BIND agus Active Directory® - SME Networks

Clàr-amais coitcheann an t-sreath: Lìonraidhean coimpiutair airson SMEn: Ro-ràdh

Halò a chàirdean !. Is e prìomh amas an artaigil seo sealltainn mar as urrainn dhuinn an t-seirbheis DNS a thoirt a-steach stèidhichte air BIND9 ann an lìonra Microsoft, gu math cumanta ann an iomadh SME.

Tha e ag èirigh bho iarrtas oifigeil caraid a tha a ’fuireach ann an La Tierra del Fuego -Am Fuegian- speisealaichte ann an Microsoft® Networks -Certificates air an toirt a-steach - gus do stiùireadh anns a ’phàirt seo de imrich do luchd-frithealaidh gu Linux. Tha cosgaisean na Taic Tha teicneolaiche a phàigheas Microsoft® mu thràth Neo-sheasmhach airson a ’Chompanaidh anns a bheil e ag obair agus às a bheil e na phrìomh neach-earrannan.

Mo charaid Am Fuegian tha deagh àbhachd aige, agus bhon a chunnaic e an t-sreath de thrì filmichean «Tighearna nam fàinneachan»Chaidh a ghlacadh le mòran de ainmean nan caractaran dorcha aige. Mar sin, a charaid Reader, na cuir iongnadh ort le ainmean an àrainn agad agus na frithealaichean agad.

Do dhaoine a tha air ùr thighinn don chuspair, agus mus lean thu air adhart a ’leughadh, tha sinn a’ moladh gun leugh thu agus gun dèan thu sgrùdadh air na trì artaigilean roimhe air SME Networks:

• DNS agus DHCP ann an openSUSE 13.2 "Harlequin"
• DNS agus DHCP air CentOS 7
• DNS agus DHCP ann an Debian 8 "Jessie"

Tha e coltach ri bhith a ’coimhead trì de na ceithir pàirtean de«Fo-thalamh»Air fhoillseachadh gus an latha an-diugh, agus gur e seo an ceathramh fear.

Paramadairean coitcheann

Às deidh grunn iomlaidean tro post-d, mu dheireadh bha mi soilleir mu phrìomh pharamadairean an lìonra gnàthach agad, is iad sin:

Ainm fearainn mordor.fan LAN Network 10.10.10.0/24 ==================================== ========================================== Seòladh IP Adhbhar Adhbhar (Frithealaichean le OS Windows) ================================================ =============================== sauron.mordor.fan. 10.10.10.3 Directory Gnìomhach® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Frithealaiche faidhle Windows darklord.mordor.fan. 10.10.10.6 Neach-ionaid, geata agus balla-teine ​​air Kerios troll.mordor.fan. 10.10.10.7 Blog stèidhichte air ... chan eil cuimhne agam air shadowftp.mordor.fan. 10.10.10.8 Frithealaiche FTP blackelf.mordor.fan. 10.10.10.9 Seirbheis post-d làn blackspider.mordor.fan. 10.10.10.10 WWW seirbheis palantir.mordor.fan. 10.10.10.11 Còmhradh air Openfire airson Windows

Dh ’iarr mi cead airson Am Fuegian a bhith a ’suidheachadh uiread de Aliases mar a dh’ fheumar gus m ’inntinn a ghlanadh agus a thug dhomh a chead:

Fìor CNAME ============================= sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

Dh ’ainmich mi a h-uile clàr DNS cudromach anns an stàladh agam de Active Directory Windows 2008 a bha agam ri chur an gnìomh gus mo stiùireadh le bhith a’ dèanamh na dreuchd seo.

Mu na clàran SRV de DNS de Leabhar-seòlaidh Gnìomhach

Na clàran SRV o Tha Locators Seirbheis - air an cleachdadh gu farsaing ann an Microsoft Active Directory - air am mìneachadh anns an Iarrtas airson beachdan RFC 2782. Bidh iad a ’ceadachadh suidheachadh seirbheis stèidhichte air protocol TCP / IP tro cheist DNS. Mar eisimpleir, faodaidh neach-ceannach air lìonra Microsoft far a bheil Rianadairean Domain a lorg - Rianadairean Domain a bheir seachad an t-seirbheis LDAP thairis air protocol TCP air port 389 tro aon cheist DNS.

Tha e àbhaisteach sin anns na Coilltean - coilltean, agus craobhan - Craobhan de Lìonra mòr Microsoft tha grunn Rianadairean Domain ann. Tro bhith a ’cleachdadh chlàran SRV anns na diofar Sònaichean a tha a’ dèanamh suas an Ainm Ainm Domain den Lìonra sin, is urrainn dhuinn Liosta de Fhrithealaichean a chumail suas a bheir seachad seirbheisean ainmeil coltach riutha, air an òrdachadh a rèir roghainn a rèir protocol còmhdhail agus port gach fear. aon de na frithealaichean.

Anns a ' Iarrtas airson beachdan RFC 1700 A ’mìneachadh ainmean samhlachail uile-choitcheann airson seirbheisean aithnichte - Seirbheis aithnichte, agus ainmean mar «_telnet«,«_smtp»Airson seirbheisean telnet y SMTP. Mura h-eil ainm samhlachail air a mhìneachadh airson Seirbheis aithnichte, faodar ainm ionadail no ainm eile a chleachdadh a rèir roghainnean an neach-cleachdaidh.

Adhbhar gach raon «sònraichte»Air a chleachdadh ann a bhith a’ foillseachadh Clàr Ghoireasan SRV tha na leanas:

• Domain: "Pdc._msdcs.mordor.fan.«. Ainm DNS na seirbheis air a bheil an clàr SRV a ’toirt iomradh. Tha an t-ainm DNS san eisimpleir a ’ciallachadh-Mòr no nas lugha- Prìomh Rianadair Fearainn den sgìre _msdcs.mordor.fan.
• seirbheis: "_Ldap". Ainm samhlachail na seirbheis a tha air a thoirt seachad air a mhìneachadh a rèir Iarrtas airson beachdan RFC 1700.
• Pròtacal: "_Tcp". A ’nochdadh an seòrsa protocol còmhdhail. Mar as trice gabhaidh na luachan a ghabhail _tcp o _udp, ged a tha - agus gu dearbh - seòrsa sam bith de phròtacal còmhdhail air a chomharrachadh anns an Iarrtas airson beachdan RFC 1700. Mar eisimpleir, airson seirbheis cabadaich stèidhichte air protocol XMPP, bhiodh luach aig an raon seo _xmpp.
• Prìomhachas: «0«. Ainmich am prìomhachas no an roghainn airson an Neach-aoigheachd a ’tabhann na seirbheis seo gum faic sinn nas fhaide air adhart. Feuchaidh ceistean DNS luchd-dèiligidh mun t-seirbheis a tha air a mhìneachadh leis a ’chlàr SRV seo, nuair a gheibh iad am freagairt iomchaidh, fios a chuir chun chiad aoigh a tha ri fhaighinn leis an àireamh as ìsle air an liostadh san raon. Prìomhachas. Is e an raon de luachan as urrainn an raon seo a ghabhail 0 agus 65535.
• cuideam: «100«. Faodar a chleachdadh còmhla ri Prìomhachas gus uidheamachd cothromachaidh luchdan a thoirt seachad nuair a tha grunn luchd-frithealaidh ann a bheir seachad an aon sheirbheis. Bu chòir gum biodh clàr SRV coltach ris airson gach frithealaiche san fhaidhle Sòn, le ainm air ainmeachadh san raon Neach-aoigheachd a ’tabhann na seirbheis seo. Mus frithealaichean le luachan co-ionann san raon Prìomhachas, luach an achaidh cuideam faodar a chleachdadh mar ìre roghainn a bharrachd gus taghadh fìor fhrithealaiche fhaighinn airson cothromachadh luchd. Is e an raon de luachan as urrainn an raon seo a ghabhail 0 agus 65535. Mura h-eil feum air cothromachadh luchd, mar eisimpleir mar a tha ann an aon fhrithealaiche, thathas a ’moladh an luach a shònrachadh 0 gus an clàr SRV a dhèanamh nas fhasa a leughadh.
• Àireamh port - Port: «389«. Àireamh port a-steach Neach-aoigheachd a ’tabhann na seirbheis seo a bheir seachad an t-seirbheis a tha air a chomharrachadh san raon seirbheis. Tha an àireamh puirt a thathar a ’moladh airson gach seòrsa Seirbheis aithnichte air a chomharrachadh air an Iarrtas airson beachdan RFC 1700, ged a dh ’fhaodadh e luach a thoirt eadar 0 agus 65535.
• Neach-aoigheachd a ’tabhann na seirbheis seo - Targaid: «sauron.mordor.fan.«. Sònraichidh an FQDN tha sin gu mì-shoilleir a ’comharrachadh an slòigh a bheir seachad an t-seirbheis a tha air a chomharrachadh leis a ’chlàr SRV. Seòrsa clàraidh «A»Anns an raon ainm fearainn airson gach fear FQDN bhon t-seirbheisiche no slòigh a bheir seachad an t-seirbheis. Nas sìmplidh, clàr seòrsa A anns a ’chrios (an) dìreach.
  • Nòta:
    Gus innse gu h-ùghdarrasach nach eil an t-seirbheis a tha air a shònrachadh leis a ’chlàr SRV air a thoirt seachad don aoigh seo, aon (.) puing.

Tha sinn dìreach airson a ràdh a-rithist gu bheil obrachadh ceart lìonra no Active Directory® gu mòr an urra ri obrachadh ceart an t-Seirbheis Ainm Domain..

Clàran gnìomhach DNS Directory

Gus Sònaichean an t-seirbheisiche DNS ùr a dhèanamh stèidhichte air BIND, feumaidh sinn na clàran DNS uile fhaighinn bho Active Directory®. Gus beatha a dhèanamh nas fhasa, thèid sinn chun sgioba sauron.mordor.fan -Active Directory® 2008 SR2- agus anns a ’Chòmhdhail Rianachd DNS bidh sinn a’ gnìomhachadh an Transfer Zone -direct and reverse- airson na prìomh shònaichean a chaidh ainmeachadh san t-seòrsa seirbheis seo, a tha:

• _msdcs.mordor.fan
• mordor.fan
• 10.10.10.in-addr.harp

Aon uair ‘s gu bheil an ceum roimhe air a bhith air a dhèanamh agus mas fheàrr bho choimpiutair Linux aig a bheil an seòladh IP taobh a-staigh raon an subnet a tha Lìonra Windows a’ cleachdadh, bidh sinn a ’cur an gnìomh:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> temp /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa

• Ath-ghairm bho artaigilean roimhe gu bheil seòladh IP an inneal sysadmin.fromlinux.fan tha 10.10.10.1 no 192.168.10.1.

Anns na trì òrdughan roimhe seo faodaidh sinn cur às don roghainn @10.10.10.3 -faighnich don t-seirbheisiche DNS leis an t-seòladh sin- ma dhearbhas sinn san fhaidhle /etc/resolv.conf gu IP an fhrithealaiche sauron.mordor.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf # Air a ghineadh le sgrùdadh NetworkManager bho linux.fan nameserver 192.168.10.5 nameserver 10.10.10.3

Às deidh deasachadh le fìor chùram, mar a tha a ’freagairt ri faidhle sòn sam bith ann am BIND, gheibh sinn an dàta a leanas:

Clàran RR bhon chrios tùsail _msdcs.mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs._msdcs.mordor.fan 
; A ’buntainn ri SOA agus NS _msdcs.mordor.fan. 3600 ANN AN SOA sauron.mordor.fan. maighstir aoigheachd.mordor.fan. 12 900 600 86400 3600 _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; CATALOG GLOBAL gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ; Aliases - anns an stòr-dàta LDAP atharraichte agus prìobhaideach de Directory Gnìomhach- de SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 ANN AN CNAME sauron.mordor.fan. ; ; LDAP atharraichte agus prìobhaideach de Leabhar-seòlaidh Gnìomhach _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS atharraichte agus prìobhaideach de Directory Gnìomhach _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Clàran RR bhon t-sòn tùsail mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs.mordor.fan 
; A ’buntainn ri SOA, NS, MX agus an clàr A gu bheil e a’ mapadh; an Ainm Domain gu IP SAURON; Rudan bho Directory Gnìomhach mordor.fan. 3600 ANN AN SOA sauron.mordor.fan. maighstir aoigheachd.mordor.fan. 48 900 600 86400 3600 mordor.fan. 600 IN A 10.10.10.3 mordor.fan. 3600 IN NS sauron.mordor.fan. mordor.fan. 3600 IN MX 10 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; Cuideachd cudromach tha A a ’clàradh DomainDnsZones.mordor.fan. 600 IN A 10.10.10.3 ForestDnsZones.mordor.fan. 600 IN A 10.10.10.3; ; CATALOG GLOBAL _gc._tcp.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. ; ; LDAP atharraichte agus prìobhaideach de Leabhar-seòlaidh Gnìomhach _ldap._tcp.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS atharraichte agus prìobhaideach de Directory Gnìomhach _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. ; ; Clàran A le IP stèidhichte -> Frithealaichean blackelf.mordor.fan. 3600 IN A 10.10.10.9 blackspider.mordor.fan. 3600 IN A 10.10.10.10 darklord.mordor.fan. 3600 IN A 10.10.10.6 mamba.mordor.fan. 3600 IN A 10.10.10.4 palantir.mordor.fan. 3600 IN A 10.10.10.11 sauron.mordor.fan. 3600 IN A 10.10.10.3 shadowftp.mordor.fan. 3600 IN A 10.10.10.8 troll.mordor.fan. 3600 IN A 10.10.10.7; ; Bidh CNAME a ’clàradh ad-dc.mordor.fan. 3600 ANN AN CNAME sauron.mordor.fan. blog.mordor.fan. 3600 IN CNAME troll.mordor.fan. fileserver.mordor.fan. 3600 ANN AN CNAME mamba.mordor.fan. ftpserver.mordor.fan. 3600 IN CNAME shadowftp.mordor.fan. mail.mordor.fan. 3600 ANN AN CNAME balckelf.mordor.fan. openfire.mordor.fan. 3600 ANN AN CNAME palantir.mordor.fan. proxy.mordor.fan. 3600 IN CNAME darklord.mordor.fan. www.mordor.fan. 3600 ANN AN CNAME blackspider.mordor.fan.

Clàran RR bhon sòn tùsail 10.10.10.in-addr.arpa

buzz @ sysadmin: ~ $ cat temp / rrs.10.10.10.in-addr.arpa 
; A ’buntainn ri SOA agus NS 10.10.10.in-addr.arpa. 3600 ANN AN SOA sauron.mordor.fan. maighstir aoigheachd.mordor.fan. 21 900 600 86400 3600 10.10.10.in-addr.arpa. 3600 IN NS sauron.mordor.fan. ; ; Clàran PTR 10.10.10.10.in-addr.arpa. 3600 IN PTR blackspider.mordor.fan. 11.10.10.10.in-addr.arpa. 3600 IN PTR palantir.mordor.fan. 3.10.10.10.in-addr.arpa. 3600 IN PTR sauron.mordor.fan. 4.10.10.10.in-addr.arpa. 3600 IN PTR mamba.mordor.fan. 5.10.10.10.in-addr.arpa. 3600 IN PTR dnslinux.mordor.fan. 6.10.10.10.in-addr.arpa. 3600 IN PTR darklord.mordor.fan. 7.10.10.10.in-addr.arpa. 3600 IN PTR troll.mordor.fan. 8.10.10.10.in-addr.arpa. 3600 IN PTR shadowftp.mordor.fan. 9.10.10.10.in-addr.arpa. 3600 IN PTR blackelf.mordor.fan.

Suas chun na h-ìre seo faodaidh sinn smaoineachadh gu bheil an dàta riatanach againn gus leantainn air adhart san dànachd againn, chan ann gun a bhith a ’cumail sùil air an TTL's agus dàta eile a tha a ’toirt dhuinn ann an dòigh gu math pongail toradh agus amharc dìreach air DNS de Microsft® Active Directory® 2008 SR2 64.

Dealbhan den Mhanaidsear DNS ann an SAURON

Sgioba Dnslinux.mordor.fan.

Ma choimheadas sinn gu dlùth, chun t-seòladh IP 10.10.10.5 cha deach ainm a shònrachadh dha dìreach gus am biodh ainm an DNS ùr air dnslinux.mordor.fan. Gus am paidhir DNS agus DHCP a stàladh faodaidh sinn a bhith air an stiùireadh leis na h-artaigilean DNS agus DHCP ann an Debian 8 "Jessie" y DNS agus DHCP air CentOS 7.

Siostam obrachaidh bunaiteach

Mo charaid Am FuegianA bharrachd air a bhith na fhìor eòlaiche ann an Microsoft® Windows - tha teisteanas no dhà aige a chuir a ’chompanaidh sin a-mach - leugh e agus chuir e an gnìomh cuid de na h-artaigilean air deasg a chaidh fhoillseachadh ann an BhoLinux., agus dh ’innis e dhomh gu robh e gu sònraichte ag iarraidh fuasgladh stèidhichte air Debian. 😉

Gus do thoileachadh, tòisichidh sinn le stàladh ùr glan de fhrithealaiche stèidhichte air Debian 8 "Seasaidh". Ach, tha na bhios sinn a ’sgrìobhadh an ath rud dligheach airson na sgaoilidhean CentOS agus openSUSE aig an robh na h-artaigilean air an tug sinn iomradh na bu thràithe. Tha BIND agus DHCP an aon rud air distro sam bith. Bidh eadar-dhealachaidhean beaga gan toirt a-steach le luchd-gleidhidh a ’phacaid anns gach cuairteachadh.

Nì sinn an stàladh mar a tha air a chomharrachadh ann an DNS agus DHCP ann an Debian 8 "Jessie", a ’gabhail cùram gus an IP a chleachdadh 10.10.10.5 agus an lìonra 10.10.10.0/24., eadhon mus cuir thu air dòigh am BIND.

Bidh sinn a ’rèiteachadh am BIND ann an stoidhle Debian

/etc/bind/named.conf

Am faidhle /etc/bind/named.conf bidh sinn ga fhàgail mar a tha e air a chuir a-steach.

/etc/bind/named.conf.options

Am faidhle /etc/bind/named.conf.options bu chòir an susbaint a leanas fhàgail:

root @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dnslinux: ~ # nano /etc/bind/named.conf.options
roghainnean {eolaire "/ var / cache / bind"; // Ma tha balla-teine ​​eadar thu fhèin agus luchd-ainmeachaidh a tha thu airson // bruidhinn ris, is dòcha gum feum thu am balla-teine ​​a chuir air dòigh gus leigeil le ioma // puirt bruidhinn. Faic http://www.kb.cert.org/vuls/id/800113 // Ma thug an ISP agad aon seòladh IP no barrachd airson ainmean-àite seasmhach //, is dòcha gum biodh tu airson an cleachdadh mar luchd-cuir air adhart. // Uncomment the a leanas bloc, agus cuir a-steach na seòlaidhean a tha a ’dol an àite // an neach-àite uile-0. // air adhart {// 0.0.0.0; //}; // =============================================== ===================== $ // Ma chlàraicheas BIND teachdaireachdan mearachd mun iuchair root a dh ’fhalbh, // feumaidh tu na h-iuchraichean agad ùrachadh. Faic https://www.isc.org/bind-keys // ================================ ================================= $

    // Chan eil sinn ag iarraidh DNSSEC
        dnssec-comasachadh no;
        //dnssec-validation auto;

        auth-nxdomain no; # co-chòrdadh ri RFC1035

 // Chan fheum sinn èisteachd airson seòlaidhean IPv6
        // èist-air-v6 {gin; };
    èist-air-v6 {gin; };

 // Airson sgrùdaidhean bho localhost agus sysadmin
    // tro // dig mordor.fan axfr // dig 10.10.10.in-addr.arpa axfr // dig _msdcs.mordor.fan axfr // Chan eil DNS Tràillean againn ... gu ruige seo
 cead-gluasad {localhost; 10.10.10.1; };
};

// Logadh BIND
logadh {

        ceistean sianal {
        faidhle "/var/log/named/queries.log" dreachan 3 meud 1m;
        fiosrachadh mu dhragh;
        àm clò-bhualaidh tha;
        clò-bhualadh clò tha;
        roinn-clò tha;
        };

        mearachd-ceist sianal {
        faidhle "/var/log/named/query-error.log" dreachan 3 meud 1m;
        fiosrachadh mu dhragh;
        àm clò-bhualaidh tha;
        clò-bhualadh clò tha;
        roinn-clò tha;
        };

                                
ceistean roinn-seòrsa {
         ceistean;
         };

mearachdan ceist-ceist {
         mearachd-ceist;
         };

};

• Bidh sinn a ’toirt a-steach glacadh nan logaichean BIND mar a NUEVO coltas anns an t-sreath de artaigilean air a ’chuspair. Bidh sinn a ’cruthachadh lpasgan agus faidhlichean a dh ’fheumar airson an Logadh den BIND:

root @ dnslinux: ~ # mkdir / var / log / ainmichte
root @ dnslinux: ~ # touch /var/log/named/queries.log
root @ dnslinux: ~ # touch /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / ainmichte

Bidh sinn a ’sgrùdadh criathradh nam faidhlichean rèiteachaidh

root @ dnslinux: ~ # ainmichte-checkconf 
root @ dnslinux: ~ #

/etc/bind/named.conf.local

Bidh sinn a ’cruthachadh am faidhle /etc/bind/zones.rfcFreeBSD leis an aon susbaint mar a tha air a chomharrachadh ann an DNS agus DHCP ann an Debian 8 "Jessie".

root @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

Am faidhle /etc/bind/named.conf.local bu chòir an susbaint a leanas fhàgail:

// // Dèan rèiteachadh ionadail sam bith an seo // // Beachdaich air sònaichean 1918 a chuir ris an seo, mura cleachdar iad anns a ’bhuidheann // agad
toirt a-steach "/etc/bind/zones.rfc1918"; toirt a-steach "/etc/bind/zones.rfcFreeBSD";

sòn "mordor.fan" {maighstir seòrsa; faidhle "/var/lib/bind/db.mordor.fan"; }; sòn "10.10.10.in-addr.arpa" {maighstir seòrsa; faidhle "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

sòn "_msdcs.mordor.fan" {maighstir seòrsa;
 bidh ainmean-seic a ’seachnadh; faidhle "/etc/bind/db._msdcs.mordor.fan"; }; root @ dnslinux: ~ # ainmichte-checkconf
root @ dnslinux: ~ #

Faidhle sòn mordor.fan

root @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; sreathach 1D; ùrachadh 1H; ath-ghairm 1W; nochd 3H); as ìsle no; Ùine caching àicheil airson a bhith beò;
; BHEIL CÙRAM FHÈIN LEIS NA CLÀRAIDHEAN A LEANAS
@ IN NS dnslinux.mordor.fan.
@ IN A 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT "Wellcome to The Dark Lan of Mordor";
_msdcs.mordor.fan. IN NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. ANN AN 10.10.10.5
; CRÌOCH A-MHÀIN LEIS NA CLÀRAIDHEAN A LEANAS;
DomainDnsZones.mordor.fan. ANN AN 10.10.10.3 ForestDnsZones.mordor.fan. ANN AN 10.10.10.3; ;; CATALOG GLOBAL _gc._tcp.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ;; ;; LDAP atharraichte agus prìobhaideach de Leabhar-seòlaidh Gnìomhach _ldap._tcp.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. ;; ;; KERBEROS atharraichte agus prìobhaideach de Directory Gnìomhach _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. ;; ;; Clàran A le IP stèidhichte -> Frithealaichean blackelf.mordor.fan. ANN AN 10.10.10.9 blackspider.mordor.fan. ANN AN 10.10.10.10 darklord.mordor.fan. ANN AN 10.10.10.6 mamba.mordor.fan. ANN AN 10.10.10.4 palantir.mordor.fan. ANN AN 10.10.10.11
sauron.mordor.fan. ANN AN 10.10.10.3
shadowftp.mordor.fan. ANN AN 10.10.10.8 troll.mordor.fan. ANN AN 10.10.10.7; ; Bidh CNAME a ’clàradh ad-dc.mordor.fan. ANN AN CNAME sauron.mordor.fan. blog.mordor.fan. ANN AN CNAME troll.mordor.fan. fileserver.mordor.fan. ANN AN CNAME mamba.mordor.fan. ftpserver.mordor.fan. ANN AN CNAME shadowftp.mordor.fan. mail.mordor.fan. ANN AN CNAME balckelf.mordor.fan. openfire.mordor.fan. ANN AN CNAME palantir.mordor.fan. proxy.mordor.fan. ANN AN CNAME darklord.mordor.fan. www.mordor.fan. ANN AN CNAME blackspider.mordor.fan.

root @ dnslinux: ~ # ainmichte-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
sòn mordor.fan/IN: sreathach luchdaichte 1 Ceart gu leòr

Na h-amannan TTL 600 de na clàran SRV gu lèir cumaidh sinn iad gun fhios nach cuir sinn BIND Tràillean ann an amannan ri dhol. Tha na clàran sin a ’riochdachadh seirbheisean Active Directory® a bhios mar as trice a’ leughadh dàta bhon stòr-dàta LDAP agad. Mar a bhios an stòr-dàta sin ag atharrachadh gu tric, feumar na h-amannan sioncranachaidh a chumail goirid, ann an sgeama Master - Slave DNS. A rèir feallsanachd Microsoft a chaidh fhaicinn bho Active Directory 2000 gu 2008, tha luach 600 air a chumail suas airson na seòrsaichean clàran SRV seo.

a ' TTL's de na frithealaichean le IP stèidhichte, tha iad fon ùine ainmichte san SOA de 3 uairean.

Faidhle Sòn 10.10.10.in-addr.arpa

root @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; sreathach 1D; ùrachadh 1H; ath-ghairm 1W; nochd 3H); as ìsle no; Ùine caching àicheil airson a bhith beò; @ IN NS dnslinux.mordor.fan. ; 10 ANN AN PTR blackspider.mordor.fan. 11 ANN am PTR palantir.mordor.fan. 3 ANN AN PTR sauron.mordor.fan. 4 ANN am PTR mamba.mordor.fan. 5 ANN AN PTR dnslinux.mordor.fan. 6 IN PTR darklord.mordor.fan. 7 ANN AN PTR troll.mordor.fan. 8 IN PTR shadowftp.mordor.fan. 9 IN PTR blackelf.mordor.fan.

root @ dnslinux: ~ # ainmichte-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
sòn 10.10.10.in-addr.arpa/IN: sreathach luchdaichte 1 Ceart gu leòr

Faidhle sòn _msdcs.mordor.fan

Bheir sinn aire do na tha air a mholadh san fhaidhle /usr/share/doc/bind9/README.Debian.gz Mu far a bheil faidhlichean nam Prìomh Shònaichean nach eil fo ùmhlachd ùrachaidhean fiùghantach le DHCP.

root @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; sreathach 1D; ùrachadh 1H; ath-ghairm 1W; nochd 3H); as ìsle no; Ùine caching àicheil airson a bhith beò; @ IN NS dnslinux.mordor.fan. ;; ;; ;; CATALOG GLOBAL gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ;; Aliases - anns an stòr-dàta LDAP atharraichte agus prìobhaideach de Directory Gnìomhach- de SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 ANN AN CNAME sauron.mordor.fan. ;; ;; LDAP atharraichte agus prìobhaideach de Leabhar-seòlaidh Gnìomhach _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ;; ;; KERBEROS atharraichte agus prìobhaideach de Directory Gnìomhach _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Bidh sinn a ’sgrùdadh an t-siostaim agus is urrainn dhuinn dearmad a dhèanamh air a’ mhearachd a thilleas e, oir ann an rèiteachadh na Sòn seo san fhaidhle /etc/bind/named.conf.local bidh sinn a ’toirt a-steach an aithris bidh ainmean-seic a ’seachnadh;. Thèid an sòn a luchdachadh gu ceart leis a ’BIND.

root @ dnslinux: ~ # ainmichte-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: droch ainm sealbhadair (seic-ainmean) sòn _msdcs.mordor.fan/IN: sreathach luchdaichte 1 OK

root @ dnslinux: ~ # systemctl ath-thòiseachadh bind9.service 
root @ dnslinux: ~ # inbhe systemctl bind9.service 
● bind9.service - frithealaiche ainm fearainn BIND air a luchdachadh: air a luchdachadh (/lib/systemd/system/bind9.service; air a chomasachadh) Thig a-steach: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ ainmichte.conf Gnìomhach: gnìomhach (ruith) bho ghrian 2017-02-12 08:48:38 EST; 2s ago Docs: fear: ainmichte (8) Pròiseas: 859 ExecStop = / usr / sbin / rndc stad (còd = air fhàgail, inbhe = 0 / SUCCESS) Prìomh PID: 864 (ainmichte) CGroup: /system.slice/bind9.service └─864 / usr / sbin / ainmichte -f -u ceangail Feb 12 08:48:38 dnslinux ainmichte [864]: sòn 3.efip6.arpa/IN: sreathach luchdaichte 1 Gearran 12 08:48:38 dnslinux ainmichte [864 ]: sòn befip6.arpa/IN: sreathach luchdaichte 1 Gearran 12 08:48:38 dnslinux ainmichte [864]: sòn 0.efip6.arpa/IN: sreathach luchdaichte 1 Gearran 12 08:48:38 dnslinux ainmichte [864]: sòn 7.efip6.arpa/IN: sreathach luchdaichte 1 Gearran 12 08:48:38 dnslinux ainmichte [864]: sòn mordor.fan/IN: sreathach luchdaichte 1 Gearran 12 08:48:38 dnslinux ainmichte [864]: eisimpleir sòn .org / IN: sreathach luchdaichte 1 Gearran 12 08:48:38 dnslinux ainmichte [864]: sòn _msdcs.mordor.fan/IN: sreathach luchdaichte 1 Gearran 12 08:48:38 dnslinux ainmichte [864]: sòn neo-dhligheach / IN : sreathach luchdaichte 1 Gearran 12 08:48:38 dnslinux ainmichte [864]: gach sòn air a luchdachadh
Feb 12 08:48:38 dnslinux ainmichte [864]: ruith

Bidh sinn a ’conaltradh ris a’ BIND

Roimhe Às deidh dhuinn DHCP a chuir a-steach, feumaidh sinn sreath de sgrùdaidhean a dhèanamh a tha a ’toirt a-steach eadhon a dhol còmhla ri neach-dèiligidh Windows 7 chun àrainn mordor.fan air a riochdachadh leis an Directory Gnìomhach air a chuir a-steach air a ’choimpiutair sauron.mordor.fan.

Is e a ’chiad rud a nì thu stad a chuir air an t-seirbheis DNS air a’ choimpiutair sauron.mordor.fan, agus innis anns an eadar-aghaidh lìonra agad gur ann bho seo a-mach air an fhrithealaiche DNS agad a bhios e 10.10.10.5 dnslinux.mordor.fan.

Ann an consol den t-seirbheisiche fhèin sauron.mordor.fan bidh sinn a ’cur an gnìomh:

Microsoft Windows [Tionndadh 6.1.7600]
Dlighe-sgrìobhaidh (c) 2009 Microsoft Corporation. Còraichean uile glèidhte.

C: \ Cleachdaichean \ Rianadair> nslookup
Frithealaiche bunaiteach: dnslinux.mordor.fan Seòladh: 10.10.10.5

> gc._msdcs
Frithealaiche: dnslinux.mordor.fan Seòladh: 10.10.10.5 Ainm: gc._msdcs.mordor.fan Seòladh: 10.10.10.3

> mordor.fan
Frithealaiche: dnslinux.mordor.fan Seòladh: 10.10.10.5 Ainm: mordor.fan Seòladh: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Frithealaiche: dnslinux.mordor.fan Seòladh: 10.10.10.5 Ainm: sauron.mordor.fan Seòladh: 10.10.10.3 Ailiasan: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> seata seata = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Frithealaiche: dnslinux.mordor.fan Seòladh: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRV serv deigh àite: prìomhachas = 0 cuideam = 100 port = 88 svr ainm aoigheachd = sauron.mordor.fan _msdcs.mordor.fan nameserver = seòladh eadar-lìn dnslinux.mordor.fan sauron.mordor.fan = 10.10.10.3 seòladh eadar-lìn dnslinux.mordor.fan = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Frithealaiche: dnslinux.mordor.fan Seòladh: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV seirbheis seirbheis: prìomhachas = 0 cuideam = 100 port = 389 svr ainm aoigheachd = sauron .mordor.fan _msdcs.mordor.fan nameserver = seòladh eadar-lìn dnslinux.mordor.fan sauron.mordor.fan = 10.10.10.3 seòladh eadar-lìn dnslinux.mordor.fan = 10.10.10.5
> fàgail

C: \ Cleachdaichean \ rianaire>

Ceistean DNS air an dèanamh bho sauron.mordor.fan riarachail.

Is e an ath cheum inneal brìgheil eile a chruthachadh le Windows 7 air a chuir a-steach. Leis nach eil an t-seirbheis DHCP againn fhathast air a chuir a-steach, bheir sinn an coimpiutair leis an ainm «win7»An seòladh IP 10.10.10.251. Bidh sinn cuideachd a ’foillseachadh gur e am frithealaiche DNS agad an 10.10.10.5 dnslinux.mordor.fan, agus gum bi an raon sgrùdaidh mordor.fan. Cha chlàraich sinn an coimpiutair sin ann an DNS oir cleachdaidh sinn e cuideachd gus seirbheis DHCP a dhearbhadh às deidh dhuinn a stàladh.

An ath rud bidh sinn a ’fosgladh tòcan CMD agus innte tha sinn a ’cur gu bàs:

Microsoft Windows [Tionndadh 6.1.7601]
Dlighe-sgrìobhaidh (c) 2009 Microsoft Corporation. Còraichean uile glèidhte.

C: \ Cleachdaichean \ buzz> nslookup
Frithealaiche bunaiteach: dnslinux.mordor.fan Seòladh: 10.10.10.5

> mordor.fan
Frithealaiche: dnslinux.mordor.fan Seòladh: 10.10.10.5 Ainm: mordor.fan Seòladh: 10.10.10.3

> seata seata = SRV
> _ldap._tcp.DomainDnsZones
Frithealaiche: dnslinux.mordor.fan Seòladh: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan Suidheachadh seirbheis SRV: prìomhachas = 0 cuideam = 0 port = 389 svr òstair = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fan sauron.mordor.fan seòladh eadar-lìn = 10.10.10.3 dnslinux.mordor.fan seòladh eadar-lìn = 10.10.10.5
> _kpasswd._udp
Frithealaiche: dnslinux.mordor.fan Seòladh: 10.10.10.5 _kpasswd._udp.mordor.fan Àite seirbheis SRV: prìomhachas = 0 cuideam = 0 port = 464 svr ainm-aoigheachd = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan seòladh eadar-lìn sauron.mordor.fan = 10.10.10.3 seòladh eadar-lìn dnslinux.mordor.fan = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Frithealaiche: dnslinux.mordor.fan Seòladh: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRV serv ice location: prìomhachas = 0 cuideam = 0 port = 389 svr ainm aoigheachd = sauron. mordor.fan mordor.fan nameserver = seòladh eadar-lìn dnslinux.mordor.fan sauron.mordor.fan = 10.10.10.3 dnslinux.mordor.fan seòladh eadar-lìn = 10.10.10.5
> fàgail

C: \ Cleachdaichean \ buzz>

Ceistean DNS air an dèanamh bhon neach-dèiligidh «win7»Bha sinn cuideachd riarachail.

Ann an Active Directory bidh sinn a ’cruthachadh an neach-cleachdaidh«saruman«, Leis an amas a bhith ga chleachdadh nuair a thèid thu a-steach don neach-dèiligidh win7 don àrainn mordor.fan., a ’cleachdadh an dòigh«ID lìonra«, A’ cleachdadh ainmean-cleachdaidh saruman@mordor.fan y rianaire@mordor.fan. Bha an ceangal soirbheachail agus tha e air a dhearbhadh leis an ath-dhealbh a leanas:

Mu ùrachaidhean dinamic ann an Microsoft® DNS agus BIND

Leis gu bheil an t-seirbheis DNS againn air stad anns an Active Directory® cha robh e comasach don neach-dèiligidh «win7»Clàraich d’ ainm agus do sheòladh IP anns an DNS sin. Gu math nas lugha a-steach dnslinux.mordor.fan bho nach do rinn sinn aithris sam bith ceadaich-ùrachadh airson gin de na raointean a tha an sàs.

Agus seo far an deach an deagh shabaid le mo charaid a chruthachadh Am Fuegian. Anns a ’chiad phost-d agam mun taobh seo thuirt mi:

• Tha artaigilean Microsoft mu chleachdadh BIND agus Active Directory® a ’moladh, gu h-àraidh an Sòn Dìreach, cead a bhith air ùrachadh -penetrated- gu dìreach le teachdaichean Windows a tha mar-thà ceangailte ris an raon Active Directory.
• Is e sin as coireach, gu bunaiteach, anns na sònaichean DNS de Directory® Tha Ùrachaidhean Dynamic tèarainte ceadaichte. le teachdaichean Windows mar-thà ceangailte ris an raon Active Directory. Mura h-eil iad aonaichte, bidh iad a ’diùltadh bho na builean.
• Tha an DNS de Directory Gnìomhach a ’toirt taic do ùrachaidhean fiùghantach“ Secure only ”,“ Nonsecure and secure ”, no“ None ”a tha an aon rud ri bhith ag ràdh GUN Ùrachaidhean no gin.
• Tha, dha-rìribh chan eil Feallsanachd Microsoft ag aontachadh NACH EIL an luchd-ceannach ag ùrachadh an dàta anns na DNS (an) aca, cha bhiodh e a ’fàgail gum biodh e comasach ùrachaidhean fiùghantach a chuir dheth anns na DNS (an) aca, mura biodh an roghainn sin ann thèid fhàgail airson adhbharan nas falaichte.
• Tha Microsoft a ’tabhann“ Tèarainteachd ”mar mhalairt air Dorchadas, mar cho-obraiche agus caraid a rinn cùrsaichean Teisteanasan Microsft® air innse dhomh. Fìor. A bharrachd air an sin, dhearbh El Fueguino e dhomh.
• Cha bhith e comasach do neach-dèiligidh a gheibh seòladh IP tro DHCP a chaidh a chuir a-steach air inneal UNIX® / Linux mar eisimpleir, seòladh IP an ainm aige fhèin fhuasgladh gus am bi thu ceangailte ris an raon Active Directory, cho fad ‘s a tha Microsoft® no BIND air a chleachdadh mar DNS às aonais ùrachaidhean fiùghantach le DHCP.
• Ma stàlaicheas mi DHCP anns an Active Directory® fhèin, feumaidh mi innse gu bheil na Sònaichean air an ùrachadh le Microsoft® DHCP.
• Ma tha sinn a ’dol a chleachdadh BIND mar an DNS airson lìonra Windows, tha e loidsigeach agus thathas a’ moladh gun cuir sinn an duo BIND-DHCP, leis an fhear mu dheireadh ag ùrachadh BIND gu dinamach agus a ’chùis air a cho-dhùnadh.
• Ann an saoghal lìonraidhean LAN air UNIX® / Linux, bho chaidh ùrachaidhean fiùghantach a chruthachadh air BIND, chan eil ach Mgr DHCP ceadaichte «briseadh a-steach»A’ Bh-Uas BIND leis na h-ùrachaidhean aice. Am fois a tha le òrdugh, mas e do thoil e.
• Nuair a dhearbhas mi anns a ’chrios mordor.fan mar eisimpleir: ceadachadh-ùrachadh {10.10.10.0/24; };, Tha BIND fhèin ag innse dhomh nuair a thòisicheas mi no ath-thòiseachadh:

  • tha sòn ‘mordor.fan’ a ’ceadachadh ùrachaidhean a rèir seòladh IP, a tha mì-chinnteach

• Anns an t-saoghal sacrosanct UNIX® / Linux, tha an leithid de dh ’ionnsaigh le DNS dìreach neo-cheadaichte.

Faodaidh tu smaoineachadh air a ’chòrr den iomlaid le mo charaid Am Fuegian troimh puist-d, Còmhradh Telegram, gairmean fòn a phàigh e (gu dearbh, a dhuine, chan eil kilo agam airson sin), agus eadhon teachdaireachdan tro chalmanan giùlain anns an XXI linn!

Bha e eadhon a ’bagairt gun a bhith a’ cur mac a pheata, a Iguana «Petra»Bha e air gealltainn dhomh mar phàirt den phàigheadh. An sin chuir mi eagal mòr orm. Mar sin thòisich mi a-rithist, ach bho cheàrn eile.

• Tha an Directory Gnìomhach "cha mhòr" a ghabhas a choileanadh le Samba 4, a ’fuasgladh an taobh seo ann an dòigh ionmholta, an dà chuid nuair a bhios sinn a’ cleachdadh a DNS a-staigh, no am BIND air a chur ri chèile gus taic a thoirt do shònaichean DLZ - Sònaichean luchdaichte Dinamyc, no Sònaichean Luchdaichte gu Dynamically.
• Tha e fhathast a ’fulang leis an aon rud: nuair a gheibh neach-dèiligidh seòladh IP tro DHCP a chaidh a chuir a-steach eile Inneal UNIX® / Linux, cha bhith e comasach dhut seòladh IP d ’ainm fhèin fhuasgladh gus an tèid a cheangal ri raon an Samba 4 AD-DC.
• Amalachadh an duo BIND-DLZ agus DHCP air an aon inneal far a bheil an AD-DC Samba 4 tha e na obair airson fìor eòlaiche.

Am Fuegian Ghairm e orm gu caibideil agus bhruidhinn e rium: CHAN EIL sinn a ’bruidhinn AD-DC Samba 4, ach an Microsoft® Active Directory®!. Agus fhreagair mi gu h-iriosal gu robh mi air mo dhòigh le pàirt de na h-artaigilean a leanas a bha mi a ’dol a sgrìobhadh.

Sin nuair a dh ’innis mi dha gun deach an co-dhùnadh deireannach mu ùrachaidhean fiùghantach de choimpiutairean luchd-cleachdaidh air an lìonra aige fhàgail gu a thoil fhèin. Gun toireadh mi ach an tip sgrìobhte roimhe mu dheidhinn ceadachadh-ùrachadh {10.10.10.0/24; };, agus tuilleadh gun dad. Nach robh uallach orm airson na thàinig bhon ghealladh sin a rinn gach neach-dèiligidh Windows - no Linux- san lìonra aca «thèid e a-steach»Le impidheachd don BIND.

Nam biodh fios agad, mo charaid, Leughadair gur e sin deireadh na brawl, cha chreideadh tu e. Mo charaid Am Fuegian ghabh e ris an fhuasgladh - agus cuiridh e thugam an iguana «petrika«- sin a-nis tha mi a’ roinn leat.

Bidh sinn a ’stàladh agus a’ rèiteachadh DHCP

Airson tuilleadh fiosrachaidh leugh DNS agus DHCP ann an Debian 8 "Jessie".

root @ dnslinux: ~ # aptitude install isc-dhcp-server

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # Dè na goireasan eadar-aghaidh a bu chòir don fhrithealaiche DHCP (dhcpd) a bhith a ’frithealadh iarrtasan DHCP? # Cuir air leth iomadh eadar-aghaidh le àiteachan, me "eth0 eth1". INTERFACES = "eth0" root @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
Kdhcp-key. + 157 + 29836

root @ dnslinux: ~ # cat Kdhcp-key. +157 + 29836.private
Cruth prìobhaideach-iuchrach: v1.3 Algorithm: 157 (HMAC_MD5) Prìomh: 3HT / bg / 6YwezUShKYofj5g == Bits: AAA = Cruthaichte: 20170212205030 Foillsich: 20170212205030 Gnìomhaich: 20170212205030

root @ dnslinux: ~ # nano dhcp.key
iuchair dhcp-key {algorithm hmac-md5; dìomhair "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/named.conf.local
// // Dèan rèiteachadh ionadail sam bith an seo // // Beachdaich air sònaichean 1918 a chuir ris an seo, mura cleachdar iad anns a ’bhuidheann // agad cuir a-steach" /etc/bind/zones.rfc1918 "; toirt a-steach "/etc/bind/zones.rfcFreeBSD";
// Na dìochuimhnich ... dhìochuimhnich mi agus phàigh mi le mearachdan. ;-)
toirt a-steach "/etc/bind/dhcp.key";


sòn "mordor.fan" {maighstir seòrsa;
        ceadachadh-ùrachadh {10.10.10.3; iuchair dhcp-key; };
        faidhle "/var/lib/bind/db.mordor.fan"; }; sòn "10.10.10.in-addr.arpa" {maighstir seòrsa;
        ceadachadh-ùrachadh {10.10.10.3; iuchair dhcp-key; };
        faidhle "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; sòn "_msdcs.mordor.fan" {maighstir seòrsa; bidh ainmean-seic a ’seachnadh; faidhle "/etc/bind/db._msdcs.mordor.fan"; };

root @ dnslinux: ~ # ainmichte-checkconf 
root @ dnslinux: ~ #

root @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
eadar-amail ddns-update-style; ddns-ùrachaidhean air; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; seachnadh ùrachaidhean luchd-cleachdaidh; ùghdarrasach; roghainn ip-forwarding dheth; ainm-fearainn roghainn "mordor.fan"; toirt a-steach "/etc/dhcp/dhcp.key"; sòn mordor.fan. {bun-sgoil 127.0.0.1; iuchair dhcp-key; } sòn 10.10.10.in-addr.arpa. {bun-sgoil 127.0.0.1; iuchair dhcp-key; } redlocal co-roinnte lìonra {subnet 10.10.10.0 netmask 255.255.255.0 {roghainn routers 10.10.10.1; subnet-masc 255.255.255.0; seòladh craolaidh roghainn 10.10.10.255; roghainn àrainn-ainm-frithealaichean 10.10.10.5; roghainn netbios-name-servers 10.10.10.5; raon 10.10.10.30 10.10.10.250; }} # END dhcpd.conf

root @ dnslinux: ~ # dhcpd -t
Co-bhanntachd Siostaman Eadar-lìn DHCP Server 4.3.1 Còraichean 2004-2014 Co-bhanntachd Siostaman Eadar-lìn. Còraichean uile glèidhte. Airson fiosrachadh, tadhal air https://www.isc.org/software/dhcp/ Faidhle rèiteachaidh: /etc/dhcp/dhcpd.conf Faidhle stòr-dàta: /var/lib/dhcp/dhcpd.leases faidhle PID: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl ath-thòiseachadh bind9.service 
root @ dnslinux: ~ # inbhe systemctl bind9.service 

root @ dnslinux: ~ # systemctl tòiseachadh isc-dhcp-server.service
root @ dnslinux: ~ # inbhe systemctl isc-dhcp-server.service

Dè tha co-cheangailte ris Seicean le teachdaichean, agus an Mion-atharrachadh làimhe de fhaidhlichean Sòn, bidh sinn ga fhàgail dhutsa, caraid leughadair, airson a leughadh dìreach bho DNS agus DHCP ann an Debian 8 "Jessie", agus cuir an sàs e anns na cumhaichean agad. Rinn sinn na sgrùdaidhean riatanach uile agus fhuair sinn toraidhean riarachail. Gu dearbh bidh sinn a ’cur leth-bhreac dhiubh uile gu Am Fuegian. Cha bhi barrachd ann!

Stiùireadh

Coitcheann

• Faigh deagh fhoighidinn mus tòisich thu.
  
• An toiseach stàlaich agus rèiteachadh am BIND. Thoir sùil air a h-uile càil agus faic na clàran uile a dhearbh thu anns gach faidhle de na trì sònaichean a bharrachd, an dà chuid bhon Active Directory agus bhon t-seirbheisiche DNS fhèin air Linux. Ma ghabhas e dèanamh, bho inneal Linux nach eil ceangailte ris an àrainn, dèan na ceistean DNS riatanach chun BIND.
  
• Thig còmhla ri neach-dèiligidh Windows le seòladh IP stèidhichte chun àrainn a tha ann, agus ath-sgrùdadh a h-uile suidheachadh BIND bhon neach-dèiligidh Windows.
• Às deidh dhut a bhith cinnteach gu bheil rèiteachadh an BIND ùr agad gu tur ceart, dèan iomairt gus an t-seirbheis DHCP a stàladh, a rèiteachadh agus a thòiseachadh.
• Ma thachras mearachdan, dèan a-rithist am modh-obrach gu lèir bho neoni 0.
• Bi faiceallach leis an leth-bhreac & paste! agus na h-àiteachan a bharrachd anns gach loidhne de na faidhlichean ainmichte.conf.xxxx
  
• Às deidh sin, cha do rinn e gearan - mòran nas lugha dha mo charaid am Fuegian - nach deach comhairle cheart a thoirt dha.

Molaidhean eile

• Roinn agus ceannsachadh.
• Ann an Lìonra SME tha e nas sàbhailte agus nas buannachdail BIND Ùghdarraichte a chuir a-steach airson na Sònaichean LAN a-staigh nach eil a ’dol air ais gu frithealaiche freumh sam bith: ath-chuairteachadh no;.
• Ann an Lìonra SME a tha suidhichte fo sholaraiche ruigsinneachd eadar-lìn - isp, is dòcha na seirbheisean neach-ionaid y SMTP feumaidh iad ainmean fearainn fhuasgladh air an eadar-lìn. He Squid tha roghainn agad an DNS agad a chuir an cèill taobh a-muigh no nach eil, fhad ‘s a tha thu air frithealaiche puist stèidhichte air Postfix o MDaemon® Faodaidh sinn cuideachd na frithealaichean DNS ainmeachadh a chleachdas sinn san t-seirbheis sin. Ann an cùisean mar seo, is e sin, cùisean nach eil a ’toirt seachad seirbheisean don eadar-lìn agus a tha fo a Solaraiche Seirbheis Eadar-lìn, faodaidh tu BIND a stàladh le Luchd-adhartachaidh a ’comharrachadh DNS an isp, agus ga chur an cèill mar DNS àrd-sgoile anns na frithealaichean a dh ’fheumas ceistean taobh a-muigh a rèiteachadh chun LAN, air dhòigh eile tha e comasach an ainmeachadh tro na faidhlichean rèiteachaidh aca fhèin.
• Ma tha Sòn Tiomnaidh agad fo do dhleastanas iomlanAn uairsin feannag ròc eile:
  • Stàlaich frithealaiche DNS stèidhichte air NSD, a tha na fhrithealaiche DNS Ùghdarraichte le mìneachadh, a bhios a ’freagairt cheistean bho choimpiutairean air an eadar-lìn. Airson beagan fiosrachaidh taisbeanadh tàlant nsd. 😉 Feuch an dìon thu e gu math le uiread de bhallachan teine ​​'sa tha riatanach. An dà chuid bathar-cruaidh is bathar-bog. Bidh e na DNS airson an eadar-lìn, agus gum bi «Guy»Chan fhaod sinn a thoirt seachad le pants ìosal. 😉
  • Leis nach fhaca mi a-riamh mi fhìn ann an cùis mar seo, is e sin ri ràdh, gu tur an urra ri Sòn Tiomnaichte, dh'fheumainn smaoineachadh gu math dè a bu chòir a mholadh airson ainmean fearainn a rèiteachadh taobh a-muigh ar LAN airson na seirbheisean a dh ’fheumas e. Chan eil feum mòr aig teachdaichean lìonra SME air. Thoir sùil air litreachas sònraichte, no eòlaiche anns na cuspairean sin, oir tha mi fada bho bhith mar aon dhiubh. Gu dona.
  • Chan eil ath-chuairteachadh ann air luchd-frithealaidh Ùghdarrais. Ceart gu leor?. Air eagal gu bheil cuideigin a ’smaoineachadh air a dhèanamh le BIND.
• Ged a tha sinn gu sònraichte a ’sònrachadh san fhaidhle /etc/dhcp/dhcpd.conf an dearbhadh seachnadh ùrachaidhean luchd-cleachdaidh;, ma ruitheas sinn air consol coimpiutair dnslinux.mordor.fan an òrdugh irisctl -f, chì sinn sin nuair a thòisicheas sinn air an neach-dèiligidh win7.mordor.fan gheibh sinn na teachdaireachdan mearachd a leanas:

  • Feb 12 16:55:41 dnslinux ainmichte [900]: neach-dèiligidh 10.10.10.30 # 58762: ùrachadh ‘mordor.fan/IN’ air a dhiùltadh
    Feb 12 16:55:42 dnslinux ainmichte [900]: neach-dèiligidh 10.10.10.30 # 49763: ùrachadh ‘mordor.fan/IN’ air a dhiùltadh
    Feb 12 16:56:23 dnslinux ainmichte [900]: neach-dèiligidh 10.10.10.30 # 63161: ùrachadh ‘mordor.fan/IN’ air a dhiùltadh
    

  • Gus cuir às do na teachdaireachdan sin, feumaidh sinn a dhol gu roghainnean adhartach rèiteachadh cairt lìonra agus dì-cheangal an roghainn «Clàraich seòlaidhean a ’cheangail seo ann an DNS«. Cuiridh sin stad air an neach-dèiligidh bho bhith a ’feuchainn ri fèin-chlàradh san Linux DNS gu bràth agus deireadh na duilgheadas. Duilich, ach chan eil leth-bhreac agam de Windows 7 ann an Spàinntis. 😉
• Gus faighinn a-mach mu na ceistean mòra - agus seòlta - a bhios neach-dèiligidh Windows 7 a ’dèanamh, thoir sùil air na log ceistean.log sin airson rudeigin a dhearbhas sinn e ann an rèiteachadh BIND. Is e an òrdugh:

  • root @ dnslinux: ~ # tail -f /var/log/named/queries.log

• Mura leig thu le coimpiutairean an luchd-cleachdaidh agad ceangal gu dìreach ris an eadar-lìn, carson a tha feum agad air na Root DNS Servers? Bidh seo a ’lughdachadh gu mòr toradh an àithne irisctl -f agus bhon fhear roimhe, mura h-eil do fhrithealaiche DNS Ùghdarraichte airson na Sònaichean a-staigh a ’ceangal gu dìreach ris an eadar-lìn, a tha air a mholadh gu mòr bho thaobh tèarainteachd.

  root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
  root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root

• Mura h-eil feum agad air foillseachadh nam frithealaichean freumh, carson a tha feum agad air Ath-chuairteachadh - Ath-chuairteachadh?

  root @ dnslinux: ~ # nano /etc/bind/named.conf.options
  roghainnean {
   ....
   ath-chuairteachadh no;
   ....
  };

Comhairle shònraichte air nach eil mi fhathast glè shoilleir

El fear dhcpd.conf ag innse dhuinn na leanas am measg iomadach rud eile:

        An aithris ùrachadh-optimization

            bratach ùrachadh-optimization;

            Ma tha am paramadair ùrachadh-optimization meallta airson neach-dèiligidh sònraichte, feuchaidh an frithealaiche ri ùrachadh DNS airson an neach-dèiligidh sin gach uair a bhios an neach-dèiligidh ag ùrachadh an aonta-màil aige, an àite a bhith a ’feuchainn ri ùrachadh a-mhàin nuair a tha e coltach gu bheil feum air. Leigidh seo leis an DNS slànachadh bho neo-chunbhalachd stòr-dàta nas fhasa, ach is e a ’chosgais gum feum am frithealaiche DHCP mòran a bharrachd ùrachaidhean DNS a dhèanamh. Tha sinn a ’moladh an roghainn seo a leughadh air a chomasachadh, rud a tha àbhaisteach. Chan eil an roghainn seo a ’toirt buaidh ach air giùlan an sgeama ùrachaidh DNS eadar-amail, agus chan eil buaidh sam bith aige air an sgeama ùrachadh DNS ad-hoc. Mura h-eil am paramadair seo air a shònrachadh, no ma tha e fìor, cha dèan am frithealaiche DHCP ùrachadh ach nuair a dh ’atharraicheas fiosrachadh an neach-dèiligidh, gheibh an neach-dèiligidh aonta-màil eadar-dhealaichte, no thig aonta-màil an neach-dèiligidh gu crìch.

Tha an eadar-theangachadh no mìneachadh nas motha no nas lugha air fhàgail dhut, a leughadair chòir.

Gu pearsanta, tha e air tachairt dhomh - agus thachair e nuair a bha mi a ’dèanamh an artaigil seo - nuair a bhios mi a’ ceangal BIND ri Active Directory®, tha e bho Microsft® no Samba 4, ma dh ’atharraicheas mi ainm coimpiutair teachdaiche a tha clàraichte ann an raon Active Directory® no de AD–DC de Samba 4, bidh e a ’cumail a seann ainm agus seòladh IP anns an Sòn Dìreach, agus chan ann air an rathad eile, a bhios ag ùrachadh gu ceart leis an ainm ùr. Ann am faclan eile, tha na seann ainmean agus na h-ainmean ùra air am mapadh chun an aon sheòladh IP anns an Sòn Dìreach, agus air a ’chùl chan eil ach an t-ainm ùr a’ nochdadh. Gus mo thuigsinn gu math, feumaidh tu fhèin fheuchainn.

Tha mi a ’smaoineachadh gur e seòrsa de dhìoghaltas a th’ ann Am Fuegian -not dhomh, mas e do thoil e - airson a bhith a ’feuchainn ri do sheirbheisean a ghluasad gu Linux.

Gu dearbh falbhaidh an seann ainm nuair a TTL 3600, no an ùine a dhearbh sinn ann an rèiteachadh DHCP. Ach tha sinn airson gun tèid e à sealladh sa bhad mar a thachras ann am BIND + DHCP às aonais Directory Gnìomhach troimhe.

Am fuasgladh don t-suidheachadh sin lorg mi e le bhith a ’cuir a-steach an aithris ùrachadh-optimization meallta; aig deireadh mullach an fhaidhle /etc/dhcp/dhcpd.conf:

eadar-amail ddns-update-style; ddns-ùrachaidhean air; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; seachnadh ùrachaidhean luchd-cleachdaidh;
ùrachadh-optimization meallta;

Ma tha fios aig Leughadair sam bith barrachd mu dheidhinn, thoir soilleireachadh dhomh. Cuiridh mi meas mòr air.

Geàrr-chunntas

Tha tòrr spòrs air a bhith againn leis a ’chuspair, ceart? Gun fhulangas oir tha BIND againn ag obair mar fhrithealaiche DNS ann an lìonra Microsoft®, a ’tabhann a h-uile clàr SRV agus a’ freagairt gu h-iomchaidh ris na ceistean DNS a chaidh a dhèanamh dhaibh. Air an làimh eile tha frithealaiche DHCP againn a tha a ’toirt seachad seòlaidhean IP agus ag ùrachadh nan Sònaichean BIND gu ceart.

Ach chan urrainn dhuinn faighneachd ... airson an-dràsta.

Tha mi an dòchas mo charaid Am Fuegian bi toilichte agus riaraichte leis a ’chiad cheum anns an imrich agad gu Linux gus cosgaisean neo-sheasmhach Taic Teicnigeach Microsft® a ghiùlan.

Nota cudromach

Caractar "Am Fuegian»Gu tur ficseanail agus toradh de mo mhac-meanmna. Tha coltas no co-thuiteamas sam bith le daoine fìor mar an ceudna: Co-thuigse Pure Involunteer air mo thaobh. Cha do chruthaich mi e ach airson sgrìobhadh agus leughadh an artaigil seo a dhèanamh beagan tlachdmhor. A-nis mas urrainn dhut innse dhomh gu bheil cùis DNS dorcha,