BIND және Active Directory® - ШОБ желілері

Серияның жалпы индексі: ШОБ үшін компьютерлік желілер: кіріспе

Сәлем достар!. Осы мақаланың негізгі мақсаты - көптеген шағын және орта бизнес субъектілерінде кеңінен таралған Microsoft желісіне BIND9 негізінде DNS қызметін қалай біріктіруге болатындығын көрсету.

Бұл Ла-Тьерра-дель-Фуэгода тұратын досының ресми өтінішінен туындайды -Фуэгиялық- сіздің серверлеріңізді Linux-ке көшірудің осы бөлігінде басшылыққа алу үшін Microsoft® Networks -Sertificates-ға мамандандырылған. Шығындар Soporte Microsoft® төлейтін техник қазірдің өзінде Шыдамайды ол өзі жұмыс істейтін және оның негізгі акционері болып табылатын компания үшін.

Ми амиго Фуэгиялық тамаша әзіл-оспаққа ие және үш фильм сериясын көргеннен бері «Сақиналардың иесі»Ол өзінің қара кейіпкерлерінің көптеген аттарымен баурап алды. Сонымен, оқырман досым, сіздің доменіңіз бен серверлеріңіздің атына таң қалмаңыз.

Тақырыпқа жаңадан келгендер үшін және оқуды жалғастырмас бұрын, ШОБ желілеріндегі алдыңғы үш мақаланы оқып, зерттеуге кеңес береміз:

Бұл «төрт бөліктің үшеуін көру сияқтыЖерасты әлемі»Бүгінге дейін жарық көрді және бұл төртінші.

Жалпы параметрлер

Арқылы бірнеше алмасудан кейін электрондық пошта, соңында мен сіздің қазіргі желідегі негізгі параметрлер туралы анық білдім, олар:

Mordor.fan домендік атау LAN Network 10.10.10.0/24 ======================================== ================================================= Серверлер IP-мекен-жайдың мақсаты (OS Windows бар серверлер ) ==================================================== ============================== sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Windows файл сервері darklord.mordor.fan. 10.10.10.6 Kerios troll.mordor.fan-да прокси, шлюз және брандмауэр. 10.10.10.7 ... негізіндегі блог shadowftp.mordor.fan еске түсіре алмайды. 10.10.10.8 FTP сервері blackelf.mordor.fan. 10.10.10.9 толық электрондық пошта қызметі blackspider.mordor.fan. 10.10.10.10 WWW қызметі palantir.mordor.fan. 10.10.10.11 Windows үшін Openfire-де сөйлесу

Мен рұқсат сұрадым Фуэгиялық менің ойымды тазарту үшін қанша лақап ат қою керек және маған рұқсат берді:

Нақты CNAME ============================== Саурон ad-dc mamba fileserver darklord proxyweb troll блог shadowftp ftpserver blackelf mail blackspider www palantir openfire

Мен Windows 2008 Active Directory-ді орнатқан кезде барлық маңызды DNS жазбаларын жариялауға мәжбүр болдым.

Active Directory DNS SRV жазбалары туралы

Тіркеулер SRV o Microsoft Active Directory қызметінде кеңінен қолданылатын сервистік локаторлар Пікірлерге сұраныс 2782. Олар DNS сұранысы арқылы TCP / IP хаттамасына негізделген қызметтің орналасуына мүмкіндік береді. Мысалы, Microsoft желісіндегі тұтынушы домен контроллерлерінің орналасуын таба алады - Домен контроллері бір DNS сұранысы арқылы 389 портындағы LDAP қызметін TCP протоколы арқылы қамтамасыз етеді.

Ормандарда бұл қалыпты жағдай - Ормандаржәне ағаштар - ағаштар Microsoft желісінің бірнеше домен контроллері бар. Осы желінің домендік атау кеңістігін құрайтын әр түрлі аймақтардағы SRV жазбаларын пайдалану арқылы біз әрқайсысының көлік протоколы мен портына сәйкес қалау бойынша тапсырыс берген ұқсас танымал қызметтерді ұсынатын серверлер тізімін жүргізе аламыз. серверлер.

В Пікірлерге сұраныс 1700 Белгілі қызметтерге арналған әмбебап символдық атаулар анықталды - Белгілі қызмет, және «сияқты атаулар_telnet«,»_smtp»Қызметтер үшін телнет y SMTP. Егер белгілі қызмет үшін символдық атау анықталмаса, пайдаланушының қалауына сәйкес жергілікті атауды немесе басқа атауды пайдалануға болады.

Байлаңыз

Әр өрістің мақсаты «арнайы»SRV Resource Record декларациясында мыналар қолданылады:

  • Домен: «Pdc._msdcs.mordor.fan.«. SRV жазбасы сілтеме жасайтын қызметтің DNS атауы. Мысалдағы DNS атауы-көп немесе аз мағынаны білдіреді Негізгі домен контроллері ауданның _msdcs.mordor.fan.
  • қызмет көрсету: «_Ldap». Көрсетілетін қызметтің символикалық атауы сәйкес анықталады Пікірлерге сұраныс 1700.
  • Хаттама: «_Tcp». Тасымалдау протоколының түрін көрсетеді. Әдетте ол мәндерді қабылдай алады _tp o _удп, дегенмен -және іс жүзінде - көрсетілген көлік протоколының кез келген түрі Пікірлерге сұраныс 1700. Мысалы, қызмет үшін сұхбат протоколға негізделген XMPP, бұл өрістің мәні болады _xmpp.
  • басымдық: «0«. Үшін басымдылықты немесе артықшылықты жариялаңыз Осы қызметті ұсынатын хост біз оны кейінірек көреміз. Осы SRV жазбасында анықталған қызмет туралы клиенттердің DNS сұраулары тиісті жауап алғаннан кейін өрісте тізімделген ең төменгі нөмірі бар бірінші қол жетімді хостпен байланысуға тырысады. басымдық. Бұл өрістің қабылдауы мүмкін мәндер ауқымы 0 және 65535.
  • салмақ: «100«. Бірге қолдануға болады басымдық бір қызметті ұсынатын бірнеше серверлер болған кезде жүктемені теңдестіру механизмін қамтамасыз ету. Әр аймақтың файлында оның аты-жөні өрісте жарияланған әрбір сервер үшін ұқсас SRV жазбасы болуы керек Осы қызметті ұсынатын хост. Өрістегі мәні бірдей серверлер алдында басымдықөріс мәні салмақ оны жүктемені теңдестіру үшін дәл сервер таңдауын алу үшін қосымша артықшылық деңгейі ретінде пайдалануға болады. Бұл өрістің қабылдауы мүмкін мәндер ауқымы 0 және 65535. Егер жүктемені теңдестіру қажет болмаса, мысалы, жалғыз сервер жағдайында мәнді тағайындаған жөн 0 SRV жазбасын оқуды жеңілдету үшін.
  • Порт нөмірі - Порт: «389«. Порт нөмірі Осы қызметті ұсынатын хост өрісте көрсетілген қызметті ұсынады қызмет көрсету. Белгілі қызметтің әр түріне ұсынылатын порт нөмірі көрсетілген Пікірлерге сұраныс 1700, дегенмен арасында мән алуы мүмкін 0 және 65535.
  • Бұл қызметті ұсынатын хост - Target: «sauron.mordor.fan.«. Анықтайды FQDN сөзсіз анықтайтын қабылдаушы SRV жазбасында көрсетілген қызметті көрсететін. Жазба түрі «A»Әрқайсысы үшін домендік аттар кеңістігінде FQDN серверден немесе қабылдаушы қызметті ұсынады. Қарапайым, типтік жазба A тікелей аймақта (ларда).
    • Ескерту:
      SRV жазбасында көрсетілген қызметтің осы хостта берілмейтіндігін беделді түрде көрсету үшін жалғыз (
      .) нүкте.

Біз тек желінің немесе Active Directory® дұрыс жұмыс істеуі домендік атау қызметінің дұрыс жұмысына тәуелді екенін қайталағымыз келеді..

Active Directory DNS жазбалары

BIND негізінде жаңа DNS серверінің аймақтарын құру үшін біз барлық DNS жазбаларын Active Directory®-ден алуымыз керек. Өмірді жеңілдету үшін біз командаға барамыз sauron.mordor.fan -Active Directory® 2008 SR2- және DNS басқару консолінде біз осы қызмет түрінде жарияланған негізгі аймақтар үшін Zone Transfer -direct және кері бағыттарын қосамыз:

  • _msdcs.mordor.fan
  • mordor.fan
  • 10.10.10.in.add.arpa

Алдыңғы қадам және жақсырақ IP-мекен-жайы Windows Network қолданатын ішкі желі шеңберінде болатын Linux компьютерінен жүзеге асырылғаннан кейін біз келесі әрекеттерді орындаймыз:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> темп /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa
  • Алдыңғы мақалалардан құрылғының IP-мекен-жайы туралы еске түсіріңіз sysadmin.fromlinux.fan 10.10.10.1 құрайды немесе 192.168.10.1.

Алдыңғы үш пәрменде біз опцияны жоюға болады @10.10.10.3 -сол мекен-жайы бар DNS серверінен сұраңыз- егер біз файлда мәлімдейтін болсақ /etc/resolv.conf IP-серверге sauron.mordor.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf # linux.fan аттар сервері 192.168.10.5 аттар сервері 10.10.10.3-тен NetworkManager іздеуімен жасалған.

BIND кез-келген аймақтық файлға сәйкес келетін өте мұқият өңдеуден кейін біз келесі деректерді аламыз:

_Msdcs.mordor.fan бастапқы аймағынан RR жазбалары

buzz @ sysadmin: ~ $ cat temp / rrs._msdcs.mordor.fan 
; SOA және NS _msdcs.mordor.fan қатысты. 3600 IN SOA sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 3600 _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; Ғаламдық каталог gc._msdcs.mordor.fan. 600-те 10.10.10.3; ; Бүркеншік аттар - SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan Active Directory каталогының өзгертілген және жеке LDAP дерекқорында. 600 IN CNAME sauron.mordor.fan. ; ; Белсенді каталогтың өзгертілген және жеке LDAP _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; Белсенді каталогтың өзгертілген және жеке KERBEROS _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Mordor.fan бастапқы аймағынан RR жазбалары

buzz @ sysadmin: ~ $ cat temp / rrs.mordor.fan 
; SOA, NS, MX және оны бейнелейтін A жазбаларына қатысты; SAURON IP-іне домендік атау; Mordor.fan Active Directory-ден алынған заттар. 3600 IN SOA sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 86400 3600 mordor.fan. 600 IN 10.10.10.3 mordor.fan. 3600 IN NS sauron.mordor.fan. mordor.fan. 3600 IN MX 10 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; Сондай-ақ маңызды A DomainDnsZones.mordor.fan жазбаларын жасайды. 600 IN A 10.10.10.3 ForestDnsZones.mordor.fan. 600-те 10.10.10.3; ; Ғаламдық каталог _gc._tcp.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. ; ; _Ldap._tcp.mordor.fan Active Directory өзгертілген және жеке LDAP. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; Белсенді каталогтан өзгертілген және жеке KERBEROS _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. ; ; IP тіркелген жазбалар -> Blackelf.mordor.fan серверлері. 3600 IN A 10.10.10.9 blackspider.mordor.fan. 3600 IN A 10.10.10.10 darklord.mordor.fan. 3600 IN A 10.10.10.6 mamba.mordor.fan. 3600 IN A 10.10.10.4 palantir.mordor.fan. 3600 IN A 10.10.10.11 sauron.mordor.fan. 3600 IN A 10.10.10.3 shadowftp.mordor.fan. 3600 IN 10.10.10.8 troll.mordor.fan. 3600 IN A 10.10.10.7; ; CNAME ad-dc.mordor.fan жазады. 3600 IN CNAME sauron.mordor.fan. blog.mordor.fan. 3600 IN CNAME troll.mordor.fan. fileserver.mordor.fan. 3600 IN CNAME mamba.mordor.fan. ftpserver.mordor.fan. 3600 IN CNAME shadowftp.mordor.fan. mail.mordor.fan. 3600 IN CNAME balckelf.mordor.fan. openfire.mordor.fan. 3600 IN CNAME palantir.mordor.fan. proxy.mordor.fan. 3600 IN CNAME darklord.mordor.fan. www.mordor.fan. 3600 IN CNAME blackspider.mordor.fan.

10.10.10.in.add.arpa аймағындағы RRs жазбалары

buzz @ sysadmin: ~ $ cat temp / rrs.10.10.10.in-addr.arpa 
; SOA және NS 10.10.10.in.add.arpa қатысты. 3600 IN SOA sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400 3600 10.10.10.in.add.arpa. 3600 IN NS sauron.mordor.fan. ; ; PTR жазбалары 10.10.10.10.in.add.arpa. 3600 IN PTR blackspider.mordor.fan. 11.10.10.10.in.add.arpa. 3600 IN PTR palantir.mordor.fan. 3.10.10.10.арпада. 3600 IN PTR sauron.mordor.fan. 4.10.10.10.арпада. 3600 IN PTR mamba.mordor.fan. 5.10.10.10.арпада. 3600 IN PTR dnslinux.mordor.fan. 6.10.10.10.арпада. 3600 IN PTR darklord.mordor.fan. 7.10.10.10.арпада. 3600 IN PTR troll.mordor.fan. 8.10.10.10.арпада. 3600 IN PTR shadowftp.mordor.fan. 9.10.10.10.арпада. 3600 IN PTR blackelf.mordor.fan.

Осы уақытқа дейін біз авантюраны жалғастыру үшін қажетті деректерге ие деп ойлаймыз TTL және басқа мәліметтер, мысалы, Microsft®-тен 2008 биттік Active Directory® 2 SR64 DNS шығысы және тікелей бақылауы бізге береді.

SAURON-дағы DNS менеджерінің суреттері

Dnslinux.mordor.fan командасы.

Егер біз мұқият қарасақ, IP мекен-жайы 10.10.10.5 оған жаңа DNS атауына ие болу үшін оған ешқандай ат қойылмаған dnslinux.mordor.fan. DNS және DHCP жұбын орнату үшін мақалаларды басшылыққа аламыз Debian 8-дегі DNS және DHCP «Джесси» y CentOS 7 жүйесінде DNS және DHCP.

Негізгі операциялық жүйе

Ми амиго ФуэгиялықMicrosoft® Windows-та нағыз маман болумен қатар, оның осы компания берген бірнеше Сертификаттары бар - ол жұмыс үстелінде жарияланған бірнеше мақалаларды оқып, тәжірибеде қолданды FromLinux., және ол маған арнайы Debian негізіндегі шешімді алғысы келетінін айтты. 😉

Сізді қуанту үшін біз серверді жаңа, таза орнатудан бастаймыз Debian 8 «Джесси». Алайда, төменде жазатынымыз бұрын мақалалары туралы айтқан CentOS және openSUSE дистрибутивтері үшін жарамды. BIND және DHCP кез-келген тарату кезінде бірдей. Жеңіл ауытқуларды әр тарату кезінде пакеттің күтушілері енгізеді.

Орнатуды біз көрсетілгендей жасаймыз Debian 8-дегі DNS және DHCP «Джесси», IP пайдалану туралы қамқорлық 10.10.10.5 және желі 10.10.10.0 / 24., BIND конфигурациясын жасамас бұрын да.

Біз BIND-ді Debian стилінде теңшейміз

/etc/bind/named.conf

Файл /etc/bind/named.conf біз оны орнатылған күйінде қалдырамыз.

/etc/bind/named.conf.options

Файл /etc/bind/named.conf.options мынадай мазмұнмен қалдыру керек:

root @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dnslinux: ~ # nano /etc/bind/named.conf.options
параметрлер {директория «/ var / cache / bind»; // Егер сіз бен сіз сөйлескіңіз келетін // аттар серверлерінің арасында брандмауэр болса, сізге бірнеше // порттардың сөйлесуіне мүмкіндік беру үшін брандмауэрді түзету қажет болуы мүмкін. Http://www.kb.cert.org/vuls/id/800113 қараңыз // Егер сіздің Интернет-провайдер тұрақты // аттар серверлері үшін бір немесе бірнеше IP-мекен-жай берген болса, сіз оларды экспедитор ретінде пайдаланғыңыз келуі мүмкін. // Келесі блоктан бас тартыңыз және // барлық-0 толтырғышын алмастыратын мекен-жайларды енгізіңіз. // экспедиторлар {// 0.0.0.0; //}; // ================================================== ==================== // // Егер BIND түбірлік кілтінің қолданылу мерзімі аяқталғандығы туралы қате туралы хабарламаларды тіркесе, // сіз өзіңіздің кілттеріңізді жаңартуыңыз керек. Https://www.isc.org/bind-keys // =================================== қараңыз. ====================================

    // Біз DNSSEC-ті қаламаймыз
        dnssec-қосу жоқ;
        //dnssec-validation auto;

        auth-nxdomain жоқ; # RFC1035 сәйкес келеді

 // IPv6 мекен-жайларын тыңдаудың қажеті жоқ
        // listen-on-v6 {кез келген; };
    v6-тыңдау {жоқ; };

 // localhost және sysadmin тексерулеріне арналған
    // арқылы // dig mordor.fan axfr // dig 10.10.10.in-addr.arpa axfr // dig _msdcs.mordor.fan axfr // бізде Slave DNS жоқ ... осы уақытқа дейін
 рұқсат беру-жіберу {localhost; 10.10.10.1; };
};

// BIND тіркеу
журнал жасау

        арна сұраулары {
        «/var/log/named/queries.log» файлының 3 өлшемі 1м;
        ауырлық туралы ақпарат;
        басып шығару уақыты иә;
        баспа ауырлығы иә;
        баспа санаты иә;
        };

        арна сұрауы-қате {
        «/var/log/named/query-error.log» файлының 3 өлшемі 1м;
        ауырлық туралы ақпарат;
        басып шығару уақыты иә;
        баспа ауырлығы иә;
        баспа санаты иә;
        };

                                
санаттағы сұраулар {
         сұраулар;
         };

санаттағы қателіктер {
         сұраныс-қате;
         };

};
  • Біз BIND журналдарының түсірілімін а ретінде ұсынамыз ЖАҢА тақырыпқа арналған мақалалар сериясында пайда болуы. Біз л жасаймызүшін қажетті папка мен файлдар Журналға тіркеу BIND:
root @ dnslinux: ~ # mkdir / var / log / аталған
root @ dnslinux: ~ # touch /var/log/named/queries.log
root @ dnslinux: ~ # touch /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / named

Біз конфигурацияланған файлдардың синтаксисін тексереміз

root @ dnslinux: ~ # аталған-checkconf 
root @ dnslinux: ~ #

/etc/bind/named.conf.local

Біз файлды жасаймыз /etc/bind/zones.rfcFreeBSD көрсетілгендей мазмұнмен Debian 8-дегі DNS және DHCP «Джесси».

root @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

Файл /etc/bind/named.conf.local мынадай мазмұнмен қалдыру керек:

// // Осы жерде қандай да бір жергілікті конфигурация жасаңыз // // 1918 аймақтарын, егер олар сіздің // ұйымыңызда қолданылмаса, қосуды қарастырыңыз
«/etc/bind/zones.rfc1918» қосу; «/etc/bind/zones.rfcFreeBSD» қосу;

аймақ «mordor.fan» {тип шебері; файл «/var/lib/bind/db.mordor.fan»; }; аймақ «10.10.10.in-addr.arpa» {тип шебері; файл «/var/lib/bind/db.10.10.10.in-addr.arpa»; };

zone «_msdcs.mordor.fan» {тип шебері;
 тексеру атаулары еленбейді; файл «/etc/bind/db._msdcs.mordor.fan»; }; root @ dnslinux: ~ # аталған-checkconf
root @ dnslinux: ~ #

Mordor.fan аймақтық файл

root @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; сериялық 1D; 1H жаңарту; 1W қайталау; 3H мерзімі аяқталады); минимум немесе; Өмір сүруге арналған теріс кэштеу уақыты;
; Төмендегі жазбалармен өте сақ болыңыз
@ IN NS dnslinux.mordor.fan.
@ IN 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT «Мордордың қара жолына сәлем»;
_msdcs.mordor.fan. IN NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. 10.10.10.5-те
; Төмендегі жазбалармен ӨТЕ ұқыпты аяқтаңыз;
DomainDnsZones.mordor.fan. 10.10.10.3-де ForestDnsZones.mordor.fan. 10.10.10.3 IN; ; Ғаламдық каталог _gc._tcp.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ; ; _Ldap._tcp.mordor.fan Active Directory өзгертілген және жеке LDAP. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. ; ; Белсенді каталогтың өзгертілген және жеке KERBEROS _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. ; ; IP жазбалары бар A жазбалары -> Серверлер blackelf.mordor.fan. 10.10.10.9 қаракөз. 10.10.10.10-да darklord.mordor.fan-да. 10.10.10.6 mamba.mordor.fan-да. 10.10.10.4 palantir.mordor.fan-да. 10.10.10.11
sauron.mordor.fan. 10.10.10.3-те
shadowftp.mordor.fan. 10.10.10.8 troll.mordor.fan-да. 10.10.10.7 IN; ; CNAME ad-dc.mordor.fan жазады. CNAME-де sauron.mordor.fan. blog.mordor.fan. CNAME-де troll.mordor.fan. fileserver.mordor.fan. CNAME-де mamba.mordor.fan. ftpserver.mordor.fan. CNAME-де shadowftp.mordor.fan. mail.mordor.fan. CNAME-де balckelf.mordor.fan. openfire.mordor.fan. CNAME palantir.mordor.fan-да. proxy.mordor.fan. CNAME-де darklord.mordor.fan. www.mordor.fan. CNAME-де blackspider.mordor.fan.

root @ dnslinux: ~ # аталатын-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
mordor.fan/IN аймағы: 1 серия жүктелген ОК

Уақыт 600 ТТЛ SRV регистрлерінің барлығында біз Slave BIND орнатқан жағдайда оларды сақтаймыз. Бұл жазбалар LDAP дерекқорынан деректерді оқитын Active Directory қызметтерін ұсынады. Бұл мәліметтер қоры жиі өзгеретіндіктен, синхрондау уақыты Master-Slave DNS схемасында қысқа болуы керек. Active Directory 2000-ден 2008 жылға дейін байқалған Microsoft философиясына сәйкес, SRV жазбаларының осы түрлері үшін 600 мәні сақталады.

The TTL IP тіркелген серверлердің, олар SOA-да мәлімделген уақыт ішінде 3 сағат.

10.10.10.in-addr.arpa файлындағы аймақтық файл

root @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; сериялық 1D; 1H жаңарту; 1W қайталау; 3H мерзімі аяқталады); минимум немесе; Өмір сүруге арналған теріс кэштеу уақыты; @ IN NS dnslinux.mordor.fan. ; 10 IN PTR blackspider.mordor.fan. 11 IN PTR palantir.mordor.fan. 3 IN PTR sauron.mordor.fan. 4 IN PTR mamba.mordor.fan. 5 IN PTR dnslinux.mordor.fan. 6 IN PTR darklord.mordor.fan. 7 IN PTR troll.mordor.fan. 8 IN PTR shadowftp.mordor.fan. 9 IN PTR blackelf.mordor.fan.

root @ dnslinux: ~ # named-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
аймақ 10.10.10.in-addr.arpa/IN: жүктелген сериялық 1 ОК

_Msdcs.mordor.fan аймақтық файлы

Файлда не ұсынылатынын ескерейік /usr/share/doc/bind9/README.Debian.gz DHCP динамикалық жаңартуларына ұшырамаған Мастер-аймақ файлдарының орналасуы туралы.

root @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; сериялық 1D; 1H жаңарту; 1W қайталау; 3H мерзімі аяқталады); минимум немесе; Өмір сүруге арналған теріс кэштеу уақыты; @ IN NS dnslinux.mordor.fan. ; ; ; Ғаламдық каталог gc._msdcs.mordor.fan. 600-те 10.10.10.3; ; Бүркеншік аттар - SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan Active Directory каталогының өзгертілген және жеке LDAP дерекқорында. 600 IN CNAME sauron.mordor.fan. ; ; Белсенді каталогтың өзгертілген және жеке LDAP _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS өзгертілген және жеке каталогтан жеке _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Біз синтаксисті тексереміз және оның қайтарылатын қатесін елемеуге болады, өйткені файлдың осы аймағының конфигурациясында /etc/bind/named.conf.local біз өтінішті қосамыз тексеру атаулары еленбейді;. Аймақ BIND арқылы дұрыс жүктеледі.

root @ dnslinux: ~ # named-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: иесінің аты-жөні (тексеру атаулары) зона _msdcs.mordor.fan/IN: жүктелген сериялық 1 ОК

root @ dnslinux: ~ # systemctl қайта іске қосу bind9.service 
root @ dnslinux: ~ # systemctl мәртебесі bind9.service 
● bind9.service - BIND домендік атауының сервері жүктелген: жүктелген (/lib/systemd/system/bind9.service; қосулы) Түсіру: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf белсенді: белсенді (жүгіру) 2017 жылдың 02 маусымынан бастап 12: 08: 48 EST; 38s бұрын Docs: man: named (2) Process: 8 ExecStop = / usr / sbin / rndc stop (code = exited, status = 859 / SUCCESS) Негізгі PID: 0 (аталған) CGroup: /system.slice/bind864.service └─9 / usr / sbin / named -f -u bind 864 ақпан 12:08:48 dnslinux атауы [38]: аймақ 864.efip3.arpa/IN: жүктелген сериал 6 ақпан 1 ақпан 12:08:48 dnslinux атауы [38 ]: аймақ befip864.arpa/IN: жүктелген сериялы 6 ақпан 1 ақпан 12:08:48 dnslinux атауы [38]: аймақ 864.efip0.arpa/IN: жүктелген сериясы 6 ақпан 1 ақпан 12:08:48 dnslinux атауы [38]: zone 864.efip7.arpa/IN: жүктелген сериялық 6 ақпан 1 ақпан 12:08:48 dnslinux атауы [38]: аймақ mordor.fan/IN: жүктелген серия 864 ақпан 1 ақпан 12:08:48 dnslinux атауы [38]: аймақ мысалы .org / IN: жүктелген сериялық 864 ақпан 1 12:08:48 dnslinux атаулы [38]: zone _msdcs.mordor.fan/IN: жүктелген сериал 864 ақпан 1 ақпан 12:08:48 dnslinux [38]: аймақ жарамсыз / IN : жүктелген сериялық 864 ақпан 1 ақпан 12:08:48 dnslinux атауы [38]: барлық аймақтар жүктелді
12 ақпан 08:48:38 dnslinux атауы [864]: іске қосылған

Біз BIND-тен кеңес аламыз

Бұған дейін DHCP-ді орнатқаннан кейін біз Windows 7 клиентін доменге қосуды қамтитын бірқатар тексерулер жүргізуіміз керек mordor.fan компьютерде орнатылған Active Directory ұсынған sauron.mordor.fan.

Біріншіден, компьютердегі DNS қызметін тоқтату керек sauron.mordor.fan, және сіздің интерфейсіңізде бұдан былай DNS-серверіңіз болатынын жариялаңыз 10.10.10.5 dnslinux.mordor.fan.

Сервердің консолінде sauron.mordor.fan біз орындаймыз:

Microsoft Windows [6.1.7600 нұсқасы]
Авторлық құқық (c) 2009 Microsoft корпорациясы. Барлық құқықтар сақталған.

C: \ Users \ Administrator> nslookup
Әдепкі сервер: dnslinux.mordor.fan Мекен-жайы: 10.10.10.5

> gc._msdcs
Сервер: dnslinux.mordor.fan Мекен-жайы: 10.10.10.5 Атауы: gc._msdcs.mordor.fan Мекен-жайы: 10.10.10.3

> mordor.fan
Сервер: dnslinux.mordor.fan Мекен-жайы: 10.10.10.5 Атауы: mordor.fan Мекен-жайы: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Сервер: dnslinux.mordor.fan Мекен-жайы: 10.10.10.5 Атауы: sauron.mordor.fan Мекен-жайы: 10.10.10.3 бүркеншік аттар: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> set type = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Сервер: dnslinux.mordor.fan Мекен-жайы: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRV серв мұз орны: басымдылық = 0 салмақ = 100 порт = 88 svr хост атауы = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan интернет мекен-жайы = 10.10.10.3 dnslinux.mordor.fan интернет-мекен-жайы = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Сервер: dnslinux.mordor.fan Мекен-жайы: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV қызмет көрсету орны: басымдылық = 0 салмақ = 100 порт = 389 svr хост аты = sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan интернет мекен-жайы = 10.10.10.3 dnslinux.mordor.fan интернет-мекен-жайы = 10.10.10.5
> шығу

C: \ Users \ Administrator>

DNS сұраулары sauron.mordor.fan қанағаттанарлық.

Келесі қадам Windows 7 орнатылған басқа виртуалды машинаны жасау болады. Бізде әлі DHCP қызметі орнатылмағандықтан, компьютерге «win7»IP мекен-жайы 10.10.10.251. Сондай-ақ, біз сіздің DNS серверіңіз болатындығын мәлімдейміз 10.10.10.5 dnslinux.mordor.fan, және іздеу домені болады mordor.fan. Біз бұл компьютерді DNS-ке тіркемейміз, өйткені біз оны орнатқаннан кейін DHCP қызметін тексеру үшін қолданамыз.

Әрі қарай біз консольды ашамыз CMD және біз оны орындаймыз:

Microsoft Windows [6.1.7601 нұсқасы]
Авторлық құқық (c) 2009 Microsoft корпорациясы. Барлық құқықтар сақталған.

C: \ Users \ buzz> nslookup
Әдепкі сервер: dnslinux.mordor.fan Мекен-жайы: 10.10.10.5

> mordor.fan
Сервер: dnslinux.mordor.fan Мекен-жайы: 10.10.10.5 Атауы: mordor.fan Мекен-жайы: 10.10.10.3

> set type = SRV
> _ldap._tcp.DomainDnsZones
Сервер: dnslinux.mordor.fan Мекен-жайы: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan SRV қызмет көрсету орны: басымдылық = 0 салмақ = 0 порт = 389 svr хост атауы = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fan sauron.mordor.fan интернет-мекен-жайы = 10.10.10.3 dnslinux.mordor.fan интернет-мекен-жайы = 10.10.10.5
> _kpasswd._udp
Сервер: dnslinux.mordor.fan Мекен-жайы: 10.10.10.5 _kpasswd._udp.mordor.fan SRV қызметінің орны: басымдылық = 0 салмақ = 0 порт = 464 svr хост аты = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan интернет-мекен-жайы = 10.10.10.3 dnslinux.mordor.fan интернет-мекен-жайы = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Сервер: dnslinux.mordor.fan Мекен-жайы: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRV серв мұз орны: басымдылық = 0 салмақ = 0 порт = 389 svr хост атауы = саурон. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan интернет мекен-жайы = 10.10.10.3 dnslinux.mordor.fan интернет-мекен-жайы = 10.10.10.5
> Шығу

C: \ Users \ buzz>

Клиенттен алынған DNS сұраулары «win7»Сондай-ақ қанағаттанарлық болды.

Active Directory-де біз пайдаланушыны құрамыз «саруман«, Клиентке қосылу кезінде оны пайдалану мақсатында win7 доменге mordor.fan., «әдісін қолдана отырыпЖелілік идентификатор«, Пайдаланушы аттарын пайдалану saruman@mordor.fan y administrator@mordor.fan. Қосылу сәтті өтті және келесі скриншот арқылы дәлелденді:

Microsoft® DNS және BIND ішіндегі динамикалық жаңартулар туралы

Бізде DNS қызметі Active Directory®-де тоқтағандықтан, клиент үшін бұл мүмкін болмады «win7»Аты-жөніңізді және IP-мекен-жайыңызды сол DNS-ке тіркеңіз. Кіріс әлдеқайда аз dnslinux.mordor.fan өйткені біз ешқандай мәлімдеме жасаған жоқпыз жаңарту қатысты кез-келген бағыт үшін.

Дәл осы жерде менің досыммен жақсы жекпе-жек қалыптасты Фуэгиялық. Осы аспект туралы бірінші электрондық поштада мен түсініктеме бердім:

  • Microsoft корпорациясының BIND және Active Directory® қолдану туралы мақалаларында, әсіресе Direct Zone-ді жаңартуға рұқсат етіледі -еніп кетті- тікелей Active Directory доменіне қосылған Windows клиенттері.
  • Сондықтан, әдепкі бойынша, Active Directory® қауіпсіз динамикалық жаңартуларының DNS аймақтарына рұқсат етіледі Active Directory доменіне қосылған Windows клиенттері. Егер олар біріктірілмесе, олар салдардан аулақ болады.
  • Белсенді каталогтың DNS-і «Тек қауіпсіз», «қауіпсіз емес және қауіпсіз» немесе «жоқ» динамикалық жаңартуларын қолдайды, бұл «жаңартулар жоқ» немесе «жоқ» деген сөздермен бірдей..
  • Ия, шынымен Microsoft Philosophy өз тұтынушылары өздерінің DNS (дер) інде өз деректерін жаңартпайтындығымен келіспейді, егер бұл параметр болмаса, олардың DNS (дер) індегі динамикалық жаңартуларды өшіру мүмкіндігін ашық қалдырмайды. неғұрлым жасырын мақсаттар үшін қалдырылады.
  • Microsoft қараңғылықтың орнына «қауіпсіздік» ұсынады, маған Microsft® Сертификаттар курсынан өткен әріптесім әрі досым айтты. Рас. Сонымен қатар, El Fueguino маған оны растады.
  • Мысалы, UNIX® / Linux машинасында орнатылған DHCP арқылы IP мекенжайын алатын клиент өзінің атымен IP мекенжайын шеше алмайды. сіз Active Directory доменіне қосылғанға дейін, Microsoft® немесе BIND DHCP-ден динамикалық жаңартуларсыз DNS ретінде қолданылғанға дейін.
  • Егер мен DHCP-ді Active Directory®-ге орнатсам, онда мен аймақтардың Microsoft® DHCP арқылы жаңартылатынын жариялауым керек.
  • Егер біз BIND-ді Windows желісі үшін DNS ретінде қолданатын болсақ, онда логикалық және BIND-DHCP дуэтін орнату ұсынылады, соңғысы динамикалық түрде BIND-ді жаңартады және мәселе аяқталды.
  • LAN желілері әлемінде UNIX® / Linux жүйесінде BIND-де динамикалық жаңартулар ойлап табылғандықтан, DHCP мырзасына ғана рұқсат етіледі «ену»BIND ханымға өзінің жаңартуларымен. Өтінемін, релаксация.
  • Мен аймақта жариялаған кезде mordor.fan мысалы: жаңартуға рұқсат беру {10.10.10.0/24; };, BIND өзі іске қосу немесе қайта қосу кезінде маған хабарлайды:
    • 'mordor.fan' аймағы IP мекен-жайы бойынша жаңартуға мүмкіндік береді, бұл қауіпті
  • UNIX® / Linux әлемінде мұндай DNS қосылған тұздыққа жол берілмейді.

Сіз менің досыммен алмасудың қалған кезеңін елестете аласыз Фуэгиялық арқылы электрондық хаттарды, Telegram чат, ол төлеген телефон қоңыраулары (әрине, адам, менде ол үшін бір келі жоқ), тіпті ХХІ ғасырдағы көгершіндер арқылы хабарламалар!

Ол тіпті маған өзінің үй жануарының ұлы Игуанасын жібермейтіндігімен қорқытты «Петра»Ол маған төлемнің бір бөлігі ретінде уәде еткен. Онда мен шынымен қорықтым. Сонымен мен қайтадан бастадым, бірақ басқа жағынан.

  • Samba 4 арқылы қол жеткізуге болатын «дерлік» Active Directory бұл аспектіні ішкі DNS-ді қолданғанда да, DLZ аймақтарын қолдау үшін жасалған BIND-де де шебер шешеді - Dinamyc жүктелген аймақтарынемесе динамикалық жүктелген аймақтар.
  • Ол бұрынғыдай зардап шегеді: клиент орнатылған DHCP арқылы IP-адрес алған кезде басқа UNIX® / Linux машинасы, сіз өзіңіздің атыңыздың IP мекенжайын шеше алмайсыз ол Samba 4 AD-DC доменіне қосылғанға дейін.
  • BIND-DLZ және DHCP дуэтін дәл сол машинада біріктіріңіз AD-DC Samba 4 бұл нағыз маманның жұмысы.

Фуэгиялық Ол мені тарауға шақырды және маған айқайлап жіберді: біз бұл туралы ЕМЕС AD-DC Samba 4, бірақ Microsoft® Active Directory®-ден!. Мен кішіпейілділікпен келесі мақалалардың бір бөлігіне қуанатынымды айттым.

Міне, мен оған оның желісіндегі клиенттік компьютерлердің динамикалық жаңартулары туралы түпкілікті шешім өз еркімен қалдырылғанын айттым. Мен оған тек кеңес туралы бұрын жазылған жаңартуға рұқсат беру {10.10.10.0/24; };және басқа ештеңе жоқ. Әрбір Windows клиенті немесе Linux өз желісіндегі азғындықтың нәтижесі үшін мен жауапты болмадым «еніп кетеді»BIND үшін жазасыз.

Егер сіз білсеңіз, менің досым, оқырман, бұл төбелестің соңғы нүктесі болған, сенбес едіңіз. Менің досым Фуэгиялық ол шешімді қабылдады - және ол маған игуана жібереді «Петрика«- қазір мен сіздермен бөлісемін.

Біз DHCP-ді орнатамыз және конфигурациялаймыз

Толығырақ оқыңыз Debian 8-дегі DNS және DHCP «Джесси».

root @ dnslinux: ~ # қабілеттілікті орнату isc-dhcp-сервер

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # DHCP сервері (dhcpd) DHCP сұрауларына қандай интерфейстерде қызмет етуі керек? # Бірнеше интерфейстерді бос орындармен бөліңіз, мысалы «eth0 eth1». INTERFACES = «eth0» root @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
Kdhcp-кілт. +157 + 29836

root @ dnslinux: ~ # cat Kdhcp-кілт. +157 + 29836.жеке
Private-key-format: v1.3 алгоритмі: 157 (HMAC_MD5) кілт: 3HT / bg / 6YwezUShKYofj5g == Биттер: AAA = Жасалған: 20170212205030 Жариялау: 20170212205030 Белсендіру: 20170212205030

root @ dnslinux: ~ # nano dhcp.key
dhcp-кілт {hmac-md5 алгоритмі; құпия «3HT / bg / 6YwezUShKYofj5g ==»; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/named.conf.local
// // Осы жерде қандай да бір жергілікті конфигурация жасаңыз // // 1918 аймақтарын, егер олар сіздің // ұйымыңызда қолданылмаса, қосуды қарастырыңыз «/etc/bind/zones.rfc1918»; «/etc/bind/zones.rfcFreeBSD» қосу;
// Ұмытпа ... Мен ұмытып, қателіктермен ақы төледім. ;-)
«/etc/bind/dhcp.key» қосу;


аймақ «mordor.fan» {тип шебері;
        жаңартуға рұқсат беру {10.10.10.3; dhcp-кілт; };
        файл «/var/lib/bind/db.mordor.fan»; }; аймақ «10.10.10.in-addr.arpa» {тип шебері;
        жаңартуға рұқсат беру {10.10.10.3; dhcp-кілт; };
        файл «/var/lib/bind/db.10.10.10.in-addr.arpa»; }; zone «_msdcs.mordor.fan» {тип шебері; тексеру атаулары еленбейді; файл «/etc/bind/db._msdcs.mordor.fan»; };

root @ dnslinux: ~ # аталған-checkconf 
root @ dnslinux: ~ #

root @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style аралық; ddns-жаңартулар; ddns-домен аты «mordor.fan.»; ddns-rev-домен атауы «in-addr.arpa.»; клиенттің жаңартуларын елемеу; беделді; IP-қайта жіберу опциясы; «mordor.fan» домендік атауы; «/etc/dhcp/dhcp.key» қосу; mordor.fan аймағы. {бастапқы 127.0.0.1; dhcp-кілт; } аймақ 10.10.10.in-addr.arpa. {бастапқы 127.0.0.1; dhcp-кілт; } ортақ желіні қайта бөлу {ішкі желі 10.10.10.0 netmask 255.255.255.0 {опционды маршрутизаторлар 10.10.10.1; subnet-mask 255.255.255.0 опциясы; 10.10.10.255 хабар тарату мекен-жайы; 10.10.10.5 домен-атау-серверлер опциясы; 10.10.10.5 netbios-name-servers опциясы; 10.10.10.30 10.10.10.250 ауқымы; }} # END dhcpd.conf

root @ dnslinux: ~ # dhcpd -t
DHCP Server 4.3.1 Интернет-жүйелер консорциумы. Авторлық құқық 2004-2014 Интернет жүйелері консорциумы. Барлық құқықтар сақталған. Ақпарат алу үшін https://www.isc.org/software/dhcp/ Config файлына кіріңіз: /etc/dhcp/dhcpd.conf Деректер базасының файлы: /var/lib/dhcp/dhcpd.leases PID файлы: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl қайта іске қосу bind9.service 
root @ dnslinux: ~ # systemctl мәртебесі bind9.service 

root @ dnslinux: ~ # systemctl бастау isc-dhcp-server.service
root @ dnslinux: ~ # systemctl мәртебесі isc-dhcp-server.service

Не байланысты Клиенттермен тексереді, және Zone файлдарын қолмен өзгерту, оқырман досым, оны сізден тікелей оқуға қалдырамыз Debian 8-дегі DNS және DHCP «Джесси», және оны нақты жағдайларыңызға қолданыңыз. Біз барлық қажетті тексерулерден өтіп, қанағаттанарлық нәтижелерге қол жеткіздік. Әрине, біз олардың барлығының көшірмесін жібереміз Фуэгиялық. Енді болмайды!

Кеңестер

Жалпы

  • Бастамас бұрын шыдамдылық танытыңыз.
  • Алдымен BIND орнатыңыз және конфигурациялаңыз. Барлығын тексеріп, сіз үш немесе одан да көп аймақтың әр файлында жариялаған барлық жазбаларды Active Directory-ден де, Linux-тегі DNS-серверден де көріңіз. Мүмкін болса, доменге қосылмаған Linux машинасынан BIND-ге қажетті DNS сұраулар жасаңыз.
  • Бар доменге тіркелген IP-мекен-жайы бар Windows клиентіне қосылыңыз және Windows клиентінен барлық BIND параметрлерін қайта тексеріңіз.
  • Жаңа BIND конфигурациясының толықтай дұрыс екендігіне сенімді болғаннан кейін, DHCP қызметін орнатуға, конфигурациялауға және іске қосуға тырысыңыз.
  • Қателер болған жағдайда, процедураны нөлден 0-ге дейін қайталаңыз.
  • Көшіру мен қоюға мұқият болыңыз! және named.conf.xxxx файлдарының әр жолындағы қосымша бос орындар
  • Осыдан кейін, ол менің досым фуэгияға аз кеңес берді - оған дұрыс кеңес берілмегеніне шағымданбады.

Басқа кеңестер

  • Бөліңіз және жеңіңіз.
  • ШОБ желісінде кез-келген түбірлік серверде қайталанбайтын ішкі LAN аймақтары үшін авторизациялық BIND орнату қауіпсіз және тиімді: рекурсия жоқ;.
  • Интернетке қосылу провайдерінің астында орналасқан ШОБ желісінде - ISP, мүмкін қызметтер прокси y SMTP олар Интернеттегі домендік атауларды шешуі керек. Ол Кальмар сіздің пошта серверінде DNS-ні сыртқы немесе жоқ деп жариялау мүмкіндігі бар Postfix o MDaemon® Сондай-ақ, біз осы қызметте қолданылатын DNS серверлерін жариялай аламыз. Мұндай жағдайларда, яғни Интернетке қызмет көрсетпейтін және а Интернет-провайдер, көмегімен BIND орнатуға болады Тасымалдаушылар DNS-ті көрсетіп ISP, және оны жергілікті желіге сыртқы сұраныстарды шешуі керек серверлерде екінші реттік DNS деп жариялаңыз, әйтпесе оларды өздерінің конфигурация файлдары арқылы жариялауға болады.
  • Егер сіздің өкілетті аймағыңыз болса, сіздің бүкіл жауапкершілігіңіздеСодан кейін тағы бір әтеш қарға:
    • Негізделген DNS серверін орнатыңыз NSDИнтернеттегі компьютерлердің сұрауларына жауап беретін, анықтамасы бойынша авторизациялық DNS-сервер. Кейбір ақпарат үшін бейімділік шоу nsd. 😉 Қажет болғанша от қабырғалары арқылы оны жақсы қорғаңыз. Аппараттық және бағдарламалық қамтамасыз ету. Бұл Интернетке арналған DNS болады және «Cara»Біз оны шалбармен бермеуіміз керек. 😉
    • Мен өзімді мұндай жағдайда, яғни делегаттық аймақтың жауапты адамы ретінде көрмегендіктен, біздің жергілікті желіден тыс домендік атауларды шешуге қажет қызметтер үшін не ұсынуға болатындығын жақсы ойлауым керек еді. . ШОБ желісінің клиенттеріне бұл шынымен қажет емес. Арнайы әдебиеттермен немесе осы тақырыптар бойынша маманмен кеңесіңіз, өйткені мен олардың бірі болудан алыспын. Байсалды.
    • Авторитарлық серверлерде рекурсия жоқ. Жақсы?. Егер біреу мұны BIND көмегімен жасаса.
  • Біз файлда нақты көрсеткенімізбен /etc/dhcp/dhcpd.conf декларация клиенттің жаңартуларын елемеу;, егер біз компьютер консолінде жұмыс жасасақ dnslinux.mordor.fan тапсырыс Journalctl -f, біз мұны клиентті бастаған кезде көреміз win7.mordor.fan біз келесі қате туралы хабарлама аламыз:
    • 12 ақпан 16:55:41 dnslinux атауы [900]: клиент 10.10.10.30 # 58762: жаңарту 'mordor.fan/IN' қабылданбады
      12 ақпан 16:55:42 dnslinux атауы [900]: клиент 10.10.10.30 # 49763: жаңарту 'mordor.fan/IN' қабылданбады
      12 ақпан 16:56:23 dnslinux атауы [900]: клиент 10.10.10.30 # 63161: жаңарту 'mordor.fan/IN' қабылданбады
      
    • Бұл хабарламаларды жою үшін желілік карта конфигурациясының жетілдірілген параметрлеріне өтіп, «опциясын алып тастауымыз керек.Бұл байланыс мекен-жайларын DNS-ке тіркеңіз«. Бұл клиенттің өзін Linux DNS жүйесінде мәңгі тіркеуге тырысуына жол бермейді және мәселе аяқталады. Кешіріңіз, бірақ менде Windows 7-нің испан тіліндегі көшірмесі жоқ. 😉
  • Windows 7 клиентінің барлық маңызды және ақылға қонымсыз сұраулары туралы білу үшін мына сілтемені қараңыз журнал сұраулары.log біз оны BIND конфигурациясында жариялаймыз. Тапсырыс:
    • root @ dnslinux: ~ # tail -f /var/log/named/queries.log
  • Егер сіз өзіңіздің клиенттік компьютерлеріңіздің Интернетке тікелей қосылуына мүмкіндік бермесеңіз, сізге Root DNS серверлері не үшін қажет? Бұл команданың шығуын айтарлықтай төмендетеді Journalctl -f және алдыңғы аймақтан, егер сіздің ішкі аймақтарға арналған авторитарлық DNS-серверіңіз тікелей Интернетке қосылмаса, бұл қауіпсіздік тұрғысынан өте жақсы ұсынылады.
    root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
    root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root
  • Егер сізге root-серверлердің декларациясы қажет болмаса, онда сізге Recursion не үшін қажет - Рекурсия?
    root @ dnslinux: ~ # nano /etc/bind/named.conf.options
    опциялар {
     ....
     рекурсия жоқ;
     ....
    };

Мен әлі күнге дейін нақты емес кеңестер

El man dhcpd.conf көптеген басқа нәрселер арасында бізге мынаны айтады:

        Жаңарту-оңтайландыру туралы мәлімдеме

            жаңарту-оңтайландыру жалаушасы;

            Егер жаңарту-оңтайландыру параметрі берілген клиент үшін жалған болса, сервер қажет болған кезде жаңарту әрекетін жасамай, клиент жалдау мерзімін жаңартқан сайын сол клиент үшін DNS жаңартуын жасайды. Бұл DNS дерекқорындағы сәйкессіздіктерден оңай жазылуға мүмкіндік береді, бірақ құны DHCP сервері DNS жаңартуларын жасауы керек. Бұл параметр қосылған деп оқуға кеңес береміз, бұл әдепкі бойынша. Бұл опция тек уақытша DNS жаңарту схемасының әрекетіне әсер етеді және уақытша DNS жаңарту схемасына әсер етпейді. Егер бұл параметр көрсетілмеген болса немесе дұрыс болса, DHCP сервері клиент туралы ақпарат өзгергенде, клиент басқа жалға алған кезде немесе клиенттің жалдау мерзімі аяқталған кезде ғана жаңартылады.

Азды-көпті дәл аударма немесе интерпретация сізге қалды, құрметті оқырман.

Жеке өзімде болған, және осы мақаланы жасау кезінде мен BIND-ді Active Directory®-ге байланыстырған кезде, егер мен тіркелген клиенттік компьютердің атын өзгертсем, бұл Microsft® немесе Samba 4-тен болады. Active Directory® домені немесе AD-DC Samba 4-те ол ескі атауын және IP мекен-жайын тікелей аймақта сақтайды, керісінше, жаңа атпен дұрыс жаңартылған. Басқаша айтқанда, ескі және жаңа атаулар Тікелей аймақта бірдей IP мекен-жаймен салыстырылады, ал керісінше тек жаңа атау пайда болады. Мені жақсы түсіну үшін оны өзіңіз байқап көруіңіз керек.

Менің ойымша, бұл кек алудың бір түрі Фуэгиялық -Маған емес, өз қызметтеріңізді Linux-қа көшіруге тырысқаныңыз үшін.

Әрине, ескі атау жоғалған кезде жоғалады 3600 ТТЛнемесе біз DHCP конфигурациясында жариялаған уақыт. Бірақ біз оның тез жоғалып кетуін қалаймыз, өйткені бұл BIND + DHCP-де болады арқылы Active Directory жоқ.

Сол жағдайдың шешімін мен өтінішті енгізу арқылы таптым жаңарту-оңтайландыру жалған; файлдың жоғарғы жағының соңында /etc/dhcp/dhcpd.conf:

ddns-update-style аралық; ddns-жаңартулар; ddns-домен аты «mordor.fan.»; ddns-rev-домен атауы «in-addr.arpa.»; клиенттің жаңартуларын елемеу;
жаңарту-оңтайландыру жалған;

Егер кез-келген Оқырман бұл туралы көбірек білетін болса, мені жарықтандырыңыз. Мен мұны өте жоғары бағалаймын.

Резюме

Біз тақырыппен өте көңілді болдық, солай ма? Бізде BIND бар, өйткені Microsoft® желісінде DNS сервері ретінде жұмыс істейді, барлық SRV жазбаларын ұсынады және оларға қойылған DNS сұрауларына лайықты жауап береді. Екінші жағынан, бізде IP-мекен-жайларды беретін және BIND аймақтарын динамикалық түрде жаңартатын DHCP-сервері бар.

Бірақ біз бір сәтте ... сұрай алмаймыз.

Менің досым деп үміттенемін Фуэгиялық Microsft® Техникалық қолдау қызметіне шыдамсыз шығындарды көтеру үшін Linux-ке көшудің алғашқы қадамына қуанып, қанағаттаныңыз.

Маңызды ескерту

Кейіпкер «Фуэгиялық»Толығымен ойдан шығарылған және менің қиялымның жемісі. Нақты адамдармен кез-келген ұқсастық немесе кездейсоқтық бірдей нәрсе: менің еріксіз таза кездейсоқтық. Мен оны тек осы мақаланы жазу мен оқуды жағымды ету үшін жасадым. Енді маған DNS мәселесі қараңғы деп айта алсаңыз. 😉


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

13 пікір, өз пікіріңізді қалдырыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.

  1.   88 дижо

    Өте күшті, түсініктеме жоқ. Майкрософттың DNS қажет емес болғандықтан. Сотқа шағымданудан сақ болыңыз, хахахаха. Фико жеткізгені үшін рақмет.

  2.   федерико дижо

    Мені сотқа бересіз бе? Оларды Е.Л. Фуэгиномен бірге көреді. 😉
    Рахмет, досым!!!

  3.   Ганибал бұршағы дижо

    Белсенді каталогтың барлық бөлігі үшін zentyal-ны орнату оңай болмады ма?

  4.   мылжың дижо

    Хаха, мықты байланыстыру үшін керемет артикуляция және мен Зентальдың сізге жоғарыдағы түсініктемеде ұсынылғанын көремін, мен түсірілім басталмай тұрып кетемін.

    PS: Windows негізіндегі домен Mordor, бірақ егер біз таза Samba орнатсақ, бұл Гондор немесе Рохан болар еді? 😉

  5.   федерико дижо

    Мен Zentyal-ді ешкімге қолдануға кеңес бермеймін. Windows жүйесін қолданыңыз, өйткені оны қолдану көптеген ШОБ-та шындық болып табылады. Zentyal тұрақтылығы туралы менің досым және әріптесім Дхунтерден сұраңыз. 😉

  6.   федерико дижо

    Әрине, сен, досым. Samba 4 көмегімен ол tierramedia.fan деп аталады. 😉

  7.   федерико дижо

    Мақаланы жүктеп алғандар үшін келесілерге мұқият болыңыз:
    Қайда айтады
    ; Төмендегі жазбалармен өте сақ болыңыз
    @ IN NS dnslinux.mordor.fan.
    @ IN 10.10.10.3

    Дұрыс айту керек

    ; Төмендегі жазбалармен өте сақ болыңыз
    @ IN NS dnslinux.mordor.fan.
    @ IN 10.10.10.5

    Менің абайсызда жасаған қателігімді түсінген әріптес Эдуардо Ноэль болды.

  8.   федерико дижо

    Мақаланы жүктеп алғандар үшін келесілерге мұқият болыңыз:
    Қайда айтады
    ; Төмендегі жазбалармен өте сақ болыңыз
    @ IN NS dnslinux.mordor.fan.
    @ IN 10.10.10.3

    Дұрыс айту керек

    ; Төмендегі жазбалармен өте сақ болыңыз
    @ IN NS dnslinux.mordor.fan.
    @ IN 10.10.10.5

    Менің абайсызда жасаған қателігімді түсінген әріптес Эдуардо Ноэль болды.

  9.   мылжың дижо

    Zentyal-ді маңызды нәрсе үшін қолданғысы келетіндер үшін өте мұқият болуды ескертемін, мен екі Zentyal 4.2 драйверін қолданамын (14.04), бәрін жаңартып, өте сирек кездесетін қателіктерге назар аударамын (және сирек кездесетіндер bugzilla жобасындағы жауаптар, сіз Олар сізді аз бағалайтын нәрсені қолданғаныңыз үшін ақымақтық сезімін тудырады), олар біраз уақытқа дейін кері байланыссыз болды, мен олар жоғалып кетті деп ойладым және кенеттен олар 5.0-ден ықтимал көші-қонсыз 4.2 шығарады ... сүйкімді ....

    Қателер туралы қауымдастық нұсқасына хабарлау мағынасы жоқ, егер сіз әрдайым ең соңғы нұсқаны қолданатын әзірлеушілермен бірге жүрмесеңіз, мынаны тексеріңіз: https://tracker.zentyal.org/issues/5080#comment:14

    Ақырында, салыстырмалы түрде тұрақты нұсқамен өліп, оны созылғанша ұрып-соғу керек, менің zentyal-дің крондағы нәрселеріне назар аудар:

    0 7 * * 1-6 /sbin/shutdown -r now

    Мен айтқанымдай ... сүйкімді!

    PS: Мен бұл жұмыстардың барлығын ақысыз нұсқасын пайдалануға жұмсаймын деп ойлаймын, ақылы нұсқасы байсалды, бірақ бұл қолданушыларды ұтудың ең жақсы стратегиясы емес деп ойлаймын, басқа бизнес-модельге ұқсас өнім Proxmox болып табылады және мен оның ақылы нұсқасын салыстырдым мысалы, жобаға ақша беру үшін, тегін нұсқасы түсіп қалғандықтан емес, Proxmox - асыл тас.

  10.   Исмаэль Альварес Вонг дижо

    Сәлем Федерико:
    Әрбір жаңа мақалада сіз аялдаманы көтересіз, BIND + DHCP дуэті туралы алдыңғы 3 жазбада қамтылғандардың бәрі жеткіліксіз сияқты, енді сіз осы «магистральды» (кешіріңіз, кешіріңіз) қалай көшуге болатындығы туралы мақаланы жариялайсыз. Microsoft-тың DNS-ін BIND-ге дейін, оны DHCP-ден Linux-қа қалай жаңартуға болады және жоғарыда айтылғандардың бәрі Microsoft Active Directory-мен бірге өмір сүреді.
    . Белсенді каталогтың DRS SRV жазбаларына, оның «_msdcs.dominio» тікелей аймағына, Linux зоналарының жазбаларын қалай алуға болатындығына және Microsoft AD DNS-іне айтылған аймақтардың мәліметтер базасын құруға қатысты барлық нәрсе жақсы. BIND-де.
    . BIND конфигурациясындағы сұраныстар журналдарын қосу өте пайдалы.
    . Linux-те орнатылған DHCP арқылы IP-мекен-жай алған клиент Active Directory доменіне қосылмайынша IP-мекен-жайын шеше алмайтыны туралы ӨТЕ БАҒАЛЫ. Мақаланың зертханасының мысалында алдымен «win7» компьютеріне «mordor.fan» доменінің DNS тексерулерін жасау үшін 10.10.10.251 IP-мекен-жайы беріледі, содан кейін ол сол IP-ден Microsoft AD-ға қосылады. ақыр соңында, егер DHCP Linux-те орнатылған болса, онда бұл IP-ні тағайындайды және сонымен қатар жабдық тізілімін алға және кері аймақтарға жазу үшін BIND-ге жаңартады. ТАПСЫРЫП ОТЫРЫҢЫЗ, ТАБАМАЙСЫЗ!
    . Microsoft® DNS-тегі және BIND-дегі динамикалық жаңартулар туралы барлық ойлар өте жақсы; ақырғы бөлімде түсіндірілген барлық кеңестер және «әзірге мен онша нақты емес болатын нақты кеңестің» барлық әзірлемелері мен ұсынылған шешімдері.
    ! Авторға арналған 5 ЖҰЛДЫЗ! мен PYMES сериясына қызығушылық артып отырамын!

  11.   федерико дижо

    Дхунтер: Тәжірибе дауысын жазды. «Практика - шындықтың ең жақсы өлшемі».

    Вонг: Мен сіздің пікіріңізді - мақаланы толықтырып жіберген едім. Жақында dnsmasq туралы біреуі шығады деп үміттенемін.

    Пікірлеріңіз үшін екеуіңізге де рақмет.

  12.   88 дижо

    Сіз «El Fueguino» серіктесі туралы, сондай-ақ оның серверлерінің көшуін бастау туралы шешімі туралы сөйлескен жоқсыз +. Сіз Microsoft корпорациясынан тағы біреуін ұрлап алдыңыз, хахаха !!!! ????

  13.   федерико дижо

    хахахаха досым crespo88. Менің ойымша, сізге ойдан шығарылған кейіпкердің толқыны ұнады. Егер сіз басқаларға ұнайтын болсаңыз, бұл тығыз тақырыптағы мақалаларды қызықты ете алады. Ол туралы басқа пікірлер күтейік.