Dnsmasq ja Active Directory - SME Networks

Sarjan yleinen hakemisto: Tietokoneverkot pk-yrityksille: Johdanto

Hei ystävät!. Tämän artikkelin ymmärtäminen ja seuraaminen oikein on olennainen lukemalla edeltäjänsä:

He selittävät teoreettisia ja käytännön käsitteitä, joihin emme viittaa tässä. Muutamme kuluvan vuoden jakelun Debian 8.6 "Jessie" ja jatkamme samoilla parametreilla, joita käytämme BIND ja Active Directory®.

  • Tässä viestissä kuvattu menettely koskee myös CentOS 7: tä. Kokoonpanotiedosto / etc / dnsmasq on sama. Julistan sen, koska mielestäni on tarpeetonta tehdä erillinen artikkeli Dnsmasqille ja Active Directorylle® perustuu CentOS: iin. Onneksi dokumentointiin ja kokoonpanoon liittyvät hakemistot ovat samat,
  • Dnsmaq on Simon Kelley

Dnsmasqin käytön rajoitukset

Sen tärkeyden vuoksi toistamme RAJAT joka tukee Dnsmasq-juoksua mies dnsmasq- mikä heijastaa precamente seuraava:

RAJAT

  • Resurssirajoitusten oletusarvot ovat yleensä konservatiivisia ja sopivia käytettäväksi reitittimen tyyppisissä laitteissa. jumissa hitaiden prosessorien ja vähäisen muistin kanssa. Laitteistossa enemmän  rajoja on mahdollista nostaa ja tukea monia muita Asiakkaat. Seuraava koskee mallia dnsmasq-2.37: aiemmat versiot eivät he kiipesivät niin hyvin.
  • Dnsmasq pystyy tukemaan DNS: ää ja DHCP: tä vähintään tuhannessa (1,000) Asiakkaat. Vuokra-aikojen ei tulisi olla liian lyhyitä (alle yksi aika). –Dns-forward-max -arvoa voidaan nostaa: aloita - vastaava määrä asiakkaita ja lisää sitä, jos DNS. Huomaa, että DNS-suorituskyky riippuu myös palvelimista Ylemmän tason DNS. DNS-välimuistin kokoa voidaan lisätä: raja Pakollinen on 10,000 nimeä ja oletusarvo (150) on hyvin alhainen. SIGUSR1: n lähettäminen dnsmasqiin tuottaa bitacore-tietoja hyödyllinen välimuistin koon hienosäätöön. Katso lisätietoja HUOMAUTUKSET-osiosta.
  • Sisäänrakennettu TFTP-palvelin pystyy tukemaan useita siirtoja samanaikaiset tiedostot: absoluuttinen raja liittyy prosessiin sallittujen tiedostojen käsittelyyn ja järjestelmien kykyynpuhelunvalinta () tukee suurta määrää tiedostokahvoja. Jos raja asetetaan liian korkeaksi –tftp-max: lla, se skaalataan ja todellinen raja kellotetaan käynnistyksen yhteydessä. Huomaa, että lisää siirtoja ovat mahdollisia, kun sama tiedosto lähetetään mitä kukin transferencia lähettää toisen tiedoston. Dnsmasq-ohjelmalla voidaan kieltää verkkomainonta luettelon avulla tunnetut banneripalvelimet, jotka kaikki ratkaisevat 127.0.0.1 tai 0.0.0.0 tiedostossa / etc / hosts tai ylimääräisessä hosts-tiedostossa. Luettelo voi olla hyvin pitkä. Dnsmasqia on testattu onnistuneesti miljoonalla nimellä. Tiedoston koko vaatii 1 GHz: n suorittimen ja likimääräisen60 Mt RAM-muistia.
  • Dnsmasq pystyy tukemaan DNS: ää ja DHCP: tä vähintään tuhannessa (1,000) clientes.

Asennetaan ja konfiguroidaan Jessie ja Dnsmasq

Aloitamme uudella ja puhtaalla palvelimen asennuksella, joka perustuu Debian 8 "Jessie". Toisin sanoen käyttöjärjestelmä, johon ei ole asennettu graafista käyttöliittymää tai muuta pakettia. Verkon parametrit ovat samat kuin artikkelissa käytetyt BIND ja Active Directory®:

Verkkotunnus mordor.fan LAN-verkko 10.10.10.0/24 ======================================= ============================================= Palvelinten IP-osoitteen tarkoitus (Palvelimet, joissa on käyttöjärjestelmä) Windows) ================================================= ===============================
sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2
mamba.mordor.fan. 10.10.10.4 Windows-tiedostopalvelin
dns.mordor.fan 10.10.10.5 DnsMasq-palvelin Jessiellä
darklord.mordor.fan. 10.10.10.6 Välityspalvelin, yhdyskäytävä ja palomuuri Kerios troll.mordor.fan -palvelussa. 10.10.10.7 Blogi, joka perustuu ... ei voi muistaa shadowftp.mordor.fan. 10.10.10.8 FTP-palvelin blackelf.mordor.fan. 10.10.10.9 Täysi sähköpostipalvelu blackspider.mordor.fan. 10.10.10.10 WWW-palvelu palantir.mordor.fan. 10.10.10.11 Chat Openfire for Windows Real -sovelluksessa CNAME ============================= Sauron AD-DC Mamba-tiedostopalvelin darklord-välityspalvelimen trolliblogi shadowftp ftpserver blackelf mail blackspider www palantir openfire

Alkuperäiset dns.mordor.fan-palvelimen asetukset

root @ dns: ~ # nano / etc / hostname
dns

root @ dns: ~ # nano / etc / hosts
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # Seuraavat rivit ovat toivottavia IPv6-yhteensopiville isännille: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

root @ dns: ~ # nano / etc / network / interface
# Tämä tiedosto kuvaa järjestelmässäsi käytettävissä olevat verkkoliitännät # ja niiden aktivoinnin. Lisätietoja on käyttöliittymissä (5). source /etc/network/interfaces.d/* # Loopback-verkkoliitäntä auto lo iface lo inet loopback # Ensisijainen verkkoliitäntä allow-hotplug eth0 iface eth0 inet staattinen osoite 10.10.10.5 netmask 255.255.255.0 verkko 10.10.10.0 lähetys 10.10.10.255. 10.10.10.1-yhdyskäytävä 127.0.0.1 # dns- * -vaihtoehdot toteuttaa resolvconf-paketti, jos asennetut dns-nimipalvelimet XNUMX dns-search mordor.fan

Asennetaan Dnsmasq ja htop

root @ dns: ~ # aptitude asenna dnsmasq htop

Paketin asentamisen jälkeen htop voimme tarkistaa laitteen suorittimen ja muistin kulutuksen. Se kuluttaa vain noin 71 megatavua RAM-muistia. Jos haluamme vähentää kulutusta vielä enemmän, voimme asentaa paketin SSMTP -yksinkertainen MTA- mikä puolestaan ​​puhdistaa pakkauksen Esimerkki 4 että Debian asentaa aina oletusarvoisesti ja joita emme todellakaan tarvitse palvelimen käyttötarkoituksen mukaan:

root @ dns: ~ # aptitude asenna ssmtp
root @ dns: ~ # kykyjen puhdistus ~ c
root @ dns: ~ # aptitude puhdas
root @ dns: ~ # aptitude autoclean
root @ dns: ~ # systemctl käynnistä uudelleen

Tietokoneen uudelleenkäynnistyksen jälkeen kulutus on seuraava: Dnsmasq ja Active Directory

Matala, eikö? Siirrytään eteenpäin.

Osoitetaan, että Dnsmasq etsii myös Microsft® DNS: ää

Testaa mahdolliset Dnsmasq-kokoonpanot tietokoneellasi dns.mordor.fan, meidän on sisällytettävä lausunto, joka osoittaa, että palvelimen Microsoft DNS: ää on kuultu sauron.mordor.fani. Voimme tehdä sen mukaan lukien direktiivi palvelin = / mordor.fan / 10.10.10.3 arkistossa dnsmasq.conf - kuten näemme myöhemmin - tai lisäämällä viiva nimipalvelin 10.10.10.3 arkistossa / Etc / resolv.conf. Koska emme ole vielä määrittäneet Dnsmasqia tarpeidemme mukaan, valitsemme toisen tavan:

root @ dns: ~ # nano /etc/resolv.conf
verkkotunnus mordor.fan
nimipalvelin 127.0.0.1
nimipalvelin 10.10.10.3

Voimme nyt ratkaista DNS-kyselyt

Dnsmasqin oletusasetuksilla, jotka sen päätiedosto tarjoaa /etc/dnasmq.confja tiedostossa ilmoitettujen tietojen kanssa / Etc / resolv.conf itse palvelimelta «dns«, Mikä tahansa lähiverkkoon kytketty asiakas - ja joka on ilmoittanut DNS-palvelimeksi dns.mordor.fan- voit ratkaista DNS-kyselyt Microsoft® DNS: n kustannuksella toistaiseksi…

  • On erittäin tärkeää tarkistaa Dnsmasqin vastenopeus näytettäessä sen tilaa Kuormatraktori vain sisällyttämällä tiedostoon IP 10.10.10.3 / Etc / resolv.conf.

Hallinnolliselta työasemalta ja kaikilta tarvikkeilta, joiden kautta kirjoitan, juon:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Luonut NetworkManager-verkkotunnus mordor.fan-nimipalvelin 10.10.10.5

buzz @ sysadmin: ~ $ nslookup
> dns
Palvelin: 10.10.10.5 Osoite: 10.10.10.5 # 53 Nimi: dns.mordor.fan Osoite: 10.10.10.5

> Sauron
Palvelin: 10.10.10.5 Osoite: 10.10.10.5 # 53

Ei-arvovaltainen vastaus:
Nimi: sauron.mordor.fan Osoite: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Palvelin: 10.10.10.5 Osoite: 10.10.10.5 # 53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan kanoninen nimi = sauron.mordor.fan. Nimi: sauron.mordor.fan Osoite: 10.10.10.3

> 10.10.10.3
Palvelin: 127.0.0.1 Osoite: 127.0.0.1 # 53 3.10.10.10.in-addr.arpa name = sauron.mordor.fan.

> 10.10.10.9
Palvelin: 127.0.0.1 Osoite: 127.0.0.1 # 53 9.10.10.10.in-addr.arpa name = blackelf.mordor.fan.

> 10.10.10.5
Palvelin: 127.0.0.1 Osoite: 127.0.0.1 # 53 5.10.10.10.in-addr.arpa name = dns.mordor.fan.

> posti
Palvelin: 10.10.10.5 Osoite: 10.10.10.5 # 53 Ei-valtuutettu vastaus: mail.mordor.fan -kanoninen nimi = blackelf.mordor.fan. Nimi: blackelf.mordor.fan Osoite: 10.10.10.9> exit

buzz @ sysadmin: ~ $

Katsotaanpa tarkemmin seuraavia näkökohtia:

  • dns.mordor.fan vastaa suoraan DNS-kyselyihin, jotka se voi ratkaista nykyisten Dnsmasq-asetusten mukaan. Jos et pysty ratkaisemaan niitä, se toimii kuten Kuormatraktori ja kysyy IP 10.10.10.3, pystyykö se vastaamaan kyselyyn. Kun pyydetään laitteen IP-osoitetta «dns«, Hän vastaa suoraan. Kun Dnsmasqilta kysytään, kuka se on «Sauron",?, tee huolinta ja 10.10.10.3 -Et voi vastata suoraan, koska et ole vielä rekisteröinyt sitä - kuka palauttaa oikean ei-autoritaarisen vastauksen.
  • Kysyttäessä kuka on «03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan"?, tee huolinta uudestaan ​​ja tällä kertaa saat aitouden vastauksen Microsoft® DNS: ltä.
  • Dnsmasqin suuri vastausnopeus kaikentyyppisille kyselyille.

Ne ovat pieniä yksityiskohtia, jotka tekevät rakkaudesta suuren ;-).

Perusteelliset erot Dnsmasqin ja BIND: n välillä, jotka on integroitu Active Directory® -ohjelmaan

Suoritetaan muutama DNS-kysely tietueissa SOA y NS verkkotunnuksen mordor.fani, jokaiselle nimipalvelimelle:

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.3
Verkkotunnuspalvelimen käyttäminen: Nimi: 10.10.10.3 Osoite: 10.10.10.3 # 53 Alias: 
mordor.fanilla on SOA-tietue sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.5
Verkkotunnuspalvelimen käyttäminen: Nimi: 10.10.10.5 Osoite: 10.10.10.5 # 53 Alias: 
mordor.fanilla on SOA-tietue sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.5
Verkkotunnuspalvelimen käyttäminen: Nimi: 10.10.10.5 Osoite: 10.10.10.5 # 53 Alias: 
mordor.fan-nimipalvelin sauron.mordor.fan.

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.3
Verkkotunnuspalvelimen käyttäminen: Nimi: 10.10.10.3 Osoite: 10.10.10.3 # 53 Alias: 
mordor.fan-nimipalvelin sauron.mordor.fan.

Vastaukset ovat identtisiä - mikä on loogista - koska aina vastata sauron.mordor.fani. ennen DNS-kyselyä tietueista SOA o NS, Vaikka näyttää mitä hän vastaa dns.mordor.fan. Se eroaa kuitenkin artikkelissa nähdystä BIND ja Active Directory®, josta Microsoftin DNS-toiminnot oli poistettu kokonaan. Tässä artikkelissa KAIKKI Domino-nimiavaruutta koskevat DNS-kyselyt mordor.fani BIND vastasi heille, koska konfiguroimme sen tällä tavalla ja koska BIND vastaa kyselyihin SOA y NS järjestelmän sallimisen lisäksi Mestari - orja, Vyöhykkeiden siirto jne., Ja siksi se on täydellisempi DNS-palvelin - monimutkainen.

Ehkä nämä ovat tärkeimmät erot Dnsmasqin ja BIND: n DNS: n välillä ... Pero BIND - voi olla aina yksi tai useampia mutta ei ole DHCP-palvelinta, joka integroituu saumattomasti DNS-palvelimen kanssa yhteen demonija ilman TSIG-avaimia, määritystiedostoja, vyöhyketietokantoja jne., kuten olemme nähneet edellisissä artikkeleissa.

  • Luulen, että tähän mennessä hyvät lukijat ovat ymmärtäneet, etten vihaa BINDiä enkä mieluummin Dnsmasqia kuin BIND. Tulevat keskustelut siitä ovat ajanhukkaa, koska sillä on paljon tekemistä tarpeiden, vaatimusten, makujen, mieltymysten ja .... jokaisella ratkaisulla on viehätyksensä ;-).
  • Anna vastaavissa tilanteissa kaikkien asentaa ja konfiguroida valitsemansa ohjelmisto, josta he tietävät enemmän. ja että kaikki toimii odotetulla tavalla.

Dnsmasq + Active Directory® -yhdistelmän edut

Tämän yhdistelmän avulla meillä on täydellinen valikoima vastauksia DNS-kyselyihin ja tehokkaat keinot vuokrata IP-osoitteita pk-yritysten lähiverkkoon. Kuten näemme myöhemmin, se toimii oikein kaikissa tilanteissa sen suhteen, onko tietokone liitetty Microsoft® Active Directory® -toimialueohjaimeen. Lisäksi meillä on DNS ja DNS-palvelin Kuormatraktori par excellence sekä erittäin nopea DHCP-palvelin. Ja kaikilla resurssien kysyntä on vähäistä. Haluatko lisää?

Onko mahdollista Dnsmasq + BIND?

Ehdottomasti kyllä. Vaikka suosittelen, että ne asennetaan eri tietokoneisiin, jotta DNS-palvelun rakastetun portin 53 vuoksi ei tapahdu törmäyksiä. Ehkä ja näemme siitä jotain, kun pääsemme Samba 4-pohjaiseen AD-DC: hen.

Vinkkejä Dnamasqiin

  • Tärkeät työtiedostot Dnsmasqille DHCP- ja DNS-palvelujen tarjoamiseksi lähiverkossa ovat: /etc/dnsmasq.conf, / Etc / hosts, /var/lib/misc/dnsmasq.leasingJa / Etc / resolv.conf. Tiedosto dnsmasq.leasings se luodaan, kun vuokraat ensimmäisen IP-osoitteesi.
  • Toinen käyttämäsi työtiedosto on / etc / eetterit. Jos sellainen tiedosto on olemassa, direktiivi lukee eettereitä ilmoitettu määritystiedostossa, käskee Dnsmasqia lukemaan sen. Se on erittäin hyödyllinen, kun olemme yhteydessä toisiinsa MAC-osoitteet / isäntänimet tiettyihin tarkoituksiin.
  • DNS-palvelu voidaan poistaa käytöstä kokonaan käskyn avulla portti = 0 sisään dnsmasq.conf.
  • Yhden tai useamman verkkoliitännän DHCP-palvelu voidaan poistaa käytöstä direktiiveillä - yksi kullekin linjalle - no-dhcp-interface = eth0, no-dhcp-interface = eth1, ja niin edelleen. Erittäin hyödyllinen, kun olemme tiimin edessä, jossa on 2 tai enemmän - verkkoliitännät ja haluamme DHCP-palvelun tarjoavan vain yksi heistä tai kukaan. Tietysti, jos poistamme DHCP-palvelun käytöstä kaikista rajapinnoista, jätämme vain DNS-palvelun käynnissä. Jos poistamme molemmat palvelut käytöstä, niin miksi tarvitsemme Dnsmasqia? 😉
  • Ilmoittaa muille DNS-verkkotunnuspalvelimille Nro ovat julkisia tai lähiverkon ulkopuolisia - kuten Microsoft DNS: ssä - teemme sen direktiivin kautta palvelin = / verkkotunnus / DNS-palvelimen IP arkistossa /etc/dnsmasq.conf. esimerkiksi: palvelin = / mordor.fan / 10.10.10.3.
  • Voit kertoa Dnsmasqille, että paikallisia verkkotunnuksia koskeviin kyselyihin vastataan vain tiedostosta / Etc / hosts tai DHCP: n kautta, meidän on lisättävä direktiivi paikallinen = / localnet / kokoonpanosi päätiedostossa. Esimerkki: paikallinen = / mordor.fan /.
  • Määritä tiedosto oikein / Etc / resolv.conf - resolveri suosittelemme lukemaan sen käsikirjan komennolla mies resolv.conf. Asentamalla Debian 8.6 "Jessie" huomaat, että se on kirjoitettu hyvin espanjaksi.
  • Dnsmasq ei käytä vyöhyketiedostoja suoriin tai käänteisiin kysymyksiin vastaamiseen.
  • Jokaisen kentän merkityksen tunteminen «erityinen»Sitä käytetään SRV-resurssitietueen ilmoituksessa BIND ja Active Directory®. Tiedostossa olevien SRV-tietueiden syntaksit /etc/dnsmasq.conf Se on seuraava:
    srv-isäntä = , , , ,

Lukijat, jotka haluavat tietää enemmän, lue alkuperäinen tiedosto huolellisesti /etc/dnsmasq.conf tai olemassa olevat hakemistossa olevat asiakirjat / usr / share / doc / dnsmasq-base.

root @ dns: ~ # ls -l / usr / share / doc / dnsmasq-base /
yhteensä 128 -rw-r - r-- 1 juurihakemisto 883 5. toukokuuta 2015 tekijänoikeudet -rw-r - r-- 1 juurihakemisto 36261 changelog.archive.gz -rw-r - r-- 5 juurihakemisto 2015 1. toukokuuta 11297 changelog.Debian.gz -rw-r - r-- 5 juurihakemisto 2015 1. toukokuuta 26014 changelog.gz -rw-r - r-- 5 juurihakemisto 2015 1. toukokuuta 2084 DBus-interface. gz -rw-r - r-- 5 juurihaku 2015 1. toukokuuta 4297 doc.html drwxr-xr-x 5 -juurijuuri 2015 2. helmikuuta 4096:19 esimerkkejä -rw-r - r - 17 juurihakemisto 52 1. toukokuuta 9721 FAQ.gz -rw-r - r-- 5 juurihakemisto 2015 1. toukokuuta 4180 README.Debian -rw-r - r-- 5 juurihakemisto 2015 1. toukokuuta 12019 setup.html

Määritetään Dnsmasq ja Resolver

Otamme alustavan oppaan - nimien muuttaminen ja niin edelleen, tietysti - artikkelissa käytetyn kokoonpanotiedoston «Dnsmasq CentOS 7.3: lla".

Älkäämme unohtako seuraavaa vaihetta:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Kiinteät IP-osoitteet

Kiinteiden IP-yhteyksien vaativien palvelinten tai laitteiden osoitteet IPv4 kuten IPv6- ilmoitetaan asiakirja-aineistossa / Etc / hosts:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost # Seuraavat rivit ovat toivottavia IPv6-yhteensopiville isännille: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters # Palvelimet ja tietokoneet, joissa on kiinteät IP-osoitteet. 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8. 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

Luodaan tiedosto /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # YLEISET VAIHTOEHDOT # ---------------------------- - -------------------------------------- verkkotunnus-tarvitaan # Älä välitä nimiä ilman verkkotunnusta osa väärä-yksityinen # Älä välitä osoitteita reitittämättömässä tilassa laajennetut isännät # Lisää toimialue automaattisesti isäntäkäyttöliittymään = eth0 # Liitäntä.  VAROITUS käyttöliittymästä # paitsi-rajapinta = eth1 # ÄLÄ kuuntele tätä verkkokortin tiukkaa järjestystä # Järjestys, jossa tarkastelet tiedostoa /etc/resolv.conf # Sisällytä monia muita määritysvaihtoehtoja # tiedoston kautta tai etsimällä määritys # lisää tiedostoja hakemistoon # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # Liity verkkotunnuksen nimialueeseen domain = mordor.fan # Verkkotunnus # Aikapalvelin on 10.10.10.1. 10.10.10.1 address = / time.windows.com / XNUMX # Lähettää tyhjän vaihtoehdon WPAD-arvosta.  Vaaditaan # Windos 7: n ja sitä uudempien asiakkaiden toimimaan kunnolla.  ;-) dhcp-option = 252, "\ n" # Tiedosto, jossa ilmoitamme HOST: t, jotka "kielletään" addn-hosts = / etc / banner_add_hosts # Ota yhteyttä Microsoft® DNS-palvelimeen "sauron", jos # annamme sen ajaa palvelin = / mordor.fan / 10.10.10.3 # Paikallisia verkkotunnuksia koskeviin kyselyihin vastataan # osoitteesta / etc / hosts tai paikallisen DHCP: n kautta = / mordor.fan / # Palvelimet vastaavat # PTR- tai Reverse-tietueita koskeviin kyselyihin " dns "ja" sauron "siinä järjestyksessä palvelin = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3 # ------- - ------------------------------------------------- - --------- # REGISTROSCNAMEMXTXT # ------------------------------------- - ----------------------------- # Tämän tyyppinen rekisteröinti vaatii merkinnän # tiedostoon / etc / hosts #, esim .: 10.10.0.7. 10 troll.mordor.fan troll # cname = ALIAS, REAL_NAME cname = ad-dc.mordor.fan, sauron.mordor.fan cname = tiedostopalvelin.mordor.fan, mamba.mordor.fan cname = välityspalvelin.mordor.fan, darklord .mordor.fan cname = blogi.mordor .fan, troll.mordor.fan cname = ftpserver.mordor.fan, shadowftp.mordor.fan cname = mail.mordor.fan, blackelf.mordor.fan cname = www.mordor.fan, blackspider.mordor.fan cname = opendire .mordor.fan, palantir.mordor.fan # MX RECORDS # Palauttaa MX-tietueen, jonka nimi on "mordor.fan". Kohde # on blackelf.mordor.fan -tiimille ja prioriteetti on 10 mx-host = mordor.fan, mail. mordor.fan, XNUMX # Oletuskohde MX-tietueille, jotka luodaan # localmx-vaihtoehdon avulla, on: mx-target = mail.mordor.fan # Palauttaa MX-tietueen, joka osoittaa KAIKKI # localmx-koneen mx-target # TXT-tietueet. 

dhcp-vuokraus-max = 222 # Vuokrattavien osoitteiden enimmäismäärä
                        # on oletusarvoisesti 150
# IPV6-alue # dhcp-alue = 1234 ::, vain ra # # RANGE # OPTIONS -asetukset dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,10.10.10.253 # ROUTER GATEWAY dhcp-option = 6,10.10.10.5 .15 # DNS-palvelimet dhcp-option = 19,1, mordor.fan # DNS-toimialueen nimi dhcp-option = 28,10.10.10.255 # vaihtoehto ip-edelleenlähetys päällä dhcp-vaihtoehto = 42,10.10.10.1 # LÄHETYSLASKU dhcp-option = 40. 41,10.10.10.3 # NTP # dhcp-option = 44,10.10.10.3, MORDOR # NIS-verkkotunnus # dhcp-option = 45,10.10.10.3 # NIS-palvelin # dhcp-vaihtoehto = 73,10.10.10.3 # WINS # dhcp-option = 46,8 # NetBIOS-datagrammit # dhcp-option = XNUMX # Finger Server # dhcp-option = XNUMX # NetBIOS-solmu dhcp-arvovaltainen # Auktoriteettinen DHCP aliverkossa # ------------- -------------------------------------------------- ---- # --------------------------------------------- ---------------------- # LOGGING tail -f / var / log / syslog tai journalctl -f # ------------ -------------------------------------------------- ----- lokikyselyt # ----------------------------------------- -------------------------- # Re A- ja SRV-tietueet, jotka vastaavat Active Directorya # ----------------------------------------- --------------------------
# Tietueet A
address = / gc._msdcs.mordor.fan / 10.10.10.3 address = / DomainDnsZones.mordor.fan / 10.10.10.3 address = / ForestDnsZones.mordor.fan / 10.10.10.3

# Microsoft DNS Zone CNAME -tietue _msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# SRV-tietueet
# srv-isäntä = , , , ,

# Yleinen luettelo # Microsoft DNS -vyöhyke _msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan, sauron.mordor.fan, 3268,0,0
# Microsoft DNS -vyöhyke mordor.fan
srv-host = _gc._tcp.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan, sauron.mordor.fan .3268,0,0

# Active Directoryn muokattu ja yksityinen LDAP
# Microsoft DNS -alue _msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# Microsoft DNS -vyöhyke mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# KERBEROS muokattu ja yksityinen Active Directorysta
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

#Etet/dnsmasq.conf-tiedoston LOPPU
# ------------------------------------------------- ------------------

Luodaan tiedosto / etc / banner_add_host

[root @ dns ~] # nano / etc /banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq --testi
dnsmasq: syntaksitarkista OK.

[root @ dns ~] # systemctl käynnistä dnsmasq.service uudelleen 
[root @ dns ~] # systemctl-tila dnsmasq.service

Muutetaan tiedostoa /etc/resolv.conf - Resolver

root @ dns: ~ # nano /etc/resolv.conf 
verkkotunnus mordor.fan etsi mordor.fan

Miksi meillä ei ole tavallisia rivejä, jotka on ilmoitettu tiedostossa solve.conf? Koska julistamme dnsmasq.conf seuraavat direktiivit:

# Ota yhteyttä Microsoft® DNS-palvelimeen "sauron", jos # annamme sen käydä
palvelin = / mordor.fan / 10.10.10.3

# Paikallisia verkkotunnuksia koskeviin kyselyihin vastataan # hakemistosta / etc / hosts tai DHCP: n kautta
paikallinen = / mordor.fan /

# Dns- ja sauron-palvelimet vastaavat # kyselyihin PTR- tai Reverse-tietueista siinä järjestyksessä
palvelin = / 10.10.10.in-addr.arpa / 10.10.10.5 palvelin = / 10.10.10.in-addr.arpa / 10.10.10.3

Kyselyt sivustolta sysadmin.mordor.fan

Tiedosto / Etc / resolv.conf tämän joukkueen jäsen on:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf
# Luonut NetworkManager-haku mordor.fan-nimipalvelin 10.10.10.5
buzz @ sysadmin: ~ $ host -t - osoitteeseen spynet4.microsoft.com
spynet4.microsoft.com -sivustolla on osoite 127.0.0.1

buzz @ sysadmin: ~ $ host -t Kohteeseen www.download.windowsupdate.com
www.download.windowsupdate.com on osoite 127.0.0.1

sirinä@sysadmin: ~ $ dig dns
buzz @ sysadmin: ~ $ dig dns.mordor.fan
;; KYSYMYSOSA :; dns.mordor.fan. JONKIN SISÄLLÄ ;; VASTAUSOSA: dns.mordor.fan. 0 IN A 10.10.10.5

buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs
buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fanilla on SRV-tietue 0 0 3268 sauron.mordor.fan.

buzz @ sysadmin: ~ $ dig _ldap._tcp.gc._msdcs.mordor.fan
;; KYSYMYSOSA :; _ldap._tcp.gc._msdcs.mordor.fan. JONKIN SISÄLLÄ ;; VASTAUSOSA: _ldap._tcp.gc._msdcs.mordor.fan. 0 IN A 10.10.10.3

buzz @ sysadmin: ~ $ dig mordor.fan axfr
buzz @ sysadmin: ~ $ dig 10.10.10.in-addr.arpa axfr

Ja kuinka monta kuulemista tarvitsemme

Dnsmasq + Active Directory® + Microsoft® Windows -asiakkaat

Nimeä Microsoft® Windows Client

seitsemänmordor.fan vuokrattu IP-osoite:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leasing 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

Nimeetään uudelleen «seitsemän»-Mitä ei ole liitetty Active Directory -verkkotunnukseen -«eukalyptus«. Muutoksen ja uudelleenkäynnistyksen jälkeen tarkistamme:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leasing 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

Muutosten historia näkyy "sysadminissa":

buzz @ sysadmin: ~ $ isäntä -t seitsemän
seven.mordor.fanilla on osoite 10.10.10.115

Nimimuutoksen jälkeen

buzz @ sysadmin: ~ $ isäntä -t seitsemän
seitsemällä ei ole A-ennätystä

buzz @ sysadmin: ~ $ host -t A eukaliptus
eucaliptus.mordor.fanilla on osoite 10.10.10.115

Kyselyt asiakkaalta eucaliptus.mordor.fan

Microsoft Windows [Version 6.1.7601]
Tekijänoikeudet (c) 2009 Microsoft Corporation. Kaikki oikeudet pidätetään.

C: \ Users \ buzz> nslookup
Oletuspalvelin: dns.mordor.fan Osoite: 10.10.10.5

> sauron
Palvelin: dns.mordor.fan Osoite: 10.10.10.5 Nimi: sauron.mordor.fan Osoite: 10.10.10.3

> mordor.fan
Palvelin: dns.mordor.fan Osoite: 10.10.10.5 Nimi: mordor.fan Osoite: 10.10.10.3

> eukalyptus
Palvelin: dns.mordor.fan Osoite: 10.10.10.5 Nimi: eucaliptus.mordor.fan Osoite: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Palvelin: dns.mordor.fan Osoite: 10.10.10.5 Nimi: sauron.mordor.fan Osoite: 10.10.10.3 Alias: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> set type = SRV
> _kerberos._udp.mordor.fan
Palvelin: dns.mordor.fan Osoite: 10.10.10.5 _kerberos._udp.mordor.fan SRV -palvelun sijainti: prioriteetti = 0 paino = 0 portti = 88 svr isäntänimi = sauron.mordor.fan sauron.mordor.fan Internet-osoite = 10.10.10.3. XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
Palvelin: dns.mordor.fan Osoite: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV -palvelun sijainti: prioriteetti = 0 paino = 0 portti = 389 svr isäntänimi = sauron .mordor.fan sauron.mordor.fan Internet-osoite = 10.10.10.3

> exit

C: \ Käyttäjät \ buzz>

Windows-asiakkaiden rekisteröinti Microsoft® DNS: ään

Windows-asiakkaita, joita ei ole liitetty Active Directory® -toimialueeseen

Meidän on tarkistettava, ovatko eri Windows-asiakkaiden Dnsmasqilta vuokraamat IP-osoitteet oikein rekisteröity Microsoft® DNS: ään. Se voi vaikuttaa miten otamme dynaamiset päivitykset käyttöön - Dynaamiset päivitykset Active Directory®: n Microsoft® DNS -vyöhykkeillä. Aloitamme Microsoft DNS: n oletusasetuksista, jotka sallivat vain suojatut dynaamiset päivitykset - Dynaamiset päivitykset -> Vain suojattu, jokaisella sen vyöhykkeellä.

Huomaa, että asiakas, jolla on nykyinen FQDN eucalyptus.mordor.fan Nro on liitetty Active Directory -toimialueeseen (tai Samba4 AD-DC) ja on poikkeus Microsoftin sääntöön, jonka mukaan «Ainoastaan ​​Omaan toimialueeseeni rekisteröidyillä asiakkailla on lupa rekisteröityä Oma päivitysmekanismini kautta - jonka vain tiedän - DNS: ään«. Onneksi Samba4 AD-DC opettaa meille jotain siitä.

eukalyptus.mordor.fani vuokrattu IP 10.10.10.115:

buzz @ sysadmin: ~ $ host -t A eukaliptus
eucaliptus.mordor.fanilla on osoite 10.10.10.115

Vaihdetaan sen nimeksi «mahonki-«, Käynnistä Windows 7 uudelleen ja katsotaan, mitä tapahtuu, kun pyydämme nimiä«eukalyptus»Y«mahonki-»Jokaiselle DNS: lle, ensin Microsoft DNS: lle ja sitten Dnsmasq:

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.3
Verkkotunnuspalvelimen käyttäminen: Nimi: 10.10.10.3 Osoite: 10.10.10.3 # 53 Alias: 

Isäntää eucaliptus.mordor.fan ei löytynyt: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahonki.mordor.fan 10.10.10.3
Verkkotunnuspalvelimen käyttäminen: Nimi: 10.10.10.3 Osoite: 10.10.10.3 # 53 Alias: 

Palvelinta mahonki.mordor.fan ei löytynyt: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.5
Verkkotunnuspalvelimen käyttäminen: Nimi: 10.10.10.5 Osoite: 10.10.10.5 # 53 Alias: 

Isäntää eucaliptus.mordor.fan ei löytynyt: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahonki.mordor.fan 10.10.10.5
Verkkotunnuspalvelimen käyttäminen: Nimi: 10.10.10.5 Osoite: 10.10.10.5 # 53 Alias: 

mahonki.mordor.fanilla on osoite 10.10.10.115

Voimme muuttaa Windows 7 -asiakasohjelman nimen Nro on liitetty verkkotunnukseen mordor.fani Active Directory® -palvelusta niin monta kertaa kuin haluamme, että Microsoft® DNS ei saa tietää näistä muutoksista tai että tällainen asiakas on olemassa. Onko mahdollista, että se johtuu vain siitä, että olemme valinneet vaihtoehdon  Dynaamiset päivitykset -> Vain suojattu Micorosft DNS: n jokaisella vyöhykkeellä?.

Meidän on valittava, jotta herra Microsoft® DNS tietää muutoksista Dynaamiset päivitykset -> Ei-turvallinen ja suojattu. Tämä vaihtoehto, hyvät lukijat, merkitsee merkittävää haavoittuvuutta kaikkien kunnioitettujen verkkotunnuspalvelinten tietoturvasta, olipa kyseessä sitten Microsft® tai UNIX® / Linux. Microsoft® DNS varoittaa haavoittuvuudesta, koska loppujen lopuksi se on vain muokattu ja yksityistetty BIND, joka tarjoaa meille «Turvallisuus pimeyttä varten«. Jos ei, miksi suosittelet säästämistä kuuluisalle rekisteröinti kaikki Microsoft® DNS: n DNS-asetukset ja tietueet, kun otamme käyttöön Active Directory®? Microsoft® DNS: n suojaamattomien päivitysten tukemisen lisäksi Windows 7 -asiakasverkkokortin kokoonpanossa vaaditaan seuraava muutos:

Tarkistetaan:

buzz @ sysadmin: ~ $ host -t A mahonki.mordor.fan 10.10.10.3
Verkkotunnuspalvelimen käyttäminen: Nimi: 10.10.10.3 Osoite: 10.10.10.3 # 53 Alias: mahonki.mordor.fanilla on osoite 10.10.10.115

buzz @ sysadmin: ~ $ isäntä 10.10.10.115 10.10.10.3
Verkkotunnuspalvelimen käyttäminen: Nimi: 10.10.10.3 Osoite: 10.10.10.3 # 53 Alias: 115.10.10.10.in-addr.arpa -verkkotunnuksen osoitin mahonki.mordor.fan.

buzz @ sysadmin: ~ $ host -t A mahonki 10.10.10.5
Verkkotunnuspalvelimen käyttäminen: Nimi: 10.10.10.5 Osoite: 10.10.10.5 # 53 Alias: mahonki.mordor.fanilla on osoite 10.10.10.115

buzz @ sysadmin: ~ $ isäntä 10.10.10.115 10.10.10.5
Verkkotunnuspalvelimen käyttäminen: Nimi: 10.10.10.5 Osoite: 10.10.10.5 # 53 Alias: 115.10.10.10.in-addr.arpa -verkkotunnuksen osoitin mahonki.mordor.fan.

Kyllä nyt. Mikä mukava synkronointi kahdelle DNS-palvelimelle, jota ei ole synkronoitu millään tavalla, eikö?

Windows-asiakkaat liittyivät Active Directory® -toimialueeseen

Yhdistetään asiakas mahonki.mordor.fan verkkotunnukseen, mutta ei ennen verkkokorttisi määrityksissä tekemämme muutoksen poistamista, jos joskus teimme sen vahvistaaksemme edellisen luvun kohtaa. Poista myös merkintä «mahonki-»Microsoftissa® DNS ja palauta dynaamiset päivitykset lähtöpaikkaansa «Vain suojattu«. Muuten, se on kelvollinen käynnistämään Microsoft-palvelu uudelleen® DNS.

Liityttyään verkkotunnukseen ja kaikesta ponnistuksestamme huolimatta asiakas «mahonki-»Ei ole rekisteröity Microsoft® DNS: ään. Olemme jopa julistaneet dnsmasq.conf - väliaikainen - että ensimmäinen DNS-palvelin on 10.10.10.3.

Microsoft Windows [Version 6.1.7601]
Tekijänoikeudet (c) 2009 Microsoft Corporation. Kaikki oikeudet pidätetään.

C: \ Users \ saruman> ipconfig / all

Windowsin IP-kokoonpanon isäntänimi. . . . . . . . . . . . : MAHOGANY Ensisijainen Dns-jälkiliite. . . . . . . : mordor.fan Solmun tyyppi. . . . . . . . . . . . : Hybridi-IP-reititys käytössä. . . . . . . . : Ei WINS-välityspalvelinta käytössä. . . . . . . . : Ei DNS-jälkiliitteiden hakulistaa. . . . . . : mordor.fan Ethernet-sovitin Lähiverkkoyhteys: Yhteyskohtainen DNS-jälkiliite. : mordor.fan Kuvaus. . . . . . . . . . . : Intel (R) PRO / 1000 MT -verkkoyhteyden fyysinen osoite. . . . . . . . . : 00-0C-29-D6-14-36 DHCP käytössä. . . . . . . . . . . : Kyllä Automaattinen määritys käytössä. . . . : Kyllä Link-local IPv6-osoite. . . . . : fe80 :: 352a: b954: 7eba: 963e% 12 (ensisijainen) IPv4-osoite. . . . . . . . . . . : 10.10.10.115 (ensisijainen) aliverkon peite. . . . . . . . . . . : Vuokrasopimus saatu. . . . . . . . . . : Lauantai 255.255.255.0. helmikuuta 25 2017:8:19 Vuokrasopimus päättyy. . . . . . . . . . : Lauantai, 05. helmikuuta 25 2017:4:20 Oletusyhdyskäytävä. . . . . . . . . : 36 DHCP-palvelin. . . . . . . . . . . : 10.10.10.253 DHCPv10.10.10.5 IAID. . . . . . . . . . . : 6 DHCPv251661353 Client DUID. . . . . . . . : 6-00-01-00-01-20B-3-69-81-00C-0-D29-6-14

   DNS-palvelimet. . . . . . . . . . . : 10.10.10.3
                                       10.10.10.5
   NetBIOS yli Tcpip. . . . . . . . : Enable Tunnel adapter isatap.mordor.fan: Media State. . . . . . . . . . . : Media katkaisi yhteyden yhteyskohtaisen DNS-jälkiliitteen. : mordor.fan Kuvaus. . . . . . . . . . . : Microsoft ISATAP -sovittimen fyysinen osoite. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP käytössä. . . . . . . . . . . : Ei automaattista määritystä käytössä. . . . : Kyllä Tunnelisovitin Lähiverkkoyhteys * 9: Mediatila. . . . . . . . . . . : Media katkaisi yhteyden yhteyskohtaisen DNS-jälkiliitteen. : Kuvaus. . . . . . . . . . . : Microsoft Teredon tunnelointisovittimen fyysinen osoite. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP käytössä. . . . . . . . . . . : Ei automaattista määritystä käytössä. . . . : Ja se on

C: \ Käyttäjät \ saruman>

buzz @ sysadmin: ~ $ host -t A mahonki.mordor.fan 10.10.10.3
Verkkotunnuspalvelinta käytetään: Nimi: 10.10.10.3 Osoite: 10.10.10.3 # 53 Alias: Isäntä caoba.mordor.fania ei löydy: 3 (NXDOMAIN)

sirinä@sysadmin: ~ $ isäntä -t Mahogany.mordor.fanille
mahonki.mordor.fanilla on osoite 10.10.10.115
  • Ainoa tapa, jolla asiakas rekisteröidään «mahonki-»In Microsoft Microsft®: ssä DNS muuttaa verkkokorttiasi ilmoitetulla tavallaó edellisessä kuvassa, toisin sanoen nimenomaisesti, että: yhteyden DNS-pääte on mordor.fan, että se rekisteröi yhteyden osoitteen DNS: ssä ja että se käyttää ilmoitettua DNS-jälkiliitettä rekisteröidessään yhteyden.
buzz @ sysadmin: ~ $ host -t A mahonki.mordor.fan 10.10.10.3
Verkkotunnuspalvelimen käyttäminen: Nimi: 10.10.10.3 Osoite: 10.10.10.3 # 53 Alias: mahonki.mordor.fanilla on osoite 10.10.10.115

buzz @ sysadmin: ~ $ host -t Mahonki.mordor.fan
mahonki.mordor.fanilla on osoite 10.10.10.115
Vaihdetaan nimi "mahonki" "setri"
buzz @ sysadmin: ~ $ host -t A mahonki.mordor.fan 10.10.10.3
Verkkotunnuspalvelinta käytetään: Nimi: 10.10.10.3 Osoite: 10.10.10.3 # 53 Alias: Isäntä caoba.mordor.fania ei löydy: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t To cedar.mordor.fan 10.10.10.3
Verkkotunnuspalvelimen käyttäminen: Nimi: 10.10.10.3 Osoite: 10.10.10.3 # 53 Alias: cedro.mordor.fanilla on osoite 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahonki.mordor.fan 10.10.10.5
Verkkotunnuspalvelinta käytetään: Nimi: 10.10.10.5 Osoite: 10.10.10.5 # 53 Alias: Isäntä caoba.mordor.fania ei löydy: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t To cedar.mordor.fan 10.10.10.5
Verkkotunnuspalvelimen käyttäminen: Nimi: 10.10.10.5 Osoite: 10.10.10.5 # 53 Alias: cedro.mordor.fanilla on osoite 10.10.10.115

Ja kaikki normaalia, kuten Microsoft® -asiakkaat ja Microsoft® DNS pitävät asioista.

Tehdään työtä Microsoft® DHCP: n ja Microsoft® DNS: n kanssa

Hyvät lukijat, tämä luku ei kuulu ilmaiselle ohjelmistolle omistetun blogin kontekstiin. Katso Microsoft®-ohjeet. He eivät usko ?. 😉

Päätelmät

On useita tapoja työskennellä Microsoft® DNS: n kanssa, kun teemme sen rinnakkain pk-yritysverkossa Dnsmasqin kanssa. Niistä mainitsemme vain seuraavat:

  • Pysäytä Microsoft® DNS -palvelu kokonaan tietokoneessa, jossa se on käynnissä, ilmoittamalla jälkeenpäin, että palvelun käynnistys on poistettu käytöstä. Poista jokaisen Microsoft®-asiakkaan verkkokortin määrityksessä valinta rekisteröidä yhteyden osoite DNS: ään. Poista tiedostosta /etc/dnsmasq.conf Direktiivi palvelin = / mordor.fan / 10.10.10.3. Viesti:
    • Vaikka tiedusteluihin ei vastatakaan SOA y NS, verkko toimii oikein, samoin kuin eri asiakkaiden - Microsoft® ja Linux - yhdistäminen Active Directory® -toimialueeseen.
    • Sillä on se etu, että pk-yritysverkossa on vain yksi verkkotunnuspalvelin - uros mies - ja se on Dnsmasq. ;-). Toisaalta epäjohdonmukaisuuksien mahdollisuus Microsoft® DNS: ään tallennettujen ja Dnsmasqin kautta saatavilla olevien DNS-tietueiden välillä on eliminoitu.
  • Jätä Microsoft® DNS käynnissä vastaamaan vain SOA- ja NS-tietueita koskeviin DNS-kyselyihin. Huomatas:
    • Muokkaa kunkin Windows-asiakkaan verkkokortin kokoonpanoa poistamalla valinta vaihtoehdosta Rekisteröi yhteyden osoite DNS: ään.
    • Me ajattelemme että tämä ratkaisu on resurssien tuhlausta.
  • Määritä palvelut kuten olemme nähneet artikkelissa, mikä näyttää ratkaisun, joka mieluummin sopii Microsoft®-filosofiaan - eikö FreeBSD / Linux- Ok?

Yhteenveto

  • Microsoft® DNS -ehdotus on hyvin suljettu. Se ei jätä tilaa muille ratkaisuille, jotka eivät ole sen hermeettisen filosofian mukaisia.
  • Äiti Luonto opettaa meille, että olemme olemassa monipuolisessa universumissa. Normaali asia on, että sinulla on sekoitettu lähiverkko, joka siirtyy kohti vapaita ohjelmistoja, ja rikas elämä ja monimuotoisuus.
  • Vaikuttaa siltä, ​​että Microsoft® -käyttäjät, jotka eivät liity Hänen filosofiaansa, ovat syrjäytyneitä, joten heidän ei pitäisi vaivautua ottamaan heitä huomioon.
  • Kuinka vaikeaa on työskennellä yksityisten ohjelmistojen kanssa! Haluaisin mieluummin viettää vähän työtä vapaiden ohjelmistojen luomisessa ja olla todella ilmainen, hitto se!

"Paras totuuden kriteeri on käytäntö."


11 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   Zodiac Carburus dijo

    Hieno artikkeli, jonka olet kirjoittanut, Federico!

  2.   Julio Leon dijo

    Valtava artikkeli rakas. Ja yhteenveto on paras XD
    Tasapainot;

  3.   lisko dijo

    En usko, että olen nähnyt kattavamman ja yksityiskohtaisemman sysadmin-oppaan Internetissä (espanjan kielellä), työsi, jonka teet Networks for SME -yrityksessä, on kehys.

    Vaikka työ on hankalaa ja tämän yksityiskohtaisuuden saavuttaminen on monien tuntien kysymys, luulen, että luot vertailupisteen, jota käytetään, kun se tulee tunnetuksi suurelle osalle SysAdminia, jolla on avain artikkeleissasi opettajana monista päivittäin kohtaamistaan ​​tehtävistä.

    Mitä tulee dnsmasqiin ja aktiiviseen hakemistoon, luulen, että minulla ei ole koskaan ollut mahdollisuutta työskennellä molempien kanssa, mutta laboratoriossani kaikki Windows-asiakkaan puuttuessa kaikki näyttävät olevan kunnossa, eikä ole ihme tämän erinomaisen askel askeleelta.

    Pelasta lauseesi «Kuinka vaikeaa on työskennellä yksityisten ohjelmistojen kanssa! Haluaisin mieluummin viettää vähän työtä ilmaisten ohjelmistojen konfiguroinnissa ja olla todella ilmainen, hitto se! »… Katsotaanpa, että vietän vähän työtä vapaiden ohjelmistojen konfigurointiin ohitusten ajan myötä, lähinnä sinun kaltaisi dokumentaation ja monet muut ihmiset, kuinka myös vapaiden ohjelmistojen jatkuvalla inhimillistämisellä.

    Onnittelut FIco ... Siirtymme eteenpäin.

  4.   Federico dijo

    Horoskooppi: Sanasi ovat kannustin jatkaa kirjoittamista. Älä epäröi, monta hyvää tuntia - pakarat ovat välttämättömiä tämänkaltaisen vaatimattoman artikkelin kirjoittamiseksi.

    Julio León: Terveisiä myös sinulle, rakas Julio. Toivottavasti ja jatkat kanssamme tietäen hieman enemmän vapaista ohjelmistoista.

    Lagarto: Käytetyt päivät ja tunnit ovat sen arvoisia, kun luin tämän viestin kaltaisia ​​kommentteja. Ne ovat paras palkinto työstämme. Välitin linkin artikkeliin Simon Kelleylle itselleen, ja hän oli ystävällinen vastaamaan minulle.

    Haluan hyödyntää tätä tilaa sanoa, että DNS- ja DHCP-kysymyksessä aloitamme - strategialla - monimutkaisesta helpoon. Dnsmasq on erittäin pätevä ratkaisu SME Networksille, ja se on paljon helpompi toteuttaa kuin BIND + Isc-Dhcp-Server -duo. Aihe saattaa tuntua hieman tekniseltä monille lukijoille. Ajan ja käytännön avulla he ymmärtävät, että näin ei ole. Infrastruktuuripalvelimen periaatteet kannattaa tutkia, otsikko, joka kattaisi kuusi DNS- ja DHCP-palveluista kirjoitettua artikkelia unohtamatta NTP: tä.

    Onnittelut kaikille ... Menemme eteenpäin!

  5.   IWO dijo

    Kiitos Federico uudesta upeasta artikkelista, jossa on valtavat yksityiskohdat ja laaja teoria Dnsmasqista. Työkalu, jonka jo näemme, on erittäin hyödyllinen järjestelmänvalvojille.

    Hieno kaikki, joka liittyy Microsoft DNS -vyöhykkeen "_msdcs.mordor.fan" /etc/dnsmasq.conf -asetustiedostoon lisäämiseen SRV-tietueidesi avulla, jotka käyttävät palveluita: _gc, _ldap, _kerberos ja _kpasswd kanssa Tavoitteena on käyttää Microsoft DNS: ää ("server = / mordor.fan / 10.10.10.3" -lauseke) Dnsmasqin ("local = / mordor.fan /" käsky) lisäksi DNS-kyselyjen ratkaisemiseksi.

    GREAT on myös kehitetty esimerkki siitä, että Microsoft DNS: n rekisteröimiseksi Windows-asiakkaille, joilla on IP-muutokset lähiverkossa, sinun on valittava DNS-kokoonpanossa "Dynaamiset päivitykset" -asetukseksi "Ei-turvallinen ja suojattu" ja mitä tämä tarkoittaa minkä tahansa kunnioitetun verkkotunnuspalvelimen tietoturvan haavoittuvuus, olipa kyseessä Microsoft tai UNIX / Linux. Sen lisäksi, että Windows-asiakasverkkokortin kokoonpanoa on tarpeen muuttaa.
    Mikään ei nosta pysähdystä jokaisella uudella viestillä! Innolla odottaa seuraavia artikkeleita!

    1.    Federico dijo

      Kiitos paljon arvioinnistasi ja kommenttisi, IWO. Odotan aina jokaisessa julkaisemassani artikkelissa mielipiteesi, koska ammattisi, tietosi ja käytäntösi tukevat sitä. Onnittelut IWO: lle. Näemme sinut seuraavassa artikkelissa

  6.   metsästäjä dijo

    Erittäin hyvä työ, kuten aina näiden helmien lähettäminen sysadmineille. Kiitos tuhat!

  7.   crespo88 dijo

    Anna Microsoftin DNS: lle mahdollisuus, et ole edes antanut sen näkyä. Emme tiedä onko hän vielä elossa vai edes onko hänellä häpeää jäljellä. Erinomainen artikkeli.

  8.   HO2Gi dijo

    Helmi kuin mikään muu, tallennettu suosikkeihin kuulemista varten. Erinomainen artikkeli.

  9.   Federico dijo

    Kiitos HO2Gi arvioinnistasi. Suosittelen sinua - ja yleensä KAIKILLE - käymään https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/. Sitä muokattiin uudelleen hakemistolla kaikista julkaistuista viesteistä ja keskusteltavista aiheista. Terveisiä ja jatka kanssamme.

  10.   Paul Andrew Flemmer dijo

    Erinomainen asiakirja, joka on käytettävissä https://blog.desdelinux.net/bind-active-directory/
    Haluan vain antaa suosituksen, ja pidä sitä rakentavana kritiikkinä. Konfiguroinnin esimerkkinä olisi ollut parempi, jos se olisi käyttänyt 10.10.10.0/24-verkon sijasta sellaista, jossa jokaisella lohkolla olisi eri numerot, kuten 192.168.1.0/24-verkko.
    Tämä tekisi selvemmäksi, mihin verkko-osoitteet menevät päinvastaisessa järjestyksessä, esimerkiksi kun sinun on lisättävä tyypin ".in-addr.arpa" arvoja.
    Kiitos, että jaoit niin paljon laadukasta tietoa.
    Ystävällisin terveisin.