BIND i Active Directory® - MSP mreže

Opšti indeks serije: Računarske mreže za mala i srednja preduzeća: Uvod

Pozdrav prijatelji! Glavni cilj ovog članka je pokazati kako možemo integrirati DNS uslugu zasnovanu na BIND9 u Microsoftovu mrežu, što je vrlo često u mnogim malim i srednjim preduzećima.

To proizlazi iz službenog zahtjeva prijatelja koji živi na La Tierra del Fuego -Fuegian- specijalizirana za Microsoft® Networks - uključujući i certifikate - koji će vas voditi u ovom dijelu migracije vaših servera na Linux. Troškovi Soporte Već su tehničari koji plaćaju Microsoft® Nepodnošljivo za kompaniju u kojoj radi i čiji je glavni akcionar.

Moj prijatelj Fuegian ima sjajan smisao za humor, a otkako je vidio seriju od tri filma «Gospodar prstenova»Očaravala su ga mnoga imena njegovih mračnih likova. Dakle, prijatelju čitaoče, nemojte se iznenaditi imenima vaše domene i vaših servera.

Za novinare u temi i prije nastavka čitanja, preporučujemo vam da pročitate i proučite tri prethodna članka o MSP mrežama:

To je kao da gledate tri od četiri dijela «Underworld»Objavljeno do danas i da je ovo četvrto.

Opći parametri

Nakon nekoliko razmjena putem i-mejl, napokon sam bio jasan o glavnim parametrima vaše trenutne mreže, a to su:

Ime domene mordor.fan LAN mreža 10.10.10.0/24 ====================================== ============================================== Namjena IP adresa servera (serveri sa OS Windows) ================================================== ================================= sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Windows poslužitelj datoteka darklord.mordor.fan. 10.10.10.6 Proxy, gateway i firewall na Kerios troll.mordor.fan. 10.10.10.7 Blog zasnovan na ... ne mogu se sjetiti shadowftp.mordor.fan. 10.10.10.8 FTP poslužitelj blackelf.mordor.fan. 10.10.10.9 Puna usluga e-pošte blackspider.mordor.fan. 10.10.10.10 WWW usluga palantir.mordor.fan. 10.10.10.11 Chat na Openfire-u za Windows

Tražio sam dozvolu Fuegian postaviti onoliko pseudonima koliko mi je potrebno da razbistrim misli i dao mi svoje odobrenje:

Pravi CNAME ============================== sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

Proglasio sam sve važne DNS zapise u svojoj instalaciji Active Directory Windows 2008 koje sam bio primoran implementirati kako bi me vodio u stvaranju ovog posta.

O Active Directory DNS SRV zapisima

Registri SRV o Lokatori usluga - široko korišteni u Microsoft Active Directory - definirani su u Zahtjev za komentarom RFC 2782. Omogućuju lokaciju usluge zasnovane na TCP / IP protokolu putem DNS upita. Na primjer, kupac na Microsoftovoj mreži može pronaći lokaciju kontrolera domene - Kontroleri domene koji pružaju LDAP uslugu preko TCP protokola na portu 389 putem jednog DNS upita.

Normalno je da u šumama - Šume, i drveće - drveće velike Microsoft mreže postoji nekoliko kontrolora domena. Korištenjem SRV zapisa u različitim zonama koje čine Prostor imena domena te mreže, možemo održavati Popis poslužitelja koji pružaju slične dobro poznate usluge, poredane po želji prema transportnom protokolu i portu svakog od njih. jedan od servera.

u Zahtjev za komentarom RFC 1700 Definisanje univerzalnih simboličkih naziva za dobro poznate usluge - Dobro poznata služba, i imena poput «_telnet","_smtp»Za usluge telnet y SMTP. Ako simbolično ime nije definirano za dobro poznatu uslugu, može se koristiti lokalno ime ili drugo ime u skladu sa korisničkim preferencijama.

Vezati

Svrha svakog polja «especial»To što se koristi u deklaraciji SRV zapisa resursa je sljedeće:

  • područje: "Pdc._msdcs.mordor.fan.«. DNS ime usluge na koju se odnosi SRV zapis. DNS ime u primjeru znači -više ili manje- Kontrolor primarne domene područja _msdcs.mordor.fan.
  • usluga: "_Ldap". Simbolički naziv usluge koja se pruža definisan prema Zahtjev za komentarom RFC 1700.
  • protokol: "_Tcp". Označava vrstu transportnog protokola. Tipično može uzeti vrijednosti _tcp o _udp, iako - i zapravo - bilo koja vrsta transportnog protokola naznačena u Zahtjev za komentarom RFC 1700. Na primjer, za uslugu razgovor zasnovan na protokolu XMPP, ovo polje bi imalo vrijednost _xmpp.
  • prioritet: «0«. Izjavite prioritet ili preferenciju za Domaćin koji nudi ovu uslugu što ćemo vidjeti kasnije. DNS upiti klijenata o usluzi definiranoj ovim SRV zapisom, nakon primanja odgovarajućeg odgovora, pokušat će kontaktirati prvog dostupnog domaćina s najmanjim brojem navedenim u polju. prioritet. Raspon vrijednosti koje ovo polje može uzeti je 0 a 65535.
  • Težina: «100«. Može se koristiti u kombinaciji sa prioritet kako bi se osigurao mehanizam za uravnoteženje opterećenja kada postoji nekoliko poslužitelja koji pružaju istu uslugu. Trebao bi postojati sličan SRV zapis za svaki poslužitelj u datoteci Zone, s imenom navedenim u polju Domaćin koji nudi ovu uslugu. Prije servera s jednakim vrijednostima na terenu prioritet, vrijednost polja Težina može se koristiti kao dodatni nivo preferencija za dobivanje tačnog izbora servera za uravnoteženje opterećenja. Raspon vrijednosti koje ovo polje može uzeti je 0 a 65535. Ako uravnoteženje opterećenja nije potrebno, na primjer, kao u slučaju pojedinog poslužitelja, preporuča se dodijeliti vrijednost 0 kako bi zapis SRV bio lakši za čitanje.
  • Broj luke - Luka: «389«. Broj porta u Domaćin koji nudi ovu uslugu koja pruža uslugu naznačenu u polju usluga. Preporučeni broj porta za svaku vrstu dobro poznate usluge naznačen je na Zahtjev za komentarom RFC 1700, iako može imati vrijednost između 0 i 65535.
  • Domaćin koji nudi ovu uslugu - Cilj: «sauron.mordor.fan.«. Određuje FQDN koja nedvosmisleno identificira domaćin koja pruža uslugu naznačenu SRV zapisom. Vrsta zapisa «A»U prostoru imena domene za svaku FQDN sa servera ili domaćin koja pruža uslugu. Jednostavnije, vrsta zapisa A u direktnim zonama.
    • Napomena:
      Da bi se autoritativno naznačilo da usluga navedena u zapisu SRV nije na ovom hostu, jedan (
      .) point.

Samo želimo ponoviti da se ispravan rad mreže ili Active Directory® u velikoj mjeri oslanja na ispravan rad usluge imena domena..

DNS zapisi Active Directory

Da bismo napravili zone novog DNS poslužitelja na temelju BIND, moramo dobiti sve DNS zapise od Active Directory®. Da bismo olakšali život, idemo u tim sauron.mordor.fan -Active Directory® 2008 SR2- i u DNS administracijskoj konzoli aktiviramo Zone Transfer - direct i reverse - za glavne zone deklarisane u ovoj vrsti usluge, a to su:

  • _msdcs.mordor.fan
  • mordor.fan
  • 10.10.10.in-addr.arpa

Nakon što je prethodni korak izveden i po mogućnosti sa Linux računara čija je IP adresa unutar dometa podmreže koju koristi Windows mreža, izvršavamo:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> temp /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa
  • Podsjetite se iz prethodnih članaka da je IP adresa uređaja sysadmin.fromlinux.fan je 10.10.10.1 ili 192.168.10.1.

U tri prethodne naredbe možemo eliminirati opciju @10.10.10.3 -pitajte DNS server s tom adresom- ako se izjasnimo u datoteci /etc/resolv.conf na IP servera sauron.mordor.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf # Generirano pretraživanjem NetworkManager-a iz linux.fan nameserver 192.168.10.5 nameserver 10.10.10.3

Nakon izuzetno pažljivog uređivanja, što odgovara bilo kojoj datoteci zone u BIND-u, dobit ćemo sljedeće podatke:

RRs zapisi iz originalne zone _msdcs.mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs._msdcs.mordor.fan 
; Odnosi se na SOA i NS _msdcs.mordor.fan. 3600 U SOA-i sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 3600 _msdcs.mordor.fan. 3600 U NS sauron.mordor.fan. ; ; GLOBALNI KATALOG gc._msdcs.mordor.fan. 600 U A 10.10.10.3; ; Pseudonimi - u modificiranoj i privatnoj LDAP bazi podataka Active Directory- od SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 U CNAME sauron.mordor.fan. ; ; Izmijenjeni i privatni LDAP aktivnog direktorija _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 U SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 U SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 U SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 U SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 U SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 U SRV 0 100 389 sauron.mordor.fan. ; ; Privatni modificirani KERBEROS aktivnog direktorija _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan 600 U SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 U SRV 0 100 88 sauron.mordor.fan.

RRs zapisi iz originalne zone mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs.mordor.fan 
; Odnosi se na SOA, NS, MX i A zapis koji mapira; ime domene na IP adresu SAURON-a; Stvari iz Active Directory mordor.fan. 3600 U SOA-i sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 86400 3600 mordor.fan. 600 U A 10.10.10.3 mordor.fan. 3600 U NS sauron.mordor.fan. mordor.fan. 3600 U MX 10 crno-crni.mordor.fan. _msdcs.mordor.fan. 3600 U NS sauron.mordor.fan. ; ; Također važno A bilježi DomainDnsZones.mordor.fan. 600 U A 10.10.10.3 ForestDnsZones.mordor.fan. 600 U A 10.10.10.3; ; GLOBALNI KATALOG _gc._tcp.mordor.fan. 600 U SRV 0 100 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 U SRV 0 100 3268 sauron.mordor.fan. ; ; Izmijenjeni i privatni LDAP aktivnog direktorija _ldap._tcp.mordor.fan. 600 U SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 U SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 U SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 U SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 U SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 U SRV 0 100 389 sauron.mordor.fan. ; ; Izmijenjeni i privatni KERBEROS aktivnog direktorija _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 U SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 U SRV 0 100 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 U SRV 0 100 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 U SRV 0 100 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 U SRV 0 100 464 sauron.mordor.fan. ; ; Evidencija s fiksnim IP-ovima -> Blackelf.mordor.fan serveri. 3600 U 10.10.10.9. Blackspider.mordor.fan. 3600 U 10.10.10.10. Darklord.mordor.fan. 3600 U A 10.10.10.6 mamba.mordor.fan. 3600 U A 10.10.10.4 palantir.mordor.fan. 3600 U 10.10.10.11. Sauron.mordor.fan. 3600 U A 10.10.10.3 shadowftp.mordor.fan. 3600 U 10.10.10.8. Troll.mordor.fan. 3600 U A 10.10.10.7; ; CNAME snima ad-dc.mordor.fan. 3600 U CNAME sauron.mordor.fan. blog.mordor.fan. 3600 U CNAME troll.mordor.fan. fileserver.mordor.fan. 3600 U CNAME mamba.mordor.fan. ftpserver.mordor.fan. 3600 U CNAME shadowftp.mordor.fan. mail.mordor.fan. 3600 U CNAME balckelf.mordor.fan. openfire.mordor.fan. 3600 U CNAME palantir.mordor.fan. proxy.mordor.fan. 3600 U CNAME darklord.mordor.fan. www.mordor.fan. 3600 U CNAME blackspider.mordor.fan.

RRs zapisi iz originalne zone 10.10.10.in-addr.arpa

buzz @ sysadmin: ~ $ cat temp / rrs.10.10.10.in-addr.arpa 
; Odnosi se na SOA i NS 10.10.10.in-addr.arpa. 3600 U SOA-i sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400 3600 10.10.10.in-addr.arpa. 3600 U NS sauron.mordor.fan. ; ; PTR zapisi 10.10.10.10.in-addr.arpa. 3600 U PTR blackspider.mordor.fan. 11.10.10.10.in-addr.arpa. 3600 U PTR palantir.mordor.fan. 3.10.10.10.in-addr.arpa. 3600 U PTR sauron.mordor.fan. 4.10.10.10.in-addr.arpa. 3600 U PTR mamba.mordor.fan. 5.10.10.10.in-addr.arpa. 3600 U PTR dnslinux.mordor.fan. 6.10.10.10.in-addr.arpa. 3600 U PTR darklord.mordor.fan. 7.10.10.10.in-addr.arpa. 3600 U PTR troll.mordor.fan. 8.10.10.10.in-addr.arpa. 3600 U PTR shadowftp.mordor.fan. 9.10.10.10.in-addr.arpa. 3600 U PTR blackelf.mordor.fan.

Do ovog trenutka možemo misliti da imamo potrebne podatke za nastavak naše avanture, ne bez prethodnog promatranja TTL i drugi podaci koji nam pružaju vrlo koncizan način izlaza i izravnog promatranja DNS-a Microsft® Active Directory® 2008 SR2 64 bita.

Slike DNS menadžera u SAURON-u

Dnslinux.mordor.fan tim.

Ako pažljivo pogledamo, na IP adresu 10.10.10.5 nije mu dodijeljeno nijedno ime kako bi ga zauzimalo ime novog DNS-a dnslinux.mordor.fan. Da bismo instalirali DNS i DHCP par, možemo se voditi člancima DNS i DHCP u Debianu 8 "Jessie" y DNS i DHCP na CentOS 7.

Osnovni operativni sistem

Moj prijatelj FuegianOsim što je pravi stručnjak za Microsoft® Windows - ima nekoliko certifikata izdate od te kompanije - pročitao je i primijenio u praksi neke članke o radnim površinama objavljene u FromLinux., i rekao mi je da izričito želi rješenje temeljeno na Debianu. 😉

Da bismo vas zadovoljili, započet ćemo sa svježom, čistom instalacijom poslužitelja zasnovanog na Debian 8 "Jessie". Međutim, ono što ćemo sljedeće napisati vrijedi za distribuciju CentOS i openSUSE čije smo članke ranije spomenuli. BIND i DHCP su isti na bilo kojoj distribuciji. Održavatelji paketa unose male varijacije u svaku distribuciju.

Instalaciju ćemo izvršiti kako je naznačeno u DNS i DHCP u Debianu 8 "Jessie", vodeći računa o korištenju IP-a 10.10.10.5 i mrežu 10.10.10.0 / 24., čak i prije konfiguriranja BIND-a.

Konfiguriramo BIND u Debian stilu

/etc/bind/named.conf

datoteku /etc/bind/named.conf ostavljamo ga kako je instaliran.

/etc/bind/named.conf.options

datoteku /etc/bind/named.conf.options treba ostaviti sljedeći sadržaj:

root @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dnslinux: ~ # nano /etc/bind/named.conf.options
opcije {direktorij "/ var / cache / bind"; // Ako postoji zaštitni zid između vas i poslužitelja imena s kojima želite // razgovarati, možda ćete trebati popraviti zaštitni zid da omogući više // portova da razgovaraju. Pogledajte http://www.kb.cert.org/vuls/id/800113 // Ako je vaš ISP pružio jednu ili više IP adresa za stabilne // servere imena, vjerojatno ih želite koristiti kao prosljeđivače. // Otkomentirajte sljedeći blok i umetnite adrese koje zamjenjuju // rezervirano mjesto all-0. // prosljeđivači {// 0.0.0.0; //}; // ================================================= ===================== $ $ Ako BIND evidentira poruke o greškama o matičnom ključu koji je istekao, // trebat ćete ažurirati svoje ključeve. Pogledajte https://www.isc.org/bind-keys // =================================== =================================== $

    // Ne želimo DNSSEC
        dnssec-enable no;
        //dnssec-validacija automatski;

        auth-nxdomain br; # u skladu s RFC1035

 // Ne trebamo slušati IPv6 adrese
        // preslušavanje na v6 {bilo; };
    Listen-on-v6 {none; };

 // Za provjere od localhost i sysadmin
    // kroz // kopati mordor.fan axfr // kopati 10.10.10.in-addr.arpa axfr // kopati _msdcs.mordor.fan axfr // Nemamo slave DNS ... do sada
 allow-transfer {localhost; 10.10.10.1; };
};

// Dnevnik BIND
prijavljivanje {

        upiti za kanale {
        datoteka "/var/log/named/queries.log" verzija 3 veličina 1m;
        informacije o ozbiljnosti;
        vrijeme ispisa da;
        ozbiljnost ispisa da;
        kategorija ispisa da;
        };

        greška u upitu kanala {
        datoteka "/var/log/named/query-error.log" verzija 3 veličina 1m;
        informacije o ozbiljnosti;
        vrijeme ispisa da;
        ozbiljnost ispisa da;
        kategorija ispisa da;
        };

                                
upiti kategorije {
         upite;
         };

kategorija upit-greške {
         greška upita;
         };

};
  • Uvođenje hvatanja BIND dnevnika uvodimo kao a NUEVO pojavljivanje u seriji članaka na tu temu. Mi stvaramo lmapa i datoteke potrebne za Sindikat VEZE:
root @ dnslinux: ~ # mkdir / var / log / named
root @ dnslinux: ~ # dodirnite /var/log/named/queries.log
root @ dnslinux: ~ # dodirnite /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / named

Provjeravamo sintaksu konfiguriranih datoteka

root @ dnslinux: ~ # named-checkconf 
root @ dnslinux: ~ #

/etc/bind/named.conf.local

Mi kreiramo datoteku /etc/bind/zones.rfcFreeBSD sa istim sadržajem kao što je naznačeno u DNS i DHCP u Debianu 8 "Jessie".

root @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

datoteku /etc/bind/named.conf.local treba ostaviti sljedeći sadržaj:

// // Napravite bilo koju lokalnu konfiguraciju // // Razmislite da ovdje dodate 1918 zona, ako se ne koriste u vašoj // organizaciji
uključuju "/etc/bind/zones.rfc1918"; uključuju "/etc/bind/zones.rfcFreeBSD";

zona "mordor.fan" {tip master; datoteka "/var/lib/bind/db.mordor.fan"; }; zona "10.10.10.in-addr.arpa" {master; datoteka "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

zona "_msdcs.mordor.fan" {tip master;
 check-imena ignorirati; datoteka "/etc/bind/db._msdcs.mordor.fan"; }; root @ dnslinux: ~ # named-checkconf
root @ dnslinux: ~ #

Zona datoteka mordor.fan

root @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; serijski 1D; osvježi 1H; pokušaj 1W; istječe 3H); minimum ili; Vrijeme negativnog predmemoriranja za život;
; BUDITE VRLO OPREZNI SA SLEDEĆIM ZAPISIMA
@ IN NS dnslinux.mordor.fan.
@ U 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT "Dobrodošli u mračni lan Mordora";
_msdcs.mordor.fan. U NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. U 10.10.10.5
; ZAVRŠITE VRLO PAZLJIVO SA SLEDEĆIM EVIDENCIJAMA;
DomainDnsZones.mordor.fan. U A 10.10.10.3 ForestDnsZones.mordor.fan. U A 10.10.10.3; ; GLOBALNI KATALOG _gc._tcp.mordor.fan. 600 U SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 U SRV 0 0 3268 sauron.mordor.fan. ; ; Izmijenjeni i privatni LDAP aktivnog direktorija _ldap._tcp.mordor.fan. 600 U SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 U SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 U SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 U SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 U SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 U SRV 0 0 389 sauron.mordor.fan. ; ; KERBEROS je izmijenjen i privatan iz Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 U SRV 0 0 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 U SRV 0 0 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 U SRV 0 0 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 U SRV 0 0 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 U SRV 0 0 464 sauron.mordor.fan. ; ; Bilježi A s fiksnom IP adresom -> Poslužitelji blackelf.mordor.fan. U 10.10.10.9. Blackspider.mordor.fan. U 10.10.10.10. Darklord.mordor.fan. U A 10.10.10.6 mamba.mordor.fan. U 10.10.10.4 palantir.mordor.fan. U 10.10.10.11
sauron.mordor.fan. U 10.10.10.3
shadowftp.mordor.fan. U 10.10.10.8. Troll.mordor.fan. U A 10.10.10.7; ; CNAME snima ad-dc.mordor.fan. U CNAME sauron.mordor.fan. blog.mordor.fan. U CNAME troll.mordor.fan. fileserver.mordor.fan. U CNAME mamba.mordor.fan. ftpserver.mordor.fan. U CNAME-u shadowftp.mordor.fan. mail.mordor.fan. U CNAME balckelf.mordor.fan. openfire.mordor.fan. U CNAME palantir.mordor.fan. proxy.mordor.fan. U CNAME darklord.mordor.fan. www.mordor.fan. U CNAME blackspider.mordor.fan.

root @ dnslinux: ~ # named-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
zone mordor.fan/IN: učitan serijski 1 OK

Vremena TTL 600 od svih SRV registara zadržat ćemo ih u slučaju da instaliramo Slave BIND u roku koji treba. Ti zapisi predstavljaju usluge Active Directory® koje uglavnom čitaju podatke iz vaše LDAP baze podataka. Budući da se ta baza podataka često mijenja, vremena sinkronizacije moraju biti kratka, u DNS shemi Master - Slave. Prema Microsoftovoj filozofiji zapaženoj od Active Directory 2000 do 2008, za ove vrste SRV zapisa zadržava se vrijednost 600.

u TTL servera sa fiksnom IP, oni su ispod deklarisanog vremena u SOA od 3 sata.

Zonska datoteka 10.10.10.in-addr.arpa

root @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; serijski 1D; osvježi 1H; pokušaj 1W; istječe 3H); minimum ili; Vrijeme negativnog predmemoriranja za život; @ IN NS dnslinux.mordor.fan. ; 10 IN PTR blackspider.mordor.fan. 11 U PTR palantir.mordor.fan. 3 U PTR sauron.mordor.fan. 4 U PTR mamba.mordor.fan. 5 U PTR dnslinux.mordor.fan. 6 U PTR darklord.mordor.fan. 7 U PTR troll.mordor.fan. 8 U PTR shadowftp.mordor.fan. 9 U PTR blackelf.mordor.fan.

root @ dnslinux: ~ # named-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
zona 10.10.10.in-addr.arpa/IN: učitan serijski 1 OK

Zonska datoteka _msdcs.mordor.fan

Uzmimo u obzir ono što se preporučuje u datoteci /usr/share/doc/bind9/README.Debian.gz O lokaciji datoteka glavnih zona koje nisu podvrgnute dinamičkom ažuriranju od strane DHCP-a.

root @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; serijski 1D; osvježi 1H; pokušaj 1W; istječe 3H); minimum ili; Vrijeme negativnog predmemoriranja za život; @ IN NS dnslinux.mordor.fan. ; ; ; GLOBALNI KATALOG gc._msdcs.mordor.fan. 600 U A 10.10.10.3; ; Pseudonimi - u modificiranoj i privatnoj LDAP bazi podataka Active Directory- od SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 U CNAME sauron.mordor.fan. ; ; Izmijenjeni i privatni LDAP aktivnog direktorija _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 U SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 U SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 U SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 U SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 U SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 U SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS je izmijenjen i privatan iz Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 U SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 U SRV 0 100 88 sauron.mordor.fan.

Provjeravamo sintaksu i možemo zanemariti grešku koju ona vraća, budući da je u konfiguraciji ove Zone u datoteci /etc/bind/named.conf.local uključujemo izjavu check-imena ignorirati;. ZONA će pravilno učitati BIND.

root @ dnslinux: ~ # named-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: loše ime vlasnika (check-imena) zona _msdcs.mordor.fan/IN: učitan serijski 1 OK

root @ dnslinux: ~ # systemctl ponovo pokrenite bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 
● bind9.service - BIND poslužitelj imena domene učitan: učitan (/lib/systemd/system/bind9.service; omogućeno) Ubacivanje: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf Aktivan: aktivan (trčanje) od ned 2017-02-12 08:48:38 EST; Prije 2s Dokumenti: čovjek: imenovan (8) Proces: 859 ExecStop = / usr / sbin / rndc stop (kod = izašao, status = 0 / USPJEH) Glavni PID: 864 (imenovan) CGroup: /system.slice/bind9.service └─864 / usr / sbin / named -f -u bind 12. februara 08:48:38 dnslinux s imenom [864]: zona 3.efip6.arpa/IN: učitana serijska verzija 1. februara 12 08:48:38 dnslinux s imenom [864 ]: zona befip6.arpa/IN: učitana serijska verzija 1. februara 12. 08:48:38 dnslinux nazvana [864]: zona 0.efip6.arpa/IN: učitana serijska serija 1. februara 12. 08:48:38 dnslinux nazvana [864]: zona 7.efip6.arpa/IN: učitana serijska verzija 1. februara 12. 08:48:38 dnslinux nazvana [864]: zona mordor.fan/IN: učitana serijska serija 1. februara 12. 08:48:38 dnslinux nazvana [864]: primjer zone .org / IN: učitana serijska verzija 1. februara 12 08:48:38 dnslinux pod nazivom [864]: zone _msdcs.mordor.fan/IN: učitana serijska serija 1. februara 12 08:48:38 dnslinux pod nazivom [864]: zona je nevaljana / IN : loaded serial 1. februara 12 08:48:38 dnslinux pod nazivom [864]: sve zone su učitane
12. februara 08:48:38 dnslinux pod nazivom [864]: trčanje

Konsultujemo BIND

Pre Nakon instalacije DHCP-a, moramo izvršiti niz provjera koje uključuju čak i pridruživanje Windows 7 klijenta domeni mordor.fan predstavlja Active Directory instaliran na računaru sauron.mordor.fan.

Prvo što moramo učiniti je zaustaviti DNS uslugu na računaru sauron.mordor.fani u svom mrežnom sučelju izjavite da će od sada vaš DNS server biti 10.10.10.5 dnslinux.mordor.fan.

U konzoli samog servera sauron.mordor.fan izvršavamo:

Microsoft Windows [verzija 6.1.7600]
Autorska prava (c) 2009 Microsoft Corporation. Sva prava zadržana.

C: \ Korisnici \ Administrator> nslookup
Zadani poslužitelj: dnslinux.mordor.fan Adresa: 10.10.10.5

> gc._msdcs
Poslužitelj: dnslinux.mordor.fan Adresa: 10.10.10.5 Ime: gc._msdcs.mordor.fan Adresa: 10.10.10.3

> mordor.fan
Poslužitelj: dnslinux.mordor.fan Adresa: 10.10.10.5 Ime: mordor.fan Adresa: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Poslužitelj: dnslinux.mordor.fan Adresa: 10.10.10.5 Ime: sauron.mordor.fan Adresa: 10.10.10.3 Pseudonimi: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> set set = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRV lokacija serv leda: prioritet = 0 težina = 100 port = 88 svr hostname = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan internet adresa sauron.mordor.fan = 10.10.10.3 internet adresa dnslinux.mordor.fan = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV lokacija usluge: prioritet = 0 težina = 100 port = 389 svr hostname = sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan Internet adresa = 10.10.10.3 Internet adresa dnslinux.mordor.fan = 10.10.10.5
> izlaz

C: \ Korisnici \ Administrator>

DNS upiti napravljeni iz sauron.mordor.fan su zadovoljavajući.

Sljedeći korak bit će stvaranje druge virtualne mašine s instaliranim Windowsom 7. Kako još uvijek nemamo instaliranu DHCP uslugu, dat ćemo računalo pod nazivom «Win7»IP adresa 10.10.10.251. Takođe izjavljujemo da će vaš DNS server biti 10.10.10.5 dnslinux.mordor.fan, i da će biti domena pretraživanja mordor.fan. Taj računar nećemo registrirati u DNS-u jer ćemo ga koristiti i za testiranje DHCP usluge nakon što ga instaliramo.

Dalje otvaramo konzolu CMD i u njemu izvršavamo:

Microsoft Windows [verzija 6.1.7601]
Autorska prava (c) 2009 Microsoft Corporation. Sva prava zadržana.

C: \ Users \ buzz> nslookup
Zadani poslužitelj: dnslinux.mordor.fan Adresa: 10.10.10.5

> mordor.fan
Poslužitelj: dnslinux.mordor.fan Adresa: 10.10.10.5 Ime: mordor.fan Adresa: 10.10.10.3

> set set = SRV
> _ldap._tcp.DomainDnsZones
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan Lokacija usluge SRV: prioritet = 0 težina = 0 port = 389 svr hostname = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fan sauron.mordor.fan Internet adresa = 10.10.10.3 dnslinux.mordor.fan Internet adresa = 10.10.10.5
> _kpasswd._udp
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 _kpasswd._udp.mordor.fan Lokacija usluge SRV: prioritet = 0 težina = 0 port = 464 svr ime hosta = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan Internet adresa sauron.mordor.fan = 10.10.10.3 Internet adresa dnslinux.mordor.fan = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Poslužitelj: dnslinux.mordor.fan Adresa: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRV lokacija serv leda: prioritet = 0 težina = 0 port = 389 svr hostname = sauron. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan Internet adresa = 10.10.10.3 dnslinux.mordor.fan Internet adresa = 10.10.10.5
> izlaz

C: \ Korisnici \ buzz>

DNS upiti napravljeni od klijenta «Win7»Takođe su bili zadovoljavajući.

U Active Directory kreiramo korisnika «saruman«, S ciljem da se koristi prilikom pridruživanja klijentu Win7 na domenu mordor.fan., koristeći metodu «ID mreže«, Korištenje korisničkih imena saruman@mordor.fan y administrator@mordor.fan. Pridruživanje je bilo uspješno i to dokazuje sljedeći snimak zaslona:

O dinamičkim ažuriranjima u Microsoft® DNS i BIND

Kako smo zaustavili DNS uslugu u Active Directory®, klijentu to nije bilo moguće «Win7»Registrirajte svoje ime i IP adresu u taj DNS. Mnogo manje u dnslinux.mordor.fan jer nismo dali nikakvu izjavu dozvoli ažuriranje za bilo koje od uključenih područja.

I tu se stvorila dobra borba sa mojim prijateljem Fuegian. U svom prvom e-mailu o ovom aspektu komentirao sam:

  • Microsoftovi članci o upotrebi BIND-a i Active Directory® preporučuju da se, posebno Direct Zone, dozvoli ažuriranje -prodrli- direktno od strane Windows klijenata koji su već pridruženi domeni Active Directory.
  • Zbog toga su, prema zadanim postavkama, u DNS zonama Active Directory® sigurna dinamička ažuriranja dozvoljena. od strane Windows klijenata koji su već pridruženi domeni Active Directory. Ako nisu ujedinjeni, suzdržavaju se posljedica.
  • DNS Active Directory podržava dinamička ažuriranja "Samo sigurno", "Nesigurno i sigurno" ili "Nijedno", što je isto što i reći NE ažuriranja ili Nijedno.
  • Da stvarno Microsoft Philosophy se ne slaže da njeni kupci NEĆE ažurirati svoje podatke u svojim DNS-ovima, ne bi ostavili otvorenu mogućnost onemogućavanja dinamičkih ažuriranja u svojim DNS-ovima, osim ako ta opcija nije ostat će u skrivene svrhe.
  • Microsoft nudi "Sigurnost" u zamjenu za Darkness, kako mi je rekao kolega i prijatelj koji je prošao kurseve Microsft® certifikata. Tačno. Pored toga, El Fueguino mi je to potvrdio.
  • Klijent koji stekne IP adresu putem DHCP-a instalirane na UNIX® / Linux računalu, na primjer, neće moći razriješiti IP adresu vlastitog imena dok se ne pridružite domeni Active Directory, sve dok se Microsoft® ili BIND koristi kao DNS bez dinamičkog ažuriranja od strane DHCP-a.
  • Ako instaliram DHCP u sam Active Directory®, onda moram izjaviti da je zone ažurirao Microsoft® DHCP.
  • Ako ćemo BIND koristiti kao DNS za Windows mrežu, logično je i preporučljivo je da instaliramo dvojac BIND-DHCP, s tim da ovaj dinamički ažurira BIND i stvar je zaključena.
  • U svijetu LAN mreža na UNIX® / Linuxu, otkad su izumljena dinamička ažuriranja na BIND, dozvoljen je samo gospodin DHCP «prodrijeti»Gospođi BIND sa svojim novostima. Opuštanje koje je uz red, molim.
  • Kad se prijavim u zoni mordor.fan na primjer: allow-update {10.10.10.0/24; };, Sam BIND me prilikom pokretanja ili ponovnog pokretanja obavještava da:
    • zona 'mordor.fan' omogućava ažuriranje putem IP adrese, koja je nesigurna
  • U sakrosanktnom svijetu UNIX® / Linux, takva drskost s DNS-om je jednostavno nedopustiva.

Možete zamisliti ostatak razmjene s mojim prijateljem Fuegian Mediante e-pošte, Telegram Chat, telefonske pozive koje je on platio (naravno čovječe, za to nemam kilograma), pa čak i poruke putem golubova-prijevoznika u XXI vijeku!

Čak je prijetio da mi neće poslati sina svog ljubimca, njegovu Iguanu «Petra»Da mi je obećao kao dio isplate. Tamo sam se zaista uplašio. Tako sam počeo ponovo, ali iz drugog ugla.

  • "Gotovo" Active Directory koji se može postići Sambom 4, majstorski rješava ovaj aspekt, kako kada koristimo njegov interni DNS, tako i BIND sastavljen za podršku DLZ zona - Dinamyc učitane zone, ili dinamički učitane zone.
  • I dalje pati od istog: kada klijent stekne IP adresu putem DHCP-a instaliranog u drugi UNIX® / Linux mašina, nećete moći razriješiti IP adresu svog imena dok se ne pridruži domeni Samba 4 AD-DC.
  • Integrirajte BIND-DLZ i DHCP duo na istom stroju na kojem je AD-DC Samba 4 to je posao za pravog stručnjaka.

Fuegian Pozvao me je u poglavlje i vikao na mene: NE razgovaramo o AD-DC Samba 4, ali Microsoft® Active Directory®!. I ponizno sam odgovorio da sam oduševljen dijelom sljedećih članaka koje ću napisati.

Tada sam mu rekao da je konačna odluka o dinamičkim ažuriranjima za klijentske računare na njegovoj mreži prepuštena njegovoj slobodnoj volji. Da ću mu samo dati Vrh napisano prije oko allow-update {10.10.10.0/24; };, i više ništa. Da nisam odgovoran za ono što je proizašlo iz te promiskuitetnosti koju je svaki Windows klijent ili Linux u svojoj mreži «će prodrijeti»Nekažnjeno za BIND.

Da znaš, prijatelju, Readeru, da je to krajnja tačka tuče, ne bi vjerovao. Moj prijatelj Fuegian prihvatio je rješenje - i poslat će mi iguanu «Petrica«- to sada dijelim s vama.

Instaliramo i konfigurišemo DHCP

Za više detalja pročitajte DNS i DHCP u Debianu 8 "Jessie".

root @ dnslinux: ~ # aptitude instaliraj isc-dhcp-server

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # Na kojim bi sučeljima DHCP server (dhcpd) trebao služiti DHCP zahtjeve? # Odvojite više sučelja s razmacima, npr. "Eth0 eth1". INTERFACIJE = "eth0" root @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n KORISNIK dhcp-ključ
Kdhcp-ključ. +157 + 29836

root @ dnslinux: ~ # cat Kdhcp-ključ. +157 + 29836.privatno
Format privatnog ključa: v1.3 Algoritam: 157 (HMAC_MD5) Ključ: 3HT / bg / 6YwezUShKYofj5g == Bitovi: AAA = Stvoreno: 20170212205030 Objavite: 20170212205030 Aktivirajte: 20170212205030

root @ dnslinux: ~ # nano dhcp.key
ključ dhcp-ključ {algoritam hmac-md5; tajna "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/named.conf.local
// // Napravite ovdje bilo koju lokalnu konfiguraciju // // Razmislite da ovdje dodate 1918 zona, ako se one ne koriste u vašoj // organizaciji uključuju "/etc/bind/zones.rfc1918"; uključuju "/etc/bind/zones.rfcFreeBSD";
// Ne zaboravi ... Zaboravio sam i platio greškama. ;-)
uključuju "/etc/bind/dhcp.key";


zona "mordor.fan" {tip master;
        allow-update {10.10.10.3; ključ dhcp-ključ; };
        datoteka "/var/lib/bind/db.mordor.fan"; }; zona "10.10.10.in-addr.arpa" {master;
        allow-update {10.10.10.3; ključ dhcp-ključ; };
        datoteka "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; zona "_msdcs.mordor.fan" {tip master; check-imena ignorirati; datoteka "/etc/bind/db._msdcs.mordor.fan"; };

root @ dnslinux: ~ # named-checkconf 
root @ dnslinux: ~ #

root @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style-privremeni; ddns-ažuriranja na; ddns-ime domene "mordor.fan."; ddns-rev-ime domene "in-addr.arpa."; ignorirati ažuriranja klijenta; autoritativni; opcija ip-prosljeđivanje isključeno; opcija ime domene "mordor.fan"; uključuju "/etc/dhcp/dhcp.key"; zone mordor.fan. {primarno 127.0.0.1; ključ dhcp-ključ; } zona 10.10.10.in-addr.arpa. {primarno 127.0.0.1; ključ dhcp-ključ; } zajednička mreža redlocal {podmreža 10.10.10.0 mrežna maska ​​255.255.255.0 {usmjerivači opcija 10.10.10.1; opcija podmreža-maska ​​255.255.255.0; opcija e-adresa 10.10.10.255; opcija domain-name-serveri 10.10.10.5; opcija netbios-name-serveri 10.10.10.5; raspon 10.10.10.30 10.10.10.250; }} # END dhcpd.conf

root @ dnslinux: ~ # dhcpd -t
Konzorcij internetskih sistema DHCP server 4.3.1 Copyright 2004-2014 Konzorcij internetskih sistema. Sva prava zadržana. Za informacije, posjetite https://www.isc.org/software/dhcp/ Datoteka konfiguracije: /etc/dhcp/dhcpd.conf Datoteka baze podataka: /var/lib/dhcp/dhcpd.leases PID datoteka: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl ponovo pokrenite bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 

root @ dnslinux: ~ # systemctl start isc-dhcp-server.service
root @ dnslinux: ~ # systemctl status isc-dhcp-server.service

Šta je povezano sa Provjere kod klijenata, i Ručna izmjena datoteka Zone, ostavljamo vama, čitatelju, da ga direktno pročitate DNS i DHCP u Debianu 8 "Jessie"i primijenite ga na vaše stvarne uvjete. Proveli smo sve potrebne provjere i postigli zadovoljavajuće rezultate. Kopiju svih njih naravno šaljemo na Fuegian. Neće biti više!

Savjeti

General

  • Priuštite si puno strpljenja prije nego što započnete.
  • Prvo instalirajte i konfigurirajte BIND. Provjerite sve i pogledajte sve zapise koje ste deklarirali u svakoj datoteci s tri ili više zona, kako iz Active Directory, tako i sa samog DNS poslužitelja na Linuxu. Ako je moguće, s Linux računala koji nije pridružen domeni, pošaljite potrebne DNS upite u BIND.
  • Pridružite se Windows klijentu s fiksnom IP adresom na postojeću domenu i ponovo provjerite sve BIND postavke iz Windows klijenta.
  • Nakon što ste nesumnjivo sigurni da je konfiguracija vašeg potpuno novog BIND-a potpuno ispravna, odvažite se na instaliranje, konfiguriranje i pokretanje DHCP usluge.
  • U slučaju grešaka, ponovite cijeli postupak od nule 0.
  • Budite oprezni s copy & pasteom! i preostali razmaci u svakom retku named.conf.xxxx datoteka
  • Poslije se nije žalio - a još manje mojem prijatelju Fuegiancu - da nije pravilno savjetovan.

Ostali savjeti

  • Podijeli i osvoji.
  • U MSP mreži je sigurnije i korisnije instalirati autoritativni BIND za interne LAN zone koji se ne ponavlja ni na jednom root serveru: rekurzija br;.
  • U MSP mreži koja se nalazi pod dobavljačem pristupa Internetu - ISP, možda usluge zastupnik y SMTP trebaju riješiti imena domena na Internetu. On lignja imate mogućnost proglašenja vašeg DNS-a vanjskim ili ne, dok ste na serveru pošte zasnovan na Postfix o MDaemon® Takođe možemo izjaviti DNS servere koje ćemo koristiti u toj usluzi. U ovakvim slučajevima, odnosno slučajevima koji ne pružaju usluge Interneta i koji su pod tačkom Internet provajder, možete instalirati BIND sa Transporteri pokazujući na DNS domene ISP, i deklariraju ga kao sekundarni DNS na poslužiteljima koji trebaju rješavati vanjske upite prema LAN-u, inače ih je moguće prijaviti putem vlastitih konfiguracijskih datoteka.
  • Ako imate Delegiranu zonu pod svom odgovornošćuZatim još jedan pijetao vrana:
    • Instalirajte DNS server na osnovu NSD, koji je po definiciji autoritativni DNS poslužitelj, koji odgovara na upite s računara na Internetu. Za neke informacije prikaz sklonosti ndd. Protect Molimo vas da ga zaštitite sa onoliko zidova koliko je potrebno. I hardver i softver. To će biti DNS za Internet, i to «momak»Ne smijemo je davati s niskim hlačama. 😉
    • Kako se nikada nisam vidio u ovakvom slučaju, odnosno da sam u potpunosti odgovoran za Delegiranu zonu, morao bih vrlo dobro razmisliti šta preporučiti za razrješenje imena domena izvan našeg LAN-a za usluge kojima je to potrebno. Klijentima MSP mreže to zapravo nije potrebno. Posavjetujte se sa specijalizovanom literaturom ili specijalistom za ove predmete, jer ja daleko nisam od njih. Ozbiljno.
    • Rekurzija ne postoji na autoritarnim serverima. U redu?. U slučaju da neko misli to učiniti sa OBVEZNICOM.
  • Iako izričito preciziramo u datoteci /etc/dhcp/dhcpd.conf deklaracija ignorirati ažuriranja klijenta;, ako radimo na računarskoj konzoli dnslinux.mordor.fan naredba journalctl -f, to ćemo vidjeti prilikom pokretanja klijenta win7.mordor.fan dobivamo sljedeće poruke o grešci:
    • 12. februara 16:55:41 dnslinux pod nazivom [900]: klijent 10.10.10.30 # 58762: odbijeno ažuriranje 'mordor.fan/IN'
      12. februara 16:55:42 dnslinux pod nazivom [900]: klijent 10.10.10.30 # 49763: odbijeno ažuriranje 'mordor.fan/IN'
      12. februara 16:56:23 dnslinux pod nazivom [900]: klijent 10.10.10.30 # 63161: odbijeno ažuriranje 'mordor.fan/IN'
      
    • Da bismo eliminirali ove poruke, moramo prijeći na napredne opcije konfiguracije mrežne kartice i poništiti opciju «Registrirajte adrese ove veze u DNS-u«. To će spriječiti klijenta da se zauvijek pokuša samostalno registrirati u Linux DNS-u i kraj problema. Žao mi je, ali nemam kopiju operativnog sistema Windows 7 na španskom jeziku. 😉
  • Da biste saznali sve ozbiljne - i lude - upite koje klijent Windows 7 postavlja, pogledajte zapisati upite.log da to za nešto deklariramo u BIND konfiguraciji. Redoslijed bi bio:
    • root @ dnslinux: ~ # tail -f /var/log/named/queries.log
  • Ako ne dopustite klijentskim računarima da se izravno povežu s Internetom, zašto su vam potrebni root DNS serveri? Ovo će značajno smanjiti izlaz naredbe journalctl -f i od prethodnog, ako se vaš autoritarni DNS poslužitelj za unutarnje zone ne poveže izravno s Internetom, što je preporučljivo sa sigurnosne točke gledišta.
    root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
    root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root
  • Ako vam nije potrebna deklaracija korijenskih poslužitelja, zašto vam je onda potrebna rekurzija - Recursion?
    root @ dnslinux: ~ # nano /etc/bind/named.conf.options
    opcije {
     ....
     rekurzija br;
     ....
    };

Konkretni savjeti koje još uvijek nisam vrlo jasan

El man dhcpd.conf govori nam sljedeće među mnogim -brojnim-ostalim stvarima:

        Izjava o optimizaciji ažuriranja

            zastavica za optimizaciju ažuriranja;

            Ako je parametar optimizacije ažuriranja netačan za dani klijent, poslužitelj će pokušati ažurirati DNS za tog klijenta svaki put kada klijent obnovi ugovor o zakupu, umjesto da samo pokuša ažuriranje kada se čini potrebnim. To će omogućiti DNS-u da lakše izliječi nedosljednosti baze podataka, ali trošak je u tome što DHCP poslužitelj mora obaviti mnogo više DNS ažuriranja. Preporučujemo da ovu opciju omogućite, koja je zadana. Ova opcija utječe samo na ponašanje privremene sheme ažuriranja DNS-a i nema utjecaja na ad-hoc shemu ažuriranja DNS-a. Ako ovaj parametar nije naveden ili je istinit, DHCP poslužitelj će se ažurirati samo kada se promijene informacije o klijentu, klijent dobije drugačiji zakup ili klijentov zakup istekne.

Više ili manje tačan prijevod ili tumačenje prepušteno je vama, dragi čitaoče.

Lično mi se dogodilo - a dogodilo se i tokom pisanja ovog članka - da kada povežem BIND sa Active Directory®, to je Microsft® ili Samba 4, ako promijenim ime klijentskog računara registriranog u Active Directory® domeni ili od AD-DC Sambe 4, zadržava svoje staro ime i IP adresu u Direct Zone, a ne obrnuto, što je ispravno ažurirano novim imenom. Odnosno, staro i novo ime mapiraju se na istu IP adresu u direktnoj zoni, dok se u obrnutom pojavljuje samo novo ime. Da biste me dobro razumjeli, morate sami probati.

Mislim da je to neka vrsta osvete Fuegian -ne meni, molim- zbog pokušaja migriranja vaših usluga na Linux.

Naravno, staro ime će nestati kad se završi TTL 3600, ili vrijeme koje smo deklarirali u DHCP konfiguraciji. Ali želimo da to nestane odmah kao što se to događa u BIND + DHCP-u bez Active Directory-a kroz.

Rješenje za tu situaciju pronašao sam ubacivanjem izjave false-update-optimizacija; na kraju vrha datoteke /etc/dhcp/dhcpd.conf:

ddns-update-style-privremeni; ddns-ažuriranja na; ddns-ime domene "mordor.fan."; ddns-rev-ime domene "in-addr.arpa."; ignorirati ažuriranja klijenta;
false-update-optimizacija;

Ako bilo koji čitatelj zna više o tome, molim vas da me prosvijetli. Mnogo ću to cijeniti.

Resumen

Puno smo se zabavili s tom temom, zar ne? Nema patnje jer imamo BIND koji radi kao DNS poslužitelj u Microsoftovoj mreži, nudeći sve SRV zapise i odgovarajuće odgovarajući na DNS upite upućene njima. S druge strane, imamo DHCP server koji dodjeljuje IP adrese i dinamički ispravno ažurira BIND zone.

Ali ne možemo tražiti ... za trenutak.

Nadam se moj prijatelj Fuegian budite sretni i zadovoljni prvim korakom u vašoj migraciji na Linux kako biste učinili nepodnošljive troškove Microsft® tehničke podrške podnošljivim.

Važna napomena

Karakter "Fuegian»Potpuno je izmišljen i proizvod moje mašte. Svaka sličnost ili slučajnost sa stvarnim ljudima je ista: čista nehotična slučajnost s moje strane. Napravio sam ga samo kako bih pisanje i čitanje ovog članka učinio pomalo ugodnim. Sada, ako mi možete reći da je problem s DNS-om mračan, 😉


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

13 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   crespo88 rekao je

    Vrlo jak, bez komentara. Budući da Microsoftov DNS nije potreban. Pazite da ne tužite, hahahaha. Hvala na isporuci Fico.

  2.   federico rekao je

    Tužiti me? Da ih vide sa EL Fueguino. 😉
    Hvala prijatelju !!!

  3.   Haniball Bean rekao je

    Nije li bilo lakše instalirati zentyal, za sav ovaj dio aktivnog direktorija?

  4.   dhunter rekao je

    Haha, sjajna artikulacija za montiranje snažnog bind-a i vidim da vam je Zentyal preporučen u komentaru iznad, odlazim prije izbijanja pucnjave.

    PS: Domen zasnovan na Windowsu je Mordor, ali ako montiramo čistu Sambu, to bi bio Gondor ili Rohan, zar ne? 😉

  5.   federico rekao je

    Ne preporučujem upotrebu Zentyala nikome. Koristite Windows jer je njegova upotreba stvarnost u mnogim malim i srednjim preduzećima. O stabilnosti Zentayala, pitajte mog prijatelja i kolegu Dhuntera. 😉

  6.   federico rekao je

    Svakako da jesi, druže lovče. Sa Sambom 4 zvat će se tierramedia.fan. 😉

  7.   federico rekao je

    Za one koji su članak već preuzeli, budite vrlo oprezni sa sljedećim:
    Gdje kaže
    ; BUDITE VRLO OPREZNI SA SLEDEĆIM ZAPISIMA
    @ IN NS dnslinux.mordor.fan.
    @ U 10.10.10.3

    Moram tačno reći

    ; BUDITE VRLO OPREZNI SA SLEDEĆIM ZAPISIMA
    @ IN NS dnslinux.mordor.fan.
    @ U 10.10.10.5

    Kolega Eduardo Noel shvatio je moju nehotičnu grešku.

  8.   federico rekao je

    Za one koji su članak već preuzeli, budite vrlo oprezni sa sljedećim:
    Gdje kaže
    ; BUDITE VRLO OPREZNI SA SLEDEĆIM ZAPISIMA
    @ IN NS dnslinux.mordor.fan.
    @ U 10.10.10.3

    Moram tačno reći

    ; BUDITE VRLO OPREZNI SA SLEDEĆIM ZAPISIMA
    @ IN NS dnslinux.mordor.fan.
    @ U 10.10.10.5

    Kolega Eduardo Noel shvatio je moju nehotičnu grešku.

  9.   dhunter rekao je

    Za one koji planiraju koristiti Zentyal za nešto ozbiljno upozoravam vas da budete vrlo oprezni, koristim dva upravljačka programa Zentyal 4.2 (14.04. aprila), ažurirao sam sve i budite oprezni do maksimalnih, vrlo rijetkih grešaka (a rjeđi su odgovori u projektu bugzilla, vi Zbog njih se osjećate glupo zbog korištenja nečega za što tako malo cijenite), neko vrijeme su bili bez strašnih povratnih informacija za koje sam mislio da su nestali i odjednom izdaju 5.0 bez moguće migracije sa 4.2 ... divno ...

    Prijavljivanje grešaka u verziju zajednice nema smisla ako ne trčite zajedno s programerima koji uvijek koriste najnoviju verziju, pogledajte ovo: https://tracker.zentyal.org/issues/5080#comment:14

    Na kraju treba umrijeti s relativno stabilnom verzijom i tući je dok ne traje, pogledajte stvari koje moj zentyal ima u cron-u:

    0 7 * * 1-6 /sbin/shutdown -r now

    Kao što sam rekao ... divno!

    PS: Navodno sav ovaj rad trošim da bih koristio besplatnu verziju, navodno je plaćena verzija ozbiljna, ali mislim da nije najbolja strategija za pridobivanje korisnika, drugi proizvod sa sličnim poslovnim modelom je Proxmox i uporedio sam njenu plaćenu verziju za takve da bi novac dao projektu, a ne zato što besplatna verzija nedostaje, Proxmox je dragulj.

  10.   Ismael Alvarez Wong rekao je

    Dobar dan Federico:
    Sa svakim novim člankom podižete zaustavljanje, krenite kao da to nije dovoljno sa svime što je pokriveno u 3 prethodna posta o BIND + DHCP dvojcu, sada objavljujete ovaj "trunk" (izvinite na kratak način) članka o tome kako migrirati Microsoftov DNS na BIND, kako ga ažurirati s DHCP-a u Linuxu i na vrh svega navedenog koegzistirati s Microsoft Active Directory.
    . Sjajno sve što se odnosi na SRV zapise DNS-a Active Directory-a, njegovu direktnu zonu "_msdcs.dominio", kako sa Linux-a snimiti zapise zona -ili više- DNS-a Microsoft AD-a za stvaranje baza podataka rekao je Zone u BIND-u.
    . Vrlo je korisno omogućiti Dnevnike upita u BIND konfiguraciji.
    . VRLO Vrijedan savjet da: Klijent koji stekne IP adresu putem DHCP-a instaliranog na Linuxu, neće moći razriješiti IP adresu svog imena dok se ne pridruži domeni Active Directory. U primjeru Laboratorija članka, prvo računaru "win7" dodjeljuje se IP adresa 10.10.10.251 za vršenje DNS provjera domene "mordor.fan", a zatim se s te fiksne IP adrese pridružuje Microsoft AD-u, tako da konačno kada Ako je DHCP instaliran u Linuxu, to je onaj koji dodjeljuje svoj IP i istovremeno ažuriranja "prodiru" u BIND da bi upisali registar opreme u prosljeđivanje i natrag. IDITE DETALJNIJE NEĆETE PRONAĆI!
    . Vrlo dobro, sva razmatranja o dinamičkim ažuriranjima u Microsoft® DNS-u i u BIND-u; kao i svi savjeti objašnjeni u završnom odjeljku, a posebno sav razvoj i predloženo rješenje za "Posebno vijeće koje još uvijek nisam vrlo jasan."
    ! 5 ZVEZDA ZA AUTORA! i pratim PYMES seriju sa sve većim zanimanjem!

  11.   federico rekao je

    Dhunter: Napisao glas iskustva. "Praksa je najbolji kriterij istine."

    Wong: Već sam propustio vaš komentar - dodatak članku. Nadam se da će uskoro izaći onaj o dnsmasqu.

    Hvala vam na komentarima.

  12.   crespo88 rekao je

    Niste govorili + o partneru koji se zove «El Fueguino», niti o njegovoj odluci da započne migraciju svojih servera. Ukrao si drugu od Microsofta, hahaha !!!! ????

  13.   federico rekao je

    hahahaha prijatelj crespo88. Vidim da vam se svidio val izmišljenog lika. Ako drugi imaju više mišljenja poput vas, to bi članke o gustim temama moglo učiniti zabavnijim. Sačekajmo druge komentare o tome.