„BIND“ ir „Active Directory®“ - MVĮ tinklai

Bendras serijos indeksas: Kompiuteriniai tinklai MVĮ: įvadas

Sveiki, draugai!. Pagrindinis šio straipsnio tikslas yra parodyti, kaip mes galime integruoti BIND9 pagrįstą DNS paslaugą į „Microsoft“ tinklą, kuris labai paplitęs daugelyje MVĮ.

Tai kyla iš oficialaus draugo, gyvenančio La Tierra del Fuego, prašymo -Fuegianas- specializuojasi „Microsoft® Networks“ - įskaitant sertifikatus - kurie padės jums šioje jūsų serverių perkėlimo į „Linux“ dalį. Bylinėjimosi išlaidos parama Technikas, mokantis „Microsoft®“, jau yra Nepakeliama Bendrovei, kurioje jis dirba ir kurios pagrindinis jo akcininkas.

Mano draugas Fuegianas turi puikų humoro jausmą ir kadangi jis matė trijų filmų seriją «Žiedų valdovas»Jį pakerėjo daugelis jo tamsių personažų vardų. Taigi, skaitytojo drauge, nenustebkite savo domeno ir serverių pavadinimais.

Naujokams šioje temoje ir prieš tęsdami skaitymą, rekomenduojame perskaityti ir išstudijuoti tris ankstesnius straipsnius apie MVĮ tinklus:

• DNS ir DHCP sistemoje „openSUSE 13.2“ „Harlequin“
• DNS ir DHCP „CentOS 7“
• DNS ir DHCP „Debian 8“ „Jessie“

Tai tarsi žiūrėti tris iš keturių dalių «Požemio pasaulis»Paskelbta iki šios dienos ir kad tai jau ketvirtoji.

Bendrieji parametrai

Po kelių mainų per elektroninis paštas, pagaliau man buvo aišku apie pagrindinius jūsų dabartinio tinklo parametrus:

Domeno vardas mordor.fan LAN tinklas 10.10.10.0/24 ======================================= ============================================= Serverių IP adresas (serveriai su OS „Windows“) ================================================= ================================= sauron.mordor.fan. 10.10.10.3 „Active Directory® 2008 SR2“ mamba.mordor.fan. 10.10.10.4 „Windows“ failų serveris darklord.mordor.fan. 10.10.10.6 Tarpinis serveris, šliuzai ir užkarda „Kerios troll.mordor.fan“. 10.10.10.7 Tinklaraštis, pagrįstas ... nepamenu shadowftp.mordor.fan. 10.10.10.8 FTP serveris blackelf.mordor.fan. 10.10.10.9 Pilna el. Pašto paslauga „blackspider.mordor.fan“. 10.10.10.10 WWW tarnyba palantir.mordor.fan. 10.10.10.11 Pokalbiai naudojant „Openfire“, skirtą „Windows“

Aš paprašiau leidimo Fuegianas nustatyti kuo daugiau slapyvardžių, kad išvalyčiau savo mintis, ir davė man leidimą:

Tikrasis CNAME ============================== sauronas ad-dc mamba failų serveris darklord proxyweb trolio tinklaraštis shadowftp ftpserver blackelf mail blackspider www palantir openfire

Deklaravau visus svarbius DNS įrašus įdiegdamas „Active Directory Windows 2008“, kuriuos buvau priverstas įdiegti, kad padėčiau man kurti šį įrašą.

Apie „Active Directory“ DNS SRV įrašus

Registrai SRV o Paslaugų lokatoriai, plačiai naudojami „Microsoft Active Directory“, yra apibrėžti Prašymas pateikti pastabas 2782. Jie leidžia nustatyti paslaugos vietą pagal TCP / IP protokolą per DNS užklausą. Pavyzdžiui, „Microsoft“ tinklo klientas gali rasti domeno valdiklių vietą - Domeno valdikliai teikiantys LDAP paslaugą per TCP protokolą 389 prievade per vieną DNS užklausą.

Normalu, kad miškuose - miškaiir medžiai - Medžiai didelio „Microsoft“ tinklo yra keli domenų valdikliai. Naudodami SRV įrašus skirtingose ​​zonose, sudarančiose to tinklo domenų vardų erdvę, galime tvarkyti serverių, teikiančių panašias gerai žinomas paslaugas, sąrašą, pagal užsakymą pagal kiekvieno transportavimo protokolą ir prievadą. vienas iš serverių.

Į Prašymas pateikti pastabas 1700 Visuotinių žinomų paslaugų simbolinių pavadinimų nustatymas - Gerai žinoma tarnybair pavadinimai, tokie kaip «_telnet«,«_smtp»Paslaugoms Telnet y SMTP. Jei gerai žinomos paslaugos simbolinis pavadinimas nėra apibrėžtas, pagal vartotojo pageidavimus gali būti naudojamas vietinis ar kitas pavadinimas.

Kiekvieno lauko paskirtis «ypatingas»SRV šaltinių įrašo deklaracijoje naudojami šie duomenys:

• Domenas: "Pdc._msdcs.mordor.fan.«. DNS pavadinimas paslaugos, kuriai taikomas SRV įrašas. DNS vardas pavyzdyje reiškia -daugiau ar mažiau- Pirminis domeno valdiklis ploto _msdcs.mordor.fan.
• tarnyba: „_Ldap“. Simbolinis teikiamos paslaugos pavadinimas, apibrėžtas pagal Prašymas pateikti pastabas 1700.
• Protokolas: „_Tcp“. Nurodo transporto protokolo tipą. Paprastai gali paimti reikšmes _tcp o _udp, nors - ir iš tikrųjų - bet kokio tipo transporto protokolas, nurodytas Prašymas pateikti pastabas 1700. Pavyzdžiui, už paslaugą kalbėtis pagrįstas protokolu XMPP, šio lauko vertė būtų _xmpp.
• Prioritetas"0«. Paskelbkite prioritetą ar pirmenybę Šeimininkas, siūlantis šią paslaugą kad pamatysime vėliau. Klientų DNS užklausos apie šiame SRV įraše apibrėžtą paslaugą, gavusios atitinkamą atsakymą, bandys susisiekti su pirmuoju galimu kompiuteriu, kurio lauke nurodytas mažiausias skaičius. Prioritetas. Vertių diapazonas, kurį gali užimti šis laukas, yra 0 65535.
• Svoris"100«. Galima naudoti kartu su Prioritetas numatyti apkrovos balansavimo mechanizmą, kai yra keli serveriai, teikiantys tą pačią paslaugą. Zonos faile kiekvienam serveriui turėtų būti panašus SRV įrašas, kurio pavadinimas nurodytas lauke Šeimininkas, siūlantis šią paslaugą. Prieš serverius, kurių lauke yra vienodos vertės Prioritetas, lauko reikšmė Svoris jis gali būti naudojamas kaip papildomas pirmenybės lygis norint gauti tikslų serverio pasirinkimą apkrovos balansavimui. Vertių diapazonas, kurį gali užimti šis laukas, yra 0 65535. Jei apkrovos balansavimo nereikia, pavyzdžiui, kaip vieno serverio atveju, rekomenduojama priskirti vertę 0 kad būtų lengviau perskaityti SRV įrašą.
• Uosto numeris - uostas"389«. Uosto numeris Šeimininkas, siūlantis šią paslaugą kuri teikia lauke nurodytą paslaugą tarnyba. Rekomenduojamas kiekvieno gerai žinomos paslaugos tipo prievado numeris nurodytas Prašymas pateikti pastabas 1700, nors tarp jų gali reikėti vertės 0 ir 65535.
• Šeimininkas, siūlantis šią paslaugą - „Target“"sauronas.mordoras.fanas.«. Nurodo FQDN kad vienareikšmiškai identifikuoja kariuomenė kuri teikia SRV įraše nurodytą paslaugą. Įrašo tipas «A»Kiekvieno domeno vardų srityje FQDN iš serverio arba kariuomenė kad teikia paslaugą. Paprasčiau, tipo įrašas A tiesioginėje (-ėse) zonoje (-ose).
  • dėmesį:
    Norint autoritetingai nurodyti, kad šiame pagrindiniame kompiuteryje neteikiama SRV įraše nurodyta paslauga,.) tašką.

Mes tik norime pakartoti, kad tinkamas tinklo ar „Active Directory®“ veikimas labai priklauso nuo teisingo domenų vardų tarnybos veikimo..

„Active Directory“ DNS įrašai

Norėdami sukurti naujojo DNS serverio zonas pagal BIND, turime gauti visus DNS įrašus iš „Active Directory®“. Kad gyvenimas būtų lengvesnis, einame į komandą sauronas.mordoras.fanas -Active Directory® 2008 SR2- ir DNS administravimo konsolėje suaktyviname Zone Transfer-Direct ir Reverse pagrindinėms šio tipo paslaugoms deklaruotoms zonoms, kurios yra:

• _msdcs.mordor.fan
• mordor.fanas
• 10.10.10.in-addr.harp

Atlikę ankstesnį veiksmą, pageidautina iš „Linux“ kompiuterio, kurio IP adresas yra „Windows“ tinklo naudojamo potinklio diapazone, vykdome:

„buzz @ sysadmin“: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> temp /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
„buzz @ sysadmin“: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa

• Prisiminkite iš ankstesnių straipsnių, kad įrenginio IP adresas sysadmin.desdelinux.gerbėjas tai 10.10.10.1 arba 192.168.10.1.

Trijose ankstesnėse komandose galime pašalinti parinktį 10.10.10.3 -paprašykite DNS serverio su tuo adresu- jei deklaruojame byloje / Etc / resolv.conf į serverio IP sauronas.mordoras.fanas:

buzz@sysadmin:~$ cat /etc/resolv.conf # Sukurta naudojant NetworkManager paiešką desdelinux.fan nameserver 192.168.10.5 nameserver 10.10.10.3

Ypač atsargiai redagavę, kaip ir bet kurį BIND zonos failą, gausime šiuos duomenis:

RR įrašai iš pradinės zonos _msdcs.mordor.fan

„buzz @ sysadmin“: ~ $ kat. temp / rrs._msdcs.mordor.fan 
; Susiję su SOA ir NS _msdcs.mordor.fan. 3600 IN SOA sauron.mordor.fan. šeimininkas.mordoras.fanas. 12 900 600 86400 3600 _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; PASAULINIS KATALOGAS gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ; Pseudonimai - modifikuotoje ir privačioje „Active Directory“ LDAP duomenų bazėje - „SAURON“ 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 IN CNAME sauron.mordor.fan. ; ; Modifikuotas ir privatus „Active Directory“ LDAP _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauronas.mordor.fanas. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauronas.mordor.fanas. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauronas.mordor.fanas. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauronas.mordor.fanas. ; ; KERBEROS modifikuotas ir privatus iš „Active Directory“ _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauronas.mordor.fanas. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauronas.mordor.fanas.

RR įrašai iš originalios zonos mordor.fan

„buzz @ sysadmin“: ~ $ kat. temp / rrs.mordor.fan 
; Susijusios su SOA, NS, MX ir jos įrašytais A įrašais; domeno vardą į „SAURON“ IP; Dalykai iš „Active Directory“ mordor.fan. 3600 IN SOA sauron.mordor.fan. šeimininkas.mordoras.fanas. 48 900 600 86400 3600 mordor.fan. 600 IN A 10.10.10.3 mordor.fan. 3600 IN NS sauron.mordor.fan. mordor.fanas. 3600 IN MX 10 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; Taip pat svarbus A įrašo „DomainDnsZones.mordor.fan“. 600 IN A 10.10.10.3 ForestDnsZones.mordor.fan. 600 IN A 10.10.10.3; ; GLOBALUS KATALOGAS _gc._tcp.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. ; ; Modifikuotas ir privatus „Active Directory“ LDAP _ldap._tcp.mordor.fan. 600 IN SRV 0 100 389 sauronas.mordor.fanas. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauronas.mordor.fanas. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauronas.mordor.fanas. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 389 sauronas.mordor.fanas. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauronas.mordor.fanas. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauronas.mordor.fanas. ; ; Modifikuotas ir privatus „Active Directory“ KERBEROS _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 88 sauronas.mordor.fanas. _kerberos._tcp.mordor.fan. 600 IN SRV 0 100 88 sauronas.mordor.fanas. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 100 464 sauronas.mordor.fanas. _kerberos._udp.mordor.fan. 600 IN SRV 0 100 88 sauronas.mordor.fanas. _kpasswd._udp.mordor.fan. 600 IN SRV 0 100 464 sauronas.mordor.fanas. ; ; Įrašai su fiksuotais IP -> „Blackelf.mordor.fan“ serveriai. 3600 IN A 10.10.10.9 juodasis voras.mordor.fanas. 3600 IN A 10.10.10.10 darklord.mordor.fan. 3600 IN A 10.10.10.6 mamba.mordor.fan. 3600 IN A 10.10.10.4 palantir.mordor.fan. 3600 IN A 10.10.10.11 sauronas.mordor.fanas. 3600 IN A 10.10.10.3 shadowftp.mordor.fan. 3600 IN A 10.10.10.8 troll.mordor.fan. 3600 IN A 10.10.10.7; ; CNAME įrašo ad-dc.mordor.fan. 3600 CNAME sauron.mordor.fan. dienoraštis.mordor.fan. 3600 IN CNAME troll.mordor.fan. failų serveris.mordor.fan. 3600 CNAME mamba.mordor.fan. ftpserver.mordor.fan. 3600 IN CNAME shadowftp.mordor.fan. paštas.mordor.fan. 3600 IN CNAME balckelf.mordor.fan. openfire.mordor.fan. 3600 CNAME palantir.mordor.fan. proxy.mordor.fan. 3600 IN CNAME darklord.mordor.fan. www.mordor.fan. 3600 IN CNAME blackspider.mordor.fan.

RR įrašai iš pradinės zonos 10.10.10.in-addr.arpa

buzz @ sysadmin: ~ $ cat temp / rrs.10.10.10.in-addr.arpa 
; Susijęs su SOA ir NS 10.10.10.in-addr.arpa. 3600 IN SOA sauron.mordor.fan. šeimininkas.mordoras.fanas. 21 900 600 86400 3600 10.10.10.in-addr.arpa. 3600 IN NS sauron.mordor.fan. ; ; PTR įrašai 10.10.10.10.in-addr.arpa. 3600 IN PTR blackspider.mordor.fan. 11.10.10.10.in-addr.arpa. 3600 IN PTR palantir.mordor.fan. 3.10.10.10.in-addr.arpa. 3600 IN PTR sauronas.mordoras.fanas. 4.10.10.10.in-addr.arpa. 3600 IN PTR mamba.mordor.fan. 5.10.10.10.in-addr.arpa. 3600 IN PTR dnslinux.mordor.fan. 6.10.10.10.in-addr.arpa. 3600 IN PTR darklord.mordor.fan. 7.10.10.10.in-addr.arpa. 3600 IN PTR troll.mordor.fan. 8.10.10.10.in-addr.arpa. 3600 IN PTR shadowftp.mordor.fan. 9.10.10.10.in-addr.arpa. 3600 IN PTR blackelf.mordor.fan.

Iki šio momento galime galvoti, kad turime reikalingų duomenų, kad galėtume tęsti savo nuotykius, iš anksto nepastebėję TTL ir kitus duomenis, kuriuos labai glaustai pateikia „Microsft® Active Directory® 2008 SR2“ 64 bitų išvestis ir tiesioginis DNS stebėjimas.

DNS valdytojo vaizdai „SAURON“

„Dnslinux.mordor.fan“ komanda.

Jei atidžiai pažvelgsime, į IP adresą 10.10.10.5 nebuvo priskirtas joks vardas, kad jį užimtų naujojo DNS vardas dnslinux.mordor.fan. Norėdami įdiegti DNS ir DHCP porą, galime vadovautis straipsniais DNS ir DHCP „Debian 8“ „Jessie“ y DNS ir DHCP „CentOS 7“.

Pagrindinė operacinė sistema

Mano draugas FuegianasBe to, kad yra tikras „Microsoft® Windows“ specialistas - jis turi keletą tos įmonės išduotų sertifikatų, jis perskaitė ir pritaikė kai kuriuos straipsnius apie darbalaukius, paskelbtus DesdeLinux., ir jis man pasakė, kad jis aiškiai nori „Debian“ pagrįsto sprendimo. 😉

Norėdami jus pamaloninti, pradėsime nuo naujo, švaraus serverio įdiegimo, pagrįsto Debian 8 „Jessie“. Tačiau tai, ką parašysime toliau, tinka „CentOS“ ir „openSUSE“ platinimams, kurių straipsnius minėjome anksčiau. „BIND“ ir „DHCP“ yra vienodi bet kokiame distro. Kiekviename paskirstyme paketų prižiūrėtojai pateikia nedidelius variantus.

Mes atliksime diegimą, kaip nurodyta DNS ir DHCP „Debian 8“ „Jessie“, rūpindamasis IP naudojimu 10.10.10.5 ir tinklas 10.10.10.0/24., dar prieš konfigūruojant BIND.

Konfigūruojame BIND pagal Debian stilių

/etc/bind/named.conf

Failas /etc/bind/named.conf mes paliekame jį taip, kaip jis įdiegtas.

/etc/bind/named.conf.options

Failas /etc/bind/named.conf.options turėtų būti paliktas šis turinys:

root @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dnslinux: ~ # nano /etc/bind/named.conf.options
parinktys {katalogas "/ var / cache / bind"; // Jei tarp jūsų ir vardų serverių, su kuriais norite // kalbėtis, yra užkarda, gali tekti pataisyti užkardą, kad būtų galima kalbėti keliems // prievadams. Žr. Http://www.kb.cert.org/vuls/id/800113 // Jei jūsų interneto paslaugų teikėjas pateikė vieną ar daugiau IP adresų stabiliems // vardų serveriams, tikriausiai norėtumėte juos naudoti kaip persiuntėjus. // Nepakomentuokite šio bloko ir įterpkite adresus, pakeisdami // all-0 vietos rezervavimo ženklą. // ekspeditoriai {// 0.0.0.0; //}; // ================================================= ===================== $ // Jei „BIND“ užregistruos klaidos pranešimus apie pagrindinio rakto galiojimo pabaigą, // turėsite atnaujinti raktus. Žr. Https://www.isc.org/bind-keys // =================================== =================================== $

    // Mes nenorime DNSSEC
        dnssec-enable ne;
        //automatinis „dnssec“ patvirtinimas;

        auth-nxdomain Nr; # atitinka RFC1035

 // Mums nereikia klausytis IPv6 adresų
        // klausytis-v6 {bet koks; };
    klausytis-v6 {nėra; };

 // Patikrinimus iš localhost ir sysadmin
    // per // dig mordor.fan axfr // dig 10.10.10.in-addr.arpa axfr // dig _msdcs.mordor.fan axfr // Mes neturime Slave DNS ... iki šiol
 leisti-perkelti {localhost; 10.10.10.1; };
};

// Registruoti BIND
registruoti {

        kanalo užklausos {
        failo „/var/log/named/queries.log“ 3 versijos dydis 1m;
        informacija apie sunkumą;
        spausdinimo laikas taip;
        spausdinimo sunkumas taip;
        spausdinimo kategorija taip;
        };

        kanalo užklausa-klaida {
        failo „/var/log/named/query-error.log“ 3 versijos dydis 1m;
        informacija apie sunkumą;
        spausdinimo laikas taip;
        spausdinimo sunkumas taip;
        spausdinimo kategorija taip;
        };

                                
kategorijos užklausos {
         užklausos;
         };

kategorijos užklausos klaidos {
         užklausa-klaida;
         };

};

• Pristatome BIND žurnalų gaudymą kaip NAUJAS pasirodymas straipsnių serijoje šia tema. Mes kuriame laplanką ir failus, reikalingus Miško ruoša BIND:

root @ dnslinux: ~ # mkdir / var / log / pavadintas
root @ dnslinux: ~ # touch /var/log/named/queries.log
root @ dnslinux: ~ # touch /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / named

Mes patikriname sukonfigūruotų failų sintaksę

root @ dnslinux: ~ # named-checkconf 
root @ dnslinux: ~ #

/etc/bind/named.conf.local

Mes kuriame failą /etc/bind/zones.rfcFreeBSD to paties turinio, kaip nurodyta DNS ir DHCP „Debian 8“ „Jessie“.

root @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

Failas /etc/bind/named.conf.local turėtų būti paliktas šis turinys:

Čia atlikite bet kokią vietinę konfigūraciją // // Apsvarstykite galimybę čia pridėti 1918 m. Zonas, jei jos nenaudojamos jūsų // organizacijoje
įtraukti „/etc/bind/zones.rfc1918“; įtraukti „/etc/bind/zones.rfcFreeBSD“;

zona "mordor.fan" {tipo meistras; failas "/var/lib/bind/db.mordor.fan"; }; zona "10.10.10.in-addr.arpa" {tipo meistras; failas "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

zona "_msdcs.mordor.fan" {tipo meistras;
 čekių vardai ignoruojami; failas "/etc/bind/db._msdcs.mordor.fan"; }; root @ dnslinux: ~ # named-checkconf
root @ dnslinux: ~ #

Zonos failas mordor.fan

root @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; serijinis 1D; atnaujinkite 1H; bandykite dar kartą 1W; galiojimo laikas baigsis 3H); mažiausiai arba; Neigiamas talpyklos laikas gyventi;
; BŪKITE LABAI ATSARGUS SU ŠIUOS ĮRAŠAIS
@ IN NS dnslinux.mordor.fan.
@ Į A 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT „Sveiki atvykę į tamsiąją Mordoro salą“;
_msdcs.mordor.fan. IN NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. Į A 10.10.10.5
; PABAIGAI LABAI ATSARGIAI VYKDAMI ĮRAŠAI;
DomenasDnsZones.mordor.fan. IN A 10.10.10.3 „ForestDnsZones.mordor.fan“. IN A 10.10.10.3; ; GLOBALUS KATALOGAS _gc._tcp.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ; ; Modifikuotas ir privatus „Active Directory“ _AP_dap._tcp.mordor.fan LDAP. 600 IN SRV 0 0 389 sauronas.mordoras.fanas. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauronas.mordoras.fanas. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauronas.mordoras.fanas. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 389 sauronas.mordoras.fanas. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauronas.mordoras.fanas. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauronas.mordoras.fanas. ; ; Modifikuotas ir privatus „Active Directory“ KERBEROS _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 88 sauronas.mordor.fanas. _kerberos._tcp.mordor.fan. 600 IN SRV 0 0 88 sauronas.mordoras.fanas. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 0 464 sauronas.mordor.fanas. _kerberos._udp.mordor.fan. 600 IN SRV 0 0 88 sauronas.mordor.fanas. _kpasswd._udp.mordor.fan. 600 IN SRV 0 0 464 sauronas.mordor.fanas. ; ; Įrašai su fiksuotais IP -> „Blackelf.mordor.fan“ serveriai. IN A 10.10.10.9 juodasis voras.mordor.fanas. Į 10.10.10.10 darklord.mordor.fan. IN A 10.10.10.6 mamba.mordor.fan. IN A 10.10.10.4 palantir.mordor.fan. Į A 10.10.10.11
sauronas.mordoras.fanas. Į A 10.10.10.3
shadowftp.mordor.fan. IN A 10.10.10.8 troll.mordor.fan. IN A 10.10.10.7; ; CNAME įrašo ad-dc.mordor.fan. CNAME sauron.mordor.fan. dienoraštis.mordor.fan. CNAME troll.mordor.fan. failų serveris.mordor.fan. IN CNAME mamba.mordor.fan. ftpserver.mordor.fan. IN CNAME shadowftp.mordor.fan. paštas.mordor.fan. CNAME balckelf.mordor.fan. openfire.mordor.fan. CNAME palantir.mordor.fan. proxy.mordor.fan. CNAME darklord.mordor.fan. www.mordor.fan. CNAME blackspider.mordor.fan.

root @ dnslinux: ~ # named-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
zona mordor.fan/IN: pakrautas 1 serija Gerai

Laikai 600 TTL visų SRV registrų juos laikysime tuo atveju, jei kartais įdiegsime „Slave BIND“. Šie įrašai reiškia „Active Directory®“ paslaugas, kurios dažniausiai skaito duomenis iš jūsų LDAP duomenų bazės. Kadangi ta duomenų bazė dažnai keičiasi, sinchronizavimo laikas turi būti trumpas „Master - Slave“ DNS schemoje. Remiantis „Microsoft“ filosofija, pastebėta nuo „Active Directory 2000“ iki 2008 m., 600 tipų SRV įrašų vertė išlaikoma.

Los TTL serverių su fiksuotu IP, jiems nustatytas 3 valandų SOA deklaruotas laikas.

Zonos failas 10.10.10.in-addr.arpa

root @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; serijinis 1D; atnaujinkite 1H; bandykite dar kartą 1W; galiojimo laikas baigsis 3H); mažiausiai arba; Neigiamas talpyklos laikas gyventi; @ IN NS dnslinux.mordor.fan. ; 10 IN PTR blackspider.mordor.fan. 11 IN PTR palantir.mordor.fan. 3 IN PTR sauronas.mordoras.fanas. 4 PTR mamba.mordor.fan. 5 IN PTR dnslinux.mordor.fan. 6 IN PTR darklord.mordor.fan. 7 IN PTR trolis.mordor.fanas. 8 IN PTR shadowftp.mordor.fan. 9 IN PTR blackelf.mordor.fan.

root @ dnslinux: ~ # named-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
zona 10.10.10.in-addr.arpa/IN: pakrautas 1 serija Gerai

Zonos failas _msdcs.mordor.fan

Atsižvelkime į tai, kas rekomenduojama byloje /usr/share/doc/bind9/README.Debian.gz Apie pagrindinių zonų failų vietą, kuri nebuvo dinamiškai atnaujinta DHCP.

root @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; serijinis 1D; atnaujinkite 1H; bandykite dar kartą 1W; galiojimo laikas baigsis 3H); mažiausiai arba; Neigiamas talpyklos laikas gyventi; @ IN NS dnslinux.mordor.fan. ; ; ; GLOBALUS KATALOGAS gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ; Pseudonimai - modifikuotoje ir privačioje „Active Directory“ LDAP duomenų bazėje - „SAURON“ 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 IN CNAME sauron.mordor.fan. ; ; Modifikuotas ir privatus „Active Directory“ LDAP _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauronas.mordor.fanas. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauronas.mordor.fanas. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauronas.mordor.fanas. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauronas.mordor.fanas. ; ; Modifikuotas ir privatus „Active Directory“ KERBEROS _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauronas.mordor.fanas. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauronas.mordor.fanas.

Mes patikriname sintaksę ir galime nepaisyti klaidos, kurią ji grąžina, nes šios zonos konfigūracijoje faile /etc/bind/named.conf.local įtraukiame teiginį čekių vardai ignoruojami;. BIND tinkamai įkels zoną.

root @ dnslinux: ~ # named-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: blogas savininko vardas (tikrinimo vardai) zona _msdcs.mordor.fan/IN: pakrautas serija 1 Gerai

root @ dnslinux: ~ # systemctl paleiskite iš naujo bind9.service 
root @ dnslinux: ~ # systemctl būsena bind9.service 
● bind9.service - įkeltas BIND domenų vardų serveris: įkeltas (/lib/systemd/system/bind9.service; įgalintas) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf Aktyvus: aktyvus (veikia) nuo 2017-02-12 08:48:38 EST; Prieš 2 sekundes Dokumentai: vyras: pavadintas (8) Procesas: 859 ExecStop = / usr / sbin / rndc stop (kodas = išėjo, statusas = 0 / SĖKMĖ) Pagrindinis PID: 864 (pavadintas) CGroup: /system.slice/bind9.service └─864 / usr / sbin / named -f -u bind vasario 12 08:48:38 dnslinux pavadinta [864]: zona 3.efip6.arpa/IN: pakrauta serija 1 vasario 12 08:48:38 dnslinux pavadinta [864 ]: zona befip6.arpa/IN: pakrautas serialas 1 vasario 12 08:48:38 dnslinux pavadintas [864]: zona 0.efip6.arpa/IN: pakrautas serialas 1 vasario 12 08:48:38 dnslinux pavadintas [864]: zona 7.efip6.arpa/IN: pakrautas serialas 1 vasaris 12 08:48:38 dnslinux pavadintas [864]: zona mordor.fan/IN: pakrautas serialas 1 vasaris 12 08:48:38 dnslinux pavadintas [864]: zonos pavyzdys .org / IN: pakrautas serialas 1 vasario 12 d. 08:48:38 dnslinux pavadinimu [864]: zone _msdcs.mordor.fan/IN: pakrautas serijos vasario 1 d. 12:08:48 dnslinux pavadinimu [38]: zona netinkama / IN : pakrautas serialas 864 vasario 1 12:08:48 dnslinux pavadinimu [38]: visos zonos pakrautos
Vasario 12 d. 08:48:38 dnslinux pavadinimu [864]: veikia

Mes konsultuojamės su BIND

Prieš Įdiegę DHCP, turime atlikti keletą patikrinimų, apimančių net „Windows 7“ kliento prisijungimą prie domeno mordor.fanas kurį rodo kompiuteryje įdiegtas „Active Directory“ sauronas.mordoras.fanas.

Pirmas dalykas, kurį turime padaryti, yra sustabdyti DNS paslaugą kompiuteryje sauronas.mordoras.fanasir savo tinklo sąsajoje pareiškkite, kad nuo šiol jūsų DNS serveris bus 10.10.10.5 dnslinux.mordor.fan.

Paties serverio konsolėje sauronas.mordoras.fanas mes vykdome:

"Microsoft Windows" [Versija 6.1.7600]
Autorių teisės (c) 2009 m. „Microsoft Corporation“. Visos teisės saugomos.

C: \ Users \ Administrator> nslookup
Numatytasis serveris: dnslinux.mordor.fan Adresas: 10.10.10.5

> gc._msdcs
Serveris: dnslinux.mordor.fan Adresas: 10.10.10.5 Pavadinimas: gc._msdcs.mordor.fan Adresas: 10.10.10.3

> mordor.fanas
Serveris: dnslinux.mordor.fan Adresas: 10.10.10.5 Pavadinimas: mordor.fan Adresas: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Serveris: dnslinux.mordor.fan Adresas: 10.10.10.5 Pavadinimas: sauron.mordor.fan Adresas: 10.10.10.3 Pseudonimai: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> rinkinio tipas = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Serveris: dnslinux.mordor.fan Adresas: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRV serverio ledo vieta: prioritetas = 0 svoris = 100 prievadas = 88 svr pagrindinio kompiuterio vardas = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan interneto adresas = 10.10.10.3 dnslinux.mordor.fan interneto adresas = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Serveris: dnslinux.mordor.fan Adresas: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV paslaugos vieta: prioritetas = 0 svoris = 100 prievadas = 389 svr pagrindinio kompiuterio vardas = sauronas .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan interneto adresas = 10.10.10.3 dnslinux.mordor.fan interneto adresas = 10.10.10.5
> išėjimas

C: \ Vartotojai \ Administratorius>

DNS užklausos iš sauronas.mordoras.fanas yra patenkinami.

Kitas žingsnis bus sukurti kitą virtualią mašiną su įdiegta „Windows 7“. Kadangi vis dar nėra įdiegta DHCP paslauga, suteiksime kompiuteriui pavadinimą «win7»IP adresas 10.10.10.251. Mes taip pat pareiškiame, kad jūsų DNS serveris bus 10.10.10.5 dnslinux.mordor.fanir kad paieškos domenas bus mordor.fanas. Mes to kompiuterio neregistruosime DNS, nes jį įdiegę taip pat naudosime išbandydami DHCP paslaugą.

Toliau atidarome konsolę CMD ir jame mes vykdome:

"Microsoft Windows" [Versija 6.1.7601]
Autorių teisės (c) 2009 m. „Microsoft Corporation“. Visos teisės saugomos.

C: \ Users \ buzz> nslookup
Numatytasis serveris: dnslinux.mordor.fan Adresas: 10.10.10.5

> mordor.fanas
Serveris: dnslinux.mordor.fan Adresas: 10.10.10.5 Pavadinimas: mordor.fan Adresas: 10.10.10.3

> rinkinio tipas = SRV
> _ldap._tcp.DomainDnsZones
Serveris: dnslinux.mordor.fan Adresas: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan SRV paslaugos vieta: prioritetas = 0 svoris = 0 prievadas = 389 svr hostname = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fan sauron.mordor.fan interneto adresas = 10.10.10.3 dnslinux.mordor.fan interneto adresas = 10.10.10.5
> _kpasswd._udp
Serveris: dnslinux.mordor.fan Adresas: 10.10.10.5 _kpasswd._udp.mordor.fan SRV paslaugos vieta: prioritetas = 0 svoris = 0 prievadas = 464 svr hostname = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan interneto adresas = 10.10.10.3 dnslinux.mordor.fan interneto adresas = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Serveris: dnslinux.mordor.fan Adresas: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRV serverio ledo vieta: prioritetas = 0 svoris = 0 prievadas = 389 svr pagrindinio kompiuterio vardas = sauronas. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan interneto adresas = 10.10.10.3 dnslinux.mordor.fan interneto adresas = 10.10.10.5
> išeiti

C: \ Vartotojai \ buzz>

DNS užklausos iš kliento «win7»Taip pat buvo patenkinami.

„Active Directory“ kuriame vartotoją «sarumanas«, Su tikslu jį naudoti prisijungiant prie kliento win7 į domeną mordor.fanas., naudojant metodą «Tinklo ID«, Naudojant vartotojo vardus saruman@mordor.fan y administratorius@mordor.fan. Prisijungimas buvo sėkmingas ir tai įrodo ši ekrano kopija:

Apie dinaminius „Microsoft® DNS“ ir „BIND“ naujinimus

Kadangi DNS tarnyba buvo sustabdyta „Active Directory®“, klientui nebuvo įmanoma «win7»Užregistruokite savo vardą ir IP adresą tame DNS. Daug mažiau dnslinux.mordor.fan nes mes nepateikėme jokio pareiškimo leisti atnaujinti bet kuriai iš susijusių sričių.

Čia ir susiklostė gera kova su mano draugu Fuegianas. Savo pirmame el. Laiške apie šį aspektą pakomentavau:

• „Microsoft“ straipsniuose apie BIND ir „Active Directory®“ naudojimą jie rekomenduoja leisti atnaujinti, ypač tiesioginę zoną -įsiskverbė- tiesiogiai „Windows“ klientai, kurie jau yra prisijungę prie „Active Directory“ domeno.
• Štai kodėl pagal numatytuosius nustatymus „Active Directory®“ DNS zonose leidžiami saugūs dinaminiai naujinimai. „Windows“ klientai jau prisijungė prie „Active Directory“ domeno. Jei jie nėra vieningi, susilaiko nuo pasekmių.
• „Active Directory“ DNS palaiko dinaminius naujinimus „Tik saugus“, „Nesaugus ir saugus“ arba „Nėra“, tai yra tas pats, kas sakyti, kad NE naujinimų arba Nėra.
• Taip, tikrai „Microsoft Philosophy“ nesutinka, kad jos klientai NEATnaujins savo duomenų savo DNS (-iuose), tai nepaliktų galimybės išjungti dinaminius naujinimus savo DNS (-uose), nebent tokia parinktis bus palikti labiau paslėptiems tikslams.
• „Microsoft“ siūlo „Saugumą“ mainais už tamsą, kaip pasakojo kolega ir draugas, praėjęs „Microsft® Certificates“ kursus. Tiesa. Be to, El Fueguino man tai patvirtino.
• Klientas, įsigijęs IP adresą per DHCP, įdiegtą, pavyzdžiui, UNIX® / Linux kompiuteryje, negalės išspręsti savo vardo IP adreso. kol prisijungsite prie „Active Directory“ domeno, jei „Microsoft®“ arba „BIND“ yra naudojama kaip DNS be DHCP dinaminių atnaujinimų.
• Jei įdiegiu DHCP pačiame „Active Directory®“, turiu pareikšti, kad zonas atnaujina „Microsoft® DHCP“.
• Jei ketiname naudoti „BIND“ kaip „Windows“ tinklo DNS, logiška ir rekomenduojama įdiegti „BIND-DHCP“ duetą, pastarajam dinamiškai atnaujinant BIND ir baigiant reikalą.
• Kadangi LAN tinkluose, kuriuose veikia UNIX® / Linux, BIND buvo išrasti dinamiški atnaujinimai, leidžiama naudoti tik p. DHCP «prasiskverbti»Poniai BIND su savo atnaujinimais. Prašau atsipalaidavimo, kuris yra su tvarka.
• Kai deklaruoju zonoje mordor.fanas pavyzdžiui: leisti atnaujinti {10.10.10.0/24; };, BIND pats man praneša, kai jį pradedate arba iš naujo paleidžiate, kad

  • zona „mordor.fan“ leidžia atnaujinti IP adresą, kuris yra nesaugus

• Šventame UNIX® / Linux pasaulyje toks protingas DNS naudojimas yra tiesiog neleistinas.

Galite įsivaizduoti likusius mainus su mano draugu Fuegianas per laiškus, Telegramos pokalbis, jo sumokėti telefono pokalbiai (žinoma, žmogus, neturiu tam kilogramo) ir net žinutės per balandžius XXI amžiuje!

Jis net pagrasino nesiųsti man savo augintinio sūnaus, jo iguanos «Petra»Kad jis man pažadėjo kaip dalį mokėjimo. Ten tikrai išsigandau. Taigi aš pradėjau iš naujo, bet kitu kampu.

• „Beveik“ „Active Directory“, kurį galima pasiekti naudojant „Samba 4“, meistriškai išsprendžia šį aspektą tiek tada, kai naudojame jo vidinį DNS, tiek BIND, sukurtą palaikyti DLZ zonas - „Dinamyc“ pakrautos zonosarba dinamiškai pakrautos zonos.
• Ją ir toliau kenčia tas pats: kai klientas įgyja IP adresą per DHCP, įdiegtą kitas UNIX® / Linux mašina, negalėsite išspręsti savo vardo IP adreso kol jis bus prijungtas prie „Samba 4 AD-DC“ domeno.
• Integruokite BIND-DLZ ir DHCP duetą toje pačioje mašinoje, kur AD-DC „Samba“ 4 tai tikro specialisto darbas.

Fuegianas Jis pakvietė mane į skyrių ir sušuko: Mes nekalbame AD-DC „Samba“ 4, bet iš „Microsoft® Active Directory®“! Nuolankiai atsakiau, kad mane nudžiugino dalis šių straipsnių, kuriuos ketinau parašyti.

Tada aš jam pasakiau, kad galutinis sprendimas dėl dinamiškų kliento kompiuterių atnaujinimų jo tinkle buvo paliktas jo laisva valia. Kad aš jam duosiu tik tipas parašyta anksčiau apie leisti atnaujinti {10.10.10.0/24; };ir daugiau nieko. Aš nesu atsakingas už tai, kas atsirado dėl to, kad kiekvienas „Windows“ klientas - arba „Linux“ - savo tinkle «prasiskverbs»Nebaudžiamas BIND.

Jei žinotum, mano drauge, skaitytojau, kad tai buvo muštynių galutinis taškas, nepatikėtum. Mano draugas Fuegianas jis sutiko su sprendimu - ir jis man atsiųs iguaną «pete«- kad dabar dalinuosi su jumis.

Įdiegiame ir sukonfigūruojame DHCP

Norėdami gauti daugiau informacijos skaitykite DNS ir DHCP „Debian 8“ „Jessie“.

root @ dnslinux: ~ # aptitude įdiegti isc-dhcp-serverį

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # Kokiose sąsajose DHCP serveris (dhcpd) turėtų teikti DHCP užklausas? # Atskirkite kelias sąsajas su tarpais, pvz., „Eth0 eth1“. SĄSAJOS = "eth0" šaknis @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n VARTOTOJAS dhcp-key
Kdhcp raktas. + 157 + 29836

root @ dnslinux: ~ # cat Kdhcp-key. +157 + 29836. privatus
Privataus rakto formatas: v1.3 algoritmas: 157 (HMAC_MD5) Raktas: 3HT / bg / 6YwezUShKYofj5g == Bitai: AAA = Sukurta: 20170212205030 Paskelbti: 20170212205030 Suaktyvinti: 20170212205030

root @ dnslinux: ~ # nano dhcp.key
raktas dhcp-raktas {algoritmas hmac-md5; slaptas „3HT / bg / 6YwezUShKYofj5g ==“; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/named.conf.local
// // Čia atlikite bet kokią vietinę konfigūraciją // // Apsvarstykite galimybę čia pridėti 1918 m. Zonas, jei jos nenaudojamos jūsų // organizacijoje, įtraukite „/etc/bind/zones.rfc1918“; įtraukti „/etc/bind/zones.rfcFreeBSD“;
// Nepamiršk ... Aš pamiršau ir sumokėjau klaidomis. ;-)
įtraukti „/etc/bind/dhcp.key“;


zona "mordor.fan" {tipo meistras;
        leisti atnaujinti {10.10.10.3; raktas dhcp-raktas; };
        failas "/var/lib/bind/db.mordor.fan"; }; zona "10.10.10.in-addr.arpa" {tipo meistras;
        leisti atnaujinti {10.10.10.3; raktas dhcp-raktas; };
        failas "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; zona "_msdcs.mordor.fan" {tipo meistras; čekių vardai ignoruojami; failas "/etc/bind/db._msdcs.mordor.fan"; };

root @ dnslinux: ~ # named-checkconf 
root @ dnslinux: ~ #

root @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
„ddns-update“ stiliaus tarpinis; ddns-atnaujinimai; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; ignoruoti kliento atnaujinimus; autoritetingas; parinktis „ip-forwarding off“; parinkties domeno vardas „mordor.fan“; įtraukti „/etc/dhcp/dhcp.key“; zona mordor.fanas. {pirminis 127.0.0.1; raktas dhcp-raktas; } zona 10.10.10.in-addr.arpa. {pirminis 127.0.0.1; raktas dhcp-raktas; } shared-network redlocal {subnet 10.10.10.0 netmask 255.255.255.0 {option routers 10.10.10.1; parinkties potinklio kaukė 255.255.255.0; parinkties transliacijos adresas 10.10.10.255; parinkties domeno vardo serveriai 10.10.10.5; parinktis netbios-name-serveriai 10.10.10.5; diapazonas 10.10.10.30 10.10.10.250; }} # END dhcpd.conf

root @ dnslinux: ~ # dhcpd -t
Interneto sistemų konsorciumas DHCP Server 4.3.1 Autorių teisės 2004–2014 m. Interneto sistemų konsorciumas. Visos teisės saugomos. Norėdami gauti informacijos, apsilankykite https://www.isc.org/software/dhcp/ Config failas: /etc/dhcp/dhcpd.conf Duomenų bazės failas: /var/lib/dhcp/dhcpd.leases PID failas: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl paleiskite iš naujo bind9.service 
root @ dnslinux: ~ # systemctl būsena bind9.service 

root @ dnslinux: ~ # systemctl paleisti isc-dhcp-server.service
root @ dnslinux: ~ # systemctl būsena isc-dhcp-server.service

Kas yra susiję su Tikrinimai su klientaisIr Rankinis zonos failų modifikavimas, paliekame jums, skaitytojau, draugui, kad galėtumėte skaityti tiesiai iš DNS ir DHCP „Debian 8“ „Jessie“ir pritaikykite jį savo faktinėms sąlygoms. Mes atlikome visus būtinus patikrinimus ir pasiekėme patenkinamų rezultatų. Žinoma, mes siunčiame jų visų kopijas Fuegianas. Nebebus daugiau!

Patarimai

Bendras

• Prieš pradėdami gaukite daug kantrybės.
  
• Pirmiausia įdiekite ir sukonfigūruokite BIND. Patikrinkite viską ir peržiūrėkite visus įrašus, kuriuos deklaravote kiekviename trijų ar daugiau zonų faile, tiek iš „Active Directory“, tiek iš paties DNS serverio sistemoje „Linux“. Jei įmanoma, iš „Linux“ mašinos, kuri nėra prijungta prie domeno, atlikite būtinas DNS užklausas į BIND.
  
• Prisijunkite prie „Windows“ kliento su fiksuotu IP adresu prie esamo domeno ir dar kartą patikrinkite visus „BIND“ parametrus iš „Windows“ kliento.
• Neabejotinai įsitikinę, kad visiškai nauja BIND konfigūracija yra teisinga, pradėkite diegti, konfigūruoti ir paleisti DHCP paslaugą.
• Jei yra klaidų, pakartokite visą procedūrą nuo nulio 0.
• Būkite atsargūs su kopijavimu ir įklijavimu! ir likusius tarpus kiekvienoje pavadintų.conf.xxxx failų eilutėje
  
• Vėliau jis nesiskundė - juo labiau mano draugui Fuegianui -, kad jam nebuvo tinkamai patariama.

Kiti patarimai

• Skaldykite ir užkariaukite.
• MVĮ tinkle saugiau ir naudingiau įdiegti autoritetingą vidinių LAN zonų BIND, kuri nepasikartoja jokiame šakniniame serveryje: rekursija Nr;.
• MVĮ tinkle, įsikūrusiame prie interneto prieigos teikėjo - IPT, galbūt paslaugos Įgaliojimas y SMTP jiems reikia išspręsti domenų vardus internete. Jis kalmaras galite pasirinkti paskelbti savo DNS išorine ar ne, kai esate pašto serveryje pagal „Postfix“ o MDaemon® Taip pat galime deklaruoti DNS serverius, kuriuos naudosime toje paslaugoje. Tokiais atvejais, kaip tai yra, atvejais, kai neteikiamos paslaugos internetu ir kuriems taikoma a Interneto paslaugų tiekėjas, galite įdiegti BIND su Ekspeditoriai nurodydamas į IPT, ir paskelbkite jį kaip antrinį DNS serveriuose, kuriems reikia išspręsti išorines LAN užklausas, kitaip jas galima deklaruoti per jų pačių konfigūracijos failus.
• Jei už visą savo atsakomybę turite deleguotą zonąTada dar viena gaidžio varna:
  • Įdiekite DNS serverį pagal NSD, kuris pagal apibrėžimą yra autoritetingas DNS serveris, kuris atsako į užklausas iš kompiuterių internete. Dėl tam tikros informacijos gabumų šou nsd. 😉 Prašome jį labai gerai apsaugoti tiek ugnies sienų, kiek reikia. Tiek aparatinę, tiek programinę įrangą. Tai bus interneto DNS ir tas «CarasMes neturime jo duoti su žemomis kelnėmis. 😉
  • Kadangi aš niekada nemačiau savęs tokiu atveju, tai yra asmuo, atsakingas už deleguotą zoną, turėčiau labai gerai pagalvoti, ką rekomenduoti domenų vardams, esantiems ne mūsų LAN, išspręsti paslaugoms, kurioms to reikia. MVĮ tinklo klientams to tikrai nereikia. Pasikonsultuokite su specializuota literatūra ar šių dalykų specialistu, nes aš toli gražu ne vienas iš jų. Rimtai.
  • Autoritariniuose serveriuose rekursija neegzistuoja. Gerai?. Tuo atveju, jei kas nors atsitiks su BIND.
• Nors faile aiškiai nurodome /etc/dhcp/dhcpd.conf deklaraciją ignoruoti kliento atnaujinimus;, jei mes paleisime kompiuterio konsolę dnslinux.mordor.fan įsakymas Journalctl -f, tai pamatysime pradėdami klientą win7.mordor.fan gauname šiuos klaidos pranešimus:

  • Vasario 12 d. 16:55:41 dnslinux pavadinimu [900]: klientas 10.10.10.30 # 58762: atnaujinimas „mordor.fan/IN“ atmestas
    Vasario 12 d. 16:55:42 dnslinux pavadinimu [900]: klientas 10.10.10.30 # 49763: atnaujinimas „mordor.fan/IN“ atmestas
    Vasario 12 d. 16:56:23 dnslinux pavadinimu [900]: klientas 10.10.10.30 # 63161: atnaujinimas „mordor.fan/IN“ atmestas
    

  • Norėdami pašalinti šiuos pranešimus, turime pereiti prie išplėstinių tinklo plokštės konfigūracijos parinkčių ir panaikinti žymėjimą «Užregistruokite šio ryšio adresus DNS«. Tai neleis klientui visam laikui bandyti savarankiškai užsiregistruoti „Linux DNS“ ir baigsis problema. Deja, bet aš neturiu „Windows 7“ kopijos ispanų kalba. 😉
• Norėdami sužinoti visas rimtas ir beprotiškas „Windows 7“ kliento užklausas, patikrinkite žurnalas queries.log kad kažkam tai deklaruojame BIND konfigūracijoje. Užsakymas būtų toks:

  • root @ dnslinux: ~ # tail -f /var/log/named/queries.log

• Jei neleidžiate savo kliento kompiuteriams prisijungti tiesiogiai prie interneto, kodėl jums reikia „Root DNS“ serverių? Tai žymiai sumažins komandos išvestį Journalctl -f ir iš ankstesnio, jei jūsų autoritarinis vidinių zonų DNS serveris neprisijungia tiesiogiai prie interneto, o tai labai rekomenduojama saugumo požiūriu.

  root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
  root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root

• Jei jums nereikia šakninių serverių deklaracijos, kodėl jums reikalinga rekursija - Rekursija?

  root @ dnslinux: ~ # nano /etc/bind/named.conf.options
  galimybės {
   ....
   rekursija Nr;
   ....
  };

Konkretus patarimas, kurio man vis dar nėra labai aiškus

El vyras dhcpd.conf pasakoja mums apie daugelį kitų dalykų:

        Atnaujinimo ir optimizavimo ataskaita

            atnaujinimo-optimizavimo vėliava;

            Jei atnaujinimo optimizavimo parametras yra klaidingas tam tikram klientui, serveris bandys atnaujinti to kliento DNS kiekvieną kartą, kai klientas atnaujins nuomos sutartį, o ne bandys atnaujinti tik tada, kai tai atrodo būtina. Tai leis DNS lengviau išgydyti nuo duomenų bazės neatitikimų, tačiau kaina yra ta, kad DHCP serveris turi atlikti daug daugiau DNS atnaujinimų. Rekomenduojame perskaityti šią parinktį, kuri yra numatytoji. Ši parinktis turi įtakos tik laikinosios DNS naujinimo schemos veikimui ir neturi jokios įtakos ad-hoc DNS naujinimo schemai. Jei šis parametras nenurodytas arba yra teisingas, DHCP serveris bus atnaujintas tik pasikeitus kliento informacijai, klientui įsigyjant kitą nuomos sutartį arba pasibaigus kliento nuomos laikotarpiui.

Daugmaž tikslus vertimas ar aiškinimas paliekamas jums, mielas skaitytojau.

Asmeniškai man nutiko - ir tai atsitiko rašant šį straipsnį - kad kai susieju BIND su „Active Directory®“, tai yra iš „Microsft®“ arba „Samba 4“, jei pakeičiu kliento kompiuterio, užregistruoto „Active Directory®“ domene, pavadinimą. arba AD–DC iš „Samba 4“, jis saugo savo senąjį vardą ir IP adresą tiesioginėje zonoje, o ne atvirkščiai, kuris teisingai atnaujinamas nauju pavadinimu. Kitaip tariant, senieji ir naujieji vardai yra susieti su tuo pačiu IP adresu tiesioginėje zonoje, o atvirkščiai - tik naujas vardas. Norėdami gerai mane suprasti, turite tai išbandyti patys.

Manau, kad tai yra tam tikras kerštas Fuegianas - ne man, prašau - už bandymą perkelti savo paslaugas į „Linux“.

Žinoma, senasis vardas dings, kai jis pasibaigs 3600 TTL, arba laikas, kurį nurodėme DHCP konfigūracijoje. Bet mes norime, kad jis nedelsiant dingtų, kaip tai atsitinka BIND + DHCP be „Active Directory“.

Tos situacijos sprendimą radau įterpdamas pareiškimą atnaujinimo optimizavimas klaidingas; failo viršaus pabaigoje /etc/dhcp/dhcpd.conf:

„ddns-update“ stiliaus tarpinis; ddns-atnaujinimai; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; ignoruoti kliento atnaujinimus;
atnaujinimo optimizavimas klaidingas;

Jei kuris nors Skaitytojas žino apie tai daugiau, prašau apšviesti mane. Aš tai labai vertinsiu.

Santrauka

Mums buvo labai smagu su tema, tiesa? Jokių kančių, nes „BIND“ veikia kaip DNS serveris „Microsoft®“ tinkle, siūlantis visus SRV įrašus ir tinkamai atsakantis į jiems pateiktas DNS užklausas. Kita vertus, turime DHCP serverį, suteikiantį IP adresus ir dinamiškai teisingai atnaujinantį BIND zonas.

Bet mes negalime paklausti ... šiuo metu.

Tikiuosi, kad mano draugas Fuegianas būkite laimingi ir patenkinti pirmuoju žingsniu pereinant į „Linux“, kad nepakeliamos „Microsft®“ techninės pagalbos išlaidos būtų pakeliamos.

Svarbi pastaba

Charakteris "Fuegianas»Visiškai išgalvotas ir mano vaizduotės produktas. Bet koks panašumas ar sutapimas su realiais žmonėmis yra tas pats: grynas nevalingas sutapimas iš mano pusės. Aš jį sukūriau tik tam, kad rašyti ir skaityti šį straipsnį būtų šiek tiek malonu. Dabar, jei galite man pasakyti, kad DNS problema yra tamsi. カ