BIND и Active Directory® - Мрежни мрежи за МСП

Општ индекс на серијата: Компјутерски мрежи за мали и средни претпријатија: Вовед

Здраво пријатели!. Главната цел на овој напис е да покаже како можеме да ја интегрираме DNS услугата заснована на BIND9 во мрежата на Microsoft, многу честа кај многу МСП.

Тоа произлегува од официјалното барање на пријател кој живее во Ла Тиера дел Фуего -Фуегиецот- специјализиран за мрежи на Мајкрософт - вклучени сертификати - за да ве води во овој дел од миграцијата на вашите сервери на Линукс. Трошоците за поддршка Техничар кој плаќа Microsoft® веќе е Неиздржливо за компанијата во која работи и за која тој е негов главен акционер.

Мојот пријател Фуегиецот тој има одлична смисла за хумор, и бидејќи ја виде серијата од три филма «Господарот на прстените»Тој беше воодушевен од многу имиња на неговите темни ликови. Затоа, пријателу читател, немој да бидеш изненаден од имињата на твојот домен и твоите сервери.

За новодојденците на темата и пред да продолжите со читање, препорачуваме да ги прочитате и проучите трите претходни написи за мрежи на МСП:

• DNS и DHCP во openSUSE 13.2 „Арлекин“
• DNS и DHCP на CentOS 7
• DNS и DHCP во Debian 8 „essеси“

Тоа е исто како да гледате три од четирите делови на «Подземјето»Објавено до денес, и дека ова е четврто.

Општи параметри

По неколку размени преку e-mailНајпосле бев јасен за главните параметри на вашата моментална мрежа, а тоа се:

Име на домен mordor.fan Мрежа за LAN 10.10.10.0/24 ====================================== ============================================ Цел на IP адреса на сервери (сервери со оперативен систем Windows) ================================================ =================================== sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Сервер за датотеки Виндоус darklord.mordor.fan. 10.10.10.6 Прокси, портал и заштитен allид на тролот Kerios.mordor.fan. 10.10.10.7 Блог базиран на ... не се сеќавам shadowftp.mordor.fan. 10.10.10.8 FTP сервер blackelf.mordor.fan. 10.10.10.9 Целосна услуга по е-пошта blackspider.mordor.fan. 10.10.10.10 WWW услуга palantir.mordor.fan. 10.10.10.11 Разговор на Openfire за Windows

Побарав дозвола да Фуегиецот да поставам што повеќе псевдоними што е потребно за да го расчистам умот и ми даде дозвола:

Вистински CNAME =============================== Сарон ad-dc Mamba Fileserver darklord proxyweb трол блог shadowftp ftpserver blackelf mail Blackspider www palantir openfire

Ги прогласив сите важни DNS записи во мојата инсталација на Active Directory Windows 2008 што бев принуден да ги имплементирам за да ме упати во правењето на оваа објава.

За Active Directory DNS SRV записи

Регистрите СРВ o Локаторите на услуги - широко користени во Мајкрософт Активниот директориум - се дефинирани во Барање за коментари RFC 2782. Тие овозможуваат локација на услугата заснована врз протоколот TCP / IP преку барање за DNS. На пример, клиент на мрежа на Microsoft може да ја лоцира локацијата на контролорите на доменот - Контролори на домени кои ја обезбедуваат услугата LDAP преку протоколот TCP на портата 389 преку единствено пребарување на DNS.

Нормално е дека во шумите - шуми, и дрвја - Дрвја на голема мрежа на Microsoft има неколку контролори на домен. Преку употреба на SRV записи во различните зони што го сочинуваат просторот за име на домен на таа мрежа, можеме да одржуваме список на сервери кои обезбедуваат слични добро познати услуги, наредени по желба според протоколот за транспорт и портата на секоја од серверите.

Во Барање за коментари RFC 1700 Дефинирани се универзални симболични имиња за добро познати услуги - Добро позната услуга, и имиња како што се «_телнет«,«_smtp»За услуги телнет y SMTP. Ако не е дефинирано симболично име за добро позната услуга, локално име или друго име може да се користи во согласност со преференциите на корисникот.

Целта на секое поле «посебни»Користено во декларацијата на запис за ресурси на SRV е следново:

• Домен: "Pdc._msdcs.mordor.fan.« DNS име на услугата на која се однесува SRV записот. Името на ДНС во примерот значи -повеќе или помалку- Примарен контролер на домен на областа _msdcs.mordor.fan.
• Сервис: "_Ldap". Симболично име на услугата што се дава дефинирана според Барање за коментари RFC 1700.
• Протокол: "_Tcp". Го означува видот на протоколот за транспорт. Типично може да ги земе вредностите _tcp o _здрав, иако -и всушност- било кој тип на протокол за транспорт означен во Барање за коментари RFC 1700. На пример, за услуга разговарате засновано на протокол XMPP, ова поле ќе има вредност од _xmpp.
• Приоритет"0« Прогласете го приоритетот или претпочитањето за Домаќинот што ја нуди оваа услуга што ќе видиме подоцна. Барањата на клиенти на DNS за услугата дефинирана со овој запис SRV, по добивањето на соодветниот одговор, ќе се обидат да го контактираат првиот достапен домаќин со најмал број наведен во полето. Приоритет. Опсегот на вредности што може да ги земе ова поле е 0 на 65535.
• Тежина"100« Може да се користи во комбинација со Приоритет да се обезбеди механизам за балансирање на оптоварување кога има неколку сервери кои обезбедуваат иста услуга. Треба да има сличен SRV запис за секој сервер во датотеката Зона, со неговото име декларирано во полето Домаќинот што ја нуди оваа услуга. Пред серверите со еднакви вредности во полето Приоритет, вредноста на полето Тежина може да се користи како дополнително ниво на претпочитање за да се добие точен избор на сервер за балансирање на оптоварување. Опсегот на вредности што може да ги земе ова поле е 0 на 65535. Ако не е потребно балансирање на оптоварување, на пример, како во случај на еден сервер, се препорачува да се додели вредноста 0 за да се олесни SRV записите за читање.
• Број на пристаниште - Пристаниште"389« Број на пристаниште во Домаќинот што ја нуди оваа услуга што ја обезбедува услугата означена на терен Сервис. Бројот на портата што се препорачува за секој вид на добро позната услуга е означен во Барање за коментари RFC 1700, иако може да потрае вредност помеѓу 0 и 65535.
• Домаќинот што ја нуди оваа услуга - Цел"саурон.mordor.fan.« Го специфицира FQDN што недвосмислено го идентификува домаќин што ја обезбедува услугата означена со записот за SRV. Тип на запис «A»Во просторот за имиња на домени за секоја од нив FQDN од серверот или домаќин што ја обезбедува услугата. Поедноставно, тип на запис A во директната зона (и).
  • Забелешка:
    За авторитативно да се посочи дека услугата одредена со записот SRV не е обезбедена на овој домаќин,.) точка.

Само сакаме да повториме дека правилното работење на мрежа или Active Directory® во голема мера се потпира на правилното работење на услугата за име на домен..

Записи на активниот директориум DNS

За да ги направиме зоните на новиот DNS сервер заснован на BIND, мора да ги добиеме сите DNS записи од Active Directory®. За да го олесниме животот, одиме во тимот саурон.mordor.fan -Active Directory® 2008 SR2- и во Конзолата за администрација на DNS го активираме Zone Transfer -директен и обратен- за главните зони декларирани во овој вид услуга, а тоа се:

• _msdcs.mordor.fan
• мордор.фан
• 10.10.10. во-адреса .рпа

Откако ќе се изврши претходниот чекор и по можност од компјутер со Линукс чија IP адреса е во опсегот на подмрежата што ја користи мрежата на Виндоус, ние извршуваме:

зуи @ sysadmin: dig $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> темп /rrs._msdcs.mordor.fan
зуи @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
зуи @ sysadmin: dig $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa

• Потсетете се од претходните написи дека IP-адресата на уредот sysadmin.fromlinux.fan јас 10.10.10.1 или 192.168.10.1.

Во трите претходни команди можеме да ја елиминираме опцијата 10.10.10.3 -прашајте го DNS серверот со таа адреса- ако се изјасниме во досието /etc/resolv.conf на IP на серверот саурон.mordor.fan:

зуи @ sysadmin: cat $ cat /etc/resolv.conf # Генерирано од пребарување на NetworkManager од linux.fan nameserver 192.168.10.5 nameserver 10.10.10.3

По уредувањето со исклучително внимание, како што одговара на која било зона, во BIND, ќе ги добиеме следниве податоци:

RR-записи од оригиналната зона _msdcs.mordor.fan

зуи @ sysadmin: temp $ cat temp / rrs._msdcs.mordor.fan 
; Во врска со SOA и NS _msdcs.mordor.fan. 3600 ВО SOA саурон.mordor.fan. домаќин.mordor.fan. 12 900 600 86400 3600 _msdcs.mordor.fan. 3600 ВО НС саурон.mordor.fan. ; ; ГЛОБАЛЕН КАТАЛОГ gc._msdcs.mordor.fan. 600 ВО 10.10.10.3; ; Алијаси - во изменетата и приватна база на податоци LDAP на Активен директориум - на SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 ВО ЦЕНАМ саурон.mordor.fan. ; ; Изменет и приватен LDAP на активниот директориум _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 ВО СРВ 0 100 389 саурон.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 ВО СРВ 0 100 389 саурон.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 ВО СРВ 0 100 389 саурон.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 ВО СРВ 0 100 3268 саурон.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 ВО СРВ 0 100 3268 саурон.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 ВО СРВ 0 100 389 саурон.mordor.fan. ; ; Изменет и приватен KERBEROS на Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 ВО СРВ 0 100 88 саурон.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 ВО СРВ 0 100 88 саурон.mordor.fan.

RR записи од оригиналната зона мордор.fan

зуи @ sysadmin: ~ $ temp temp / rrs.mordor.fan 
; Во врска со SOA, NS, MX и записот А што ги мапира; името на доменот до IP на SAURON; Работи од активниот директориум mordor.fan. 3600 ВО SOA саурон.mordor.fan. домаќин.mordor.fan. 48 900 600 86400 3600 мордор.фан. 600 ВО 10.10.10.3 мордор.фан. 3600 ВО НС саурон.mordor.fan. мордор.фан. 3600 IN MX 10 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 ВО НС саурон.mordor.fan. ; ; Исто така, важен А запишува DomainDnsZones.mordor.fan. 600 ВО 10.10.10.3 ForestDnsZones.mordor.fan. 600 ВО 10.10.10.3; ; ГЛОБАЛЕН КАТАЛОГ _gc._tcp.mordor.fan. 600 ВО СРВ 0 100 3268 саурон.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 ВО СРВ 0 100 3268 саурон.mordor.fan. ; ; Изменет и приватен LDAP на активниот директориум _ldap._tcp.mordor.fan. 600 ВО СРВ 0 100 389 саурон.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 ВО СРВ 0 100 389 саурон.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 ВО СРВ 0 100 389 саурон.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 ВО СРВ 0 100 389 саурон.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 ВО СРВ 0 100 389 саурон.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 ВО СРВ 0 100 389 саурон.mordor.fan. ; ; Изменет и приватен KERBEROS на активен директориум _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 ВО СРВ 0 100 88 саурон.mordor.fan. _kerberos._tcp.mordor.fan. 600 ВО СРВ 0 100 88 саурон.mordor.fan. _kpasswd._tcp.mordor.fan. 600 ВО СРВ 0 100 464 саурон.mordor.fan. _kerberos._udp.mordor.fan. 600 ВО СРВ 0 100 88 саурон.mordor.fan. _kpasswd._udp.mordor.fan. 600 ВО СРВ 0 100 464 саурон.mordor.fan. ; ; Запишува А со фиксна IP -> Сервери blackelf.mordor.fan. 3600 ВО 10.10.10.9 blackspider.mordor.fan. 3600 ВО 10.10.10.10 darklord.mordor.fan. 3600 ВО 10.10.10.6 мамба.mordor.fan. 3600 ВО 10.10.10.4 палантир.mordor.fan. 3600 ВО 10.10.10.11 саурон.mordor.fan. 3600 IN A 10.10.10.3 shadowftp.mordor.fan. 3600 ВО Трол 10.10.10.8.mordor.fan. 3600 ВО 10.10.10.7; ; CNAME ги евидентира ад- dc.mordor.fan. 3600 ВО ЦЕНАМ саурон.mordor.fan. блог.mordor.fan. 3600 ВО ЦИНАМ трол.mordor.fan. сервер за датотеки.mordor.fan. 3600 ВО ЦЕНАМ mamba.mordor.fan. ftpserver.mordor.fan. 3600 ВО СИНИМ shadowftp.mordor.fan. пошта.mordor.fan. 3600 ВО ЦЕНАМ balckelf.mordor.fan. отворен оган.mordor.fan. 3600 ВО ЦЕНАМ палантир.mordor.fan. полномошник.mordor.fan. 3600 ВО СИНИМ darklord.mordor.fan. www.mordor.fan. 3600 ВО ЦЕНАМ blackspider.mordor.fan.

RRs записи од оригиналната зона 10.10.10.in-addr.arpa

зуи @ sysadmin: temp $ cat temp / rrs.10.10.10.in-addr.arpa 
; Во врска со SOA и NS 10.10.10.in-addr.arpa. 3600 ВО SOA sauron.mordor.fan. домаќин.mordor.fan. 21 900 600 86400 3600 10.10.10. во-адреса .рпа. 3600 ВО НС саурон.mordor.fan. ; ; ПТР записи 10.10.10.10.in-addr.arpa. 3600 IN PTR blackspider.mordor.fan. 11.10.10.10.во-адреса.арпа. 3600 IN PTR palantir.mordor.fan. 3.10.10.10.ин-адреса .рпа. 3600 ВО ПТР саурон.mordor.fan. 4.10.10.10.ин-адреса .рпа. 3600 ВО ПТР мамба.mordor.fan. 5.10.10.10.in-addr.arpa. 3600 ВО ПТР dnslinux.mordor.fan. 6.10.10.10.in-addr.arpa. 3600 IN PTR darklord.mordor.fan. 7.10.10.10.во-адреса.арпа. 3600 ВО ТТР трол.ородор.фан. 8.10.10.10.во-адреса.арпа. 3600 IN PTR shadowftp.mordor.fan. 9.10.10.10.во-адреса.арпа. 3600 IN PTR blackelf.mordor.fan.

До оваа точка можеме да мислиме дека ги имаме потребните податоци за да продолжиме во нашата авантура, не без претходно да ги набудуваме TTL и други податоци што на многу концизен начин ни ги обезбедува излезот и директното набудување на DNS на битови на Microsoftft® Active Directory® 2008 SR2 64.

Слики на DNS-менаџерот во SAURON

Dnslinux.mordor.fan тим.

Ако погледнеме внимателно, на IP-адресата 10.10.10.5 не му беше доделено име за да биде окупирано од името на новиот ДНС dnslinux.mordor.fan. За да го инсталираме парот DNS и DHCP, можеме да се раководиме од написите DNS и DHCP во Debian 8 „essеси“ y DNS и DHCP на CentOS 7.

Основен оперативен систем

Мојот пријател ФуегиецотПокрај тоа што е вистински специјалист за Microsoft® Windows - тој има неколку издадени сертификати од таа компанија - прочитал и применил во пракса некои од статиите објавени во Од Линукс., и тој ми рече дека тој експресно сака решение засновано на Дебијан. 😉

За да ве задоволиме, ќе започнеме со свежа, чиста инсталација на сервер заснован на Дебиан 8 „Jеси“. Сепак, она што ќе го напишеме следно важи за дистрибуциите на CentOS и openSUSE чии написи ги споменавме порано. BIND и DHCP се исти на секое дистрибуција. Малите варијации се воведени од страна на одржувачите на пакетите во секоја дистрибуција.

Ние ќе ја извршиме инсталацијата како што е наведено во DNS и DHCP во Debian 8 „essеси“, водејќи сметка за користење на IP 10.10.10.5 и мрежата 10.10.10.0/24., дури и пред да го конфигурирате BIND.

Ние го конфигурираме BIND во стилот на Дебијан

/etc/bind/named.conf

Датотеката /etc/bind/named.conf го оставаме како што е инсталирано.

/тнк/обврзан/именуван.conf.опции

Датотеката /тнк/обврзан/именуван.conf.опцијаs треба да се остави со следнава содржина:

корен @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

корен @ dnslinux: ~ # nano /etc/bind/named.conf.options
опции {директориум "/ var / cache / bind"; // Ако има заштитен allид помеѓу вас и серверите за имиња со кои сакате // да разговарате, можеби ќе треба да го поправите заштитениот allид за да дозволите разговор на повеќе // порти. Погледнете http://www.kb.cert.org/vuls/id/800113 // Ако вашиот интернет провајдер обезбеди една или повеќе IP адреси за стабилни // сервери за имиња, веројатно сакате да ги користите како проследувачи. // Откоментирајте го следниот блок и вметнете ги адресите што го заменуваат // заменувањето на местото на сите-0. // пренасочувачи {// 0.0.0.0; //}; // ================================================ ======================= $ // Ако BIND ги евидентира пораките за грешки за истечениот root-клуч, // ќе треба да ги ажурирате клучевите. Погледнете https://www.isc.org/bind-keys // ================================== ======================================= $

    // Не сакаме DNSSEC
        dnssec-не бр;
        //автоматско валидација на dnssec;

        авт-nxdomain бр; # во согласност со RFC1035

 // Не треба да слушаме IPv6 адреси
        // listen-on-v6 {било; };
    слушај-во-в6 {ниедно; };

 // За проверки од localhost и sysadmin
    // преку // копај мордор.фан аксфр // копај 10.10.10.in-addr.arpa axfr // копа _msdcs.mordor.fan axfr // Немаме робови DNS ... до сега
 дозволи-трансфер {localhost; 10.10.10.1; };
};

// Пријавување BIND
најавување {

        пребарувања за канали {
        датотека "/var/log/named/queries.log" верзии 3 големина 1м;
        информации за сериозноста;
        време на печатење да;
        сериозност на печатење да;
        категорија за печатење да;
        };

        грешка за пребарување на каналот {
        датотека "/var/log/named/query-error.log" верзии 3 големина 1м;
        информации за сериозноста;
        време на печатење да;
        сериозност на печатење да;
        категорија за печатење да;
        };

                                
категорија пребарувања {
         пребарувања;
         };

грешки во пребарувањето во категоријата {
         пребарување-грешка;
         };

};

• Ние го воведуваме зафаќањето на логовите BIND како НУЕВО појава во серијата написи на оваа тема. Ние создаваме лпапка и датотеки потребни за Влези на BIND:

корен @ dnslinux: ~ # mkdir / var / log / име
корен @ dnslinux: ~ # допир /var/log/named/queries.log
root @ dnslinux: ~ # допрете /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / names

Ние ја проверуваме синтаксата на конфигурираните датотеки

корен @ dnslinux: ~ # names-checkconf 
корен @ dnslinux: ~ #

/тнк/обврзан/именуван.conf.локален

Ние ја креираме датотеката /etc/bind/zones.rfcFreeBSD со иста содржина како што е наведено во DNS и DHCP во Debian 8 „essеси“.

корен @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

Датотеката /тнк/обврзан/именуван.conf.локален треба да се остави со следнава содржина:

// // Дали некоја локална конфигурација тука // // Размислете за додавање на зоните од 1918 година, ако тие не се користат во вашата // организација
вклучуваат "/etc/bind/zones.rfc1918"; вклучете "/etc/bind/zones.rfcFreeBSD";

зона "mordor.fan" {тип господар; датотека "/var/lib/bind/db.mordor.fan"; }; зона "10.10.10.in-addr.arpa" {тип господар; датотека "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

зона "_msdcs.mordor.fan" {тип господар;
 имињата на чек игнорираат; датотека "/etc/bind/db._msdcs.mordor.fan"; }; корен @ dnslinux: ~ # names-checkconf
корен @ dnslinux: ~ #

Зона на датотеки mordor.fan

корен @ dnslinux: ~ # нано /var/lib/bind/db.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; сериски 1D; освежи 1H; обиди се повторно 1W; истекува 3H); минимум или; Негативно време за кеширање за живеење;
; БИДЕТЕ МНОГУ претпазливи со следните записи
@ IN NS dnslinux.mordor.fan.
@ ВО 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT „Добредојде во мрачниот лан на Мордор“;
_msdcs.mordor.fan. ВО НС dnslinux.mordor.fan.
;
dnslinux.mordor.fan. ВО 10.10.10.5
; ЗАВРШИ МНОГУ ВНИМАНИЕ СО СЛЕДНИТЕ РЕКОРДИ;
DomainDnsZones.mordor.fan. ВО 10.10.10.3 ForestDnsZones.mordor.fan. ВО 10.10.10.3; ; ГЛОБАЛЕН КАТАЛОГ _gc._tcp.mordor.fan. 600 ВО СРВ 0 0 3268 саурон.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 ВО СРВ 0 0 3268 саурон.mordor.fan. ; ; Изменет и приватен LDAP на активниот директориум _ldap._tcp.mordor.fan. 600 ВО СРВ 0 0 389 саурон.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 ВО СРВ 0 0 389 саурон.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 ВО СРВ 0 0 389 саурон.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 ВО СРВ 0 0 389 саурон.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 ВО СРВ 0 0 389 саурон.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 ВО СРВ 0 0 389 саурон.mordor.fan. ; ; Изменет и приватен KERBEROS на активен директориум _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 ВО СРВ 0 0 88 саурон.mordor.fan. _kerberos._tcp.mordor.fan. 600 ВО СРВ 0 0 88 саурон.mordor.fan. _kpasswd._tcp.mordor.fan. 600 ВО СРВ 0 0 464 саурон.mordor.fan. _kerberos._udp.mordor.fan. 600 ВО СРВ 0 0 88 саурон.mordor.fan. _kpasswd._udp.mordor.fan. 600 ВО СРВ 0 0 464 саурон.mordor.fan. ; ; Запишува А со фиксна IP -> Сервери blackelf.mordor.fan. ВО 10.10.10.9 blackspider.mordor.fan. ВО 10.10.10.10 darklord.mordor.fan. ВО 10.10.10.6 мамба.mordor.fan. ВО 10.10.10.4 палантир.mordor.fan. ВО 10.10.10.11
саурон.mordor.fan. ВО 10.10.10.3
shadowftp.mordor.fan. ВО Трол 10.10.10.8.mordor.fan. ВО 10.10.10.7; ; CNAME ги евидентира ад- dc.mordor.fan. ВО ЦНАМЕ саурон.mordor.fan. блог.mordor.fan. ВО ТНОМСКИ трол.mordor.fan. сервер за датотеки.mordor.fan. ВО ЦЕНАМ mamba.mordor.fan. ftpserver.mordor.fan. ВО СИНИМ shadowftp.mordor.fan. пошта.mordor.fan. ВО ЦЕНАМ балкелф.ордор.фан. openfire.mordor.fan. ВО ЦЕНАМ палантир.mordor.fan. полномошник.mordor.fan. ВО ЦНАМЕ darklord.mordor.fan. www.mordor.fan. ВО ЦЕНАМ blackspider.mordor.fan.

корен @ dnslinux: ~ # име-контролна зона мордор.fan /var/lib/bind/db.mordor.fan 
зона мордор.fan/IN: вчитан сериски 1 Добро

Времињата 600 TTL од сите регистри за SRV, ќе ги чуваме во случај да инсталираме Slave BIND во наскоро. Тие записи претставуваат услуги на Active Directory® кои главно читаат податоци од вашата база на податоци LDAP. Бидејќи таа база на податоци често се менува, времињата за синхронизација мора да бидат кратки, во шемата Master - Slave DNS. Според филозофијата на Мајкрософт забележана од Active Directory 2000 до 2008 година, вредноста од 600 се одржува за овие типови SRV записи.

На TTL на серверите со фиксна IP, тие се под декларираното време во SOA од 3 часа.

Досие за зони 10.10.10.in-addr.arpa

корен @ dnslinux: ~ # нано /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; сериски 1D; освежи 1H; обиди се повторно 1W; истекува 3H); минимум или; Негативно време за кеширање за живеење; @ IN NS dnslinux.mordor.fan. ; 10 ВО PTR blackspider.mordor.fan. 11 ВО ПТР палантир.mordor.fan. 3 ВО ПТР саурон.mordor.fan. 4 ВО ПТР мамба.mordor.fan. 5 ВО ПТР dnslinux.mordor.fan. 6 ВО PTR darklord.mordor.fan. 7 ВО ТТР трол.ородор.фан. 8 ВО ПТР shadowftp.mordor.fan. 9 ВО PTR blackelf.mordor.fan.

root @ dnslinux: ~ # names-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
зона 10.10.10.in-addr.arpa/IN: вчитан сериски 1 Добро

Датотека за зона _msdcs.mordor.fan

Ајде да земеме предвид што се препорачува во датотеката /usr/share/doc/bind9/README.Debian.gz За локацијата на датотеките во Главните зони кои не се подложени на динамички ажурирања од DHCP.

корен @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; сериски 1D; освежи 1H; обиди се повторно 1W; истекува 3H); минимум или; Негативно време за кеширање за живеење; @ IN NS dnslinux.mordor.fan. ; ; ; ГЛОБАЛЕН КАТАЛОГ gc._msdcs.mordor.fan. 600 ВО 10.10.10.3; ; Алијаси - во изменетата и приватна база на податоци LDAP на Активен директориум - на SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 ВО ЦЕНАМ саурон.mordor.fan. ; ; Изменет и приватен LDAP на активниот директориум _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 ВО СРВ 0 100 389 саурон.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 ВО СРВ 0 100 389 саурон.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 ВО СРВ 0 100 389 саурон.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 ВО СРВ 0 100 3268 саурон.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 ВО СРВ 0 100 3268 саурон.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 ВО СРВ 0 100 389 саурон.mordor.fan. ; ; Изменет и приватен KERBEROS на Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 ВО СРВ 0 100 88 саурон.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 ВО СРВ 0 100 88 саурон.mordor.fan.

Ние ја проверуваме синтаксата и можеме да ја игнорираме грешката што ја враќа, бидејќи во конфигурацијата на оваа зона во датотеката /тнк/обврзан/именуван.conf.локален ја вклучуваме изјавата имињата на чек игнорираат;. Зоната ќе биде правилно натоварена од BIND.

root @ dnslinux: ~ # names-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: лошо име на сопственик (провери-имиња) зона _msdcs.mordor.fan/IN: вчитан сериски 1 Добро

root @ dnslinux: ~ # systemctl рестартирајте го bind9.service 
корен @ dnslinux: ~ # systemctl статус bind9.service 
● bind9.service - Сервер за BIND Name Domain е натоварен: натоварен (/lib/systemd/system/bind9.service; овозможено) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ names.conf Активно: активен (трчање) од Сонце 2017-02-12 08:48:38 ЕСТ; Пред 2s Документи: човек: именуван (8) Процес: 859 ExecStop = / usr / sbin / rndc стоп (код = излезен, статус = 0 / УСПЕХ) Главен PID: 864 (со име) CGрупа: /system.slice/bind9.service 864 / usr / sbin / именуван -f -u bind 12 февруари 08:48:38 dnslinux именуван [864]: зона 3.efip6.arpa/IN: натоварен сериски 1 февруари 12 08:48:38 dnslinux име [864 ]: зона befip6.arpa/IN: натоварен сериски 1 февруари 12 08:48:38 денслинукс со име [864]: зона 0,efip6.arpa/ИН: вчитан сериски 1 февруари 12 08:48:38 днслинукс именувани [864]: зона 7.efip6.arpa/IN: вчитан сериски 1 февруари 12 08:48:38 денслинукс со име [864]: зона мордор. фан / ИН: натоварен сериски 1 февруари 12 08:48:38 днслинукс именувани [864]: пример зона .org / IN: вчитан сериски 1 февруари 12 08:48:38 Днслинукс со име [864]: зона _msdcs.mordor.fan/IN: вчитан сериски 1 февруари 12 08:48:38 Днслинукс со име [864]: зона е неважечка / ВО : натоварено сериско 1 февруари 12 08:48:38 денслинукс со име [864]: наполнети се сите зони
12 февруари 08:48:38 денслинкс со име [864]: работи

Ние се консултираме со BIND

Пред тоа По инсталирањето на DHCP, мора да извршиме серија проверки кои вклучуваат дури и приклучување на клиент за Windows 7 во доменот мордор.фан претставена од Active Directory инсталиран на компјутерот саурон.mordor.fan.

Првото нешто што треба да направите е да ја запрете услугата DNS на компјутерот саурон.mordor.fan, и изјавете во вашиот мрежен интерфејс дека отсега вашиот DNS-сервер ќе биде 10.10.10.5 dnslinux.mordor.fan.

Во конзола на самиот сервер саурон.mordor.fan ние извршуваме:

Microsoft Windows [верзија 6.1.7600]
Авторски права (c) 2009 Microsoft Corporation. Сите права се задржани.

C: \ Корисници \ Администратор> nslookup
Стандарден сервер: dnslinux.mordor.fan Адреса: 10.10.10.5

> gc._msdcs
Сервер: dnslinux.mordor.fan Адреса: 10.10.10.5 Име: gc._msdcs.mordor.fan Адреса: 10.10.10.3

> мордор.фан
Сервер: dnslinux.mordor.fan Адреса: 10.10.10.5 Име: mordor.fan Адреса: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Сервер: dnslinux.mordor.fan Адреса: 10.10.10.5 Име: sauron.mordor.fan Адреса: 10.10.10.3 псевдоними: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> тип на поставување = SRV
> _kerberos._tcp.Default-Прво-име-име._sites.dc._msdcs
Сервер: dnslinux.mordor.fan Адреса: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan СРВ локација на мраз: приоритет = 0 тежина = 100 порта = 88 свр името на домаќинот = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan Интернет адреса = 10.10.10.3 dnslinux.mordor.fan Интернет адреса = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Сервер: dnslinux.mordor.fan Адреса: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV локација на услуга: приоритет = 0 тежина = 100 порта = 389 svr име на домаќин = sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan Интернет адреса = 10.10.10.3 dnslinux.mordor.fan Интернет адреса = 10.10.10.5
> излез

C: \ Корисници \ Администратор>

DNS пребарувања направени од саурон.mordor.fan се задоволителни.

Следниот чекор ќе биде создавање на друга виртуелна машина со инсталиран Виндоус 7. Бидејќи сè уште ја немаме инсталирано DHCP услугата, ќе му дадеме на компјутерот со име «win7»IP адресата 10.10.10.251. Ние исто така изјавуваме дека вашиот DNS-сервер ќе биде 10.10.10.5 dnslinux.mordor.fan, и дека доменот за пребарување ќе биде мордор.фан. Ние нема да го регистрираме тој компјутер во DNS затоа што ќе го користиме и за тестирање на DHCP услугата откако ќе ја инсталираме.

Следно отвораме конзола CMD и во него извршуваме:

Microsoft Windows [верзија 6.1.7601]
Авторски права (c) 2009 Microsoft Corporation. Сите права се задржани.

C: \ Корисници \ buzz> nslookup
Стандарден сервер: dnslinux.mordor.fan Адреса: 10.10.10.5

> мордор.фан
Сервер: dnslinux.mordor.fan Адреса: 10.10.10.5 Име: mordor.fan Адреса: 10.10.10.3

> тип на поставување = SRV
> _ldap._tcp.DomainDnsZones
Сервер: dnslinux.mordor.fan Адреса: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan Локација на услугата SRV: приоритет = 0 тежина = 0 порта = 389 svr име на домаќин = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fan sauron.mordor.fan интернет адреса = 10.10.10.3 dnslinux.mordor.fan Интернет адреса = 10.10.10.5
> _kpasswd._udp
Сервер: dnslinux.mordor.fan Адреса: 10.10.10.5 _kpasswd._udp.mordor.fan Локација на услугата SRV: приоритет = 0 тежина = 0 порта = 464 svr име на домаќин = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan интернет-адреса sauron.mordor.fan = 10.10.10.3 dnslinux.mordor.fan Интернет адреса = 10.10.10.5
> _ldap._tcp.Default-Прво-име-на-страница._сајти.СумскиДнЗЗони
Сервер: dnslinux.mordor.fan Адреса: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan СРВ локација на мраз: приоритет = 0 тежина = 0 порта = 389 svr име на домаќин = сарон. Интернет адреса mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan Интернет = 10.10.10.3 dnslinux.mordor.fan Интернет адреса = 10.10.10.5
> излезете

C: \ Корисници \ зуи>

ДНС-пребарувања направени од клиентот «win7»Беа и задоволителни.

Во Активниот директориум го создаваме корисникот «саруман«, Со цел да го искористиме при приклучување кон клиентот win7 до доменот мордор.фан., користејќи го методот «ID на мрежата«, Користење на кориснички имиња saruman@mordor.fan y администратор@mordor.fan. Придружувањето беше успешно и се докажува со следната слика од екранот:

За динамичките ажурирања во Microsoft® DNS и BIND

Бидејќи ја запревме услугата DNS во Active Directory®, не беше можно за клиентот «win7»Регистрирајте го вашето име и IP адреса во тој ДНС. Многу помалку во dnslinux.mordor.fan бидејќи не дадовме никаква изјава дозволи-ажурирај за која било од вклучените области.

И тука беше формирана добрата борба со мојот пријател Фуегиецот. Во мојата прва е-пошта за овој аспект коментирав:

• Написите на Мајкрософт за употреба на BIND и Active Directory® препорачуваат да се ажурираат, особено Директната зона -навлезе- директно од клиенти на Виндоус кои се веќе приклучени на доменот Активен директориум.
• Затоа, стандардно, во зоните DNS на Active Directory® Secure Dynamic Updates се дозволени од клиенти на Виндоус веќе приклучени на доменот Активен директориум. Доколку не се обединети, тие се воздржуваат од последиците.
• DNS-от на активниот директориум поддржува динамички ажурирања „Само безбедно“, „Несигурен и безбеден“ или „Ништо“ што е исто како да кажувате НЕ ажурирања или ништо.
• Да навистина филозофијата на „Мајкрософт“ не се согласува дека нејзините клиенти НЕ ќе ги ажурираат своите податоци во нивните DNS (а), тоа не ја остава отворена можноста за оневозможување на динамички ажурирања во нивните DNS (а), освен доколку таа опција ќе бидат оставени за повеќе скриени цели.
• Мајкрософт нуди „Безбедност“ во замена за Црнила, како што ми рече колега и пријател кој поминал курсеви за сертификати на „Микрофт“. Вистина. Покрај тоа, Ел Фуегино ми потврди.
• Клиент што ќе добие IP адреса преку DHCP инсталирана на машина UNIX® / Linux, на пример, нема да може да ја реши IP-адресата на своето име сè додека не се приклучите на доменот Active Directory, сè додека Microsoft® или BIND се користи како DNS без динамички ажурирања од DHCP.
• Ако инсталирам DHCP во самиот Active Directory®, тогаш мора да изјавам дека зоните се ажурирани од Microsoft® DHCP.
• Ако користиме BIND како DNS за мрежата на Виндоус, логично е и се препорачува да го инсталираме дуото BIND-DHCP, со последното динамично ажурирање на BIND и заклучувањето на работата.
• Во светот на мрежите LAN на UNIX® / Linux, откако се измислени динамички ажурирања на BIND, дозволен е само г. DHCP «навлезе»На г-ѓа Бинд со нејзините новости. Опуштеноста што е со цел, ве молам.
• Кога ќе се изјаснам во зоната мордор.фан на пример: дозволи-ажурирај {10.10.10.0/24; };, Самиот BIND ме известува при започнување или рестартирање дека:

  • зоната „mordor.fan“ дозволува ажурирања по IP адреса, што е несигурно

• Во сакралниот свет UNIX® / Linux, таквиот солен со DNS е едноставно недопустлив.

Можете да го замислите остатокот од размената со мојот пријател Фуегиецот преку пораки, Телеграмски разговор, телефонски повици платени од него (секако човек, немам килограм за тоа), па дури и пораки преку гулаби-носачи во XXI век!

Тој дури се закани дека нема да ми испрати син на своето милениче, неговата Игуана «Petra»Дека тој ми вети како дел од плаќањето. Таму навистина се исплашив. Така, започнав повторно, но од друг агол.

• Активниот директориум „скоро“ што може да се постигне со Samba 4, го решава овој аспект на мајсторски начин, како кога го користиме неговиот внатрешен DNS, или BIND составен за поддршка на зоните DLZ - Натоварени зони на Динамиц, или динамички наполнети зони.
• Продолжува да страда од истото: кога клиентот ќе добие IP адреса преку DHCP инсталиран во други UNIX® / Linux машина, нема да можете да ја решите IP адресата на вашето име сè додека не се приклучи на доменот на Samba 4 AD-DC.
• Интегрирајте ги двоецот BIND-DLZ и DHCP на истата машина каде што е АД-ДЦ Самба 4 тоа е работа за вистински специјалист.

Фуегиецот Ме повика на поглавје и ми викна: НЕ зборуваме АД-ДЦ Самба 4, но Microsoft® Active Directory®! И јас понизно одговорив дека сум воодушевен од дел од следниве статии што ќе ги напишам.

Тогаш му реков дека конечната одлука за динамички ажурирања за клиент компјутерите на неговата мрежа е оставена на неговата слободна волја. Дека јас само би му го дал Совет напишано претходно за дозволи-ажурирај {10.10.10.0/24; };, и повеќе ништо. Дека не бев одговорен за тоа што произлезе од тој промискуитет што секој клиент на Виндоус - или Линукс - во својата мрежа «ќе навлезе»Со неказнивост на БИНД.

Да знаевте, пријателу, читател, тоа беше крајната точка на тепачката, немаше да веруваш. Мојот пријател Фуегиецот тој го прифати решението - и тој ќе ми испрати игуана «Петрица«- што сега го споделувам со вас.

Ние инсталираме и конфигурираме DHCP

За повеќе детали прочитајте DNS и DHCP во Debian 8 „essеси“.

root @ dnslinux: ~ # способност инсталирај isc-dhcp-сервер

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-сервер .... # На кои интерфејси DHCP-серверот (dhcpd) треба да опслужува барања за DHCP? # Одделете повеќе интерфејси со празни места, на пр. "Eth0 eth1". ИНТЕРФЕЈСИ = "eth0" корен @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
Kdhcp-клуч. + 157 + 29836

корен @ dnslinux: cat # мачка Kdhcp-клуч. +157 + 29836. приватен
Формат на приватен клуч: алгоритам v1.3: 157 (HMAC_MD5) Клуч: 3HT / bg / 6YwezUShKYofj5g == Битови: AAA = Создадено: 20170212205030 Објавување: 20170212205030 Активирај: 20170212205030

корен @ dnslinux: ~ # nano dhcp.key
клуч dhcp-клуч {алгоритам hmac-md5; тајна "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # инсталирај -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

корен @ dnslinux: # nano /etc/bind/named.conf.local
// // Дали некоја локална конфигурација тука // // Размислете за додавање на зоните од 1918 година, ако тие не се користат во вашата // организација, вклучете "/etc/bind/zones.rfc1918"; вклучете "/etc/bind/zones.rfcFreeBSD";
// Не заборавајте ... заборавив и платив со грешки. ;-)
вклучуваат "/etc/bind/dhcp.key";


зона "mordor.fan" {тип господар;
        дозволи-ажурирај {10.10.10.3; клуч dhcp-клуч; };
        датотека "/var/lib/bind/db.mordor.fan"; }; зона "10.10.10.in-addr.arpa" {тип господар;
        дозволи-ажурирај {10.10.10.3; клуч dhcp-клуч; };
        датотека "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; зона "_msdcs.mordor.fan" {тип господар; имињата на чек игнорираат; датотека "/etc/bind/db._msdcs.mordor.fan"; };

корен @ dnslinux: ~ # names-checkconf 
корен @ dnslinux: ~ #

корен @ dnslinux: # nano /etc/dhcp/dhcpd.conf
привремена во стилот на ажурирање ddns; ddns-надградби вклучени; ddns-име на домен "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; игнорирај ги ажурирањата на клиентите; авторитетен; исклучено ip-проследување опција; име на домен на опции "mordor.fan"; вклучуваат "/etc/dhcp/dhcp.key"; зона мордор.фан. {основно 127.0.0.1; клуч dhcp-клуч; } зона 10.10.10.in-addr.arpa. {основно 127.0.0.1; клуч dhcp-клуч; } споделена-мрежа релокална {подмрежа 10.10.10.0 мрежна маска 255.255.255.0 {рутери на опции 10.10.10.1; опција подмрежа-маска 255.255.255.0; опција за емитување-адреса 10.10.10.255; опции-име-домен-сервери 10.10.10.5; опција netbios-name-сервери 10.10.10.5; опсег 10.10.10.30 10.10.10.250; }} # КРАЈ dhcpd.conf

корен @ dnslinux: ~ # dhcpd -t
Конзорциум за Интернет системи DHCP сервер 4.3.1 Авторски права 2004-2014 Конзорциум за Интернет системи. Сите права се задржани. За информации, посетете ја https://www.isc.org/software/dhcp/ Конфигурациска датотека: /etc/dhcp/dhcpd.conf Датотека со базата на податоци: /var/lib/dhcp/dhcpd.leases PID-датотека: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl рестартирајте го bind9.service 
корен @ dnslinux: ~ # systemctl статус bind9.service 

root @ dnslinux: ~ # systemctl start isc-dhcp-server.service
root @ dnslinux: ~ # systemctl статус isc-dhcp-сервер.сервис

Со што е поврзано Проверки со клиенти, и на Рачна модификација на датотеките во зоната, оставаме на вас, читател пријател, да го прочитате директно од DNS и DHCP во Debian 8 „essеси“, и применувајте го на вашите вистински услови. Ние ги извршивме сите потребни проверки и добивме задоволителни резултати. Се разбира дека испраќаме копија од сите нив до Фуегиецот. Нема повеќе да има!

совети

Генералниот

• Добијте многу трпеливост пред да започнете.
  
• Прво инсталирајте го и конфигурирајте го BIND. Проверете сè и видете ги сите записи што ги објавивте во секоја датотека од трите или повеќе зони, и од Активниот директориум и од самиот DNS сервер на Linux. Ако е можно, од машина за Linux што не е приклучена на доменот, направете ги потребните пребарувања за DNS до BIND.
  
• Придружете се на клиент за Windows со фиксна IP адреса на постојниот домен и повторно проверете ги сите поставки за BIND од клиентот за Windows.
• Откако ќе бидете несомнено сигурни дека конфигурацијата на вашиот нов BIND е потполно точна, потрудете се да ја инсталирате, конфигурирате и стартувате DHCP услугата.
• Во случај на грешки, повторете ја целата постапка од нула 0.
• Бидете внимателни со копирањето и залепете! и преостанатите празни места во секоја линија од именуваните датотеки.conf.xxxx
  
• После тоа, тој не се пожали - уште помалку на мојот пријател Фуегиецот - дека не е соодветно советуван.

Други совети

• Поделете се и освојувајте.
• Во МСП-мрежата е побезбедно и поповолно да инсталирате Авторитативен BIND за зоните за внатрешни LAN што не се повторува на ниту еден root сервер: рекурзија бр;.
• Во МСП мрежа лоцирана под Давател на пристап до Интернет - интернет провајдер, можеби услугите Меѓу y SMTP тие треба да ги решат имињата на домените на Интернет. Тој Медузата имате опција да го прогласите вашиот DNS за надворешен или не, додека сте на сервер за пошта врз основа на Постфикс o MDaemon® Ние исто така можеме да ги прогласиме DNS-серверите што ќе ги користиме во таа услуга. Во вакви случаи, односно случаи кои не даваат услуги на Интернет и се под а Интернет-провајдер, можете да инсталирате BIND со Шпедитери покажувајќи на ДНС на интернет провајдер, и декларирајте го како секундарен DNS во серверите што треба да ги решат надворешните пребарувања на LAN, во спротивно е можно да ги декларирате преку нивните датотеки за конфигурација.
• Доколку имате делегирана зона под ваша целосна одговорностПотоа уште една петелска врана:
  • Инсталирајте DNS сервер врз основа на НСД, кој по дефиниција е авторитативен DNS сервер, кој реагира на пребарувања од компјутери на Интернет. За некои информации покажуваат способности nsd. 😉 Ве молиме заштитете го многу добро со оган fireидови колку што е потребно. И хардвер и софтвер. Тоа ќе биде ДНС за Интернет, и дека «лице»Не смееме да го даваме со ниски панталони. 😉
  • Бидејќи никогаш не сум се видел во ваков случај, т.е. тотално одговорен за делегирана зона, би морал многу добро да размислувам што да препорачам за решавање на имиња на домени надворешни на нашата LAN за услугите што им се потребни . На клиентите на МСП мрежата навистина не им требаат. Консултирајте се со специјализирана литература или специјалист по овие предмети, бидејќи јас сум далеку од тоа да бидам еден од нив. Сериозно.
  • Рекурзијата не постои на авторитарните сервери. Добро?. Во случај некој да се случи да го стори тоа со БИНД.
• Иако ние експлицитно прецизираме во датотеката /etc/dhcp/dhcpd.conf декларацијата игнорирај ги ажурирањата на клиентите;, ако работиме на компјутерска конзола dnslinux.mordor.fan редот весник -ф, ќе видиме дека при стартување на клиентот win7.mordor.fan ги добиваме следниве пораки за грешка:

  • 12 фев. 16:55:41 денслинкс со име [900]: клиент 10.10.10.30 # 58762: ажурирањето „mordor.fan/IN“ е одбиено
    12 фев. 16:55:42 денслинкс со име [900]: клиент 10.10.10.30 # 49763: ажурирањето „mordor.fan/IN“ е одбиено
    12 фев. 16:56:23 денслинкс со име [900]: клиент 10.10.10.30 # 63161: ажурирањето „mordor.fan/IN“ е одбиено
    

  • За да ги елиминираме овие пораки, мора да одиме во напредните опции за конфигурација на мрежната картичка и да ја одштиклираме опцијата «Регистрирајте ги адресите на оваа врска во DNS« Тоа ќе го спречи клиентот да се обиде самостојно да се регистрира во Linux DNS и крајот на проблемот. Извинете, но немам копија од Виндоус 7 на шпански јазик. 😉
• За да дознаете за сите сериозни - и луди - прашања што ги прави клиент за Виндоус 7, проверете на дневници за пребарување.логирање дека за нешто го декларираме во конфигурацијата BIND. Нарачката ќе биде:

  • корен @ dnslinux: ~ # tail -f /var/log/named/queries.log

• Ако не дозволите компјутерите на вашите клиенти да се поврзат директно на Интернет, тогаш зошто ви се потребни Root DNS-серверите? Ова значително ќе го намали излезот на командата весник -ф и од претходниот, ако вашиот авторитарен DNS-сервер за внатрешните зони не се поврзе директно на Интернет, што е препорачливо од безбедносна гледна точка.

  корен @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
  корен @ dnslinux: ~ # cp / dev / null /etc/bind/db.root

• Ако не ви е потребна декларација за root серверите, тогаш зошто ви е потребна Recursion - Рекурзија?

  корен @ dnslinux: ~ # nano /etc/bind/named.conf.options
  опции {
   ....
   рекурзија бр;
   ....
  };

Специфични совети за кои сè уште не сум многу јасен

El човек dhcpd.conf ни го кажува следново, меѓу многу-многу други работи:

        Изјава за оптимизација на ажурирање

            знаме за оптимизација на ажурирање;

            Ако параметарот за оптимизација на ажурирање е погрешен за даден клиент, серверот ќе се обиде со DNS ажурирање за тој клиент секој пат кога клиентот го обновува договорот, наместо само да се обидува со ажурирање кога се чини дека е потребно. Ова ќе овозможи полесно заздравување на DNS од недоследности во базата на податоци, но цената е дека DHCP серверот мора да направи уште многу ажурирања на DNS. Препорачуваме да ја прочитате оваа опција вклучена, што е стандардно. Оваа опција влијае само на однесувањето на привремената шема за ажурирање на DNS и нема никакво влијание врз ад-хок шемата за ажурирање на DNS. Ако овој параметар не е наведен или е точен, DHCP-серверот ќе се ажурира само кога ќе се сменат информациите на клиентот, клиентот добива поинаков закуп или истекува лизингот на клиентот.

Повеќето или помалку точните преводи или интерпретации ви се оставени на вас, драг читател.

Лично, ми се случи - и тоа се случи при изработката на овој напис - кога поврзувам BIND со Active Directory®, тоа е од „Микрофт“ или „Самба 4“, ако го сменам името на компјутерски клиент регистриран во доменот „Активен директориум“ или на АД-ДЦ од Самба 4, ги чува старото име и IP-адресата во Директната зона, а не обратно, што е правилно ажурирано со новото име. Со други зборови, старите и новите имиња се мапираат на истата IP адреса во Директната зона, додека во обратна страна се појавува само новото име. За да ме разберете добро, мора сами да го пробате.

Мислам дека тоа е еден вид одмазда кон Фуегиецот -не кај мене, те молам- за обидот да ги мигрираш твоите услуги на Linux.

Се разбира, старото име ќе исчезне кога е 3600 TTL, или времето што го деклариравме во конфигурацијата DHCP. Но, ние сакаме да исчезне веднаш како што се случува во BIND + DHCP без активен директориум преку.

Решението за таа ситуација го најдов со вметнување на изјавата оптимизација за ажурирање неточно; на крајот од горниот дел на датотеката /etc/dhcp/dhcpd.conf:

привремена во стилот на ажурирање ddns; ddns-надградби вклучени; ddns-име на домен "mordor.fan."; ddns-rev-domain name "in-addr.arpa."; игнорирај ги ажурирањата на клиентите;
оптимизација за ажурирање неточно;

Ако некој читател знае повеќе за тоа, ве молам, просветлете ме. Willе го ценам многу.

Краток преглед

Многу се забавувавме со оваа тема, нели? Без страдања затоа што имаме BIND што работи како DNS сервер во мрежа Microsoft®, нудијќи ги сите SRV записи и соодветно реагирајќи на DNS пребарувањата што им се дадени. Од друга страна, имаме DHCP сервер кој доделува IP адреси и правилно ги ажурира BIND зоните.

Но, не можеме да прашаме ... за моментот.

Се надевам пријателе Фуегиецот бидете среќни и задоволни со првиот чекор во вашата миграција кон Linux за да ги направите неподносливите трошоци за техничката поддршка на Microsoftft® подносливи.

Важна нота

Карактер "Фуегиецот»Е целосно измислен и производ на мојата имагинација. Секоја сличност или совпаѓање со вистински луѓе е иста работа: Чиста неволна случајност од моја страна. Јас само го создадов за да го направам пишувањето и читањето на овој напис малку пријатно. Сега, ако можете да ми кажете дека проблемот со ДНС е мрачен,