BINDおよびActiveDirectory®-SMEネットワーク

シリーズの一般的なインデックス: SME向けのコンピュータネットワーク:はじめに

皆さん、こんにちは!。 この記事の主な目的は、多くのSMEで非常に一般的なMicrosoftネットワークにBIND9に基づくDNSサービスを統合する方法を示すことです。

それはラティエラデルフエゴに住んでいる友人の公式の要求から生じます-フエジアン-Microsoft®ネットワークに特化-証明書が含まれています-サーバーのLinuxへの移行のこの部分をガイドします。 のコスト サポート Microsoft®を支払う技術者はすでに たまらない 彼が働いており、彼が彼の主要株主である会社のために。

アミーゴミ フエジアン ユーモアのセンスがあり、XNUMX本の映画シリーズを見たので«ロードオブザリング»彼は彼の暗いキャラクターの名前の多くに魅了されました。 ですから、読者の友人、あなたのドメインとあなたのサーバーの名前に驚かないでください。

このトピックを初めて使用する場合、および読み続ける前に、SMEネットワークに関する以前のXNUMXつの記事を読んで学習することをお勧めします。

«のXNUMXつの部分のうちXNUMXつを見ているようなものですアンダーワールド»本日まで公開されており、これがXNUMX回目です。

一般的なパラメータ

経由でいくつかの交換の後 メールついに私はあなたの現在のネットワークの主なパラメータについて明確になりました:それは:

ドメイン名mordor.fanLANネットワーク10.10.10.0/24==================================== ===========================================サーバーIPアドレス目的(OSを搭載したサーバーWindows)================================================ =============================== sauron.mordor.fan。 10.10.10.3ActiveDirectory®2008SR2mamba.mordor.fan。 10.10.10.4Windowsファイルサーバーdarklord.mordor.fan。 10.10.10.6 Kerios troll.mordor.fanのプロキシ、ゲートウェイ、ファイアウォール。 10.10.10.7 ...に基づくブログはshadowftp.mordor.fanを思い出せません。 10.10.10.8FTPサーバーblackelf.mordor.fan。 10.10.10.9完全な電子メールサービスblackspider.mordor.fan。 10.10.10.10WWWサービスpalantir.mordor.fan。 10.10.10.11 Openfire forWindowsでチャット

私は許可を求めました フエジアン 私の心をクリアし、彼の許可を与えるために必要な数のエイリアスを設定するには:

実際のCNAME ============================== sauron ad-dcmambaファイルサーバーdarklordproxywebトロールブログshadowftpftpserver blackelf mail blackspider www palantir openfire

Active Directory Windows 2008のインストールで、この投稿の作成をガイドするために実装を余儀なくされたすべての重要なDNSレコードを宣言しました。

ActiveDirectoryのDNSのSRVレコードについて

レジスター SRV oサービスロケーター(Microsoft Active Directoryで広く使用されている)は、 コメントのリクエストRFC 2782。 DNSクエリを介してTCP / IPプロトコルに基づいてサービスの場所を特定できます。 たとえば、Microsoftネットワーク上の顧客は、ドメインコントローラーの場所を見つけることができます- ドメインコントローラ 単一のDNSクエリを介してポート389でTCPプロトコルを介してLDAPサービスを提供します。

森の中では普通です- 、および木- 樹木類 大規模なMicrosoftネットワークには、いくつかのドメインコントローラーがあります。 そのネットワークのドメインネームスペースを構成するさまざまなゾーンでSRVレコードを使用することにより、同様の既知のサービスを提供するサーバーのリストを、それぞれのトランスポートプロトコルとポートに従って優先順に並べて維持できます。サーバーのXNUMXつ。

コメントのリクエストRFC 1700 よく知られたサービスのユニバーサルシンボリック名の定義- よく知られたサービス、および«などの名前_telnet«、«_smtp»サービスの場合 telnet y SMTP。 既知のサービスにシンボリック名が定義されていない場合は、ユーザーの好みに応じてローカル名または別の名前を使用できます。

バインド

各フィールドの目的«特別な»SRVリソースレコードの宣言で使用されるのは次のとおりです。

  • ドメイン: 「Pdc._msdcs.mordor.fan。«。 SRVレコードが参照するサービスのDNS名。 例のDNS名は-多かれ少なかれ-を意味します プライマリドメインコントローラー エリアの _msdcs.モルドール.ファン.
  • カスタマーサービス: 「_Ldap」。 に従って定義された、提供されるサービスの記号名 コメントのリクエストRFC 1700.
  • プロトコール: 「_Tcp」。 トランスポートプロトコルのタイプを示します。 通常、値を取ることができます _tcp o _udp、しかし-そして実際には-に示されているあらゆるタイプの輸送プロトコル コメントのリクエストRFC 1700。 たとえば、サービスの場合 チャット プロトコルベース XMPP、このフィールドの値は _xmpp.
  • 優先"0«。 の優先順位または優先順位を宣言します このサービスを提供するホスト 後で見ることになります。 このSRVレコードによって定義されたサービスに関するクライアントのDNSクエリは、適切な応答を受信すると、フィールドにリストされている最小の番号を持つ最初の利用可能なホストに接続しようとします。 優先。 このフィールドが取ることができる値の範囲は 0 65535.
  • 重量 "100«。 と組み合わせて使用​​できます 優先 同じサービスを提供するサーバーが複数ある場合に、負荷分散メカニズムを提供します。 ゾーンファイル内のサーバーごとに同様のSRVレコードがあり、その名前がフィールドで宣言されている必要があります このサービスを提供するホスト。 フィールドに等しい値を持つサーバーの前 優先、フィールド値 重量 負荷分散のための正確なサーバー選択を取得するための追加の優先レベルとして使用できます。 このフィールドが取ることができる値の範囲は 0 65535。 単一サーバーの場合など、負荷分散が必要ない場合は、値を割り当てることをお勧めします。 0 SRVレコードを読みやすくするため。
  • ポート番号-ポート"389«。 のポート番号 このサービスを提供するホスト フィールドに示されたサービスを提供する カスタマーサービス。 よく知られているサービスの種類ごとに推奨されるポート番号は、 コメントのリクエストRFC 1700、それはの間の値を取ることができますが 0と65535.
  • このサービスを提供するホスト-ターゲット"sauron.mordor.fan。«。 を指定します FQDN それは明確に識別します host SRVレコードで示されるサービスを提供します。 レコードタイプ«A»それぞれのドメイン名義 FQDN サーバーからまたは host それがサービスを提供します。 よりシンプルなタイプレコード A ダイレクトゾーンで。
    • 注意:
      SRVレコードで指定されたサービスがこのホストで提供されていないことを正式に示すために、単一の(
      .)ポイント.

ネットワークまたはActiveDirectory®の正しい操作は、ドメインネームサービスの正しい操作に大きく依存していることを繰り返したいと思います。.

Active DirectoryDNSレコード

BINDに基づいて新しいDNSサーバーのゾーンを作成するには、ActiveDirectory®からすべてのDNSレコードを取得する必要があります。 生活を楽にするために、私たちはチームに行きます サウロン・モルドール・ファン -ActiveDirectory®2008SR2-およびDNS管理コンソールで、このタイプのサービスで宣言されているメインゾーンのゾーン転送(直接および逆)をアクティブにします。

  • _msdcs.モルドール.ファン
  • モルドールファン
  • 10.10.10.in-addr.harp

前の手順が実行されたら、できればIPアドレスがWindowsネットワークで使用されるサブネットの範囲内にあるLinuxコンピューターから、次の手順を実行します。

buzz @ sysadmin:〜$ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> 温度/rrs._msdcs.mordor.fan
buzz @ sysadmin:〜$ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin:〜$ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa
  • 以前の記事から、デバイスのIPアドレスを思い出してください システム管理者。desdelinux。ファン エス10.10.10.1 または192.168.10.1.

前のXNUMXつのコマンドでは、オプションを削除できます @10.10.10.3そのアドレスでDNSサーバーに尋ねる-ファイルで宣言した場合 /etc/resolv.conf サーバーIPへ サウロン・モルドール・ファン:

uzz@sysadmin:~$ cat /etc/resolv.conf # NetworkManager 検索によって生成 desdelinux.fan ネームサーバー 192.168.10.5 ネームサーバー 10.10.10.3

細心の注意を払って編集した後、BIND内のゾーンファイルに対応するように、次のデータを取得します。

元のゾーンからのRRレコード_msdcs.mordor.fan

buzz @ sysadmin:〜$ cat temp / rrs._msdcs.mordor.fan 
; SOAおよびNS_msdcs.mordor.fanに関連しています。 3600 IN SOAsauron.mordor.fan。 hostmaster.mordor.fan。 12 900 600_msdcs.mordor.fan。 86400 IN NSsauron.mordor.fan。 ; ; グローバルカタログgc._msdcs.mordor.fan。 3600 IN A 3600; ; SAURON600-10.10.10.3a03296249-82aa-a1f49-4f0d28900b._msdcs.mordor.fanのエイリアス-ActiveDirectoryの変更されたプライベートLDAPデータベース内-。 5 IN CNAMEsauron.mordor.fan。 ; ; ActiveDirectoryの変更されたプライベートLDAP_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan。 256 IN SRV 600sauron.mordor.fan。 _ldap._tcp.dc._msdcs.mordor.fan。 600 IN SRV 0sauron.mordor.fan。 _ldap._tcp.100d389d-600fdb-0cf-a100-d389c18b3360d8.domains._msdcs.mordor.fan。 40 IN SRV 678sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan。 7 IN SRV 420 6 775sauron.mordor.fan。 _ldap._tcp.gc._msdcs.mordor.fan。 600 IN SRV 0 100 389sauron.mordor.fan。 _ldap._tcp.pdc._msdcs.mordor.fan。 600 IN SRV 0sauron.mordor.fan。 ; ; Active Directory_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fanから変更およびプライベート化されたKERBEROS。 100 IN SRV 3268 600 0sauron.mordor.fan。 _kerberos._tcp.dc._msdcs.mordor.fan。 100 IN SRV 3268 600 0sauron.mordor.fan。

元のゾーンmordor.fanからのRRレコード

buzz @ sysadmin:〜$ cat temp / rrs.mordor.fan 
; SOA、NS、MX、およびそれがマップするAレコードに関連します。 SAURONのIPへのドメイン名。 Active Directorymordor.fanからのもの。 3600 IN SOAsauron.mordor.fan。 hostmaster.mordor.fan。 48 900 600mordor.fan。 86400 IN A 3600mordor.fan。 600 IN NSsauron.mordor.fan。 mordor.fan。 10.10.10.3 IN MX 3600blackelf.mordor.fan。 _msdcs.mordor.fan。 3600 IN NSsauron.mordor.fan。 ; ; また重要なAはDomainDnsZones.mordor.fanを記録します。 10 IN A 3600ForestDnsZones.mordor.fan。 600 IN A 10.10.10.3; ; グローバルカタログ_gc._tcp.mordor.fan。 600 IN SRV 10.10.10.3 600 0sauron.mordor.fan。 _gc._tcp.Default-First-Site-Name._sites.mordor.fan。 100 IN SRV 3268 600 0sauron.mordor.fan。 ; ; アクティブディレクトリ_ldap._tcp.mordor.fanの変更されたプライベートLDAP。 100 IN SRV 3268sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan。 600 IN SRV 0sauron.mordor.fan。 _ldap._tcp.DomainDnsZones.mordor.fan。 100 IN SRV 389sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.mordor.fan。 600 IN SRV 0sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan。 100 IN SRV 389sauron.mordor.fan。 _ldap._tcp.ForestDnsZones.mordor.fan。 600 IN SRV 0sauron.mordor.fan。 ; ; アクティブディレクトリ_kerberos._tcp.Default-First-Site-Name._sites.mordor.fanの変更されたプライベートKERBEROS。 100 IN SRV 389 600 0sauron.mordor.fan。 _kerberos._tcp.mordor.fan。 100 IN SRV 389 600 0sauron.mordor.fan。 _kpasswd._tcp.mordor.fan。 100 IN SRV 389 600 0sauron.mordor.fan。 _kerberos._udp.mordor.fan。 100 IN SRV 389 600 0sauron.mordor.fan。 _kpasswd._udp.mordor.fan。 100 IN SRV 88 600 0sauron.mordor.fan。 ; ; 固定IPのレコードA->サーバーblackelf.mordor.fan。 100 IN A 88blackspider.mordor.fan。 600 IN A 0darklord.mordor.fan。 100 IN A 464mamba.mordor.fan。 600 IN A 0palantir.mordor.fan。 100 IN A 88sauron.mordor.fan。 600 IN A 0shadowftp.mordor.fan。 100 IN A 464troll.mordor.fan。 3600 IN A 10.10.10.9; ; CNAMEはad-dc.mordor.fanを記録します。 3600 IN CNAMEsauron.mordor.fan。 blog.mordor.fan。 10.10.10.10 IN CNAMEtroll.mordor.fan。 fileserver.mordor.fan。 3600 IN CNAMEmamba.mordor.fan。 ftpserver.mordor.fan。 10.10.10.6 IN CNAMEshadowftp.mordor.fan。 mail.mordor.fan。 3600 IN CNAMEbalckelf.mordor.fan。 openfire.mordor.fan。 10.10.10.4 IN CNAMEpalantir.mordor.fan。 proxy.mordor.fan。 3600 IN CNAMEdarklord.mordor.fan。 www.mordor.fan。 10.10.10.11 IN CNAMEblackspider.mordor.fan。

元のゾーン10.10.10.in-addr.arpaからのRRレコード

buzz @ sysadmin:〜$ cat temp / rrs.10.10.10.in-addr.arpa 
; SOAおよびNS10.10.10.in-addr.arpaに関連しています。 3600 IN SOAsauron.mordor.fan。 hostmaster.mordor.fan。 21 900 600.in-addr.arpa。 86400 IN NSsauron.mordor.fan。 ; ; PTRレコード3600.in-addr.arpa。 10.10.10 IN PTRblackspider.mordor.fan。 3600.in-addr.arpa。 10.10.10.10 IN PTRpalantir.mordor.fan。 3600.in-addr.arpa。 11.10.10.10 IN PTRsauron.mordor.fan。 3600.in-addr.arpa。 3.10.10.10 IN PTRmamba.mordor.fan。 3600.in-addr.arpa。 4.10.10.10 IN PTRdnslinux.mordor.fan。 3600.in-addr.arpa。 5.10.10.10 IN PTRdarklord.mordor.fan。 3600.in-addr.arpa。 6.10.10.10 IN PTRtroll.mordor.fan。 3600.in-addr.arpa。 7.10.10.10 IN PTRshadowftp.mordor.fan。 3600.in-addr.arpa。 8.10.10.10 IN PTRblackelf.mordor.fan。

この時点まで、最初に観察することなくではなく、冒険を続けるために必要なデータがあると考えることができます。 TTL およびMicrosft®からの2008ビットActiveDirectory®2SR64のDNSの出力と直接観察が非常に簡潔な方法で提供するその他のデータ。

SAURONのDNSマネージャーの画像

Dnslinux.mordor.fanチーム。

よく見ると、IPアドレス 10.10.10.5 新しいDNSの名前で占有されるように、正確に名前が割り当てられていませんでした dnslinux.mordor.fan。 DNSとDHCPのペアをインストールするには、記事を参考にしてください。 Debian8「Jessie」のDNSとDHCP y CentOS7のDNSとDHCP.

基本オペレーティングシステム

アミーゴミ フエジアンMicrosoft®Windowsの真のスペシャリストであることに加えて、彼はその会社によって発行された証明書をいくつか持っています。彼は、で公開されているデスクトップ上の記事のいくつかを読んで実践しました。 DesdeLinux。、そして彼は明らかにDebianベースのソリューションが欲しいと私に言った。 😉

あなたを喜ばせるために、私たちはに基づいてサーバーの新鮮でクリーンなインストールから始めます Debian8「ジェシー」。 ただし、次に説明する内容は、前述の記事を含むCentOSおよびopenSUSEディストリビューションに有効です。 BINDとDHCPは、どのディストリビューションでも同じです。 各ディストリビューションのパッケージメンテナによって、わずかなバリエーションが導入されています。

に示すようにインストールを行います Debian8「Jessie」のDNSとDHCP、IPの使用に注意してください 10.10.10.5 とネットワーク 10.10.10.0/24。、BINDを設定する前でも。

BINDをDebianスタイルで構成します

/etc/bind/named.conf

ファイル /etc/bind/named.conf インストールしたままにしておきます。

/etc/bind/named.conf.options

ファイル /etc/bind/named.conf.options 次の内容を残す必要があります。

root @ dnslinux:〜#cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dnslinux:〜#nano /etc/bind/named.conf.options
オプション{ディレクトリ "/ var / cache / bind"; //自分と話したいネームサーバーの間に//ファイアウォールがある場合は、//複数のポートが話し合うことができるようにファイアウォールを修正する必要があります。 http://www.kb.cert.org/vuls/id/800113を参照してください。//ISPが安定したネームサーバー用に// 0つ以上のIPアドレスを提供している場合は、それらをフォワーダーとして使用することをお勧めします。 //次のブロックのコメントを解除し、// all-0.0.0.0のプレースホルダーを置き換えるアドレスを挿入します。 //フォワーダー{//XNUMX; //}; // =============================================== ===================== $ // BINDがルートキーの有効期限が切れていることに関するエラーメッセージをログに記録する場合、//キーを更新する必要があります。 https://www.isc.org/bind-keysを参照してください// ================================= =================================== $

    // DNSSECは必要ありません
        dnssec-いいえを有効にします。
        //dnssec-validation auto;

        auth-nxdomain no; #RFC1035に準拠

 // IPv6アドレスをリッスンする必要はありません
        // listen-on-v6 {any; };
    listen-on-v6 {なし; };

 // localhostおよびsysadminからのチェック用
    //〜// dig mordor.fan axfr // dig 10.10.10.in-addr.arpa axfr // dig _msdcs.mordor.fan axfr //スレーブDNSはありません...今まで
 allow-transfer {localhost; 10.10.10.1; };
};

//ロギングバインド
ロギング{

        チャネルクエリ{
        ファイル "/var/log/named/queries.log"バージョン3サイズ1m;
        重大度情報;
        印刷時間はい;
        印刷-重大度はい;
        印刷カテゴリはい;
        };

        チャネルクエリ-エラー{
        ファイル "/var/log/named/query-error.log"バージョン3サイズ1m;
        重大度情報;
        印刷時間はい;
        印刷-重大度はい;
        印刷カテゴリはい;
        };

                                
カテゴリクエリ{
         クエリ;
         };

カテゴリクエリ-エラー{
         クエリエラー;
         };

};
  • BINDログのキャプチャを NEW 主題に関する一連の記事の登場。 lを作成しますに必要なフォルダとファイル ロギング バインドの:
root @ dnslinux:〜#mkdir / var / log /名前付き
root @ dnslinux:〜#touch /var/log/named/queries.log
root @ dnslinux:〜#touch /var/log/named/query-error.log
root @ dnslinux:〜#chown -R bind:bind / var / log / named

構成されたファイルの構文を確認します

root @ dnslinux:〜#named-checkconf 
ルート@dnslinux:〜#

/etc/bind/named.conf.local

ファイルを作成します /etc/bind/zones.rfcFreeBSD に示されているのと同じ内容で Debian8「Jessie」のDNSとDHCP.

root @ dnslinux:〜#nano /etc/bind/zones.rfcFreeBSD

ファイル /etc/bind/named.conf.local 次の内容を残す必要があります。

////ここでローカル構成を行います////組織で使用されていない場合は、ここに1918ゾーンを追加することを検討してください//
"/etc/bind/zones.rfc1918"を含めます。 "/etc/bind/zones.rfcFreeBSD"を含めます。

ゾーン "mordor.fan" {タイプマスター; ファイル "/var/lib/bind/db.mordor.fan"; }; ゾーン "10.10.10.in-addr.arpa" {タイプマスター; ファイル "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

ゾーン "_msdcs.mordor.fan" {タイプマスター;
 チェック名は無視します。 ファイル "/etc/bind/db._msdcs.mordor.fan"; }; root @ dnslinux:〜#named-checkconf
ルート@dnslinux:〜#

ゾーンファイルmordor.fan

ルート@dnslinux:〜#nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ IN SOAdnslinux.mordor.fan。 root.dnslinux.mordor.fan。 (1;シリアル1D;リフレッシュ1H;再試行1W;期限切れ3H); 最小または; 生きるための負のキャッシング時間。
; 以下の記録に十分注意してください
@ IN NSdnslinux.mordor.fan。
@ IN A 10.10.10.5
@ IN MX 10blackelf.mordor.fan。 @ INTXT「モルドールのダークランへようこそ」;
_msdcs.mordor.fan。 NSdnslinux.mordor.fanで。
;
dnslinux.mordor.fan。 IN A 10.10.10.5
; 以下の記録で非常に注意深く終了してください。
DomainDnsZones.mordor.fan。 IN A 10.10.10.3ForestDnsZones.mordor.fan。 IN A 10.10.10.3; ; グローバルカタログ_gc._tcp.mordor.fan。 600 IN SRV 0 0 3268sauron.mordor.fan。 _gc._tcp.Default-First-Site-Name._sites.mordor.fan。 600 IN SRV 0 0 3268sauron.mordor.fan。 ; ; ActiveDirectoryの変更されたプライベートLDAP_ldap._tcp.mordor.fan。 600 IN SRV 0 0 389sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan。 600 IN SRV 0 0 389sauron.mordor.fan。 _ldap._tcp.DomainDnsZones.mordor.fan。 600 IN SRV 0 0 389sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.mordor.fan。 600 IN SRV 0 0 389sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan。 600 IN SRV 0 0 389sauron.mordor.fan。 _ldap._tcp.ForestDnsZones.mordor.fan。 600 IN SRV 0 0 389sauron.mordor.fan。 ; ; ActiveDirectoryの変更されたプライベートKERBEROS_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan。 600 IN SRV 0 0 88sauron.mordor.fan。 _kerberos._tcp.mordor.fan。 600 IN SRV 0 0 88sauron.mordor.fan。 _kpasswd._tcp.mordor.fan。 600 IN SRV 0 0 464sauron.mordor.fan。 _kerberos._udp.mordor.fan。 600 IN SRV 0 0 88sauron.mordor.fan。 _kpasswd._udp.mordor.fan。 600 IN SRV 0 0 464sauron.mordor.fan。 ; ; 固定IPのレコードA->サーバーblackelf.mordor.fan。 IN A 10.10.10.9blackspider.mordor.fan。 10.10.10.10でdarklord.mordor.fan。 IN A 10.10.10.6mamba.mordor.fan。 IN A 10.10.10.4palantir.mordor.fan。 IN A 10.10.10.11
sauron.mordor.fan。 IN A 10.10.10.3
shadowftp.mordor.fan。 IN A 10.10.10.8troll.mordor.fan。 IN A 10.10.10.7; ; CNAMEはad-dc.mordor.fanを記録します。 CNAMEでsauron.mordor.fan。 blog.mordor.fan。 CNAMEでtroll.mordor.fan。 fileserver.mordor.fan。 CNAMEmamba.mordor.fanで。 ftpserver.mordor.fan。 CNAMEでshadowftp.mordor.fan。 mail.mordor.fan。 CNAMEでbalckelf.mordor.fan。 openfire.mordor.fan。 CNAMEでpalantir.mordor.fan。 proxy.mordor.fan。 CNAMEでdarklord.mordor.fan。 www.mordor.fan。 CNAMEでblackspider.mordor.fan。

root @ dnslinux:〜#named-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
ゾーンmordor.fan/IN:ロードされたシリアル1 OK

時代 TTL600 すべてのSRVレジスタのうち、Slave BINDをインストールする場合に備えて、それらを保持します。 これらのレコードは、主にLDAPデータベースからデータを読み取るActiveDirectory®サービスを表しています。 そのデータベースは頻繁に変更されるため、マスタースレーブDNSスキームでは、同期時間を短くする必要があります。 Active Directory 2000から2008までに観察されたMicrosoftの哲学によれば、これらのタイプのSRVレコードでは600の値が維持されます。

たくさん TTL IPが固定されているサーバーのうち、SOAで宣言されている時間は3時間です。

ゾーンファイル10.10.10.in-addr.arpa

ルート@dnslinux:〜#nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ IN SOAdnslinux.mordor.fan。 root.dnslinux.mordor.fan。 (1;シリアル1D;リフレッシュ1H;再試行1W;期限切れ3H); 最小または; 生きるための負のキャッシング時間。 @ IN NSdnslinux.mordor.fan。 ; 10 IN PTRblackspider.mordor.fan。 11 IN PTRpalantir.mordor.fan。 3 IN PTRsauron.mordor.fan。 4 IN PTRmamba.mordor.fan。 5 IN PTRdnslinux.mordor.fan。 6 IN PTRdarklord.mordor.fan。 7 IN PTRtroll.mordor.fan。 8 IN PTRshadowftp.mordor.fan。 9 IN PTRblackelf.mordor.fan。

root @ dnslinux:〜#named-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
ゾーン10.10.10.in-addr.arpa/IN:ロードされたシリアル1 OK

ゾーンファイル_msdcs.mordor.fan

ファイルで推奨されているものを考慮に入れましょう /usr/share/doc/bind9/README.Debian.gz DHCPによる動的更新の対象とならないマスターゾーンのファイルの場所について。

ルート@dnslinux:〜#nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ IN SOAdnslinux.mordor.fan。 root.dnslinux.mordor.fan。 (1;シリアル1D;リフレッシュ1H;再試行1W;期限切れ3H); 最小または; 生きるための負のキャッシング時間。 @ IN NSdnslinux.mordor.fan。 ; ; ; グローバルカタログgc._msdcs.mordor.fan。 600 IN A 10.10.10.3; ; SAURON03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fanのエイリアス-アクティブディレクトリの変更されたプライベートLDAPデータベース内-。 600 IN CNAMEsauron.mordor.fan。 ; ; アクティブディレクトリの変更されたプライベートLDAP_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan。 600 IN SRV 0sauron.mordor.fan。 _ldap._tcp.dc._msdcs.mordor.fan。 100 IN SRV 389sauron.mordor.fan。 _ldap._tcp.600d0d-100fdb-389cf-a18-d3360c8b40d678.domains._msdcs.mordor.fan。 7 IN SRV 420sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan。 6 IN SRV 775 600 0sauron.mordor.fan。 _ldap._tcp.gc._msdcs.mordor.fan。 100 IN SRV 389 600 0sauron.mordor.fan。 _ldap._tcp.pdc._msdcs.mordor.fan。 100 IN SRV 3268sauron.mordor.fan。 ; ; KERBEROSは、アクティブディレクトリ_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fanから変更およびプライベート化されています。 600 IN SRV 0 100 3268sauron.mordor.fan。 _kerberos._tcp.dc._msdcs.mordor.fan。 600 IN SRV 0 100 389sauron.mordor.fan。

ファイル内のこのゾーンの構成では、構文を確認し、返されるエラーを無視できます。 /etc/bind/named.conf.local ステートメントを含めます チェック名は無視します。。 ゾーンはBINDによって正しくロードされます。

root @ dnslinux:〜#named-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14:gc._msdcs.mordor.fan:不正な所有者名(チェック名)ゾーン_msdcs.mordor.fan/IN:ロードされたシリアル1 OK

root @ dnslinux:〜#systemctl restart bind9.service 
root @ dnslinux:〜#systemctl status bind9.service 
●bind9.service-ロードされたBINDドメインネームサーバー:ロードされた(/lib/systemd/system/bind9.service;有効)ドロップイン:/run/systemd/generator/bind9.service.d└─50-insserv.conf- $ named.confアクティブ: アクティブ(実行中) 日曜日から2017-02-12:08:48 EST; 38秒前ドキュメント:man:名前付き(2)プロセス:8 ExecStop = / usr / sbin / rndc stop(コード=終了、ステータス= 859 /成功)メインPID:0(名前付き)CGroup:/system.slice/bind864.service └─9/ usr / sbin /名前付き-f-u bind Feb 864 12:08:48 dnslinux名前付き[38]:ゾーン864.efip3.arpa/IN:ロードされたシリアル6 Feb 1 12:08:48dnslinux名前付き[38 ]:ゾーンbefip864.arpa / IN:ロードされたシリアル6 Feb 1 12:08:48 dnslinuxという名前[38]:ゾーン864.efip0.arpa / IN:ロードされたシリアル6 Feb 1 12:08:48 dnslinuxという名前[38]:ゾーン864.efip7.arpa/ IN:ロードされたシリアル6 Feb 1 12:08:48 dnslinuxという名前[38]:ゾーンmordor.fan/IN:ロードされたシリアル864 Feb 1 12:08:48 dnslinuxという名前[38]:ゾーンの例.org / IN:ロードされたシリアル864 Feb 1 12:08:48 dnslinuxという名前[38]:ゾーン_msdcs.mordor.fan/IN:ロードされたシリアル864 Feb 1 12:08:48 dnslinuxという名前[38]:ゾーンが無効/ IN :ロードされたシリアル864 Feb 1 12:08:48 [38]という名前のdnslinux: ロードされたすべてのゾーン
12月08日48:38:864dnslinuxという名前[XNUMX]: ランニング

BINDに相談します

DHCPをインストールした後、Windows7クライアントをドメインに参加させることも含む一連のチェックを実行する必要があります モルドールファン コンピュータにインストールされているActiveDirectoryで表されます サウロン・モルドール・ファン.

私たちが最初にしなければならないことは、コンピューター上のDNSサービスを停止することです サウロン・モルドール・ファン、およびネットワークインターフェイスで、今後DNSサーバーが 10.10.10.5 dnslinux.mordor.fan.

サーバー自体のコンソール内 サウロン・モルドール・ファン 実行します:

Microsoft Windowsの[バージョン6.1.7600]
Copyright(c)2009 MicrosoftCorporation。 全著作権所有。

C:\ユーザー\管理者> nslookup
デフォルトサーバー:dnslinux.mordor.fanアドレス:10.10.10.5

> gc._msdcs
サーバー:dnslinux.mordor.fanアドレス:10.10.10.5名前:gc._msdcs.mordor.fanアドレス:10.10.10.3

> mordor.fan
サーバー:dnslinux.mordor.fanアドレス:10.10.10.5名前:mordor.fanアドレス:10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
サーバー:dnslinux.mordor.fanアドレス:10.10.10.5名前:sauron.mordor.fanアドレス:10.10.10.3エイリアス:03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

>セットタイプ= SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
サーバー:dnslinux.mordor.fanアドレス:10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRVサービスの場所:優先度= 0重み= 100ポート= 88svrホスト名= sauron.mordor.fan_msdcs.mordor.fanネームサーバー= dnslinux.mordor.fansauron.mordor.fanインターネットアドレス= 10.10.10.3dnslinux.mordor.fanインターネットアドレス= 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
サーバー:dnslinux.mordor.fanアドレス:10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRVサービスの場所:優先度= 0重み= 100ポート= 389svrホスト名= sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fansauron.mordor.fanインターネットアドレス= 10.10.10.3dnslinux.mordor.fanインターネットアドレス= 10.10.10.5
>終了

C:\ユーザー\管理者>

から行われたDNSクエリ サウロン・モルドール・ファン 満足です。

次のステップは、Windows7がインストールされた別の仮想マシンを作成することです。 DHCPサービスがまだインストールされていないため、«という名前のコンピューターを指定します。win7»IPアドレス 10.10.10.251。 また、DNSサーバーが 10.10.10.5 dnslinux.mordor.fan、および検索ドメインは モルドールファン。 インストール後にDHCPサービスのテストにも使用するため、そのコンピューターをDNSに登録しません。

次に、コンソールを開きます CMD その中で実行します:

Microsoft Windowsの[バージョン6.1.7601]
Copyright(c)2009 MicrosoftCorporation。 全著作権所有。

C:\ユーザー\バズ> nslookup
デフォルトサーバー:dnslinux.mordor.fanアドレス:10.10.10.5

> mordor.fan
サーバー:dnslinux.mordor.fanアドレス:10.10.10.5名前:mordor.fanアドレス:10.10.10.3

>セットタイプ= SRV
> _ldap._tcp.DomainDnsZones
サーバー:dnslinux.mordor.fanアドレス:10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan SRVサービスの場所:優先度= 0重み= 0ポート= 389svrホスト名= sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fansauron.mordor.fanインターネットアドレス= 10.10.10.3dnslinux.mordor.fanインターネットアドレス= 10.10.10.5
> _kpasswd._udp
サーバー:dnslinux.mordor.fanアドレス:10.10.10.5 _kpasswd._udp.mordor.fan SRVサービスの場所:優先度= 0重み= 0ポート= 464svrホスト名= sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fanインターネットアドレス= 10.10.10.3dnslinux.mordor.fanインターネットアドレス= 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
サーバー:dnslinux.mordor.fanアドレス:10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRVサービスの場所:優先度= 0重み= 0ポート= 389svrホスト名=サウロン。 mordor.fan mordor.fan nameserver = dnslinux.mordor.fansauron.mordor.fanインターネットアドレス= 10.10.10.3dnslinux.mordor.fanインターネットアドレス= 10.10.10.5
> 終了する

C:\ユーザー\バズ>

クライアントから行われたDNSクエリ«win7»また満足でした。

Active Directoryで、ユーザー«を作成します。サルマン«、クライアントに参加するときにそれを使用することを目的として win7 ドメインへ モルドールファン。、メソッド«を使用してネットワークID«、ユーザー名の使用 サルマン@mordor.fan y Administrator@mordor.fan。 参加は成功し、次のスクリーンショットで証明されています。

Microsoft®DNSおよびBINDの動的更新について

ActiveDirectory®でDNSサービスが停止しているため、クライアントはそれを実行できませんでした«win7»そのDNSに自分の名前とIPアドレスを登録します。 はるかに少ない dnslinux.mordor.fan 何も言わなかったので 許可更新 関係する分野のいずれかのために。

そして、これは私の友人との良い戦いが形成された場所でした フエジアン。 この側面についての私の最初の電子メールで、私はコメントしました:

  • BINDとActiveDirectory®の使用に関するMicrosoftの記事では、特にダイレクトゾーンの更新を許可することを推奨しています-ペネトラダ- 直接 すでにActiveDirectoryドメインに参加しているWindowsクライアントによる.
  • そのため、デフォルトでは、ActiveDirectory®セキュアダイナミックアップデートのDNSゾーンで許可されています。 すでにActiveDirectoryドメインに参加しているWindowsクライアント。 彼らが団結していない場合、彼らは結果を控えます。
  • Active DirectoryのDNSは、「セキュアのみ」、「非セキュアでセキュア」、または「なし」の動的更新をサポートします。これは、更新なしまたはなしと言うのと同じです。.
  • はい、そうです Microsoft Philosophyは、顧客がDNSのデータを更新しないことに同意していません。そのオプションがない限り、DNSの動的更新を無効にする可能性を残しません。より隠された目的のために残されます.
  • マイクロソフトは、闇と引き換えに「セキュリティ」を提供しています。 Microsft®Certificatesコースに合格した同僚や友人が私に言ったように。 本当。 さらに、ElFueguinoは私にそれを確認しました。
  • たとえば、UNIX®/ LinuxマシンにインストールされているDHCPを介してIPアドレスを取得するクライアントは、自身の名前のIPアドレスを解決できません。 ActiveDirectoryドメインに参加するまで、DHCPによる動的更新なしでMicrosoft®またはBINDがDNSとして使用されている限り。
  • DHCPをActiveDirectory®自体にインストールする場合、ゾーンがMicrosoft®DHCPによって更新されることを宣言する必要があります。
  • WindowsネットワークのDNSとしてBINDを使用する場合は、BIND-DHCPデュオをインストールすることをお勧めします。後者は、BINDを動的に更新し、問題を解決します。
  • UNIX®/ Linux上のLANネットワークの世界では、動的更新がBINDで発明されて以来、DHCP氏のみが許可されています«浸透する»BIND夫人への最新情報。 秩序あるリラクゼーションをお願いします。
  • ゾーンで宣言するとき モルドールファン たとえば、次の allow-update {10.10.10.0/24; };、BIND自体は、起動または再起動時に次のように通知します。
    • ゾーン 'mordor.fan'は、安全でないIPアドレスによる更新を許可します
  • 神聖なUNIX®/ Linuxの世界では、DNSを使用したこのような生意気は単純に容認できません。.

あなたは私の友人との交換の残りを想像することができます フエジアン 介して メール, テレグラムチャット、彼が支払った電話(もちろん、私はそのためのキロを持っていません)、そしてXXI世紀のキャリアハトを介したメッセージさえ!

彼は私に彼のペットの息子、彼のイグアナを送らないと脅しさえしました«ペトラ»彼が支払いの一部として私に約束したこと。 そこで本当に怖くなった。 それで私は再び始めました、しかし別の角度から。

  • Samba4で実現できる「ほぼ」ActiveDirectoryは、内部DNSを使用する場合、またはDLZゾーンをサポートするようにコンパイルされたBINDを使用する場合の両方で、この側面を巧みに解決します。 Dinamycロードゾーン、または動的にロードされたゾーン。
  • それは同じ苦しみを続けています:クライアントがにインストールされたDHCPを介してIPアドレスを取得するとき その他 UNIX®/ Linuxマシン、自分の名前のIPアドレスを解決することはできません Samba 4AD-DCのドメインに参加するまで.
  • BIND-DLZとDHCPデュオを同じマシンに統合します。 AD-DCサンバ4 それは本当の専門家の仕事です。

フエジアン 彼は私を章に呼び、私に怒鳴りました:私たちは話していません AD-DCサンバ4、ただし、Microsoft®ActiveDirectory®!。 そして、私が書くつもりだった以下の記事の一部に満足していると謙虚に答えました。

そのとき、彼のネットワーク上のクライアントコンピューターの動的更新に関する最終決定は、彼の自由意志に委ねられていると彼に話しました。 私は彼にだけ与えるだろうと 先端 以前に書かれた allow-update {10.10.10.0/24; };、そしてもっと何も。 私は、各Windowsクライアント(またはLinux)がネットワーク内でその乱雑さから生じたものについては責任を負いませんでした«浸透します»BINDに対する免責。

それが乱闘の終点であることを私の友人、読者が知っていれば、あなたはそれを信じないでしょう。 私の友人 フエジアン 彼は解決策を受け入れました-そして彼は私にイグアナを送ります«ピート«-今私はあなたと共有します。

DHCPをインストールして構成します

詳細については、 Debian8「Jessie」のDNSとDHCP.

root @ dnslinux:〜#aptitude install isc-dhcp-server

root @ dnslinux:〜#nano / etc / default / isc-dhcp-server ....#DHCPサーバー(dhcpd)はどのインターフェイスでDHCP要求を処理する必要がありますか? #複数のインターフェイスをスペースで区切ります(例: "eth0 eth1")。 INTERFACES = "eth0" root @ dnslinux:〜#dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
Kdhcp-key。+ 157 + 29836

root @ dnslinux:〜#catKdhcp-キー。+ 157 + 29836.private
プライベートキー形式:v1.3アルゴリズム:157(HMAC_MD5)キー:3HT / bg / 6YwezUShKYofj5g ==ビット:AAA =作成:20170212205030公開:20170212205030アクティブ化:20170212205030

ルート@dnslinux:〜#nano dhcp.key
key dhcp-key {algorithm hmac-md5; シークレット "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux:〜#install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux:〜#install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux:〜#nano /etc/bind/named.conf.local
////ここでローカル構成を行います////組織で使用されていない場合は//ここに1918ゾーンを追加することを検討してくださいinclude "/etc/bind/zones.rfc1918"; "/etc/bind/zones.rfcFreeBSD"を含めます。
//忘れないでください...私は忘れて、間違いで支払いました。 ;-)
「/etc/bind/dhcp.key」を含めます。


ゾーン "mordor.fan" {タイプマスター;
        allow-update {10.10.10.3; キーdhcp-キー; };
        ファイル "/var/lib/bind/db.mordor.fan"; }; ゾーン "10.10.10.in-addr.arpa" {タイプマスター;
        allow-update {10.10.10.3; キーdhcp-キー; };
        ファイル "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; ゾーン "_msdcs.mordor.fan" {タイプマスター; チェック名は無視します。 ファイル "/etc/bind/db._msdcs.mordor.fan"; };

root @ dnslinux:〜#named-checkconf 
ルート@dnslinux:〜#

root @ dnslinux:〜#nano /etc/dhcp/dhcpd.conf
ddns-update-style暫定; ddns-更新; ddns-ドメイン名 "mordor.fan。"; ddns-rev-domainname "in-addr.arpa。"; クライアントの更新を無視します。 権威ある; オプションip-forwardingoff; オプションドメイン名 "mordor.fan"; 「/etc/dhcp/dhcp.key」を含めます。 ゾーンmordor.fan。 {プライマリ127.0.0.1; キーdhcp-キー; }ゾーン10.10.10.in-addr.arpa。 {プライマリ127.0.0.1; キーdhcp-キー; }共有ネットワークredlocal {サブネット10.10.10.0ネットマスク255.255.255.0 {オプションルーター10.10.10.1; オプションサブネットマスク255.255.255.0; オプションbroadcast-address10.10.10.255; オプションdomain-name-servers10.10.10.5; オプションnetbios-name-servers10.10.10.5; 範囲10.10.10.30; }} #END dhcpd.conf

ルート@dnslinux:〜#dhcpd -t
インターネットシステムコンソーシアムDHCPサーバー4.3.1Copyright2004-2014インターネットシステムコンソーシアム。 全著作権所有。 詳細については、https://www.isc.org/software/dhcp/にアクセスしてください。構成ファイル:/etc/dhcp/dhcpd.confデータベースファイル:/var/lib/dh​​cp/dhcpd.leases PIDファイル:/ var / run /dhcpd.pid

root @ dnslinux:〜#systemctl restart bind9.service 
root @ dnslinux:〜#systemctl status bind9.service 

root @ dnslinux:〜#systemctl start isc-dhcp-server.service
root @ dnslinux:〜#systemctl status isc-dhcp-server.service

に関連するもの クライアントに確認する、そして、 ゾーンファイルの手動変更、読者の友人であるあなたに、直接読むために残しておきます Debian8「Jessie」のDNSとDHCP、そしてあなたの実際の条件にそれを適用します。 必要なチェックをすべて行い、満足のいく結果が得られました。 もちろん、それらすべてのコピーをに送信します フエジアン。 もうありません!

ヒント

一般的な

  • 始める前にかなりの忍耐を持ってください.
  • まず、BINDをインストールして構成します。 すべてをチェックし、Active DirectoryとLinux上のDNSサーバー自体の両方から、XNUMXつ以上のゾーンの各ファイルで宣言したすべてのレコードを確認します。 可能であれば、ドメインに参加していないLinuxマシンから、BINDに対して必要なDNSクエリを実行します。
  • 固定IPアドレスのWindowsクライアントを既存のドメインに参加させ、WindowsクライアントからすべてのBIND設定を再確認します。
  • 新しいBINDの構成が完全に正しいことを確認したら、DHCPサービスをインストール、構成、および開始します。
  • エラーが発生した場合は、手順全体をゼロ0から繰り返します。
  • コピー&ペーストに注意してください! そして、named.conf.xxxxファイルの各行の残りのスペース
  • その後、彼は、適切にアドバイスされていないと不平を言うことはありませんでした。.

その他のヒント

  • 分割統治.
  • SMEネットワークでは、ルートサーバーに再発しない内部LANゾーンにAuthoritative BINDをインストールする方が安全で、より有益です。 再帰なし;.
  • インターネットアクセスプロバイダーの下にあるSMEネットワーク内- ISP、おそらくサービス プロキシ y SMTP 彼らはインターネット上のドメイン名を解決する必要があります。 彼 いか に基づいてメールサーバーを使用しているときに、DNSを外部で宣言するかどうかを選択できます。 Postfixの o MDaemon® そのサービスで使用するDNSサーバーを宣言することもできます。 このような場合、つまりインターネットにサービスを提供しておらず、 インターネットサービスプロバイダ、でBINDをインストールできます フォワーダー のDNSを指す ISP、およびLANへの外部クエリを解決する必要があるサーバーでセカンダリDNSとして宣言します。それ以外の場合は、独自の構成ファイルを介して宣言することができます。
  • 全責任の下に委任ゾーンがある場合次に、別のオンドリのカラス:
    • に基づいてDNSサーバーをインストールします NSD、定義上、権威DNSサーバーであり、インターネット上のコンピューターからのクエリに応答します。 いくつかの情報について 適性ショーnsd。 😉必要な数の防火壁で十分に保護してください。 ハードウェアとソフトウェアの両方。 これはインターネットのDNSになり、その«ツァーリ»ローパンツで与えてはいけません。 😉
    • 私はこのような場合、つまり委任ゾーンに完全に責任があるのを見たことがないので、LANの外部にあるドメイン名を必要とするサービスの解決に何を推奨するかをよく考えなければなりません。 SMEネットワーククライアントは実際にはそれを必要としません。 私はそれらのXNUMXつではないので、専門の文献、またはこれらの主題の専門家に相談してください。 真剣に.
    • 権威主義サーバーには再帰は存在しません。 はい?。 誰かがBINDでそれを行うことを考えている場合に備えて。
  • ファイルで明示的に指定しますが /etc/dhcp/dhcpd.conf 宣言 クライアントの更新を無視します。、コンピュータコンソールで実行する場合 dnslinux.mordor.fan 注文 Journalctl -f、クライアントを起動すると、 win7.mordor.ファン 次のエラーメッセージが表示されます。
    • 12月16日55:41:900dnslinuxという名前[10.10.10.30]:クライアント58762#XNUMX:更新 'mordor.fan/IN'が拒否されました
      12月16日55:42:900dnslinuxという名前[10.10.10.30]:クライアント49763#XNUMX:更新 'mordor.fan/IN'が拒否されました
      12月16日56:23:900dnslinuxという名前[10.10.10.30]:クライアント63161#XNUMX:更新 'mordor.fan/IN'が拒否されました
      
    • これらのメッセージを削除するには、ネットワークカード構成の詳細オプションに移動し、オプション«のチェックを外す必要があります。この接続のアドレスをDNSに登録します«。 これにより、クライアントがLinux DNSに永久に自己登録しようとするのを防ぎ、問題を終わらせることができます。 申し訳ありませんが、スペイン語のWindows7のコピーを持っていません。 😉
  • Windows 7クライアントが行うすべての深刻な(そしてクレイジーな)クエリについて調べるには、 ログquerys.log それは、BIND構成で宣言するものです。 順序は次のようになります。
    • root @ dnslinux:〜#tail -f /var/log/named/queries.log
  • クライアントコンピューターがインターネットに直接接続することを許可しない場合、なぜルートDNSサーバーが必要なのですか? これにより、コマンドの出力が大幅に減少します Journalctl -f 前のバージョンから、内部ゾーンの権限のあるDNSサーバーがインターネットに直接接続しない場合。これはセキュリティの観点から強くお勧めします。
    root @ dnslinux:〜#cp /etc/bind/db.root /etc/bind/db.root.original
    root @ dnslinux:〜#cp / dev / null /etc/bind/db.root
  • ルートサーバーの宣言が必要ない場合、なぜ再帰が必要なのですか? 再帰?
    root @ dnslinux:〜#nano /etc/bind/named.conf.options
    オプション{
     ....
     再帰なし;
     ....
    };

私がまだあまり明確ではない具体的なアドバイス

El 男dhcpd.conf 他の多くのことの中で次のことを教えてくれます:

        update-optimizationステートメント

            更新最適化フラグ。

            特定のクライアントのupdate-optimizationパラメーターがfalseの場合、サーバーは、クライアントがリースを更新するたびに、必要と思われる場合にのみ更新を試行するのではなく、そのクライアントのDNS更新を試行します。 これにより、DNSはデータベースの不整合をより簡単に修復できますが、DHCPサーバーがさらに多くのDNS更新を実行する必要があるというコストがかかります。 このオプションを有効にして読むことをお勧めします。これはデフォルトです。 このオプションは、暫定DNS更新スキームの動作にのみ影響し、アドホックDNS更新スキームには影響しません。 このパラメーターが指定されていないか、trueの場合、DHCPサーバーは、クライアント情報が変更されたとき、クライアントが別のリースを取得したとき、またはクライアントのリースが期限切れになったときにのみ更新されます。

読者の皆様、多かれ少なかれ正確な翻訳または通訳はあなたに任されています。

個人的には、BINDをActiveDirectory®にリンクするときに、Microsft®またはSamba 4からのものであり、に登録されているクライアントコンピューターの名前を変更すると、この記事の作成中に発生しました。 ActiveDirectory®ドメインまたは AD–DC Samba 4では、古い名前とIPアドレスをダイレクトゾーンに保持しますが、その逆ではなく、新しい名前で正しく更新されます。 つまり、古い名前と新しい名前はダイレクトゾーンの同じIPアドレスにマップされますが、逆の場合は新しい名前のみが表示されます。 私をよく理解するには、自分で試してみる必要があります。

ある種の復讐だと思います フエジアン -私ではありません-サービスをLinuxに移行しようとしてください。

もちろん、古い名前は TTL3600、またはDHCP構成で宣言した時間。 ただし、BIND + DHCPで発生するため、すぐに消えることが必要です。 ActiveDirectoryなしで.

ステートメントを挿入することによって私が見つけたその状況の解決策 更新最適化 false; ファイルの先頭に /etc/dhcp/dhcpd.conf:

ddns-更新スタイルの暫定; ddns-更新; ddns-domainname "mordor.fan。"; ddns-rev-domainname "in-addr.arpa。"; クライアントの更新を無視します。
更新最適化 false;

読者がそれについてもっと知っているなら、私に教えてください。 とても感謝しています。

要約

私たちはこのテーマをとても楽しんでいますよね? BINDがMicrosoft®ネットワークのDNSサーバーとして機能し、すべてのSRVレコードを提供し、行われたDNSクエリに適切に応答するため、問題はありません。 一方、IPアドレスを付与し、BINDゾーンを正しく動的に更新するDHCPサーバーがあります。

しかし、私たちは...今のところ尋ねることはできません。

私の友人を願っています フエジアン Microsft®テクニカルサポートの耐えられないコストを耐えられるようにするためのLinuxへの移行の最初のステップに満足して満足してください。

重要な注意事項

キャラクター "フエジアン»完全に架空のものであり、私の想像の産物です。 実在の人々との類似点や偶然の一致は同じです。私の側の純粋な非自発的一致です。 この記事の執筆と閲覧を少し楽しくするために作成しただけです。 DNSの問題が暗いと言えば


13コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   クレポ88

    非常に強い、コメントなし。 MicrosoftのDNSは必要ないので。 訴えないように気をつけて、はははは。 配達フィコをありがとう。

  2.   フェデリコ

    私を訴えますか? 彼らがELフエギノで彼らを見ていること。 😉
    ありがとう、友達!!!

  3.   ハニボールビーン

    Active Directoryのこのすべての部分に対して、zentyalをインストールする方が簡単ではありませんでしたか?

  4.   ハンター

    ははは、強力なバインドをマウントするための素晴らしいアーティキュレーションです。上のコメントでZentyalが推奨されていることがわかります。撮影が始まる前に、出発します。

    PS:WindowsベースのドメインはMordorですが、純粋なSambaをマウントすると、GondorまたはRohanになりますよね? 😉

  5.   フェデリコ

    Zentyalの使用は誰にもお勧めしません。 多くの中小企業ではWindowsの使用が現実であるため、Windowsを使用してください。 Zentyalの安定性については、私の友人であり同僚のDhunterに聞いてください。 😉

  6.   フェデリコ

    確かに、dhunterの友達。 Samba 4では、tierramedia.fanと呼ばれます。 😉

  7.   フェデリコ

    すでに記事をダウンロードしている方は、以下の点にご注意ください。
    どこが言う
    ; 以下の記録に十分注意してください
    @ IN NSdnslinux.mordor.fan。
    @ IN A 10.10.10.3

    正しく言う必要があります

    ; 以下の記録に十分注意してください
    @ IN NSdnslinux.mordor.fan。
    @ IN A 10.10.10.5

    同僚のエドゥアルド・ノエルは私の不本意な間違いに気づいた人でした。

  8.   フェデリコ

    すでに記事をダウンロードしている方は、以下の点にご注意ください。
    どこが言う
    ; 以下の記録に十分注意してください
    @ IN NSdnslinux.mordor.fan。
    @ IN A 10.10.10.3

    正しく言う必要があります

    ; 以下の記録に十分注意してください
    @ IN NSdnslinux.mordor.fan。
    @ IN A 10.10.10.5

    同僚のエドゥアルド・ノエルは私の不本意な間違いに気づいた人でした。

  9.   ハンター

    深刻なことにZentyalを使用する予定の場合は、非常に注意してください。4.2つのZentyal 14.04ドライバー(5.0)を使用し、すべてを更新して、非常にまれなバグに注意します(さらにまれなのは、プロジェクトのbugzilla、あなたはあなたがあまり感謝していないものを使うことに愚かだと感じさせます)、彼らはしばらくの間途方もないフィードバックがなかったので、私は彼らが消えたと思っていました、そして突然彼らは4.2からの可能な移行なしでXNUMXをリリースします...素敵です。 ..

    常に最新バージョンを使用している開発者と一緒に実行しない限り、コミュニティバージョンにバグを報告しても意味がありません。これを確認してください。 https://tracker.zentyal.org/issues/5080#comment:14

    結局、比較的安定したバージョンで死に、それが続くまでそれを打ち負かす必要があります、私のzentyalがcronに持っているものを見てください:

    0 7 * * 1-6 /sbin/shutdown -r now

    私が言っていたように...素敵です!

    PS:おそらく私はこのすべての作業を無料版を使用するために費やし、おそらく有料版は深刻ですが、ユーザーを獲得するための最善の戦略ではないと思います。同様のビジネスモデルを持つ別の製品はProxmoxであり、そのようなものについて有料版を比較しました無料版が不足しているからではなく、プロジェクトにお金を与えるために、Proxmoxは宝石です。

  10.   イスマエルアルバレスウォン

    こんにちはフェデリコ:
    新しい記事が出るたびに、BIND + DHCPデュオに関する以前の3つの投稿で説明したすべてでは不十分であるかのように進み、移行方法に関する記事のこの「トランク」(すみません)を公開します。 MicrosoftのDNSからBINDへ、LinuxでDHCPから更新する方法、および上記のすべてを上にする方法は、Microsoft ActiveDirectoryと共存します。
    。 Active Directory の DNS SRV レコード、そのダイレクト ゾーン「_msdcs.domain」、キャプチャ方法に関するすべての優れた情報 desde Linux Microsoft AD DNS のゾーン (または複数) のレコードを使用して、BIND 内に前述のゾーンのデータベースを作成します。
    。 BIND構成でクエリのログを有効にすると非常に便利です。
    。 次のアドバイスは非常に価値があります。LinuxにインストールされたDHCPを介してIPアドレスを取得するクライアントは、Active Directoryドメインに参加するまで、自分の名前のIPアドレスを解決できません。 この記事のラボの例では、最初に「win7」コンピュータにIPアドレス10.10.10.251が割り当てられてドメイン「mordor.fan」のDNSチェックが行われ、次にその固定IPからMicrosoft ADに参加して、最終的にDHCPがLinuxにインストールされている場合、これはIPを割り当てると同時に、BINDを更新して、フォワードゾーンとリバースゾーンに機器のレジストリを書き込むものです。 あなたが見つけられないより詳細に行きなさい!
    。 Microsoft®DNSおよびBINDの動的更新に関するすべての考慮事項は非常に優れています。 最後のセクションで説明されたすべてのアドバイス、特に「私がまだあまり明確ではない特定の評議会」に対するすべての開発と提案された解決策。
    !作者のための5つ星! そして私はますます興味を持ってPYMESシリーズをフォローしています!

  11.   フェデリコ

    Dhunter:Voice ofExperienceを書きました。 「実践は真実の最良の基準です。」

    ウォン:私はすでにあなたのコメントを逃しました-記事の補足。 dnsmasqに関するものがすぐに出るといいのですが。

    コメントありがとうございます。

  12.   クレポ88

    +«ElFueguino»と呼ばれるパートナーについても、サーバーの移行を開始するという彼の決定についても話していません。 あなたはマイクロソフトから別のものを盗んだ、ハハハ!!!! ????

  13.   フェデリコ

    ハハハハ友達crespo88。 あなたは架空の人物の波が好きだったようです。 他の人があなたのような意見をもっと持っているなら、それは密集したトピックに関する記事をより面白くするかもしれません。 それについての他のコメントを待ちましょう。