Dnsmasq e Active Directory

Indice generale della serie: Reti di computer per le PMI: Introduzione

Ciao amici!. Per capire e seguire correttamente questo articolo è essenziale leggendo i suoi predecessori:

Spiegano concetti teorici e pratici a cui non faremo riferimento in questo. Modificheremo la distribuzione nell'anno in corso in Debian 8.6 "Jessie" e continueremo con gli stessi parametri che usiamo in BIND e Active Directory®.

La procedura descritta in questo post è valida anche per CentOS 7. Il file di configurazione / etc / dnsmasq è lo stesso. Lo dichiaro perché ritengo non necessario creare un articolo separato per Dnsmasq e Active Directory® basato su CentOS. Fortunatamente, le directory relative alla documentazione e alla configurazione sono le stesse. 
Il Dnsmaq è una creazione di Simon Kelley

Limiti all'uso di Dnsmasq

Data la sua importanza ripetiamo il LIMITI che supporta Dnsmasq -run uomo dnsmasq- che riflette esattamente il seguente:

LIMITI

I valori predefiniti per i limiti delle risorse sono generalmente conservativi e appropriati per l'uso su dispositivi di tipo router. bloccato con processori lenti e poca memoria. In hardware di più capace, è possibile aumentare i limiti e supportare molti clienti. Quanto segue si applica a dnsmasq-2.37: le versioni precedenti no sono saliti così bene.

Dnsmasq è in grado di supportare DNS e DHCP almeno mille (1,000) clienti. I tempi di locazione non dovrebbero essere troppo brevi (meno di uno tempo). Il valore di –dns-forward-max può essere aumentato: inizia con l'equivalente del numero di client e aumentarlo se il DNS. Notare che le prestazioni del DNS dipendono anche dai server DNS a monte. La dimensione della cache DNS può essere aumentata: il limite Richiesto è 10,000 nomi e il valore predefinito (150) è molto basso. L'invio di un SIGUSR1 a dnsmasq rende le informazioni bitacore che sono utile per ottimizzare le dimensioni della cache. Vedere la sezione NOTE per i dettagli.

Il server TFTP integrato è in grado di supportare più trasferimenti file simultanei: il limite assoluto è correlato al numero di file handle consentiti a un processo e alla capacità del sistemachiama select () per supportare un gran numero di file-handle. Se il limite è impostato troppo alto con –tftp-max, verrà scalato e il limite effettivo verrà sincronizzato all'avvio. Nota che più trasferimenti sono possibili quando viene inviato lo stesso file cosa quando ogni transferencia invia un file diverso. È possibile utilizzare dnsmasq per negare la pubblicità Web utilizzando un elenco di server banner ben noti, che risolvono tutti a 127.0.0.1 o 0.0.0.0 in / etc / hosts o in un file hosts aggiuntivo. L'elenco può essere molto lungo. Dnsmasq è stato testato con successo con un milione di nomi. Quella dimensione del file richiede una CPU da 1 GHz e approssimativa60 MB di RAM.

Dnsmasq è in grado di supportare DNS e DHCP almeno mille (1,000) clienti.

Installiamo e configuriamo Jessie e Dnsmasq

Inizieremo da una nuova e pulita installazione di un server basato su Debian 8 "Jessie". Cioè, il sistema operativo senza alcuna interfaccia grafica o un altro pacchetto installato. I parametri di rete saranno gli stessi di quelli utilizzati nell'articolo BIND e Active Directory®:

Nome di dominio mordor.fan Rete LAN 10.10.10.0/24 ==================================== == ======================================== Scopo dell'indirizzo IP dei server (server con sistema operativo Windows) ================================================ == =============================
sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2
mamba.mordor.fan. 10.10.10.4 File server di Windows
dns.mordor.fan 10.10.10.5 Server DnsMasq su Jessie
darklord.mordor.fan. 10.10.10.6 Proxy, gateway e firewall su Kerios troll.mordor.fan. 10.10.10.7 Blog basato su ... non ricordo shadowftp.mordor.fan. 10.10.10.8 Server FTP blackelf.mordor.fan. 10.10.10.9 Servizio completo di posta elettronica blackspider.mordor.fan. 10.10.10.10 Servizio WWW palantir.mordor.fan. 10.10.10.11 Chat su Openfire per Windows Real CNAME =============================== sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

Impostazioni iniziali del server dns.mordor.fan

root @ dns: ~ # nano / etc / hostname
dns

root @ dns: ~ # nano / etc / hosts
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # Le seguenti righe sono desiderabili per gli host che supportano IPv6: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

root @ dns: ~ # nano / etc / network / interfaces
# Questo file descrive le interfacce di rete disponibili sul sistema # e come attivarle. Per ulteriori informazioni, vedere interfacce (5). source /etc/network/interfaces.d/* # L'interfaccia di rete loopback auto lo iface lo inet loopback # L'interfaccia di rete primaria allow-hotplug eth0 iface eth0 inet indirizzo statico 10.10.10.5 netmask 255.255.255.0 network 10.10.10.0 broadcast 10.10.10.255. 10.10.10.1 gateway 127.0.0.1 # le opzioni dns- * sono implementate dal pacchetto resolvconf, se installato dns-nameservers XNUMX dns-search mordor.fan

Installiamo Dnsmasq e htop

root @ dns: ~ # aptitude install dnsmasq htop

Dopo aver installato il pacchetto htop possiamo controllare la CPU e il consumo di memoria dell'apparecchiatura. Consuma solo circa 71 megabyte di RAM. Se vogliamo ridurre ulteriormente i consumi, possiamo installare il pacchetto SSMTP -semplice MTA- che a sua volta spurga il pacco exim4 che Debian si installa sempre di default e di cui non abbiamo davvero bisogno in base all'uso che daremo a questo server:

root @ dns: ~ # aptitude install ssmtp
root @ dns: ~ # aptitude purge ~ c
root @ dns: ~ # aptitude clean
root @ dns: ~ # aptitude autoclean
root @ dns: ~ # systemctl riavvio

Dopo aver riavviato il computer, il consumo è il seguente:

Basso, vero? Andiamo avanti.

Indichiamo che Dnsmasq consulta anche Microsft® DNS

Per testare le possibili configurazioni di Dnsmasq sul tuo computer dns.mordor.fan, dobbiamo includere una dichiarazione che indichi che è stato consultato il DNS Microsoft del server sauron.mordor.fan. Possiamo farlo compresa la direttiva server = / mordor.fan / 10.10.10.3 nel file dnsmasq.conf -come vedremo più avanti- o aggiungendo la riga nameserver 10.10.10.3 nel file /etc/resolv.conf. Non avendo ancora configurato il Dnsmasq in base alle nostre esigenze, scegliamo la seconda via:

root @ dns: ~ # nano /etc/resolv.conf
dominio mordor.fan
nameserver 127.0.0.1
nameserver 10.10.10.3

Ora possiamo risolvere le query DNS

Con la configurazione predefinita di Dnsmasq fornita dal suo file principale /etc/dnasmq.conf, e con quanto dichiarato nel file /etc/resolv.conf dal server stesso «dns«, Qualsiasi client connesso alla LAN -e che ha dichiarato come server DNS dns.mordor.fan- puoi risolvere le query DNS a spese di Microsoft® DNS per adesso…

È molto importante controllare la velocità di risposta di Dnsmasq quando si visualizza il suo stato come Spedizioniere dalla semplice inclusione dell'IP 10.10.10.3 nel tuo file /etc/resolv.conf.

Dalla mia postazione amministrativa e supporto di tutto l'armamentario attraverso il quale scrivo, eseguo:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Generato dal server dei nomi NetworkManager mordor.fan 10.10.10.5

buzz @ sysadmin: ~ $ nslookup
> dns
Server: 10.10.10.5 Indirizzo: 10.10.10.5 # 53 Nome: dns.mordor.fan Indirizzo: 10.10.10.5

> Sauron
Server: 10.10.10.5 Indirizzo: 10.10.10.5 # 53

Risposta non autorevole:
Nome: sauron.mordor.fan Indirizzo: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: 10.10.10.5 Indirizzo: 10.10.10.5 # 53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan nome canonico = sauron.mordor.fan. Nome: sauron.mordor.fan Indirizzo: 10.10.10.3

> 10.10.10.3
Server: 127.0.0.1 Indirizzo: 127.0.0.1 # 53 3.10.10.10.in-addr.arpa name = sauron.mordor.fan.

> 10.10.10.9
Server: 127.0.0.1 Indirizzo: 127.0.0.1 # 53 9.10.10.10.in-addr.arpa name = blackelf.mordor.fan.

> 10.10.10.5
Server: 127.0.0.1 Indirizzo: 127.0.0.1 # 53 5.10.10.10.in-addr.arpa name = dns.mordor.fan.

> posta
Server: 10.10.10.5 Indirizzo: 10.10.10.5 # 53 Risposta non autorevole: mail.mordor.fan nome canonico = blackelf.mordor.fan. Nome: blackelf.mordor.fan Indirizzo: 10.10.10.9> exit

buzz @ sysadmin: ~ $

Diamo uno sguardo più da vicino ai seguenti aspetti:

dns.mordor.fan risponde direttamente alle query DNS che può risolvere in base alle impostazioni correnti di Dnsmasq. Se non riesci a risolverli, funziona come Spedizioniere e chiede a IP 10.10.10.3 se può rispondere alla domanda. Quando viene chiesto l'IP dell'apparecchiatura «dns«, Risponde direttamente. Quando viene chiesto al Dnsmasq chi è «Sauron",?, rendere invio a 10.10.10.3 -Non puoi rispondere direttamente perché non l'hai ancora registrato- che restituisce una risposta non autoritaria corretta.
Alla domanda chi è «03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan"?, rendere invio ancora e questa volta ricevi una risposta autorevole da Microsoft® DNS.
L'elevata velocità di risposta di Dnsmasq per qualsiasi tipo di query.

Sono piccoli dettagli che rendono grande un amore ;-).

Differenze fondamentali tra Dnsmasq e BIND integrato con Active Directory®

Eseguiamo un paio di query DNS sui record SOA y NS del dominio mordor.fan, a ciascuno dei server dei nomi coinvolti:

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.3
Utilizzo del server di dominio: Nome: 10.10.10.3 Indirizzo: 10.10.10.3 # 53 Alias: 
mordor.fan ha il record SOA sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.5
Utilizzo del server di dominio: Nome: 10.10.10.5 Indirizzo: 10.10.10.5 # 53 Alias: 
mordor.fan ha il record SOA sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.5
Utilizzo del server di dominio: Nome: 10.10.10.5 Indirizzo: 10.10.10.5 # 53 Alias: 
server dei nomi mordor.fan sauron.mordor.fan.

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.3
Utilizzo del server di dominio: Nome: 10.10.10.3 Indirizzo: 10.10.10.3 # 53 Alias: 
server dei nomi mordor.fan sauron.mordor.fan.

Le risposte sono identiche - il che è logico - perché Siempre risponde sauron.mordor.fan. prima di una query DNS sui record SOA o NS, Anche se sembrare cosa risponde dns.mordor.fan. Tuttavia differisce da quanto visto nell'articolo BIND e Active Directory® dove avevamo completamente rimosso la funzionalità DNS di Microsoft®. In quell'articolo TUTTE le query DNS sullo spazio dei nomi Domino mordor.fan BIND ha risposto loro, perché l'abbiamo configurato in questo modo e perché BIND risponde alle domande SOA y NS oltre a consentire lo schema Master - Slave, Trasferimento di zona, ecc., E quindi è un server DNS più completo - complesso.

Forse queste sono le principali differenze tra il DNS del Dnsmasq e il BIND ... ma BIND - possono sempre esserci uno o più ma - non dispone di un server DHCP che si integra perfettamente con un server DNS in un unico demonee senza la necessità di chiavi TSIG, file di configurazione, database di zone, ecc., come abbiamo visto negli articoli precedenti.

Penso che ormai, i cari lettori avranno capito che non odio BIND o preferisco Dnsmasq a BIND. Discussioni future su di esso sono una totale perdita di tempo, poiché ha molto a che fare con bisogni, richieste, gusti, preferenze e .... ogni soluzione ha il suo fascino ;-).

In scenari simili, consenti a tutti di installare e configurare il software di loro scelta e di cui sanno di più. e che tutto funzioni come previsto.

Vantaggi della combinazione Dnsmasq + Active Directory®

Con questa combinazione abbiamo la gamma completa di risposte alle richieste DNS e un mezzo efficiente per affittare indirizzi IP per la nostra LAN PMI. Come vedremo in seguito, funziona correttamente per qualsiasi situazione relativa al fatto che il computer sia o meno unito al controller di dominio Microsoft® Active Directory®. Inoltre, abbiamo un server DNS e DNS Spedizioniere per eccellenza, oltre a un server DHCP molto veloce. E tutto con poca richiesta di risorse. Vuoi di più?

È possibile Dnsmasq + BIND?

Decisamente sì. Anche se consiglio di installarli su computer diversi in modo che non ci siano collisioni dovute alla tanto amata porta 53 del servizio DNS. Forse vedremo qualcosa al riguardo quando arriveremo all'AD-DC basato su Samba 4. Chi lo sa?

Suggerimenti su Dnamasq

I file di lavoro essenziali per Dnsmasq per fornire servizi DHCP e DNS su una LAN sono: /etc/dnsmasq.conf, / Etc / hosts, /var/lib/misc/dnsmasq.leases e /etc/resolv.conf. Il file dnsmasq.lease viene creato quando si affitta il primo indirizzo IP.
Un altro file di lavoro che puoi utilizzare è / etc / ethers. Se esiste un file di questo tipo, la direttiva leggi-eteri dichiarato nel file di configurazione, dice a Dnsmasq di leggerlo. È molto utile quando ci relazioniamo Indirizzi MAC / nomi host per determinati scopi.
Il servizio DNS può essere completamente disabilitato utilizzando la direttiva port = 0 in dnsmasq.conf.
Il servizio DHCP per una o più interfacce di rete può essere disabilitato dalle direttive -una per ogni linea- no-dhcp-interface = eth0, no-dhcp-interface = eth1, e così via. Molto utile quando ci troviamo di fronte ad un computer con 2 - o più - interfacce di rete e vogliamo che il servizio DHCP sia fornito da una sola di esse oppure da nessuna. Naturalmente, se disabilitiamo il servizio DHCP su tutte le interfacce, lasceremo attivo solo il servizio DNS. Se disabilitiamo entrambi i servizi, perché abbiamo bisogno di Dnsmasq? 
Per dichiarare ad altri DNS Domain Name Server che no sono pubblici o esterni alla LAN -come nel caso di Microsoft DNS- lo facciamo attraverso la direttiva server = / nome dominio / IP server DNS nel file /etc/dnsmasq.conf. Esempio: server = / mordor.fan / 10.10.10.3.
Per dire a Dnsmasq che le domande sui domini locali ricevono risposta solo dal file / Etc / hosts o tramite il tuo DHCP, dobbiamo aggiungere la direttiva local = / localnet / nel file principale della tua configurazione. Esempio: local = / mordor.fan /.
Per configurare correttamente il file /etc/resolv.conf - risolvere suggeriamo di leggere il suo manuale utilizzando il comando uomo resolv.conf. Se installi Debian 8.6 "Jessie" scoprirai che è scritto bene in spagnolo.
Dnsmasq non utilizza i file Zones per rispondere a query dirette o inverse.
Conoscere il significato di ogni campo «speciale»Questo viene utilizzato nella dichiarazione di un record di risorse SRV, consultare BIND e Active Directory®. La sintassi dei record SRV nel file /etc/dnsmasq.conf è il prossimo:
```
srv-host = , , , ,
```

I lettori che vogliono saperne di più, leggono attentamente il file originale /etc/dnsmasq.conf o documenti esistenti nella directory / usr / share / doc / dnsmasq-base.

root @ dns: ~ # ls -l / usr / share / doc / dnsmasq-base /
totale 128 -rw-r - r-- 1 root root 883 5 maggio 2015 copyright -rw-r - r-- 1 root root 36261 5 maggio 2015 changelog.archive.gz -rw-r - r-- 1 root root 11297 5 maggio 2015 changelog.Debian.gz -rw-r - r-- 1 root root 26014 5 maggio 2015 changelog.gz -rw-r - r-- 1 root root 2084 5 maggio 2015 DBus-interface. Gz -rw- r - r-- 1 radice radice 4297 5 maggio 2015 doc.html drwxr-xr-x 2 radice radice 4096 19 febbraio 17:52 esempi -rw-r - r-- 1 radice radice 9721 5 maggio 2015 FAQ.gz -rw -r - r-- 1 root root 4180 5 maggio 2015 README.Debian -rw-r - r-- 1 root root 12019 5 maggio 2015 setup.html

Configuriamo Dnsmasq e Resolver

Come guida iniziale, cambiando nome e così via, ovviamente, prenderemo il file di configurazione utilizzato nell'articolo «Dnsmasq su CentOS 7.3«.

Non dimentichiamo il passaggio successivo:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Indirizzi IP fissi

Gli indirizzi dei server o delle apparecchiature che richiedono un IP fisso entrambi IPv4 come IPv6- sono dichiarati nel file / Etc / hosts:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost # Le seguenti righe sono desiderabili per host compatibili con IPv6: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters # Server e computer con IP fissi. 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8. 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

Creiamo il file /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf# ------------------------------------------------- ------------------ # OPZIONI GENERALI # ---------------------------- - -------------------------------------- dominio necessario # Non passare nomi senza il dominio part bogus-priv # Non passa indirizzi in spazi non instradati expand-hosts # Aggiungi automaticamente il dominio all'interfaccia host = eth0 # Interfaccia. ATTENZIONE all'interfaccia # tranne-interface = eth1 # NON ascoltare questo ordine rigoroso della NIC # Ordine in cui si consulta il file /etc/resolv.conf # Includere molte altre opzioni di configurazione # tramite un file o individuando la configurazione # file aggiuntivi in una directory # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # Relativo al Domain Name domain = mordor.fan # Domain Name # Il Time Server è 10.10.10.1. 10.10.10.1 address = / time.windows.com / XNUMX # Invia un'opzione vuota del valore WPAD. Richiesto per # Windos 7 e client successivi per funzionare correttamente. ;-) dhcp-option = 252, "\ n" # File in cui dichiareremo gli HOSTS che saranno "bannati" addn-hosts = / etc / banner_add_hosts # Consulta il server Microsoft® DNS "sauron" se # lo permettiamo run server = / mordor.fan / 10.10.10.3 # Le domande sui domini locali riceveranno una risposta # da / etc / hosts o tramite DHCP locale = / mordor.fan / # Le domande sui record PTR o Reverse riceveranno una risposta # dai server " dns "e" sauron "in questo ordine server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3 # ------- - ------------------------------------------------- - --------- # REGISTROSCNAMEMXTXT # ------------------------------------- - ----------------------------- # Questo tipo di registrazione richiede una voce # nel file / etc / hosts #, ad esempio: 10.10.0.7. 10 troll.mordor.fan troll # cname = ALIAS, REAL_NAME cname = ad-dc.mordor.fan, sauron.mordor.fan cname = fileserver.mordor.fan, mamba.mordor.fan cname = proxyweb.mordor.fan, darklord .mordor.fan cname = blog.mordor .fan, troll.mordor.fan cname = ftpserver.mordor.fan, shadowftp.mordor.fan cname = mail.mordor.fan, blackelf.mordor.fan cname = www.mordor.fan, blackspider.mordor.fan cname = opendire .mordor.fan, palantir.mordor.fan # RECORD MX # Restituisce un record MX con il nome "mordor.fan" destinato # al team blackelf.mordor.fan e priorità 10 mx-host = mordor.fan, mail. mordor.fan, XNUMX # La destinazione predefinita per i record MX creati # utilizzando l'opzione localmx sarà: mx-target = mail.mordor.fan # Restituisce un record MX che punta a mx-target per TUTTE le # macchine localmx locali # record TXT. Possiamo anche dichiarare un record SPF txt-record=mordor.fan,"v=spf1 a -all" txt-record=mordor.fan,"Benvenuti nella Terra Oscura di Mordor" # ------------------------------------------------------------------- # ------------------------------------------------------------------- # INTERVALLO E SUE OPZIONI # ------------------------------------------------------------------- # Intervallo IPv4 e tempo di lease # Da 1 a 29 sono per server e altre esigenze dhcp-range=10.10.10.30,10.10.10.250,8hdhcp-lease-max = 222 # Numero massimo di indirizzi da affittare
                        # per impostazione predefinita è 150
# Range IPV6 # dhcp-range = 1234 ::, ra-only # Opzioni per RANGE # OPZIONI dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,10.10.10.253 # ROUTER GATEWAY dhcp-option = 6,10.10.10.5. 15 # Server DNS dhcp-option = 19,1, mordor.fan # DNS Domain Name dhcp-option = 28,10.10.10.255 # option ip-forwarding ON dhcp-option = 42,10.10.10.1 # BROADCAST dhcp-option = 40. 41,10.10.10.3 # NTP # dhcp-option = 44,10.10.10.3, MORDOR # NIS Domain Name # dhcp-option = 45,10.10.10.3 # NIS Server # dhcp-option = 73,10.10.10.3 # WINS # dhcp-option = 46,8 # Datagrammi NetBIOS # dhcp-option = XNUMX # Finger Server # dhcp-option = XNUMX # NetBIOS node dhcp-authoritative # DHCP autorevole nella sottorete # ------------- - ------------------------------------------------- - --- # --------------------------------------------- - --------------------- # LOGGING tail -f / var / log / syslog o journalctl -f # ------------ - ------------------------------------------------- - ---- log-queries # ----------------------------------------- - ------------------------- # Re Record A e SRV corrispondenti ad Active Directory # ----------------------------------------- --------------------------
# Registra A
address = / gc._msdcs.mordor.fan / 10.10.10.3 address = / DomainDnsZones.mordor.fan / 10.10.10.3 address = / ForestDnsZones.mordor.fan / 10.10.10.3

# Record CNAME della zona DNS Microsoft _msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# Record SRV
# srv-host = , , , ,

# Catalogo globale # Zona Microsoft DNS _msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan, sauron.mordor.fan, 3268,0,0
# Zona DNS Microsoft mordor.fan
srv-host = _gc._tcp.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan, sauron.mordor.fan .3268,0,0

# LDAP modificato e privato di una Active Directory
# Zona DNS Microsoft _msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# Zona DNS Microsoft mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# KERBEROS modificato e privato da Active Directory
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

# FINE del file /etc/dnsmasq.conf
# ------------------------------------------------- ------------------

Creiamo il file / etc / banner_add_host

[root @ dns ~] # nano / etc /banner_add_host
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq --test
dnsmasq: controllo della sintassi OK.

[root @ dns ~] # systemctl riavvia dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service

Modifichiamo il file /etc/resolv.conf - Resolver

root @ dns: ~ # nano /etc/resolv.conf 
dominio mordor.fan ricerca mordor.fan

Perché non abbiamo le solite righe dichiarate nel file risoluzione.conf? Perché dichiariamo in dnsmasq.conf le seguenti direttive:

# Consultare il server Microsoft® DNS "sauron" se # lo lasciamo funzionare
server = / mordor.fan / 10.10.10.3

# Le domande sui domini locali riceveranno una risposta # da / etc / hosts o tramite DHCP
local = / mordor.fan /

# Le domande sui record PTR o Reverse riceveranno una risposta # dai server "dns" e "sauron" in quest'ordine
server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3

Query da sysadmin.mordor.fan

il file /etc/resolv.conf di questa squadra è:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf
# Generato dalla ricerca di NetworkManager mordor.fan nameserver 10.10.10.5

buzz @ sysadmin: ~ $ host -t A spynet4.microsoft.com
spynet4.microsoft.com ha l'indirizzo 127.0.0.1

buzz @ sysadmin: ~ $ host -t Per www.download.windowsupdate.com
www.download.windowsupdate.com ha l'indirizzo 127.0.0.1

brusio@sysadmin: ~ $ dig dns
buzz @ sysadmin: ~ $ dig dns.mordor.fan
;; SEZIONE DOMANDA :; dns.mordor.fan. IN UN ;; SEZIONE RISPOSTA: dns.mordor.fan. 0 IN A 10.10.10.5

buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs
buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fan ha record SRV 0 0 3268 sauron.mordor.fan.

buzz @ sysadmin: ~ $ dig _ldap._tcp.gc._msdcs.mordor.fan
;; SEZIONE DOMANDA :; _ldap._tcp.gc._msdcs.mordor.fan. IN UN ;; SEZIONE RISPOSTA: _ldap._tcp.gc._msdcs.mordor.fan. 0 IN A 10.10.10.3

buzz @ sysadmin: ~ $ dig mordor.fan axfr
buzz @ sysadmin: ~ $ dig 10.10.10.in-addr.arpa axfr

E in questo modo, quante consultazioni abbiamo bisogno

Dnsmasq + Active Directory® + client Microsoft® Windows

Ridenominazione di un client Microsoft® Windows

sette.mordor.fan indirizzo IP in locazione:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

Rinominiamo il «Sette»-Che non fa parte del dominio Active Directory- da«Eucaliptus«. Dopo la modifica e il riavvio controlliamo:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

La cronologia delle modifiche può essere vista da "sysadmin":

buzz @ sysadmin: ~ $ host -t A sette
seven.mordor.fan ha l'indirizzo 10.10.10.115

Dopo il cambio di nome

buzz @ sysadmin: ~ $ host -t A sette
sette non ha record A.

buzz @ sysadmin: ~ $ host -t A eucaliptus
eucaliptus.mordor.fan ha indirizzo 10.10.10.115

Query dal client eucaliptus.mordor.fan

Microsoft Windows [Versione 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Tutti i diritti riservati.

C: \ Users \ buzz> nslookup
Server predefinito: dns.mordor.fan Indirizzo: 10.10.10.5

> sauron
Server: dns.mordor.fan Indirizzo: 10.10.10.5 Nome: sauron.mordor.fan Indirizzo: 10.10.10.3

> mordor.fan
Server: dns.mordor.fan Indirizzo: 10.10.10.5 Nome: mordor.fan Indirizzo: 10.10.10.3

> eucalipto
Server: dns.mordor.fan Indirizzo: 10.10.10.5 Nome: eucaliptus.mordor.fan Indirizzo: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: dns.mordor.fan Indirizzo: 10.10.10.5 Nome: sauron.mordor.fan Indirizzo: 10.10.10.3 Alias: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> tipo di impostazione = SRV
> _kerberos._udp.mordor.fan
Server: dns.mordor.fan Indirizzo: 10.10.10.5 _kerberos._udp.mordor.fan Posizione del servizio SRV: priorità = 0 peso = 0 porta = 88 svr hostname = sauron.mordor.fan sauron.mordor.fan indirizzo internet = 10.10.10.3. XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
Server: dns.mordor.fan Indirizzo: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan Posizione del servizio SRV: priorità = 0 peso = 0 porta = 389 svr hostname = sauron .mordor.fan sauron.mordor.fan indirizzo Internet = 10.10.10.3

> esci

C: \ Users \ buzz>

Registrazione dei client Windows in Microsoft® DNS

Client Windows non aggiunti al dominio Active Directory®

Dobbiamo controllare se gli indirizzi IP dati in leasing dai diversi client Windows da Dnsmasq sono registrati correttamente in Microsoft® DNS. Può influenzare il modo in cui attiviamo gli aggiornamenti dinamici - Aggiornamenti dinamici nelle zone DNS di Microsoft® di Active Directory®. Partiamo dalla configurazione predefinita di Microsoft DNS che consente solo Secure Dynamic Updates - Aggiornamenti dinamici -> Solo protetto, in ciascuna delle sue zone.

Nota che il client con il file current FQDN eucalyptus.mordor.fan no è collegato al dominio Active Directory (o un Samba4 AD-DC) ed è un'eccezione alla regola di Microsoft che «Solo i clienti registrati in My Domain avranno il permesso tramite il My Update Mechanism, che conosco solo io, di registrarsi in My DNS«. Meno male che Samba4 AD-DC ci insegna qualcosa al riguardo.

eucalipto.mordor.fan IP in locazione 10.10.10.115:

buzz @ sysadmin: ~ $ host -t A eucaliptus
eucaliptus.mordor.fan ha indirizzo 10.10.10.115

Cambiamo il suo nome in «mogano«, Riavviamo Windows 7 e vediamo cosa succede quando chiediamo i nomi«Eucaliptus"E"mogano»A ciascuno dei DNS, prima a Microsoft DNS e poi a Dnsmasq:

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.3
Utilizzo del server di dominio: Nome: 10.10.10.3 Indirizzo: 10.10.10.3 # 53 Alias: 

Host eucaliptus.mordor.fan non trovato: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mogany.mordor.fan 10.10.10.3
Utilizzo del server di dominio: Nome: 10.10.10.3 Indirizzo: 10.10.10.3 # 53 Alias: 

Host mahogany.mordor.fan non trovato: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.5
Utilizzo del server di dominio: Nome: 10.10.10.5 Indirizzo: 10.10.10.5 # 53 Alias: 

Host eucaliptus.mordor.fan non trovato: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mogany.mordor.fan 10.10.10.5
Utilizzo del server di dominio: Nome: 10.10.10.5 Indirizzo: 10.10.10.5 # 53 Alias: 

mahogany.mordor.fan ha l'indirizzo 10.10.10.115

Possiamo cambiare il nome del client Windows 7 che no è allegato al dominio mordor.fan di Active Directory® tutte le volte che vogliamo, che il DNS di Microsoft® non venga a conoscenza di queste modifiche o che esista un tale client. È possibile che sia solo perché abbiamo selezionato l'opzione Aggiornamenti dinamici -> Solo protetto in ogni zona del DNS Micorosft?.

Affinché Mr. Microsoft® DNS sia a conoscenza delle modifiche, dobbiamo selezionare Aggiornamenti dinamici -> Non sicuro e protetto. Questa opzione, cari lettori, implica una significativa vulnerabilità della sicurezza di qualsiasi Domain Name Server rispettato, sia esso Microsft® o UNIX® / Linux. Il DNS di Microsoft® mette in guardia sulla vulnerabilità perché alla fine non è altro che un BIND modificato e privatizzato da offrirci «Sicurezza per l'oscurità«. In caso contrario, perché consigli di salvare sul tuo famoso Iscriviti tutte le impostazioni DNS ei record del tuo Microsoft® DNS quando implementiamo Active Directory®?. Oltre a supportare aggiornamenti non sicuri per Microsoft® DNS, è necessaria la seguente modifica nella configurazione della scheda di rete del client Windows 7:

Controlliamo:

buzz @ sysadmin: ~ $ host -t A mogany.mordor.fan 10.10.10.3
Utilizzo del server di dominio: Nome: 10.10.10.3 Indirizzo: 10.10.10.3 # 53 Alias: mahogany.mordor.fan ha l'indirizzo 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.3
Utilizzo del server di dominio: Nome: 10.10.10.3 Indirizzo: 10.10.10.3 # 53 Alias: 115.10.10.10.in-addr.arpa puntatore del nome di dominio mahogany.mordor.fan.

buzz @ sysadmin: ~ $ host -t A mogano 10.10.10.5
Utilizzo del server di dominio: Nome: 10.10.10.5 Indirizzo: 10.10.10.5 # 53 Alias: mahogany.mordor.fan ha l'indirizzo 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.5
Utilizzo del server di dominio: Nome: 10.10.10.5 Indirizzo: 10.10.10.5 # 53 Alias: 115.10.10.10.in-addr.arpa puntatore del nome di dominio mahogany.mordor.fan.

Si Adesso. Che bel sincronismo per due server DNS non sincronizzati in alcun modo!

Client Windows aggiunti al dominio Active Directory®

Uniamo il cliente mogano.mordor.fan al Dominio, ma non prima di aver eliminato la modifica che abbiamo fatto nella configurazione della tua scheda di rete, se in qualsiasi momento lo abbiamo fatto per verificare nient'altro il punto del capitolo precedente. Elimina anche la voce per «mogano»In Microsoft® DNS e riporta gli aggiornamenti dinamici al loro punto di origine di «Solo sicuro«. A proposito, è valido riavviare il servizio Microsoft® DNS.

Dopo l'adesione al dominio, e nonostante tutti i nostri sforzi, il cliente «mogano»Non è registrato in Microsoft® DNS. Abbiamo anche dichiarato nel dnsmasq.conf -temporaneo- che il primo server DNS sia 10.10.10.3.

Microsoft Windows [Versione 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Tutti i diritti riservati.

C: \ Users \ saruman> ipconfig / all

Nome host di configurazione IP di Windows. . . . . . . . . . . . : Suffisso Dns primario MOGANO. . . . . . . : mordor.fan Tipo di nodo. . . . . . . . . . . . : Routing IP ibrido abilitato. . . . . . . . : Nessun proxy WINS abilitato. . . . . . . . : Nessun elenco di ricerca suffisso DNS. . . . . . : mordor.fan Adattatore Ethernet Connessione alla rete locale: suffisso DNS specifico per la connessione. : mordor.fan Descrizione. . . . . . . . . . . : Indirizzo fisico della connessione di rete Intel (R) PRO / 1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP abilitato. . . . . . . . . . . : Sì Autoconfigurazione abilitata. . . . : Sì Indirizzo IPv6 link-local. . . . . : fe80 :: 352a: b954: 7eba: 963e% 12 (Preferito) Indirizzo IPv4. . . . . . . . . . . : 10.10.10.115 Subnet mask (preferita). . . . . . . . . . . : 255.255.255.0 Leasing ottenuto. . . . . . . . . . : Sabato 25 febbraio 2017 8:19:05 Scadenza del contratto di locazione. . . . . . . . . . : Sabato 25 febbraio 2017 4:20:36 Gateway predefinito. . . . . . . . . : 10.10.10.253 Server DHCP. . . . . . . . . . . : 10.10.10.5 DHCPv6 IAID. . . . . . . . . . . : 251661353 DUID client DHCPv6. . . . . . . . : 00-01-00-01-20-3B-69-81-00-0C-29-D6-14-36

   Server DNS. . . . . . . . . . . : 10.10.10.3
                                       10.10.10.5
   NetBIOS su Tcpip. . . . . . . . : Adattatore Tunnel abilitato isatap.mordor.fan: stato del supporto. . . . . . . . . . . : Supporto disconnesso Suffisso DNS specifico per la connessione. : mordor.fan Descrizione. . . . . . . . . . . : Indirizzo fisico dell'adattatore Microsoft ISATAP. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP abilitato. . . . . . . . . . . : Nessuna configurazione automatica abilitata. . . . : Sì Adattatore tunnel Connessione alla rete locale * 9: Stato supporto. . . . . . . . . . . : Supporto disconnesso Suffisso DNS specifico per la connessione. : Descrizione. . . . . . . . . . . : Indirizzo fisico della scheda di tunneling Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP abilitato. . . . . . . . . . . : Nessuna configurazione automatica abilitata. . . . : E questo è

C: \ Users \ saruman>

buzz @ sysadmin: ~ $ host -t A mogany.mordor.fan 10.10.10.3
Utilizzo del server di dominio: Nome: 10.10.10.3 Indirizzo: 10.10.10.3 # 53 Alias: host caoba.mordor.fan non trovato: 3 (NXDOMAIN)

brusio@sysadmin: ~ $ host -t To mogany.mordor.fan
mahogany.mordor.fan ha l'indirizzo 10.10.10.115

L'unico modo in cui il cliente è registrato «mogano»Nel Microsft® DNS sta modificando la scheda di rete come indicatoó nell'immagine precedente, cioè affermando esplicitamente che: il suffisso DNS per la connessione è mordor.fan, che registra l'indirizzo della connessione in DNS e che utilizza il suffisso DNS dichiarato durante la registrazione della connessione.

buzz @ sysadmin: ~ $ host -t A mogany.mordor.fan 10.10.10.3
Utilizzo del server di dominio: Nome: 10.10.10.3 Indirizzo: 10.10.10.3 # 53 Alias: mahogany.mordor.fan ha l'indirizzo 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mogany.mordor.fan
mahogany.mordor.fan ha l'indirizzo 10.10.10.115

Cambiamo il nome da "mogano" a "cedro"

buzz @ sysadmin: ~ $ host -t A mogany.mordor.fan 10.10.10.3
Utilizzo del server di dominio: Nome: 10.10.10.3 Indirizzo: 10.10.10.3 # 53 Alias: host caoba.mordor.fan non trovato: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A cedar.mordor.fan 10.10.10.3
Utilizzo del server di dominio: Nome: 10.10.10.3 Indirizzo: 10.10.10.3 # 53 Alias: cedro.mordor.fan ha l'indirizzo 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mogany.mordor.fan 10.10.10.5
Utilizzo del server di dominio: Nome: 10.10.10.5 Indirizzo: 10.10.10.5 # 53 Alias: host caoba.mordor.fan non trovato: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A cedar.mordor.fan 10.10.10.5
Utilizzo del server di dominio: Nome: 10.10.10.5 Indirizzo: 10.10.10.5 # 53 Alias: cedro.mordor.fan ha l'indirizzo 10.10.10.115

E tutto normale, poiché i client Microsoft® e Microsoft® DNS amano le cose.

Lavoriamo con Microsoft® DHCP e Microsoft® DNS

Cari lettori, questo capitolo è fuori dal contesto di un blog dedicato al Software Libero. Consulta la guida di Microsoft®. Non credi? 

Conclusioni

Esistono diversi modi per lavorare con Microsoft® DNS quando lo facciamo vivere in una rete di PMI con Dnsmasq. Tra questi menzioneremo solo i seguenti:

Arrestare completamente il servizio Microsoft® DNS sul computer in cui è in esecuzione, indicando dopo che l'avvio del servizio è disabilitato. Deseleziona nella configurazione della scheda di rete di ogni client Microsoft® l'opzione per registrare l'indirizzo della connessione in DNS. Rimuovi dal file /etc/dnsmasq.conf Direttiva server = / mordor.fan / 10.10.10.3. note: :
- Anche se le domande sui record non ricevono risposta SOA y NS, la rete funzionerà correttamente, così come l'unione dei diversi client -Microsoft® e Linux- al dominio Active Directory®.
- Ha il vantaggio che nella LAN SME ci sarà solo un Domain Name Server -machote- e sarà Dnsmasq. ;-). D'altra parte, viene eliminata la possibilità di incongruenze tra i record DNS archiviati in Microsoft® DNS e quelli disponibili tramite Dnsmasq.
Lascia Microsoft® DNS in esecuzione per rispondere solo alle query DNS sui record SOA e NS. Notas:
- Modificare la configurazione della scheda di rete di ogni client Windows, deselezionando l'opzione per registrare l'indirizzo di connessione in DNS.
- Pensiamo che questa soluzione è uno spreco di risorse.
Configura i servizi come abbiamo visto in tutto l'articolo, che mostra una soluzione più gradita alla filosofia Microsoft® -non FreeBSD / Linux- Ok?.

Riassunto

La proposta di Microsoft® DNS è molto chiusa. Non lascia spazio ad altre soluzioni che non siano in accordo con la sua filosofia ermetica.
Madre Natura ci insegna che esistiamo in un universo diverso. La cosa normale è avere una LAN mista, in movimento verso il Software Libero e ricca di vita e varietà.
Sembra che per Microsoft® i clienti che non aderiscono alla sua filosofia siano emarginati e quindi non dovrebbero preoccuparsi di prenderli in considerazione.
Quanto è difficile lavorare con il software privato! Preferisco dedicare un po 'di lavoro alla configurazione del Software Libero ed essere veramente Libero, dannazione!

"Il miglior criterio di verità è la pratica".

DesdeLinux

Dnsmasq e Active Directory - Reti di PMI