Dnsmasq kaj Active Directory - SME-Retoj

Ĝenerala indekso de la serio: Komputilaj Retoj por SMEoj: Enkonduko

Saluton, amikoj!. Por kompreni kaj sekvi ĝuste ĉi tiun artikolon estas esenca legante siajn antaŭulojn:

Ili klarigas teoriajn kaj praktikajn konceptojn, kiujn ni ne aludos en ĉi tiu. Ni ŝanĝos distribuon en la kuranta jaro al Debian 8.6 "Jessie" kaj ni daŭrigos per la samaj parametroj, kiujn ni uzas en BIND kaj Active Directory®.

  • La procedo priskribita en ĉi tiu afiŝo validas ankaŭ por CentOS 7. La agorda dosiero / etc / dnsmasq estas la sama. Mi deklaras ĝin, ĉar mi konsideras nenecesa fari apartan artikolon por Dnsmasq kaj Active Directory® bazita sur CentOS. Feliĉe, la dosierujoj rilataj al dokumentado kaj agordo samas. 😉
  • La Dnsmaq estas kreo de Simon Kelley

Limoj pri la uzo de Dnsmasq

Pro ĝia graveco ni ripetas la LIMOJ tio subtenas la Dnsmasq -kuron viro dnsmasq- kiu reflektas ĝuste la sekva:

LIMOJ

  • La aprioraj valoroj por rimedlimoj estas ĝenerale konservativaj, kaj taŭgas por uzo sur enkursigilaj aparatoj. blokita per malrapidaj procesoroj kaj malmulta memoro. En aparataro pli  kapabla, eblas pliigi la limojn, kaj subteni multajn pli klientoj. La jeno validas por dnsmasq-2.37: antaŭaj versioj ne ili tiel bone grimpis.
  • Dnsmasq kapablas subteni DNS kaj DHCP almenaŭ mil (1,000) klientoj. Luaj tempoj ne devas esti tro mallongaj (malpli ol unu tempo). La valoro de –dns-forward-max povas esti pliigita: komencu per la ekvivalento de la nombro de klientoj kaj pliigu ĝin se la DNS. Notu, ke DNS-agado ankaŭ dependas de la serviloj Kontraŭflua DNS. DNS-kaŝmemoro povas esti pliigita: la limo Bezonata estas 10,000 nomoj kaj la apriora (150) estas tre malalta. Sendi SIGUSR1 al dnsmasq igas bitakorajn informojn utila por agordi kaŝmemoran grandecon. Vidu la sekcion NOTOJ por detaloj.
  • La enkonstruita TFTP-servilo kapablas subteni plurajn translokigojn samtempaj dosieroj: la absoluta limo rilatas al la nombro da dosieraj teniloj permesitaj al procezo kaj al la kapablo de la sistemoĈi tiu voko select () subtenas grandajn nombrojn da dosieraj teniloj. Se la limo estas tro alta kun –tftp-max ĝi estos malgrandigita kaj la efektiva limo estos mezurita ĉe la ekfunkciigo. Notu, ke pli da translokigoj eblas kiam la sama dosiero estas sendita kio kiam ĉiu transferencia sendas alian dosieron. Eblas uzi dnsmasq por nei retejan reklamadon per listo de konataj rubandaj serviloj, ĉiuj solvantaj al 127.0.0.1 aŭ 0.0.0.0 en / etc / hosts aŭ en aldona gastiga dosiero. La listo povas estu tre longa. Dnsmasq estis testita sukcese kun miliono da nomoj. Tiu grandeco de dosiero bezonas 1GHz-CPU kaj proksimuman60MB RAM.
  • Dnsmasq kapablas subteni DNS kaj DHCP almenaŭ mil (1,000) klientoj.

Ni instalu kaj agordu Jessie kaj Dnsmasq

Ni komencos de nova kaj pura instalado de servilo bazita sur Debian 8 "Jessie". Tio estas, la operaciumo sen iu ajn grafika interfaco aŭ alia pakaĵo instalita. La retaj parametroj estos samaj kiel tiuj uzataj en la artikolo BIND kaj Active Directory®:

Domajna nomo mordor.fan LAN-Reto 10.10.10.0/24 ======================================== ======================================= Serviloj IP-Adreso Celo (Serviloj kun OS Vindozo) ==================================================== ==============================
sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2
mamba.mordor.fan. 10.10.10.4 Vindozo-Dosiera Servilo
dns.mordor.fan 10.10.10.5 DnsMasq Server sur Jessie
malluma sinjoro.mordor.fan. 10.10.10.6 prokurilo, enirejo kaj fajroŝirmilo ĉe Kerios troll.mordor.fan. 10.10.10.7 Blogo bazita sur ... ne memoras shadowftp.mordor.fan. 10.10.10.8 FTP-servilo blackelf.mordor.fan. 10.10.10.9 Plena retpoŝta servo blackspider.mordor.fan. 10.10.10.10 WWW-servo palantir.mordor.fan. 10.10.10.11. ftpserver blackelf mail blackspider www palantir openfire

Komencaj agordoj de servilo dns.mordor.fan

root @ dns: ~ # nano / etc / hostname
dns

root @ dns: ~ # nano / ktp / hosts
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # La jenaj linioj estas dezirindaj por IPv6-kapablaj gastigantoj :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

root @ dns: ~ # nano / etc / network / interfaces
# Ĉi tiu dosiero priskribas la retajn interfacojn haveblajn en via sistemo kaj kiel aktivigi ilin. Por pliaj informoj, vidu interfacojn (5). source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # La ĉefa reta interfaco allow-hotplug eth0 iface eth0 inet statika adreso 10.10.10.5 retmasko 255.255.255.0 reto 10.10.10.0 elsendo 10.10.10.255. 10.10.10.1-enirejo 127.0.0.1 # dns- * -opcioj estas efektivigitaj de la pako resolvconf, se instalitaj dns-nameservers XNUMX dns-search mordor.fan

Ni instalu la Dnsmasq kaj htop

root @ dns: ~ # aptitude install dnsmasq htop

Post instalado de la pakaĵo htop ni povas kontroli la konsumon de CPU kaj memoro de la teamo. Ĝi konsumis nur ĉirkaŭ 71 megabajtojn da RAM. Se ni volas malpliigi konsumon eĉ pli, ni povas instali la pakaĵon SSMTP -simple MTA- kiu siavice purigas la pakon Eksim4 ke Debian ĉiam instalas defaŭlte kaj ke ni vere ne bezonas laŭ la uzo, kiun ni donos al ĉi tiu servilo:

root @ dns: ~ # aptitude install ssmtp
root @ dns: ~ # aptitude purge ~ c
root @ dns: ~ # aptitude clean
root @ dns: ~ # aptitude autoclean
root @ dns: ~ # systemctl reboot

Post restartigi la komputilon, la konsumo estas jena: Dnsmasq kaj Active Directory

 

Malalta, ĉu ne? Ni pluiru.

Ni indiku, ke Dnsmasq ankaŭ konsultas Microsft® DNS

Por testi la eblajn Dnsmasq-agordojn en via komputilo dns.mordor.fan, ni devas inkluzivi deklaron, kiu indikas, ke la Microsoft DNS de la servilo estas konsultita sauron.mordor.fan. Ni povas fari ĝin inkluzive de la direktivo servilo = / mordor.fan / 10.10.10.3 en la ar theivo dnsmasq.conf -kiel ni vidos poste- aŭ aldonante la linion nomservilo 10.10.10.3 en la ar theivo /etc/resolv.conf. Ĉar ni ankoraŭ ne agordis la Dnsmasq laŭ niaj bezonoj, ni elektas la duan manieron:

root @ dns: ~ # nano /etc/resolv.conf
domajno mordor.fan
nomservilo 127.0.0.1
nomservilo 10.10.10.3

Ni nun povas solvi DNS-demandojn

Kun la defaŭlta agordo de Dnsmasq provizita de ĝia ĉefa dosiero /etc/dnasmq.conf, kaj kun tio, kio estas deklarita en la dosiero /etc/resolv.conf de la servilo mem «dns«, Ĉiu kliento konektita al la LAN -kaj deklarita kiel DNS-servilo dns.mordor.fan- vi povas solvi DNS-demandojn koste de Microsoft® DNS nuntempe ...

  • Estas tre grave kontroli la respondan rapidon de la Dnsmasq montrante ĝian staton kiel Antaŭen per la nura enigo de la IP 10.10.10.3 en vian dosieron /etc/resolv.conf.

De mia administra laborejo kaj subteno de ĉiuj ekipaĵoj, per kiuj mi skribas, mi kuras:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Generita de NetworkManager-domajno mordor.fan nomservilo 10.10.10.5

buzz @ sysadmin: ~ $ nslookup
> dns
Servilo: 10.10.10.5 Adreso: 10.10.10.5 # 53 Nomo: dns.mordor.fan Adreso: 10.10.10.5

> sauron
Servilo: 10.10.10.5 Adreso: 10.10.10.5 # 53

Neaŭtoritata respondo:
Nomo: sauron.mordor.fan Adreso: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Servilo: 10.10.10.5 Adreso: 10.10.10.5 # 53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan kanonika nomo = sauron.mordor.fan. Nomo: sauron.mordor.fan Adreso: 10.10.10.3

> 10.10.10.3
Servilo: 127.0.0.1 Adreso: 127.0.0.1 # 53 3.10.10.10.in-addr.arpa nomo = sauron.mordor.fan.

> 10.10.10.9
Servilo: 127.0.0.1 Adreso: 127.0.0.1 # 53 9.10.10.10.in-addr.arpa nomo = blackelf.mordor.fan.

> 10.10.10.5
Servilo: 127.0.0.1 Adreso: 127.0.0.1 # 53 5.10.10.10.in-addr.arpa nomo = dns.mordor.fan.

> poŝto
Servilo: 10.10.10.5 Adreso: 10.10.10.5 # 53 Neaŭtoritata respondo: mail.mordor.fan kanonika nomo = blackelf.mordor.fan. Nomo: blackelf.mordor.fan Adreso: 10.10.10.9> eliri

buzz @ sysadmin: ~ $

Ni rigardu pli proksime la jenajn aspektojn:

  • dns.mordor.fan rekte respondas DNS-demandojn, kiujn ĝi povas solvi laŭ viaj nunaj Dnsmasq-agordoj. Se vi ne povas solvi ilin, ĝi funkcias tiel Antaŭen kaj demandas IP 10.10.10.3 ĉu ĝi povas respondi la demandon. Kiam oni petas pri IP de la ekipaĵo «dns«, Li respondas rekte. Kiam oni demandas la Dnsmasq, kiu ĝi estas «sauron",?, fari plusendado al la 10.10.10.3 -Vi ne povas respondi rekte ĉar vi ankoraŭ ne registris ĝin- kiu redonas ĝustan Neaŭtoritatan Respondon.
  • Kiam oni demandas, kiu estas «03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan"?, fari plusendado denove kaj ĉi-foje vi ricevas Aŭtoritatan Respondon de DNS de Microsoft®.
  • La alta responda rapido de Dnsmasq por iu ajn speco de konsulto.

Ili estas malgrandaj detaloj, kiuj amas amon ;-).

Fundamentaj diferencoj inter Dnsmasq kaj BIND integritaj kun Active Directory®

Ni lanĉu kelkajn DNS-demandojn en la registroj SOA y NS de la domajno mordor.fan, al ĉiu el la koncernaj serviloj:

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.3
Uzante domajnan servilon: Nomo: 10.10.10.3 Adreso: 10.10.10.3 # 53 Kaŝnomoj: 
mordor.fan havas SOA-rekordon sauron.mordor.fan. gastiganto.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.5
Uzante domajnan servilon: Nomo: 10.10.10.5 Adreso: 10.10.10.5 # 53 Kaŝnomoj: 
mordor.fan havas SOA-rekordon sauron.mordor.fan. gastiganto.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.5
Uzante domajnan servilon: Nomo: 10.10.10.5 Adreso: 10.10.10.5 # 53 Kaŝnomoj: 
mordor.fan nomservilo sauron.mordor.fan.

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.3
Uzante domajnan servilon: Nomo: 10.10.10.3 Adreso: 10.10.10.3 # 53 Kaŝnomoj: 
mordor.fan nomservilo sauron.mordor.fan.

La respondoj estas identaj - logike - ĉar ĉiam respondu reen sauron.mordor.fan. antaŭ DNS-pridemando pri registroj SOA o NSkvankam ŝajnas kion li respondas dns.mordor.fan. Tamen ĝi diferencas de tio, kion oni vidas en la artikolo BIND kaj Active Directory® kie ni tute forigis la funkcion de Microsoft® DNS. En tiu artikolo ĈIUJ DNS-demandoj pri la Domino-Nomspaco mordor.fan La BIND respondis al ili, ĉar ni agordis ĝin tiel, kaj ĉar la BIND respondas demandojn SOA y NS krom permesi la skemon Majstro - Sklavo, Translokigo de Zonoj, ktp., Kaj tial ĝi estas pli kompleta DNS-servilo - kompleksa.

Eble tiuj estas la ĉefaj diferencoj inter la DNS de la Dnsmasq kaj la BIND ... sed BIND -ĉiam povas esti unu aŭ pluraj butoj- ne havas DHCP-servilon, kiu perfekte integriĝas kun DNS-servilo en unu sola daemond, kaj sen bezono de TSIG-ŝlosiloj, agordaj dosieroj, Zonaj datumbazoj, ktp, kiel ni vidis en antaŭaj artikoloj.

  • Mi pensas, ke Karaj Legantoj ekkomprenis, ke mi ne malamas BIND aŭ preferas Dnsmasq al BIND. Estontaj diskutoj pri ĝi estas totala tempoperdo, ĉar ĝi multe rilatas al bezonoj, postuloj, gustoj, preferoj kaj .... ĉiu solvo havas sian ĉarmon ;-).
  • En similaj scenaroj, ĉiuj instalu kaj agordu la programon laŭplaĉan kaj pri kiuj ili scias pli kaj ke ĉio funkcias kiel atendite.

Avantaĝoj de la kombinaĵo Dnsmasq + Active Directory®

Kun ĉi tiu kombinaĵo ni havas la kompletan gamon de respondoj al DNS-demandoj kaj efikan rimedon por lizi IP-adresojn por nia SME-reto. Kiel ni vidos poste, ĝi funkcias ĝuste por iu ajn situacio rilate al ĉu la komputilo estas aŭ ne kunigita al la Regiona Regilo de Microsoft® Active Directory®. Krome ni havas DNS kaj DNS-servilon Antaŭen plejbonece, plus tre rapida DHCP-servilo. Kaj ĉio kun malmulta postulo je rimedoj. Ĉu vi volas pli?

Ĉu eblas Dnsmasq + BIND?

Sendube jes. Kvankam mi rekomendas, ke ili estu instalitaj sur malsamaj komputiloj, por ke ne okazu kolizioj pro la tre ŝatata haveno 53 de la DNS-servo. Eble ni vidos ion pri ĝi kiam ni atingos la Samba-4-bazitan AD-DC. Kiu scias?

Konsiloj pri Dnamasq

  • La esencaj laboraj dosieroj por Dnsmasq provizi DHCP kaj DNS-servojn en LAN estas: /etc/dnsmasq.conf, / ktp / gastigantoj, /var/lib/misc/dnsmasq.leases, y /etc/resolv.conf. La dosiero dnsmasq.luas ĝi estas kreita kiam vi luas vian unuan IP-adreson.
  • Alia labordosiero, kiun vi povas uzi, estas / etc / ethers. Se tia dosiero ekzistas, la direktivo leg-eteroj deklarita en la agorda dosiero, diras al Dnsmasq legi ĝin. Ĝi estas tre utila kiam ni rilatas MAC-adresoj / gastigantaj nomoj por certaj celoj.
  • La DNS-servo povas esti tute malebligita per la direktivo haveno = 0 en la dnsmasq.conf.
  • DHCP-servo por unu aŭ pluraj retaj interfacoj povas esti malebligita per direktivoj -unu por ĉiu linio- no-dhcp-interface = eth0, no-dhcp-interface = eth1, kaj tiel plu. Tre utila kiam ni estas antaŭ teamo kun 2 -aŭ pli- retaj interfacoj kaj ni volas, ke la DHCP-servo estu provizita nur de unu el ili aŭ de neniu. Kompreneble, se ni malŝaltas la DHCP-servon por ĉiuj interfacoj, ni nur lasos la DNS-servon funkcianta. Se ni malebligas ambaŭ servojn, kial ni bezonas Dnsmasq? 😉
  • Deklari al aliaj DNS-Domajnaj Nomaj Serviloj tion ne estas publikaj aŭ eksteraj al la LAN -kiel Microsoft DNS- ni faras ĝin per la direktivo servilo = / domajna nomo / DNS-servilo IP en la ar theivo /etc/dnsmasq.conf. Ekzemplo: servilo = / mordor.fan / 10.10.10.3.
  • Por diri al Dnsmasq, ke demandoj pri lokaj domajnoj respondas nur el la dosiero / ktp / gastigantoj aŭ per via DHCP, ni devas aldoni la direktivon loka = / loka reto / en la ĉefa dosiero de via agordo. Ekzemplo: loka = / mordor.fan /.
  • Por ĝuste agordi la dosieron /etc/resolv.conf - solvi ni sugestas legi ĝian manlibron per la komando viro resolv.conf. Se vi instalas Debian 8.6 "Jessie" vi trovos, ke ĝi estas bone verkita en la hispana.
  • Dnsmasq ne uzas Zones-dosierojn por respondi rektajn aŭ inversajn demandojn.
  • Scii la signifon de ĉiu kampo «speciala»Tio estas uzata en la deklaro de Rimeda Rekordo de SRV, vi devas konsulti BIND kaj Active Directory®. La sintakso de la SRV registras en la dosiero /etc/dnsmasq.conf Ĝi estas kiel sekvas:
    srv-gastiganto = , , , ,

Legantoj, kiuj volas scii pli, bonvolu legi la originalan dosieron /etc/dnsmasq.conf aŭ ekzistantaj dokumentoj en la adresaro / usr / share / doc / dnsmasq-base.

root @ dns: ~ # ls -l / usr / share / doc / dnsmasq-base /
entute 128 -rw-r - r-- 1 radika radiko 883 5 majo 2015 kopirajto -rw-r - r-- 1 radika radiko 36261 5 2015 majo 1 changelog.archive.gz -rw-r - r-- 11297 radika radiko 5 2015 majo 1 changelog.Debian.gz -rw-r - r-- 26014 radika radiko 5 2015 majo 1 changelog.gz -rw-r - r-- 2084 radika radiko 5 2015 majo 1 DBus-interface. Gz -rw- r - r-- 4297 radika radiko 5 2015 majo 2 doc.html drwxr-xr-x 4096 radika radiko 19 Feb 17 52:1 ekzemploj -rw-r - r-- 9721 radika radiko 5 2015 majo 1 FAQ.gz -rw -r - r-- 4180 radika radiko 5 2015 majo 1 README.Debian -rw-r - r - 12019 radika radiko 5 2015 majo XNUMX setup.html

Ni agordu Dnsmasq kaj Resolver

Ni prenos kiel komencan gvidilon - ŝanĝi nomojn kaj tiel plu, kompreneble - la agordan dosieron uzatan en la artikolo «Dnsmasq ĉe CentOS 7.3".

Ni ne forgesu la sekvan paŝon:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Fiksitaj IP-adresoj

La adresoj de la serviloj aŭ ekipaĵoj, kiuj bezonas fiksan IP-ambaŭ IPv4 kiel IPv6- estas deklaritaj en la dosiero / ktp / gastigantoj:

[root @ dns ~] # nano / ktp / hosts
127.0.0.1 localhost # La jenaj linioj estas dezirindaj por IPv6-kapablaj gastigantoj :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters # Serviloj kaj komputiloj kun fiksaj IPoj. 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8. 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

Ni kreu la dosieron /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # ĜENERALAJ OPCIOJ # ---------------------------- - -------------------------------------- domajno-bezonata # Ne pasigu nomojn sen la domajno part bogus-priv # Ne transdoni adresojn en nerotita spaco expand-hosts # Aŭtomate aldoni domajnon al gastiga interfaco = eth0 # Interfaco.  ATENTU pri la Interfaco # krom-interfaco = eth1 # NE A listenskultu ĉi tiun NIC-striktan ordon # Ordo, en kiu vi konsultas la dosieron /etc/resolv.conf # Inkluzivas multajn pliajn agordajn opciojn # per dosiero aŭ trovante la agordon aldonaj dosieroj en dosierujo # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # Rilate al la Domajna Nomo domajno = mordor.fan # Domajna Nomo # La Tempa Servilo estas 10.10.10.1. 10.10.10.1 address = / time.windows.com / XNUMX # Sendas malplenan elekton de la valoro WPAD.  Postulita por # Windos 7 kaj postaj klientoj konduti ĝuste.  ;-) dhcp-option = 252, "\ n" # Dosiero, kie ni deklaros la Gastigantojn, kiuj estos "malpermesitaj" addn-hosts = / etc / banner_add_hosts # Konsultu la DNS-servilon de Microsoft® "sauron" se ni # lasos ĝin ruli servilon = / mordor.fan / 10.10.10.3 # Demandoj pri lokaj domajnoj respondos # de / etc / hosts aŭ per loka DHCP = / mordor.fan / # Demandoj pri PTR aŭ Inversaj registroj respondos # de la serviloj " dns "kaj" sauron "en tiu ordo servilo = / 10.10.10.in-addr.arpa / 10.10.10.5 servilo = / 10.10.10.in-addr.arpa / 10.10.10.3 # ------- - ------------------------------------------------- - --------- # REGISTROSCNAMEMXTXT # ------------------------------------- - ----------------------------- # Ĉi tiu speco de registriĝo postulas eniron # en la dosiero / etc / hosts # ekz: 10.10.0.7. 10 troll.mordor.fan troll # cname = ALIAS, REAL_NAME cname = ad-dc.mordor.fan, sauron.mordor.fan cname = fileserver.mordor.fan, mamba.mordor.fan cname = proxyweb.mordor.fan, darklord .mordor.fan cname = blogo.mordor .fan, troll.mordor.fan cname = ftpserver.mordor.fan, shadowftp.mordor.fan cname = mail.mordor.fan, blackelf.mordor.fan cname = www.mordor.fan, blackspider.mordor.fan cname = opendire .mordor.fan, palantir.mordor.fan # MX RECORDS # Redonas MX-rekordon kun la nomo "mordor.fan" destinita # al la teamo blackelf.mordor.fan kaj prioritato de 10 mx-host = mordor.fan, poŝto. mordor.fan, XNUMX # La defaŭlta celloko por MX-registroj kreitaj # uzante la lokan opcion estos: mx-target = mail.mordor.fan # Liveras MX-rekordon montrantan al mx-target por ĈIU # lokaj lokaj maŝinoj # TXT-registroj. 

dhcp-lease-max = 222 # Maksimuma nombro de luigendaj adresoj
                        # defaŭlte estas 150
# IPV6 Range # dhcp-range = 1234 ::, ra-only # Options for RANGE # OPTIONS dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,10.10.10.253 # ROUTER GATEWAY dhcp-option = 6,10.10.10.5 .15 # DNS-Serviloj dhcp-option = 19,1, mordor.fan # DNS Domain Name dhcp-option = 28,10.10.10.255 # option ip-forwarding ON dhcp-option = 42,10.10.10.1 # BROADCAST dhcp-option = 40. 41,10.10.10.3 # NTP # dhcp-option = 44,10.10.10.3, MORDOR # NIS Domajna Nomo # dhcp-option = 45,10.10.10.3 # NIS-Servilo # dhcp-option = 73,10.10.10.3 # WINS # dhcp-option = 46,8 # NetBIOS-datagramoj # dhcp-option = XNUMX # Fingra Servilo # dhcp-option = XNUMX # NetBIOS-nodo dhcp-aŭtoritata # Aŭtoritata DHCP en la subreto # ------------- -------------------------------------------------- ---- # --------------------------------------------- ---------------------- # LOGGING tail -f / var / log / syslog or journalctl -f # ------------ -------------------------------------------------- ----- protokolaj demandoj # ----------------------------------------- -------------------------- # Re A kaj SRV-registroj respondaj al Aktiva Adresaro # ----------------------------------------- --------------------------
# Rekordoj A
address = / gc._msdcs.mordor.fan / 10.10.10.3 address = / DomainDnsZones.mordor.fan / 10.10.10.3 address = / ForestDnsZones.mordor.fan / 10.10.10.3

# Microsoft DNS Zone CNAME-rekordo _msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# SRV-registroj
# srv-gastiganto = , , , ,

# Tutmonda Katalogo # Microsoft DNS-zono _msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan, sauron.mordor.fan, 3268,0,0
# Mikrosofta DNS-zono mordor.fan
srv-host = _gc._tcp.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan, sauron.mordor.fan .3268,0,0

# Modifita kaj privata LDAP de Aktiva Adresaro
# Microsoft DNS-zono _msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# Microsoft DNS-zono mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# KERBEROS modifita kaj privata de Aktiva Adresaro
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

# FINO de la dosiero /etc/dnsmasq.conf
# ------------------------------------------------- ------------------

Ni kreu la dosieron / etc / banner_add_host

[root @ dns ~] # nano / ktp /standardo_ aldoni_ gastigantojn
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq --test
dnsmasq: sintaksa kontrolo OK.

[root @ dns ~] # systemctl rekomencu dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service

Ni modifu la dosieron /etc/resolv.conf - Resolver

root @ dns: ~ # nano /etc/resolv.conf 
domajno mordor.fan serĉu mordor.fan

Kial ni ne havas la kutimajn liniojn deklaritajn en la dosiero solv.conf? Ĉar ni deklaras en la dnsmasq.conf la jenaj direktivoj:

# Konsultu la DNS-servilon de Microsoft® "sauron" se ni # lasos ĝin funkcii
servilo = / mordor.fan / 10.10.10.3

# Demandoj pri lokaj regadoj respondos # de / etc / hosts aŭ per DHCP
loka = / mordor.fan /

# Demandoj pri PTR aŭ Inversaj registroj respondos # de la serviloj "dns" kaj "sauron" en tiu ordo.
servilo = / 10.10.10.in-addr.arpa / 10.10.10.5 servilo = / 10.10.10.in-addr.arpa / 10.10.10.3

Demandoj de sysadmin.mordor.fan

La arkivo /etc/resolv.conf de ĉi tiu teamo estas:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf
# Generita de NetworkManager-serĉo mordor.fan nomservilo 10.10.10.5
buzz @ sysadmin: ~ $ host -t Al spynet4.microsoft.com
spynet4.microsoft.com havas adreson 127.0.0.1

buzz @ sysadmin: ~ $ host -t Al www.download.windowsupdate.com
www.download.windowsupdate.com havas adreson 127.0.0.1

zumado@sysadmin: ~ $ dig dns
buzz @ sysadmin: ~ $ dig dns.mordor.fan
;; DEMANDA SEKCIO :; dns.mordor.fan. EN ;; RESPONDA SEKCIO: dns.mordor.fan. 0 EN A 10.10.10.5

buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs
buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fan havas SRV-registron 0 0 3268 sauron.mordor.fan.

buzz @ sysadmin: ~ $ dig _ldap._tcp.gc._msdcs.mordor.fan
;; DEMANDA SEKCIO :; _ldap._tcp.gc._msdcs.mordor.fan. EN ;; RESPONDA SEKCIO: _ldap._tcp.gc._msdcs.mordor.fan. 0 EN A 10.10.10.3

buzz @ sysadmin: ~ $ dig mordor.fan axfr
buzz @ sysadmin: ~ $ dig 10.10.10.in-addr.arpa axfr

Kaj tiel, kiom da konsultoj ni bezonas

Klientoj Dnsmasq + Active Directory® + Microsoft® Windows

Alinomo de Vindozo-Kliento de Microsoft®

sep.mordor.fan luigita IP-adreso:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

Ni alinomu la «sep»-Kiu ne estas ligita al la Aktiva Adresara Domajno- per«eŭkalipto«. Post la ŝanĝo kaj la rekomenco ni kontrolas:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

La historio de la ŝanĝoj videblas de "sysadmin":

buzz @ sysadmin: ~ $ host -t A seven
seven.mordor.fan havas adreson 10.10.10.115

Post la nomŝanĝo

buzz @ sysadmin: ~ $ host -t A seven
sep havas neniun A-rekordon

buzz @ sysadmin: ~ $ host -t A eucaliptus
eucaliptus.mordor.fan havas adreson 10.10.10.115

Demandoj de la kliento eucaliptus.mordor.fan

Vindozo [Versio 6.1.7601]
Kopirajto (c) 2009 Microsoft Corporation. Ĉiuj rajtoj rezervitaj.

C: \ Uzantoj \ buzz> nslookup
Defaŭlta Servilo: dns.mordor.fan Adreso: 10.10.10.5

> sauron
Servilo: dns.mordor.fan Adreso: 10.10.10.5 Nomo: sauron.mordor.fan Adreso: 10.10.10.3

> mordor.fan
Servilo: dns.mordor.fan Adreso: 10.10.10.5 Nomo: mordor.fan Adreso: 10.10.10.3

> eŭkalipto
Servilo: dns.mordor.fan Adreso: 10.10.10.5 Nomo: eucaliptus.mordor.fan Adreso: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Servilo: dns.mordor.fan Adreso: 10.10.10.5 Nomo: sauron.mordor.fan Adreso: 10.10.10.3 Kaŝnomoj: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> aro tipo = SRV
> _kerberos._udp.mordor.fan
Servilo: dns.mordor.fan Adreso: 10.10.10.5 _kerberos._udp.mordor.fan SRV-serva loko: prioritato = 0 pezo = 0 haveno = 88 svr gastonomo = sauron.mordor.fan sauron.mordor.fan interreta adreso = 10.10.10.3. XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
Servilo: dns.mordor.fan Adreso: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV-servoloko: prioritato = 0 pezo = 0 haveno = 389 svr gastnomo = sauron .mordor.fan sauron.mordor.fan interreta adreso = 10.10.10.3

> eliri

C: \ Uzantoj \ buzz>

Vindozaj klientoj registriĝas en Microsoft® DNS

Vindozaj Klientoj Ne Aligitaj al la Domajno Active Directory®

Ni devas kontroli ĉu la IP-adresoj luitaj de la malsamaj Vindozaj klientoj de Dnsmasq estas ĝuste registritaj en Microsoft® DNS. Ĝi povas influi kiel ni ŝaltas Dinamikajn Ĝisdatigojn - Dinamikaj ĝisdatigoj en la DNS-Zonoj de Microsoft® de la Aktiva Adresaro®. Ni komencas de la apriora agordo de Microsoft DNS, kiu permesas nur Sekurajn Dinamikajn Ĝisdatigojn - Dinamikaj ĝisdatigoj -> Sekura nur, en ĉiu el ĝiaj Zonoj.

Notu, ke la kliento kun la aktuala FQDN eucalyptus.mordor.fan ne estas ligita al la Aktiva Adresara Domajno (aŭ Samba4 AD-DC), kaj estas escepto al la regulo de Mikrosofto, ke «Nur klientoj registritaj en Mia Domajno havos permeson per Mia Ĝisdatiga Mekanismo - kiun mi nur konas - registriĝi en Mia DNS«. Bone, ke Samba4 AD-DC instruas al ni ion pri ĝi.

eŭkaliptus.mordor.fan luigita IP 10.10.10.115:

buzz @ sysadmin: ~ $ host -t A eucaliptus
eucaliptus.mordor.fan havas adreson 10.10.10.115

Ni ŝanĝu ĝian nomon al «mahagono«Ni rekomencu Vindozon 7, kaj vidu, kio okazas, kiam ni petas la nomojn«eŭkalipto"Kaj"mahagono»Al ĉiu el la DNS, unue al Microsoft DNS kaj poste al Dnsmasq:

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.3
Uzante domajnan servilon: Nomo: 10.10.10.3 Adreso: 10.10.10.3 # 53 Kaŝnomoj: 

Gastiganto eucaliptus.mordor.fan ne trovita: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahagono.mordor.fan 10.10.10.3
Uzante domajnan servilon: Nomo: 10.10.10.3 Adreso: 10.10.10.3 # 53 Kaŝnomoj: 

Gastiganto mahogany.mordor.fan ne trovita: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.5
Uzante domajnan servilon: Nomo: 10.10.10.5 Adreso: 10.10.10.5 # 53 Kaŝnomoj: 

Gastiganto eucaliptus.mordor.fan ne trovita: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahagono.mordor.fan 10.10.10.5
Uzante domajnan servilon: Nomo: 10.10.10.5 Adreso: 10.10.10.5 # 53 Kaŝnomoj: 

mahagono.mordor.fan havas adreson 10.10.10.115

Ni povas ŝanĝi la nomon de la kliento Windows 7 ne estas ligita al la Domajno mordor.fan de la Active Directory® tiom da fojoj, kiom ni volas, ke la Microsoft® DNS ne ekscias pri ĉi tiuj ŝanĝoj aŭ ke tia kliento ekzistas. Ĉu eblas, ke ĝi estas nur ĉar ni elektis la opcion  Dinamikaj ĝisdatigoj -> Sekura nur en ĉiu Zono de la Micorosft-DNS?.

Por ke s-ro Microsoft® DNS sciu pri la ŝanĝoj, ni devas elekti Dinamikaj ĝisdatigoj -> Nesekura kaj sekura. Ĉi tiu opcio, Karaj Legantoj, implicas gravan vundeblecon de la sekureco de iu Domajna Servilo respektata, ĉu Microsft® aŭ UNIX® / Linukso. La Microsoft® DNS avertas pri la vundebleco ĉar finfine ĝi estas nenio pli ol modifita kaj privatigita BIND oferti al ni «Sekureco por Mallumo«. Se ne, kial vi rekomendas ŝpari vian faman Registro ĉiuj DNS-agordoj kaj registroj de via Microsoft® DNS kiam ni efektivigas Active Directory®?. Krom subteni nesekurajn ĝisdatigojn al DNS de Microsoft®, la sekva modifo necesas en la agordo de klienta retkarto Windows 7:

 

Ni kontrolu:

buzz @ sysadmin: ~ $ host -t A mahagono.mordor.fan 10.10.10.3
Uzante domajnan servilon: Nomo: 10.10.10.3 Adreso: 10.10.10.3 # 53 Kaŝnomoj: mahagono.mordor.fan havas adreson 10.10.10.115

buzz @ sysadmin: ~ $ gastiganto 10.10.10.115 10.10.10.3
Uzanta domajnan servilon: Nomo: 10.10.10.3 Adreso: 10.10.10.3 # 53 Kaŝnomoj: 115.10.10.10.in-addr.arpa domajna montrilo mahogany.mordor.fan.

buzz @ sysadmin: ~ $ host -t A mahagono 10.10.10.5
Uzante domajnan servilon: Nomo: 10.10.10.5 Adreso: 10.10.10.5 # 53 Kaŝnomoj: mahagono.mordor.fan havas adreson 10.10.10.115

buzz @ sysadmin: ~ $ gastiganto 10.10.10.115 10.10.10.5
Uzanta domajnan servilon: Nomo: 10.10.10.5 Adreso: 10.10.10.5 # 53 Kaŝnomoj: 115.10.10.10.in-addr.arpa domajna montrilo mahogany.mordor.fan.

Jes nun. Kia bela sinkronismo por du DNS-serviloj, kiuj neniel estas sinkronigitaj, ĉu ne?

Vindozaj Klientoj Aliĝis al Domajno Active Directory®

Ni kunigu la klienton mahagono.mordor.fan al la Domajno, sed ne antaŭ ol forigi la modifon, kiun ni faris en la agordo de via retkarto, se iam ni faris ĝin por kontroli nenion alian la celon de la antaŭa ĉapitro. Ankaŭ forigu la eniron por «mahagono»En la Mikrosofto® DNS, kaj redonu la Dinamikajn Ĝisdatigojn al sia devenpunkto de «Sekura nur«. Cetere, validas rekomenci la Microsoft-servon® DNS.

Post aliĝo al la Domajno, kaj malgraŭ ĉiuj niaj penoj, la kliento «mahagono»Ne estas registrita en Microsoft® DNS. Ni eĉ deklaris en la dnsmasq.conf -tempa- ke la unua DNS-servilo estas 10.10.10.3.

Vindozo [Versio 6.1.7601]
Kopirajto (c) 2009 Microsoft Corporation. Ĉiuj rajtoj rezervitaj.

C: \ Uzantoj \ saruman> ipconfig / ĉiuj

Vindozo IP-Agorda Gastiganta Nomo. . . . . . . . . . . . : MAHOGANY Primara Dns-Sufikso. . . . . . . : mordor.fan Noda Tipo. . . . . . . . . . . . : Hibrida IP-Itinero Ebligita. . . . . . . . : Neniu WINS-prokurilo ebligita. . . . . . . . : Neniu DNS-Sufiksa Serĉlisto. . . . . . : mordor.fan Ethernet adaptilo Loka Area Konekto: Konekta specifa DNS-Sufikso. : mordor.fan Priskribo. . . . . . . . . . . : Fizika Adreso de Intel (R) PRO / 1000 MT Reta Konekto. . . . . . . . . : 00-0C-29-D6-14-36 DHCP Ebligita. . . . . . . . . . . : Jes Aŭtomata Agordo Ebligita. . . . : Jes Ligo-loka IPv6-Adreso. . . . . : fe80 :: 352a: b954: 7eba: 963e% 12 (Preferata) IPv4-Adreso. . . . . . . . . . . : 10.10.10.115 (Preferata) Subreta Masko. . . . . . . . . . . : 255.255.255.0 Luado Akirita. . . . . . . . . . : Sabato, la 25-an de februaro, 2017 8:19:05 Lizo eksvalidiĝas. . . . . . . . . . : Sabato, la 25-an de februaro, 2017 4:20:36 PM Defaŭlta Enirejo. . . . . . . . . : 10.10.10.253 DHCP-Servilo. . . . . . . . . . . : 10.10.10.5 DHCPv6 IAID. . . . . . . . . . . : 251661353 DHCPv6-kliento DUID. . . . . . . . : 00-01-00-01-20-3B-69-81-00-0C-29-D6-14-36

   Serviloj DNS. . . . . . . . . . . : 10.10.10.3
                                       10.10.10.5
   NetBIOS super Tcpip. . . . . . . . : Enabled Tunnel adapter isatap.mordor.fan: Media State. . . . . . . . . . . : Amaskomunikilaro malkonektis Konektospecifan DNS-Sufikson. : mordor.fan Priskribo. . . . . . . . . . . : Fizika Adreso de Microsoft ISATAP-Adaptilo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP Ebligita. . . . . . . . . . . : Neniu Aŭtomata Agordo Ebligita. . . . : Jes Tunela adaptilo Loka Area Konekto * 9: Media Ŝtato. . . . . . . . . . . : Amaskomunikilaro malkonektis Konektospecifan DNS-Sufikson. : Priskribo. . . . . . . . . . . : Fizika Adreso de Tunela Adaptilo de Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP Ebligita. . . . . . . . . . . : Neniu Aŭtomata Agordo Ebligita. . . . : Kaj ĝi estas

C: \ Uzantoj \ saruman>

buzz @ sysadmin: ~ $ host -t A mahagono.mordor.fan 10.10.10.3
Uzante domajnan servilon: Nomo: 10.10.10.3 Adreso: 10.10.10.3 # 53 Kaŝnomoj: Gastiganto caoba.mordor.fan ne trovita: 3 (NXDOMAIN)

zumado@sysadmin: ~ $ gastiganto -t Al mahagono.mordor.fan
mahagono.mordor.fan havas adreson 10.10.10.115
  • La sola maniero kiel la kliento estas registrita «mahagono»En Microsft® DNS modifas vian retkarton kiel indikiteó en la antaŭa bildo, tio estas, eksplicite deklarante, ke: la DNS-sufikso por la konekto estas mordor.fan, ke ĝi registras la adreson de la konekto en DNS, kaj ke ĝi uzas la deklaritan DNS-sufikson dum registrado de la konekto..
buzz @ sysadmin: ~ $ host -t A mahagono.mordor.fan 10.10.10.3
Uzante domajnan servilon: Nomo: 10.10.10.3 Adreso: 10.10.10.3 # 53 Kaŝnomoj: mahagono.mordor.fan havas adreson 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahagono.mordor.fan
mahagono.mordor.fan havas adreson 10.10.10.115
Ni ŝanĝu la nomon de "mahagono" al "cedro"
buzz @ sysadmin: ~ $ host -t A mahagono.mordor.fan 10.10.10.3
Uzante domajnan servilon: Nomo: 10.10.10.3 Adreso: 10.10.10.3 # 53 Kaŝnomoj: Gastiganto caoba.mordor.fan ne trovita: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Al cedro.mordor.fan 10.10.10.3
Uzante domajnan servilon: Nomo: 10.10.10.3 Adreso: 10.10.10.3 # 53 Kaŝnomoj: cedro.mordor.fan havas adreson 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahagono.mordor.fan 10.10.10.5
Uzante domajnan servilon: Nomo: 10.10.10.5 Adreso: 10.10.10.5 # 53 Kaŝnomoj: Gastiganto caoba.mordor.fan ne trovita: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Al cedro.mordor.fan 10.10.10.5
Uzante domajnan servilon: Nomo: 10.10.10.5 Adreso: 10.10.10.5 # 53 Kaŝnomoj: cedro.mordor.fan havas adreson 10.10.10.115

Kaj ĉio normala, ĉar klientoj de Microsoft® kaj DNS de Microsoft® ŝatas esti aferoj.

Ni laboru kun Microsoft® DHCP kaj Microsoft® DNS

Karaj Legantoj, ĉi tiu ĉapitro estas ekster la kunteksto de blogo dediĉita al Libera Programaro. Vidu helpon de Microsoft®. Ili ne kredas ?. 😉

Konkludoj

Estas pluraj manieroj labori kun la Microsoft® DNS kiam ni igas ĝin kunekzisti en SME-Reto kun la Dnsmasq. Inter ili ni mencios nur la jenajn:

  • Tute haltigu la servon DNS de Microsoft® en la komputilo, kie ĝi funkcias, indikante poste, ke la starta servo estas malŝaltita. Malmarku la agordon de la retkarto de ĉiu kliento de Microsoft® la eblo Registri la adreson de la konekto en DNS. Forigi el dosiero /etc/dnsmasq.conf Direktivo servilo = / mordor.fan / 10.10.10.3. Notoj:
    • Eĉ se demandoj pri la registroj ne respondas SOA y NS, la reto funkcios ĝuste, same kiel la kuniĝo de la malsamaj klientoj -Microsoft® kaj Linukso- al la Domajno Active Directory®.
    • Ĝi havas la avantaĝon, ke en la SME-LAN ​​estos nur unu Domajna Servilo - vira vira - kaj ĝi estos la Dnsmasq. ;-). Aliflanke, la eblo de nekonsekvencoj inter DNS-registroj stokitaj en Microsoft® DNS kaj tiuj haveblaj per Dnsmasq estas forigita.
  • Lasu Microsoft® DNS funkcii por respondi nur DNS-demandojn pri registroj SOA kaj NS. notas:
    • Ŝanĝu la agordon de la retkarto de ĉiu Vindoza kliento, malmarkante la eblon Registri la ligadreson en DNS.
    • Ni pensas ke ĉi tiu solvo estas malŝparo de rimedoj.
  • Agordu la servojn kiel ni vidis tra la artikolo, kiu montras solvon pli plaĉan al la filozofio Microsoft® -ne FreeBSD / Linukso- Ĉu bone?

Resumo

  • La propono de Microsoft® DNS estas tre fermita. Ĝi ne lasas lokon por aliaj solvoj, kiuj ne konformas al ĝia hermetika filozofio.
  • Patrino Naturo instruas al ni, ke ni ekzistas en diversa universo. Lin normala estas havi miksitan LAN, moviĝantan al Libera Programaro, kaj riĉan je vivo kaj diverseco.
  • Ŝajnas, ke por Microsoft®, klientoj, kiuj ne Aliĝas al Lia Filozofio, estas Forpelitoj, kaj tial ne ĝenu vin konsideri ilin.
  • Kiel malfacile estas labori kun Privata Programaro! Mi preferas iomete labori aranĝi Liberan Programaron kaj esti vere Libera, diable!

"La Plej Bona Kriterio de Vero estas Praktiko."


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

11 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   Zodiako Carburus diris

    Bonega artikolo, kiun vi verkis, Federico!

  2.   Julio Leono diris

    Terura artikolo mia kara. Kaj la resumo estas la plej bona XD
    Ekvilibroj;

  3.   lacerto diris

    Mi ne pensas, ke mi vidis pli kompletan kaj detalan gvidilon por administranto en la interreto (en la hispana lingvo), la laboro, kiun vi faras en Retoj por PYMoj, estas enkadrigi.

    Kvankam la laboro estas peniga kaj atingi tiun detalan nivelon temas pri multaj horoj, mi kredas, ke vi kreas referencan punkton, kiu estos uzata, ĉar ĝi fariĝos konata de multaj SysAdmin, kiuj havas la ŝlosilon en viaj artikoloj. instruisto por multaj el la agadoj, kiujn ŝi renkontas ĉiutage.

    Koncerne al dnsmasq kaj aktiva dosierujo, mi pensas, ke mi neniam havis la ŝancon labori kun ambaŭ, sed en mia laboratorio, se mankas kliento de Windows, ĉio ŝajnas esti bona, kaj ne mirigas ĉi tiun bonegan paŝon post paŝo.

    Savu vian frazon «Kiel malfacile estas labori kun Privata Programaro!. Mi preferas pasigi iom da laboro agordante liberan programaron kaj esti vere senpaga, diable! »... Ni iru, ke pasigi iom da laboro agordi liberan programaron preterpasas la tempon, plejparte por dokumentado kiel la via kaj de multaj aliaj homoj, kiel ankaŭ kun la konstanta homigo de libera programaro.

    Gratulon FIco ... Ni plu.

  4.   federika diris

    Zodiako: Viaj vortoj estas instigo plu skribi. Ne hezitu, multaj bonaj horoj - gluteoj necesas por verki modestan artikolon kiel ĉi tiun.

    Julio León: Saluton ankaŭ al vi, kara Julio. Espereble kaj vi daŭrigos kun ni sur la vojo scii iom pli pri Libera Programaro.

    Lagarto: La pasigitaj tagoj kaj horoj indas, kiam mi legis komentojn kiel tiuj en ĉi tiu afiŝo. Ili estas la plej bona rekompenco por nia laboro. Mi pasigis la ligon al la artikolo al Simon Kelley mem kaj li bonvolis respondi al mi.

    Mi volas utiligi ĉi tiun spacon por diri, ke en la DNS kaj DHCP-afero ni komencas - laŭ strategio - de la komplekso ĝis la facila. Dnsmasq estas tre valida solvo por SME-Retoj, kaj ĝi estas multe pli facile efektivigebla ol la duopo BIND + Isc-Dhcp-Server. La temo eble ŝajnas iom teknika al multaj legantoj. Kun tempo kaj praktiko ili rimarkos, ke tio ne estas la kazo. Indas studi la Principojn de Infrastruktura Servilo, titolo kiu ampleksus la 6 artikolojn verkitajn pri DNS kaj DHCP-servoj, sen forgesi NTP.

    Gratulon al ĉiuj ... Ni plu!

  5.   IWO diris

    Dankon Federico pro alia bonega artikolo kun grandega detalo kaj ampleksa teorio pri Dnsmasq, ilo, kiun ni jam vidas, estas ege utila por administrantoj.

    GRANDA ĉio rilate al enigo de la Microsoft DNS-Zono "_msdcs.mordor.fan" en vian /etc/dnsmasq.conf agordan dosieron per siaj SRV-registroj, kiuj uzas la servojn: _gc, _ldap, _kerberos kaj _kpasswd kun La celo estas uzi Microsoft DNS ("servilo = / mordor.fan / 10.10.10.3" deklaro) krom Dnsmasq ("loka = / mordor.fan /" deklaro) por solvi DNS-demandojn.

    GRANDA estas ankaŭ la evoluinta ekzemplo, ke por ke Microsoft DNS registru Vindozajn klientojn kun IP-ŝanĝoj en la LAN, vi devas elekti en la DNS-agordo, la "Dinamikaj ĝisdatigoj" kiel "Necerta kaj sekura" kaj kion tio implicas en la vundebleco de la sekureco de iu Domajna Servilo respektata, ĉu Microsoft aŭ UNIX / Linukso. Krom esti necesa la modifo en la agordo de la Windows-klienta retkarto.
    Nenio, ke kun ĉiu nova afiŝo vi haltigas! Avide atendante la venontajn artikolojn!

    1.    federika diris

      Koran dankon pro via taksado kaj komento, IWO. En ĉiu artikolo, kiun mi publikigas, mi ĉiam atendas vian opinion, ĉar ĝin subtenas via okupo, scio kaj praktiko. Gratulon IWO. Ni vidos vin en la sekva artikolo

  6.   ĉasisto diris

    Tre bona laboro, kiel ĉiam afiŝi ĉi tiujn gemojn por administrantoj. Dankon mil!

  7.   krespo88 diris

    Donu ŝancon al DNS de Mikrosofto, vi eĉ ne lasis ĝin montri. Ni ne scias, ĉu li ankoraŭ vivas aŭ eĉ se li havas ian honton. Bonega artikolo.

  8.   HO2Gi diris

    Juvelo kiel neniu alia, konservita en plej ŝatataj por konsultado. Bonega artikolo.

  9.   federika diris

    Dankon HO2Gi pro via takso. Mi rekomendas vin -kaj ĝenerale al ĈIUJ- vizito https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/. Ĝi estis redaktita denove kun indekso de ĉiuj publikigitaj afiŝoj kaj la diskutotaj temoj. Salutojn kaj daŭrigu kun ni.

  10.   Paul Andrew Flemmer diris

    Bonega dokumento kiel tiu havebla en https://blog.desdelinux.net/bind-active-directory/
    Mi nur volas fari rekomendon, kaj bonvolu preni ĝin kiel konstruan kritikon; Por ekzempligi la agordon, pli bone estus, se anstataŭ uzi la reton 10.10.10.0/24, ĝi uzus tian, kie ĉiu bloko havis malsamajn nombrojn, kiel la reto 192.168.1.0/24.
    Ĉi tio klarigus, kien inversas la retadresoj, ekzemple kiam vi devas aldoni valorojn de la tipo ".in-addr.arpa"
    Dankon pro dividi tiom da bonkvalitaj scioj.
    Afablajn salutojn.