BIND жана Active Directory® - SME Networks

Сериянын жалпы индекси: Чакан жана орто ишканалар үчүн компьютердик тармактар: Киришүү

Салам достор!. Бул макаланын негизги максаты - көптөгөн орто жана чакан ишканаларда кеңири тараган Microsoft тармагында BIND9 негизинде DNS кызматын кантип бириктире аларыбызды көрсөтүү.

Бул Ла-Тьерра-дель-Фуэгодо жашаган досунун расмий өтүнүчүнөн улам келип чыгат -Fuegian- Microsoft® Networks адистештирилген -Сертификаттар камтылган- сиздин серверлериңиздин Linuxко көчүүсүнүн ушул бөлүгүндө сизге жол көрсөтүү үчүн. Чыгымдары колдоо Microsoft® төлөгөн техник буга чейин эле бар Чыдагыс ал иштеген жана анын башкы акционери болгон компания үчүн.

Менин досум Fuegian сонун юмор сезимине ээ жана үч фильмдин сериясын көргөндөн бери «Шакектердин мырзасы»Ал өзүнүн караңгы каармандарынын көптөгөн ысымдары менен өзүнө тартып алган. Ошентип, окурман досум, домениңиздин жана серверлериңиздин аталыштарына таң калбаңыз.

Темага жаңы келгендер үчүн жана окууну улантуудан мурун, ЧОК тармактарындагы мурунку үч макаланы окуп, изилдеп чыгууну сунуштайбыз:

Бул «төрт бөлүктүн үчөөнү көргөндөй элеUnderworld»Бүгүнкү күнгө чейин жарыяланып, бул төртүнчүсү.

Жалпы параметрлер

Аркылуу бир нече алмашуудан кийин электрондук почта, акыры, учурдагы тармагыңыздын негизги параметрлери жөнүндө так билдим, алар:

Домендик аты mordor.fan LAN Network 10.10.10.0/24 ======================================= ================================================= Серверлердин IP дареги Максаты (OS Windows менен иштеген серверлер ) =================================================== =============================== sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Windows файл сервери darklord.mordor.fan. 10.10.10.6 Kerios troll.mordor.fan прокси, шлюз жана брандмауэр. 10.10.10.7 негизделген блог ... shadowftp.mordor.fan эстей албайт. 10.10.10.8 FTP сервери blackelf.mordor.fan. 10.10.10.9 толук электрондук почта кызматы blackspider.mordor.fan. 10.10.10.10 WWW кызматы palantir.mordor.fan. 10.10.10.11 Windows үчүн Openfireде баарлашуу

Мен уруксат сурадым Fuegian менин оюмду тазалоо үчүн керек болгон көп лакап аттарды коюуга жана мага уруксат берди:

Real CNAME ============================== Саурон ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

Active Directory Windows 2008ди орнотууда бардык маанилүү DNS жазууларын жарыялоого мажбур болуп, ушул постту түзүүдө жетекчиликке алдым.

Active Directory DNSинин SRV жазуулары жөнүндө

Реестрлер SRV o Microsoft Active Directoryде кеңири колдонулган Кызмат Локаторлору аныкталат Комментарийлер үчүн сурам RFC 2782. Алар DNS сурамы аркылуу TCP / IP протоколунун негизинде кызматтын жайгашкан жерине уруксат беришет. Мисалы, Microsoft тармагындагы кардар домен контроллеринин жайгашкан жерин аныктай алат - Домен контроллери LDAP кызматын 389-портундагы TCP протоколунун үстүнөн бир DNS суроосу аркылуу камсыз кылат.

Адатта, токойлордо - токойлоржана дарактар ​​- Дарактар ири Microsoft Network тармагында бир нече домен контроллери бар. Ошол тармактын домендик аталыштар мейкиндигин түзгөн ар кандай зоналардагы SRV жазууларын колдонуу менен, биз ар биринин протоколуна жана портуна ылайык, артыкчылык менен буйрутмаланган ушул сыяктуу белгилүү кызматтарды сунуштаган Серверлердин тизмесин жүргүзө алабыз. серверлердин бири.

боюнча Комментарийлер үчүн сурам RFC 1700 Белгилүү кызматтардын универсалдуу символикалык аталыштарын аныктоо - Белгилүү кызмат, жана «сыяктуу ысымдар_telnet"_smtp»Кызмат көрсөтүүлөр үчүн telnet y SMTP. Эгерде Белгилүү Кызмат үчүн символдук аталыш аныкталбаса, колдонуучунун каалоосуна ылайык жергиликтүү ат же башка аталыш колдонулушу мүмкүн.

байланыштыруу

Ар бир талаанын максаты «атайын»SRV Resource Record декларациясында төмөнкүлөр колдонулат:

  • домен: "Pdc._msdcs.mordor.fan.«. SRV жазуусу көрсөтүлгөн кызматтын DNS аталышы. Мисалда келтирилген DNS аталышы -көп же азыраак дегенди билдирет Негизги домен контроллери аймактын _msdcs.mordor.fan.
  • кызмат: "_Ldap". Кызматтын символикалык аталышы ылайык аныкталат Комментарийлер үчүн сурам RFC 1700.
  • протоколу: "_Tcp". Транспорт протоколунун түрүн көрсөтөт. Адатта, маанилерди кабыл алат _tcp o _udp, бирок -жана иш жүзүндө- көрсөтүлгөн транспорт протоколунун ар кандай түрү Комментарийлер үчүн сурам RFC 1700. Мисалы, кызмат үчүн жолдоштук сүйлөшүү протоколго негизделген XMPP, бул талаа маанисине ээ болмок _xmpp.
  • Приоритет«0«. Үчүн артыкчылыктуу же артыкчылыктуу деп жарыялаңыз Бул кызматты сунуш кылган хост кийин көрөбүз. Ушул SRV жазуусу менен аныкталган кызмат жөнүндө кардарлардын DNS сурамдары, тиешелүү жооп алгандан кийин, талаада тизмеленген эң төмөнкү номери бар биринчи жеткиликтүү хост менен байланышууга аракет кылат. Приоритет. Бул талаа кабыл ала турган маанилердин диапазону 0 жана 65535.
  • салмак«100«. Менен айкалышта колдонсо болот Приоритет бирдей кызмат көрсөткөн бир нече серверлер болгондо, жүктү теңдөө механизмин камсыз кылуу. Ар бир сервер үчүн Zone файлында ушул сыяктуу SRV жазуусу болушу керек, анын аты талаага жарыяланган Бул кызматты сунуш кылган хост. Талаадагы бирдей мааниге ээ серверлерден мурун Приоритет, талаанын мааниси салмак ал жүктү теңдөө үчүн сервердин так тандоосун алуу үчүн кошумча артыкчылык деңгээли катары колдонсо болот. Бул талаа кабыл ала турган маанилердин диапазону 0 жана 65535. Эгерде жүктү тең салмакташтыруу талап кылынбаса, мисалы, бир сервердегидей болсо, маанини ыйгаруу сунушталат 0 SRV жазуусун окууну жеңилдетүү үчүн.
  • Порт номери - Порт«389«. Порт номери in Бул кызматты сунуш кылган хост талаада көрсөтүлгөн кызмат көрсөтүүчү кызмат. Белгилүү кызматтын ар бир түрү үчүн сунуш кылынган порт номери көрсөтүлгөн Комментарийлер үчүн сурам RFC 1700, ортосунда мааниге ээ болушу мүмкүн 0 65535 жана.
  • Бул кызматты сунуш кылган хост - Максат«sauron.mordor.fan.«. Аныктайт FQDN сөзсүз түрдө аныктайт кожоюн SRV жазуусу көрсөтүлгөн кызматты көрсөтөт. Жазуунун түрү «A»Ар бири үчүн домендик аталыштар мейкиндигинде FQDN серверден же кожоюн кызмат көрсөтүүчү. Жөнөкөй, жазуу түрүндөгү жазуу A түз зоналарда (ларда).
    • Эскертүү:
      SRV жазуусу менен көрсөтүлгөн кызмат бул хостто көрсөтүлбөйт деп авторитеттүү түрдө көрсөтүү үчүн, бир (
      .) чекит.

Тармактын же Active Directory®нин туура иштеши домендик аталыштар кызматынын туура иштешине чоң таянарын кайталайбыз..

Active Directory DNS жазуулары

Жаңы DNS Серверинин Аймактарын BIND негизинде жасоо үчүн, биз бардык DNS жазууларды Active Directory®ден алышыбыз керек. Жашоону жеңилдетүү үчүн биз командага барабыз sauron.mordor.fan -Active Directory® 2008 SR2- жана DNS Административдик Консолунда биз кызматтын ушул түрүндө жарыяланган негизги зоналар үчүн Zone Transfer -direct жана reverse- активдештиребиз:

  • _msdcs.mordor.fan
  • mordor.fan
  • 10.10.10.in-addr.arpa

Мурунку кадам жана IP дареги Windows Network колдонгон ички тармактын чегинде турган Linux компьютеринен жасалганда, биз төмөнкүнү аткарабыз:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> temp /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa
  • Аппараттын IP дареги экендигин мурунку макалалардан эстеп көрүңүз sysadmin.fromlinux.fan 10.10.10.1 болуп саналат же 192.168.10.1.

Мурунку үч буйрукта биз параметрди жок кыла алабыз @10.10.10.3 -ошол дарек менен DNS серверинен сураңыз- эгер файлда жарыялаган болсок /etc/resolv.conf IP-серверге sauron.mordor.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf # NetworkManager издөө аркылуу linux.fan nameserver 192.168.10.5 nameserver 10.10.10.3

BINDдеги ар кандай зона файлына туура келгендей, өтө кылдаттык менен редакциялагандан кийин, биз төмөнкү маалыматтарды алабыз:

_Msdcs.mordor.fan баштапкы зонасынан RRs жазуулары

buzz @ sysadmin: ~ $ cat temp / rrs._msdcs.mordor.fan 
; SOA жана NS _msdcs.mordor.fanга байланыштуу. 3600 IN SOA sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 3600 _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; ГЛОБАЛДЫК КАТАЛОГ gc._msdcs.mordor.fan. 600-те 10.10.10.3; ; Ылакап аттар - SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan Active Directory каталогунун өзгөртүлгөн жана жеке LDAP маалымат базасында. 600 IN CNAME sauron.mordor.fan. ; ; Активдүү каталогдун өзгөртүлгөн жана купуя LDAP _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS Active Directoryден өзгөртүлгөн жана купуя _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

RRs жазууларынын баштапкы зонасы mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs.mordor.fan 
; SOA, NS, MX жана ал картага түшүрүлгөн А жазуусуна байланыштуу; SAURON IP дарегине домендик аталыш; Активдүү каталогдон алынган нерселер mordor.fan. 3600 IN SOA sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 86400 3600 mordor.fan. 600 IN 10.10.10.3 mordor.fan. 3600 IN NS sauron.mordor.fan. mordor.fan. 3600 IN MX 10 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; Ошондой эле маанилүү A DomainDnsZones.mordor.fan деп жазат. 600 IN A 10.10.10.3 ForestDnsZones.mordor.fan. 600-те 10.10.10.3; ; ГЛОБАЛДЫК КАТАЛОГ _gc._tcp.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. ; ; Active Directory _ldap._tcp.mordor.fan өзгөртүлгөн жана жеке LDAP. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; Өзгөртүлгөн жана жеке KERBEROS Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. ; ; А жазуусу туруктуу IP -> Серверлер blackelf.mordor.fan. 3600 IN A 10.10.10.9 blackspider.mordor.fan. 3600 IN 10.10.10.10 darklord.mordor.fan. 3600 IN A 10.10.10.6 mamba.mordor.fan. 3600 IN A 10.10.10.4 palantir.mordor.fan. 3600 IN A 10.10.10.11 sauron.mordor.fan. 3600 IN 10.10.10.3 shadowftp.mordor.fan. 3600 IN 10.10.10.8 troll.mordor.fan. 3600 IN A 10.10.10.7; ; CNAME ad-dc.mordor.fan деп жазат. 3600 IN CNAME sauron.mordor.fan. blog.mordor.fan. 3600 IN CNAME troll.mordor.fan. fileserver.mordor.fan. 3600 IN CNAME mamba.mordor.fan. ftpserver.mordor.fan. 3600 IN CNAME shadowftp.mordor.fan. mail.mordor.fan. 3600 IN CNAME balckelf.mordor.fan. openfire.mordor.fan. 3600 IN CNAME palantir.mordor.fan. proxy.mordor.fan. 3600 IN CNAME darklord.mordor.fan. www.mordor.fan. 3600 IN CNAME blackspider.mordor.fan.

10.10.10.in-addr.arpa зонасындагы RRs жазуулары

buzz @ sysadmin: ~ $ cat temp / rrs.10.10.10.in-addr.arpa 
; SOA жана NS 10.10.10.in-addr.arpaга байланыштуу. 3600 IN SOA sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400 3600 10.10.10.in-addr.arpa. 3600 IN NS sauron.mordor.fan. ; ; PTR жазуулары 10.10.10.10.in.add.arpa. 3600 IN PTR blackspider.mordor.fan. 11.10.10.10.in.adr.arpa. 3600 IN PTR palantir.mordor.fan. 3.10.10.10.in.adr.arpa. 3600 IN PTR sauron.mordor.fan. 4.10.10.10.in.adr.arpa. 3600 IN PTR mamba.mordor.fan. 5.10.10.10.in.adr.arpa. 3600 IN PTR dnslinux.mordor.fan. 6.10.10.10.in.adr.arpa. 3600 IN PTR darklord.mordor.fan. 7.10.10.10.in.adr.arpa. 3600 IN PTR troll.mordor.fan. 8.10.10.10.in.adr.arpa. 3600 IN PTR shadowftp.mordor.fan. 9.10.10.10.in.adr.arpa. 3600 IN PTR blackelf.mordor.fan.

Ушул убакка чейин укмуштуу окуяларды улантуу үчүн керектүү маалыматтар бар деп ойлойбуз TTLs жана башка маалыматтар, так жана натыйжалуу жана DNS системасын байкоо жүргүзүү үчүн Microsft® Active Directory® 2008 SR2 64 бит.

SAURONдогу DNS менеджеринин сүрөттөрү

Dnslinux.mordor.fan командасы.

Эгер жакшылап карасак, IP дарекке 10.10.10.5 жаңы DNS аталышы менен ээлеши үчүн ага эч кандай ысым берилген эмес dnslinux.mordor.fan. DNS жана DHCP түгөйүн орнотуу үчүн биз макалаларды колдоно алабыз Debian 8 "Jessie" деги DNS жана DHCP y CentOS 7деги DNS жана DHCP.

Негизги иштетүү тутуму

Менин досум FuegianMicrosoft® Windowsтун чыныгы адиси болуу менен бирге, анын ошол компания тарабынан берилген бир-эки Сертификаттары бар - ал стол үстүндөгү жарыяланган айрым макалаларды окуп, иш жүзүндө колдонууга киргизди FromLinux., жана ал мага ачык эле Debian негизделген чечим каалагандыгын айтты. 😉

Сизге жагуу үчүн, биз сервердин негизделген жаңы, таза орнотулушунан баштайбыз Debian 8 "Jessie". Ошентсе да, биз төмөндө жаза турган макалалар жогоруда айтылган CentOS жана openSUSE дистрибутивдери үчүн жарактуу. BIND жана DHCP бардык таркатууларда бирдей. Ар бир бөлүштүрүүдө пакеттин тейлөөчүлөрү тарабынан бир аз өзгөрүүлөр киргизилет.

Орнотууну көрсөтүлгөндөй кылып жасайбыз Debian 8 "Jessie" деги DNS жана DHCP, IP колдонууга кам көрүшөт 10.10.10.5 жана тармак 10.10.10.0 / 24., BIND конфигурацияланганга чейин.

Биз BINDди Debian стилинде конфигурациялайбыз

/etc/bind/named.conf

билэ /etc/bind/named.conf биз аны орнотулган бойдон калтырабыз.

/etc/bind/named.conf.options

билэ /etc/bind/named.conf.options төмөнкүдөй мазмун менен калтырылышы керек:

root @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dnslinux: ~ # nano /etc/bind/named.conf.options
options {directory "/ var / cache / bind"; // Эгер сиз менен жана сиз каалаган // аталыш серверлеринин ортосунда брандмауэр бар болсо, анда сиз бир нече // порттордун сүйлөшүүсүнө уруксат берүү үчүн, брандмауэрди оңдошуңуз керек болушу мүмкүн. Http://www.kb.cert.org/vuls/id/800113 // караңыз, эгерде сиздин ISP туруктуу // аттар серверлери үчүн бир же бир нече IP дарек берген болсо, анда аларды экспедитор катары колдонгуңуз келиши мүмкүн. // Төмөнкү блоктон баш тартыңыз жана // all-0 орун алмаштыруучу даректерди киргизиңиз. // экспедиторлор {// 0.0.0.0; //}; // ================================================== ===================== $ // Эгерде BIND түп ачкычтын мөөнөтү аяктагандыгы жөнүндө ката билдирүүлөрүн каттаса, // ачкычтарыңызды жаңыртышыңыз керек болот. Https://www.isc.org/bind-keys // ================================== караңыз ===================================== $

    // Биз DNSSECти каалабайбыз
        dnssec-күйгүзүү жок;
        //dnssec-validation авто;

        auth-nxdomain жок; # RFC1035 ылайык

 // IPv6 даректерин угуунун кажети жок
        // listen-on-v6 {any; };
    v6 {эч ким; };

 // localhost жана sysadmin текшерүүлөрү үчүн
    // аркылуу // dig mordor.fan axfr // dig 10.10.10.in-addr.arpa axfr // dig _msdcs.mordor.fan axfr // Бизде Slave DNS жок ... ушул убакка чейин
 уруксат берүү-өткөрүп берүү {localhost; 10.10.10.1; };
};

// Loging BIND
журналы

        канал суроолору {
        файл "/var/log/named/queries.log" 3м нускалары 1м;
        катаалдыгы жөнүндө маалымат;
        басып чыгаруу убактысы ооба;
        басып чыгаруу оордугу ооба;
        басма категориясы ооба;
        };

        канал суроо-катасы {
        файл "/var/log/named/query-error.log" 3м нускалары 1м;
        катаалдыгы жөнүндө маалымат;
        басып чыгаруу убактысы ооба;
        басып чыгаруу оордугу ооба;
        басма категориясы ооба;
        };

                                
категория сурамдары {
         сурамдар;
         };

категориялык суроо-каталар {
         суроо-ката;
         };

};
  • BIND журналдарын басып алууну а Nuevo темадагы макалалардын сериясындагы көрүнүшү. Биз лди жаратабызүчүн талап кылынган папка жана файлдар Logging BIND:
root @ dnslinux: ~ # mkdir / var / log / аталган
root @ dnslinux: ~ # touch /var/log/named/queries.log
root @ dnslinux: ~ # touch /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / named

Биз конфигурацияланган файлдардын синтаксисин текшеребиз

root @ dnslinux: ~ # аталган-checkconf 
root @ dnslinux: ~ #

/etc/bind/named.conf.local

Биз файлды түзөбүз /etc/bind/zones.rfcFreeBSD көрсөтүлгөндөй эле мазмун менен Debian 8 "Jessie" деги DNS жана DHCP.

root @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

билэ /etc/bind/named.conf.local төмөнкүдөй мазмун менен калтырылышы керек:

// // Бул жерде кандайдыр бир жергиликтүү конфигурация жасаңыз // // 1918 зоналарын, эгерде алар сиздин // уюмуңузда колдонулбаса, анда бул жерге кошууну карап көрүңүз
"/etc/bind/zones.rfc1918" камтыйт; "/etc/bind/zones.rfcFreeBSD" камтыйт;

zone "mordor.fan" {типтеги мастер; файл "/var/lib/bind/db.mordor.fan"; }; zone "10.10.10.in-addr.arpa" {type master; файл "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

zone "_msdcs.mordor.fan" {type master;
 текшерүү аттары көңүлгө алынбайт; файл "/etc/bind/db._msdcs.mordor.fan"; }; root @ dnslinux: ~ # аталган-checkconf
root @ dnslinux: ~ #

Zone File mordor.fan

root @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; сериялык 1D; сергитүү 1Н; кайрадан 1W аракет; 3H мөөнөтү бүтөт); минимум же; Жашоо үчүн терс кэш убактысы;
; ТӨМӨНДӨГҮ ЖАЗМАЛАР МЕНЕН ӨТӨ САК БОЛГУЛА
@ IN NS dnslinux.mordor.fan.
@ IN 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT "Мордордун кара жолуна саламдашуу";
_msdcs.mordor.fan. IN NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. 10.10.10.5де
; ТӨМӨНДӨГҮ ЖАЗМАЛАР МЕНЕН ӨТӨ ЭТКЕН АЯКТАҢЫЗ;
DomainDnsZones.mordor.fan. 10.10.10.3-жылы ForestDnsZones.mordor.fan. 10.10.10.3 IN; ; ГЛОБАЛДЫК КАТАЛОГ _gc._tcp.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ; ; Active Directory _ldap._tcp.mordor.fan өзгөртүлгөн жана жеке LDAP. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. ; ; Өзгөртүлгөн жана жеке KERBEROS Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. ; ; А жазуусу туруктуу IP -> Серверлер blackelf.mordor.fan. 10.10.10.9 blackspider.mordor.fan. 10.10.10.10-да darklord.mordor.fanда. 10.10.10.6 mamba.mordor.fanда. 10.10.10.4 palantir.mordor.fanда. 10.10.10.11де
sauron.mordor.fan. 10.10.10.3-те
shadowftp.mordor.fan. 10.10.10.8 troll.mordor.fanда. 10.10.10.7 IN; ; CNAME ad-dc.mordor.fan деп жазат. CNAMEде sauron.mordor.fan. blog.mordor.fan. CNAME IN troll.mordor.fan. fileserver.mordor.fan. CNAMEде mamba.mordor.fan. ftpserver.mordor.fan. CNAMEде shadowftp.mordor.fan. mail.mordor.fan. CNAMEде balckelf.mordor.fan. openfire.mordor.fan. CNAME palantir.mordor.fan. proxy.mordor.fan. CNAMEде darklord.mordor.fan. www.mordor.fan. CNAME IN blackspider.mordor.fan.

root @ dnslinux: ~ # аталган-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
zone mordor.fan/IN: 1 серия жүктөлдү ОК

Убакыттар TTL 600 Бардык SRV реестрлерин, эгерде биз Slave BIND орнотуп алсак, аларды сактап калабыз. Ал жазуулар Active Directory® кызматтарын чагылдырат, алар көбүнчө LDAP базаңыздагы маалыматтарды окушат. Бул маалыматтар базасы тез-тез өзгөрүп тургандыктан, Master-Slave DNS схемасында шайкештештирүү убактысы кыска болушу керек. Active Directory 2000ден 2008-жылга чейин байкалган Microsoft философиясына ылайык, SRV жазууларынын бул түрлөрү үчүн 600 мааниси сакталат.

The TTLs IP бекитилген серверлердин, алар SOAда 3 саат жарыяланган убакытта болушат.

Zon File 10.10.10.in-addr.arpa

root @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; сериялык 1D; 1H жаңыртуу; 1Wди кайталоо; 3H мөөнөтү бүтөт); минимум же; Жашоо үчүн терс кэш убактысы; @ IN NS dnslinux.mordor.fan. ; 10 IN PTR blackspider.mordor.fan. 11 IN PTR palantir.mordor.fan. 3 IN PTR sauron.mordor.fan. 4 IN PTR mamba.mordor.fan. 5 IN PTR dnslinux.mordor.fan. 6 IN PTR darklord.mordor.fan. 7 IN PTR troll.mordor.fan. 8 IN PTR shadowftp.mordor.fan. 9 IN PTR blackelf.mordor.fan.

root @ dnslinux: ~ # named-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
zone 10.10.10.in-addr.arpa/IN: 1 серия жүктөлдү OK

Zone File _msdcs.mordor.fan

Файлда эмне сунушталаарын эске алалы /usr/share/doc/bind9/README.Debian.gz DHCP тарабынан динамикалык жаңыланууга дуушар болбогон Мастер Зоналардын файлдарынын жайгашкан жери жөнүндө.

root @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; сериялык 1D; сергитүү 1Н; кайрадан 1W аракет; 3H мөөнөтү бүтөт); минимум же; Жашоо үчүн терс кэш убактысы; @ IN NS dnslinux.mordor.fan. ; ; ; ГЛОБАЛДЫК КАТАЛОГ gc._msdcs.mordor.fan. 600-те 10.10.10.3; ; Ылакап аттар - SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan Active Directory каталогунун өзгөртүлгөн жана жеке LDAP маалымат базасында. 600 IN CNAME sauron.mordor.fan. ; ; Активдүү каталогдун өзгөртүлгөн жана купуя LDAP _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS Active Directoryден өзгөртүлгөн жана купуя _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Биз синтаксисти текшеребиз жана анын кайтарылган катасын көрмөксөнгө салабыз, анткени файл ушул Зонанын конфигурациясында /etc/bind/named.conf.local билдирүүнү камтыйбыз текшерүү аттары көңүлгө алынбайт;. Зона BIND тарабынан туура жүктөлөт.

root @ dnslinux: ~ # named-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: жаман ээсинин аты (текшерүү аттары) зона _msdcs.mordor.fan/IN: жүктөлгөн сериялык 1 ОК

root @ dnslinux: ~ # systemctl өчүрүп-күйгүзүү bind9.сервис 
root @ dnslinux: ~ # systemctl абалы bind9.сервис 
● bind9.service - BIND домендик аталыштын сервери жүктөлдү: жүктөлдү (/lib/systemd/system/bind9.service; иштетилген) Ачып кирүү: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf жигердүү: жигердүү (чуркап) күндөн бери 2017-02-12 08:48:38 EST; 2s мурун Docs: man: named (8) Process: 859 ExecStop = / usr / sbin / rndc stop (code = exited, status = 0 / SUCCESS) Негизги PID: 864 (аталган) CGroup: /system.slice/bind9.service └─864 / usr / sbin / named -f -u bind 12-февраль 08:48:38 dnslinux деп аталган [864]: zone 3.efip6.arpa/IN: loaded serial 1 Feb 12 08:48:38 dnslinux named [864 ]: zone befip6.arpa/IN: loaded serial 1 Feb 12 08:48:38 dnslinux named [864]: zone 0.efip6.arpa/IN: loaded serial 1 Feb 12 08:48:38 dnslinux named 864: zone 7.efip6.arpa/IN: жүктөлгөн 1-февраль 12-февраль 08:48:38 dnslinux аталышы [864]: зона mordor.fan/IN: жүктөлгөн 1-февраль 12-февраль 08:48:38 dnslinux [864]: зона мисалы .org / IN: жүктөлгөн 1-февраль 12-февраль 08:48:38 dnslinux аталышы [864]: zone _msdcs.mordor.fan/IN: loaded serial 1 Feb 12 08:48:38 dnslinux name [864]: zone жараксыз / IN : сериал жүктөлдү 1 Февраль 12 08:48:38 dnslinux аталган [864]: бардык зоналар жүктөлдү
12-февралы 08:48:38 dnslinux деп аталган [864]: чуркоо

Биз BIND менен кеңешебиз

чейин DHCP орноткондон кийин, Windows 7 кардарын доменге кошууну камтыган бир катар текшерүүлөрдү жүргүзүшүбүз керек mordor.fan компьютерде орнотулган Active Directory тарабынан көрсөтүлгөн sauron.mordor.fan.

Биринчи кезекте, компьютердеги DNS кызматын токтотуу керек sauron.mordor.fan, жана тармактык интерфейсиңизде мындан ары DNS сервериңиз боло тургандыгын жарыялаңыз 10.10.10.5 dnslinux.mordor.fan.

Сервердин консолунда sauron.mordor.fan биз аткарабыз:

Microsoft Windows [6.1.7600-версия]
Автордук укук (c) 2009 Microsoft Corporation. Бардык укуктар корголгон.

C: \ Users \ Administrator> nslookup
Демейки сервер: dnslinux.mordor.fan Дарек: 10.10.10.5

> gc._msdcs
Сервер: dnslinux.mordor.fan Дарек: 10.10.10.5 Аты: gc._msdcs.mordor.fan Дарек: 10.10.10.3

> mordor.fan
Сервер: dnslinux.mordor.fan Дарек: 10.10.10.5 Аты: mordor.fan Дарек: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Сервер: dnslinux.mordor.fan Дарек: 10.10.10.5 Аты: sauron.mordor.fan Дарек: 10.10.10.3 Бүркүмдөр: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> set type = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Сервер: dnslinux.mordor.fan Дарек: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRV сервдин муз жайгашкан жери: приоритет = 0 салмак = 100 порт = 88 svr хост аты = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan интернет дареги = 10.10.10.3 dnslinux.mordor.fan интернет дареги = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Сервер: dnslinux.mordor.fan Дарек: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV кызмат орду: приоритет = 0 салмак = 100 порт = 389 svr хост аты = sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan интернет дареги = 10.10.10.3 dnslinux.mordor.fan интернет дареги = 10.10.10.5
> чыгуу

C: \ Users \ Administrator>

Жасалган DNS сурамдары sauron.mordor.fan канааттандырарлык.

Кийинки кадам Windows 7 орнотулган дагы бир виртуалдык машинаны түзүү болот. DHCP кызматы орнотула элек болгондуктан, компьютерди «деген ат менен беребизwin7»IP дареги 10.10.10.251. Ошондой эле, DNS сервериңиз ушул болот деп жарыялайбыз 10.10.10.5 dnslinux.mordor.fan, жана издөө домени болот mordor.fan. Биз ал компьютерди DNSке каттабайбыз, анткени аны орноткондон кийин DHCP кызматын текшерүү үчүн колдонобуз.

Андан кийин биз консоль ачабыз CMD жана анда биз аткарабыз:

Microsoft Windows [6.1.7601-версия]
Автордук укук (c) 2009 Microsoft Corporation. Бардык укуктар корголгон.

C: \ Users \ buzz> nslookup
Демейки сервер: dnslinux.mordor.fan Дарек: 10.10.10.5

> mordor.fan
Сервер: dnslinux.mordor.fan Дарек: 10.10.10.5 Аты: mordor.fan Дарек: 10.10.10.3

> set type = SRV
> _ldap._tcp.DomainDnsZones
Сервер: dnslinux.mordor.fan Дарек: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan SRV кызмат орду: артыкчылык = 0 салмак = 0 порт = 389 svr хост аты = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fan sauron.mordor.fan интернет дареги = 10.10.10.3 dnslinux.mordor.fan интернет дареги = 10.10.10.5
> _kpasswd._udp
Сервер: dnslinux.mordor.fan Дарек: 10.10.10.5 _kpasswd._udp.mordor.fan SRV кызматынын жайгашкан жери: приоритет = 0 салмак = 0 порт = 464 svr hostname = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan интернет дареги = 10.10.10.3 dnslinux.mordor.fan интернет дареги = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Сервер: dnslinux.mordor.fan Дарек: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRV серв музу жайгашкан жер: приоритет = 0 салмак = 0 порт = 389 svr хост аты = саурон. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan интернет дареги = 10.10.10.3 dnslinux.mordor.fan интернет дареги = 10.10.10.5
> чыгуу

C: \ Users \ buzz>

Кардардан жасалган DNS сурамдары «win7»Ошондой эле канааттандырарлык болду.

Active Directoryде биз колдонуучуну түзөбүз «саруман«, Кардарга кошулууда аны колдонуу максатында win7 доменге mordor.fan., «ыкмасын колдонуу мененТармак ID«, Колдонуучунун ысымдарын колдонуу saruman@mordor.fan y administrator@mordor.fan. Кошулуу ийгиликтүү болуп, төмөнкү скриншот менен далилденди:

Microsoft® DNS жана BIND динамикалык жаңыртуулары жөнүндө

DNS кызматы Active Directoryде токтоп калгандыктан, кардар үчүн мүмкүн болгон жок «win7»Ошол DNSке аты-жөнүңүздү жана IP дарегиңизди каттаңыз. Бир кыйла аз dnslinux.mordor.fan анткени биз эч кандай билдирүү жасаган жокпуз жаңыртууга уруксат берүү тиешеси бар аймактардын ар бири үчүн.

Дал ушул жерде менин досум менен жакшы уруш пайда болду Fuegian. Бул аспект жөнүндө менин биринчи электрондук почта билдирүүмдө:

  • Microsoft корпорациясынын BIND жана Active Directory® колдонмолорундагы макалалары, айрыкча Түз Зонаны жаңыртууга уруксат берет -кирди- түздөн-түз буга чейин Active Directory доменине кошулган Windows кардарлары тарабынан.
  • Ошондуктан, демейки шартта, Active Directory® Коопсуз Динамикалык Жаңыртуунун DNS зоналарында уруксат берилет. буга чейин Active Directory доменине кошулган Windows кардарлары тарабынан. Эгер алар бирдиктүү болбосо, кесепеттеринен алыс болушат.
  • Активдүү Каталогдун DNS "Коопсуз гана", "Коопсуз эмес жана коопсуз", же "Жок" динамикалык жаңыртууларын колдойт, бул Жок жаңылоо же Жок.
  • Ооба чын эле Microsoft Philosophy өз кардарлары өз DNS (дер )инде маалыматтарын жаңыртпайт дегенге макул эмес, эгерде бул параметр болбосо, алардын DNS (дер) индеги динамикалык жаңыртууларды өчүрүү мүмкүнчүлүгүн ачыкка чыгарбайт. дагы жашыруун максаттар үчүн калтырылат.
  • Microsoft Караңгылыктын ордуна "Коопсуздукту" сунуштайт, Microsft® Тастыктамалар курсунан өткөн кесиптешим жана досум айткандай. Ырас. Мындан тышкары, El Fueguino мага тастыктады.
  • Мисалы, UNIX® / Linux машинасында орнотулган DHCP аркылуу IP дарегин алган кардар өзүнүн IP дарегин чече албайт Active Directory доменине кошулганга чейин, Microsoft® же BIND DHCP динамикалык жаңыртуусуз DNS катары колдонулганда.
  • Эгерде мен DHCPди Active Directory® өзүнө орнотсом, анда Аймактар ​​Microsoft® DHCP тарабынан жаңыртылып жаткандыгын билдиришим керек.
  • Эгерде биз BINDди Windows тармагы үчүн DNS катары колдоно турган болсок, анда логикалык жана BIND-DHCP дуэтин орнотуу сунушталат, экинчиси BIND динамикалуу жаңыланып, маселе аягына чыкты.
  • UNIX® / Linux тутумундагы LAN тармактарында, BINDде динамикалык жаңыртуулар ойлоп табылгандыктан, DHCP мырзасына гана уруксат берилет «кирүү»BIND айымга өзүнүн жаңыртуулары менен. Сураныч, буйрук менен болгон эс алуу.
  • Мен зонада жарыялаганда mordor.fan Мисалы: жаңыртууга уруксат берүү {10.10.10.0/24; };, BIND өзү баштоодо же өчүрүп-күйгүзүүдө мага төмөнкүлөрдү билдирет:
    • 'mordor.fan' зонасы кооптуу болгон IP дареги боюнча жаңыртууга мүмкүндүк берет
  • UNIX® / Linux дүйнөсүндө, DNS менен мындай соуска жол берилбейт.

Менин досум менен калган алмашууну элестете аласыз Fuegian аркылуу электрондук почта, Телеграм чат, ал төлөгөн телефон чалуулары (албетте, адам, менде ал үчүн бир килограмм жок), ал тургай, ХХI кылымдагы көгүчкөндөр аркылуу кабарлар!

Ал тургай, мага өзүнүн үй жаныбары, анын Игуана уулун жибербейм деп коркутту »Petra»Ал мага төлөмдүн бир бөлүгү катары убада кылган. Ал жерден мен чындыгында эле коркуп кеттим. Ошентип мен дагы баштадым, бирок башка жагынан.

  • Samba 4 менен жетишүүгө мүмкүн болгон "дээрлик" Active Directory бул аспектти чеберчилик менен чечет, анын ички DNSин колдонгондо дагы, же DLZ зоналарын колдоо үчүн түзүлгөн BIND дагы - Dinamyc жүктөлгөн зоналары, же Динамикалык Жүктөлгөн Зоналар.
  • Кардар IP-дарегин орнотулган DHCP аркылуу алганда, ошол эле нерсе менен жабыркай берет башка UNIX® / Linux машинасы, сиз өз атыңыздын IP дарегин чече албайсыз ал Samba 4 AD-DC доменине кошулганга чейин.
  • BIND-DLZ жана DHCP дуэтин ошол эле машинага бириктирип, ошол жерде AD-DC Samba 4 бул чыныгы адиске тапшырма.

Fuegian Ал мени бөлүмгө чакырып, мага кыйкырды: Биз сүйлөшпөйбүз AD-DC Samba 4, бирок Microsoft® Active Directory®!. Мен кичипейилдик менен жооп бергем, мен жазган төмөнкү макалалардын бир бөлүгү мага аябай жакты.

Ошондо мен анын тармагындагы кардарлардын компьютерлерин динамикалык жаңыртуу боюнча акыркы чечим өз эрки менен калгандыгын айттым. Мен ага ага гана уч жөнүндө мурун жазылган жаңыртууга уруксат берүү {10.10.10.0/24; };, жана башка эч нерсе жок. Ар бир Windows кардары же Linux өз тармагындагы уятсыздыктын натыйжасында мен жооптуу эмесмин «кирет»BIND үчүн жазасыз.

Эгер билсеңиз, менин досум, Окурман, мушташтын акыркы чекити ушул болсо, анда ишенбейт элеңиз. Менин досум Fuegian ал чечимди кабыл алды - жана ал мага игуана жиберет «Петрика«- деп азыр мен сиз менен бөлүшүп жатам.

DHCPди орнотуп, конфигурациялайбыз

Көбүрөөк маалымат алуу үчүн окуу Debian 8 "Jessie" деги DNS жана DHCP.

root @ dnslinux: ~ # жөндөмдү орнотуу isc-dhcp-сервер

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # DHCP сервери (dhcpd) DHCP сурамдарын кайсы интерфейстерде тейлеши керек? # Бир нече интерфейстерди боштуктар менен бөлүңүз, мисалы "eth0 eth1". INTERFACES = "eth0" root @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
Kdhcp-ачкыч. + 157 + 29836

root @ dnslinux: ~ # cat Kdhcp-ачкыч. +157 + 29836.жеке
Private-key-format: v1.3 Алгоритм: 157 (HMAC_MD5) Ачкыч: 3HT / bg / 6YwezUShKYofj5g == Биттер: AAA = Түзүлгөн: 20170212205030 Жарыялоо: 20170212205030 Жандандыруу: 20170212205030

root @ dnslinux: ~ # nano dhcp.key
ачкыч dhcp-ачкыч {hmac-md5 алгоритми; сыр "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/named.conf.local
// // Бул жерде кандайдыр бир жергиликтүү конфигурация жасаңыз // // 1918 зоналарын кошуп көрүңүз, эгерде алар // уюмуңузда колдонулбаса, "/etc/bind/zones.rfc1918"; "/etc/bind/zones.rfcFreeBSD" камтыйт;
// Унутпа ... Мен унутуп, каталар менен акча төлөдүм. ;-)
"/etc/bind/dhcp.key" камтыйт;


zone "mordor.fan" {типтеги мастер;
        жаңыртууга уруксат берүү {10.10.10.3; ачкыч dhcp-ачкыч; };
        файл "/var/lib/bind/db.mordor.fan"; }; zone "10.10.10.in-addr.arpa" {type master;
        жаңыртууга уруксат берүү {10.10.10.3; ачкыч dhcp-ачкыч; };
        файл "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; zone "_msdcs.mordor.fan" {type master; текшерүү аттары көңүлгө алынбайт; файл "/etc/bind/db._msdcs.mordor.fan"; };

root @ dnslinux: ~ # аталган-checkconf 
root @ dnslinux: ~ #

root @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
ddns-жаңыртуу стилиндеги убактылуу; ddns-updates on; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; кардардын жаңыртууларын көрмөксөнгө салуу; авторитеттүү; опция ip-forwarding өчүрүү; "mordor.fan" домендик аты-жөнү; "/etc/dhcp/dhcp.key" камтыйт; zord mordor.fan. {баштапкы 127.0.0.1; ачкыч dhcp-ачкыч; } 10.10.10.in-addr.arpa зонасы. {баштапкы 127.0.0.1; ачкыч dhcp-ачкыч; } жалпы тармакты кайра бөлүштүрүү {subnet 10.10.10.0 netmask 255.255.255.0 {опция роутерлери 10.10.10.1; subnet-mask 255.255.255.0 опциясы; опция уктуруу-дареги 10.10.10.255; параметр домен-аты-серверлер 10.10.10.5; option netbios-name-servers 10.10.10.5; диапазону 10.10.10.30 10.10.10.250; }} # END dhcpd.conf

root @ dnslinux: ~ # dhcpd -t
DHCP Server 4.3.1 Интернет Системалары Консорциуму Copyright 2004-2014 Internet Systems Consortium. Бардык укуктар корголгон. Маалымат алуу үчүн https://www.isc.org/software/dhcp/ Config file дарегине баш багыңыз: /etc/dhcp/dhcpd.conf Маалыматтар базасынын файлы: /var/lib/dhcp/dhcpd.leases PID file: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl өчүрүп-күйгүзүү bind9.сервис 
root @ dnslinux: ~ # systemctl абалы bind9.сервис 

root @ dnslinux: ~ # systemctl баштоо isc-dhcp-server.service
root @ dnslinux: ~ # systemctl статусу isc-dhcp-server.service

Эмне менен байланыштуу Кардарлар менен текшерүү, ал эми Zone файлдарын кол менен өзгөртүү, биз сизден, окурман досум, аны түздөн-түз окуп чыгууга калтырабыз Debian 8 "Jessie" деги DNS жана DHCP, жана аны иш жүзүндөгү шарттарга ылайык колдон. Бардык керектүү текшерүүлөрдү жүргүзүп, канааттандырарлык натыйжаларды алдык. Албетте, биз алардын баарынын көчүрмөсүн жөнөтөбүз Fuegian. Мындан ары болбойт!

Сунуштар

жалпы

  • Баштаардан мурун чыдамдуулук менен мамиле кылыңыз.
  • Алгач BIND орнотуп, конфигурациялаңыз. Бардыгын текшериңиз жана Active Directoryден жана Linuxтагы DNS сервердин өзүнөн үч же башка аймактардын ар бир файлында жарыялаган бардык жазууларды көрүңүз. Мүмкүн болсо, доменге кошулбаган Linux машинасынан BIND үчүн DNS сурамдарын жасаңыз.
  • Учурдагы доменге туруктуу IP дареги бар Windows кардарына кошулуп, Windows кардарындагы бардык BIND орнотууларын кайра текшерип алыңыз.
  • Сиздин жаңы BIND конфигурациясынын толугу менен туура экенине эч күмөн санабагандан кийин, DHCP кызматын орнотуп, конфигурациялап, ишке киргизиңиз.
  • Ката кетсе, процедураны нөл 0 ден баштап кайталаңыз.
  • Көчүрүп алгандан кийин этият болуңуз! жана named.conf.xxxx файлдарынын ар бир сабындагы калган боштуктар
  • Андан кийин, ал менин досум фуэгиялыкка анча-мынча - ага туура кеңеш берилген жок деп нааразы болгон жок.

башка ыкмалары

  • Бөлүп, жеңип ал.
  • Чакан жана орто бизнес тармагында ички LAN зоналары үчүн эч кандай түпкү серверге кайталабаган Авторитеттүү BIND орнотуу коопсуз жана пайдалуу: рекурсия жок;.
  • Интернетке кирүү провайдеринин астында жайгашкан чакан жана орто бизнес тармагында - ISP, балким кызматтар Proxy y SMTP алар Интернеттеги домендик аталыштарды чечиши керек. Ал кальмар почта серверинде туруп, DNSни тышкы же жок деп жарыялай аласыз Постфикс o MDaemon® Ошондой эле, биз ошол кызматта колдоно турган DNS серверлерин жарыялай алабыз. Ушул сыяктуу учурларда, башкача айтканда, Интернетке кызмат көрсөтпөгөн жана а Интернет маалымат кызматы, менен BIND орнотууга болот Экспедиторлор нын DNSин көрсөтүп ISP, жана тышкы сурамдарды LANга чечиши керек болгон серверлерде экинчи DNS деп жарыялайбыз, болбосо аларды өзүнүн конфигурация файлдары аркылуу жарыялоого болот.
  • Эгерде сизде ыйгарым укук берилген аймак болсо, анда сиздин бүт жоопкерчилигиңиз барАндан кийин дагы бир короз карга:
    • Негизинде DNS серверин орнотуңуз NSDИнтернеттеги компьютерлерден келген суроолорго жооп берген, аныктамасы боюнча, авторитеттүү DNS сервери. Айрым маалымат үчүн жөндөмдүүлүгүн көрсөтүү nsd. 😉 Сураныч, ушунчалык көп өрт дубалдары менен жакшы коргоңуз. Аппараттык жана программалык камсыздоо. Бул Интернет үчүн DNS болот жана «жол»Биз аны төмөн шым менен бербешибиз керек. 😉
    • Мындай учурларда, тактап айтканда, Өкүлчүлүк Зона үчүн толугу менен жооптуу болгонумду өзүм көрбөгөндүктөн, биздин LANдан сырткаркы домендик аталыштарды чечүү үчүн, ага муктаж болгон кызматтар үчүн эмне сунуштоону жакшы ойлонушум керек эле. Чакан жана орто бизнес тармагынын кардарларына ал чындыгында эле керек эмес. Атайын адабияттардан, же болбосо ушул темалардагы адистерден кеңеш алыңыз, анткени мен алардын катарына кирүүдөн алысмын. Олуттуу.
    • Рекурсия Авторитардык серверлерде жок. Болуптур?. Кимдир бирөө аны BIND менен жасоону ойлосо.
  • Файлда биз так көрсөтсөк да /etc/dhcp/dhcpd.conf декларация кардардын жаңыртууларын көрмөксөнгө салуу;, эгер биз компьютердин консолунда иштесек dnslinux.mordor.fan тартип journalctl -f, биз кардарды баштап жатканда көрөбүз win7.mordor.fan биз төмөнкү ката билдирүүлөрүн алабыз:
    • 12-февраль 16:55:41 dnslinux деп аталган [900]: кардар 10.10.10.30 # 58762: жаңыртуу 'mordor.fan/IN' четке кагылды
      12-февраль 16:55:42 dnslinux деп аталган [900]: кардар 10.10.10.30 # 49763: жаңыртуу 'mordor.fan/IN' четке кагылды
      12-февраль 16:56:23 dnslinux деп аталган [900]: кардар 10.10.10.30 # 63161: жаңыртуу 'mordor.fan/IN' четке кагылды
      
    • Бул билдирүүлөрдү жок кылуу үчүн, тармактык картанын конфигурациясынын өркүндөтүлгөн параметрлерине өтүп, ««Бул байланыштын даректерин DNS каттоодон өткөрүңүз«. Бул кардардын Linux DNS системасында түбөлүккө өзүн-өзү каттоодон өтүшүнө жол бербейт жана көйгөйдүн аягы. Кечиресиз, бирок менде Windows 7дин испан тилиндеги көчүрмөсү жок. 😉
  • Windows 7 кардарынын жасаган олуттуу жана жинди суроолору жөнүндө билүү үчүн, текшерип көрүңүз log quries.log бир нерсе үчүн биз аны BIND конфигурациясында жарыялайбыз. Буйрук мындай болмок:
    • root @ dnslinux: ~ # tail -f /var/log/named/queries.log
  • Эгер сиз кардар компьютерлериңизди түздөн-түз Интернетке туташтырууга уруксат бербесеңиз, анда эмне үчүн Root DNS серверлери керек? Бул буйруктун натыйжалуулугун бир кыйла төмөндөтөт journalctl -f жана мурункусунан, эгерде сиздин Авторитардык DNS сервер ички зоналарыңызга түздөн-түз Интернетке туташпаса, бул коопсуздук көз карашынан алганда абдан сунуш кылынат.
    root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
    root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root
  • Эгер сизге түпкү серверлердин декларациясы талап кылынбаса, анда Recursion эмне үчүн керек - Recursion?
    root @ dnslinux: ~ # nano /etc/bind/named.conf.options
    параметрлер {
     ....
     рекурсия жок;
     ....
    };

Мен дагы деле болсо так эмес болгон конкреттүү кеңештер

El man dhcpd.conf көптөгөн башка нерселердин ичинен төмөнкүлөрдү айтып берет:

        Жаңыртуу-оптималдаштыруу билдирүүсү

            жаңыртуу-оптимизация желеги;

            Эгерде жаңыртуу-оптималдаштыруу параметри берилген кардар үчүн жалган болсо, анда кардар ижарасын жаңырткан сайын, сервер керектүү болгондо гана жаңыртууга аракет кылбастан, ошол кардар үчүн DNS жаңыртуусун аракет кылат. Бул DNS маалымат базасындагы карама-каршылыктардан оңой айыгууга мүмкүнчүлүк берет, бирок наркы DHCP сервери дагы көптөгөн DNS жаңыртууларын жасашы керек. Бул параметр иштетилген, демейки шартта, окуп чыгууну сунуштайбыз. Бул параметр убактылуу DNS жаңыртуу схемасынын иштешине гана таасир этет жана убактылуу DNS жаңыртуу схемасына эч кандай таасир этпейт. Эгер бул параметр көрсөтүлбөсө же чын болсо, анда DHCP сервери кардардын маалыматы өзгөргөндө, кардар башка ижара алганда же кардардын ижара мөөнөтү аяктаганда гана жаңыланат.

Аздыр-көптүр так котормосу же чечмелениши сизге калды, урматтуу окурман.

Жеке менин башымда болду - жана ушул макаланы түзүп жатканда, мен BINDди Active Directory® менен байланыштырганда, ал Active Directory® доменинде катталган кардардын компьютеринин атын өзгөрткөндө, бул Microsft® же Samba 4тен болот. же AD-DC Samba 4 боюнча, ал өзүнүн эски атын жана IP дарегин Тикелей Зонада сактайт, тескерисинче, жаңы аталыш менен жаңыртылган. Башкача айтканда, эски жана жаңы аталыштар Түз Зонанын IP дарегине картага түшүрүлүп, тескерисинче жаңы ат гана пайда болот. Мени жакшы түшүнүш үчүн, өзүң аракет кылып көр.

Менимче, бул өч алуунун бир түрү Fuegian -менин кызматтарымды Linux'ко көчүрүүгө аракет кылганым үчүн эмес.

Албетте эски ысым качан жоголот TTL 3600, же DHCP конфигурациясында жарыялаган убакыт. Бирок биз ал BIND + DHCPде болуп жаткан заматта жоголушун каалайбыз аркылуу Active Directory жок.

Ошол кырдаалдын чечилишин мен арызды киргизүү менен таптым жаңыртуу-оптималдаштыруу жалган; файлдын жогору жагынын аягында /etc/dhcp/dhcpd.conf:

ddns-жаңыртуу стилиндеги убактылуу; ddns-updates on; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; кардардын жаңыртууларын көрмөксөнгө салуу;
жаңыртуу-оптималдаштыруу жалган;

Эгерде кандайдыр бир Окурман бул жөнүндө көбүрөөк билсе, анда мени жарыктандырып коюңуз. Мен аны абдан баалайм.

на

Биз тема менен көп кызыктуу болду, туурабы? Бизде BIND бар, анткени Microsoft® тармагында DNS сервери болуп иштеп, бардык SRV жазууларын сунуштап, аларга берилген DNS суроолоруна ылайыктуу жооп беребиз. Экинчи жагынан, бизде IP даректерин берген жана BIND зоналарын туура жаңырткан DHCP сервери бар.

Бирок биз азырынча ... сурай албайбыз.

Менин досум үмүттөнөм Fuegian Microsft® Техникалык Колдоонун чыдагыс чыгымдарын көтөрүп кетүү үчүн Linuxко көчүп барууңуздагы биринчи кадамга кубанып жана ыраазы болуңуз.

Маанилүү эскертүү

Character "Fuegian»Толугу менен ойдон чыгарылган жана менин кыялымдын жемиши. Чыныгы адамдар менен кандайдыр бир окшоштук же кокустук бирдей: Менин көзүмчө Таза Эрксиз Кокустук. Мен аны ушул макаланы жазуу жана окуу бир аз жагымдуу болуш үчүн гана жараттым. Эми DNS маселеси караңгы деп айта алсаңыз. 😉


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

13 комментарий, өзүңүздүкүн калтырыңыз

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.

  1.   crespo88 ал мындай деди:

    Абдан күчтүү, эч кандай комментарий жок. Майкрософттун DNS кереги жок болгондуктан. Соттошуудан сак болуңуз, хахахаха. Fico жеткиргениңиз үчүн рахмат.

  2.   Federico ал мындай деди:

    Мени сотко бересизби? Аларды Ф. Фуэгино менен көрүшөт. 😉
    Рахмат досум !!!

  3.   Ханибол буурчагы ал мындай деди:

    Активдүү каталогдун ушул бөлүгү үчүн zentyal орнотуу оңой болгон жокпу?

  4.   дхунтер ал мындай деди:

    Хаха, күчтүү туташтырууну орнотуу үчүн мыкты артикуляция жана мен жогорудагы комментарийде Зенталь сизге сунуш кылынгандыгын байкадым, мен ок атыла электе кетем.

    PS: Windowsтун негизиндеги домен Мордор, бирок таза Самбаны орнотсок, Гондор же Рохан болмокпу? 😉

  5.   Federico ал мындай деди:

    Zentyal колдонууну эч кимге сунуштабайм. Windowsту колдонуңуз, анткени аны колдонуу көптөгөн чакан жана орто ишканаларда чындык. Zentyalдин туруктуулугу жөнүндө менин досум жана кесиптешим Дхунтерден сураңыз. 😉

  6.   Federico ал мындай деди:

    Албетте, кылдат досум. Samba 4 менен tierramedia.fan деп аталат. 😉

  7.   Federico ал мындай деди:

    Макаланы буга чейин жүктөп алгандар үчүн төмөнкүлөргө этият болуңуз:
    Кайда дейт
    ; ТӨМӨНДӨГҮ ЖАЗМАЛАР МЕНЕН ӨТӨ САК БОЛГУЛА
    @ IN NS dnslinux.mordor.fan.
    @ IN 10.10.10.3

    Туура айтыш керек

    ; ТӨМӨНДӨГҮ ЖАЗМАЛАР МЕНЕН ӨТӨ САК БОЛГУЛА
    @ IN NS dnslinux.mordor.fan.
    @ IN 10.10.10.5

    Менин эрксиз катамды түшүнгөн кесиптешим Эдуардо Ноэл болду.

  8.   Federico ал мындай деди:

    Макаланы буга чейин жүктөп алгандар үчүн төмөнкүлөргө этият болуңуз:
    Кайда дейт
    ; ТӨМӨНДӨГҮ ЖАЗМАЛАР МЕНЕН ӨТӨ САК БОЛГУЛА
    @ IN NS dnslinux.mordor.fan.
    @ IN 10.10.10.3

    Туура айтыш керек

    ; ТӨМӨНДӨГҮ ЖАЗМАЛАР МЕНЕН ӨТӨ САК БОЛГУЛА
    @ IN NS dnslinux.mordor.fan.
    @ IN 10.10.10.5

    Менин эрксиз катамды түшүнгөн кесиптешим Эдуардо Ноэл болду.

  9.   дхунтер ал мындай деди:

    Zentyal компаниясын олуттуу нерсе үчүн колдонууну пландагандар үчүн, мен сизден өтө этият болуңуз деп эскертем, мен эки Zentyal 4.2 драйверин колдонуп жатам (14.04.), Баарын жаңыртып, өтө сейрек кездешүүчү мүчүлүштүктөргө (жана сейрек кездешүүчү жооптор) bugzilla долбоору, сиз анча-мынча ыраазы болгон нерсени колдонгонуңуз үчүн сизди келесоо сезип жатасыз), алар бир топ убакытка чейин чоң пикирлерсиз болушту, мен алар жок болуп кеттим деп ойлошуп, күтүлбөгөн жерден 5.0ден көчүп кетпестен 4.2 чыгарып алышты ... сүйкүмдүү. ..

    Коомчулуктун версиясына мүчүлүштүктөр жөнүндө кабарлоо эч кандай мааниге ээ эмес, эгерде сиз ар дайым акыркы нускасын колдонуп иштеп чыгуучулар менен чуркап өтпөсөңүз, анда төмөнкүнү карап көрүңүз: https://tracker.zentyal.org/issues/5080#comment:14

    Акыр-аягы, салыштырмалуу туруктуу версия менен өлүп, аны аягына чейин токмоктош керек, менин zentyal cron бар нерселерди карап:

    0 7 * * 1-6 /sbin/shutdown -r now

    Мен айткандай ... сүйкүмдүү!

    PS: Мен бул иштин бардыгын акысыз нускасын колдонуу үчүн сарптайм, болжолдуу түрдө акы төлөнүүчү версия олуттуу деп ойлойм, бирок менимче, бул колдонуучуларды топтоо үчүн эң жакшы стратегия эмес, ушул сыяктуу бизнес моделге ээ дагы бир продукт Proxmox болуп саналат жана мен анын акы төлөнүүчү версиясын мындайга салыштырдым акысыз нускасы түшүп калгандыктан эмес, долбоорго акча берүү үчүн, Proxmox асыл таш.

  10.   Исмаэль Альварес Вонг ал мындай деди:

    Салам Федерико:
    Ар бир жаңы макалаңызда сиз аялдаманы көтөрүп, BIND + DHCP дуэти жөнүндө мурунку 3 билдирүүдө камтылгандардын бардыгы жетишсиз болуп калгандай сезилет, эми бул "магистралды" (кечиресиз, кечиресиз) кантип көчүп кетүү керектиги жөнүндө макалаңызды жарыялайсыз. Майкрософттун DNSти BINDге, аны DHCPден Linuxто кантип жаңыртуу керек жана жогоруда айтылгандардын бардыгы Microsoft Active Directory менен чогуу иштешет.
    . Active Directory DNSинин SRV жазуулары, анын түздөн-түз "_msdcs.dominio" зонасы, Linux зоналарынын жазуусун кантип алуу керектиги же Microsoft AD DNSинин маалымат базаларын түзүү үчүн кандай сонун! BINDдеги зоналар деди.
    . Сурамдардын Журналдарын BIND конфигурациясында иштетүү абдан пайдалуу.
    . Өтө БААЛУУ кеңеш: Линукске орнотулган DHCP аркылуу IP дарегин алган кардар Active Directory доменине кошулмайынча, өзүнүн IP дарегин чече албайт. Макаланын Лабораториясынын мисалында, алгач "win7" компьютерине "mordor.fan" доменинин DNS текшерүүлөрүн жүргүзүү үчүн 10.10.10.251 IP дареги берилет, андан кийин ал туруктуу IPден Microsoft ADге кошулуп, акыры качан Эгер DHCP Linux тутумунда орнотулган болсо, анда ал IP-нү дайындайт жана ошол эле учурда жабдыктын реестрин Алга жана Артка Аймактарга жазуу үчүн BINDге "кирип" жаңыртат. КӨБҮРӨӨК МААЛЫМАТ АЛЫҢЫЗ, ТАБАБАСЫЗ!
    . Microsoft® DNS жана BIND динамикалык жаңыртуусу боюнча бардык ойлор абдан жакшы; ошондой эле акыркы бөлүмдө айтылган бардык кеңештер жана тактап айтканда, "Мен азырынча так эмес болгон Конкреттүү Кеңешке" иштеп чыгуу жана сунуш кылынган чечим.
    ! АВТОРГО 5 ЖЫЛДЫЗ! жана мен PYMES сериясын барган сайын кызыгуу менен байкап жүрөм!

  11.   Federico ал мындай деди:

    Дхунтер: Тажрыйбанын үнүн жазган. "Практика - чындыктын мыкты критерийи".

    Вонг: Мен буга чейин сиздин комментарийиңизди сагындым - макала толуктоочусу. Dnsmasq жөнүндө бир нерсе жакында чыгат деп үмүттөнөм.

    Комментарий бергениңиз үчүн экөөңүзгө тең рахмат.

  12.   crespo88 ал мындай деди:

    Сиз «El Fueguino» өнөктөшү жөнүндө, ошондой эле анын серверлеринин көчүүсүн баштоо чечими жөнүндө сүйлөшкөн жоксуз +. Майкрософттон дагы бирин уурдадың, хахаха !!!! ????

  13.   Federico ал мындай деди:

    хахахаха дос crespo88. Ойдон чыгарылган каармандын толкуну сизге жакканын көрөм. Эгер башкалардын сизге окшогон пикири көп болсо, анда ал жыш темалардагы макалаларды көңүлдүү кылышы мүмкүн. Бул тууралуу башка комментарийлерди күтөлү.