BIND un Active Directory® - MVU tīkli

Sērijas vispārējais indekss: Datoru tīkli MVU: Ievads

Sveiki draugi!. Šī raksta galvenais mērķis ir parādīt, kā mēs varam integrēt DNS pakalpojumu, kura pamatā ir BIND9, Microsoft tīklā, kas ir ļoti izplatīts daudzos MVU.

Tas izriet no drauga, kurš dzīvo La Tierra del Fuego, oficiāla pieprasījuma -Fuegian- specializējies Microsoft® tīklos - iekļauti sertifikāti - lai palīdzētu jums šajā serveru migrācijas uz Linux daļā. Izmaksas par atbalsts Tehniķis, kurš maksā Microsoft®, jau ir Nepanesams uzņēmumā, kurā viņš strādā un kurā viņš ir viņa galvenais akcionārs.

Mans draugs Fuegian ir lieliska humora izjūta, un, tā kā viņš redzēja trīs filmu sēriju «Gredzenu pavēlnieks»Viņu aizrāva daudzi viņa tumšo varoņu vārdi. Tātad, lasītāj, draugs, nepārsteidziet sava domēna un serveru nosaukumus.

Tēmas jaunpienācējiem un pirms lasīšanas turpināšanas iesakām izlasīt un izpētīt trīs iepriekšējos rakstus par MVU tīkliem:

Tas ir tāpat kā skatīties trīs no četrām «Pazeme»Publicēts līdz šodienai un ka šis ir ceturtais.

Vispārējie parametri

Pēc vairākām apmaiņām caur e-pastsBeidzot man bija skaidrs jūsu pašreizējā tīkla galvenie parametri, kas ir:

Domēna nosaukums mordor.fan LAN tīkls 10.10.10.0/24 ======================================= ============================================ Serveru IP adreses mērķis (Serveri ar OS Windows) ================================================== ================================= Sauron.mordor.fan. 10.10.10.3. Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Windows failu serveris darklord.mordor.fan. 10.10.10.6. Starpniekserveris, vārteja un ugunsmūris vietnē Kerios troll.mordor.fan. 10.10.10.7 Emuārs, kura pamatā ir ... nevar atcerēties shadowftp.mordor.fan. 10.10.10.8 FTP serveris blackelf.mordor.fan. 10.10.10.9 Pilns e-pasta pakalpojums blackspider.mordor.fan. 10.10.10.10 WWW serviss palantir.mordor.fan. 10.10.10.11 Tērzēšana par Windows Openfire

Es lūdzu atļauju Fuegian iestatīt pēc iespējas vairāk aizstājvārdu, lai iztīrītu prātu, un deva man atļauju:

Īsts CNAME ============================== sauron ad-dc mamba failu serveris darklord starpniekservera troļļu emuārs shadowftp ftpserver blackelf mail

Es deklarēju visus svarīgos DNS ierakstus, instalējot Active Directory Windows 2008, kurus es biju spiests ieviest, lai palīdzētu man izveidot šo ziņu.

Par Active Directory DNS SRV ierakstiem

Reģistri SRV o Pakalpojumu lokatori, kurus plaši izmanto Microsoft Active Directory, ir definēti Pieprasījums pēc komentāriem RFC 2782. Tie ļauj pakalpojuma atrašanās vietu, pamatojoties uz TCP / IP protokolu, izmantojot DNS vaicājumu. Piemēram, klients Microsoft tīklā var atrast domēna kontrolleru atrašanās vietu - Domēnu kontrolieri kas nodrošina LDAP pakalpojumu, izmantojot TCP protokolu 389. portā, izmantojot vienu DNS vaicājumu.

Ir normāli, ka mežos - Mežiun koki - Koki lielā Microsoft tīklā ir vairāki domēnu kontrolleri. Izmantojot SRV ierakstus dažādās zonās, kas veido šī tīkla domēna vārda telpu, mēs varam uzturēt sarakstu ar serveriem, kas nodrošina līdzīgus labi zināmus pakalpojumus, kas sakārtoti pēc izvēles atbilstoši katra transporta protokolam un ostai. viens no serveriem.

Jo Pieprasījums pēc komentāriem RFC 1700 Ir noteikti vispārzināmu pakalpojumu universālie simboliskie nosaukumi - Labi pazīstams servissun nosaukumi, piemēram, «_telnet","_smtp»Pakalpojumiem telnet y SMTP. Ja labi pazīstamam pakalpojumam nav definēts simbolisks nosaukums, saskaņā ar lietotāja vēlmēm var izmantot vietējo vai citu nosaukumu.

Saistīt

Katra lauka mērķis «īpašs»SRV resursu ieraksta deklarācijā tiek izmantots šāds:

  • Domēns: "Pdc._msdcs.mordor.fan.«. DNS nosaukums pakalpojumam, uz kuru attiecas SRV ieraksts. DNS nosaukums piemērā nozīmē - vairāk vai mazāk - Primārā domēna kontrolieris teritorijas _msdcs.mordor.fan.
  • Serviss: "_Ldap". Sniegtā pakalpojuma simboliskais nosaukums definēts saskaņā ar Pieprasījums pēc komentāriem RFC 1700.
  • Protokols: "_Tcp". Norāda transporta protokola veidu. Parasti var ņemt vērtības _tcp o _dp, lai arī - un faktiski - jebkura veida transporta protokols, kas norādīts Pieprasījums pēc komentāriem RFC 1700. Piemēram, par pakalpojumu tērzēšana balstīts uz protokolu XMPP, šī lauka vērtība būtu _xmpp.
  • Prioritāte"0«. Paziņojiet par prioritāti vai preferenci Saimnieks, kas piedāvā šo pakalpojumu ko mēs redzēsim vēlāk. Klientu DNS vaicājumi par pakalpojumu, ko nosaka šis SRV ieraksts, saņemot atbilstošu atbildi, mēģinās sazināties ar pirmo pieejamo resursdatoru ar zemāko laukā norādīto numuru. Prioritāte. Vērtību diapazons, ko šis lauks var iegūt, ir 0 65535.
  • svars"100«. Var izmantot kopā ar Prioritāte nodrošināt slodzes līdzsvarošanas mehānismu, ja ir vairāki serveri, kas nodrošina vienu un to pašu pakalpojumu. Zonas failā katram serverim jābūt līdzīgam SRV ierakstam, kura nosaukums ir norādīts laukā Saimnieks, kas piedāvā šo pakalpojumu. Pirms serveriem ar vienādām vērtībām laukā Prioritāte, lauka vērtība svars to var izmantot kā papildu preferenču līmeni, lai iegūtu precīzu servera izvēli slodzes līdzsvarošanai. Vērtību diapazons, ko šis lauks var iegūt, ir 0 65535. Ja slodzes līdzsvarošana nav nepieciešama, piemēram, kā viena servera gadījumā, ieteicams piešķirt vērtību 0 lai SRV ieraksts būtu vieglāk lasāms.
  • Ostas numurs - osta"389«. Ostas numurs Saimnieks, kas piedāvā šo pakalpojumu kas nodrošina laukā norādīto pakalpojumu Serviss. Ieteicamais porta numurs katram labi pazīstama pakalpojuma veidam ir norādīts uz Pieprasījums pēc komentāriem RFC 1700, lai gan starp to var būt vērtība 0 un 65535.
  • Saimnieks, kas piedāvā šo pakalpojumu - Target"sauron.mordor.fan.«. Norāda FQDN kas nepārprotami identificē saimnieks kas nodrošina SRV ierakstā norādīto pakalpojumu. Ieraksta veids «A»Katra domēna nosaukumvietā FQDN no servera vai saimnieks kas nodrošina pakalpojumu. Vienkāršāk, tipa ieraksts A tiešajā (-ās) zonā (-ās).
    • Piezīme:
      Lai autoritatīvi norādītu, ka šajā resursdatorā netiek sniegts SRV ierakstā norādītais pakalpojums,
      .) punktu.

Mēs tikai vēlamies atkārtot, ka tīkla vai Active Directory® pareiza darbība lielā mērā ir atkarīga no pareizas domēna vārdu pakalpojuma darbības..

Active Directory DNS ieraksti

Lai jaunā DNS servera zonas izveidotu, pamatojoties uz BIND, mums visi DNS ieraksti jāiegūst no Active Directory®. Lai atvieglotu dzīvi, dodamies uz komandu sauron.mordor.fan -Active Directory® 2008 SR2 - un DNS administrēšanas konsolē mēs aktivizējam Zone Transfer -Direct un inverse- galvenajām šāda veida pakalpojumā deklarētajām zonām, kuras ir:

  • _msdcs.mordor.fan
  • mordor.fan
  • 10.10.10.in-addr.harp

Kad iepriekšējais solis ir veikts un vēlams no Linux datora, kura IP adrese ir Windows tīkla izmantotā apakštīkla diapazonā, mēs izpildām:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> temp /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa
  • Atgādiniet no iepriekšējiem rakstiem, ka ierīces IP adrese sysadmin.desdelinux.ventilators tas 10.10.10.1 vai 192.168.10.1.

Trīs iepriekšējās komandās mēs varam izslēgt opciju 10.10.10.3 -jautājiet DNS serverim ar šo adresi- ja mēs deklarējam lietā / Etc / resolv.conf uz servera IP sauron.mordor.fan:

buzz@sysadmin:~$ cat /etc/resolv.conf 
# Generated by NetworkManager
search desdelinux.fan
nameserver 192.168.10.5
nameserver 10.10.10.3

Pēc ļoti rūpīgas rediģēšanas, kā tas atbilst jebkuram BIND zonas failam, mēs iegūsim šādus datus:

RR ieraksti no sākotnējās zonas _msdcs.mordor.fan

buzz @ sysadmin: ~ $ kaķu temp / rrs._msdcs.mordor.fan 
; Saistībā ar SOA un NS _msdcs.mordor.fan. 3600 SOA sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 3600 _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; PASAULES KATALOGS gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ; Pseidonīmi - SAURON Active Directory modificētajā un privātajā LDAP datu bāzē 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 CNAME sauron.mordor.fan. ; ; Modificēts un privāts LDAP Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS ir modificēts un privāts no Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

RR ieraksti no sākotnējās zonas mordor.fan

buzz @ sysadmin: ~ $ kaķu temp / rrs.mordor.fan 
; Kas attiecas uz SOA, NS, MX un tā reģistrēto A ierakstu; domēna vārds uz SAURON IP; Lietas no Active Directory mordor.fan. 3600 SOA sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 86400 3600 mordor.fan. 600 IN A 10.10.10.3 mordor.fan. 3600 IN NS sauron.mordor.fan. mordor.fan. 3600 IN MX 10 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; Svarīgi ir arī A ieraksti DomainDnsZones.mordor.fan. 600 IN A 10.10.10.3 ForestDnsZones.mordor.fan. 600 IN A 10.10.10.3; ; PASAULES KATALOGS _gc._tcp.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. ; ; Modificēts un privāts LDAP Active Directory _ldap._tcp.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; Pārveidots un privāts KERBEROS no Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. ; ; Ieraksts ar fiksētiem IP -> Blackelf.mordor.fan serveri. 3600 IN A 10.10.10.9 blackspider.mordor.fan. 3600 IN A 10.10.10.10 darklord.mordor.fan. 3600 IN A 10.10.10.6 mamba.mordor.fan. 3600 IN A 10.10.10.4 palantir.mordor.fan. 3600 IN A 10.10.10.11 sauron.mordor.fan. 3600 IN A 10.10.10.3. Shadowftp.mordor.fan. 3600 IN A 10.10.10.8 troll.mordor.fan. 3600 IN A 10.10.10.7; ; CNAME ieraksti ad-dc.mordor.fan. 3600 CNAME sauron.mordor.fan. emuārs.mordor.fan. 3600 CNAME troll.mordor.fan. fileserver.mordor.fan. 3600 CNAME mamba.mordor.fan. ftpserver.mordor.fan. 3600 IN CNAME shadowftp.mordor.fan. mail.mordor.fan. 3600 CNAME balckelf.mordor.fan. openfire.mordor.fan. 3600 CNAME palantir.mordor.fan. proxy.mordor.fan. 3600 IN CNAME darklord.mordor.fan. www.mordor.fan. 3600 CNAME blackspider.mordor.fan.

RR ieraksti no sākotnējās zonas 10.10.10.in-addr.arpa

buzz @ sysadmin: ~ $ kaķu temp / rrs.10.10.10.in-addr.arpa 
; Saistībā ar SOA un NS 10.10.10. In-addr.arpa. 3600 SOA sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400 3600 10.10.10.adr.arpa. 3600 IN NS sauron.mordor.fan. ; ; PTR ieraksti 10.10.10.10.in-addr.arpa. 3600 IN PTR blackspider.mordor.fan. 11.10.10.10.in-addr.arpa. 3600 IN PTR palantir.mordor.fan. 3.10.10.10.adr.arpa. 3600 PTR sauron.mordor.fan. 4.10.10.10.adr.arpa. 3600 PTR mamba.mordor.fan. 5.10.10.10.in-addr.arpa. 3600 IN PTR dnslinux.mordor.fan. 6.10.10.10.in-addr.arpa. 3600 IN PTR darklord.mordor.fan. 7.10.10.10.in-addr.arpa. 3600 IN PTR troll.mordor.fan. 8.10.10.10.in-addr.arpa. 3600 IN PTR shadowftp.mordor.fan. 9.10.10.10.in-addr.arpa. 3600 IN PTR blackelf.mordor.fan.

Līdz šim mēs varam domāt, ka mums ir nepieciešamie dati, lai turpinātu savu piedzīvojumu, vispirms neievērojot TTL un citi dati, kurus ļoti kodolīgā veidā nodrošina Microsft® Active Directory® 2008 SR2 64 bitu izvade un tieša DNS novērošana.

DNS pārvaldnieka attēli SAURON

Dnslinux.mordor.fan komanda.

Ja paskatāmies uzmanīgi, uz IP adresi 10.10.10.5 tam netika piešķirts neviens nosaukums, lai to aizņemtu jaunā DNS nosaukums dnslinux.mordor.fan. Lai instalētu DNS un DHCP pāri, mēs varam vadīties pēc rakstiem DNS un DHCP Debian 8 "Jessie" y DNS un DHCP uz CentOS 7.

Bāzes operētājsistēma

Mans draugs FuegianPapildus tam, ka viņš ir īsts Microsoft® Windows speciālists - viņam ir pāris šīs firmas izsniegtu sertifikātu, viņš ir izlasījis un praksē izmantojis dažus rakstus par galddatoriem, kas publicēti DesdeLinux., un viņš man teica, ka skaidri vēlas Debian balstītu risinājumu. 😉

Lai jūs iepriecinātu, mēs sāksim ar jaunu, tīru servera instalēšanu, kuras pamatā ir Debian 8 "Jessie". Tomēr tas, ko mēs rakstīsim tālāk, ir derīgs izplatījumiem CentOS un openSUSE, kuru rakstus mēs minējām iepriekš. BIND un DHCP ir vienādi jebkurā distro. Nelielas variācijas paketes uzturētāji ievieš katrā izplatīšanā.

Mēs veiksim uzstādīšanu, kā norādīts DNS un DHCP Debian 8 "Jessie", rūpējoties par IP izmantošanu 10.10.10.5 un tīkls 10.10.10.0/24., pat pirms BIND konfigurēšanas.

Mēs konfigurējam BIND Debian stilā

/etc/bind/named.conf

Fails /etc/bind/named.conf mēs to atstājam, kā tas ir uzstādīts.

/etc/bind/named.conf.options

Fails /etc/bind/named.conf.options jāatstāj šāds saturs:

root @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dnslinux: ~ # nano /etc/bind/named.conf.options
opcijas {direktorija "/ var / cache / bind"; // Ja starp jums un vārda serveriem, ar kuriem vēlaties // runāt, ir ugunsmūris, jums, iespējams, būs jālabo ugunsmūris, lai ļautu sarunāties vairākiem // portiem. Skatiet vietni http://www.kb.cert.org/vuls/id/800113 // Ja jūsu interneta pakalpojumu sniedzējs ir nodrošinājis vienu vai vairākas IP adreses stabiliem // vārdu serveriem, jūs droši vien vēlaties tos izmantot kā ekspeditorus. // Noņemiet komentāru no šī bloka un ievietojiet adreses, aizstājot // visu-0 vietturi. // ekspeditori {// 0.0.0.0; //}; // ================================================= ===================== $ // Ja BIND reģistrē kļūdas ziņojumus par saknes atslēgas derīguma termiņa beigām, // jums būs jāatjaunina atslēgas. Skatiet vietni https://www.isc.org/bind-keys // ================================= =================================== $

    // Mēs nevēlamies DNSSEC
        dnssec-enable nē;
        //dnssec validācijas auto;

        auth-nxdomain nav; # atbilst RFC1035

 // Mums nav nepieciešams klausīties IPv6 adreses
        // klausīties-v6 {jebkurš; };
    klausīties-v6 {neviens; };

 // Pārbaudēm no localhost un sysadmin
    // caur // rakt mordor.fan axfr // rakt 10.10.10.in-addr.arpa axfr // rakt _msdcs.mordor.fan axfr // mums nav vergu DNS ... līdz šim
 atļaut-pārsūtīt {localhost; 10.10.10.1; };
};

// Mežizstrāde BIND
mežizstrāde {

        kanālu vaicājumi {
        faila "/var/log/named/queries.log" versijas 3 izmērs 1m;
        informācija par smagumu;
        drukas laiks jā;
        drukas smagums jā;
        drukas kategorija jā;
        };

        kanāla vaicājums-kļūda {
        faila "/var/log/named/query-error.log" versijas 3 izmērs 1m;
        informācija par smagumu;
        drukas laiks jā;
        drukas smagums jā;
        drukas kategorija jā;
        };

                                
kategorijas vaicājumi {
         vaicājumi;
         };

kategorijas vaicājums-kļūdas {
         vaicājums-kļūda;
         };

};
  • Mēs ieviešam BIND žurnālu tveršanu kā a JAUNS parādīšanās rakstu sērijā par šo tēmu. Mēs izveidojam lmapei un failiem, kas nepieciešami Mežizstrāde BIND:
root @ dnslinux: ~ # mkdir / var / log / nosaukts
root @ dnslinux: ~ # touch /var/log/named/queries.log
root @ dnslinux: ~ # touch /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / nosaukts

Mēs pārbaudām konfigurēto failu sintaksi

root @ dnslinux: ~ # nosaukts-checkconf 
sakne @ dnslinux: ~ #

/etc/bind/named.conf.local

Mēs izveidojam failu /etc/bind/zones.rfcFreeBSD ar tādu pašu saturu, kā norādīts DNS un DHCP Debian 8 "Jessie".

root @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

Fails /etc/bind/named.conf.local jāatstāj šāds saturs:

Šeit veiciet jebkuru vietējo konfigurāciju // Apsveriet iespēju šeit pievienot 1918. gada zonas, ja tās netiek izmantotas jūsu // organizācijā
ietver "/etc/bind/zones.rfc1918"; ietver "/etc/bind/zones.rfcFreeBSD";

zona "mordor.fan" {tipa meistars; fails "/var/lib/bind/db.mordor.fan"; }; zona "10.10.10.in-addr.arpa" {tipa meistars; fails "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

zona "_msdcs.mordor.fan" {tipa meistars;
 pārbaudes vārdi tiek ignorēti; fails "/etc/bind/db._msdcs.mordor.fan"; }; root @ dnslinux: ~ # nosaukts-checkconf
sakne @ dnslinux: ~ #

Zonas fails mordor.fan

root @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; sērijas 1D; atsvaidziniet 1H; mēģiniet vēlreiz 1W; derīguma termiņš beidzas 3H); minimums vai; Negatīvs kešatmiņas laiks dzīvošanai;
; Esiet ļoti piesardzīgs ar sekojošiem ierakstiem
@ IN NS dnslinux.mordor.fan.
@ IN A 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT "Laipni lūdzam Mordoras tumšajā joslā";
_msdcs.mordor.fan. IN NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. IN A 10.10.10.5
; PIEĻAUJIET ĻOTI UZMANĪGI ar sekojošiem ierakstiem;
DomainDnsZones.mordor.fan. A 10.10.10.3. ForestDnsZones.mordor.fan. IN A 10.10.10.3; ; PASAULES KATALOGS _gc._tcp.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ; ; Modificēts un privāts LDAP Active Directory _ldap._tcp.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. ; ; Pārveidots un privāts KERBEROS no Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. ; ; Ieraksts ar fiksētiem IP -> Blackelf.mordor.fan serveri. A 10.10.10.9 melnais zirneklis.mordor.fan. IN A 10.10.10.10 darklord.mordor.fan. IN A 10.10.10.6 mamba.mordor.fan. A 10.10.10.4. Palantir.mordor.fan. IN A 10.10.10.11
sauron.mordor.fan. IN A 10.10.10.3
shadowftp.mordor.fan. IN A 10.10.10.8 troll.mordor.fan. IN A 10.10.10.7; ; CNAME ieraksti ad-dc.mordor.fan. CNAME sauron.mordor.fan. emuārs.mordor.fan. CNAME troll.mordor.fan. fileserver.mordor.fan. IN CNAME mamba.mordor.fan. ftpserver.mordor.fan. CNAME ēnā shadowftp.mordor.fan. mail.mordor.fan. IN CNAME balckelf.mordor.fan. openfire.mordor.fan. CNAME nosaukumā palantir.mordor.fan. proxy.mordor.fan. IN CNAME darklord.mordor.fan. www.mordor.fan. CNAME tīklā blackspider.mordor.fan.

root @ dnslinux: ~ # named-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
zona mordor.fan/IN: ielādēts seriāls 1 Labi

Laiki 600 TTL no visiem SRV reģistriem mēs tos glabāsim, ja reizēm instalēsim Slave BIND. Šie ieraksti atspoguļo Active Directory® pakalpojumus, kas pārsvarā nolasa datus no jūsu LDAP datu bāzes. Tā kā šī datu bāze bieži mainās, sinhronizācijas laiki ir jāsaglabā īsi, izmantojot Master-Slave DNS shēmu. Saskaņā ar Microsoft filozofiju, kas novērota no Active Directory 2000 līdz 2008, šāda veida SRV ierakstiem tiek saglabāta 600 vērtība.

L TTL no serveriem ar fiksētu IP, SOA deklarētais laiks ir mazāks par 3 stundām.

Zonas fails 10.10.10.in-addr.arpa

root @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; sērijas 1D; atsvaidziniet 1H; mēģiniet vēlreiz 1W; derīguma termiņš beidzas 3H); minimums vai; Negatīvs kešatmiņas laiks dzīvošanai; @ IN NS dnslinux.mordor.fan. ; 10 IN PTR blackspider.mordor.fan. 11 IN PTR palantir.mordor.fan. 3 PTR sauronā.mordor.fan. 4 PTR mamba.mordor.fan. 5 IN PTR dnslinux.mordor.fan. 6 IN PTR darklord.mordor.fan. 7 PTR troll.mordor.fan. 8 IN PTR shadowftp.mordor.fan. 9 IN PTR blackelf.mordor.fan.

root @ dnslinux: ~ # named-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
zona 10.10.10.in-addr.arpa/IN: ielādēta sērija 1 Labi

Zonas fails _msdcs.mordor.fan

Ņemsim vērā failā ieteikto /usr/share/doc/bind9/README.Debian.gz Par galveno zonu failu atrašanās vietu, kas DHCP nav pakļauta dinamiskiem atjauninājumiem.

root @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; sērijas 1D; atsvaidziniet 1H; mēģiniet vēlreiz 1W; derīguma termiņš beidzas 3H); minimums vai; Negatīvs kešatmiņas laiks dzīvošanai; @ IN NS dnslinux.mordor.fan. ; ; ; PASAULES KATALOGS gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ; Pseidonīmi - SAURON Active Directory modificētajā un privātajā LDAP datu bāzē 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 CNAME sauron.mordor.fan. ; ; Modificēts un privāts LDAP Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; Modificēts un privāts Active Directory _Kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan KERBEROS. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Mēs pārbaudām sintaksi un varam ignorēt kļūdu, ko tā atgriež, jo failā šīs zonas konfigurācijā /etc/bind/named.conf.local mēs iekļaujam paziņojumu pārbaudes vārdi tiek ignorēti;. BIND pareizi ielādēs zonu.

root @ dnslinux: ~ # named-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: nepareiza īpašnieka vārda (pārbaudāmo vārdu) zona _msdcs.mordor.fan/IN: ielādēta sērija 1 Labi

root @ dnslinux: ~ # systemctl restartējiet bind9.service 
root @ dnslinux: ~ # systemctl statuss bind9.service 
● bind9.service - Ielādēts BIND domēna nosaukumu serveris: ielādēts (/lib/systemd/system/bind9.service; iespējots) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf Active: aktīvs (darbojas) kopš svētdienas 2017-02-12 08:48:38 EST; Pirms 2 sekundēm Dokumenti: man: nosaukts (8) Process: 859 ExecStop = / usr / sbin / rndc stop (kods = iziet, statuss = 0 / Veiksme) Galvenais PID: 864 (nosaukts) CGroup: /system.slice/bind9.service └─864 / usr / sbin / named -f -u bind 12. februāris 08:48:38 dnslinux nosaukts [864]: zona 3.efip6.arpa/IN: ielādēta sērija 1. februāris 12 08:48:38 dnslinux nosaukta [864 ]: zona befip6.arpa/IN: ielādēta sērija 1. februāris 12 08:48:38 dnslinux ar nosaukumu [864]: zona 0.efip6.arpa/IN: ielādēta sērija 1. februāris 12 08:48:38 dnslinux ar nosaukumu [864]: zona 7.efip6.arpa/IN: ielādēts seriāls 1. februāris 12 08:48:38 dnslinux nosaukts [864]: zona mordor.fan/IN: ielādēts seriāls 1 februāris 12:08:48 dnslinux nosaukts [38]: zonas piemērs .org / IN: ielādēta sērija 864. februāris 1 12:08:48 dnslinux ar nosaukumu [38]: zona _msdcs.mordor.fan/IN: ielādēta sērija 864. februāris 1:12:08 dnslinux ar nosaukumu [48]: zona nederīga / IN : ielādēta sērija 38. februāris 864:1:12 dnslinux ar nosaukumu [08]: visas zonas ir ielādētas
12. februāris 08:48:38 dnslinux ar nosaukumu [864]: ekspluatācijas

Mēs konsultējamies ar BIND

Pirms Pēc DHCP instalēšanas mums jāveic virkne pārbaužu, kas ietver pat Windows 7 klienta pievienošanu domēnam mordor.fan ko pārstāv datorā instalētā Active Directory sauron.mordor.fan.

Pirmais, kas mums jādara, ir jāaptur DNS pakalpojums datorā sauron.mordor.fanun savā tīkla saskarnē paziņojiet, ka no šī brīža jūsu DNS serveris būs 10.10.10.5 dnslinux.mordor.fan.

Pašā servera konsolē sauron.mordor.fan mēs izpildām:

Microsoft Windows [Version 6.1.7600]
Autortiesības (c) 2009. gada korporācija Microsoft Corporation. Visas tiesības aizsargātas.

C: \ Lietotāji \ Administrators> nslookup
Noklusējuma serveris: dnslinux.mordor.fan Adrese: 10.10.10.5

> gc._msdcs
Serveris: dnslinux.mordor.fan Adrese: 10.10.10.5 Nosaukums: gc._msdcs.mordor.fan Adrese: 10.10.10.3

> mordor.fan
Serveris: dnslinux.mordor.fan Adrese: 10.10.10.5 Nosaukums: mordor.fan Adrese: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Serveris: dnslinux.mordor.fan Adrese: 10.10.10.5 Nosaukums: sauron.mordor.fan Adrese: 10.10.10.3 Pseidonīmi: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> set type = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Serveris: dnslinux.mordor.fan Adrese: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRV servera ledus atrašanās vieta: prioritāte = 0 svars = 100 ports = 88 svr resursdatora nosaukums = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan interneta adrese = 10.10.10.3 dnslinux.mordor.fan interneta adrese = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Serveris: dnslinux.mordor.fan Adrese: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV pakalpojuma atrašanās vieta: prioritāte = 0 svars = 100 ports = 389 svr resursdatora nosaukums = saurons .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan interneta adrese = 10.10.10.3 dnslinux.mordor.fan interneta adrese = 10.10.10.5
> iziet

C: \ Lietotāji \ Administrators>

DNS vaicājumi veikti no sauron.mordor.fan ir apmierinoši.

Nākamais solis būs izveidot citu virtuālo mašīnu ar instalētu Windows 7. Tā kā mums joprojām nav instalēts DHCP pakalpojums, mēs datoram piešķirsim nosaukumu «win7»IP adrese 10.10.10.251. Mēs arī paziņojam, ka jūsu DNS serveris būs 10.10.10.5 dnslinux.mordor.fanun ka meklēšanas domēns būs mordor.fan. Mēs nereģistrēsim šo datoru DNS, jo to izmantosim arī DHCP pakalpojuma pārbaudei pēc tā instalēšanas.

Tālāk mēs atveram konsoli CMD un tajā mēs izpildām:

Microsoft Windows [Version 6.1.7601]
Autortiesības (c) 2009. gada korporācija Microsoft Corporation. Visas tiesības aizsargātas.

C: \ Users \ buzz> nslookup
Noklusējuma serveris: dnslinux.mordor.fan Adrese: 10.10.10.5

> mordor.fan
Serveris: dnslinux.mordor.fan Adrese: 10.10.10.5 Nosaukums: mordor.fan Adrese: 10.10.10.3

> set type = SRV
> _ldap._tcp.DomainDnsZones
Serveris: dnslinux.mordor.fan Adrese: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan SRV pakalpojuma atrašanās vieta: prioritāte = 0 svars = 0 ports = 389 svr resursdators = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fan sauron.mordor.fan interneta adrese = 10.10.10.3 dnslinux.mordor.fan interneta adrese = 10.10.10.5
> _kpasswd._udp
Serveris: dnslinux.mordor.fan Adrese: 10.10.10.5 _kpasswd._udp.mordor.fan SRV pakalpojuma atrašanās vieta: prioritāte = 0 svars = 0 ports = 464 svr resursdatora nosaukums = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan interneta adrese = 10.10.10.3 dnslinux.mordor.fan interneta adrese = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Serveris: dnslinux.mordor.fan Adrese: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRV servera ledus atrašanās vieta: prioritāte = 0 svars = 0 ports = 389 svr resursdatora nosaukums = saurons. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan interneta adrese = 10.10.10.3 dnslinux.mordor.fan interneta adrese = 10.10.10.5
> izeja

C: \ Lietotāji \ buzz>

DNS vaicājumi, kas veikti no klienta «win7»Bija arī apmierinoši.

Active Directory mēs izveidojam lietotāju «sarumans«, Ar mērķi to izmantot, pievienojoties klientam win7 uz domēnu mordor.fan., izmantojot metodi «Tīkla ID«, Lietotājvārdu izmantošana saruman@mordor.fan y administrators@mordor.fan. Pievienošanās bija veiksmīga, un to pierāda šāds ekrānuzņēmums:

Par dinamiskiem atjauninājumiem Microsoft® DNS un BIND

Tā kā DNS pakalpojums ir apturēts Active Directory®, klients to nevarēja «win7»Reģistrējiet savu vārdu un IP adresi šajā DNS. Daudz mazāk iekšā dnslinux.mordor.fan tā kā mēs neko neizteicām atļaut atjaunināt jebkurai no iesaistītajām jomām.

Un tieši šeit izveidojās laba cīņa ar manu draugu Fuegian. Pirmajā e-pastā par šo aspektu es komentēju:

  • Microsoft rakstos par BIND un Active Directory® izmantošanu ieteicams atļaut atjaunināt, jo īpaši tiešo zonu -iekļuva- tieši Windows klienti, kas jau ir pievienoti Active Directory domēnam.
  • Tāpēc pēc noklusējuma Active Directory® DNS zonās ir atļauta droša dinamiskā atjaunināšana. Windows klienti jau ir pievienojušies Active Directory domēnam. Ja viņi nav vienoti, viņi atturas no sekām.
  • Active Directory DNS atbalsta dinamiskos atjauninājumus "Tikai drošs", "Drošs un nedrošs" vai "Neviens", kas ir tas pats, kas teikt, ka nav atjauninājumu vai nav.
  • Jā, patiešām Microsoft filozofija nepiekrīt, ka tās klienti NETIEKS atjaunināt savus datus savos DNS (-os), tas neatstātu iespēju atspējot dinamiskos atjauninājumus savos DNS (-os), ja vien šī opcija tiks atstāts slēptākiem mērķiem.
  • Korporācija Microsoft piedāvā "Drošību" apmaiņā pret tumsu, kā man teica kolēģis un draugs, kurš izgāja Microsft® Certificates kursus. Patiesi. Turklāt El Fueguino man to apstiprināja.
  • Klients, kurš iegūst IP adresi, izmantojot DHCP, piemēram, instalējot ierīci UNIX® / Linux, nevarēs atrisināt sava vārda IP adresi. līdz esat pievienojies Active Directory domēnam, kamēr Microsoft® vai BIND tiek izmantots kā DNS bez DHCP dinamiskiem atjauninājumiem.
  • Ja es instalēju DHCP pašā Active Directory®, man jāpaziņo, ka zonas atjaunina Microsoft® DHCP.
  • Ja mēs izmantosim BIND kā DNS Windows tīklam, ir loģiski un ieteicams instalēt BIND-DHCP duetu, pēdējam dinamiski atjauninot BIND un jautājums ir pabeigts.
  • Vietējo tīklu tīklā UNIX® / Linux kopš tā laika, kad BIND tika izgudroti dinamiski atjauninājumi, atļauts ir tikai DHCP kungs «iekļūt»BIND kundzei ar jaunumiem. Lūdzu, relaksāciju, kas ir ar kārtību.
  • Kad es paziņoju zonā mordor.fan piemēram: atļaut atjaunināt {10.10.10.0/24; };, Pats BIND man to iesākot vai restartējot informē, ka:
    • zona 'mordor.fan' atļauj atjauninājumus pēc IP adreses, kas ir nedroša
  • Svētajā UNIX® / Linux pasaulē šāda lietpratība ar DNS ir vienkārši nepieļaujama.

Jūs varat iedomāties pārējo apmaiņu ar manu draugu Fuegian ar e-pastiem, Telegrammas tērzēšana, viņa apmaksātie tālruņa zvani (protams, cilvēks, man par to nav kilogramu), un pat ziņas ar baložiem XXI gadsimtā!

Viņš pat draudēja nesūtīt man sava mājdzīvnieka dēlu, savu Iguānu «Petra»Ka viņš man bija apsolījis kā daļu no maksājuma. Tur es tiešām baidījos. Tāpēc es sāku no jauna, bet no cita rakursa.

  • "Gandrīz" Active Directory, ko var sasniegt ar Samba 4, meistarīgi atrisina šo aspektu gan tad, kad mēs izmantojam tā iekšējo DNS, gan BIND, kas sastādīts DLZ zonu atbalstam - Dinamyc ielādētās zonasvai dinamiski ielādētās zonas.
  • Tas turpina ciest no tā paša: kad klients iegūst IP adresi, izmantojot DHCP, kas instalēts cits UNIX® / Linux mašīna, jūs nevarēsit atrisināt sava vārda IP adresi līdz tas ir pievienots Samba 4 AD-DC domēnam.
  • Integrējiet BIND-DLZ un DHCP duetu tajā pašā mašīnā, kur AD-DC Samba 4 tas ir īsta speciālista darbs.

Fuegian Viņš aicināja mani uz nodaļu un kliedza uz mani: Mēs par to nerunājam AD-DC Samba 4, bet Microsoft® Active Directory®! Un es pazemīgi atbildēju, ka mani iepriecina daļa no šiem rakstiem, kurus es gatavojos rakstīt.

Toreiz es viņam to teicu, galīgais lēmums par klienta datoru dinamisku atjaunināšanu viņa tīklā tika atstāts viņa brīvā gribā. Ka es viņam dotu tikai gals rakstīts iepriekš par atļaut atjaunināt {10.10.10.0/24; };, un vairāk nekas. Es neesmu atbildīgs par to, kas izriet no tā, ka katrs Windows klients - vai Linux - savā tīklā «iekļūs»Nesodīti BIND.

Ja jūs zinātu, mans draugs, Lasītāj, ka tas ir kautiņa beigu punkts, jūs tam neticētu. Mans draugs Fuegian viņš pieņēma risinājumu - un viņš man atsūtīs iguānu «Pete«- ka tagad es dalos ar jums.

Mēs instalējam un konfigurējam DHCP

Lai iegūtu sīkāku informāciju, izlasiet DNS un DHCP Debian 8 "Jessie".

root @ dnslinux: ~ # aptitude instalējiet isc-dhcp-serveri

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # Kādās saskarnēs DHCP serverim (dhcpd) vajadzētu apkalpot DHCP pieprasījumus? # Atdaliet vairākas saskarnes ar atstarpēm, piemēram, "eth0 eth1". SASKARNES = "eth0" sakne @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n LIETOTĀJA dhcp-atslēga
Kdhcp-atslēga. +157 + 29836

root @ dnslinux: ~ # cat Kdhcp-key. +157 + 29836.privatais
Privātās atslēgas formāts: v1.3 algoritms: 157 (HMAC_MD5) Atslēga: 3HT / bg / 6YwezUShKYofj5g == Biti: AAA = Izveidots: 20170212205030 Publicēt: 20170212205030 Aktivizēt: 20170212205030

root @ dnslinux: ~ # nano dhcp.key
atslēga dhcp-atslēga {algoritms hmac-md5; slepenais "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/named.conf.local
// // Veiciet šeit jebkuru vietējo konfigurāciju // // Apsveriet iespēju šeit pievienot 1918. gada zonas, ja tās netiek izmantotas jūsu // organizācijā, iekļaujiet "/etc/bind/zones.rfc1918"; ietver "/etc/bind/zones.rfcFreeBSD";
// neaizmirst ... aizmirsu un samaksāju ar kļūdām. ;-)
ietver "/etc/bind/dhcp.key";


zona "mordor.fan" {tipa meistars;
        atļaut atjaunināt {10.10.10.3; atslēga dhcp-atslēga; };
        fails "/var/lib/bind/db.mordor.fan"; }; zona "10.10.10.in-addr.arpa" {tipa meistars;
        atļaut atjaunināt {10.10.10.3; atslēga dhcp-atslēga; };
        fails "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; zona "_msdcs.mordor.fan" {tipa meistars; pārbaudes vārdi tiek ignorēti; fails "/etc/bind/db._msdcs.mordor.fan"; };

root @ dnslinux: ~ # nosaukts-checkconf 
sakne @ dnslinux: ~ #

root @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update stila pagaidu; ddns-atjauninājumi ieslēgti; ddns-domēna nosaukums "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; ignorēt klienta atjauninājumus; autoritatīvs; opcija ip-forwarding off; opcijas domēna nosaukums "mordor.fan"; ietver "/etc/dhcp/dhcp.key"; zona mordor.fan. {primārais 127.0.0.1; atslēga dhcp-atslēga; } zona 10.10.10.in-addr.arpa. {primārais 127.0.0.1; atslēga dhcp-atslēga; } shared-network redlocal {apakštīkls 10.10.10.0 netmask 255.255.255.0 {opciju maršrutētāji 10.10.10.1; opcijas apakštīkls-maska ​​255.255.255.0; opcija apraides adrese 10.10.10.255; opcija domēna nosaukuma-serveri 10.10.10.5; opcija netbios-name-server 10.10.10.5; diapazons 10.10.10.30 10.10.10.250; }} # END dhcpd.conf

root @ dnslinux: ~ # dhcpd -t
Interneta sistēmu konsorcijs DHCP Server 4.3.1. Autortiesības 2004. – 2014. Gada interneta sistēmu konsorcijs. Visas tiesības aizsargātas. Lai iegūtu papildinformāciju, lūdzu, apmeklējiet vietni https://www.isc.org/software/dhcp/ Config file: /etc/dhcp/dhcpd.conf Datubāzes fails: /var/lib/dhcp/dhcpd.leases PID fails: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl restartējiet bind9.service 
root @ dnslinux: ~ # systemctl statuss bind9.service 

root @ dnslinux: ~ # systemctl startēt isc-dhcp-server.service
root @ dnslinux: ~ # systemctl statuss isc-dhcp-server.service

Kas ir saistīts ar Pārbaudes ar klientiem, un Zonas failu manuāla pārveidošana, mēs to atstājam jums, lasītāj draugs, lasīt tieši no DNS un DHCP Debian 8 "Jessie"un piemērojiet to faktiskajiem apstākļiem. Mēs veicām visas nepieciešamās pārbaudes un ieguvām apmierinošus rezultātus. Protams, mēs nosūtām visu to kopijas uz Fuegian. Vairāk nebūs!

Tips

Vispārējs

  • Iegūstiet daudz pacietības, pirms sākat.
  • Vispirms instalējiet un konfigurējiet BIND. Pārbaudiet visu un skatiet visus ierakstus, kurus deklarējāt katrā trīs vai vairāk zonu failā gan no Active Directory, gan no paša DNS servera Linux. Ja iespējams, no Linux mašīnas, kas nav pievienota domēnam, veiciet nepieciešamos DNS vaicājumus BIND.
  • Pievienojieties Windows klientam ar fiksētu IP adresi esošajam domēnam un vēlreiz pārbaudiet visus BIND iestatījumus no Windows klienta.
  • Pēc tam, kad esat neapšaubāmi pārliecināts, ka pavisam jaunā BIND konfigurācija ir pilnīgi pareiza, uzdrošinieties instalēt, konfigurēt un sākt DHCP pakalpojumu.
  • Kļūdu gadījumā atkārtojiet visu procedūru no nulles 0.
  • Esiet piesardzīgs ar kopēšanu un ielīmēšanu! un atlikušās atstarpes katrā nosaukto.conf.xxxx failu rindā
  • Pēc tam viņš nesūdzējās - vēl jo mazāk manam draugam Fuegianam -, ka viņš nav pienācīgi konsultēts.

Citi padomi

  • Sadaliet un iekarojiet.
  • MVU tīklā ir drošāk un izdevīgāk instalēt autoritatīvu BIND iekšējām LAN zonām, kas neatkārtojas nevienam saknes serverim: rekursijas nr;.
  • MVU tīklā, kas atrodas pie interneta piekļuves nodrošinātāja - ISP, iespējams, pakalpojumi Pilnvara y SMTP viņiem ir jāatrisina domēna vārdi internetā. Viņš kalmārs jums ir iespēja deklarēt savu DNS ārēju vai nē, atrodoties pasta serverī, pamatojoties uz Postfix o MDaemon® Mēs varam arī deklarēt DNS serverus, kurus izmantosim šajā pakalpojumā. Šādos gadījumos, tas ir, gadījumos, kas nesniedz pakalpojumus internetam un uz kuriem attiecas a Interneta pakalpojumu sniedzējs, jūs varat instalēt BIND ar Forvarderi norādot uz ISP, un pasludiniet to par sekundāro DNS serveros, kuriem jāatrisina ārējie LAN vaicājumi, pretējā gadījumā tos ir iespējams deklarēt, izmantojot savus konfigurācijas failus.
  • Ja jums ir deleģēta zona uz visu jūsu atbildībuTad vēl viena gaiļa vārna:
    • Instalējiet DNS serveri, pamatojoties uz NSD, kas pēc definīcijas ir autoritatīvs DNS serveris, kas atbild uz vaicājumiem no datoriem internetā. Lai iegūtu kādu informāciju spēju šovs nsd. 😉 Lūdzu, aizsargājiet to ļoti labi, izmantojot tik daudz ugunsmūra, cik nepieciešams. Gan aparatūra, gan programmatūra. Tas būs DNS internetam, un tas «Cars»Mēs nedrīkstam to dot ar zemām biksēm. 😉
    • Tā kā es nekad neesmu sevi redzējis šādā gadījumā, tas ir, pilnībā atbildīgs par deleģēto zonu, man būtu ļoti labi jādomā, ko ieteikt domēnu vārdu izšķiršanai ārpus mūsu LAN pakalpojumiem, kuriem tas nepieciešams . MVU tīkla klientiem tas patiesībā nav vajadzīgs. Konsultējieties ar specializēto literatūru vai šo priekšmetu speciālistu, jo es tālu neesmu viens no viņiem. Nopietni.
    • Autoritāros serveros rekursija nepastāv. Labi?. Gadījumā, ja kādam gadās to darīt ar BIND.
  • Lai gan failā mēs skaidri norādām /etc/dhcp/dhcpd.conf deklarāciju ignorēt klienta atjauninājumus;, ja mēs darbojamies datora konsolē dnslinux.mordor.fan rīkojumu Journalctl -f, mēs to redzēsim, uzsākot klientu win7.mordor.fan mēs saņemam šādus kļūdu ziņojumus:
    • 12. februāris 16:55:41 dnslinux ar nosaukumu [900]: klients 10.10.10.30 # 58762: atjauninājums “mordor.fan/IN” ir liegts
      12. februāris 16:55:42 dnslinux ar nosaukumu [900]: klients 10.10.10.30 # 49763: atjauninājums “mordor.fan/IN” ir liegts
      12. februāris 16:56:23 dnslinux ar nosaukumu [900]: klients 10.10.10.30 # 63161: atjauninājums “mordor.fan/IN” ir liegts
      
    • Lai novērstu šos ziņojumus, mums jādodas uz tīkla kartes konfigurācijas papildu opcijām un jāatzīmē opcija «Reģistrējiet šī savienojuma adreses DNS«. Tas neļaus klientam uz visiem laikiem mēģināt pašreģistrēties Linux DNS un beigsies problēma. Atvainojiet, bet man nav Windows 7 kopijas spāņu valodā. 😉
  • Lai uzzinātu par visiem nopietnajiem un trakajiem vaicājumiem, kurus veic Windows 7 klients, skatiet vietni žurnāls queries.log ka kaut kam mēs to deklarējam BIND konfigurācijā. Pasūtījums būtu:
    • root @ dnslinux: ~ # tail -f /var/log/named/queries.log
  • Ja jūs neļaujat klienta datoriem tieši izveidot savienojumu ar internetu, tad kāpēc jums ir nepieciešami root DNS serveri? Tas ievērojami samazinās komandas izvadi Journalctl -f un no iepriekšējā, ja jūsu autoritārais DNS serveris iekšējām zonām nepieslēdzas tieši internetam, kas ir ļoti ieteicams no drošības viedokļa.
    root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
    root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root
  • Ja jums nav nepieciešama sakņu serveru deklarācija, kāpēc jums nepieciešama rekursija - Rekursijas?
    root @ dnslinux: ~ # nano /etc/bind/named.conf.options
    iespējas {
     ....
     rekursijas nr;
     ....
    };

Konkrēti padomi, par kuriem man joprojām nav lielas skaidrības

El cilvēks dhcpd.conf stāsta mums daudzu citu lietu starpā:

        Atjauninājumu optimizācijas paziņojums

            atjaunināšanas-optimizācijas karodziņš;

            Ja konkrēta klienta atjaunināšanas optimizācijas parametrs ir kļūdains, serveris mēģina DNS atjauninājumu šim klientam katru reizi, kad klients atjauno nomu, nevis mēģina veikt atjaunināšanu tikai tad, kad tas šķiet nepieciešams. Tas ļaus DNS vieglāk sadzīt no datu bāzes pretrunām, taču izmaksas ir tādas, ka DHCP serverim jāveic daudz vairāk DNS atjauninājumu. Mēs iesakām izlasīt šo iespējoto opciju, kas ir noklusējuma opcija. Šī opcija ietekmē tikai pagaidu DNS atjaunināšanas shēmas darbību un neietekmē ad-hoc DNS atjaunināšanas shēmu. Ja šis parametrs nav norādīts vai ir patiess, DHCP serveris tiks atjaunināts tikai tad, kad mainās klienta informācija, klients saņem citu nomas līgumu vai beidzas klienta nomas līgums.

Vairāk vai mazāk precīzs tulkojums vai interpretācija ir atstāta jums, dārgais lasītāj.

Personīgi man ir gadījies - un tas notika šī raksta tapšanas laikā -, kad es saistu BIND ar Active Directory®, tas ir no Microsft® vai Samba 4, ja es mainu Active Directory® domēnā reģistrēta klienta datora nosaukumu vai no AD–DC no Samba 4 tā saglabā savu veco vārdu un IP adresi tiešajā zonā, nevis otrādi, kas ir pareizi atjaunināts ar jauno nosaukumu. Citiem vārdiem sakot, vecie un jaunie vārdi tiešajā zonā tiek kartēti uz vienu un to pašu IP adresi, savukārt otrādi parādās tikai jaunais nosaukums. Lai mani labi saprastu, jums tas jāizmēģina pašiem.

Es domāju, ka tā ir sava veida atriebība Fuegian - lūdzu, ne man, par mēģinājumu migrēt savus pakalpojumus uz Linux.

Protams, vecais nosaukums pazudīs, kad tas beigsies 3600 TTL, vai laiks, ko esam norādījuši DHCP konfigurācijā. Bet mēs vēlamies, lai tas nekavējoties izzustu, kā tas notiek BIND + DHCP bez Active Directory.

Šīs situācijas risinājumu es to atradu, ievietojot paziņojumu update-optimization false; faila augšdaļas beigās /etc/dhcp/dhcpd.conf:

ddns-update stila pagaidu; ddns-atjauninājumi ieslēgti; ddns-domēna nosaukums "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; ignorēt klienta atjauninājumus;
update-optimization false;

Ja kāds Lasītājs par to zina vairāk, lūdzu, apgaismojiet mani. Es to ļoti novērtēšu.

Kopsavilkums

Mums ir ļoti jautri ar šo tēmu, vai ne? Nekādas ciešanas, jo mums BIND darbojas kā DNS serveris Microsoft® tīklā, piedāvājot visus SRV ierakstus un atbilstoši reaģējot uz tiem veiktajiem DNS vaicājumiem. No otras puses, mums ir DHCP serveris, kas piešķir IP adreses un dinamiski pareizi atjaunina BIND zonas.

Bet mēs nevaram jautāt ... šobrīd.

Es ceru, ka mans draugs Fuegian esiet priecīgi un apmierināti ar pirmo soli pārejā uz Linux, lai padarītu Microsoft neciešamās tehniskā atbalsta izmaksas nepanesamas.

Svarīga piezīme

Raksturs "Fuegian»Ir pilnīgi izdomāts un manas iztēles produkts. Jebkura līdzība vai sakritība ar reāliem cilvēkiem ir vienāda: tīra, piespiedu nejaušība no manas puses. Es to izveidoju tikai tāpēc, lai šī raksta rakstīšana un lasīšana būtu mazliet patīkama. Tagad, ja jūs varat man pateikt, ka DNS problēma ir tumša. ℘


13 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   crespo88 teica

    Ļoti spēcīgs, komentāru nav. Tā kā Microsoft DNS nav vajadzīgs. Esi uzmanīgs, lai nesūdzētu tiesā, hahahaha. Paldies par piegādi Fico.

  2.   Federico teica

    Iesūdzi mani? Ļaujiet viņiem redzēt kopā ar EL Fueguino. 😉
    Paldies draugs!!!

  3.   haniball pupa teica

    Vai nebija vienkāršāk instalēt zentyal visai šai aktīvā direktorija daļai?

  4.   dunter teica

    Haha, lielisks formulējums, lai uzstādītu spēcīgo saiti, un es redzu, ka iepriekš komentārā jums ieteica Zentyal, es dodos prom, pirms sākusies šaušana.

    PS: Domēns, kura pamatā ir Windows, ir Mordor, bet, ja mēs uzstādām tīru Samba, tas būtu Gondors vai Rohans, vai ne? 😉

  5.   Federico teica

    Es nevienam neiesaku lietot Zentyal. Izmantojiet Windows, jo tā izmantošana ir realitāte daudzos MVU. Par Zentyal stabilitāti jautājiet manam draugam un kolēģim Dhunteram. 😉

  6.   Federico teica

    Pārliecināts, ka tu to dari, draudzīgais draugs. Ar Samba 4 to sauc par tierramedia.fan. 😉

  7.   Federico teica

    Tiem, kas jau ir lejupielādējuši rakstu, rīkojieties ļoti uzmanīgi, rīkojoties šādi:
    Kur saka
    ; Esiet ļoti piesardzīgs ar sekojošiem ierakstiem
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.3

    Jāsaka pareizi

    ; Esiet ļoti piesardzīgs ar sekojošiem ierakstiem
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.5

    Kolēģis Eduardo Noels bija tas, kurš saprata manu piespiedu kļūdu.

  8.   Federico teica

    Tiem, kas jau ir lejupielādējuši rakstu, rīkojieties ļoti uzmanīgi, rīkojoties šādi:
    Kur saka
    ; Esiet ļoti piesardzīgs ar sekojošiem ierakstiem
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.3

    Jāsaka pareizi

    ; Esiet ļoti piesardzīgs ar sekojošiem ierakstiem
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.5

    Kolēģis Eduardo Noels bija tas, kurš saprata manu piespiedu kļūdu.

  9.   dunter teica

    Tiem, kas plāno izmantot Zentyal kaut kam nopietnam, es brīdinu jūs būt ļoti uzmanīgiem, es izmantoju divus Zentyal 4.2 draiverus (14.04.), Visu atjaunināju un esiet maksimāli piesardzīgs, ļoti retas kļūdas (un vēl retāk ir atbildes projekta bugzilla, jūs liek jums justies stulbiem, izmantojot kaut ko tādu, par ko jūs tik maz novērtējat), viņi kādu laiku bija bez milzīgas atsauksmes, ka es domāju, ka viņi ir pazuduši, un pēkšņi viņi atbrīvo 5.0 bez iespējamas migrācijas no 4.2 ... jauki ...

    Ziņot par kļūdām kopienas versijā nav jēgas, ja vien jūs neskrienat kopā ar izstrādātājiem, vienmēr izmantojot jaunāko versiju, pārbaudiet to: https://tracker.zentyal.org/issues/5080#comment:14

    Galu galā ir jāmirst ar salīdzinoši stabilu versiju un jāsit, līdz tā turpinās, apskatiet lietas, kas manam zentyālam ir kronī:

    0 7 * * 1-6 /sbin/shutdown -r now

    Kā es teicu ... jauki!

    PS: Domāju, ka visu šo darbu es iztērēju, lai izmantotu bezmaksas versiju, domājams, ka apmaksātā versija ir nopietna, taču es domāju, ka tā nav labākā stratēģija lietotāju piesaistīšanai, cits produkts ar līdzīgu biznesa modeli ir Proxmox, un es salīdzināju tā apmaksāto versiju šādām dot naudu projektam, nevis tāpēc, ka bezmaksas versija nepietiek, Proxmox ir dārgakmens.

  10.   Ismaels Alvaress Vongs teica

    Sveiks, Federiko:
    Ar katru jaunu rakstu, kas paceļ pieturu, ejiet it kā ar to nepietiktu ar visu, kas ir ietverts 3 iepriekšējos ierakstos par BIND + DHCP duetu, tagad jūs publicējat šo raksta "bagāžnieks" (atvainojiet mani skaidrojošo) par migrāciju Microsoft DNS uz BIND, kā to atjaunināt no DHCP Linux un visu iepriekš minēto papildināt ar Microsoft Active Directory.
    . Genial todo lo relacionado sobre los registros SRV del DNS de un Active Directory, su zona directa «_msdcs.dominio», como capturar desde Linux los registros de las zonas -o mas- del DNS del AD de Microsoft para crear las Bases de Datos de dichas Zonas en el BIND.
    . Ir ļoti noderīgi iespējot vaicājumu žurnālus BIND konfigurācijā.
    . ĻOTI VĒRTĪGS padoms: Klients, kurš iegūst IP adresi, izmantojot Linux instalētu DHCP, nevarēs atrisināt sava vārda IP adresi, kamēr nav pievienojies Active Directory domēnam. Raksta laboratorijas piemērā vispirms datoram "win7" tiek piešķirta IP adrese 10.10.10.251, lai veiktu domēna "mordor.fan" DNS pārbaudes, pēc tam tas no šī fiksētā IP pievienojas Microsoft AD, lai beidzot, kad Ja DHCP ir instalēts Linux, tas ir tas, kas piešķir tā IP un tajā pašā laikā atjauninājumi "iekļūst" BIND, lai ierakstītu iekārtu reģistru uz priekšu un atpakaļgaitas zonās. PIEEJIET VAIRĀK SĪKĀK, KA NEVAZINAT!
    . Ļoti labi visi apsvērumi par dinamiskajiem atjauninājumiem Microsoft® DNS un BIND; kā arī visi pēdējā sadaļā izskaidrotie padomi un konkrēti visa izstrāde un piedāvātais risinājums «Īpašajai padomei, par kuru man joprojām nav lielas skaidrības».
    ! 5 ZVAIGZNES AUTORAM! un es ar arvien lielāku interesi sekoju PYMES sērijai!

  11.   Federico teica

    Hanters: Uzrakstīja pieredzes balsi. "Prakse ir labākais patiesības kritērijs."

    Vongs: Es jau nokavēju tavu komentāru - raksta papildinājums. Ceru, ka drīz iznāks kāds par dnsmasq.

    Paldies jums abiem par komentāriem.

  12.   crespo88 teica

    Jūs neesat runājis + par partneri ar nosaukumu «El Fueguino», ne arī par viņa lēmumu sākt savu serveru migrāciju. Jūs nozagāt citu Microsoft, hahaha !!!! ????

  13.   Federico teica

    hahahaha draugs crespo88. Es redzu, ka jums patika izdomātā rakstura vilnis. Ja citiem patīk jūs, tas varētu padarīt rakstus par blīvām tēmām izklaidējošāku. Gaidīsim citus komentārus par to.