Dnsmasq ו- Active Directory - רשתות SME

אינדקס כללי של הסדרה: רשתות מחשבים עבור חברות קטנות ובינוניות: מבוא

שלום חברים!. כדי להבין ולבצע נכון את המאמר הזה חיוני קריאת קודמיו:

הם מסבירים מושגים תיאורטיים ומעשיים אליהם לא נתייחס בזה. נשנה את התפלגות השנה הנוכחית ל- דביאן 8.6 "ג'סי" ונמשיך באותם פרמטרים בהם אנו משתמשים BIND ו- Active Directory®.

  • ההליך המתואר בהודעה זו תקף גם עבור CentOS 7. קובץ התצורה / etc / dnsmasq זהה. אני מצהיר על כך מכיוון שלדעתי מיותר להכין מאמר נפרד ל- Dnsmasq ו- Active Directory® מבוסס על CentOS. למרבה המזל, הספריות הקשורות לתיעוד ותצורה זהות. 😉
  • Dnsmaq הוא יצירה של סיימון קלי

מגבלות השימוש ב- Dnsmasq

בשל חשיבותו אנו חוזרים על ה גבולות התומך ב- Dnsmasq -run איש דנסמסק- שמשקף בדיוק הבא:

גבולות

  • ערכי ברירת המחדל עבור מגבלות משאבים הם בדרך כלל שמרניים ומתאימים לשימוש במכשירים מסוג נתב. תקוע עם מעבדים איטיים וזיכרון נמוך. בחומרה יותר  מסוגלים, ניתן להגדיל את הגבולות ולתמוך בעוד רבים לקוחות. הדברים הבאים חלים על dnsmasq-2.37: גרסאות קודמות לא הם טיפסו כל כך טוב.
  • Dnsmasq מסוגלת לתמוך ב- DNS ו- DHCP לפחות אלף (1,000) לקוחות. זמני הליסינג לא צריכים להיות קצרים מדי (פחות מאחד זְמַן). ניתן להגדיל את הערך של –dns-forward-max: התחל עם המקבילה למספר הלקוחות ולהגדיל אותה אם DNS. שים לב שביצועי DNS תלויים גם בשרתים DNS במעלה הזרם. ניתן להגדיל את גודל מטמון ה- DNS: המגבלה חובה הוא 10,000 שמות וברירת המחדל (150) נמוכה מאוד. שליחת SIGUSR1 ל- dnsmasq מייצרת מידע על סיביות שימושי לכוונון עדין של גודל המטמון. לפרטים ראה סעיף הערות.
  • שרת ה- TFTP המובנה מסוגל לתמוך בהעברות מרובות קבצים בו זמנית: המגבלה המוחלטת קשורה למספר ידיות הקבצים המותרות לתהליך ויכולת המערכתtem call select () כדי לתמוך במספרים גדולים של ידיות קבצים. אם המגבלה מוגדרת גבוהה מדי עם –tftp-max היא תוקטן והגבול בפועל יישעון בעת ​​ההפעלה. שימו לב שעוד העברות אפשרי כאשר אותו קובץ נשלח מה כאשר כל טרנסferencia שולח קובץ אחר. אפשר להשתמש ב- dnsmasq כדי לשלול פרסום באינטרנט באמצעות רשימה של שרתי באנרים ידועים, כולם נפתחים ל- 127.0.0.1 או 0.0.0.0 ב- / etc / hosts או בקובץ מארחים נוסף. הרשימה יכולה להיות ארוך מאוד. Dnsmasq נבדק בהצלחה עם מיליון שמות. גודל הקובץ הזה זקוק למעבד של 1 GHz ובערךזיכרון RAM של 60 מגה-בתים.
  • Dnsmasq מסוגלת לתמוך ב- DNS ו- DHCP לפחות אלף (1,000) לקוחות.

בואו להתקין ולהגדיר את ג'סי ודנסמסק

נתחיל בהתקנה חדשה ונקייה של שרת על בסיס דביאן 8 "ג'סי". כלומר, מערכת ההפעלה ללא ממשק גרפי או חבילה אחרת המותקנת. פרמטרי הרשת יהיו זהים לאלה המשמשים במאמר BIND ו- Active Directory®:

שם מתחם mordor.fan רשת LAN 10.10.10.0/24 ============================================ ============================================ שרתי מטרת כתובת IP (שרתים עם מערכת הפעלה Windows ) ==================================================== = =================================
sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2
mamba.mordor.fan. 10.10.10.4 שרת הקבצים של Windows
dns.mordor.fan 10.10.10.5 שרת DnsMasq ב- Jessie
darklord.mordor.fan. 10.10.10.6 פרוקסי, שער וחומת אש ב- Kerios troll.mordor.fan. 10.10.10.7 בלוג מבוסס על ... לא זוכר shadowftp.mordor.fan. 10.10.10.8 שרת FTP blackelf.mordor.fan. 10.10.10.9 שירות דואר אלקטרוני מלא blackspider.mordor.fan. 10.10.10.10 שירות WWW palantir.mordor.fan. 10.10.10.11 צ'אט ב- Openfire עבור Windows Real CNAME ================================= sauron ad-dc mamba fileserver darklord proxyweb troll blog צלפטפ. ftpserver. blackelf דואר blackspider www

הגדרות שרת dns.mordor.fan הראשוניות

root @ dns: ~ # nano / etc / hostname
DNS

root @ dns: ~ # nano / etc / hosts
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # השורות הבאות רצויות עבור מארחים מסוג IPv6 :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

root @ dns: ~ # ננו / וכו '/ רשת / ממשקים
# קובץ זה מתאר את ממשקי הרשת הזמינים במערכת שלך וכיצד להפעיל אותם. למידע נוסף ראה ממשקים (5). מקור /etc/network/interfaces.d/* # ממשק רשת loopback אוטומטי lo iface lo inet loopback # ממשק הרשת העיקרי מאפשר לחבר את החם eth0 iface eth0 כתובת סטטית inet 10.10.10.5 netmask 255.255.255.0 רשת 10.10.10.0 שידור 10.10.10.255. 10.10.10.1 gateway 127.0.0.1 # dns- * אפשרויות מיושמות על ידי חבילת resolvconf, אם dns-nameservers מותקנים XNUMX dns-search mordor.fan

בואו להתקין את ה- Dnsmasq ואת ה- htop

root @ dns: ~ # aptitude התקן את dnsmasq htop

לאחר התקנת החבילה Htop אנחנו יכולים לבדוק את המעבד ואת צריכת הזיכרון של הציוד. זה היה רק ​​כ 71 מגה בייט של זיכרון RAM. אם אנחנו רוצים להוריד את הצריכה עוד יותר, אנחנו יכולים להתקין את החבילה SSMTP -פָּשׁוּט MTA- שבתורו מטהר את החבילה Exim4 שדביאן תמיד מתקין כברירת מחדל ואנחנו ממש לא צריכים לפי השימוש שנעניק לשרת זה:

root @ dns: ~ # aptitude להתקין ssmtp
root @ dns: ~ # טיהור כושר ~ ג
root @ dns: ~ # aptitude נקי
root @ dns: ~ # aptitude autoclean
root @ dns: ~ אתחול מחדש של systemctl

לאחר הפעלת המחשב מחדש, הצריכה היא כדלקמן: Dnsmasq ו- Active Directory

 

נמוך, נכון? בוא נמשיך הלאה.

בואו נציין ש- Dnsmasq מתייעץ גם עם Microsft® DNS

כדי לבדוק את תצורות Dnsmasq האפשריות במחשב שלך dns.mordor.fan, עלינו לכלול הצהרה המצביעה על התייעצות עם ה- DNS של Microsoft של השרת sauron.mordor.fan. אנחנו יכולים לעשות את זה כולל ההנחיה שרת = / mordor.fan / 10.10.10.3 בארכיון dnsmasq.conf -כפי שנראה מאוחר יותר- או להוסיף את השורה 10.10.10.3 nameserver בארכיון / Etc / resolv.conf. מכיוון שעדיין לא הגדרנו את ה- Dnsmasq בהתאם לצרכים שלנו, אנו בוחרים בדרך השנייה:

root @ dns: ~ # nano /etc/resolv.conf
תחום mordor.fan
127.0.0.1 nameserver
10.10.10.3 nameserver

כעת נוכל לפתור שאילתות DNS

עם תצורת ברירת המחדל של Dnsmasq המסופקת על ידי הקובץ הראשי שלה /etc/dnasmq.conf, ועם מה שמוצהר בתיק / Etc / resolv.conf מהשרת עצמו «DNS«, כל לקוח המחובר לרשת LAN - והצהיר עליו כשרת DNS dns.mordor.fan- באפשרותך לפתור שאילתות DNS על חשבון Microsoft® DNS לעת עתה…

  • חשוב מאוד לבדוק את מהירות התגובה של ה- Dnsmasq בעת הצגת מעמדו כ- משלח רק על ידי הכללת ה- IP 10.10.10.3 בקובץ שלך / Etc / resolv.conf.

מתחנת העבודה הניהולית שלי ותמיכה בכל האביזרים שדרכם אני כותב, אני מריץ:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# נוצר על ידי NetworkManager דומיין mordor.fan שרת שמות 10.10.10.5

buzz @ sysadmin: ~ $ nslookup
> DNS
שרת: 10.10.10.5 כתובת: 10.10.10.5 # 53 שם: dns.mordor.fan כתובת: 10.10.10.5

> סאורון
שרת: 10.10.10.5 כתובת: 10.10.10.5 # 53

תשובה לא סמכותית:
שם: sauron.mordor.fan כתובת: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
שרת: 10.10.10.5 כתובת: 10.10.10.5 # 53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan שם קנוני = sauron.mordor.fan. שם: sauron.mordor.fan כתובת: 10.10.10.3

> 10.10.10.3
שרת: 127.0.0.1 כתובת: 127.0.0.1 # 53 3.10.10.10.in-addr.arpa name = sauron.mordor.fan.

> 10.10.10.9
שרת: 127.0.0.1 כתובת: 127.0.0.1 # 53 9.10.10.10.in-addr.arpa name = blackelf.mordor.fan.

> 10.10.10.5
שרת: 127.0.0.1 כתובת: 127.0.0.1 # 53 5.10.10.10.in-addr.arpa name = dns.mordor.fan.

> דואר
שרת: 10.10.10.5 כתובת: 10.10.10.5 # 53 תשובה לא סמכותית: mail.mordor.fan שם קנוני = blackelf.mordor.fan. שם: blackelf.mordor.fan כתובת: 10.10.10.9> יציאה

buzz @ sysadmin: ~ $

בואו נסתכל מקרוב על ההיבטים הבאים:

  • dns.mordor.fan עונה ישירות על שאילתות DNS שהיא יכולה לפתור בהתאם להגדרות Dnsmasq הנוכחיות שלך. אם אתה לא מצליח לפתור אותם, זה עובד כמו משלח ושואל IP 10.10.10.3 אם הוא יכול לענות על השאילתה. כשנשאלתי לגבי ה- IP של הציוד «DNS", הוא עונה ישירות. כאשר שואלים את הדנסמסק מי זה «סאורון",?, עושה העברה אל 10.10.10.3 -אתה לא יכול לענות ישירות כי עדיין לא רשמת את זה- מי מחזיר תשובה לא סמכותית נכונה.
  • כשנשאל מי זה «03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan"?, כן העברה שוב והפעם תקבל תגובה סמכותית מ- Microsoft® DNS.
  • מהירות התגובה הגבוהה של Dnsmasq לכל סוג שאילתה.

הם פרטים קטנים שעושים אהבה נהדרת ;-).

ההבדלים הבסיסיים בין Dnsmasq ו- BIND משולבים ב- Active Directory®

בואו להריץ כמה שאילתות DNS ברשומות SOA y NS של התחום mordor.fan, לכל אחד משרתי השמות המעורבים:

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.3
שימוש בשרת תחום: שם: 10.10.10.3 כתובת: 10.10.10.3 # 53 כינויים: 
ל- mordor.fan שיא SOA sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.5
שימוש בשרת תחום: שם: 10.10.10.5 כתובת: 10.10.10.5 # 53 כינויים: 
ל- mordor.fan שיא SOA sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.5
שימוש בשרת תחום: שם: 10.10.10.5 כתובת: 10.10.10.5 # 53 כינויים: 
שרת שמות mordor.fan sauron.mordor.fan.

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.3
שימוש בשרת תחום: שם: 10.10.10.3 כתובת: 10.10.10.3 # 53 כינויים: 
שרת שמות mordor.fan sauron.mordor.fan.

התשובות זהות - וזה הגיוני - כי תמיד תגובה sauron.mordor.fan. לפני שאילתת DNS על רשומות SOA o NS, למרות נראה מה הוא עונה dns.mordor.fan. עם זאת זה שונה ממה שרואים במאמר BIND ו- Active Directory® שם הסרנו לחלוטין את הפונקציונליות של Microsoft® DNS. במאמר זה כל שאילתות DNS אודות מרחב השמות של דומינו mordor.fan ה- BIND ענה להם, כי הגדרנו את זה כך, ומכיוון שה- BIND אכן עונה על שאילתות SOA y NS בנוסף להתרת התוכנית מאסטר - עבד, העברת אזורים וכו ', ולכן זהו שרת DNS שלם יותר - מורכב.

אולי אלה ההבדלים העיקריים בין ה- DNS של ה- Dnsmasq ל- BIND ... אבל ל- BIND - תמיד יכול להיות אחד או יותר אך אין לו שרת DHCP שמשתלב בצורה חלקה עם שרת DNS ב יחיד שחר, וללא צורך במפתחות TSIG, קבצי תצורה, מסדי נתונים של Zone וכו ', כפי שראינו במאמרים קודמים.

  • אני חושב שעד עכשיו הקוראים היקרים יבינו שאני לא שונא את BIND וגם לא מעדיף את Dnsmasq על ה- BIND. דיונים עתידיים בנושא זה הם בזבוז זמן מוחלט, שכן יש לזה הרבה קשר לצרכים, דרישות, טעמים, העדפות ו .... לכל פיתרון יש את הקסם שלו ;-).
  • בתרחישים דומים, תנו לכולם להתקין ולהגדיר את התוכנה לפי בחירתם וכי הם יודעים יותר על כך. ושהכל עובד כמצופה.

יתרונות השילוב Dnsmasq + Active Directory®

בעזרת שילוב זה יש לנו את מגוון התגובות השלם לשאילתות DNS ואמצעי יעיל להשכרת כתובות IP עבור LAN ה- SME שלנו. כפי שנראה בהמשך, הוא פועל כהלכה בכל מצב הנוגע לשאלה אם המחשב מחובר לבקר התחום של Microsoft® Active Directory®. בנוסף, יש לנו שרת DNS ו- DNS משלח par excellence, בתוספת שרת DHCP מהיר מאוד. והכל עם ביקוש מועט למשאבים. אתה רוצה עוד?

האם זה אפשרי Dnsmasq + BIND?

בהחלט כן. למרות שאני ממליץ להתקין אותם במחשבים שונים כדי שלא יהיו התנגשויות בגלל היציאה 53 האהובה ביותר של שירות ה- DNS. אולי ואנחנו נראה משהו על זה כשנגיע ל- AD-DC מבוסס סמבה 4. מי יודע?

טיפים לגבי Dnamasq

  • קבצי העבודה החיוניים עבור Dnsmasq לספק שירותי DHCP ו- DNS ברשת LAN הם: /etc/dnsmasq.conf, / Etc / hosts, /var/lib/misc/dnsmasq.leases, ו / Etc / resolv.conf. הקובץ dnsmasq.leases הוא נוצר כאשר אתה משכיר את כתובת ה- IP הראשונה שלך.
  • קובץ תפקיד נוסף שתוכלו להשתמש בו הוא / וכו '/ אתרים. אם קיים קובץ כזה, ההנחיה קוראי קריאה הוכרז בתיק התצורה, אומר לדנסמסק לקרוא אותו. זה מאוד שימושי כשאנחנו מתייחסים כתובות MAC / שמות מארחים למטרות מסוימות.
  • ניתן להשבית לחלוטין את שירות ה- DNS באמצעות ההנחיה port = 0 ב dnsmasq.conf.
  • ניתן להשבית שירות DHCP עבור ממשק רשת אחד או יותר על ידי הוראות - אחת לכל קו- no-dhcp-interface = eth0, no-dhcp-interface = eth1, וכולי. מאוד שימושי כשאנחנו מול צוות עם 2 ממשקי רשת - או יותר ואנחנו רוצים ששירות ה- DHCP יינתן רק על ידי אחד מהם או על ידי אף אחד. כמובן שאם נשבית את שירות DHCP עבור כל הממשקים, נעזוב את שירות ה- DNS פועל רק. אם אנו משביתים את שני השירותים, מדוע אנו זקוקים לדנסמסק? 😉
  • להצהיר בפני שרתי שמות דומיין DNS אחרים כי לא הם ציבוריים או חיצוניים לרשת LAN - כמו במקרה של DNS של מיקרוסופט - אנו עושים זאת באמצעות ההנחיה שרת = / שם תחום / IP שרת DNS בארכיון /etc/dnsmasq.conf. דוגמה: שרת = / mordor.fan / 10.10.10.3.
  • כדי לומר לדנסמסק כי שאילתות לגבי תחומים מקומיים נענות רק מהקובץ / Etc / hosts או באמצעות ה- DHCP שלך, עלינו להוסיף את ההנחיה מקומי = / localnet / בקובץ הראשי של התצורה שלך. דוגמא: מקומי = / mordor.fan /.
  • להגדרת תצורה נכונה של הקובץ / Etc / resolv.conf - מזהה אנו ממליצים לקרוא את המדריך שלו באמצעות הפקודה איש resolv.conf. אם תתקין את Debian 8.6 "ג'סי" תגלה שהוא כתוב היטב בספרדית.
  • Dnsmasq אינו משתמש בקבצי Zones כדי לענות על שאילתות ישירות או הפוכות.
  • לדעת את המשמעות של כל תחום «מיוחד»המשמש בהצהרה על רשומת משאבים של SRV, עליכם להתייעץ BIND ו- Active Directory®. התחביר של רשומות ה- SRV בקובץ /etc/dnsmasq.conf זה כדלקמן:
    srv-host = , , , ,

קוראים המעוניינים לדעת יותר, אנא קראו היטב את הקובץ המקורי /etc/dnsmasq.conf או מסמכים קיימים בספרייה / usr / share / doc / dnsmasq-base.

root @ dns: ~ # ls -l / usr / share / doc / dnsmasq-base /
סה"כ 128 -rw-r - r-- 1 שורש שורש 883 5 במאי 2015 זכויות יוצרים -rw-r - r-- 1 שורש שורש 36261 5 2015 מאי 1 changelog.archive.gz -rw-r - r-- 11297 שורש שורש 5 2015 במאי 1 changelog.Debian.gz -rw-r - r-- שורש שורש 26014 5 מאי 2015 changelog.gz -rw-r - r-- שורש שורש 1 2084 מאי 5 ממשק DBus. Gz -rw- r - r-- 2015 שורש שורש 1 4297 במאי 5 doc.html drwxr-xr-x 2015 שורש שורש 2 פברואר 4096 19:17 דוגמאות -rw-r - r-- 52 שורש שורש 1 9721 במאי 5 שאלות נפוצות.gz -rw -r - r-- שורש שורש 2015 1 4180 במאי 5 README.Debian -rw-r - r-- 2015 שורש שורש 1 12019 במאי 5 setup.html

בואו להגדיר את Dnsmasq ואת Resolver

ניקח כמדריך ראשוני - שינוי שמות ואחרים, כמובן - את קובץ התצורה המשמש במאמר «Dnsmasq ב- CentOS 7.3".

אל לנו לשכוח את הצעד הבא:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

כתובות IP קבועות

כתובות השרתים או הציוד שדורשים IP קבוע IPv4 כמו IPv6- מוכרזים בתיק / Etc / hosts:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost # השורות הבאות רצויות עבור מארחים מסוג IPv6 :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters # שרתים ומחשבים עם כתובות IP קבועות. 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8. 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

בואו ניצור את הקובץ /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf
# --------------------------------------------------------- ------------------ # אפשרויות כלליות # ---------------------------- - -------------------------------------- דרוש תחום # אל תעביר שמות ללא הדומיין part bogus-priv # אל תעביר כתובות במרחבים לא מנוהלים הרחב מארח # הוסף תחום אוטומטית לממשק המארח = eth0 # ממשק  היזהר מהממשק # למעט ממשק = eth1 # אל תקשיב לסדר הקפדני הזה ב- NIC # סדר בו אתה מתייעץ עם קובץ /etc/resolv.conf # כלול אפשרויות תצורה רבות נוספות # דרך קובץ או על ידי איתור התצורה קבצים נוספים בספריה # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # מתייחס לתחום שם הדומיין = mordor.fan # שם דומיין # שרת הזמן הוא 10.10.10.1. 10.10.10.1 address = / time.windows.com / XNUMX # שולח אפשרות ריקה בערך WPAD.  נדרש ללקוחות # Windos 7 ואילך להתנהג כראוי.  ;-) dhcp-option = 252, "\ n" # קובץ שבו אנו נכריז על ה- HOSTS שיהיו "אסורים" addn-hosts = / etc / banner_add_hosts # התייעץ עם שרת ה- DNS של Microsoft® "sauron" אם # אנו נותנים לזה הפעל שרת = / mordor.fan / 10.10.10.3 # שאילתות לגבי תחומים מקומיים ייענו # מאת / etc / hosts או דרך DHCP מקומי = / mordor.fan / # שאילתות לגבי PTR או רשומות הפוכות ייענו על ידי השרתים ". dns "ו-" sauron "בשרת ההזמנה הזה = / 10.10.10.in-addr.arpa / 10.10.10.5 שרת = / 10.10.10.in-addr.arpa / 10.10.10.3 # ------- - ------------------------------------------------- - --------- # REGISTROSCNAMEMXTXT # ------------------------------------- - ---------------------------- # סוג זה של רישום מחייב הזנת מספר בקובץ / etc / hosts # למשל: 10.10.0.7. 10 troll.mordor.fan טרול # cname = ALIAS, REAL_NAME cname = ad-dc.mordor.fan, sauron.mordor.fan cname = fileserver.mordor.fan, mamba.mordor.fan cname = proxyweb.mordor.fan, darklord .mordor.fan cname = blog.mordor .fan, troll.mordor.fan cname = ftpserver.mordor.fan, shadowftp.mordor.fan cname = mail.mordor.fan, blackelf.mordor.fan cname = www.mordor.fan, blackspider.mordor.fan cname = opendire .mordor.fan, palantir.mordor.fan # MX RECORDS # מחזירה רשומת MX ​​בשם "mordor.fan" המיועדת # לצוות blackelf.mordor.fan ועדיפות של 10 mx-host = mordor.fan, דואר. mordor.fan, XNUMX # יעד ברירת המחדל עבור רשומות MX שנוצרו # באמצעות האפשרות localmx יהיה: mx-target = mail.mordor.fan # מחזיר רשומת MX ​​המפנה אל היעד mx עבור כל # מכונות localmx המקומיות # רשומות TXT. 

dhcp-lease-max = 222 # מספר כתובות מקסימלי לחכירה
                        # כברירת מחדל היא 150
# IPV6 טווח # dhcp-range = 1234 ::, ra-only # אפשרויות לטווח # אפשרויות dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,10.10.10.253 # ROUTER GATEWAY dhcp-option = 6,10.10.10.5. 15 # שרתי DNS dhcp-option = 19,1, mordor.fan # DNS Domain Domain dhcp-option = 28,10.10.10.255 # option ip-forwarding ON dhcp-option = 42,10.10.10.1 # BROADCAST dhcp-option = 40. 41,10.10.10.3 # NTP # dhcp-option = 44,10.10.10.3, MORDOR # NIS שם תחום # dhcp-option = 45,10.10.10.3 # שרת NIS # dhcp-option = 73,10.10.10.3 # WINS # dhcp-option = 46,8 # תרשימי נתונים של NetBIOS # dhcp-option = XNUMX # שרת אצבעות # dhcp-option = XNUMX # צומת NetBIOS dhcp-סמכותי # DHCP סמכותי ברשת המשנה # ------------- - ------------------------------------------------- --- # ---------------------------------------------------- --------------------- # LOGGING זנב -f / var / log / syslog או journalctl -f # ------------- ------------------------------------------------- - ---- יומן שאילתות # ----------------------------------------- ------------------------- # מחדש רשומות A ו- SRV המתאימות ל- Active Directory # ----------------------------------------- --------------------------
# רשומות א
כתובת = / gc._msdcs.mordor.fan / 10.10.10.3 כתובת = / DomainDnsZones.mordor.fan / 10.10.10.3 כתובת = / ForestDnsZones.mordor.fan / 10.10.10.3

# רשומת CNAME של אזור ה- DNS של מיקרוסופט _msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# רשומות SRV
# srv-host = , , , ,

# קטלוג גלובלי # אזור ה- DNS של מיקרוסופט _msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan, sauron.mordor.fan, 3268,0,0
# אזור ה- DNS של מיקרוסופט mordor.fan
srv-host = _gc._tcp.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan, sauron.mordor.fan .3268,0,0

# LDAP שונה ופרטי של Active Directory
# אזור DNS של מיקרוסופט _msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# אזור ה- DNS של מיקרוסופט mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# KERBEROS שונה ופרטי מ- Active Directory
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

# END של הקובץ /etc/dnsmasq.conf
# --------------------------------------------------------- ------------------

בואו ניצור את הקובץ / etc / banner_add_host

[root @ dns ~] # nano / etc /banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq - test
dnsmasq: תחביר בדוק אישור.

[root @ dns ~] # systemctl הפעל מחדש את dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service

בואו ונשתנה את הקובץ /etc/resolv.conf - Resolver

root @ dns: ~ # nano /etc/resolv.conf 
דומיין mordor.fan חיפוש mordor.fan

מדוע אין לנו את הקווים הרגילים המוצהרים בתיק resolv.conf? כי אנחנו מצהירים ב dnsmasq.conf ההוראות הבאות:

# התייעץ עם שרת ה- DNS של Microsoft® "sauron" אם אנו נותנים לו לפעול
שרת = / mordor.fan / 10.10.10.3

# שאילתות לגבי דומיינים מקומיים יענו # מאת / etc / hosts או באמצעות DHCP
מקומי = / mordor.fan /

# שאילתות אודות רשומות PTR או הפוך ייענו # על ידי שרתי "dns" ו- "sauron" בסדר זה.
שרת = / 10.10.10.in-addr.arpa / 10.10.10.5 שרת = / 10.10.10.in-addr.arpa / 10.10.10.3

שאילתות מ- sysadmin.mordor.fan

את הקובץ / Etc / resolv.conf של צוות זה הוא:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf
# נוצר על ידי חיפוש NetworkManager mordor.fan שרת שמות 10.10.10.5
buzz @ sysadmin: ~ $ host -t ל- spynet4.microsoft.com
לכתובת spynet4.microsoft.com יש כתובת 127.0.0.1

buzz @ sysadmin: ~ $ host -t אל www.download.windowsupdate.com
לכתובת www.download.windowsupdate.com יש כתובת 127.0.0.1

זמזום@sysadmin: ~ $ dig dns
buzz @ sysadmin: ~ $ dig dns.mordor.fan
;; קטע השאלה :; dns.mordor.fan. ב ;; סעיף תשובה: dns.mordor.fan. 0 ב 10.10.10.5

buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs
buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fan יש שיא SRV 0 0 3268 sauron.mordor.fan.

buzz @ sysadmin: ~ $ dig _ldap._tcp.gc._msdcs.mordor.fan
;; פרק השאלה :; _ldap._tcp.gc._msdcs.mordor.fan. ב ;; פרק תשובה: _ldap._tcp.gc._msdcs.mordor.fan. 0 ב 10.10.10.3

buzz @ sysadmin: ~ $ dig mordor.fan axfr
buzz @ sysadmin: ~ $ dig 10.10.10.in-addr.arpa axfr

ובדרך זו, כמה התייעצויות אנו זקוקים

Dnsmasq + Active Directory® + לקוחות Microsoft® Windows

שינוי שם של לקוח Windows® של Microsoft

שבע.מורדור.פאן כתובת IP מושכרת:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

בואו לשנות את שם ה- «שבע»-אשר לא מצטרף לדומיין Active Directory- על ידי«אקליפטוס«. לאחר השינוי וההפעלה מחדש אנו בודקים:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

ניתן לראות את ההיסטוריה של השינויים מ- "sysadmin":

buzz @ sysadmin: ~ $ host -t A שבע
לשבעה.mordor.fan כתובת 10.10.10.115

לאחר שינוי השם

buzz @ sysadmin: ~ $ host -t A שבע
לשבעה אין שיא A

buzz @ sysadmin: ~ $ host -t אקליפטוס
ל- eucaliptus.mordor.fan כתובת 10.10.10.115

שאילתות מהלקוח eucaliptus.mordor.fan

Microsoft Windows [נוסח 6.1.7601]
זכויות יוצרים (c) 2009 תאגיד מיקרוסופט. כל הזכויות שמורות.

C: \ משתמשים \ באז> nslookup
שרת ברירת מחדל: dns.mordor.fan כתובת: 10.10.10.5

> סורון
שרת: dns.mordor.fan כתובת: 10.10.10.5 שם: sauron.mordor.fan כתובת: 10.10.10.3

> mordor.fan
שרת: dns.mordor.fan כתובת: 10.10.10.5 שם: mordor.fan כתובת: 10.10.10.3

> אקליפטוס
שרת: dns.mordor.fan כתובת: 10.10.10.5 שם: eucaliptus.mordor.fan כתובת: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
שרת: dns.mordor.fan כתובת: 10.10.10.5 שם: sauron.mordor.fan כתובת: 10.10.10.3 כינויים: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> סוג סט = SRV
> _kerberos._udp.mordor.fan
שרת: dns.mordor.fan כתובת: 10.10.10.5 _kerberos._udp.mordor.fan מיקום שירות SRV: עדיפות = 0 משקל = 0 יציאה = 88 שם מארח = sauron.mordor.fan sauron.mordor.fan כתובת אינטרנט = 10.10.10.3. XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
שרת: dns.mordor.fan כתובת: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan מיקום שירות SRV: עדיפות = 0 משקל = 0 יציאה = 389 שם מארח svr = sauron .mordor.fan sauron.mordor.fan כתובת אינטרנט = 10.10.10.3

> יציאה

C: \ משתמשים \ באז>

רישום לקוחות Windows ב- Microsoft® DNS

לקוחות Windows לא הצטרפו לתחום Active Directory®

עלינו לבדוק אם כתובות ה- IP המושכרות על ידי לקוחות Windows השונים מ- Dnsmasq רשומות כהלכה ב- Microsoft® DNS. זה יכול להשפיע הדרך בה אנו מפעילים עדכונים דינמיים - עדכונים דינמיים באזורי ה- DNS של Microsoft® של Active Directory®. אנו מתחילים מתצורת ברירת המחדל של Microsoft DNS המאפשרת עדכונים דינמיים מאובטחים בלבד - עדכונים דינמיים -> מאובטח בלבד, בכל אחד מהאזורים שלה.

שים לב שהלקוח עם הזרם FQDN eucaliptus.mordor.fan לא מצורף לדומיין Active Directory (או ל- Samba4 AD-DC), והוא חריג לכלל של מיקרוסופט ש- «רק ללקוחות הרשומים בדומיין שלי תהיה הרשאה דרך מנגנון העדכון שלי - שאני יודע רק - להירשם ב- DNS שלי«. טוב ש- Samba4 AD-DC מלמד אותנו משהו בנושא.

eucaliptus.mordor.fan הושכר IP 10.10.10.115:

buzz @ sysadmin: ~ $ host -t אקליפטוס
ל- eucaliptus.mordor.fan כתובת 10.10.10.115

בואו נשנה את שמו ל «מַהֲגוֹנִי«, בוא נתחיל מחדש את Windows 7 ונראה מה קורה כשאנחנו מבקשים את השמות«אקליפטוס»Wonderfulמַהֲגוֹנִי»לכל אחד מה- DNS, תחילה ל- Microsoft DNS ואז ל- Dnsmasq:

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.3
שימוש בשרת תחום: שם: 10.10.10.3 כתובת: 10.10.10.3 # 53 כינויים: 

מארח eucaliptus.mordor.fan לא נמצא: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t מהגוני.mordor.fan 10.10.10.3
שימוש בשרת תחום: שם: 10.10.10.3 כתובת: 10.10.10.3 # 53 כינויים: 

מארח mahogany.mordor.fan לא נמצא: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.5
שימוש בשרת תחום: שם: 10.10.10.5 כתובת: 10.10.10.5 # 53 כינויים: 

מארח eucaliptus.mordor.fan לא נמצא: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t מהגוני.mordor.fan 10.10.10.5
שימוש בשרת תחום: שם: 10.10.10.5 כתובת: 10.10.10.5 # 53 כינויים: 

לכתובת mahogany.mordor.fan יש כתובת 10.10.10.115

אנו יכולים לשנות את שמו של לקוח Windows 7 לא מצורף לתחום mordor.fan של Active Directory® כמה פעמים שאנחנו רוצים, ש- Microsoft® DNS לא מגלה לגבי שינויים אלה או שקיים לקוח כזה. האם יתכן שזה רק בגלל שבחרנו באפשרות  עדכונים דינמיים -> מאובטח בלבד בכל אזור של ה- Micorosft DNS?.

כדי שמר מיקרוסופט® DNS יידע על השינויים, עלינו לבחור עדכונים דינמיים -> לא מאובטח ומאובטח. אפשרות זו, קוראים יקרים, מרמזת על פגיעות משמעותית באבטחה של כל שרת שמות מתחם שמכובד, בין אם זה Microsft® או UNIX® / Linux. ה- DNS של מיקרוסופט® מזהיר מפני הפגיעות מכיוון שבסופו של דבר זה לא יותר מ- BIND שונה ומופרט שמציע לנו «אבטחה לחושך«. אם לא, מדוע אתה ממליץ לחסוך במפורסם שלך רישום את כל הגדרות ה- DNS ורשומות ה- Microsoft® DNS שלך כאשר אנו מיישמים Active Directory®?. בנוסף לתמיכה בעדכונים לא מאובטחים ל- Microsoft® DNS, נדרש שינוי הבא בתצורת כרטיס הרשת הלקוח של Windows 7:

 

בוא נבדוק:

buzz @ sysadmin: ~ $ host -t מהגוני.mordor.fan 10.10.10.3
שימוש בשרת תחום: שם: 10.10.10.3 כתובת: 10.10.10.3 # 53 כינויים: ל- caoba.mordor.fan כתובת 10.10.10.115

buzz @ sysadmin: ~ $ מארח 10.10.10.115 10.10.10.3
שימוש בשרת תחום: שם: 10.10.10.3 כתובת: 10.10.10.3 # 53 כינויים: 115.10.10.10.in-addr.arpa מצביע שם תחום mahogany.mordor.fan.

buzz @ sysadmin: ~ $ host -t מהגוני 10.10.10.5
שימוש בשרת תחום: שם: 10.10.10.5 כתובת: 10.10.10.5 # 53 כינויים: ל- caoba.mordor.fan כתובת 10.10.10.115

buzz @ sysadmin: ~ $ מארח 10.10.10.115 10.10.10.5
שימוש בשרת תחום: שם: 10.10.10.5 כתובת: 10.10.10.5 # 53 כינויים: 115.10.10.10.in-addr.arpa מצביע שם תחום mahogany.mordor.fan.

כן עכשיו. איזו סינכרון נחמד לשני שרתי DNS שלא מסונכרנים בשום אופן!

לקוחות Windows הצטרפו לתחום Active Directory®

בואו נאחד את הלקוח מהגוני.mordor.fan לתחום, אך לא לפני ביטול השינוי שביצענו בתצורת כרטיס הרשת שלך, אם בשלב כלשהו עשינו זאת כדי לאמת את נקודת הפרק הקודם. מחק גם את הערך עבור «מַהֲגוֹנִי»במיקרוסופט® DNS, ונחזיר את העדכונים הדינמיים לנקודת המוצא שלהם «מאובטח בלבד«. אגב, תקף להפעיל מחדש את שירות מיקרוסופט® DNS.

לאחר שהצטרף לדומיין, ולמרות כל מאמצינו, הלקוח «מַהֲגוֹנִי»אינו רשום ב- Microsoft® DNS. אפילו הכרזנו ב dnsmasq.conf -זמני- ששרת ה- DNS הראשון הוא 10.10.10.3.

Microsoft Windows [נוסח 6.1.7601]
זכויות יוצרים (c) 2009 תאגיד מיקרוסופט. כל הזכויות שמורות.

C: \ Users \ saruman> ipconfig / הכל

שם מארח תצורת ה- IP של Windows. . . . . . . . . . . . : סיומת Dns ראשית של MAHOGANY. . . . . . . : mordor.fan סוג הצומת. . . . . . . . . . . . : ניתוב IP היברידי מופעל. . . . . . . . : אין WINS Proxy מופעל. . . . . . . . : אין רשימת חיפוש סיומות DNS. . . . . . : מתאם Ethernet mordor.fan חיבור לאזור מקומי: סיומת DNS ספציפית לחיבור. : mordor.fan תיאור. . . . . . . . . . . : כתובת פיזית של חיבור רשת אינטל (R) PRO / 1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP מופעל. . . . . . . . . . . : כן תצורה אוטומטית מופעלת. . . . : כן כתובת IPv6 מקומית מקושרת. . . . . : fe80 :: 352a: b954: 7eba: 963e% 12 (מועדף) כתובת IPv4. . . . . . . . . . . : 10.10.10.115 מסכת רשת משנה (מועדפת). . . . . . . . . . . : 255.255.255.0 חכירה מושגת. . . . . . . . . . : יום שבת 25 בפברואר 2017 8:19:05 תוקף החכירה יפוג. . . . . . . . . . : יום שבת 25 בפברואר 2017 4:20:36 שער ברירת מחדל. . . . . . . . . : 10.10.10.253 שרת DHCP. . . . . . . . . . . : 10.10.10.5 DHCPv6 IAID. . . . . . . . . . . : 251661353 לקוח DHCPv6 DUID. . . . . . . . : 00-01-00-01-20-3B-69-81-00-0C-29-D6-14-36

   שרתי DNS. . . . . . . . . . . : 10.10.10.3
                                       10.10.10.5
   NetBIOS מעל Tcpip. . . . . . . . : מתאם מנהרה מופעל isatap.mordor.fan: מדיה מדיה. . . . . . . . . . . : סיומת DNS ספציפית לחיבור מנותקת. : mordor.fan תיאור. . . . . . . . . . . : כתובת פיזית של מתאם ISATAP של מיקרוסופט. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP מופעל. . . . . . . . . . . : לא מוגדרת תצורה אוטומטית. . . . : כן מתאם מנהרה חיבור לאזור מקומי * 9: מדיה מדיה. . . . . . . . . . . : מדיה מנותקת סיומת DNS ספציפית לחיבור. : תיאור. . . . . . . . . . . : מתאם מנהרות של מיקרוסופט טרדו כתובת פיזית. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP מופעל. . . . . . . . . . . : לא מוגדרת תצורה אוטומטית. . . . : וזה

C: \ Users \ saruman>

buzz @ sysadmin: ~ $ host -t מהגוני.mordor.fan 10.10.10.3
שימוש בשרת תחום: שם: 10.10.10.3 כתובת: 10.10.10.3 # 53 כינויים: מארח caoba.mordor.fan לא נמצא: 3 (NXDOMAIN)

זמזום@sysadmin: ~ $ host -t ל- mahogany.mordor.fan
לכתובת mahogany.mordor.fan יש כתובת 10.10.10.115
  • הדרך היחידה בה רשום הלקוח «מַהֲגוֹנִי»ב- Microsft® DNS משנה את כרטיס הרשת שלך כמצויןó בתמונה הקודמתכלומר במפורש כי: סיומת ה- DNS לחיבור היא mordor.fan, שהיא רושמת את כתובת החיבור ב- DNS, וכי היא משתמשת בסיומת ה- DNS המוצהרת בעת רישום החיבור.
buzz @ sysadmin: ~ $ host -t מהגוני.mordor.fan 10.10.10.3
שימוש בשרת תחום: שם: 10.10.10.3 כתובת: 10.10.10.3 # 53 כינויים: ל- caoba.mordor.fan כתובת 10.10.10.115

buzz @ sysadmin: ~ $ host -t מהגוני.mordor.fan
לכתובת mahogany.mordor.fan יש כתובת 10.10.10.115
בואו נשנה את השם מ"מהגוני "ל"ארז"
buzz @ sysadmin: ~ $ host -t מהגוני.mordor.fan 10.10.10.3
שימוש בשרת תחום: שם: 10.10.10.3 כתובת: 10.10.10.3 # 53 כינויים: מארח caoba.mordor.fan לא נמצא: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t ל- cedar.mordor.fan 10.10.10.3
שימוש בשרת תחום: שם: 10.10.10.3 כתובת: 10.10.10.3 # 53 כינויים: ל- cedro.mordor.fan כתובת 10.10.10.115

buzz @ sysadmin: ~ $ host -t מהגוני.mordor.fan 10.10.10.5
שימוש בשרת תחום: שם: 10.10.10.5 כתובת: 10.10.10.5 # 53 כינויים: מארח caoba.mordor.fan לא נמצא: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t ל- cedar.mordor.fan 10.10.10.5
שימוש בשרת תחום: שם: 10.10.10.5 כתובת: 10.10.10.5 # 53 כינויים: ל- cedro.mordor.fan כתובת 10.10.10.115

והכל נורמלי, כמו שלקוחות Microsoft® ו- Microsoft® DNS אוהבים דברים להיות.

בואו לעבוד עם Microsoft® DHCP ו- Microsoft® DNS

קוראים יקרים, פרק זה אינו בהקשר של בלוג המוקדש לתוכנה חופשית. ראה עזרה של Microsoft®. הם לא מאמינים ?. 😉

מסקנות

ישנן מספר דרכים לעבוד ב- Microsoft® DNS כאשר אנו גורמים לו להתקיים במקביל ברשת SME עם ה- Dnsmasq. ביניהם נזכיר רק את הדברים הבאים:

  • הפסק לחלוטין את שירות ה- DNS של Microsoft® במחשב בו הוא פועל, דבר המציין לאחר מכן כי הפעלת השירות מושבתת. בטל את הסימון בתצורת כרטיס הרשת של כל לקוח Microsoft® את האפשרות לרשום את כתובת החיבור ב- DNS. הסר מהקובץ /etc/dnsmasq.conf הוֹרָאָה שרת = / mordor.fan / 10.10.10.3. הערות:
    • גם אם פניות לגבי הרשומות אינן נענות SOA y NS, הרשת תעבוד כראוי, כמו גם איחוד הלקוחות השונים - Microsoft® ו- Linux - לתחום Active Directory®.
    • יש לו את היתרון שב- SME LAN יהיה רק ​​שרת שמות תחום אחד -מכונה- וזה יהיה Dnsmasq. ;-). מצד שני, האפשרות של חוסר עקביות בין רשומות ה- DNS המאוחסנות ב- Microsoft® DNS לבין אלה הזמינות באמצעות Dnsmasq מתבטלת.
  • השאר את Microsoft® DNS פועל כדי לענות רק על שאילתות DNS לגבי רשומות SOA ו- NS. הערהs:
    • שנה את התצורה של כרטיס הרשת של כל לקוח Windows, בטל את הסימון של האפשרות לרשום את כתובת החיבור ב- DNS.
    • אנחנו חושבים שהפתרון הזה הוא בזבוז משאבים.
  • הגדר את השירותים כפי שראינו לאורך המאמר, המציג פיתרון יותר לטעמו של הפילוסופיה של Microsoft® - לא FreeBSD / Linux- אוקי?

תקציר

  • הצעת ה- DNS של מיקרוסופט® סגורה מאוד. זה לא משאיר מקום לפתרונות אחרים שאינם תואמים את הפילוסופיה ההרמטית שלה.
  • האם הטבע מלמדת אותנו שאנחנו קיימים ביקום מגוון. הדבר הרגיל הוא שיהיה LAN מעורב, שנע לכיוון תוכנה חופשית ועשיר בחיים ובמגוון.
  • נראה כי עבור מיקרוסופט® לקוחות שאינם מצטרפים לפילוסופיה שלו הם מודחים, ולכן הם לא צריכים לטרוח לקחת אותם בחשבון.
  • כמה קשה לעבוד עם תוכנה פרטית! אני מעדיף להשקיע קצת עבודה בהקמת תוכנה חופשית ולהיות חופשי באמת, לעזאזל!

"הקריטריון הטוב ביותר של האמת הוא תרגול."


תוכן המאמר עומד בעקרונותינו של אתיקה עריכתית. כדי לדווח על שגיאה לחץ כאן.

11 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   קרבורוס גלגל המזלות דיג'ו

    מאמר נהדר שכתבת, פדריקו!

  2.   חוליו לאון דיג'ו

    מאמר אדיר יקירי. והסיכום הוא ה- XD הטוב ביותר
    סלדוס;

  3.   לְטָאָה דיג'ו

    אני לא חושב שראיתי מדריך מלא ומפורט יותר ל- sysadmin באינטרנט (בשפה הספרדית), העבודה שאתה עושה ברשתות עבור חברות קטנות ובינוניות היא למסגר.

    למרות שהעבודה מפרכת והגעה לרמת פירוט זו עניין של שעות רבות, אני מאמין שאתה יוצר נקודת ייחוס שתשמש אותה עם היוודע מספר רב של SysAdmin שיש להם את המפתח למורה למאמרים שלך. רבות מהפעילויות העומדות בפניה מדי יום.

    לגבי dnsmasq וספריה פעילה, אני חושב שמעולם לא הייתה לי הזדמנות לעבוד עם שניהם, אך במעבדה שלי, בהיעדר לקוח Windows, נראה שהכל היה בסדר, ואין זה פלא עם הצעד המצוין הזה של שלב.

    הציל את הביטוי שלך «כמה קשה לעבוד עם תוכנה פרטית!. אני מעדיף להשקיע קצת עבודה בתצורה של תצורת תוכנה חופשית ולהיות חופשי באמת, לעזאזל! »... בואו נלך לבזבז קצת עבודה על קביעת תצורה של תוכנות חינמיות לאורך זמן, בעיקר לתיעוד כמו שלך ומרבה אנשים אחרים, איך גם עם האנושה מתמיד של תוכנה חופשית.

    מזל טוב FIco ... אנחנו ממשיכים הלאה.

  4.   פדריקו דיג'ו

    גלגל המזלות: המילים שלך הן תמריץ להמשיך לכתוב. אל תהססו, שעות טובות רבות - יש צורך בישבן כדי לכתוב מאמר צנוע כמו זה.

    חוליו לאון: ברכות גם לך, חוליו היקר. אני מקווה ותמשיכו איתנו בדרך לדעת קצת יותר על תוכנה חופשית.

    לגרטו: הימים והשעות שהושקעו שווים מאוד כשאני קורא תגובות כמו בפוסט הזה. הם התגמול הטוב ביותר עבור העבודה שלנו. העברתי את הקישור למאמר לסימון קלי עצמו והוא היה אדיב לענות לי.

    אני רוצה לנצל את המרחב הזה כדי לומר שבנושא ה- DNS וה- DHCP אנו מתחילים - לפי אסטרטגיה - מהמתחם אל הקל. Dnsmasq הוא פתרון מאוד תקף עבור רשתות SME, וזה הרבה יותר קל ליישום מאשר הצמד BIND + Isc-Dhcp-Server. הנושא עשוי להיראות מעט טכני בעיני קוראים רבים. עם הזמן והתרגול הם יבינו שזה לא המקרה. כדאי מאוד ללמוד את העקרונות של שרת תשתית, כותרת שתקיף את 6 המאמרים שנכתבו על שירותי DNS ו- DHCP, מבלי לשכוח את NTP.

    מזל טוב לכולם ... אנחנו ממשיכים הלאה!

  5.   איוו דיג'ו

    תודה לפדריקו על מאמר נהדר נוסף עם פירוט אדיר ותיאוריה נרחבת אודות Dnsmasq, כלי שכבר אנו רואים הוא שימושי ביותר עבור סיסדמינים.

    נהדר כל מה שקשור להכנסת אזור ה- DNS של מיקרוסופט "_msdcs.mordor.fan" לקובץ התצורה /etc/dnsmasq.conf דרך רשומות SRV שלו המשתמשות בשירותים: _gc, _ldap, _kerberos ו- _kpasswd עם המטרה היא להשתמש ב- Microsoft DNS ("שרת = / mordor.fan / 10.10.10.3" הצהרה) בנוסף Dnsmasq ("local = / mordor.fan /" הצהרה) כדי לפתור שאילתות DNS.

    GREAT היא גם הדוגמה שפותחה שכדי ש- Microsoft DNS ירשום לקוחות Windows עם שינויי IP ברשת LAN, עליכם לבחור בתצורת ה- DNS, את "העדכונים הדינמיים" כ"לא מאובטח ומאובטח "ומה שמשמעות הדבר בפגיעות של אבטחה של כל שרת שמות מתחם שמכובד, בין אם זה מיקרוסופט או יוניקס / לינוקס. מלבד הצורך בשינוי בתצורה של כרטיס הרשת של לקוח Windows.
    שום דבר שעם כל פוסט חדש אתה מעלה את התחנה! מחכה בקוצר רוח לכתבות הבאות!

    1.    פדריקו דיג'ו

      תודה רבה על הערכתך והערתך, IWO. בכל מאמר שאני מפרסם, אני תמיד מחכה לדעתך, שכן הוא נתמך על ידי העיסוק שלך, הידע והפרקטיקה שלך. מזל טוב IWO. נראה אותך במאמר הבא

  6.   מטלטל דיג'ו

    עבודה טובה מאוד, כמו תמיד לפרסם את אבני החן האלה לסיסאדמינים. תודה לאלף!

  7.   88 דיג'ו

    תן צ'אנס ל- DNS של מיקרוסופט, אפילו לא נתת לו להראות. איננו יודעים אם הוא עדיין בחיים או אפילו אם נותרה לו בושה כלשהי. מאמר מצוין.

  8.   HO2Gi דיג'ו

    תכשיט שאין כמותו, נשמר במועדפים להתייעצות. מאמר מצוין.

  9.   פדריקו דיג'ו

    תודה לך HO2Gi על הערכתך. אני ממליץ לך - ובכלל לכל אחד - לבקר https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/. הוא נערך שוב עם אינדקס של כל הפוסטים שפורסמו והנושאים שיידונו. ברכות והמשיכו איתנו.

  10.   פבלו אנדרס פלמר דיג'ו

    מסמך מצוין כמו זה שקיים ב https://blog.desdelinux.net/bind-active-directory/
    אני רק רוצה להמליץ, בבקשה לקחת את זה כביקורת בונה; כדי להדגים את התצורה, עדיף היה שבמקום להשתמש ברשת 10.10.10.0/24, הייתי משתמש באחת שבה לכל בלוק היו מספרים שונים, כמו למשל רשת 192.168.1.0/24.
    זה יבהיר את הנקודות בהן כתובות הרשת עוברות הפוך, למשל כאשר אתה צריך להוסיף ערכים מהסוג ".in-addr.arpa"
    תודה ששיתפת כל כך הרבה ידע באיכות טובה.
    בברכה.