Dnsmasq ja Active Directory - VKE võrgud

Seeria üldindeks: Arvutivõrgud VKEdele: sissejuhatus

Tere, sõbrad!. Selle artikli mõistmiseks ja järgimiseks on hädavajalik lugedes eelkäijaid:

• Dnsmasq CentOS 7.3-l
• BIND ja Active Directory®

Nad selgitavad teoreetilisi ja praktilisi mõisteid, millele me siin ei viita. Muudame käesoleval aastal jaotuse Debian 8.6 "Jessie" ja jätkame samade parameetritega, mida kasutame BIND ja Active Directory®.

• Selles postituses kirjeldatud protseduur kehtib ka CentOS 7 puhul. Konfiguratsioonifail / etc / dnsmasq on sama. Ma kuulutan selle välja, kuna pean Dnsmasqi ja Active Directory jaoks eraldi artikli koostamist tarbetuks® põhineb CentOS-il. Õnneks on dokumentatsiooni ja seadistusega seotud kataloogid samad,
• Dnsmaq on Simon Kelley

Dnsmasqi kasutamise piirangud

Selle tähtsuse tõttu kordame PIIRID mis toetab Dnsmasq -runit mees dnsmasq- mis peegeldab täpselt järgmine:

PIIRID

• Ressursside piirangute vaikeväärtused on üldiselt konservatiivsed ja sobivad kasutamiseks ruuteri tüüpi seadmetes. takerdunud aeglaste protsessorite ja vähese mäluga. Riistvaras rohkem  võimeline, on võimalik piire tõsta ja palju muud toetada klientidele. Järgmine kehtib dnsmasq-2.37 kohta: eelmised versioonid ei vasta nad ronisid nii hästi.
  

• Dnsmasq on võimeline toetama DNS-i ja DHCP-d vähemalt tuhandel (1,000) klientidele. Liisinguajad ei tohiks olla liiga lühikesed (vähem kui üks aeg). –Dns-forward-max väärtust saab suurendada: alustage - klientide arvu ekvivalent ja suurendage seda, kui DNS. Pange tähele, et DNS-i jõudlus sõltub ka serveritest Ülesvoolu DNS. DNS-i vahemälu suurust saab suurendada: limiit Nõutav on 10,000 150 nime ja vaikimisi (1) on väga madal. SIGUSRXNUMX saatmine dnsmasqile muudab bitacore-teabe kasulik vahemälu suuruse täpsustamiseks. Vaadake üksikasju jaotisest MÄRKUSED.

• Sisseehitatud TFTP-server on võimeline toetama mitut ülekannet samaaegsed failid: absoluutne piir on seotud protsessile lubatud failikäsitluste arvu ja süsteemide võimekusegakõne valige (), et toetada suurt hulka failikäepidemeid. Kui limiit seadistatakse –tftp-max-ga liiga kõrgeks, vähendatakse seda ja tegelik piir määratakse käivitamisel. Pange tähele, et rohkem ülekandeid on võimalikud, kui sama fail saadetakse, millal iga transferencia saadab teistsuguse faili. Veebireklaamide keelamiseks on dnsmasqi abil võimalik kasutada loendit tuntud bänneriserverid, mis kõik lahendavad 127.0.0.1 või 0.0.0.0 failis / etc / hosts või täiendavas hostifailis. Nimekiri võib olla väga pikk. Dnsmasqi on edukalt testitud miljoni nimega. Selle faili suurus vajab 1 GHz protsessorit ja ligikaudset60 MB RAM.

• Dnsmasq on võimeline toetama DNS-i ja DHCP-d vähemalt tuhandel (1,000) kliendid.

Installime ja seadistame Jessie ja Dnsmasq

Alustame uue ja puhta serveri installimisega, mis põhineb Debian 8 "Jessie". See tähendab, et operatsioonisüsteem ilma graafilise liidese või muu paketita installitud. Võrgu parameetrid on samad, mida artiklis kasutatakse BIND ja Active Directory®:

Domeeninimi mordor.fan LAN võrk 10.10.10.0/24 ====================================== == =========================================== Serverite IP-aadressi eesmärk (OS Windowsiga serverid) ) ================================================= == =============================
sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2
mamba.mordor.fan. 10.10.10.4 Windowsi failiserver
dns.mordor.fan 10.10.10.5 DnsMasq Server Jessiel
darklord.mordor.fan. 10.10.10.6 Puhverserver, lüüs ja tulemüür saidil Kerios troll.mordor.fan. 10.10.10.7 Blogi põhineb ... ei mäleta shadowftp.mordor.fan. 10.10.10.8 FTP-server blackelf.mordor.fan. 10.10.10.9 Täielik e-posti teenus blackspider.mordor.fan. 10.10.10.10 WWW-teenus palantir.mordor.fan. 10.10.10.11 Vestlus OpenFire'is Windows Realile CNAME ============================== sauron ad-dc mamba failiserveri darklord proxyweb trolliblogi shadowftp ftpserver blackelf mail blackspider www palantir openfire

Esimesed dns.mordor.fan serveri seaded

juur @ dns: ~ # nano / etc / hostinimi
DNS

root @ dns: ~ # nano / etc / hosts
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # IPv6-võimeliste hostide jaoks on soovitavad järgmised read: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

root @ dns: ~ # nano / etc / network / liidesed
# See fail kirjeldab teie süsteemis saadaolevaid võrguliideseid # ja nende aktiveerimist. Lisateavet leiate liidestest (5). source /etc/network/interfaces.d/* # Tagasisidevõrgu liides auto lo iface lo inet loopback # Esmane võrguliides allow-hotplug eth0 iface eth0 inet staatiline aadress 10.10.10.5 netmask 255.255.255.0 võrk 10.10.10.0 saade 10.10.10.255. 10.10.10.1 lüüsi 127.0.0.1 # dns- * suvandid rakendatakse paketiga resolvconf, kui installitud dns-nameservers XNUMX dns-search mordor.fan

Paigaldame Dnsmasqi ja htopi

root @ dns: ~ # aptitude installige dnsmasq htop

Pärast paketi installimist htop saame kontrollida seadmete protsessorit ja mälutarvet. See kulutas ainult umbes 71 megabaiti RAM-i. Kui soovime tarbimist veelgi vähendada, saame paketi installida SSMTP -lihtsad MTA- mis omakorda puhastab pakendi Näide4 et Debian installib vaikimisi alati ja mida me tõesti ei vaja vastavalt sellele serverile antavale kasutusele:

root @ dns: ~ # aptitude installige ssmtp
juur @ dns: ~ # sobivuse puhastamine ~ c
juur @ dns: ~ # sobivus puhas
juur @ dns: ~ # sobivuse automaatne puhastamine
juur @ dns: ~ # systemctl taaskäivitage

Pärast arvuti taaskäivitamist on tarbimine järgmine:

Madal, eks? Liigume edasi.

Märgime, et ka Dnsmasq pöördub Microsft® DNS-i poole

Võimalike Dnsmasqi konfiguratsioonide testimiseks arvutis dns.mordor.fan, peame lisama avalduse, mis näitab, et konsulteeritakse serveri Microsofti DNS-iga sauron.mordor.fänn. Saame seda teha, kaasa arvatud direktiiv server = / mordor.fan / 10.10.10.3 arhiivis dnsmasq.conf - nagu näeme hiljem - või liini lisamine nimeserverite 10.10.10.3 arhiivis / Etc / resolv.conf. Kuna me pole Dnsmasqi veel vastavalt oma vajadustele konfigureerinud, valime teise tee:

juur @ dns: ~ # nano /etc/resolv.conf
domeen mordor.fan
nimeserverite 127.0.0.1
nimeserverite 10.10.10.3

Nüüd saame lahendada DNS-i päringud

Dnsmasqi vaikekonfiguratsiooniga, mille pakub selle põhifail /etc/dnasmq.confja toimikus deklareerituga / Etc / resolv.conf serverist endast «DNS«, Iga LAN-iga ühendatud klient - ja kes on deklareeritud DNS-serverina dns.mordor.fan- saate lahendada DNS-päringuid Microsoft® DNS-i arvelt praeguseks…

• Oleku kujul kuvamisel on väga oluline kontrollida Dnsmasqi reageerimiskiirust Ekspediitor lisades oma faili lihtsalt IP 10.10.10.3 / Etc / resolv.conf.

Oma administratiivsest töökohast ja kogu atribuutika toest, mille kaudu ma kirjutan, jooksen:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Loonud NetworkManageri domeen mordor.fan nimeserver 10.10.10.5

buzz @ sysadmin: ~ $ nslookup
> DNS
Server: 10.10.10.5 Aadress: 10.10.10.5 # 53 Nimi: dns.mordor.fan Aadress: 10.10.10.5

> sauron
Server: 10.10.10.5 Aadress: 10.10.10.5 # 53

Mitteautoriteetne vastus:
Nimi: sauron.mordor.fan Aadress: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: 10.10.10.5 Aadress: 10.10.10.5 # 53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan kanooniline nimi = sauron.mordor.fan. Nimi: sauron.mordor.fan Aadress: 10.10.10.3

> 10.10.10.3
Server: 127.0.0.1 Aadress: 127.0.0.1 # 53 3.10.10.10.in-addr.arpa name = sauron.mordor.fan.

> 10.10.10.9
Server: 127.0.0.1 Aadress: 127.0.0.1 # 53 9.10.10.10.in-addr.arpa name = blackelf.mordor.fan.

> 10.10.10.5
Server: 127.0.0.1 Aadress: 127.0.0.1 # 53 5.10.10.10.in-addr.arpa name = dns.mordor.fan.

> post
Server: 10.10.10.5 Aadress: 10.10.10.5 # 53 Mitteautoriteetne vastus: mail.mordor.fan kanooniline nimi = blackelf.mordor.fan. Nimi: blackelf.mordor.fan Aadress: 10.10.10.9> exit

buzz @ sysadmin: ~ $

Vaatame lähemalt järgmisi aspekte:

• dns.mordor.fan vastab otse DNS-i päringutele, mille see saab lahendada vastavalt teie praegustele Dnsmasqi seadetele. Kui te ei suuda neid lahendada, töötab see nagu Ekspediitor ja küsib IP-lt 10.10.10.3, kas ta suudab päringule vastata. Kui küsitakse seadme IP-d «DNS«, Ta vastab otse. Kui Dnsmasqilt küsitakse, kes see on «sauron",?, tegema ekspedeerimine kuni 10.10.10.3 -Sa ei saa otse vastata, sest te pole seda veel registreerinud- kes tagastab õige mitteautoritaarse vastuse.
• Kui küsitakse, kes on «03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan"?, tegema ekspedeerimine uuesti ja seekord saate Microsofti® DNS-ilt autoriteetse vastuse.
• Dnsmasqi suur reageerimiskiirus igat tüüpi päringute jaoks.

Need on väikesed detailid, mis muudavad armastuse suurepäraseks ;-).

Põhilised erinevused Active Directory®-ga integreeritud Dnsmasqi ja BIND-i vahel

Käivitame kirjetes paar DNS-i päringut SOA y NS domeeni mordor.fänn, kõigile kaasatud nimeserveritele:

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.3
Domeeniserveri kasutamine: Nimi: 10.10.10.3 Aadress: 10.10.10.3 # 53 Pseudonüümid: 
mordor.fanil on SOA rekord sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.5
Domeeniserveri kasutamine: Nimi: 10.10.10.5 Aadress: 10.10.10.5 # 53 Pseudonüümid: 
mordor.fanil on SOA rekord sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.5
Domeeniserveri kasutamine: Nimi: 10.10.10.5 Aadress: 10.10.10.5 # 53 Pseudonüümid: 
mordor.fan nimeserver sauron.mordor.fan.

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.3
Domeeniserveri kasutamine: Nimi: 10.10.10.3 Aadress: 10.10.10.3 # 53 Pseudonüümid: 
mordor.fan nimeserver sauron.mordor.fan.

Vastused on identsed - mis on loogiline - sest alati reageerima sauron.mordor.fänn. enne DNS-i päringut kirjete kohta SOA o NSKuigi näivad mida ta vastab dns.mordor.fan. Kuid see erineb artiklis nähtust BIND ja Active Directory®, kus olime täielikult eemaldanud Microsofti® DNS-i funktsionaalsuse. Selles artiklis KÕIK DNS-päringud Domino nimeruumi kohta mordor.fänn BIND vastas neile, kuna me konfigureerisime selle nii ja kuna BIND vastab päringutele SOA y NS lisaks skeemi lubamisele Peremees - ori, Tsooniedastus jne ja seetõttu on see terviklikum DNS-server - kompleks.

Võib-olla on need peamised erinevused Dnsmasqi ja BIND DNS-i vahel ... kuid BIND - alati võib olla üks või mitu, kuid sellel pole DHCP-serverit, mis integreeruks sujuvalt DNS-serveriga ühes deemonja ilma TSIG-võtmete, konfiguratsioonifailide, tsooniandmebaaside jms vajaduseta, nagu nägime eelmistes artiklites.

• Ma arvan, et praeguseks on kallid lugejad aru saanud, et ma ei vihka BIND-i ega eelista Dnsmasqi BIND-ile. Tulevased arutelud selle üle on aja raiskamine, kuna sellel on palju pistmist vajaduste, nõudmiste, maitsete, eelistuste ja .... igal lahendusel on oma võlu ;-).

• Sarnaste stsenaariumide korral laske kõigil oma valitud tarkvara installida ja konfigureerida ning et nad teaksid rohkem ja et kõik töötab ootuspäraselt.

Kombinatsiooni Dnsmasq + Active Directory® eelised

Selle kombinatsiooni abil on meil täielik vastus DNS-i päringutele ja tõhusad vahendid IP-aadresside rentimiseks meie VKE-de LAN-i jaoks. Nagu näeme hiljem, töötab see õigesti igas olukorras, mis puudutab seda, kas arvuti on ühendatud Microsoft® Active Directory® domeenikontrolleriga või mitte. Lisaks on meil DNS ja DNS-server Ekspediitor par excellence, lisaks väga kiire DHCP-server. Ja seda kõike vähese ressursinõudlusega. Kas soovite rohkem?

Kas Dnsmasq + BIND on võimalik?

Kindlasti jah. Kuigi soovitan need installida erinevatesse arvutitesse, et DNS-teenuse väga armastatud pordi 53 tõttu ei tekiks kokkupõrkeid. Võib-olla näeme sellest midagi, kui jõuame Samba 4-põhisele AD-DC-le. Kes teab?

Näpunäiteid Dnamasqi kohta

• Dnsmasqi jaoks olulised tööfailid DHCP- ja DNS-teenuste pakkumiseks kohtvõrgus on järgmised: /etc/dnsmasq.conf, / Etc / hosts, /var/lib/misc/dnsmasq.leasing, Ja / Etc / resolv.conf. Fail dnsmasq.liisingud see luuakse, kui rendite oma esimese IP-aadressi.
• Teine tööfail, mida saate kasutada, on / etc / eetrid. Kui selline fail on olemas, siis direktiiv lugeja-eetrid deklareeritud konfiguratsioonifailis, käsib Dnsmasq seda lugeda. See on väga kasulik, kui me omavahel suhestume MAC-aadressid / hostinimed teatud eesmärkidel.
• DNS-teenuse saab direktiivi abil täielikult keelata port = 0 sisse dnsmasq.conf.
• Ühe või mitme võrguliidese DHCP-teenuse saab keelata direktiividega - iga liini jaoks üks no-dhcp-liides = eth0, no-dhcp-liides = eth1, ja nii edasi. Väga kasulik, kui oleme kahe või enama võrguliidesega meeskonna ees ja tahame, et DHCP-teenust pakuks ainult üks neist või keegi neist. Muidugi, kui keelame DHCP-teenuse kõigi liideste jaoks, jätame ainult DNS-teenuse töötama. Kui keelame mõlemad teenused, siis milleks on vaja Dnsmasqi? 😉
• Teistele DNS-i domeeninimeserveritele selle kinnitamiseks ei on avalikud või kohtvõrgu välised - nagu Microsofti DNS puhul - teeme seda direktiivi kaudu server = / domeeni nimi / DNS-serveri IP arhiivis /etc/dnsmasq.conf. Näide: server = / mordor.fan / 10.10.10.3.
• Dnsmasqile öelda, et kohalike domeenide kohta päringutele vastatakse ainult failist / Etc / hosts või teie DHCP kaudu peame direktiivi lisama kohalik = / localnet / oma konfiguratsiooni põhifailis. Näide: kohalik = / mordor.fan /.
• Faili õigeks konfigureerimiseks / Etc / resolv.conf - lahendaja soovitame selle käsiraamatu läbi lugeda käsu abil mees resolv.conf. Kui installite Debiani 8.6 "Jessie", leiate, et see on hispaania keeles hästi kirjutatud.
• Dnsmasq ei kasuta tsoonifaile otseste või vastupidiste päringute vastamiseks.
• Iga välja tähenduse tundmine «eriline»Seda kasutatakse SRV ressursikirje deklaratsioonis, pidage nõu BIND ja Active Directory®. Failis olevate SRV-kirjete süntaks /etc/dnsmasq.conf See on järgmine:

  srv-host = , , , ,

Lugejad, kes soovivad rohkem teada saada, lugege palun originaalfail hoolikalt läbi /etc/dnsmasq.conf või olemasolevaid dokumente kataloogis / usr / share / doc / dnsmasq-base.

root @ dns: ~ # ls -l / usr / share / doc / dnsmasq-base /
kokku 128 -rw-r - r-- 1 juurjuur 883 5. mai 2015 autoriõigus -rw-r - r-- 1 juurjuur 36261 5 2015. mai 1 changelog.archive.gz -rw-r - r-- 11297 juurjuur 5 2015. mai 1 changelog.Debian.gz -rw-r - r-- 26014 juure juur 5 2015. mai 1 changelog.gz -rw-r - r-- 2084 juure juur 5 2015. mai 1 DBus-interface. Gz -rw- r - r - 4297 juure juur 5 2015. mai 2 doc.html drwxr-xr-x 4096 juure juur 19 17. veebruar 52:1 näited -rw-r - r-- 9721 juure juur 5 2015. mai 1 KKK.gz -rw -r - r - 4180 juure juur 5 2015. mai 1 README. Debian -rw-r - r - 12019 juure juur 5 2015. mai XNUMX setup.html

Konfigureerime Dnsmasq ja Resolver

Esmase juhisena - nimede muutmine ja nii edasi - võtame muidugi artiklis kasutatud konfiguratsioonifaili «Dnsmasq CentOS 7.3-l"

Ärgem unustagem järgmist sammu:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Fikseeritud IP-aadressid

Fikseeritud IP-d vajavate serverite või seadmete aadressid - mõlemad IPv4 kui IPv6- on toimikus deklareeritud / Etc / hosts:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost # Järgmised read on soovitavad IPv6-toega hostide jaoks: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters # Fikseeritud IP-ga serverid ja arvutid. 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8. 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 mustanahaline.mordor.fan XNUMX palantir.mordor.fan

Loome faili /etc/dnsmasq.conf

[juur @ dns ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------ ------------------ # ÜLDVALIKUD # ---------------------------- - -------------------------------------- domeen on vajalik # Ärge edastage nimesid ilma domeenita osa võlts-priv # Ärge edastage aadresse marsruutimata ruumis expand-hosts # Lisage domeen automaatselt hostiliidesele = eth0 # Liides.  Hoiduge liidesest # paitsi-liides = eth1 # ÄRGE kuulake seda NIC-i ranges järjekorras olevat # järjekorda, milles te vaatate faili /etc/resolv.conf # Lisage veel palju seadistusvõimalusi # faili kaudu või konfiguratsiooni leidmisega # failid kataloogis täiendavad # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # Seotud domeeninime domain = mordor.fan # Domain Name # Ajaserver on 10.10.10.1. 10.10.10.1 aadress = / time.windows.com / XNUMX # Saadab WPAD-väärtuse tühja valiku.  Nõutav # Windos 7 ja uuemate klientide korralikuks käitumiseks.  ;-) dhcp-option = 252, "\ n" # Fail, kus deklareerime HOSTS, mis "keelatakse" addn-hosts = / etc / banner_add_hosts # Pöörduge Microsofti DNS-i serveri "sauron" poole, kui # laseme run server = / mordor.fan / 10.10.10.3 # Kohalike domeenide päringutele vastatakse # aadressilt / etc / hosts või kohaliku DHCP kaudu = / mordor.fan / # PTR või Reverse kirjete päringutele vastavad serverid # " dns "ja" sauron "selles serveris = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3 # ------- - ------------------------------------------------ - --------- # REGISTROSCNAMEMXTXT # ------------------------------------- - ----------------------------- # Seda tüüpi registreerimine nõuab sisestust # failis / etc / hosts # nt: 10.10.0.7. 10 troll.mordor.fan troll # cname = ALIAS, REAL_NAME cname = ad-dc.mordor.fan, sauron.mordor.fan cname = failiserver.mordor.fan, mamba.mordor.fan cname = puhverserver.fan, darklord .mordor.fan cname = ajaveeb.mordor .fan, troll.mordor.fan cname = ftpserver.mordor.fan, shadowftp.mordor.fan cname = mail.mordor.fan, blackelf.mordor.fan cname = www.mordor.fan, blackspider.mordor.fan cname = opendire .mordor.fan, palantir.mordor.fan # MX RECORDS # Tagastab MX-kirje nimega "mordor.fan", mis on määratud # meeskonnale blackelf.mordor.fan ja prioriteediga 10 mx-host = mordor.fan, mail. mordor.fan, XNUMX # Valiku localmx abil # loodud MX-kirjete vaikesihtkoht on järgmine: mx-target = mail.mordor.fan # Tagastab MX-kirje, mis osutab mx-target-ile kõigi # kohalike localmx-masinate # TXT-kirjete jaoks. 

dhcp-rental-max = 222 # Üüritavate aadresside maksimaalne arv
                        # on vaikimisi 150
# IPV6 Range # dhcp-range = 1234 ::, only-ra # Valikud vahemiku # OPTIONS dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,10.10.10.253 # ROUTER GATEWAY dhcp-option = 6,10.10.10.5. 15 # DNS-serverid dhcp-option = 19,1, mordor.fan # DNS-i domeeninimi dhcp-option = 28,10.10.10.255 # variant ip-edastamine SEES dhcp-option = 42,10.10.10.1 # BROADCAST dhcp-option = 40. 41,10.10.10.3 # NTP # dhcp-option = 44,10.10.10.3, MORDOR # NIS-i domeeninimi # dhcp-option = 45,10.10.10.3 # NIS-server # dhcp-option = 73,10.10.10.3 # WINS # dhcp-option = 46,8 # NetBIOS-i datagrammid # dhcp-option = XNUMX # Finger Server # dhcp-option = XNUMX # NetBIOS-i sõlm dhcp-autoriteetne # Autentsed DHCP alamvõrgus # ------------- - ------------------------------------------------ - --- # --------------------------------------------- --------------------- # LOGGING saba -f / var / log / syslog või journalctl -f # ------------ - ------------------------------------------------ - ---- logipäringud # ----------------------------------------- - ------------------------- # Re A- ja SRV-kirjed, mis vastavad Active Directory # ----------------------------------------- --------------------------
# Kirjed A.
aadress = / gc._msdcs.mordor.fan / 10.10.10.3 aadress = / DomainDnsZones.mordor.fan / 10.10.10.3 aadress = / ForestDnsZones.mordor.fan / 10.10.10.3

# Microsofti DNS-i tsooni CNAME-kirje _msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# SRV arvestust
# srv-host = , , , ,

# Ülemaailmne kataloog # Microsofti DNS-i tsoon _msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan, sauron.mordor.fan, 3268,0,0
# Microsofti DNS-i tsoon mordor.fan
srv-host = _gc._tcp.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan, sauron.mordor.fan .3268,0,0

# Active Directory muudetud ja privaatne LDAP
# Microsofti DNS-i tsoon _msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# Microsofti DNS-i tsoon mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# KERBEROS on Active Directory muudetud ja privaatne
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

Faili /etc/dnsmasq.conf # END
# ------------------------------------------------ ------------------

Loome faili / etc / banner_add_host

[root @ dns ~] # nano / etc /banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq --test
dnsmasq: süntaks kontrollige OK.

[root @ dns ~] # systemctl taaskäivitage dnsmasq.service 
[root @ dns ~] # systemctl olek dnsmasq.service

Muudame faili /etc/resolv.conf - Resolver

juur @ dns: ~ # nano /etc/resolv.conf 
domeen mordor.fan otsing mordor.fan

Miks meil pole failis deklareeritud tavalisi ridu solve.conf? Sest me deklareerime dnsmasq.conf järgmisi direktiive:

# Kui laseme sellel # käivitada, pöörduge Microsofti DNS-serveri "sauron" poole
server = / mordor.fan / 10.10.10.3

# Kohalike domeenide kohta päringutele vastatakse # aadressilt / etc / hosts või DHCP kaudu
kohalik = / mordor.fan /

# PTR- või Reverse-kirjete kohta päringutele vastavad "dns" ja "sauron" serverid selles järjekorras #
server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3

Päringud saidilt sysadmin.mordor.fan

faili / Etc / resolv.conf selle meeskonna liige on:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf
# Generated NetworkManageri otsinguga mordor.fan nimeserver 10.10.10.5

buzz @ sysadmin: ~ $ host -t aadressile spynet4.microsoft.com
spynet4.microsoft.com-il on aadress 127.0.0.1

buzz @ sysadmin: ~ $ host -t aadressile www.download.windowsupdate.com
www.download.windowsupdate.com aadress on 127.0.0.1

põrin@sysadmin: ~ $ dig dns
buzz @ sysadmin: ~ $ dig dns.mordor.fan
;; KÜSIMUSE OSA :; dns.mordor.fan. SEES ;; VASTUSJAGU: dns.mordor.fan. 0 A A 10.10.10.5

buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs
buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fanil on SRV kirje 0 0 3268 sauron.mordor.fan.

buzz @ sysadmin: ~ $ dig _ldap._tcp.gc._msdcs.mordor.fan
;; KÜSIMUSE OSA :; _ldap._tcp.gc._msdcs.mordor.fan. SEES ;; VASTUSJAGU: _ldap._tcp.gc._msdcs.mordor.fan. 0 A A 10.10.10.3

buzz @ sysadmin: ~ $ dig mordor.fan axfr
buzz @ sysadmin: ~ $ dig 10.10.10.in-addr.arpa axfr

Ja sel viisil, kui palju konsultatsioone me vajame

Dnsmasq + Active Directory® + Microsoft® Windowsi kliendid

Microsoft® Windowsi kliendi ümbernimetamine

seitse.mordor.fänn renditud IP-aadress:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leasing 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

Nimetagem ümberseitse»-Millega pole Active Directory domeeniga liitunud -Eukaliptus«. Pärast muudatust ja taaskäivitamist kontrollime:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leasing 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

Muutuste ajalugu on nähtav saidilt "sysadmin":

buzz @ sysadmin: ~ $ host -t A seitse
seitsme.mordor.fani aadress on 10.10.10.115

Pärast nimevahetust

buzz @ sysadmin: ~ $ host -t A seitse
seitsmel pole A-rekordit

buzz @ sysadmin: ~ $ host -t A eukaliptus
eucaliptus.mordor.fan aadress on 10.10.10.115

Päringud kliendilt eucaliptus.mordor.fan

Microsoft Windows [Version 6.1.7601]
Autoriõigus (c) 2009 Microsoft Corporation. Kõik õigused kaitstud.

C: \ Users \ buzz> nslookup
Vaikeserver: dns.mordor.fan Aadress: 10.10.10.5

> sauron
Server: dns.mordor.fan Aadress: 10.10.10.5 Nimi: sauron.mordor.fan Aadress: 10.10.10.3

> mordor.fan
Server: dns.mordor.fan Aadress: 10.10.10.5 Nimi: mordor.fan Aadress: 10.10.10.3

> eukalüpt
Server: dns.mordor.fan Aadress: 10.10.10.5 Nimi: eucaliptus.mordor.fan Aadress: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: dns.mordor.fan Aadress: 10.10.10.5 Nimi: sauron.mordor.fan Aadress: 10.10.10.3 Varjunimed: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> komplekti tüüp = SRV
> _kerberos._udp.mordor.fan
Server: dns.mordor.fan Aadress: 10.10.10.5 _kerberos._udp.mordor.fan SRV teenuse asukoht: prioriteet = 0 kaal = 0 port = 88 svr hostinimi = sauron.mordor.fan sauron.mordor.fan Interneti-aadress = 10.10.10.3. XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
Server: dns.mordor.fan Aadress: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV teenuse asukoht: prioriteet = 0 kaal = 0 port = 389 svr hostinimi = sauron .mordor.fan sauron.mordor.fan Interneti-aadress = 10.10.10.3

> väljumine

C: \ Kasutajad \ buzz>

Windowsi klientide registreerimine Microsoft® DNS-is

Windowsi kliendid, kes pole Active Directory® domeeniga liitunud

Peame kontrollima, kas Dnsmasqi erinevate Windowsi klientide poolt renditud IP-aadressid on Microsoft® DNS-is õigesti registreeritud. See võib mõjutada dünaamiliste värskenduste sisselülitamise viis - Dünaamilised värskendused Active Directory® Microsofti® DNS-i tsoonides. Alustame Microsofti DNS-i vaikekonfiguratsioonist, mis lubab ainult turvalisi dünaamilisi värskendusi - Dünaamilised värskendused -> Ainult turvaline, igas selle tsoonis.

Pange tähele, et praeguse kliendiga FQDN eucalyptus.mordor.fan ei on lisatud Active Directory domeenile (või Samba4 AD-DC) ja on erand Microsofti reeglist, et «Ainult minu domeenis registreeritud klientidel on luba Minu värskendusmehhanismi kaudu - mida ma tean ainult - registreerida oma DNS-is«. Hea, et Samba4 AD-DC meile midagi selle kohta õpetab.

eukalüpt.mordor.fän renditud IP 10.10.10.115:

buzz @ sysadmin: ~ $ host -t A eukaliptus
eucaliptus.mordor.fan aadress on 10.10.10.115

Muutkem selle nimi uueksmahagon«Taaskäivitame Windows 7 ja vaatame, mis juhtub, kui palume nimesid«Eukaliptus»Ja«mahagon»Igale DNS-ile, esmalt Microsofti DNS-ile ja seejärel Dnsmasqile:

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.3
Domeeniserveri kasutamine: Nimi: 10.10.10.3 Aadress: 10.10.10.3 # 53 Pseudonüümid: 

Hosti eucaliptus.mordor.fan ei leitud: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahagon.mordor.fan 10.10.10.3
Domeeniserveri kasutamine: Nimi: 10.10.10.3 Aadress: 10.10.10.3 # 53 Pseudonüümid: 

Hosti mahagon.mordor.fan ei leitud: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.5
Domeeniserveri kasutamine: Nimi: 10.10.10.5 Aadress: 10.10.10.5 # 53 Pseudonüümid: 

Hosti eucaliptus.mordor.fan ei leitud: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahagon.mordor.fan 10.10.10.5
Domeeniserveri kasutamine: Nimi: 10.10.10.5 Aadress: 10.10.10.5 # 53 Pseudonüümid: 

mahagon.mordor.fan on aadress 10.10.10.115

Saame muuta selle Windows 7 kliendi nime ei on domeeniga seotud mordor.fänn nii palju kordi kui soovime, et Microsoft® DNS ei saaks nende muudatuste kohta teada või et selline klient on olemas. Kas on võimalik, et ainult seetõttu, et oleme valinud valiku  Dünaamilised värskendused -> Ainult turvaline igas Micorosfti DNS-i tsoonis?

Selleks, et hr Microsoft® DNS saaks muudatustest teada, peame valima Dünaamilised värskendused -> ebaturvaline ja turvaline. See valik, head lugejad, tähendab kõigi austatud domeeninimeserveri turvalisuse olulist haavatavust, olgu see siis Microsft® või UNIX® / Linux. Microsoft® DNS hoiatab haavatavuse eest, sest lõpuks pole meile muud pakkuda kui muudetud ja erastatud BIND-i «Turvalisus pimeduse jaoks«. Kui ei, siis miks soovitate oma kuulsalt kokku hoida registreerimine kõik teie Microsoft® DNS-i DNS-i seaded ja kirjed, kui juurutame Active Directory®? Lisaks Microsofti DNS-i ebaturvaliste värskenduste toetamisele on Windows 7 kliendi võrgukaardi konfiguratsioonis vajalik järgmine muudatus:

Kontrollime:

buzz @ sysadmin: ~ $ host -t A mahagon.mordor.fan 10.10.10.3
Domeeniserveri kasutamine: Nimi: 10.10.10.3 Aadress: 10.10.10.3 # 53 Pseudonüümid: caoba.mordor.fan omab aadressi 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.3
Domeeniserveri kasutamine: Nimi: 10.10.10.3 Aadress: 10.10.10.3 # 53 Pseudonüümid: 115.10.10.10.in-addr.arpa domeeninime osutaja mahagon.mordor.fan.

buzz @ sysadmin: ~ $ host -t A mahagon 10.10.10.5
Domeeniserveri kasutamine: Nimi: 10.10.10.5 Aadress: 10.10.10.5 # 53 Pseudonüümid: caoba.mordor.fan omab aadressi 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.5
Domeeniserveri kasutamine: Nimi: 10.10.10.5 Aadress: 10.10.10.5 # 53 Pseudonüümid: 115.10.10.10.in-addr.arpa domeeninime osutaja mahagon.mordor.fan.

Jah nüüd. Milline hea sünkroniseerimine kahe DNS-serveri jaoks, mida pole mingil viisil sünkroonitud, eks?

Windowsi kliendid on liitunud Active Directory® domeeniga

Ühendame kliendi mahagon.mordor.fan domeenile, kuid mitte enne teie võrgukaardi konfiguratsioonis tehtud muudatuste kõrvaldamist, kui me seda kunagi tegime eelmise peatüki punkti kontrollimiseks. Kustuta ka kirje «mahagon»Microsoftis® DNS ja tagastage dünaamilised värskendused nende alguspunkti «Ainult turvaline«. Muide, see on Microsofti teenuse taaskäivitamine® DNS.

Pärast Domeeniga liitumist ja hoolimata kõigist meie jõupingutustest on klient «mahagon»Ei ole registreeritud Microsoft® DNS-is. Me isegi deklareerisime dnsmasq.conf -temporary- et esimene DNS-server on 10.10.10.3.

Microsoft Windows [Version 6.1.7601]
Autoriõigus (c) 2009 Microsoft Corporation. Kõik õigused kaitstud.

C: \ Users \ saruman> ipconfig / kõik

Windowsi IP-konfiguratsiooni hostinimi. . . . . . . . . . . . : MAHOGANY Esmane Dns-järelliide. . . . . . . : mordor.fan Sõlme tüüp. . . . . . . . . . . . : Hübriidne IP-marsruutimine on lubatud. . . . . . . . : WINS-i puhverserver pole lubatud. . . . . . . . : DNS-i järelliidete otsimisloend puudub. . . . . . : mordor.fan Etherneti adapter Kohalik ühendus: ühenduspõhine DNS-liide. : mordor.fan Kirjeldus. . . . . . . . . . . : Inteli (R) PRO / 1000 MT võrguühenduse füüsiline aadress. . . . . . . . . : 00-0C-29-D6-14-36 DHCP on lubatud. . . . . . . . . . . : Jah Automaatne seadistamine on lubatud. . . . : Jah Link-local IPv6 aadress. . . . . : fe80 :: 352a: b954: 7eba: 963e% 12 (eelistatud) IPv4-aadress. . . . . . . . . . . : 10.10.10.115 (eelistatud) alamvõrgu mask. . . . . . . . . . . : 255.255.255.0 Saadud liising. . . . . . . . . . : Laupäev, 25. veebruar 2017 8:19:05 Üürileping lõpeb. . . . . . . . . . : Laupäev, 25. veebruar 2017 4:20:36 Vaikelüüs. . . . . . . . . : 10.10.10.253 DHCP-server. . . . . . . . . . . : 10.10.10.5 DHCPv6 IAID. . . . . . . . . . . : 251661353 DHCPv6 kliendi DUID. . . . . . . . : 00-01-00-01-20-3B-69-81-00-0C-29-D6-14-36

   DNS-serverid. . . . . . . . . . . : 10.10.10.3
                                       10.10.10.5
   NetBIOS üle Tcpip. . . . . . . . : Lubatud tunneliadapter isatap.mordor.fan: meediumiriik. . . . . . . . . . . : Meedium on lahti ühendatud ühenduspõhise DNS-i järelliitega. : mordor.fan Kirjeldus. . . . . . . . . . . : Microsofti ISATAP-adapteri füüsiline aadress. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP on lubatud. . . . . . . . . . . : Automaatne seadistamine pole lubatud. . . . : Jah Tunneliadapteri kohtühendus * 9: meediumiseisund. . . . . . . . . . . : Meedium on lahti ühendatud ühenduspõhise DNS-i järelliitega. : Kirjeldus. . . . . . . . . . . : Microsofti Teredo tunnelidapteri füüsiline aadress. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP on lubatud. . . . . . . . . . . : Automaatne seadistamine pole lubatud. . . . : Ja ongi

C: \ Kasutajad \ saruman>

buzz @ sysadmin: ~ $ host -t A mahagon.mordor.fan 10.10.10.3
Domeeniserveri kasutamine: Nimi: 10.10.10.3 Aadress: 10.10.10.3 # 53 Pseudonüümid: Host caoba.mordor.fan ei leitud: 3 (NXDOMAIN)

põrin@sysadmin: ~ $ host -t mahagonile.mordor.fan
mahagon.mordor.fan on aadress 10.10.10.115

• Ainus viis, kuidas klient registreeritakse «mahagon»Rakenduses Microsft® muudab DNS teie võrgukaarti vastavalt juhisteleó eelmisel pildilsee tähendab selgesõnaliselt, et: ühenduse DNS-i järelliide on mordor.fan, et see registreerib ühenduse aadressi DNS-is ja kasutab ühenduse registreerimisel deklareeritud DNS-i järelliidet.

buzz @ sysadmin: ~ $ host -t A mahagon.mordor.fan 10.10.10.3
Domeeniserveri kasutamine: Nimi: 10.10.10.3 Aadress: 10.10.10.3 # 53 Pseudonüümid: caoba.mordor.fan omab aadressi 10.10.10.115

buzz @ sysadmin: ~ $ host -t mahagonmordor.fan
mahagon.mordor.fan on aadress 10.10.10.115

Muudame nime "mahagon" nimeks "seeder"

buzz @ sysadmin: ~ $ host -t A mahagon.mordor.fan 10.10.10.3
Domeeniserveri kasutamine: Nimi: 10.10.10.3 Aadress: 10.10.10.3 # 53 Pseudonüümid: Host caoba.mordor.fan ei leitud: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t cedar.mordor.fanile 10.10.10.3
Domeeniserveri kasutamine: Nimi: 10.10.10.3 Aadress: 10.10.10.3 # 53 Pseudonüümid: cedro.mordor.fan omab aadressi 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahagon.mordor.fan 10.10.10.5
Domeeniserveri kasutamine: Nimi: 10.10.10.5 Aadress: 10.10.10.5 # 53 Pseudonüümid: Host caoba.mordor.fan ei leitud: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t cedar.mordor.fanile 10.10.10.5
Domeeniserveri kasutamine: Nimi: 10.10.10.5 Aadress: 10.10.10.5 # 53 Pseudonüümid: cedro.mordor.fan omab aadressi 10.10.10.115

Ja kõik normaalne, nagu Microsofti klientidele ja Microsoft® DNS-ile asjad meeldivad.

Teeme koostööd Microsoft® DHCP ja Microsoft® DNS-iga

Head lugejad, see peatükk ei kuulu vabatarkvarale pühendatud ajaveebi konteksti. Vaadake Microsofti® spikrit. Nad ei usu ?. 😉

Järeldused

Microsoft® DNS-i töötamiseks on mitu võimalust, kui muudame selle VKE-võrgus koos Dnsmasqiga eksisteerivaks. Nende hulgas mainime ainult järgmist:

• Peatage Microsoft® DNS-teenus täielikult arvutis, kus see töötab, näidates pärast seda, et teenuse käivitamine on keelatud. Tühjendage iga Microsoft® kliendi võrgukaardi konfiguratsioonis märkeruut ühenduse registreerimise DNS-is registreerimise võimalusest. Eemalda failist /etc/dnsmasq.conf Direktiiv server = / mordor.fan / 10.10.10.3. Arveid:
  • Isegi kui päringutele dokumentide kohta ei vastata SOA y NS, töötab võrk õigesti, samuti ühendatakse erinevad kliendid - Microsoft® ja Linux - Active Directory® domeeniga.
  • Selle eeliseks on see, et VKE LAN-is on ainult üks domeeninimeserver - mees mees - ja see on Dnsmasq. ;-). Teiselt poolt kõrvaldatakse vastuolude võimalus Microsoft® DNS-is salvestatud ja Dnsmasqi kaudu saadaolevate DNS-kirjete vahel.
• Jätke Microsoft® DNS töötama, et vastata ainult SOA ja NS kirjete DNS-päringutele. Pange täheles:
  • Muutke iga Windowsi kliendi võrgukaardi konfiguratsiooni, tühjendades valiku Ühenduse aadressi registreerimine DNS-is.
  • Me arvame et see lahendus on ressursside raiskamine.
• Konfigureerige teenused nii, nagu oleme näinud kogu artiklis, mis näitab lahendust, mis meeldib rohkem Microsoft® filosoofiale - pole FreeBSD / Linux- Ok?

Kokkuvõte

• Microsoft® DNS-i ettepanek on väga suletud. See ei jäta ruumi muudele lahendustele, mis pole kooskõlas tema hermeetilise filosoofiaga.
• Emake loodus õpetab meile, et me eksisteerime mitmekesises universumis. Tavaline on see, et teil on segatud kohtvõrk, mis liigub vaba tarkvara poole ning on rikas elu ja mitmekesisuse poolest.
• Tundub, et Microsofti® jaoks on kliendid, kes ei liitu Tema filosoofiaga, tõrjutud inimesed ja seetõttu ei tohiks nad vaevuda nendega arvestama.
• Kui keeruline on eratarkvaraga töötada! Ma pigem kulutaksin natuke tööd vaba tarkvara seadistamisele ja oleksin tõeliselt tasuta, neetud!

"Parim tõekriteerium on praktika."