BIND ja Active Directory® - pk-yritykset

Sarjan yleinen hakemisto: Tietokoneverkot pk-yrityksille: Johdanto

Hei ystävät!. Tämän artikkelin päätavoitteena on osoittaa, kuinka voimme integroida BIND9-pohjaisen DNS-palvelun Microsoft-verkkoon, joka on hyvin yleistä monissa pk-yrityksissä.

Se syntyy La Tierra del Fuegossa asuvan ystävän virallisesta pyynnöstä -Fuegian- erikoistunut Microsoft® Networksiin - Mukana olevat sertifikaatit - opastamaan sinua palvelimiesi siirtämisessä Linuxiin. - kustannukset tuki Microsoftille maksavat teknikot ovat jo Sietämätön sen yhtiön palveluksessa, jossa hän työskentelee ja jonka pääosakas hän on.

Ystäväni Fuegian hänellä on hyvä huumorintaju, ja koska hän näki kolmen elokuvan sarjan «Sormusten Herra»Hänet kiehtoivat monet hänen tummien hahmojensa nimet. Joten, lukijaystävä, älä yllätty verkkotunnuksesi ja palvelimesi nimistä.

Aiheen uusille tulijoille ja ennen kuin jatkat lukemista, suosittelemme, että luet ja tutkit kolme edellistä artikkelia pk-verkkoja:

• DNS ja DHCP openSUSE 13.2: ssa "Harlequin"
• DNS ja DHCP CentOS 7: ssä
• DNS ja DHCP Debian 8: ssa "Jessie"

Se on kuin katsot kolmea neljästä osasta «Alamaailma»Julkaistu tähän päivään asti, ja että tämä on neljäs.

Yleiset parametrit

Usean vaihdon jälkeen sähköposti, viimeinkin olin selvillä nykyisen verkon pääparametreista, jotka ovat:

Verkkotunnus mordor.fan LAN-verkko 10.10.10.0/24 ======================================== == ========================================== Palvelinten IP-osoitteen tarkoitus (Palvelimet, joissa on käyttöjärjestelmä Windows) ================================================== === ============================ sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Windows-tiedostopalvelin darklord.mordor.fan. 10.10.10.6 Välityspalvelin, yhdyskäytävä ja palomuuri Kerios troll.mordor.fan -palvelussa. 10.10.10.7 Blogi, joka perustuu ... ei voi muistaa shadowftp.mordor.fan. 10.10.10.8 FTP-palvelin blackelf.mordor.fan. 10.10.10.9 Täysi sähköpostipalvelu blackspider.mordor.fan. 10.10.10.10 WWW-palvelu palantir.mordor.fan. 10.10.10.11 Chat on Openfire for Windows

Pyysin lupaa Fuegian asettaa niin monta aliasta kuin tarpeen mieleni puhdistamiseksi ja antoi minulle luvan:

Todellinen CNAME ============================== sauron ad-dc mamba-tiedostopalvelin darklord proxyweb-peikko-blogi shadowftp ftpserver blackelf mail blackspider www palantir openfire

Ilmoitin kaikki tärkeät DNS-tietueet asennettaessa Active Directory Windows 2008 -käyttöjärjestelmää, jotka minun oli pakko toteuttaa ohjaamaan minua tämän viestin tekemisessä.

Tietoja Active Directoryn DNS: n SRV-tietueista

Rekisterit SRV o Palvelujen paikannuslaitteet - joita käytetään laajasti Microsoft Active Directory -ohjelmassa - on määritelty Kommenttipyyntö RFC 2782. Ne sallivat TCP / IP-protokollaan perustuvan palvelun sijainnin DNS-kyselyn avulla. Esimerkiksi Microsoft-verkon asiakas voi etsiä toimialueen ohjainten sijainnin - Verkkotunnuksen ohjaimet jotka tarjoavat LDAP-palvelun portin 389 TCP-protokollan kautta yhden DNS-kyselyn kautta.

On normaalia, että metsissä - Metsätja puut - Puut suuresta Microsoft-verkosta on useita toimialueohjaimia. Käyttämällä SRV-tietueita eri vyöhykkeillä, jotka muodostavat kyseisen verkon Verkkotunnusnimi-tilan, voimme ylläpitää luetteloa palvelimista, jotka tarjoavat samanlaisia ​​tunnettuja palveluita, järjestyksessä mieltymyksittäin kunkin liikenteen protokollan ja portin mukaan yksi palvelimista.

Että Kommenttipyyntö RFC 1700 Tunnettujen palveluiden yleisten symbolisten nimien määrittäminen - Tunnettu palveluja nimet, kuten «_telnet""_smtp»Palveluille telnet y SMTP. Jos tunnetulle palvelulle ei ole määritelty symbolista nimeä, voidaan käyttää paikallista nimeä tai muuta nimeä käyttäjän mieltymysten mukaisesti.

Kunkin kentän tarkoitus «erityinen»SRV-resurssitietueen ilmoituksessa käytetään seuraavaa:

• Domain: "Pdc._msdcs.mordor.fan.«. Palvelun DNS-nimi, johon SRV-tietue viittaa. Esimerkin DNS-nimi tarkoittaa-enemmän tai vähemmän- Ensisijainen verkkotunnuksen ohjain alueen _msdcs.mordor.fan.
• Palvelu: "_Ldap". Palvelun, joka on määritelty mukaisesti, symbolinen nimi Kommenttipyyntö RFC 1700.
• Protokolla: "_Tcp". Osoittaa kuljetusprotokollan tyypin. Tyypillisesti voi ottaa arvot _tcp o _udp, vaikka - ja itse asiassa - minkä tahansa tyyppinen kuljetusprotokolla, joka on merkitty Kommenttipyyntö RFC 1700. Esimerkiksi palvelua varten jutella protokollapohjainen XMPP, tämän kentän arvo olisi _xmpp.
• prioriteetti"0«. Ilmoita etusija tai etusija Isäntä, joka tarjoaa tätä palvelua jonka näemme myöhemmin. Asiakkaiden DNS-kyselyt tämän SRV-tietueen määrittelemästä palvelusta yrittävät saada vastaavan vastauksen saatuaan yhteyden ensimmäiseen käytettävissä olevaan isäntään, jonka kentässä on pienin numero. prioriteetti. Tämän kentän arvoalue voi olla 0 65535.
• Paino"100«. Voidaan käyttää yhdessä prioriteetti tarjota kuormituksen tasausmekanismi, kun palvelimia on useita, jotka tarjoavat samaa palvelua. Jokaiselle Zone-tiedoston palvelimelle tulisi olla samanlainen SRV-tietue, jonka nimi on ilmoitettu kentässä Isäntä, joka tarjoaa tätä palvelua. Ennen palvelimia, joilla on samanarvoiset kentät prioriteetti, kentän arvo Paino sitä voidaan käyttää lisämääritystasona tarkan palvelinvalinnan saamiseksi kuormituksen tasapainottamista varten. Tämän kentän arvoalue voi olla 0 65535. Jos kuormituksen tasapainottamista ei vaadita, esimerkiksi kuten yhden palvelimen tapauksessa, on suositeltavaa määrittää arvo 0 jotta SRV-tietue olisi helpommin luettavissa.
• Portin numero - Portti"389«. Portin numero sisään Isäntä, joka tarjoaa tätä palvelua joka tarjoaa kentässä ilmoitetun palvelun Palvelu. Kunkin tunnetun palvelun suositeltu porttinumero on merkitty Kommenttipyyntö RFC 1700, vaikka se voi viedä arvon välillä 0 ja 65535.
• Isäntä, joka tarjoaa tätä palvelua - Target"sauron.mordor.fani.«. Määrittää FQDN joka yksiselitteisesti tunnistaa isäntä joka tarjoaa SRV-tietueen osoittaman palvelun. Tietueen tyyppi «A»Jokaisen verkkotunnuksen nimiavaruudessa FQDN palvelimelta tai isäntä joka tarjoaa palvelun. Yksinkertaisempi, tyyppitietue A suoralla vyöhykkeellä.
  • Huom:
    Sen osoittamiseksi, että SRV-tietueen määrittelemää palvelua ei tarjota tälle isännälle, yksi (.) kohta.

Haluamme vain toistaa, että verkon tai Active Directory®: n oikea toiminta perustuu vahvasti verkkotunnuspalvelun oikeaan toimintaan..

Active Directoryn DNS-tietueet

Uuden DNS-palvelimen vyöhykkeiden luomiseksi BIND: n perusteella meidän on hankittava kaikki DNS-tietueet Active Directory® -palvelusta. Elämän helpottamiseksi menemme joukkueeseen sauron.mordor.fani -Active Directory® 2008 SR2- ja DNS-hallintakonsolissa aktivoimme Zone Transfer -suoran ja käänteisen- tämän tyyppisessä palvelussa ilmoitetuille päävyöhykkeille, jotka ovat:

• _msdcs.mordor.fan
• mordor.fani
• 10.10.10.arpa

Kun edellinen vaihe on suoritettu ja mieluiten Linux-tietokoneelta, jonka IP-osoite on Windows-verkon käyttämän aliverkon alueella, suoritamme:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> lämpötila /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> Lämpötila / rr.10.10.10.arpa

• Muista edellisistä artikkeleista, että laitteen IP-osoite sysadmin.desdelinux.tuuletin se 10.10.10.1 tai 192.168.10.1.

Kolmessa edellisessä komennossa voimme poistaa vaihtoehdon 10.10.10.3 -kysy DNS-palvelimelta, jolla on tämä osoite- jos ilmoitamme asiakirjassa / Etc / resolv.conf palvelimen IP-osoitteeseen sauron.mordor.fani:

buzz@sysadmin:~$ cat /etc/resolv.conf 
# Generated by NetworkManager
search desdelinux.fan
nameserver 192.168.10.5
nameserver 10.10.10.3

Muokkaamisen jälkeen erittäin huolellisesti, kuten mikä tahansa BIND: n vyöhyketiedosto, saamme seuraavat tiedot:

RR-tietueet alkuperäiseltä alueelta _msdcs.mordor.fan

buzz @ sysadmin: ~ $ kissan lämpötila / rrs._msdcs.mordor.fan 
; Liittyy SOA: han ja NS: ään _msdcs.mordor.fan. 3600 SOA: ssa sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; MAAILMANLUETTELO gc._msdcs.mordor.fan. 3600 IN A 600; ; Aliakset - SAURONin Active Directoryn muokatussa ja yksityisessä LDAP-tietokannassa 10.10.10.3-03296249a82-1aa-a49f4-0f28900d5b._msdcs.mordor.fan. 256 IN CNAME sauron.mordor.fan. ; ; Muokattu ja yksityinen Active Directoryn LDAP _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 600 0 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 100 IN SRV 389 600 sauron.mordor.fan. _ldap._tcp.0d100d-389fdb-18cf-a3360-d8c40b678d7.domains._msdcs.mordor.fan. 420 IN SRV 6 775 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 sauron.mordor.fan. ; ; Muokattu ja yksityinen Active Directoryn KERBEROS _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 3268 IN SRV 600 0 100 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 389 IN SRV 600 0 100 sauron.mordor.fan.

RR-tietueet alkuperäiseltä alueelta mordor.fan

buzz @ sysadmin: ~ $ kissan lämpötila / rrs.mordor.fan 
; Liittyvät SOA: han, NS: ään, MX: ään ja sen kartoittamaan A-tietueeseen; verkkotunnus SAURONin IP-osoitteeseen; Asiat Active Directorysta mordor.fan. 3600 IN SOA sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 mordor.fan. 86400 IN A 3600 mordor.fan. 600 IN NS sauron.mordor.fan. mordor.fan. 10.10.10.3 IN MX 3600 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; Tärkeä myös A tallentaa DomainDnsZones.mordor.fan. 10 IN A 3600 ForestDnsZones.mordor.fan. 600 IN A 10.10.10.3; ; MAAILMANLUETTELO _gc._tcp.mordor.fan. 600 IN SRV 10.10.10.3 600 0 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 100 IN SRV 3268 600 0 sauron.mordor.fan. ; ; Muokattu ja yksityinen Active Directory -tiedostojen LDAP-tiedosto _ldap._tcp.mordor.fan. 100 IN SRV 3268 600 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 0 IN SRV 100 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 389 IN SRV 600 0 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 100 IN SRV 389 600 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 0 IN SRV 100 389 sauron.mordor.fan. ; ; Muokattu ja yksityinen Active Directoryn KERBEROS _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 100 sauron.mordor.fan. _kerberos._udp.mordor.fan. 88 IN SRV 600 0 100 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 88 IN SRV 600 0 sauron.mordor.fan. ; ; Tallentaa A kiinteällä IP: llä -> Palvelimet blackelf.mordor.fan. 100 IN A 464 blackspider.mordor.fan. 600 IN A 0 darklord.mordor.fan. 100 IN A 88 mamba.mordor.fan. 600 IN A 0 palantir.mordor.fan. 100 IN A 464 sauron.mordor.fan. 3600 IN A 10.10.10.9 shadowftp.mordor.fan. 3600 IN A 10.10.10.10 peikko.mordor.fan. 3600 IN A 10.10.10.6; ; CNAME tallentaa ad-dc.mordor.fan. 3600 CNAME-nimessä sauron.mordor.fan. blog.mordor.fan. 10.10.10.4 IN CNAME troll.mordor.fan. tiedostopalvelin.mordor.fan. 3600 CNAME-nimessä mamba.mordor.fan. ftpserver.mordor.fan. 10.10.10.11 CNAME-nimessä shadowftp.mordor.fan. mail.mordor.fan. 3600 IN CNAME balckelf.mordor.fan. openfire.mordor.fan. 10.10.10.3 CNAME: ssä palantir.mordor.fan. proxy.mordor.fan. 3600 CNAME: ssä darklord.mordor.fan. www.mordor.fan. 10.10.10.8 IN CNAME blackspider.mordor.fan.

RR-tietueet alkuperäiseltä alueelta 10.10.10. In-addr.arpa

buzz @ sysadmin: ~ $ kissan lämpötila / rrs.10.10.10.in-addr.arpa 
; Liittyy SOA: han ja NS: hen 10.10.10. 3600 IN SOA sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400.arpa. 3600 IN NS sauron.mordor.fan. ; ; PTR-tietueet 10.10.10.ad-addr.arpa. 3600 IN PTR blackspider.mordor.fan. 10.10.10.10.arpa. 3600 IN PTR palantir.mordor.fan. 11.10.10.10.arpa. 3600 IN PTR sauron.mordor.fan. 3.10.10.10.arpa. 3600 IN PTR mamba.mordor.fan. 4.10.10.10.arpa. 3600 IN PTR dnslinux.mordor.fan. 5.10.10.10.arpa. 3600 IN PTR darklord.mordor.fan. 6.10.10.10.arpa. 3600 IN PTR troll.mordor.fan. 7.10.10.10.arpa. 3600 IN PTR shadowftp.mordor.fan. 8.10.10.10.arpa. 3600 IN PTR blackelf.mordor.fan.

Tähän asti voimme ajatella, että meillä on tarvittavat tiedot jatkamaan seikkailua, emmekä ensin tarkkailemassa TTL: t ja muita tietoja, jotka tarjoavat meille erittäin tiiviisti Microsft® Active Directory® 2008 SR2 64 -bittien DNS: n lähdön ja suoran havainnoinnin.

Kuvat DNS-hallinnasta SAURONissa

Dnslinux.mordor.fan -tiimi.

Jos katsomme tarkkaan, IP-osoitteeseen 10.10.10.5 sille ei annettu nimeä tarkalleen, jotta uuden DNS: n nimi olisi sen käytössä dnslinux.mordor.fan. Asentaaksemme DNS- ja DHCP-parin voimme ohjata artikkeleita DNS ja DHCP Debian 8: ssa "Jessie" y DNS ja DHCP CentOS 7: ssä.

Peruskäyttöjärjestelmä

Ystäväni FuegianSen lisäksi, että hän on todellinen Microsoft® Windows -asiantuntija - hänellä on muutama kyseisen yrityksen myöntämä varmenne -, hän on lukenut ja pannut käytäntöön joitain työasemista julkaistuja artikkeleita. DesdeLinux., ja hän kertoi minulle haluavansa nimenomaisesti Debian-pohjaisen ratkaisun. 😉

Miellyttääkseen, aloitamme uudella, puhtaalla palvelimen asennuksella, joka perustuu Debian 8 "Jessie". Se, mitä kirjoitamme seuraavaksi, pätee kuitenkin CentOS- ja openSUSE-jakeluihin, joiden artikkeleista mainitsimme aiemmin. BIND ja DHCP ovat samat kaikissa distroissa. Paketin ylläpitäjät esittävät pieniä muunnelmia kussakin jakelussa.

Suoritamme asennuksen kuvan mukaisesti DNS ja DHCP Debian 8: ssa "Jessie", huolehtimalla IP-osoitteen käytöstä 10.10.10.5 ja verkko 10.10.10.0/24., jo ennen BIND: n määritystä.

Määritämme BIND: n Debian-tyyliin

/etc/bind/named.conf

Tiedosto /etc/bind/named.conf jätämme sen asennettuna.

/etc/bind/named.conf.options

Tiedosto /etc/bind/named.conf.options tulisi jättää seuraava sisältö:

root @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dnslinux: ~ # nano /etc/bind/named.conf.options
vaihtoehdot {hakemisto "/ var / cache / bind"; // Jos sinun ja nimipalvelinten välillä, joiden kanssa haluat // puhua, on palomuuri, sinun on ehkä korjattava palomuuri sallimaan useiden // -porttien puhuminen. Katso http://www.kb.cert.org/vuls/id/800113 // Jos Internet-palveluntarjoajasi antoi yhden tai useamman IP-osoitteen vakaille // nimipalvelimille, haluat todennäköisesti käyttää niitä edelleenlähettäjinä. // Poista seuraava lohko kommentista ja lisää osoitteet korvaamaan // all-0: n paikkamerkki. // kuormatraktorit {// 0.0.0.0; //}; // ================================================= ===================== $ // Jos BIND kirjaa virheviestit pääavaimen vanhentumisesta, // sinun on päivitettävä avaimesi. Katso https://www.isc.org/bind-keys // =================================== =================================== $

    // Emme halua DNSSEC: ää
        dnssec-enable ei;
        //dnssec-validation auto;

        auth-nxdomain ei; # noudattaa RFC1035-standardia

 // Meidän ei tarvitse kuunnella IPv6-osoitteita
        // kuuntele-v6 {any; };
    kuuntele-v6 {ei mitään; };

 // Tarkistuksia localhostilta ja sysadminilta
    // kautta // kaivaa mordor.fan axfr // kaivaa 10.10.10.in-addr.arpa axfr // kaivaa _msdcs.mordor.fan axfr // Meillä ei ole Slave-DNS: tä ... toistaiseksi
 allow-transfer {paikallinen isäntä; 10.10.10.1; };
};

// Kirjaaminen BIND
kirjaaminen {

        kanavakyselyt {
        tiedosto "/var/log/named/queries.log" versiot 3 koko 1m;
        vakavuustiedot;
        tulostusaika kyllä;
        painovoima kyllä;
        painoluokka kyllä;
        };

        kanavan kysely-virhe {
        tiedosto "/var/log/named/query-error.log" versiot 3 koko 1m;
        vakavuustiedot;
        tulostusaika kyllä;
        painovoima kyllä;
        painoluokka kyllä;
        };

                                
luokan kyselyt {
         kyselyt;
         };

luokan kyselyvirheet {
         kysely-virhe;
         };

};

• Esittelemme BIND-lokien sieppauksen a UUSI esiintyminen asiaa käsittelevässä artikkelisarjassa. Luomme l- kansio ja tiedostot, joita tarvitaan Hakkuu BIND:

root @ dnslinux: ~ # mkdir / var / log / nimetty
root @ dnslinux: ~ # touch /var/log/named/queries.log
root @ dnslinux: ~ # touch /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / named

Tarkistamme määritettyjen tiedostojen syntaksin

root @ dnslinux: ~ # named-checkconf 
root @ dnslinux: ~ #

/etc/bind/named.conf.local

Luomme tiedoston /etc/bind/zones.rfcFreeBSD - sisällöllä, joka on sama kuin kohdassa DNS ja DHCP Debian 8: ssa "Jessie".

root @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

Tiedosto /etc/bind/named.conf.local tulisi jättää seuraava sisältö:

// // Tee täällä kaikki paikalliset määritykset // // Harkitse 1918-vyöhykkeiden lisäämistä tähän, jos niitä ei käytetä // -organisaatiossasi
sisältää "/etc/bind/zones.rfc1918"; sisältää "/etc/bind/zones.rfcFreeBSD";

vyöhyke "mordor.fan" {type master; tiedosto "/var/lib/bind/db.mordor.fan"; }; vyöhyke "10.10.10.in-addr.arpa" {type master; tiedosto "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

vyöhyke "_msdcs.mordor.fan" {type master;
 tarkistusnimet ohittavat; tiedosto "/etc/bind/db._msdcs.mordor.fan"; }; root @ dnslinux: ~ # named-checkconf
root @ dnslinux: ~ #

Vyöhyketiedosto mordor.fan

root @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; sarja 1D; päivitä 1 H; yritä uudelleen 1 W; vanhenee 3H); vähintään tai Negatiivinen välimuistin aika elää;
; Ole erittäin varovainen seuraavien tietueiden kanssa
@ IN NS dnslinux.mordor.fan.
@ IN A 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT "Tervetuloa Mordorin pimeään alueeseen";
_msdcs.mordor.fan. IN NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. A: ssa 10.10.10.5
; PÄÄTTÄÄ HOLITTAVASTI SEURAAVIEN TIETOJEN KANSSA;
DomainDnsZones.mordor.fan. IN A 10.10.10.3 ForestDnsZones.mordor.fan. IN A: ssa 10.10.10.3; ; MAAILMANLUETTELO _gc._tcp.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ; ; Muokattu ja yksityinen Active Directory -tiedostojen LDAP-tiedosto _ldap._tcp.mordor.fan. 600 IN SRV 0 0 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 389 IN SRV 600 0 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 0 IN SRV 389 600 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 0 IN SRV 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 389 IN SRV 600 0 sauron.mordor.fan. ; ; Muokattu ja yksityinen Active Directoryn KERBEROS _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 0 IN SRV 389 600 0 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 0 IN SRV 389 600 0 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 0 IN SRV 88 600 0 sauron.mordor.fan. _kerberos._udp.mordor.fan. 0 IN SRV 88 600 0 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 0 IN SRV 464 600 0 sauron.mordor.fan. ; ; Tallentaa A kiinteällä IP: llä -> Palvelimet blackelf.mordor.fan. IN A 0 mustahämähäkki.mordor.fan. IN A 88 darklord.mordor.fan. IN A 600 mamba.mordor.fan. IN A 0 palantir.mordor.fan. 0
sauron.mordor.fan. A 10.10.10.3
shadowftp.mordor.fan. IN 10.10.10.8 peikko.mordor.fan. IN A: ssa 10.10.10.7; ; CNAME tallentaa ad-dc.mordor.fan. CNAME-nimessä sauron.mordor.fan. blog.mordor.fan. CNAME-ohjelmassa troll.mordor.fan. tiedostopalvelin.mordor.fan. CNAME-nimessä mamba.mordor.fan. ftpserver.mordor.fan. CNAME-nimessä shadowftp.mordor.fan. mail.mordor.fan. CNAME-ohjelmassa balckelf.mordor.fan. openfire.mordor.fan. CNAME-nimessä palantir.mordor.fan. proxy.mordor.fan. CNAME-nimessä darklord.mordor.fan. www.mordor.fan. CNAME-nimessä blackspider.mordor.fan.

root @ dnslinux: ~ # named-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
vyöhyke mordor.fan/IN: ladattu sarja 1 OK

Ajat 600 TTL kaikista SRV-rekistereistä pidämme ne siinä tapauksessa, että asennamme Slave BIND: n ajoittain. Nämä tietueet edustavat Active Directory® -palveluja, jotka lukevat enimmäkseen tietoja LDAP-tietokannastasi. Koska kyseinen tietokanta muuttuu usein, synkronointiajat on pidettävä lyhyinä Master - Slave-DNS-järjestelmässä. Active Directory 2000: sta 2008 vuoteen 600 noudatetun Microsoftin filosofian mukaan XNUMX arvo pidetään tämän tyyppisissä SRV-tietueissa.

Los TTL: t palvelimista, joilla on kiinteä IP, niiden SOA-ilmoitettu aika on alle 3 tuntia.

Vyöhyketiedosto 10.10.10.in-addr.arpa

root @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; sarja 1D; päivitä 1H; yritä uudelleen 1W; vanhenee 3H); vähintään tai Negatiivinen välimuistin aika elää; @ IN NS dnslinux.mordor.fan. ; 10 IN PTR blackspider.mordor.fan. 11 PTR: ssä palantir.mordor.fan. 3 PTR: ssä sauron.mordor.fan. 4 PTR: ssä mamba.mordor.fan. 5 PTR: ssä dnslinux.mordor.fan. 6 IN PTR: ssä darklord.mordor.fan. 7 PTR: ssä troll.mordor.fan. 8 PTR: ssä shadowftp.mordor.fan. 9 PTR: ssä blackelf.mordor.fan.

root @ dnslinux: ~ # named-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
vyöhyke 10.10.10.in-addr.arpa/IN: ladattu sarja 1 OK

Vyöhyketiedosto _msdcs.mordor.fan

Otetaan huomioon tiedosto, jota suositellaan /usr/share/doc/bind9/README.Debian.gz Tietoja pääalueiden tiedostojen sijainnista, joita DHCP ei ole päivittänyt dynaamisesti.

root @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; sarja 1D; päivitä 1H; yritä uudelleen 1W; vanhenee 3H); vähintään tai Negatiivinen välimuistin aika elää; @ IN NS dnslinux.mordor.fan. ; ; ; MAAILMANLUETTELO gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ; Aliakset - SAURONin Active Directoryn muokatussa ja yksityisessä LDAP-tietokannassa 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 IN CNAME sauron.mordor.fan. ; ; Muokattu ja yksityinen Active Directory -palvelun LDAP _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 389 IN SRV 600 0 sauron.mordor.fan. _ldap._tcp.100d389d-18fdb-3360cf-a8-d40c678b7d420.domains._msdcs.mordor.fan. 6 IN SRV 775 600 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 0 IN SRV 100 389 600 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 0 IN SRV 100 3268 600 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 0 IN SRV 100 3268 sauron.mordor.fan. ; ; KERBEROS on muokattu ja yksityinen Active Directorysta _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Tarkistamme syntaksin ja voimme jättää huomioimatta sen palauttaman virheen, koska tämän vyöhykkeen kokoonpanossa tiedostossa /etc/bind/named.conf.local sisällytämme lausunnon tarkistusnimet ohittavat;. BIND lataa vyöhykkeen oikein.

root @ dnslinux: ~ # named-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: virheellinen omistajan nimi (tarkista nimet) vyöhyke _msdcs.mordor.fan/IN: ladattu sarja 1 OK

root @ dnslinux: ~ # systemctl käynnistä bind9.service uudelleen 
root @ dnslinux: ~ # systemctl-tila bind9.service 
● bind9.service - BIND-verkkotunnuspalvelin ladattu: ladattu (/lib/systemd/system/bind9.service; käytössä) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf Aktiivinen: aktiivinen (käynnissä) suun jälkeen 2017-02-12 08:48:38 EST; 2 s sitten Docs: man: named (8) Prosessi: 859 ExecStop = / usr / sbin / rndc stop (koodi = poistunut, status = 0 / MENESTYS) PID: 864 (nimetty) CGroup: /system.slice/bind9.service └─864 / usr / sbin / named -f -u bind 12. helmikuuta 08:48:38 dnslinux nimeltä [864]: vyöhyke 3.efip6.arpa/IN: ladattu sarja 1. helmikuuta 12 08:48:38 dnslinux nimeltä [864 ]: zone befip6.arpa/IN: ladattu sarja 1. helmikuuta 12 08:48:38 dnslinux nimeltä [864]: vyöhyke 0.efip6.arpa/IN: ladattu sarja 1. helmikuuta 12 08:48:38 dnslinux nimeltä [864]: vyöhyke 7.efip6.arpa/IN: ladattu sarja 1. helmikuuta 12 08:48:38 dnslinux nimeltä [864]: vyöhyke mordor.fan/IN: ladattu sarja 1. helmikuuta 12 08:48:38 dnslinux nimeltä [864]: vyöhykeesimerkki .org / IN: ladattu sarja 1. helmikuuta 12 08:48:38 dnslinux nimeltä [864]: zone _msdcs.mordor.fan/IN: ladattu sarja 1. helmikuuta 12 08:48:38 dnslinux nimeltä [864]: vyöhyke virheellinen / IN : ladattu sarja 1. helmikuuta 12 08:48:38 dnslinux nimeltä [864]: kaikki vyöhykkeet ladattu
12. helmikuuta 08:48:38 dnslinux nimeltä [864]: juoksu

Neuvomme BIND: ää

Ennen DHCP: n asentamisen jälkeen meidän on suoritettava sarja tarkistuksia, joihin kuuluu jopa Windows 7 -asiakasliittyminen verkkotunnukseen mordor.fani tietokoneeseen asennettu Active Directory sauron.mordor.fani.

Ensimmäinen asia, joka meidän on tehtävä, on pysäyttää tietokoneen DNS-palvelu sauron.mordor.fanija ilmoita verkkoliittymässäsi, että tästä lähtien DNS-palvelimesi on 10.10.10.5 dnslinux.mordor.fan.

Itse palvelimen konsolissa sauron.mordor.fani me toteutamme:

Microsoft Windows [Version 6.1.7600]
Tekijänoikeudet (c) 2009 Microsoft Corporation. Kaikki oikeudet pidätetään.

C: \ Users \ Administrator> nslookup
Oletuspalvelin: dnslinux.mordor.fan Osoite: 10.10.10.5

> gc._msdcs
Palvelin: dnslinux.mordor.fan Osoite: 10.10.10.5 Nimi: gc._msdcs.mordor.fan Osoite: 10.10.10.3

> mordor.fan
Palvelin: dnslinux.mordor.fan Osoite: 10.10.10.5 Nimi: mordor.fan Osoite: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Palvelin: dnslinux.mordor.fan Osoite: 10.10.10.5 Nimi: sauron.mordor.fan Osoite: 10.10.10.3 Alias: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> set type = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Palvelin: dnslinux.mordor.fan Osoite: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRV -palvelimen jääpaikka: prioriteetti = 0 paino = 100 portti = 88 svr isäntänimi = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan Internet-osoite = 10.10.10.3 dnslinux.mordor.fan Internet-osoite = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Palvelin: dnslinux.mordor.fan Osoite: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV -palvelun sijainti: prioriteetti = 0 paino = 100 portti = 389 svr isäntänimi = sauron .mordor.fan _msdcs.mordor.fan nimipalvelin = dnslinux.mordor.fan sauron.mordor.fan Internet-osoite = 10.10.10.3 dnslinux.mordor.fan Internet-osoite = 10.10.10.5
> exit

C: \ Käyttäjät \ Järjestelmänvalvoja>

DNS-kyselyt tehty osoitteesta sauron.mordor.fani ovat tyydyttäviä.

Seuraava vaihe on luoda uusi virtuaalikone, johon on asennettu Windows 7. Koska DHCP-palvelua ei ole vieläkään asennettu, annamme tietokoneelle nimen «win7»IP-osoite 10.10.10.251. Vakuutamme myös, että DNS-palvelimesi on 10.10.10.5 dnslinux.mordor.fanja että hakutoimialue on mordor.fani. Emme rekisteröi kyseistä tietokonetta DNS: ään, koska käytämme sitä myös DHCP-palvelun testaamiseen sen asentamisen jälkeen.

Seuraavaksi avataan konsoli CMD ja siinä toteutamme:

Microsoft Windows [Version 6.1.7601]
Tekijänoikeudet (c) 2009 Microsoft Corporation. Kaikki oikeudet pidätetään.

C: \ Users \ buzz> nslookup
Oletuspalvelin: dnslinux.mordor.fan Osoite: 10.10.10.5

> mordor.fan
Palvelin: dnslinux.mordor.fan Osoite: 10.10.10.5 Nimi: mordor.fan Osoite: 10.10.10.3

> set type = SRV
> _ldap._tcp.DomainDnsZones
Palvelin: dnslinux.mordor.fan Osoite: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan SRV -palvelun sijainti: prioriteetti = 0 paino = 0 portti = 389 svr-palvelimen nimi = sauron.mordor.fan mordor.fan-nimipalvelin = dnslinux.mordor .fan sauron.mordor.fan Internet-osoite = 10.10.10.3 dnslinux.mordor.fan Internet-osoite = 10.10.10.5
> _kpasswd._udp
Palvelin: dnslinux.mordor.fan Osoite: 10.10.10.5 _kpasswd._udp.mordor.fan SRV -palvelun sijainti: prioriteetti = 0 paino = 0 portti = 464 svr-isäntänimi = sauron.mordor.fan mordor.fan nimipalvelin = dnslinux.mordor.fan sauron.mordor.fan Internet-osoite = 10.10.10.3 dnslinux.mordor.fan Internet-osoite = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Palvelin: dnslinux.mordor.fan Osoite: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRV-palvelun jääpaikka: prioriteetti = 0 paino = 0 portti = 389 svr isäntänimi = sauron. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan Internet-osoite = 10.10.10.3 dnslinux.mordor.fan Internet-osoite = 10.10.10.5
> poistua

C: \ Käyttäjät \ buzz>

Asiakkaalta tehdyt DNS-kyselyt «win7»Olivat myös tyydyttäviä.

Luomme Active Directoryn käyttäjän «Saruman«, Tarkoituksena käyttää sitä liittyessään asiakkaaseen win7 verkkotunnukseen mordor.fani., käyttäen menetelmää «Verkon tunnus«, Käyttäjänimien käyttö saruman@mordor.fan y admin@mordor.fan. Liittyminen onnistui ja todistetaan seuraavalla kuvakaappauksella:

Tietoja Microsoft® DNS: n ja BIND: n dynaamisista päivityksistä

Koska DNS-palvelu on pysäytetty Active Directory® -palvelussa, asiakas ei ollut mahdollista «win7»Rekisteröi nimesi ja IP-osoitteesi kyseiseen DNS: ään. Paljon vähemmän sisään dnslinux.mordor.fan koska emme tehneet mitään lausuntoa salli päivitys kaikilla mukana olevilla alueilla.

Ja tässä muodostui hyvä taistelu ystäväni kanssa Fuegian. Ensimmäisessä sähköpostiviestissäni tästä asiasta kommentoin:

• BIND: n ja Active Directory®: n käyttöä koskevissa Microsoft-artikkeleissa he suosittelevat, että erityisesti suora vyöhyke voidaan päivittää -tunkeutuminen- suoraan Windows-asiakkaat, jotka ovat jo liittyneet Active Directory -toimialueeseen.
• Siksi oletusarvoisesti Active Directory®: n DNS-vyöhykkeillä sallitaan suojatut dynaamiset päivitykset Windows-asiakkaat ovat jo liittyneet Active Directory -toimialueeseen. Jos he eivät ole yhtenäisiä, he pidättyvät seurauksista.
• Active Directoryn DNS tukee dynaamisia päivityksiä "Vain suojattu", "Ei suojattu ja suojattu" tai "Ei mitään", mikä on sama kuin EI päivityksiä tai Ei mitään.
• Kyllä todella Microsoft Philosophy ei hyväksy sitä, että sen asiakkaat EI päivitä tietojaan DNS: ssä, se ei jätä avoimeksi mahdollisuutta poistaa dynaamiset päivitykset DNS: stään, ellei tätä vaihtoehtoa jätetä piilotettuihin tarkoituksiin.
• Microsoft tarjoaa "suojauksen" vastineeksi pimeydestä, kuten kertoi minulle kollegani ja ystäväni, jotka läpäisivät Microsft® Certificates -kurssit. Totta. Lisäksi El Fueguino vahvisti sen minulle.
• Asiakas, joka hankkii IP-osoitteen esimerkiksi UNIX® / Linux-koneeseen asennetun DHCP: n kautta, ei pysty ratkaisemaan oman nimensä IP-osoitetta. kunnes olet liittynyt Active Directory -toimialueeseen, kunhan Microsoft®: ta tai BIND: tä käytetään DNS: nä ilman DHCP: n dynaamisia päivityksiä.
• Jos asennan DHCP: n itse Active Directoryan®, minun on ilmoitettava, että Microsoft® DHCP on päivittänyt vyöhykkeet.
• Jos aiomme käyttää BIND: tä Windows-verkon DNS: nä, on loogista ja suositeltavaa, että asennamme BIND-DHCP-duo, jälkimmäisen päivittämällä BIND dynaamisesti ja asia on saatu päätökseen.
• Koska BIND: lle keksittiin dynaamisia päivityksiä UNIX® / Linux-lähiverkkomaailmassa, vain herra DHCP on sallittu «tunkeutua»Rouva BIND: lle päivityksineen. Kiitos rentoutuksesta, joka on järjestyksessä.
• Kun ilmoitan vyöhykkeellä mordor.fani esimerkiksi: salli päivitys {10.10.10.0/24; };, BIND itse ilmoittaa minulle aloitettaessa tai käynnistettäessä uudelleen, että:

  • vyöhyke 'mordor.fan' sallii päivitykset IP-osoitteen mukaan, mikä on epävarmaa

• Pyhässä UNIX® / Linux-maailmassa tällaista DNS-tajua ei yksinkertaisesti voida hyväksyä.

Voit kuvitella loput keskustelusta ystäväni kanssa Fuegian kautta sähköpostit, Sähke Chat, hänen maksamansa puhelut (tietysti mies, minulla ei ole kiloa sitä varten) ja jopa viestit kantokyyhkyjen kautta XXI-luvulla!

Hän jopa uhkasi olla lähettämättä minulle lemmikkinsä poikaa, Iguanaa «Petra»Hän oli luvannut minulle osana maksua. Siellä pelkäsin todella. Joten aloitin uudestaan, mutta toisesta näkökulmasta.

• "Lähes" Active Directory, joka voidaan saavuttaa Samba 4: llä, ratkaisee tämän aspektin mestarillisella tavalla, kun käytämme sen sisäistä DNS: ää tai BIND, joka on koottu tukemaan DLZ-vyöhykkeitä - Dinamycin lataamat alueettai dynaamisesti ladatut vyöhykkeet.
• Se kärsii edelleen samasta: kun asiakas hankkii IP-osoitteen sisäänrakennetun DHCP: n kautta muut UNIX® / Linux-kone, et voi ratkaista oman nimesi IP-osoitetta kunnes se on liitetty Samba 4 AD-DC: n toimialueeseen.
• Integroi BIND-DLZ- ja DHCP-duo samaan koneeseen, jossa AD-DC Samba 4 se on työ todelliselle asiantuntijalle.

Fuegian Hän kutsui minut lukuun ja huusi minulle: Emme puhu AD-DC Samba 4, mutta Microsoft® Active Directory®!. Ja vastasin nöyrästi, että olin iloinen osasta seuraavia artikkeleita, jotka aioin kirjoittaa.

Silloin sanoin hänelle, että lopullinen päätös hänen verkon tietokoneiden dynaamisista päivityksistä jätettiin hänen vapaalle tahdolleen. Että antaisin hänelle vain kärki kirjoitettu aiemmin noin salli päivitys {10.10.10.0/24; };, eikä muuta mitään. Että en ollut vastuussa siitä, mikä johtui siitä epäselvyydestä, jonka kukin Windows-asiakas - tai Linux - verkkoonsa «tunkeutuu»BIND: n rankaisematta.

Jos tietäisit, ystäväni, lukija, että se oli taistelun loppupiste, et uskoisi sitä. Ystäväni Fuegian hän hyväksyi ratkaisun - ja lähettää minulle iguaanan «Pete«- että nyt jaan kanssasi.

Asennamme ja konfiguroimme DHCP: n

Lisätietoja lue DNS ja DHCP Debian 8: ssa "Jessie".

root @ dnslinux: ~ # aptitude asenna isc-dhcp-palvelin

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server ... # Millä liitännöillä DHCP-palvelimen (dhcpd) tulisi palvella DHCP-pyyntöjä? # Erota useita rajapintoja välilyönneillä, esim. "Eth0 eth1". LIITÄNNÄT = "eth0" -juuri @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n KÄYTTÄJÄ dhcp-avain
Kdhcp-avain. + 157 + 29836

root @ dnslinux: ~ # cat Kdhcp-avain. +157 + 29836. yksityinen
Yksityisen avaimen muoto: v1.3-algoritmi: 157 (HMAC_MD5) Avain: 3HT / bg / 6YwezUShKYofj5g == Bittiä: AAA = Luotu: 20170212205030 Julkaise: 20170212205030 Aktivoi: 20170212205030

root @ dnslinux: ~ # nano dhcp.key
avain dhcp-avain {algoritmi hmac-md5; salainen "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/named.conf.local
// // Tee täällä kaikki paikalliset määritykset // // Harkitse 1918-vyöhykkeiden lisäämistä tähän, jos niitä ei käytetä // organisaatiossasi, sisällytä "/etc/bind/zones.rfc1918"; sisältää "/etc/bind/zones.rfcFreeBSD";
// Älä unohda ... unohdin ja maksoin virheillä. ;-)
sisältää "/etc/bind/dhcp.key";


vyöhyke "mordor.fan" {type master;
        salli päivitys {10.10.10.3; avain dhcp-avain; };
        tiedosto "/var/lib/bind/db.mordor.fan"; }; vyöhyke "10.10.10.in-addr.arpa" {type master;
        salli päivitys {10.10.10.3; avain dhcp-avain; };
        tiedosto "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; vyöhyke "_msdcs.mordor.fan" {type master; tarkistusnimet ohittavat; tiedosto "/etc/bind/db._msdcs.mordor.fan"; };

root @ dnslinux: ~ # named-checkconf 
root @ dnslinux: ~ #

root @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-tyylinen väliaikainen; ddns-päivitykset; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; ohita asiakaspäivitykset; arvovaltainen; vaihtoehto ip-edelleenlähetys pois päältä; vaihtoehto verkkotunnus "mordor.fan"; sisältää "/etc/dhcp/dhcp.key"; vyöhyke mordor.fan. {ensisijainen 127.0.0.1; avain dhcp-avain; } vyöhyke 10.10.10.arad. {ensisijainen 127.0.0.1; avain dhcp-avain; } jaetun verkon redlocal {aliverkko 10.10.10.0 netmask 255.255.255.0 {vaihtoehtoiset reitittimet 10.10.10.1; option subnet-mask 255.255.255.0; vaihtoehtoinen lähetysosoite 10.10.10.255; vaihtoehto verkkotunnus-palvelimet 10.10.10.5; vaihtoehto netbios-nimi-palvelimet 10.10.10.5; alue 10.10.10.30 10.10.10.250; }} # END dhcpd.conf

root @ dnslinux: ~ # dhcpd -t
Internet Systems Consortium DHCP Server 4.3.1 Copyright 2004-2014 Internet Systems Consortium. Kaikki oikeudet pidätetään. Lisätietoja on osoitteessa https://www.isc.org/software/dhcp/ Config file: /etc/dhcp/dhcpd.conf Database file: /var/lib/dhcp/dhcpd.leases PID file: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl käynnistä bind9.service uudelleen 
root @ dnslinux: ~ # systemctl-tila bind9.service 

root @ dnslinux: ~ # systemctl start isc-dhcp-server.service
root @ dnslinux: ~ # systemctl-tila isc-dhcp-server.service

Mikä liittyy Tarkastukset asiakkaiden kanssaJa Zone-tiedostojen manuaalinen muokkaus, jätämme sen sinulle, lukijaystävä, lukea se suoraan DNS ja DHCP Debian 8: ssa "Jessie"ja soveltaa sitä todellisiin olosuhteisiisi. Teimme kaikki tarvittavat tarkastukset ja saimme tyydyttävät tulokset. Tietysti lähetämme kopion niistä kaikista osoitteeseen Fuegian. Ei tule enempää!

vihjeitä

Yleinen

• Hanki paljon kärsivällisyyttä ennen aloittamista.
  
• Asenna ja konfiguroi ensin BIND. Tarkista kaikki ja näe kaikki tietueet, jotka olet ilmoittanut kolmen tai useamman vyöhykkeen kussakin tiedostossa, sekä Active Directorysta että itse DNS-palvelimesta Linuxissa. Jos mahdollista, tee Linux-koneesta, jota ei ole yhdistetty toimialueeseen, tarvittavat DNS-kyselyt BIND: lle.
  
• Liitä Windows-asiakas, jolla on kiinteä IP-osoite, olemassa olevaan toimialueeseen ja tarkista kaikki BIND-asetukset Windows-asiakkaasta.
• Kun olet epäilemättä varma siitä, että upouuden BIND: n kokoonpano on täysin oikea, usko asentaa, konfiguroida ja käynnistää DHCP-palvelu.
• Virheiden sattuessa toista koko toimenpide nollasta 0.
• Ole varovainen kopioinnin ja liittämisen suhteen! ja ylimääräiset välit nimettyjen.conf.xxxx-tiedostojen jokaisella rivillä
  
• Jälkeenpäin hän ei valittanut - etenkään ystäväni Fuegian - että häntä ei neuvottu asianmukaisesti.

Muut vinkit

• Jaa ja valloita.
• Pk-yritysverkossa on turvallisempaa ja edullisempaa asentaa aito BIND sisäisille LAN-alueille, joka ei toistu millekään juuripalvelimelle: rekursio nro;.
• Internet-palveluntarjoajan alla sijaitsevassa pk-yritysverkossa - ISP, ehkä palvelut Valtakirja y SMTP heidän on ratkaistava verkkotunnukset Internetissä. Hän Kalmari sinulla on mahdollisuus ilmoittaa DNS: nsä ulkoiseksi vai ei, kun olet sähköpostipalvelimessa postfix o MDaemon® Voimme myös ilmoittaa DNS-palvelimet, joita käytämme kyseisessä palvelussa. Tällaisissa tapauksissa, ts. Tapaukset, jotka eivät tarjoa palveluja Internetille ja jotka kuuluvat a Internet Service Provider, voit asentaa BIND-sovelluksen Kuormatraktorit osoittamalla ISPja julista se toissijaiseksi DNS: ksi palvelimissa, joiden on ratkaistava lähiverkkoon liittyvät ulkoiset kyselyt, muuten on mahdollista ilmoittaa ne omien määritystiedostojensa kautta.
• Jos sinulla on delegoitu alue koko vastuullasiSitten toinen kukko varis:
  • Asenna DNS-palvelin NSD, joka on määritelmänsä mukaan arvovaltainen DNS-palvelin, joka vastaa Internetin tietokoneiden kyselyihin. Jotkut tiedot kyvykkyysnäyttö nsd. Protect Suojaa se hyvin niin monilla paloseinillä kuin tarpeen. Sekä laitteisto että ohjelmisto. Se on Internetin DNS, ja että «cara»Emme saa antaa sitä matalilla housuilla. 😉
  • Koska en ole koskaan nähnyt itseäni tällaisessa tilanteessa eli delegoidun vyöhykkeen vastuuhenkilössä, minun on mietittävä hyvin, mitä suositella lähiverkkomme ulkopuolisten verkkotunnusten ratkaisemiseen sitä tarvitseville palveluille. Pk-yritysasiakkaat eivät todellakaan tarvitse sitä. Kysy erikoiskirjallisuutta tai näiden aiheiden asiantuntijaa, koska en ole kaukana niistä. Vakavasti.
  • Rekursiota ei ole olemassa autoritaarisilla palvelimilla. Okei?. Jos joku ajattelee tekevänsä sen BIND: llä.
• Vaikka määritämme nimenomaisesti tiedostossa /etc/dhcp/dhcpd.conf la deklaración ohita asiakaspäivitykset;, jos suoritamme tietokoneella dnslinux.mordor.fan järjestys journalctl -f, näemme sen aloittaessamme asiakkaan win7.mordor.fan saamme seuraavat virheilmoitukset:

  • 12. helmikuuta 16:55:41 dnslinux nimeltä [900]: asiakas 10.10.10.30 # 58762: päivitys 'mordor.fan/IN' estetty
    12. helmikuuta 16:55:42 dnslinux nimeltä [900]: asiakas 10.10.10.30 # 49763: päivitys 'mordor.fan/IN' estetty
    12. helmikuuta 16:56:23 dnslinux nimeltä [900]: asiakas 10.10.10.30 # 63161: päivitys 'mordor.fan/IN' estetty
    

  • Näiden viestien poistamiseksi meidän on siirryttävä verkkokortin kokoonpanon lisäasetuksiin ja poistettava valinta «Rekisteröi tämän yhteyden osoitteet DNS: ään«. Tämä estää asiakasta yrittämästä itsensä rekisteröimistä Linux DNS: ään ikuisesti ja ongelma on ohi. Anteeksi, mutta minulla ei ole espanjankielistä Windows 7 -käyttöjärjestelmää. 😉
• Lisätietoja kaikista vakavista ja hulluista kyselyistä, joita Windows 7 -asiakas tekee, tutustu loki queries.log että joillekin ilmoitamme sen BIND-kokoonpanossa. Tilaus olisi seuraava:

  • root @ dnslinux: ~ # tail -f /var/log/named/queries.log

• Jos et salli asiakastietokoneiden muodostaa yhteyttä suoraan Internetiin, miksi tarvitset juuri DNS-palvelimia? Tämä vähentää merkittävästi komennon ulostuloa journalctl -f ja edellisestä, jos sisäisten vyöhykkeiden autoritaarinen DNS-palvelimesi ei muodosta yhteyttä suoraan Internetiin, mikä on erittäin suositeltavaa turvallisuuden kannalta.

  root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
  root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root

• Jos et tarvitse juuripalvelimien ilmoitusta, miksi tarvitset rekursiota - Rekursio?

  root @ dnslinux: ~ # nano /etc/bind/named.conf.options
  vaihtoehdot {
   ....
   rekursio nro;
   ....
  };

Erityisiä neuvoja, joista en ole vieläkään kovin selvä

El mies dhcpd.conf kertoo meille seuraavista monien muiden joukossa:

        Päivitysoptimointilausunto

            päivitys-optimointilippu;

            Jos päivityksen optimointiparametri on väärä tietylle asiakkaalle, palvelin yrittää kyseisen asiakkaan DNS-päivitystä joka kerta, kun asiakas uudistaa vuokrasopimuksen, eikä vain yrittää päivitystä, kun se näyttää olevan tarpeen. Tämä antaa DNS: n parantua tietokannan epäjohdonmukaisuuksista helpommin, mutta kustannuksena on, että DHCP-palvelimen on tehtävä paljon enemmän DNS-päivityksiä. Suosittelemme, että luet tämän vaihtoehdon käytössä, mikä on oletusarvo. Tämä vaihtoehto vaikuttaa vain väliaikaisen DNS-päivitysjärjestelmän toimintaan, eikä sillä ole vaikutusta ad-hoc-DNS-päivitysjärjestelmään. Jos tätä parametria ei ole määritetty tai se on totta, DHCP-palvelin päivittyy vasta, kun asiakastiedot muuttuvat, asiakas saa toisen vuokrasopimuksen tai asiakkaan vuokrasopimus päättyy.

Enemmän tai vähemmän tarkka käännös tai tulkinta jätetään sinulle, rakas lukija.

Henkilökohtaisesti minulle on tapahtunut - ja se tapahtui tämän artikkelin kirjoittamisen aikana - että kun linkitän BIND: n Active Directory® -ohjelmaan, se on peräisin Microsft®: stä tai Samba 4: stä, jos muutan Active Directory® -alueelle rekisteröidyn asiakastietokoneen nimen tai AD-DC Samba 4: n versiosta se säilyttää vanhan nimen ja IP-osoitteen suorassa vyöhykkeessä eikä päinvastoin, mikä päivittyy oikein uudella nimellä. Toisin sanoen vanhat ja uudet nimet kartoitetaan samaan IP-osoitteeseen suorassa vyöhykkeessä, kun taas päinvastoin vain uusi nimi näkyy. Ymmärrä minut hyvin, sinun on kokeiltava sitä itse.

Mielestäni se on eräänlainen kosto kohti Fuegian - ei minulle, kiitos, että yritit siirtää palvelusi Linuxiin.

Tietenkin vanha nimi katoaa, kun se 3600 TTLtai aika, jonka olemme ilmoittaneet DHCP-kokoonpanossa. Mutta haluamme sen katoavan välittömästi, kuten tapahtuu BIND + DHCP: ssä ilman Active Directorya.

Ratkaisun tähän tilanteeseen löysin sen lisäämällä lausunnon päivitysoptimointi väärä; tiedoston yläosan lopussa /etc/dhcp/dhcpd.conf:

ddns-update-tyylinen väliaikainen; ddns-päivitykset; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; ohita asiakaspäivitykset;
päivitysoptimointi väärä;

Jos joku lukija tietää enemmän siitä, valaise minua. Arvostan sitä paljon.

Yhteenveto

Meillä on ollut hauskaa aiheen kanssa, eikö? Ei kärsimystä, koska meillä on BIND, joka toimii DNS-palvelimena Microsoft®-verkossa, joka tarjoaa kaikki SRV-tietueet ja vastaa asianmukaisesti heille tehtyihin DNS-kyselyihin. Toisaalta meillä on DHCP-palvelin, joka antaa IP-osoitteet ja päivittää dynaamisesti BIND-alueet oikein.

Mutta emme voi kysyä ... tällä hetkellä.

Toivon ystäväni Fuegian ole onnellinen ja tyytyväinen ensimmäiseen vaiheeseen siirtyessäsi Linuxiin, jotta Microsftin teknisen tuen sietämättömät kustannukset olisivat siedettäviä.

Tärkeä huomautus

Merkki "Fuegian»On täysin kuvitteellinen ja mielikuvitukseni tuote. Mikä tahansa samankaltaisuus tai sattuma todellisten ihmisten kanssa on sama asia: puhdas tahaton sattuma osaltani. Loin sen vain tekemään artikkelin kirjoittamisesta ja lukemisesta hieman nautinnollista. Nyt jos voit kertoa minulle, että DNS-ongelma on tumma,