BIND dan Active Directory® - Jaringan UKM

Indeks umum seri: Jaringan Komputer untuk UKM: Pendahuluan

Halo teman-teman!. Tujuan utama artikel ini adalah untuk menunjukkan bagaimana kami dapat mengintegrasikan layanan DNS berdasarkan BIND9 di jaringan Microsoft, yang sangat umum di banyak UKM.

Itu muncul dari permintaan resmi seorang teman yang tinggal di La Tierra del Fuego -The Fuegian- terspesialisasi dalam Microsoft® Networks -Certificates- untuk memandu Anda dalam bagian migrasi server Anda ke Linux ini. Biaya mendukung Teknisi yang membayar Microsoft® sudah Tak tertahankan Perusahaan tempat dia bekerja dan di mana dia adalah Pemegang Saham Utama.

Temanku The Fuegian dia memiliki selera humor yang tinggi, dan sejak dia melihat serial dari tiga film «Penguasa Cincin»Dia terpikat oleh banyak nama karakter gelapnya. Jadi sobat pembaca jangan kaget dengan nama domain dan server anda.

Untuk pendatang baru pada topik ini, dan sebelum melanjutkan membaca, kami menyarankan Anda untuk membaca dan mempelajari tiga artikel sebelumnya di SME Networks:

• DNS dan DHCP di openSUSE 13.2 "Harlequin"
• DNS dan DHCP di CentOS 7
• DNS dan DHCP di Debian 8 "Jessie"

Ini seperti menonton tiga dari empat bagian «Neraka»Diterbitkan sampai hari ini, dan ini adalah yang keempat.

Parameter umum

Setelah beberapa pertukaran via email, akhirnya saya mengetahui dengan jelas tentang parameter utama jaringan Anda saat ini, yaitu:

Nama domain mordor.fan Jaringan LAN 10.10.10.0/24 ==================================== ========================================== Tujuan Alamat IP Server (Server dengan OS Windows) =============================================== =============================== sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Server file Windows darklord.mordor.fan. 10.10.10.6 Proxy, gateway, dan firewall di Kerios troll.mordor.fan. 10.10.10.7 Blog berdasarkan ... tidak dapat mengingat shadowftp.mordor.fan. 10.10.10.8 Server FTP blackelf.mordor.fan. 10.10.10.9 Layanan email lengkap blackspider.mordor.fan. 10.10.10.10 Layanan WWW palantir.mordor.fan. 10.10.10.11 Obrolan di Openfire untuk Windows

Saya meminta izin untuk The Fuegian untuk mengatur Alias ​​sebanyak yang diperlukan untuk menjernihkan pikiran saya dan memberi saya izinnya:

CNAME asli ============================== sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

Saya menyatakan semua catatan DNS penting dalam instalasi saya dari Active Directory Windows 2008 yang terpaksa saya terapkan untuk memandu saya dalam pembuatan posting ini.

Tentang catatan SRV DNS Direktori Aktif

Register SRV o Service Locators - banyak digunakan di Microsoft Active Directory - ditentukan di Permintaan Komentar RFC 2782. Mereka mengizinkan lokasi layanan berdasarkan protokol TCP / IP melalui kueri DNS. Misalnya, pelanggan di jaringan Microsoft dapat menemukan lokasi Pengontrol Domain - Pengontrol Domain yang menyediakan layanan LDAP melalui protokol TCP pada port 389 melalui kueri DNS tunggal.

Adalah normal bahwa di Hutan - hutan, dan Pohon - Pohon Jaringan Microsoft besar ada beberapa Pengontrol Domain. Melalui penggunaan catatan SRV di Zona berbeda yang membentuk Ruang Nama Domain dari Jaringan itu, kami dapat mempertahankan Daftar Server yang menyediakan layanan terkenal serupa, diurutkan berdasarkan preferensi sesuai dengan protokol pengangkutan dan pelabuhan masing-masing server.

Dalam Permintaan Komentar RFC 1700 Nama Simbolik Universal untuk Layanan Terkenal didefinisikan - Layanan Terkenal, dan nama seperti «_telnet«,«_smtp»Untuk layanan telnet y SMTP. Jika nama simbolik tidak ditentukan untuk Layanan Terkenal, nama lokal atau nama lain dapat digunakan sesuai dengan preferensi pengguna.

Tujuan dari setiap bidang «khusus»Digunakan dalam deklarasi SRV Resource Record sebagai berikut:

• Domain: "Pdc._msdcs.mordor.fan.«. Nama DNS dari layanan yang dirujuk oleh catatan SRV. Nama DNS dalam contoh berarti -lebih atau kurang- Pengontrol Domain Utama dari daerah tersebut _msdcs.mordor.fan.
• Pelayanan: "_Ldap". Nama simbolis dari layanan yang disediakan ditentukan menurut Permintaan Komentar RFC 1700.
• Protokol: "_Tcp". Menunjukkan jenis protokol transport. Biasanya itu bisa mengambil nilai _tcp o _udp, meskipun -dan faktanya- semua jenis protokol transport ditunjukkan dalam Permintaan Komentar RFC 1700. Misalnya, untuk layanan mengobrol berbasis protokol XMPP, bidang ini akan memiliki nilai _xmpp.
• Prioritas'0«. Nyatakan prioritas atau preferensi untuk Tuan rumah yang menawarkan layanan ini yang akan kita lihat nanti. Kueri DNS klien tentang layanan yang ditentukan oleh catatan SRV ini, setelah menerima respons yang sesuai, akan mencoba menghubungi host pertama yang tersedia dengan nomor terendah yang tercantum di bidang. Prioritas. Kisaran nilai yang dapat diambil bidang ini adalah 0 yang 65535.
• Berat'100«. Dapat digunakan dalam kombinasi dengan Prioritas untuk menyediakan mekanisme load balancing ketika ada beberapa server yang menyediakan layanan yang sama. Harus ada data SRV yang serupa untuk setiap server di file Zone, dengan namanya dinyatakan di lapangan Tuan rumah yang menawarkan layanan ini. Sebelum server dengan nilai yang sama di lapangan Prioritas, nilai bidang Berat ini dapat digunakan sebagai tingkat preferensi tambahan untuk mendapatkan pilihan server yang tepat untuk load balancing. Kisaran nilai yang dapat diambil bidang ini adalah 0 yang 65535. Jika load balancing tidak diperlukan, misalnya seperti dalam kasus satu server, disarankan untuk menetapkan nilainya 0 untuk membuat catatan SRV lebih mudah dibaca.
• Nomor port - Port'389«. Nomor port masuk Tuan rumah yang menawarkan layanan ini yang menyediakan layanan yang ditunjukkan di lapangan Pelayanan. Nomor port yang direkomendasikan untuk setiap jenis Layanan Terkenal ditunjukkan di Permintaan Komentar RFC 1700, meskipun dapat mengambil nilai di antaranya 0 dan 65535.
• Tuan rumah yang menawarkan layanan ini - Target'sauron.mordor.fan.«. Menentukan FQDN yang secara tegas mengidentifikasi tuan rumah yang menyediakan layanan yang ditunjukkan oleh catatan SRV. Tipe rekam «A»Di namespace domain untuk masing-masing FQDN dari server atau tuan rumah yang menyediakan layanan tersebut. Lebih sederhana, tipe record A di zona langsung.
  • Catatan:
    Untuk secara resmi menunjukkan bahwa layanan yang ditentukan oleh catatan SRV tidak tersedia di host ini, satu (.) titik.

Kami hanya ingin mengulangi bahwa pengoperasian jaringan atau Active Directory® yang benar sangat bergantung pada pengoperasian Layanan Nama Domain yang benar..

Data DNS Direktori Aktif

Untuk membuat Zona Server DNS baru berdasarkan BIND, kita harus mendapatkan semua data DNS dari Active Directory®. Untuk membuat hidup lebih mudah, kami pergi ke tim sauron.mordor.fan -Active Directory® 2008 SR2- dan di Konsol Administrasi DNS kami mengaktifkan Zone Transfer -direct dan inverse- untuk zona utama yang dideklarasikan dalam jenis layanan ini, yaitu:

• _msdcs.mordor.fan
• mordor.fan
• 10.10.10.in-addr.harp

Setelah langkah sebelumnya dilakukan dan lebih disukai dari komputer Linux yang alamat IP-nya berada dalam jangkauan subnet yang digunakan oleh Jaringan Windows, kami menjalankan:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> suhu /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa

• Ingat dari artikel sebelumnya bahwa alamat IP perangkat administrator sistem.desdelinux.penggemar es 10.10.10.1 atau 192.168.10.1.

Dalam tiga perintah sebelumnya kita bisa menghilangkan opsi 10.10.10.3 -tanya server DNS dengan alamat itu- jika kami mendeklarasikan di file / Etc / resolv.conf ke IP server sauron.mordor.fan:

buzz@sysadmin:~$ cat /etc/resolv.conf # Dihasilkan oleh pencarian NetworkManager desdelinuxserver nama .fan 192.168.10.5 server nama 10.10.10.3

Setelah mengedit dengan sangat hati-hati, sesuai dengan file zona mana pun di BIND, kami akan memperoleh data berikut:

Catatan RRs dari zona asli _msdcs.mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs._msdcs.mordor.fan 
; Berkaitan dengan SOA dan NS _msdcs.mordor.fan. 3600 DI SOA sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 _msdcs.mordor.fan. 3600 DI NS sauron.mordor.fan. ; ; KATALOG GLOBAL gc._msdcs.mordor.fan. 3600 DI A 600; ; Alias ​​-dalam database LDAP pribadi dan dimodifikasi dari Active Directory- dari SAURON 10.10.10.3-03296249a82-1aa-a49f4-0f28900d5b._msdcs.mordor.fan. 256 DI CNAME sauron.mordor.fan. ; ; LDAP yang diubah dan pribadi dari Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 600 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 0 IN SRV 100 sauron.mordor.fan. _ldap._tcp.389d600d-0fdb-100cf-a389-d18c3360b8d40.domains._msdcs.mordor.fan. 678 IN SRV 7 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 420 IN SRV 6 775 600 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 0 IN SRV 100 389 600 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 0 IN SRV 100 sauron.mordor.fan. ; ; KERBEROS pribadi yang dimodifikasi dari Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 3268 DI SRV 600 0 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 100 DI SRV 3268 600 sauron.mordor.fan.

Catatan RRs dari mordor.fan zona asli

buzz @ sysadmin: ~ $ cat temp / rrs.mordor.fan 
; Berkaitan dengan SOA, NS, MX dan data A yang dipetakannya; Nama Domain ke IP SAURON; Hal-hal dari mordor.fan Active Directory. 3600 DI SOA sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 86400 3600 mordor.fan. 600 DI A 10.10.10.3 mordor.fan. 3600 DI NS sauron.mordor.fan. mordor.fan. 3600 IN MX 10 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 DI NS sauron.mordor.fan. ; ; Juga penting A mencatat DomainDnsZones.mordor.fan. 600 DI A 10.10.10.3 ForestDnsZones.mordor.fan. 600 DI A 10.10.10.3; ; KATALOG GLOBAL _gc._tcp.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. ; ; LDAP yang diubah dan privat dari Active Directory _ldap._tcp.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. ; ; KERBEROS yang dimodifikasi dan pribadi dari Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 DI SRV 0 100 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 389 DI SRV 600 0 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 DI SRV 0 100 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 389 IN SRV 600 sauron.mordor.fan. ; ; Catatan A dengan IP tetap -> server Blackelf.mordor.fan. 0 DALAM 100 blackspider.mordor.fan. 88 IN A 600 darklord.mordor.fan. 0 DI A 100 mamba.mordor.fan. 88 DI A 600 palantir.mordor.fan. 0 DALAM 100 sauron.mordor.fan. 464 DI A 600 shadowftp.mordor.fan. 0 DALAM 100 troll.mordor.fan. 88 DI A 600; ; CNAME mencatat ad-dc.mordor.fan. 0 DI CNAME sauron.mordor.fan. blog.mordor.fan. 100 DI CNAME troll.mordor.fan. fileserver.mordor.fan. 464 DI CNAME mamba.mordor.fan. ftpserver.mordor.fan. 3600 DI CNAME shadowftp.mordor.fan. mail.mordor.fan. 10.10.10.9 DI CNAME balckelf.mordor.fan. openfire.mordor.fan. 3600 DI CNAME palantir.mordor.fan. proxy.mordor.fan. 10.10.10.10 DI CNAME darklord.mordor.fan. www.mordor.fan. 3600 DI CNAME blackspider.mordor.fan.

Catatan RRs dari zona asli 10.10.10.in-addr.arpa

buzz @ sysadmin: ~ $ cat temp / rrs.10.10.10.in-addr.arpa 
; Berkaitan dengan SOA dan NS 10.10.10.in-addr.arpa. 3600 DI SOA sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400 3600.in-addr.arpa. 10.10.10 DI NS sauron.mordor.fan. ; ; Catatan PTR 3600.in-addr.arpa. 10.10.10.10 DI PTR blackspider.mordor.fan. 3600.in-addr.arpa. 11.10.10.10 DI PTR palantir.mordor.fan. 3600.in-addr.arpa. 3.10.10.10 DI PTR sauron.mordor.fan. 3600.in-addr.arpa. 4.10.10.10 DI PTR mamba.mordor.fan. 3600.in-addr.arpa. 5.10.10.10 DI PTR dnslinux.mordor.fan. 3600.in-addr.arpa. 6.10.10.10 DI PTR darklord.mordor.fan. 3600.in-addr.arpa. 7.10.10.10 DI PTR troll.mordor.fan. 3600.in-addr.arpa. 8.10.10.10 DI PTR shadowftp.mordor.fan. 3600.in-addr.arpa. 9.10.10.10 DI PTR blackelf.mordor.fan.

Hingga saat ini kami dapat berpikir bahwa kami memiliki data yang diperlukan untuk melanjutkan petualangan kami, bukan tanpa terlebih dahulu mengamati TTL dan data lain yang dengan cara yang sangat ringkas keluaran dan pengamatan langsung dari DNS dari Microsft® Active Directory® 2008 SR2 64 bit memberi kami.

Gambar dari DNS Manager di SAURON

Tim Dnslinux.mordor.fan.

Jika kita perhatikan lebih dekat, ke alamat IP 10.10.10.5 tidak ada nama yang ditetapkan untuk itu dengan tepat sehingga akan ditempati oleh nama DNS baru dnslinux.mordor.fan. Untuk menginstal pasangan DNS dan DHCP kita dapat dipandu oleh artikel DNS dan DHCP di Debian 8 "Jessie" y DNS dan DHCP di CentOS 7.

Sistem operasi dasar

Temanku The FuegianSelain menjadi spesialis sejati dalam Microsoft® Windows - dia memiliki beberapa Sertifikat yang dikeluarkan oleh perusahaan itu - dia telah membaca dan mempraktikkan beberapa artikel di desktop yang diterbitkan di DesdeLinux., dan dia mengatakan kepada saya bahwa dia secara tegas menginginkan solusi berbasis Debian. 😉

Untuk menyenangkan Anda, kami akan mulai dengan penginstalan server yang baru dan bersih berdasarkan Debian 8 "Jessie". Namun, yang akan kami tulis selanjutnya berlaku untuk distribusi CentOS dan openSUSE yang artikelnya kami sebutkan sebelumnya. BIND dan DHCP sama di distro manapun. Sedikit variasi diperkenalkan oleh pengelola paket di setiap distribusi.

Kami akan melakukan penginstalan seperti yang ditunjukkan pada DNS dan DHCP di Debian 8 "Jessie", berhati-hati saat menggunakan IP 10.10.10.5 dan jaringan 10.10.10.0/24., bahkan sebelum mengonfigurasi file BIND.

Kami mengkonfigurasi BIND dalam gaya Debian

/etc/bind/named.conf

file /etc/bind/named.conf kami membiarkannya seperti itu terpasang.

/etc/bind/named.conf.options

file /etc/bind/named.conf.options harus ditinggalkan dengan konten berikut:

root @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dnslinux: ~ # nano /etc/bind/named.conf.options
opsi {direktori "/ var / cache / bind"; // Jika ada firewall antara Anda dan server nama yang ingin // Anda hubungi, Anda mungkin perlu memperbaiki firewall untuk mengizinkan beberapa // port untuk berbicara. Lihat http://www.kb.cert.org/vuls/id/800113 // Jika ISP Anda menyediakan satu atau lebih alamat IP untuk // nameserver yang stabil, Anda mungkin ingin menggunakannya sebagai penerusan. // Batalkan komentar pada blok berikut, dan masukkan alamat yang menggantikan // placeholder all-0. // penerusan {// 0.0.0.0; //}; // =============================================== = ==================== $ // Jika BIND mencatat pesan kesalahan tentang kunci root yang kedaluwarsa, // Anda perlu memperbarui kunci Anda. Lihat https://www.isc.org/bind-keys // ================================= = ================================== $

    // Kami tidak ingin DNSSEC
        dnssec-aktifkan tidak;
        //auto-validasi dnssec;

        auth-nxdomain no; # sesuaikan dengan RFC1035

 // Kami tidak perlu mendengarkan alamat IPv6
        // dengar-di-v6 {apa saja; };
    Listen-on-v6 {tidak ada; };

 // Untuk pemeriksaan dari localhost dan sysadmin
    // melalui // dig mordor.fan axfr // dig 10.10.10.in-addr.arpa axfr // dig _msdcs.mordor.fan axfr // Kami tidak memiliki DNS Slave ... sampai sekarang
 allow-transfer {localhost; 10.10.10.1; };
};

// Mencatat BIND
penebangan {

        kueri saluran {
        file "/var/log/named/queries.log" versi 3 ukuran 1m;
        info keparahan;
        waktu cetak ya;
        tingkat keparahan cetak ya;
        kategori cetak ya;
        };

        kesalahan kueri saluran {
        file "/var/log/named/query-error.log" versi 3 ukuran 1m;
        info keparahan;
        waktu cetak ya;
        tingkat keparahan cetak ya;
        kategori cetak ya;
        };

                                
kueri kategori {
         pertanyaan;
         };

kategori kueri-kesalahan {
         kueri-kesalahan;
         };

};

• Kami memperkenalkan penangkapan log BIND sebagai file BARU penampilan dalam seri artikel tentang subjek tersebut. Kami menciptakan lfolder dan file yang diperlukan untuk Logging dari BIND tersebut:

root @ dnslinux: ~ # mkdir / var / log / bernama
root @ dnslinux: ~ # touch /var/log/named/queries.log
root @ dnslinux: ~ # touch /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / names

Kami memeriksa sintaks file yang dikonfigurasi

root @ dnslinux: ~ # bernama-checkconf 
root @ dnslinux: ~ #

/etc/bind/named.conf.local

Kami membuat file /etc/bind/zones.rfcFreeBSD dengan konten yang sama seperti yang ditunjukkan pada DNS dan DHCP di Debian 8 "Jessie".

root @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

file /etc/bind/named.conf.local harus ditinggalkan dengan konten berikut:

// // Lakukan konfigurasi lokal di sini // // Pertimbangkan untuk menambahkan zona 1918 di sini, jika tidak digunakan di // organisasi Anda
sertakan "/etc/bind/zones.rfc1918"; sertakan "/etc/bind/zones.rfcFreeBSD";

zona "mordor.fan" {tipe master; file "/var/lib/bind/db.mordor.fan"; }; zona "10.10.10.in-addr.arpa" {tipe master; file "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

zona "_msdcs.mordor.fan" {tipe master;
 nama centang diabaikan; file "/etc/bind/db._msdcs.mordor.fan"; }; root @ dnslinux: ~ # bernama-checkconf
root @ dnslinux: ~ #

File Zona mordor.fan

root @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ DI SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; serial 1D; refresh 1H; retry 1W; expire 3H); minimum atau; Waktu caching negatif untuk hidup;
; HATI-HATI DENGAN RECORDS BERIKUT
@ IN NS dnsuxor.fan.
@ DALAM A 10.10.10.5..XNUMX
@ DI MX 10 blackelfor.fan. @ IN TXT "Selamat Datang di The Dark Lan of Mordor";
_msdcs.mordor.fan. DI NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. DI A 10.10.10.5
; AKHIRI DENGAN HATI-HATI DENGAN RECORDS BERIKUT;
DomainDnsZones.mordor.fan. DI A 10.10.10.3 ForestDnsZones.mordor.fan. DI A 10.10.10.3; ; KATALOG GLOBAL _gc._tcp.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ; ; LDAP yang diubah dan privat dari Active Directory _ldap._tcp.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. ; ; KERBEROS yang dimodifikasi dan pribadi dari Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 DI SRV 0 0 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 DI SRV 0 0 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 DI SRV 0 0 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. ; ; Catatan A dengan IP tetap -> server Blackelf.mordor.fan. DALAM 10.10.10.9 blackspider.mordor.fan. DI A 10.10.10.10 darklord.mordor.fan. DI A 10.10.10.6 mamba.mordor.fan. DI A 10.10.10.4 palantir.mordor.fan. DI A 10.10.10.11
sauron.mordor.fan. DI A 10.10.10.3
shadowftp.mordor.fan. DI Troll.mordor.fan 10.10.10.8. DI A 10.10.10.7; ; CNAME mencatat ad-dc.mordor.fan. DI CNAME sauron.mordor.fan. blog.mordor.fan. DI CNAME troll.mordor.fan. fileserver.mordor.fan. DI CNAME mamba.mordor.fan. ftpserver.mordor.fan. DI CNAME shadowftp.mordor.fan. mail.mordor.fan. DI CNAME balckelf.mordor.fan. openfire.mordor.fan. DI CNAME palantir.mordor.fan. proxy.mordor.fan. DI CNAME darklord.mordor.fan. www.mordor.fan. DI CNAME blackspider.mordor.fan.

root @ dnslinux: ~ # bernama-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
zona mordor.fan/IN: memuat serial 1 OK

Waktu TTL 600 dari semua register SRV kami akan menyimpannya jika kami memasang Slave BIND di waktu yang akan datang. Catatan tersebut mewakili layanan Active Directory® yang sebagian besar membaca data dari database LDAP Anda. Karena database tersebut sering berubah, waktu sinkronisasi harus dibuat pendek, dalam skema DNS Master - Slave. Menurut filosofi Microsoft yang diamati dari Active Directory 2000 hingga 2008, nilai 600 dipertahankan untuk jenis data SRV ini.

Los TTL server dengan IP tetap, mereka berada di bawah waktu yang dinyatakan dalam SOA 3 jam.

File Zona 10.10.10.in-addr.arpa

root @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ DI SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; serial 1D; refresh 1H; retry 1W; expire 3H); minimum atau; Waktu caching negatif untuk hidup; @ IN NS dnsuxor.fan. ; 10 DI PTR blackspider.mordor.fan. 11 DI PTR palantir.mordor.fan. 3 DI PTR sauron.mordor.fan. 4 DI PTR mamba.mordor.fan. 5 DI PTR dnslinux.mordor.fan. 6 DI PTR darklord.mordor.fan. 7 DI PTR troll.mordor.fan. 8 DI PTR shadowftp.mordor.fan. 9 DI PTR blackelf.mordor.fan.

root @ dnslinux: ~ # bernama-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
zona 10.10.10.in-addr.arpa/IN: memuat serial 1 OK

File Zona _msdcs.mordor.fan

Mari pertimbangkan apa yang direkomendasikan dalam file tersebut /usr/share/doc/bind9/README.Debian.gz Tentang lokasi file dari Zona Master tidak mengalami pembaruan dinamis oleh DHCP.

root @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ DI SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; serial 1D; refresh 1H; retry 1W; expire 3H); minimum atau; Waktu caching negatif untuk hidup; @ IN NS dnsuxor.fan. ; ; ; KATALOG GLOBAL gc._msdcs.mordor.fan. 600 DI A 10.10.10.3; ; Alias ​​-dalam database LDAP pribadi dan dimodifikasi dari Active Directory- dari SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 DI CNAME sauron.mordor.fan. ; ; LDAP yang diubah dan pribadi dari Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. _ldap._tcp.600d0d-100fdb-389cf-a18-d3360c8b40d678.domains._msdcs.mordor.fan. 7 IN SRV 420 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 6 IN SRV 775 600 0 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 100 IN SRV 389 600 0 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 100 IN SRV 3268 sauron.mordor.fan. ; ; KERBEROS pribadi yang dimodifikasi dari Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 DI SRV 0 100 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 3268 DI SRV 600 0 sauron.mordor.fan.

Kami memeriksa sintaks dan kami dapat mengabaikan kesalahan yang dikembalikannya, karena dalam konfigurasi Zona ini di file /etc/bind/named.conf.local kami menyertakan pernyataan tersebut nama centang diabaikan;. Zona akan dimuat dengan benar oleh BIND.

root @ dnslinux: ~ # bernama-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: nama pemilik buruk (nama-periksa) zona _msdcs.mordor.fan/IN: memuat serial 1 OK

root @ dnslinux: ~ # systemctl restart bind9.service 
root @ dnslinux: ~ # status systemctl bind9.service 
● bind9.service - BIND Domain Name Server Loaded: dimuat (/lib/systemd/system/bind9.service; diaktifkan) Masuk: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ bernama.conf Aktif: aktif (berjalan) sejak Sun 2017-02-12 08:48:38 EST; 2 detik yang lalu Dokumen: man: bernama (8) Proses: 859 ExecStop = / usr / sbin / rndc stop (kode = keluar, status = 0 / SUKSES) PID utama: 864 (bernama) CGroup: /system.slice/bind9.service └─864 / usr / sbin / bernama -f -u bind 12 Feb 08:48:38 dnslinux bernama [864]: zona 3.efip6.arpa/IN: dimuat serial 1 Feb 12 08:48:38 dnslinux bernama [864 ]: zona befip6.arpa/IN: memuat serial 1 Feb 12 08:48:38 dnslinux bernama [864]: zona 0.efip6.arpa/IN: memuat serial 1 Feb 12 08:48:38 dnslinux bernama [864]: zona 7.efip6.arpa/IN: dimuat serial 1 Feb 12 08:48:38 dnslinux bernama [864]: zona mordor.fan/IN: dimuat serial 1 Feb 12 08:48:38 dnslinux bernama [864]: contoh zona .org / IN: memuat serial 1 Feb 12 08:48:38 dnslinux bernama [864]: zone _msdcs.mordor.fan/IN: dimuat serial 1 Feb 12 08:48:38 dnslinux bernama [864]: zona tidak valid / IN : dimuat serial 1 Feb 12 08:48:38 dnslinux bernama [864]: semua zona dimuat
12 Feb 08:48:38 dnslinux bernama [864]: berjalan

Kami berkonsultasi dengan BIND

Sebelum Setelah menginstal DHCP, kita harus melakukan serangkaian pemeriksaan yang bahkan mencakup penggabungan klien Windows 7 ke domain mordor.fan diwakili oleh Active Directory yang diinstal di komputer sauron.mordor.fan.

Hal pertama yang harus kita lakukan adalah menghentikan layanan DNS di komputer sauron.mordor.fan, dan nyatakan di antarmuka jaringan Anda bahwa mulai sekarang server DNS Anda akan menjadi 10.10.10.5 dnslinux.mordor.fan.

Di konsol server itu sendiri sauron.mordor.fan kami melaksanakan:

Microsoft Windows [Version 6.1.7600]
Hak Cipta (c) 2009 Microsoft Corporation. Seluruh hak cipta.

C: \ Users \ Administrator> nslookup
Server Default: dnslinux.mordor.fan Alamat: 10.10.10.5

> gc._msdcs
Server: dnslinux.mordor.fan Alamat: 10.10.10.5 Nama: gc._msdcs.mordor.fan Alamat: 10.10.10.3

> mordor.fan
Server: dnslinux.mordor.fan Alamat: 10.10.10.5 Nama: mordor.fan Alamat: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Server: dnslinux.mordor.fan Alamat: 10.10.10.5 Nama: sauron.mordor.fan Alamat: 10.10.10.3 Alias: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> tipe set = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Server: dnslinux.mordor.fan Alamat: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRV serv ice location: priority = 0 weight = 100 port = 88 svr hostname = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan alamat internet sauron.mordor.fan = 10.10.10.3 dnslinux.mordor.fan alamat internet = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Server: dnslinux.mordor.fan Alamat: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan Lokasi layanan SRV: prioritas = 0 bobot = 100 port = 389 svr nama host = sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan alamat internet = 10.10.10.3 dnslinux.mordor.fan alamat internet = 10.10.10.5
> keluar

C: \ Users \ Administrator>

Kueri DNS dibuat dari sauron.mordor.fan memuaskan.

Langkah selanjutnya adalah membuat mesin virtual lain dengan Windows 7 diinstal. Karena kami masih belum menginstal layanan DHCP, kami akan memberikan komputer bernama «win7»Alamat IP 10.10.10.251. Kami juga menyatakan bahwa server DNS Anda adalah 10.10.10.5 dnslinux.mordor.fan, dan domain penelusurannya adalah mordor.fan. Kami tidak akan mendaftarkan komputer itu di DNS karena kami juga akan menggunakannya untuk menguji layanan DHCP setelah kami menginstalnya.

Selanjutnya kami membuka konsol CMD dan di dalamnya kami mengeksekusi:

Microsoft Windows [Version 6.1.7601]
Hak Cipta (c) 2009 Microsoft Corporation. Seluruh hak cipta.

C: \ Users \ buzz> nslookup
Server Default: dnslinux.mordor.fan Alamat: 10.10.10.5

> mordor.fan
Server: dnslinux.mordor.fan Alamat: 10.10.10.5 Nama: mordor.fan Alamat: 10.10.10.3

> tipe set = SRV
> _ldap._tcp.DomainDnsZones
Server: dnslinux.mordor.fan Alamat: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan Lokasi layanan SRV: prioritas = 0 bobot = 0 port = 389 svr hostname = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fan sauron.mordor.fan alamat internet = 10.10.10.3 dnslinux.mordor.fan alamat internet = 10.10.10.5
> _kpasswd._udp
Server: dnslinux.mordor.fan Alamat: 10.10.10.5 _kpasswd._udp.mordor.fan Lokasi layanan SRV: prioritas = 0 bobot = 0 port = 464 svr nama host = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan alamat internet sauron.mordor.fan = 10.10.10.3 dnslinux.mordor.fan alamat internet = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Server: dnslinux.mordor.fan Alamat: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRV serv ice location: priority = 0 weight = 0 port = 389 svr hostname = sauron. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan alamat internet = 10.10.10.3 dnslinux.mordor.fan alamat internet = 10.10.10.5
> keluar

C: \ Users \ buzz>

Kueri DNS dibuat dari klien «win7»Apakah juga memuaskan.

Di Active Directory kami membuat pengguna «Saruman«, Dengan tujuan menggunakannya saat bergabung dengan klien win7 ke domain mordor.fan., menggunakan metode «ID Jaringan«, Menggunakan nama pengguna saruman@mordor.fan y administrator@mordor.fan. Penggabungan berhasil dan dibuktikan dengan screenshot berikut:

Tentang Pembaruan Dinamis di Microsoft® DNS dan BIND

Karena kami menghentikan layanan DNS di Active Directory®, hal itu tidak mungkin untuk klien «win7»Daftarkan nama dan alamat IP Anda di DNS itu. Jauh lebih sedikit dnslinux.mordor.fan karena kami tidak membuat pernyataan apa pun izinkan pembaruan untuk salah satu area yang terlibat.

Dan di sinilah pertarungan yang baik dengan teman saya terbentuk The Fuegian. Di email pertama saya tentang aspek ini, saya berkomentar:

• Artikel Microsoft tentang penggunaan BIND dan Active Directory® merekomendasikan bahwa, terutama Direct Zone, diizinkan untuk diperbarui -menembus- secara langsung oleh klien Windows yang sudah bergabung ke domain Active Directory.
• Itulah sebabnya, secara default, di zona DNS dari Pembaruan Dinamis Aman Active Directory® diizinkan. oleh klien Windows sudah bergabung ke domain Active Directory. Jika mereka tidak bersatu, mereka menahan diri dari konsekuensinya.
• DNS dari Active Directory mendukung pembaruan dinamis "Hanya aman", "Tidak aman dan aman", atau "Tidak Ada" yang sama dengan mengatakan TIDAK ADA Pembaruan atau Tidak Ada.
• Ya benar Filosofi Microsoft tidak setuju bahwa pelanggannya TIDAK akan memperbarui data mereka di DNS mereka, itu tidak akan membuka kemungkinan untuk menonaktifkan pembaruan dinamis di DNS mereka, kecuali opsi itu akan dibiarkan untuk tujuan yang lebih tersembunyi..
• Microsoft menawarkan "Keamanan" sebagai ganti Darkness, seperti yang dikatakan seorang kolega dan teman yang lulus kursus Sertifikat Microsft® kepada saya. Benar. Selain itu, El Fueguino mengkonfirmasikannya kepada saya.
• Klien yang memperoleh alamat IP melalui DHCP yang diinstal pada mesin UNIX® / Linux misalnya, tidak akan dapat menyelesaikan alamat IP dari namanya sendiri hingga Anda bergabung dengan domain Active Directory, selama Microsoft® atau BIND digunakan sebagai DNS tanpa pembaruan dinamis oleh DHCP.
• Jika saya menginstal DHCP di Active Directory® itu sendiri, maka saya harus menyatakan bahwa Zona diperbarui oleh Microsoft® DHCP.
• Jika kita akan menggunakan BIND sebagai DNS untuk jaringan Windows, adalah logis dan disarankan agar kita menginstal pasangan BIND-DHCP, dengan yang terakhir memperbarui BIND secara dinamis dan masalah selesai.
• Dalam dunia jaringan LAN pada UNIX® / Linux, karena pembaruan dinamis ditemukan pada BIND, hanya Mr. DHCP yang diperbolehkan «menembus»Untuk Mrs. BIND dengan pembaruannya. Relaksasi yang teratur, silakan.
• Ketika saya menyatakan di zona tersebut mordor.fan misalnya allow-update {10.10.10.0/24; };, BIND sendiri memberi tahu saya saat memulai atau memulai ulang bahwa:

  • zona 'mordor.fan' memungkinkan pembaruan berdasarkan alamat IP, yang tidak aman

• Di dunia UNIX® / Linux yang sakral, pemahaman seperti itu dengan DNS tidak dapat diterima.

Anda bisa membayangkan sisa pertukaran dengan teman saya The Fuegian melalui email, Obrolan Telegram, panggilan telepon yang dibayar olehnya (tentu saja, saya tidak punya kilo untuk itu), dan bahkan pesan melalui merpati pos di abad XXI!

Dia bahkan mengancam tidak akan mengirim saya anak peliharaannya, Iguana «Petra»Bahwa dia telah berjanji kepada saya sebagai bagian dari pembayaran. Di sana saya sangat takut. Jadi saya mulai lagi, tapi dari sudut lain.

• Direktori Aktif "hampir" yang dapat dicapai dengan Samba 4, memecahkan aspek ini dengan cara yang hebat, baik saat kita menggunakan DNS Internal, atau BIND yang dikompilasi untuk mendukung zona DLZ - Zona Beban Dinamyc, atau Zona yang Dimuat Secara Dinamis.
• Itu terus mengalami hal yang sama: ketika klien memperoleh alamat IP melalui DHCP yang diinstal di lain Mesin UNIX® / Linux, Anda tidak akan dapat menentukan alamat IP dari nama Anda sendiri hingga bergabung dengan domain Samba 4 AD-DC.
• Integrasikan duo BIND-DLZ dan DHCP pada mesin yang sama tempat file Samba AD-DC 4 itu pekerjaan untuk spesialis sejati.

The Fuegian Dia memanggil saya untuk bab dan berteriak kepada saya: Kami TIDAK berbicara tentang Samba AD-DC 4, tetapi Microsoft® Active Directory®!. Dan saya dengan rendah hati menjawab bahwa saya senang dengan bagian dari artikel berikut yang akan saya tulis.

Saat itulah saya memberi tahu dia bahwa keputusan akhir tentang pembaruan dinamis untuk komputer klien di jaringannya diserahkan kepada kehendak bebasnya. Bahwa saya hanya akan memberinya ujung ditulis sebelumnya tentang allow-update {10.10.10.0/24; };, dan tidak lebih dari itu. Bahwa saya tidak bertanggung jawab atas apa yang dihasilkan dari pergaulan bebas yang setiap klien Windows -atau Linux- di jaringan mereka «akan menembus»Dengan impunitas terhadap BIND.

Jika Anda tahu, teman saya, Pembaca bahwa itu adalah titik akhir perkelahian, Anda tidak akan mempercayainya. Temanku The Fuegian dia menerima solusinya - dan dia akan mengirimi saya iguana «Pete«- yang sekarang saya bagikan dengan Anda.

Kami menginstal dan mengkonfigurasi DHCP

Untuk lebih jelasnya baca DNS dan DHCP di Debian 8 "Jessie".

root @ dnslinux: ~ # aptitude install isc-dhcp-server

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # Pada antarmuka apa server DHCP (dhcpd) harus melayani permintaan DHCP? # Pisahkan banyak antarmuka dengan spasi, misalnya "eth0 eth1". ANTARMUKA = "eth0" root @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n PENGGUNA dhcp-key
Kdhcp-key. +157 + 29836

root @ dnslinux: ~ # cat Kdhcp-key. +157 + 29836.private
Format kunci pribadi: v1.3 Algoritma: 157 (HMAC_MD5) Kunci: 3HT / bg / 6YwezUShKYofj5g == Bit: AAA = Dibuat: 20170212205030 Terbitkan: 20170212205030 Aktifkan: 20170212205030

root @ dnslinux: ~ # nano dhcp.key
kunci dhcp-key {algoritma hmac-md5; rahasia "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/named.conf.local
// // Lakukan konfigurasi lokal apa pun di sini // // Pertimbangkan untuk menambahkan zona 1918 di sini, jika tidak digunakan dalam // organisasi Anda termasuk "/etc/bind/zones.rfc1918"; sertakan "/etc/bind/zones.rfcFreeBSD";
// Jangan lupa ... Aku lupa dan membayar dengan kesalahan. ;-)
sertakan "/etc/bind/dhcp.key";


zona "mordor.fan" {tipe master;
        allow-update {10.10.10.3; kunci dhcp-key; };
        file "/var/lib/bind/db.mordor.fan"; }; zona "10.10.10.in-addr.arpa" {tipe master;
        allow-update {10.10.10.3; kunci dhcp-key; };
        file "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; zona "_msdcs.mordor.fan" {tipe master; nama centang diabaikan; file "/etc/bind/db._msdcs.mordor.fan"; };

root @ dnslinux: ~ # bernama-checkconf 
root @ dnslinux: ~ #

root @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style interim; ddns-update aktif; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; abaikan pembaruan klien; berwibawa; opsi ip-forwarding off; opsi nama domain "mordor.fan"; sertakan "/etc/dhcp/dhcp.key"; zona mordor.fan. {utama 127.0.0.1; kunci dhcp-key; } zona 10.10.10.in-addr.arpa. {utama 127.0.0.1; kunci dhcp-key; } redlocal jaringan bersama {subnet 10.10.10.0 netmask 255.255.255.0 {router opsi 10.10.10.1; opsi subnet-mask 255.255.255.0; opsi alamat-siaran 10.10.10.255; opsi domain-name-server 10.10.10.5; opsi netbios-nama-server 10.10.10.5; kisaran 10.10.10.30 10.10.10.250; }} # END dhcpd.conf

root @ dnslinux: ~ # dhcpd -t
Internet Systems Consortium DHCP Server 4.3.1 Hak Cipta 2004-2014 Internet Systems Consortium. Seluruh hak cipta. Untuk info, silakan kunjungi https://www.isc.org/software/dhcp/ File konfigurasi: /etc/dhcp/dhcpd.conf File database: /var/lib/dhcp/dhcpd.leases file PID: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl restart bind9.service 
root @ dnslinux: ~ # status systemctl bind9.service 

root @ dnslinux: ~ # systemctl mulai isc-dhcp-server.service
root @ dnslinux: ~ # status systemctl isc-dhcp-server.service

Apa yang berhubungan dengan Cek dengan klien, Dan Modifikasi manual dari file Zona, kami serahkan kepada anda, sobat pembaca, untuk membacanya langsung dari DNS dan DHCP di Debian 8 "Jessie", dan menerapkannya pada kondisi Anda yang sebenarnya. Kami melakukan semua pemeriksaan yang diperlukan dan memperoleh hasil yang memuaskan. Tentu saja kami mengirimkan salinan semuanya ke The Fuegian. Tidak akan ada lagi!

Tips

Umum

• Bersabarlah sebelum Anda mulai.
  
• Instal dan konfigurasikan BIND terlebih dahulu. Periksa semuanya dan lihat semua catatan yang Anda nyatakan di setiap file dari tiga -atau lebih- zona, baik dari Active Directory dan dari server DNS itu sendiri di Linux. Jika memungkinkan, dari mesin Linux yang tidak tergabung ke domain, buat kueri DNS yang diperlukan ke BIND.
  
• Bergabunglah dengan klien Windows dengan alamat IP tetap ke domain yang ada, dan periksa ulang semua pengaturan BIND dari klien Windows.
• Setelah Anda yakin bahwa konfigurasi BIND baru Anda benar-benar benar, usahakan untuk menginstal, mengkonfigurasi, dan memulai layanan DHCP.
• Jika terjadi kesalahan, ulangi seluruh prosedur dari nol 0.
• Hati-hati dengan salin & tempel! dan sisa spasi di setiap baris file bernama.conf.xxxx
  
• Setelah itu, dia tidak mengeluh - apalagi kepada teman saya si Fuegian - bahwa dia tidak dinasihati dengan semestinya.

Tips lainnya

• Memecah dan menaklukkan.
• Di Jaringan UKM, lebih aman dan lebih bermanfaat untuk menginstal Pengikat Otoritatif untuk Zona LAN Internal yang tidak berulang ke server root mana pun: rekursi tidak;.
• Dalam Jaringan UKM yang terletak di bawah Penyedia Akses Internet - ISP, mungkin layanannya wakil y SMTP mereka perlu menyelesaikan nama domain di internet. Dia Cumi-cumi Anda memiliki opsi untuk menyatakan DNS Anda menjadi eksternal atau tidak, sementara di server email berbasis Postfix o MDaemon® Kami juga dapat mendeklarasikan server DNS yang akan kami gunakan dalam layanan itu. Dalam kasus seperti ini, yaitu, kasus yang tidak menyediakan layanan ke Internet dan yang berada di bawah a Penyedia layanan internet, Anda dapat memasang BIND dengan Forwarder menunjuk ke DNS dari ISP, dan mendeklarasikannya sebagai DNS sekunder di server yang perlu menyelesaikan pertanyaan eksternal ke LAN, jika tidak maka dimungkinkan untuk mendeklarasikannya melalui file konfigurasinya sendiri.
• Jika Anda memiliki Zona Delegasi di bawah tanggung jawab Anda sepenuhnyaKemudian ayam jago lainnya:
  • Instal server DNS berdasarkan NSD, yang merupakan server DNS Resmi menurut definisi, yang menanggapi pertanyaan dari komputer di Internet. Untuk beberapa informasi bakat menunjukkan nsd. 😉 Harap lindungi dengan baik dengan dinding api sebanyak yang diperlukan. Baik perangkat keras maupun perangkat lunak. Ini akan menjadi DNS untuk Internet, dan «Kaisar»Kita tidak boleh memberikannya dengan celana rendah. 😉
  • Karena saya belum pernah melihat diri saya dalam kasus seperti ini, yaitu, orang yang bertanggung jawab atas Zona Delegasi, saya harus memikirkan dengan baik apa yang harus direkomendasikan untuk resolusi nama domain di luar LAN kami untuk layanan yang membutuhkannya. Klien Jaringan UKM tidak terlalu membutuhkannya. Konsultasikan dengan literatur khusus, atau spesialis dalam subjek ini, karena saya masih jauh dari salah satunya. Sungguh.
  • Rekursi tidak ada di server Otoriter. Baik?. Jika seseorang melakukannya dengan BIND.
• Meskipun kami secara eksplisit menentukan dalam file tersebut /etc/dhcp/dhcpd.conf deklarasi abaikan pembaruan klien;, jika dijalankan di konsol komputer dnslinux.mordor.fan pesanan jurnalctl -f, kita akan melihatnya saat memulai klien win7.mordor.fan kami mendapatkan pesan kesalahan berikut:

  • 12 Feb 16:55:41 dnslinux bernama [900]: klien 10.10.10.30 # 58762: pembaruan 'mordor.fan/IN' ditolak
    12 Feb 16:55:42 dnslinux bernama [900]: klien 10.10.10.30 # 49763: pembaruan 'mordor.fan/IN' ditolak
    12 Feb 16:56:23 dnslinux bernama [900]: klien 10.10.10.30 # 63161: pembaruan 'mordor.fan/IN' ditolak
    

  • Untuk menghilangkan pesan-pesan ini, kita harus pergi ke opsi lanjutan dari konfigurasi kartu jaringan dan hapus centang opsi «Daftarkan alamat koneksi ini di DNS«. Itu akan mencegah klien untuk mencoba mendaftar sendiri di DNS Linux selamanya dan mengakhiri masalah. Maaf, tapi saya tidak memiliki salinan Windows 7 dalam bahasa Spanyol. 😉
• Untuk mengetahui tentang semua permintaan serius - dan gila - yang dibuat oleh klien Windows 7, lihat log query.log bahwa untuk sesuatu kami mendeklarasikannya dalam konfigurasi BIND. Urutannya adalah:

  • root @ dnslinux: ~ # tail -f /var/log/named/queries.log

• Jika Anda tidak mengizinkan komputer klien Anda untuk terhubung langsung ke Internet, lalu mengapa Anda memerlukan Server DNS Root? Ini secara signifikan akan menurunkan keluaran perintah jurnalctl -f dan dari yang sebelumnya, jika server DNS Otoriter Anda untuk Zona Internal tidak terhubung langsung ke Internet, yang sangat disarankan dari sudut pandang keamanan.

  root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
  root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root

• Jika Anda tidak memerlukan deklarasi server root, lalu mengapa Anda membutuhkan Rekursi - Rekursi?

  root @ dnslinux: ~ # nano /etc/bind/named.conf.options
  pilihan {
   ....
   rekursi tidak;
   ....
  };

Saran khusus yang masih belum saya jelaskan

El man dhcpd.conf memberi tahu kita hal berikut di antara banyak -banyak- hal lainnya:

        Pernyataan update-optimization

            bendera update-optimasi;

            Jika parameter pengoptimalan pembaruan salah untuk klien tertentu, server akan mencoba pembaruan DNS untuk klien itu setiap kali klien memperbarui sewa, daripada hanya mencoba pembaruan saat diperlukan. Ini akan memungkinkan DNS untuk memulihkan dari inkonsistensi database dengan lebih mudah, tetapi biayanya adalah server DHCP harus melakukan lebih banyak pembaruan DNS. Kami merekomendasikan membaca opsi ini diaktifkan, yang merupakan default. Opsi ini hanya mempengaruhi perilaku skema pembaruan DNS sementara, dan tidak berpengaruh pada skema pembaruan DNS ad-hoc. Jika parameter ini tidak ditentukan, atau benar, server DHCP hanya akan memperbarui ketika informasi klien berubah, klien mendapatkan sewa yang berbeda, atau sewa klien berakhir.

Terjemahan atau interpretasi yang kurang lebih tepat diserahkan kepada Anda, pembaca yang budiman.

Secara pribadi, itu terjadi pada saya - dan itu terjadi selama penulisan artikel ini - bahwa ketika saya menautkan BIND ke Active Directory®, itu dari Microsft® atau Samba 4, jika saya mengubah nama komputer klien yang terdaftar di domain Active Directory® atau dari AD–DC dari Samba 4, ia menyimpan nama lama dan alamat IP di Zona Langsung, dan bukan sebaliknya, yang memperbarui dengan benar dengan nama baru. Dengan kata lain, nama lama dan baru dipetakan ke alamat IP yang sama di Direct Zone, sedangkan sebaliknya hanya nama baru yang muncul. Untuk memahami saya dengan baik, Anda harus mencobanya sendiri.

Saya pikir itu adalah semacam balas dendam The Fuegian -bukan bagi saya, tolong- untuk mencoba memigrasi layanan Anda ke Linux.

Tentu saja nama lama akan hilang saat itu TTL 3600, atau waktu yang telah kami nyatakan dalam konfigurasi DHCP. Tapi kami ingin ini segera menghilang seperti yang terjadi di BIND + DHCP tanpa Active Directory melalui.

Solusi untuk situasi itu saya temukan dengan memasukkan pernyataan tersebut update-optimasi salah; di akhir bagian atas file /etc/dhcp/dhcpd.conf:

ddns-update-style interim; ddns-update aktif; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; abaikan pembaruan klien;
update-optimasi salah;

Jika ada Pembaca yang tahu lebih banyak tentang itu, tolong beri tahu saya. Saya akan sangat menghargainya.

ringkasan

Kami bersenang-senang dengan subjek ini, bukan? Tidak ada penderitaan karena kami memiliki BIND yang bekerja sebagai server DNS di jaringan Microsoft®, menawarkan semua catatan SRV dan menanggapi dengan tepat permintaan DNS yang dibuat untuk mereka. Di sisi lain, kami memiliki server DHCP yang memberikan alamat IP dan secara dinamis memperbarui Zona BIND dengan benar.

Tapi kita tidak bisa meminta ... untuk saat ini.

Saya berharap teman saya The Fuegian berbahagialah dan puas dengan langkah pertama dalam migrasi Anda ke Linux untuk membuat biaya Dukungan Teknis Microsft® dapat ditanggung.

Catatan penting

Karakter "The Fuegian»Benar-benar fiksi dan produk imajinasi saya. Kemiripan atau kebetulan apa pun dengan orang sungguhan adalah hal yang sama: Kebetulan yang Tidak Disengaja di pihak saya. Saya hanya membuatnya untuk membuat tulisan dan membaca artikel ini sedikit menyenangkan. Sekarang jika Anda dapat memberi tahu saya bahwa masalah DNS gelap. 😉