mordor.fan ima adresu 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.3
Korištenje poslužitelja domene: Ime: 10.10.10.3 Adresa: 10.10.10.3 # 53 pseudonimi: 115.10.10.10.in-addr.arpa pokazivač imena domene mahogany.mordor.fan.

buzz @ sysadmin: ~ $ host -t Mahagoni 10.10.10.5
Korištenje poslužitelja domene: Ime: 10.10.10.5 Adresa: 10.10.10.5 # 53 pseudonimi: mahogany.mordor.fan ima adresu 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.5
Korištenje poslužitelja domene: Ime: 10.10.10.5 Adresa: 10.10.10.5 # 53 pseudonimi: 115.10.10.10.in-addr.arpa pokazivač imena domene mahogany.mordor.fan.

Da sada. Kakav lijep sinhronizam za dva DNS servera koja nisu sinhronizirana ni na koji način!

Windows klijenti pridruženi Active Directory® domeni

Ujedinimo klijenta mahagoni.mordor.fan na Domen, ali ne prije nego što smo eliminirali izmjenu koju smo izvršili u konfiguraciji vaše mrežne kartice, ako smo to u nekom trenutku učinili kako bismo provjerili poantu prethodnog poglavlja. Takođe izbrišite unos za «mahagonij»U Microsoftu® DNS, i vratite dinamička ažuriranja na ishodište «Samo sigurno«. Inače, valjano je ponovo pokrenuti Microsoftovu uslugu® DNS.

Nakon pridruživanja domeni, i pored svih naših napora, klijent «mahagonij»Nije registrovan u Microsoft® DNS. Čak smo se izjasnili u dnsmasq.conf -privremeno- da je prvi DNS server 10.10.10.3.

Microsoft Windows [verzija 6.1.7601]
Autorska prava (c) 2009 Microsoft Corporation. Sva prava zadržana.

C: \ Users \ saruman> ipconfig / svi

Ime hosta za Windows IP konfiguraciju. . . . . . . . . . . . : MAHOGANY Primarni Dns sufiks. . . . . . . : mordor.fan Tip čvora. . . . . . . . . . . . : Omogućeno hibridno IP usmjeravanje. . . . . . . . : Nije omogućen WINS proxy. . . . . . . . : Nema liste pretraživanja sufiksa DNS-a. . . . . . : mordor.fan Ethernet adapter Lokalno povezivanje: DNS sufiks specifičan za vezu. : mordor.fan Opis. . . . . . . . . . . : Fizička adresa mrežne veze Intel (R) PRO / 1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP omogućen. . . . . . . . . . . : Da Omogućena je automatska konfiguracija. . . . : Da Lokalna IPv6 adresa s lokalnom vezom. . . . . : fe80 :: 352a: b954: 7eba: 963e% 12 (Preferirana) IPv4 adresa. . . . . . . . . . . : 10.10.10.115 (Preferirano) Maska podmreže. . . . . . . . . . . : 255.255.255.0 Pribavljen zakup. . . . . . . . . . : Subota, 25. februara 2017. 8:19:05 Zakup ističe. . . . . . . . . . : Subota, 25. februara 2017. 4:20:36 Default Gateway. . . . . . . . . : 10.10.10.253 DHCP poslužitelj. . . . . . . . . . . : 10.10.10.5 DHCPv6 IAID. . . . . . . . . . . : 251661353 DHCPv6 klijent DUID. . . . . . . . : 00-01-00-01-20-3B-69-81-00-0C-29-D6-14-36

   DNS serveri. . . . . . . . . . . : 10.10.10.3
                                       10.10.10.5
   NetBIOS preko Tcpip-a. . . . . . . . : Omogućen tunelski adapter isatap.mordor.fan: Stanje medija. . . . . . . . . . . : Mediji nisu povezani DNS sufiks specifičan za vezu. : mordor.fan Opis. . . . . . . . . . . : Fizička adresa Microsoft ISATAP adaptera. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP omogućen. . . . . . . . . . . : Nije omogućena automatska konfiguracija. . . . : Da Tunelski adapter Lokalno povezivanje * 9: Stanje medija. . . . . . . . . . . : Mediji nisu povezani DNS sufiks specifičan za vezu. : Opis. . . . . . . . . . . : Fizička adresa adaptera za tuneliranje Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP omogućen. . . . . . . . . . . : Nije omogućena automatska konfiguracija. . . . : I jeste

C: \ Korisnici \ saruman>

buzz @ sysadmin: ~ $ host -t Mahagoni.mordor.fan 10.10.10.3
Korištenje poslužitelja domene: Ime: 10.10.10.3 Adresa: 10.10.10.3 # 53 pseudonimi: Host caoba.mordor.fan nije pronađen: 3 (NXDOMAIN)

buzz@sysadmin: ~ $ host -t Do mahagonija.mordor.fan
mahogany.mordor.fan ima adresu 10.10.10.115

• Jedini način na koji je klijent registriran «mahagonij»U Microsft® DNS-u mijenja vašu mrežnu karticu kako je naznačenoó na prethodnoj slici, odnosno izričito se navodi da je: DNS sufiks veze mordor.fan, da registrira adresu veze u DNS-u i da koristi deklarirani DNS sufiks prilikom registracije veze.

buzz @ sysadmin: ~ $ host -t Mahagoni.mordor.fan 10.10.10.3
Korištenje poslužitelja domene: Ime: 10.10.10.3 Adresa: 10.10.10.3 # 53 pseudonimi: mahogany.mordor.fan ima adresu 10.10.10.115

buzz @ sysadmin: ~ $ host -t Mahagoni.mordor.fan
mahogany.mordor.fan ima adresu 10.10.10.115

Promijenimo ime iz "mahagonij" u "cedar"

buzz @ sysadmin: ~ $ host -t Mahagoni.mordor.fan 10.10.10.3
Korištenje poslužitelja domene: Ime: 10.10.10.3 Adresa: 10.10.10.3 # 53 pseudonimi: Host caoba.mordor.fan nije pronađen: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Na cedar.mordor.fan 10.10.10.3
Korištenje poslužitelja domene: Ime: 10.10.10.3 Adresa: 10.10.10.3 # 53 pseudonimi: cedro.mordor.fan ima adresu 10.10.10.115

buzz @ sysadmin: ~ $ host -t Mahagoni.mordor.fan 10.10.10.5
Korištenje poslužitelja domene: Ime: 10.10.10.5 Adresa: 10.10.10.5 # 53 pseudonimi: Host caoba.mordor.fan nije pronađen: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Na cedar.mordor.fan 10.10.10.5
Korištenje poslužitelja domene: Ime: 10.10.10.5 Adresa: 10.10.10.5 # 53 pseudonimi: cedro.mordor.fan ima adresu 10.10.10.115

I to sve normalno, kao što Microsoft® klijenti i Microsoft® DNS vole stvari.

Radimo s Microsoft® DHCP i Microsoft® DNS

Dragi čitatelji, ovo je poglavlje izvan konteksta bloga posvećenog Slobodnom softveru. Pogledajte pomoć za Microsoft®. Oni ne vjeruju? 😉

ZAKLJUČCI

Postoji nekoliko načina rada s Microsoft® DNS-om kada ga napravimo da koegzistira u maloj i srednjoj mreži s Dnsmasq-om. Među njima ćemo spomenuti samo sljedeće:

• Potpuno zaustavite Microsoft® DNS uslugu na računaru na kojem radi, naznačujući nakon toga da je pokretanje usluge onemogućeno. Uključite opciju za registraciju adrese veze u DNS-u u konfiguraciji mrežne kartice svakog Microsoft® klijenta. Ukloni iz datoteke /etc/dnsmasq.conf Direktiva server = / mordor.fan / 10.10.10.3. Notas:
  • Čak i ako se ne odgovori na upite o evidenciji SOA y NS, mreža će raditi ispravno, kao i objedinjavanje različitih klijenata - Microsofta® i Linuxa - s Active Directory® domenom.
  • Prednost je što će u SME LAN-u postojati samo jedan poslužitelj imena domene -machote- i to će biti Dnsmasq. ;-). S druge strane, eliminira se mogućnost nedosljednosti između DNS zapisa pohranjenih u Microsoft® DNS i onih dostupnih putem Dnsmasq-a.
• Ostavite Microsoft® DNS pokrenut da odgovara samo na DNS upite o SOA i NS zapisima. notas:
  • Izmijenite konfiguraciju mrežne kartice svakog Windows klijenta, poništavajući odabir opcije Registriraj adresu veze u DNS-u.
  • Mi mislimo da je ovo rješenje gubljenje resursa.
• Konfigurirajte usluge kao što smo vidjeli u cijelom članku, koji pokazuje rješenje koje više odgovara Microsoftovoj filozofiji - nije FreeBSD / Linux - Ok?

Resumen

• Microsoft® DNS prijedlog je vrlo zatvoren. Ne ostavlja mjesta za druga rješenja koja nisu u skladu s njegovom hermetičkom filozofijom.
• Majka priroda nas uči da postojimo u raznolikom svemiru. Normalno je imati mješoviti LAN, kretati se prema Slobodnom softveru i bogat životom i raznolikošću.
• Čini se da su za Microsoft® kupci koji se ne pridruže njegovoj filozofiji izopćenici i stoga se ne bi trebali truditi da ih uzmu u obzir.
• Kako je teško raditi s privatnim softverom! Radije bih potrošio malo posla na postavljanju besplatnog softvera i bio zaista slobodan, dovraga!

"Najbolji kriterij istine je praksa."