BIND dan Active Directory® - Rangkaian PKS

Indeks umum siri: Rangkaian Komputer untuk PKS: Pengenalan

Helo kawan !. Objektif utama artikel ini adalah untuk menunjukkan bagaimana kita dapat mengintegrasikan perkhidmatan DNS berdasarkan BIND9 dalam rangkaian Microsoft, sangat umum di banyak UKM.

Ini timbul dari permintaan rasmi rakan yang tinggal di La Tierra del Fuego -The Fuegian- khusus dalam Rangkaian Microsoft® -Sijil disertakan- untuk membimbing anda dalam bahagian penghijrahan pelayan anda ke Linux. Kos sebanyak sokongan Juruteknik yang membayar Microsoft® sudah Tidak tertanggung untuk Syarikat di mana dia bekerja dan di mana dia adalah Pemegang Saham Utama.

Kawan saya The Fuegian mempunyai rasa humor yang hebat, dan sejak dia melihat siri tiga filem «Tuan cincin»Dia terpikat dengan banyak nama watak gelapnya. Oleh itu, rakan Pembaca, jangan terkejut dengan nama domain dan pelayan anda.

Untuk pendatang baru dalam topik ini, dan sebelum meneruskan pembacaan, kami mengesyorkan agar anda membaca dan mempelajari tiga artikel sebelumnya di SME Networks:

Ia seperti menonton tiga daripada empat bahagian «Dunia Bawah»Diterbitkan sehingga hari ini, dan ini adalah yang keempat.

Parameter umum

Setelah beberapa pertukaran melalui e-mel, akhirnya saya jelas mengenai parameter utama rangkaian semasa anda, iaitu:

Nama domain mordor.fan LAN Network 10.10.10.0/24 ==================================== =========================================== Tujuan Alamat IP Pelayan (Pelayan dengan OS Windows) ================================================ =============================== sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Pelayan fail Windows darklord.mordor.fan. 10.10.10.6 Proksi, gerbang dan firewall di Kerios troll.mordor.fan. 10.10.10.7 Blog berdasarkan ... tidak ingat shadowftp.mordor.fan. 10.10.10.8 Pelayan FTP blackelf.mordor.fan. 10.10.10.9 Perkhidmatan e-mel penuh blackspider.mordor.fan. 10.10.10.10 Perkhidmatan WWW palantir.mordor.fan. 10.10.10.11 Berbual di Openfire untuk Windows

Saya meminta izin untuk The Fuegian untuk menetapkan seberapa banyak Alias ​​yang diperlukan untuk membersihkan fikiran saya dan memberi izin kepadanya:

CNAME sebenar ============================== sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

Saya menyatakan semua rekod DNS penting dalam pemasangan Active Directory Windows 2008 yang terpaksa saya laksanakan untuk membimbing saya dalam membuat catatan ini.

Mengenai rekod SRV DNS Direktori Aktif

Daftar SRV o Pencari Perkhidmatan - digunakan secara meluas dalam Direktori Aktif Microsoft - didefinisikan dalam Permintaan untuk Komen RFC 2782. Mereka membenarkan lokasi perkhidmatan berdasarkan protokol TCP / IP melalui pertanyaan DNS. Sebagai contoh, pelanggan di rangkaian Microsoft dapat mencari lokasi Pengawal Domain - Pengawal Domain yang menyediakan perkhidmatan LDAP melalui protokol TCP pada port 389 melalui satu pertanyaan DNS.

Adalah normal bahawa di Hutan - Hutan, dan Pokok - Pokok dari Rangkaian Microsoft yang besar terdapat beberapa Pengawal Domain. Melalui penggunaan catatan SRV di Zon yang berlainan yang membentuk Ruang Nama Domain Rangkaian itu, kami dapat mempertahankan Daftar Pelayan yang menyediakan perkhidmatan terkenal yang serupa, yang dipesan berdasarkan pilihan mengikut protokol pengangkutan dan port masing-masing salah satu pelayan.

Dalam Permintaan untuk Komen RFC 1700 Nama Simbol Sejagat untuk Perkhidmatan Terkenal ditentukan - Perkhidmatan Terkenal, dan nama seperti «_telnet«,«_smtp»Untuk perkhidmatan telnet y SMTP. Sekiranya nama simbolik tidak ditentukan untuk Perkhidmatan Terkenal, nama tempatan atau nama lain boleh digunakan mengikut pilihan pengguna.

Ikat

Tujuan setiap bidang «khas»Digunakan dalam pengisytiharan SRV Resource Record adalah seperti berikut:

  • domain: "Pdc._msdcs.mordor.fan.«. Nama DNS perkhidmatan yang dirujuk oleh rekod SRV. Nama DNS dalam contoh bermaksud-lebih kurang Pengawal Domain Utama kawasan itu _msdcs.mordor.fan.
  • Servis: "_Lapisan". Nama simbolik perkhidmatan yang disediakan ditentukan mengikut Permintaan untuk Komen RFC 1700.
  • Protokol: "_Tcp". Menunjukkan jenis protokol pengangkutan. Biasanya boleh mengambil nilai _tcp o _udp, walaupun - dan sebenarnya - segala jenis protokol pengangkutan yang ditunjukkan dalam Permintaan untuk Komen RFC 1700. Contohnya, untuk perkhidmatan berbual berasaskan protokol XMPP, bidang ini akan mempunyai nilai _xmpp.
  • Keutamaan'0«. Menyatakan keutamaan atau keutamaan untuk Tuan rumah yang menawarkan perkhidmatan ini yang akan kita lihat kemudian. Pertanyaan DNS pelanggan mengenai perkhidmatan yang ditentukan oleh rekod SRV ini, setelah mendapat respons yang sesuai, akan cuba menghubungi hos pertama yang tersedia dengan nombor terendah yang tercantum di lapangan. Keutamaan. Julat nilai yang boleh diambil oleh bidang ini adalah 0 yang 65535.
  • Berat'100«. Boleh digunakan bersama dengan Keutamaan untuk menyediakan mekanisme pengimbangan beban apabila terdapat beberapa pelayan yang menyediakan perkhidmatan yang sama. Harus ada catatan SRV yang serupa untuk setiap pelayan dalam fail Zona, dengan namanya dinyatakan di lapangan Tuan rumah yang menawarkan perkhidmatan ini. Sebelum pelayan dengan nilai yang sama di lapangan Keutamaan, nilai medan Berat ia dapat digunakan sebagai tahap pilihan tambahan untuk mendapatkan pemilihan pelayan yang tepat untuk pengimbangan beban. Julat nilai yang boleh diambil oleh bidang ini adalah 0 yang 65535. Sekiranya pengimbangan beban tidak diperlukan, misalnya seperti pada pelayan tunggal, disarankan untuk menetapkan nilainya 0 untuk menjadikan rekod SRV lebih mudah dibaca.
  • Nombor pelabuhan - Pelabuhan'389«. Nombor pelabuhan di Tuan rumah yang menawarkan perkhidmatan ini yang menyediakan perkhidmatan yang ditunjukkan di lapangan Servis. Nombor port yang disyorkan untuk setiap jenis Perkhidmatan Terkenal ditunjukkan di Permintaan untuk Komen RFC 1700, walaupun boleh mengambil nilai antara 0 dan 65535.
  • Tuan rumah yang menawarkan perkhidmatan ini - Sasaran'sauron.mordor.fan.«. Menentukan FQDN yang secara tegas mengenal pasti tuan rumah yang menyediakan perkhidmatan yang ditunjukkan oleh rekod SRV. Jenis rekod «A»Di ruang nama domain untuk masing-masing FQDN dari pelayan atau tuan rumah yang menyediakan perkhidmatan. Lebih ringkas, rekod jenis A di zon langsung.
    • Nota:
      Untuk menunjukkan secara sah bahawa perkhidmatan yang ditentukan oleh rekod SRV tidak disediakan pada hos ini, satu (
      .) titik.

Kami hanya ingin mengulangi bahawa operasi yang betul dari rangkaian atau Active Directory® sangat bergantung pada operasi yang betul dari Perkhidmatan Nama Domain..

Rekod DNS Direktori Aktif

Untuk menjadikan Zon Pelayan DNS baru berdasarkan BIND, kita mesti memperoleh semua rekod DNS dari Active Directory®. Untuk menjadikan hidup lebih mudah, kami pergi ke pasukan sauron.mordor.fan -Active Directory® 2008 SR2- dan di Konsol Pentadbiran DNS kami mengaktifkan Pemindahan Zon -direct dan reverse- untuk zon utama yang dinyatakan dalam jenis perkhidmatan ini, iaitu:

  • _msdcs.mordor.fan
  • mordor.fan
  • 10.10.10.dalam-addr.harp

Setelah langkah sebelumnya dilakukan dan sebaiknya dari komputer Linux yang alamat IPnya berada dalam jarak subnet yang digunakan oleh Jaringan Windows, kami melaksanakan:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> temp /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa
  • Ingat dari artikel sebelumnya bahawa alamat IP peranti sysadmin.fromlinux.fan ia 10.10.10.1 atau 192.168.10.1.

Dalam tiga arahan sebelumnya, kita dapat menghilangkan pilihan 10.10.10.3 -tanya pelayan DNS dengan alamat itu- jika kita menyatakan dalam fail /etc/resolv.conf ke IP pelayan sauron.mordor.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf # Dihasilkan oleh carian NetworkManager dari linux.fan nameserver 192.168.10.5 nameserver 10.10.10.3

Setelah mengedit dengan sangat hati-hati, sesuai dengan fail zon mana pun di BIND, kami akan memperoleh data berikut:

Rekod RR dari zon asal _msdcs.mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs._msdcs.mordor.fan 
; Berkaitan dengan SOA dan NS _msdcs.mordor.fan. 3600 DI SOA sauron.mordor.fan. tuan rumah.mordor.fan. 12 900 600 86400 3600 _msdcs.mordor.fan. 3600 DI NS sauron.mordor.fan. ; ; KATALOG GLOBAL gc._msdcs.mordor.fan. 600 DALAM 10.10.10.3; ; Alias ​​-dalam pangkalan data LDAP yang diubahsuai dan peribadi dari Direktori Aktif- SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 DI CNAME sauron.mordor.fan. ; ; LDAP yang diubah suai dan peribadi dari Direktori Aktif _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS diubah suai dan peribadi dari Direktori Aktif _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Rekod RR dari zon asal mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs.mordor.fan 
; Berkaitan dengan rekod SOA, NS, MX dan A yang dipetakannya; Nama Domain ke IP SAURON; Perkara dari mordor.fan Active Directory. 3600 DI SOA sauron.mordor.fan. tuan rumah.mordor.fan. 48 900 600 86400 3600 mordor.fan. 600 IN A 10.10.10.3 mordor.fan. 3600 DI NS sauron.mordor.fan. mordor.fan. 3600 IN MX 10 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 DI NS sauron.mordor.fan. ; ; Juga penting A mencatat DomainDnsZones.mordor.fan. 600 DALAM 10.10.10.3 ForestDnsZones.mordor.fan. 600 DALAM 10.10.10.3; ; KATALOG GLOBAL _gc._tcp.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. ; ; LDAP yang diubah suai dan peribadi dari Direktori Aktif _ldap._tcp.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS yang diubah suai dan peribadi dari Direktori Aktif _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. ; ; Rekod dengan IP tetap -> pelayan Blackelf.mordor.fan. 3600 DALAM 10.10.10.9 blackspider.mordor.fan. 3600 DALAM 10.10.10.10 darklord.mordor.fan. 3600 DALAM 10.10.10.6 mamba.mordor.fan. 3600 DALAM 10.10.10.4 palantir.mordor.fan. 3600 DALAM 10.10.10.11 sauron.mordor.fan. 3600 DALAM 10.10.10.3 shadowftp.mordor.fan. 3600 DALAM 10.10.10.8 troll.mordor.fan. 3600 DALAM 10.10.10.7; ; CNAME merakam ad-dc.mordor.fan. 3600 DI CNAME sauron.mordor.fan. blog.mordor.fan. 3600 DI CNAME troll.mordor.fan. fileserver.mordor.fan. 3600 DI CNAME mamba.mordor.fan. ftpserver.mordor.fan. 3600 DI CNAME shadowftp.mordor.fan. mel.mordor.fan. 3600 DI CNAME balckelf.mordor.fan. openfire.mordor.fan. 3600 DI CNAME palantir.mordor.fan. proxy.mordor.fan. 3600 DI CNAME darklord.mordor.fan. www.mordor.fan. 3600 DI CNAME blackspider.mordor.fan.

Rekod RR dari zon asal 10.10.10.in-addr.arpa

buzz @ sysadmin: ~ $ cat temp / rrs.10.10.10.in-addr.arpa 
; Berkaitan dengan SOA dan NS 10.10.10.in-addr.arpa. 3600 DI SOA sauron.mordor.fan. tuan rumah.mordor.fan. 21 900 600 86400 3600 10.10.10.in-addr.arpa. 3600 DI NS sauron.mordor.fan. ; ; PTR mencatat 10.10.10.10.in-addr.arpa. 3600 IN PTR blackspider.mordor.fan. 11.10.10.10.in-addr.arpa. 3600 DI PTR palantir.mordor.fan. 3.10.10.10.in-addr.arpa. 3600 DI PTR sauron.mordor.fan. 4.10.10.10.in-addr.arpa. 3600 DI PTR mamba.mordor.fan. 5.10.10.10.in-addr.arpa. 3600 DI PTR dnslinux.mordor.fan. 6.10.10.10.in-addr.arpa. 3600 DI PTR darklord.mordor.fan. 7.10.10.10.in-addr.arpa. 3600 DALAM PTR troll.mordor.fan. 8.10.10.10.in-addr.arpa. 3600 DI PTR shadowftp.mordor.fan. 9.10.10.10.in-addr.arpa. 3600 IN PTR blackelf.mordor.fan.

Hingga saat ini kita dapat berfikir bahawa kita mempunyai data yang diperlukan untuk meneruskan pengembaraan kita, tetapi tidak sebelum memerhatikannya TTL dan data lain yang dengan cara yang sangat ringkas output dan pemerhatian langsung terhadap DNS bit Microsoft Microsft® Active Directory® 2008 SR2 memberikan kami.

Imej Pengurus DNS di SAURON

Pasukan Dnslinux.mordor.fan.

Sekiranya kita melihat dengan teliti, ke alamat IP 10.10.10.5 tidak ada nama yang diberikan kepadanya dengan tepat sehingga akan dihuni oleh nama DNS baru dnslinux.mordor.fan. Untuk memasang pasangan DNS dan DHCP kita dapat dipandu oleh artikelnya DNS dan DHCP dalam Debian 8 "Jessie" y DNS dan DHCP di CentOS 7.

Sistem operasi asas

Kawan saya The FuegianSelain menjadi pakar sejati dalam Microsoft® Windows - dia mempunyai beberapa Sijil yang dikeluarkan oleh syarikat itu - dia telah membaca dan mempraktikkan beberapa artikel mengenai desktop yang diterbitkan di DariLinux, dan dia memberitahu saya bahawa dia secara khusus mahukan penyelesaian berasaskan Debian. 😉

Untuk menggembirakan anda, kami akan memulakan dengan pemasangan pelayan yang segar dan bersih berdasarkan Debian 8 "Jessie". Walau bagaimanapun, apa yang akan kami tulis seterusnya adalah sah untuk pengedaran CentOS dan openSUSE yang artikelnya telah kami sebutkan sebelumnya. BIND dan DHCP adalah sama di mana-mana distro. Variasi sedikit diperkenalkan oleh penyelenggara pakej di setiap pengedaran.

Kami akan melakukan pemasangan seperti yang ditunjukkan di DNS dan DHCP dalam Debian 8 "Jessie", menjaga penggunaan IP 10.10.10.5 dan rangkaian 10.10.10.0 / 24, bahkan sebelum mengkonfigurasi BIND.

Kami mengkonfigurasi BIND dalam gaya Debian

/etc/bind/named.conf

Fail ini /etc/bind/named.conf kami meninggalkannya semasa dipasang.

/etc/bind/named.conf.options

Fail ini /etc/bind/named.conf.options harus dibiarkan dengan kandungan berikut:

root @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dnslinux: ~ # nano /etc/bind/named.conf.options
pilihan {direktori "/ var / cache / bind"; // Sekiranya ada firewall antara anda dan server nama yang ingin anda bincangkan //, anda mungkin perlu memperbaiki firewall untuk membolehkan berbilang // port bercakap. Lihat http://www.kb.cert.org/vuls/id/800113 // Sekiranya ISP anda memberikan satu atau lebih alamat IP untuk // nameserver yang stabil, anda mungkin mahu menggunakannya sebagai penghantar. // Komen blok berikut, dan masukkan alamat menggantikan // placeholder all-0. // pemaju {// 0.0.0.0; //}; // =============================================== ===================== $ // Sekiranya BIND log mesej ralat mengenai kunci root yang telah tamat tempoh, // anda perlu mengemas kini kunci anda. Lihat https://www.isc.org/bind-keys // ================================= =================================== $

    // Kami tidak mahu DNSSEC
        dnssec-membolehkan tidak;
        //auto-pengesahan dnssec;

        auth-nxdomain no; # patuhi RFC1035

 // Kami tidak perlu mendengar alamat IPv6
        // dengar-pada-v6 {mana-mana; };
    dengar-pada-v6 {tiada; };

 // Untuk pemeriksaan dari localhost dan sysadmin
    // hingga // dig mordor.fan axfr // dig 10.10.10.in-addr.arpa axfr // dig _msdcs.mordor.fan axfr // Kami tidak mempunyai Slave DNS ... sehingga sekarang
 izinkan-pindah {localhost; 10.10.10.1; };
};

// Log masuk BIND
pembalakan {

        pertanyaan saluran {
        fail "/var/log/named/queries.log" versi 3 saiz 1m;
        maklumat keterukan;
        masa cetak ya;
        keparahan cetak ya;
        kategori cetak ya;
        };

        ralat pertanyaan saluran {
        fail "/var/log/named/query-error.log" versi 3 saiz 1m;
        maklumat keterukan;
        masa cetak ya;
        keparahan cetak ya;
        kategori cetak ya;
        };

                                
pertanyaan kategori {
         pertanyaan;
         };

ralat pertanyaan-kategori {
         ralat pertanyaan;
         };

};
  • Kami memperkenalkan penangkapan log BIND sebagai NUEVO penampilan dalam siri artikel mengenai perkara itu. Kami mencipta lfolder dan fail yang diperlukan untuk Pembalakan BIND:
root @ dnslinux: ~ # mkdir / var / log / bernama
root @ dnslinux: ~ # sentuh /var/log/named/queries.log
root @ dnslinux: ~ # sentuh /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / bernama

Kami memeriksa sintaks fail yang dikonfigurasi

root @ dnslinux: ~ # bernama-checkconf 
root @ dnslinux: ~ #

/etc/bind/named.conf.local

Kami membuat fail /etc/bind/zones.rfcFreeBSD dengan kandungan yang sama seperti yang dinyatakan dalam DNS dan DHCP dalam Debian 8 "Jessie".

root @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

Fail ini /etc/bind/named.conf.local harus dibiarkan dengan kandungan berikut:

// // Lakukan konfigurasi tempatan di sini // // Pertimbangkan untuk menambahkan zon 1918 di sini, jika tidak digunakan di organisasi // anda
sertakan "/etc/bind/zones.rfc1918"; sertakan "/etc/bind/zones.rfcFreeBSD";

zon "mordor.fan" {master type; fail "/var/lib/bind/db.mordor.fan"; }; zon "10.10.10.in-addr.arpa" {master type; fail "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

zon "_msdcs.mordor.fan" {jenis master;
 senarai semak mengabaikan; fail "/etc/bind/db._msdcs.mordor.fan"; }; root @ dnslinux: ~ # bernama-checkconf
root @ dnslinux: ~ #

Arkib Zon mordor.fan

root @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ DI SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; siri 1D; muat semula 1H; cuba semula 1W; tamat 3H); minimum atau; Masa cache negatif untuk hidup;
; BERHATI-HATI DENGAN REKOD BERIKUT
@ DI NS dnslinux.mordor.fan.
@ DALAM 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT "Selamat Datang di The Dark Lan of Mordor";
_msdcs.mordor.fan. DI NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. DALAM 10.10.10.5
; TAMAT SANGAT HATI DENGAN REKOD BERIKUT;
DomainDnsZones.mordor.fan. DALAM 10.10.10.3 ForestDnsZones.mordor.fan. DALAM 10.10.10.3; ; KATALOG GLOBAL _gc._tcp.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ; ; LDAP yang diubah suai dan peribadi dari Direktori Aktif _ldap._tcp.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. ; ; KERBEROS pengubahsuaian dan peribadi Direktori Aktif _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan 600 IN SRV 0 0 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. ; ; Rekod A dengan IP tetap -> Pelayan blackelf.mordor.fan. DALAM 10.10.10.9 blackspider.mordor.fan. DALAM 10.10.10.10 darklord.mordor.fan. DALAM 10.10.10.6 mamba.mordor.fan. DALAM 10.10.10.4 palantir.mordor.fan. DALAM 10.10.10.11
sauron.mordor.fan. DALAM 10.10.10.3
shadowftp.mordor.fan. DALAM 10.10.10.8 troll.mordor.fan. DALAM 10.10.10.7; ; CNAME merakam ad-dc.mordor.fan. DALAM CNAME sauron.mordor.fan. blog.mordor.fan. DI CNAME troll.mordor.fan. fileserver.mordor.fan. DALAM CNAME mamba.mordor.fan. ftpserver.mordor.fan. DI CNAME shadowftp.mordor.fan. mel.mordor.fan. DI CNAME balckelf.mordor.fan. openfire.mordor.fan. DI CNAME palantir.mordor.fan. proxy.mordor.fan. DI CNAME darklord.mordor.fan. www.mordor.fan. DI CNAME blackspider.mordor.fan.

root @ dnslinux: ~ # bernama-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
zon mordor.fan/IN: dimuatkan siri 1 OK

Masa-masa TTL 600 dari semua daftar SRV kami akan menyimpannya sekiranya kami memasang Slave BIND pada masa-masa yang akan datang. Rekod tersebut mewakili perkhidmatan Active Directory® yang kebanyakannya membaca data dari pangkalan data LDAP anda. Oleh kerana pangkalan data itu sering berubah, masa penyegerakan mesti dikurangkan dalam skema DNS Master - Slave. Menurut falsafah Microsoft yang diperhatikan dari Active Directory 2000 hingga 2008, nilai 600 dikekalkan untuk jenis rekod SRV ini.

The TTL pelayan dengan IP tetap, mereka berada di bawah waktu yang dinyatakan dalam SOA selama 3 jam.

Fail Zon 10.10.10.in-addr.arpa

root @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ DI SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; siri 1D; muat semula 1H; cuba semula 1W; tamat 3H); minimum atau; Masa cache negatif untuk hidup; @ DI NS dnslinux.mordor.fan. ; 10 IN PTR blackspider.mordor.fan. 11 DI PTR palantir.mordor.fan. 3 DI PTR sauron.mordor.fan. 4 DI PTR mamba.mordor.fan. 5 DALAM PTR dnslinux.mordor.fan. 6 DI PTR darklord.mordor.fan. 7 DI PTR troll.mordor.fan. 8 DI PTR shadowftp.mordor.fan. 9 IN PTR blackelf.mordor.fan.

root @ dnslinux: ~ # bernama-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
zon 10.10.10.in-addr.arpa/IN: siri bersiri 1 OK

Fail Zon _msdcs.mordor.fan

Mari kita pertimbangkan apa yang disyorkan dalam fail /usr/share/doc/bind9/README.Debian.gz Mengenai lokasi fail Zon Master yang tidak mengalami kemas kini dinamik oleh DHCP.

root @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ DI SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; siri 1D; muat semula 1H; cuba semula 1W; tamat 3H) minimum atau; Masa cache negatif untuk hidup; @ DI NS dnslinux.mordor.fan. ; ; ; KATALOG GLOBAL gc._msdcs.mordor.fan. 600 DALAM 10.10.10.3; ; Alias ​​-dalam pangkalan data LDAP yang diubah suai dan peribadi dari Direktori Aktif- SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 DI CNAME sauron.mordor.fan. ; ; LDAP yang diubah suai dan peribadi dari Direktori Aktif _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS diubah suai dan peribadi dari Direktori Aktif _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Kami memeriksa sintaks dan kami dapat mengabaikan kesalahan yang dikembalikannya, kerana dalam konfigurasi Zona ini dalam fail /etc/bind/named.conf.local kami sertakan penyataan tersebut senarai semak mengabaikan;. Zon akan dimuat dengan betul oleh BIND.

root @ dnslinux: ~ # bernama-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: nama pemilik yang tidak baik (nama-nama) zon _msdcs.mordor.fan/IN: siri yang dimuat 1 OK

root @ dnslinux: ~ # systemctl mulakan semula bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 
● bind9.service - Pelayan Nama Domain BIND Dimuat: dimuat (/lib/systemd/system/bind9.service; diaktifkan) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ bernama.conf Aktif: aktif (berjalan) sejak Matahari 2017-02-12 08:48:38 EST; 2s yang lalu Dokumen: man: bernama (8) Proses: 859 ExecStop = / usr / sbin / rndc stop (code = exited, status = 0 / KEJAYAAN) PID Utama: 864 (dinamakan) CGroup: /system.slice/bind9.service └─864 / usr / sbin / bernama -f -u bind 12 Feb 08:48:38 dnslinux bernama [864]: zone 3.efip6.arpa/IN: serial bersiri 1 Feb 12 08:48:38 dnslinux bernama [864 ]: zon befip6.arpa/IN: bersiri dimuat 1 Februari 12 08:48:38 dnslinux bernama [864]: zon 0.efip6.arpa/IN: bersiri dimuat 1 Feb 12 08:48:38 dnslinux bernama [864]: zon 7.efip6.arpa/IN: siri dimuat 1 Februari 12 08:48:38 dnslinux bernama [864]: zon mordor.fan/IN: siri dimuat 1 Feb 12 08:48:38 dnslinux bernama [864]: contoh zon .org / IN: dimuat bersiri 1 Feb 12 08:48:38 dnslinux bernama [864]: zone _msdcs.mordor.fan/IN: serial bersiri 1 Feb 12 08:48:38 dnslinux bernama [864]: zon tidak sah / IN : dimuat bersiri 1 Feb 12 08:48:38 dnslinux bernama [864]: semua zon dimuatkan
12 Feb 08:48:38 dnslinux bernama [864]: berlari

Kami berunding dengan BIND

Sebelum Setelah memasang DHCP, kita mesti melakukan serangkaian pemeriksaan yang termasuk memasukkan pelanggan Windows 7 ke domain mordor.fan diwakili oleh Direktori Aktif yang dipasang di komputer sauron.mordor.fan.

Perkara pertama yang perlu dilakukan ialah menghentikan perkhidmatan DNS di komputer sauron.mordor.fan, dan nyatakan di antara muka rangkaian anda bahawa mulai sekarang pelayan DNS anda akan menjadi 10.10.10.5 dnslinux.mordor.fan.

Di konsol pelayan itu sendiri sauron.mordor.fan kami melaksanakan:

Microsoft Windows [Versi 6.1.7600]
Hak Cipta (c) Microsoft Corporation 2009. Hak cipta terpelihara.

C: \ Users \ Pentadbir> nslookup
Pelayan Lalai: dnslinux.mordor.fan Alamat: 10.10.10.5

> gc._msdcs
Pelayan: dnslinux.mordor.fan Alamat: 10.10.10.5 Nama: gc._msdcs.mordor.fan Alamat: 10.10.10.3

> mordor.fan
Pelayan: dnslinux.mordor.fan Alamat: 10.10.10.5 Nama: mordor.fan Alamat: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Pelayan: dnslinux.mordor.fan Alamat: 10.10.10.5 Nama: sauron.mordor.fan Alamat: 10.10.10.3 Alias: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> tetapkan jenis = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Pelayan: dnslinux.mordor.fan Alamat: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRV serv ice location: priority = 0 weight = 100 port = 88 svr hostname = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan alamat internet = 10.10.10.3 dnslinux.mordor.fan alamat internet = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Pelayan: dnslinux.mordor.fan Alamat: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan Lokasi perkhidmatan SRV: priority = 0 weight = 100 port = 389 svr hostname = sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan alamat internet = 10.10.10.3 dnslinux.mordor.fan alamat internet = 10.10.10.5
> keluar

C: \ Users \ Pentadbir>

Pertanyaan DNS dibuat dari sauron.mordor.fan memuaskan.

Langkah seterusnya adalah membuat mesin maya lain dengan Windows 7 terpasang. Oleh kerana kami masih belum memasang perkhidmatan DHCP, kami akan memberikan komputer bernama «win7»Alamat IP 10.10.10.251. Kami juga menyatakan bahawa pelayan DNS anda akan menjadi 10.10.10.5 dnslinux.mordor.fan, dan bahawa domain carian akan mordor.fan. Kami tidak akan mendaftarkan komputer itu dalam DNS kerana kami juga akan menggunakannya untuk menguji perkhidmatan DHCP setelah kami memasangnya.

Seterusnya kami membuka konsol CMD dan di dalamnya kita melaksanakan:

Microsoft Windows [Versi 6.1.7601]
Hak Cipta (c) Microsoft Corporation 2009. Hak cipta terpelihara.

C: \ Users \ buzz> nslookup
Pelayan Lalai: dnslinux.mordor.fan Alamat: 10.10.10.5

> mordor.fan
Pelayan: dnslinux.mordor.fan Alamat: 10.10.10.5 Nama: mordor.fan Alamat: 10.10.10.3

> tetapkan jenis = SRV
> _ldap._tcp.DomainDnsZones
Pelayan: dnslinux.mordor.fan Alamat: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan Lokasi perkhidmatan SRV: priority = 0 weight = 0 port = 389 svr hostname = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fan sauron.mordor.fan alamat internet = 10.10.10.3 dnslinux.mordor.fan alamat internet = 10.10.10.5
> _kpasswd._udp
Pelayan: dnslinux.mordor.fan Alamat: 10.10.10.5 _kpasswd._udp.mordor.fan Lokasi perkhidmatan SRV: priority = 0 weight = 0 port = 464 svr hostname = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan alamat internet sauron.mordor.fan = 10.10.10.3 dnslinux.mordor.fan alamat internet = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Pelayan: dnslinux.mordor.fan Alamat: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRV serv ice location: priority = 0 weight = 0 port = 389 svr hostname = sauron. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan alamat internet = 10.10.10.3 dnslinux.mordor.fan alamat internet = 10.10.10.5
> keluar

C: \ Pengguna \ buzz>

Pertanyaan DNS yang dibuat daripada pelanggan «win7»Juga memuaskan.

Dalam Direktori Aktif kami membuat pengguna «saruman«, Dengan tujuan menggunakannya ketika bergabung dengan pelanggan win7 ke domain mordor.fan., menggunakan kaedah «ID Rangkaian«, Menggunakan nama pengguna saruman@mordor.fan y pentadbir@mordor.fan. Penyertaan berjaya dan terbukti dengan tangkapan skrin berikut:

Mengenai Kemas kini Dinamik dalam Microsoft® DNS dan BIND

Oleh kerana perkhidmatan DNS dihentikan di Active Directory®, tidak mungkin bagi pelanggan «win7»Daftarkan nama dan alamat IP anda di DNS tersebut. Lebih kurang masuk dnslinux.mordor.fan kerana kami tidak membuat kenyataan benarkan-kemas kini untuk mana-mana bidang yang terlibat.

Dan di sinilah pertengkaran baik dengan rakan saya terbentuk The Fuegian. Dalam e-mel pertama saya mengenai aspek ini, saya mengulas:

  • Dalam artikel Microsoft mengenai penggunaan BIND dan Active Directory®, mereka mengesyorkan agar, terutamanya Zon Langsung, dibiarkan diperbaharui -menembusi- secara langsung oleh pelanggan Windows yang sudah bergabung dengan domain Direktori Aktif.
  • Itulah sebabnya, secara lalai, di zon DNS dari Active Directory® Secure Dynamic Updates dibenarkan. oleh pelanggan Windows sudah bergabung ke domain Direktori Aktif. Sekiranya mereka tidak bersatu, mereka menahan diri dari akibatnya.
  • DNS Direktori Aktif menyokong kemas kini dinamik "Hanya selamat", "Tidak selamat dan selamat", atau "Tiada" yang sama dengan mengatakan TIADA Kemas kini atau Tiada.
  • Ya betul Falsafah Microsoft tidak bersetuju bahawa pelanggannya TIDAK akan mengemas kini data mereka dalam DNS mereka, tidak akan membiarkan terbuka kemungkinan melumpuhkan kemas kini dinamik dalam DNS mereka, kecuali jika pilihan itu akan ditinggalkan untuk tujuan yang lebih tersembunyi.
  • Microsoft menawarkan "Keselamatan" sebagai pertukaran untuk Darkness, sebagai rakan dan rakan yang lulus kursus Sijil Microsft® memberitahu saya. Betul. Sebagai tambahan, El Fueguino mengesahkannya kepada saya.
  • Pelanggan yang memperoleh alamat IP melalui DHCP yang dipasang pada mesin UNIX® / Linux misalnya, tidak akan dapat menyelesaikan alamat IP namanya sendiri sehingga anda bergabung dengan domain Active Directory, selagi Microsoft® atau BIND digunakan sebagai DNS tanpa kemas kini dinamik oleh DHCP.
  • Sekiranya saya memasang DHCP dalam Active Directory® itu sendiri, maka saya mesti menyatakan bahawa Zon dikemas kini oleh Microsoft® DHCP.
  • Sekiranya kita akan menggunakan BIND sebagai DNS untuk rangkaian Windows, adalah logik dan disarankan agar kita memasang duo BIND-DHCP, dengan yang terakhir mengemas kini BIND secara dinamis dan masalahnya disimpulkan.
  • Dalam dunia rangkaian LAN di UNIX® / Linux, kerana kemas kini dinamik dicipta di BIND, hanya Mr. DHCP yang dibenarkan «menembusi»Kepada Puan BIND dengan maklumat terkini. Kelonggaran yang sesuai dengan pesanan, silakan.
  • Semasa saya menyatakan di zon mordor.fan contohnya: izinkan-kemas kini {10.10.10.0/24; };, BIND sendiri memberitahu saya semasa memulakan atau memulakannya semula bahawa:
    • zon 'mordor.fan' membenarkan kemas kini mengikut alamat IP, yang tidak selamat
  • Dalam dunia UNIX® / Linux yang suci, pemahaman seperti DNS tidak boleh diterima.

Anda boleh bayangkan baki pertukaran dengan rakan saya The Fuegian melalui e-mel, Sembang Telegram, panggilan telefon yang dibayar olehnya (tentu saja lelaki, saya tidak mempunyai sekilo untuk itu), dan bahkan mesej melalui merpati pembawa pada abad XXI!

Dia bahkan mengancam untuk tidak menghantar saya anak peliharaannya, Iguana-nya «Petra»Bahawa dia telah berjanji kepada saya sebagai sebahagian daripada pembayaran. Di sana saya sangat takut. Oleh itu, saya bermula sekali lagi, tetapi dari sudut lain.

  • Direktori Aktif "hampir" yang dapat dicapai dengan Samba 4, menyelesaikan aspek ini dengan cara yang mahir, baik ketika kita menggunakan DNS Dalamannya, atau BIND yang disusun untuk menyokong zon DLZ - Zon Muatan Dinamyc, atau Zon Dimuat secara Dinamik.
  • Ia terus mengalami hal yang sama: apabila pelanggan memperoleh alamat IP melalui DHCP yang dipasang di lain Mesin UNIX® / Linux, anda tidak akan dapat menyelesaikan alamat IP dari nama anda sendiri sehingga digabungkan ke domain Samba 4 AD-DC.
  • Gabungkan duo BIND-DLZ dan DHCP pada mesin yang sama di mana AD-DC Samba 4 ini tugas untuk pakar sebenar.

The Fuegian Dia memanggil saya ke bab dan berteriak kepada saya: Kami TIDAK bercakap tentang AD-DC Samba 4, tetapi Microsoft® Active Directory® !. Dan saya dengan rendah hati menjawab bahawa saya gembira dengan sebahagian daripada artikel berikut yang akan saya tulis.

Ketika itulah saya memberitahunya bahawa keputusan akhir mengenai kemas kini dinamik untuk komputer pelanggan di rangkaiannya diserahkan kepada kehendaknya sendiri. Saya hanya akan memberinya hujung ditulis sebelum kira-kira izinkan-kemas kini {10.10.10.0/24; };, dan banyak lagi yang tidak ada. Bahawa saya tidak bertanggung jawab atas apa yang timbul dari kesetiaan itu bahawa setiap pelanggan Windows -atau Linux- dalam rangkaian mereka «akan menembusi»Dengan kekebalan terhadap BIND.

Sekiranya anda tahu, kawan saya, Pembaca bahawa itu adalah Titik Akhir pergaduhan, anda tidak akan mempercayainya. Kawan saya The Fuegian dia menerima jalan penyelesaian - dan dia akan menghantar iguana kepada saya «Pete«- sekarang saya berkongsi dengan anda.

Kami memasang dan mengkonfigurasi DHCP

Untuk maklumat lebih lanjut baca DNS dan DHCP dalam Debian 8 "Jessie".

root @ dnslinux: ~ # aptitude install isc-dhcp-server

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # Pada antara muka apa yang harus dilayan oleh pelayan DHCP (dhcpd) permintaan DHCP? # Pisahkan pelbagai antara muka dengan ruang, misalnya "eth0 eth1". INTERFACES = "eth0" root @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n PENGGUNA dhcp-key
Kekunci Kdhcp. + 157 + 29836

root @ dnslinux: ~ # kucing Kdhcp-key. +157 + 29836. peribadi
Format kunci peribadi: v1.3 Algoritma: 157 (HMAC_MD5) Kekunci: 3HT / bg / 6YwezUShKYofj5g == Bit: AAA = Dicipta: 20170212205030 Terbitkan: 20170212205030 Aktifkan: 20170212205030

root @ dnslinux: ~ # nano dhcp.key
kunci dhcp-key {algoritma hmac-md5; rahsia "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/named.conf.local
// // Lakukan konfigurasi tempatan di sini // // Pertimbangkan untuk menambahkan zon 1918 di sini, jika tidak digunakan dalam // organisasi anda termasuk "/etc/bind/zones.rfc1918"; sertakan "/etc/bind/zones.rfcFreeBSD";
// Jangan lupa ... Saya lupa dan membayar dengan kesilapan. ;-)
sertakan "/etc/bind/dhcp.key";


zon "mordor.fan" {master type;
        izinkan-kemas kini {10.10.10.3; kunci dhcp-kunci; };
        fail "/var/lib/bind/db.mordor.fan"; }; zon "10.10.10.in-addr.arpa" {master type;
        izinkan-kemas kini {10.10.10.3; kunci dhcp-kunci; };
        fail "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; zon "_msdcs.mordor.fan" {jenis master; senarai semak mengabaikan; fail "/etc/bind/db._msdcs.mordor.fan"; };

root @ dnslinux: ~ # bernama-checkconf 
root @ dnslinux: ~ #

root @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
ddns-kemas kini-gaya sementara; ddns-kemas kini mengenai; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; abaikan kemas kini pelanggan; berwibawa; opsyen ip-forwarding dimatikan; nama domain pilihan "mordor.fan"; sertakan "/etc/dhcp/dhcp.key"; zon mordor.fan. {primer 127.0.0.1; kunci dhcp-kunci; } zon 10.10.10.in-addr.arpa. {primer 127.0.0.1; kunci dhcp-kunci; } rangkaian semula rangkaian dikongsi {subnet 10.10.10.0 netmask 255.255.255.0 {router pilihan 10.10.10.1; subnet-mask pilihan 255.255.255.0; pilihan siaran-alamat 10.10.10.255; opsyen domain-name-pelayan 10.10.10.5; pilihan netbios-name-pelayan 10.10.10.5; julat 10.10.10.30 10.10.10.250; }} # TAMAT dhcpd.conf

root @ dnslinux: ~ # dhcpd -t
Internet Systems Consortium DHCP Server 4.3.1 Hak Cipta 2004-2014 Internet Systems Consortium. Hak cipta terpelihara. Untuk maklumat, sila lawati https://www.isc.org/software/dhcp/ Config file: /etc/dhcp/dhcpd.conf Fail pangkalan data: /var/lib/dhcp/dhcpd.leases fail PID: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl mulakan semula bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 

root @ dnslinux: ~ # systemctl start isc-dhcp-server.service
root @ dnslinux: ~ # status systemctl isc-dhcp-server.service

Apa yang berkaitan dengan Pemeriksaan dengan pelanggan, dan Pengubahsuaian manual fail Zon, kami meninggalkannya untuk anda, rakan pembaca, untuk membacanya terus dari DNS dan DHCP dalam Debian 8 "Jessie", dan menerapkannya pada keadaan sebenar anda. Kami melakukan semua pemeriksaan yang diperlukan dan memperoleh hasil yang memuaskan. Sudah tentu kami menghantar salinan semuanya ke The Fuegian. Tidak akan ada lagi!

Tips

Ketua

  • Dapatkan banyak kesabaran sebelum anda memulakan.
  • Pasang dan konfigurasikan BIND terlebih dahulu. Periksa semuanya dan lihat semua rekod yang anda nyatakan dalam setiap fail tiga zon atau lebih, baik dari Active Directory dan dari pelayan DNS itu sendiri di Linux. Sekiranya boleh, dari mesin Linux yang tidak bergabung dengan domain, buat pertanyaan DNS yang diperlukan ke BIND.
  • Sertailah klien Windows dengan alamat IP tetap ke domain yang ada, dan periksa semula semua tetapan BIND dari klien Windows.
  • Setelah anda pasti yakin bahawa konfigurasi BIND baru anda benar-benar betul, usahakan untuk memasang, mengkonfigurasi, dan memulakan perkhidmatan DHCP.
  • Sekiranya berlaku kesilapan, ulangi keseluruhan prosedur dari 0 XNUMX.
  • Berhati-hati dengan salinan & tampal! dan ruang yang tinggal di setiap baris fail bernama.conf.xxxx
  • Selepas itu, dia tidak mengadu - lebih kurang kepada rakan saya Fuegian - bahawa dia tidak diberi nasihat dengan betul.

Petua lain

  • Pecah dan perintah.
  • Dalam Rangkaian PKS, lebih selamat dan bermanfaat untuk memasang BIND Sah untuk Zon LAN Dalaman yang tidak berulang ke pelayan root mana pun: pengulangan no;.
  • Dalam Rangkaian PKS yang terletak di bawah Penyedia Akses Internet - ISP, mungkin perkhidmatan Proksi y SMTP mereka perlu menyelesaikan nama domain di Internet. Dia Sotong anda mempunyai pilihan untuk menyatakan DNS anda sebagai luaran atau tidak, semasa berada di pelayan mel berdasarkan Postfix o MDaemon® Kami juga dapat menyatakan pelayan DNS yang akan kami gunakan dalam perkhidmatan tersebut. Dalam kes seperti ini, iaitu kes yang tidak menyediakan perkhidmatan ke Internet dan berada di bawah a Penyedia Perkhidmatan Internet, anda boleh memasang BIND dengan Penghantar menunjuk ke DNS ISP, dan menyatakannya sebagai DNS sekunder di pelayan yang perlu menyelesaikan pertanyaan luaran ke LAN, jika tidak, mungkin untuk menyatakannya melalui fail konfigurasi mereka sendiri.
  • Sekiranya anda mempunyai Zon Delegasi di bawah tanggungjawab anda sepenuhnyaKemudian burung gagak ayam jantan lain:
    • Pasang pelayan DNS berdasarkan NSD, yang merupakan definisi pelayan DNS yang berwibawa, yang bertindak balas terhadap pertanyaan dari komputer di Internet. Untuk beberapa maklumat pertunjukan bakat nsd. 😉 Tolong lindungi dengan baik dengan seberapa banyak tembok api yang diperlukan. Baik perkakasan dan perisian. Ini akan menjadi DNS untuk Internet, dan bahawa «cara»Kita tidak boleh memberikannya dengan seluar rendah. 😉
    • Oleh kerana saya tidak pernah melihat diri saya dalam kes seperti ini, iaitu, orang yang bertanggung jawab atas Zon Delegasi, saya harus memikirkan dengan baik apa yang harus dicadangkan untuk penyelesaian nama domain di luar LAN kami untuk perkhidmatan yang memerlukannya. Pelanggan Rangkaian UKM tidak begitu memerlukannya. Berunding dengan sastera khusus, atau pakar dalam mata pelajaran ini, kerana saya jauh dari salah satu daripada mereka. Serius.
    • Pengulangan tidak wujud pada pelayan autoritarian. Baik?. Sekiranya seseorang berfikir untuk melakukannya dengan BIND.
  • Walaupun kami jelaskan secara jelas dalam fail /etc/dhcp/dhcpd.conf pengisytiharan tersebut abaikan kemas kini pelanggan;, jika kita berjalan di konsol komputer dnslinux.mordor.fan pesanan itu jurnal -f, kita akan melihat bahawa semasa memulakan klien win7.mordor.fan kami mendapat mesej ralat berikut:
    • 12 Februari 16:55:41 dnslinux bernama [900]: pelanggan 10.10.10.30 # 58762: kemas kini 'mordor.fan/IN' ditolak
      12 Februari 16:55:42 dnslinux bernama [900]: pelanggan 10.10.10.30 # 49763: kemas kini 'mordor.fan/IN' ditolak
      12 Februari 16:56:23 dnslinux bernama [900]: pelanggan 10.10.10.30 # 63161: kemas kini 'mordor.fan/IN' ditolak
      
    • Untuk menghilangkan mesej ini, kita mesti pergi ke pilihan lanjutan konfigurasi kad rangkaian dan hapus centang pilihan «Daftarkan alamat sambungan ini dalam DNS«. Itu akan menghalang pelanggan daripada mencuba untuk mendaftar sendiri di DNS Linux selama-lamanya dan berakhirnya masalah. Maaf, tetapi saya tidak mempunyai salinan Windows 7 dalam bahasa Sepanyol. 😉
  • Untuk mengetahui semua pertanyaan serius dan gila yang dibuat oleh pelanggan Windows 7, lihat log pertanyaan.log bahawa untuk sesuatu kita menyatakannya dalam konfigurasi BIND. Pesanannya adalah:
    • root @ dnslinux: ~ # tail -f /var/log/named/queries.log
  • Sekiranya anda tidak membenarkan komputer pelanggan anda menyambung terus ke Internet, maka mengapa anda memerlukan Root DNS Server? Ini akan mengurangkan output arahan dengan ketara jurnal -f dan dari yang sebelumnya, jika pelayan DNS Otoriter anda untuk Zon Dalaman tidak menyambung terus ke Internet, yang sangat disyorkan dari sudut keselamatan.
    root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
    root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root
  • Sekiranya anda tidak memerlukan pengisytiharan pelayan root, maka mengapa anda memerlukan Pengulangan - Rekursi?
    root @ dnslinux: ~ # nano /etc/bind/named.conf.options
    pilihan {
     ....
     pengulangan no;
     ....
    };

Nasihat khusus yang saya masih kurang jelas

El lelaki dhcpd.conf memberitahu kami perkara berikut antara banyak perkara lain:

        Penyataan pengoptimuman kemas kini

            bendera pengoptimuman kemas kini;

            Sekiranya parameter pengoptimuman kemas kini salah untuk klien tertentu, pelayan akan mencuba kemas kini DNS untuk klien tersebut setiap kali pelanggan memperbaharui sewanya, dan bukan hanya mencuba kemas kini apabila diperlukan. Ini akan membolehkan DNS sembuh dari ketidakkonsistenan pangkalan data dengan lebih mudah, tetapi kosnya adalah bahawa pelayan DHCP mesti melakukan lebih banyak kemas kini DNS. Sebaiknya baca pilihan ini diaktifkan, yang merupakan lalai. Pilihan ini hanya mempengaruhi tingkah laku skema kemas kini DNS sementara, dan tidak mempengaruhi skema kemas kini DNS ad-hoc. Sekiranya parameter ini tidak ditentukan, atau benar, pelayan DHCP hanya akan dikemas kini apabila maklumat pelanggan berubah, klien mendapat pajakan yang berbeza, atau sewa pelanggan berakhir.

Terjemahan atau tafsiran yang lebih kurang tepat diserahkan kepada anda, pembaca yang dikasihi.

Secara peribadi, perkara itu berlaku kepada saya - dan ia berlaku semasa pembuatan artikel ini - bahawa ketika saya menghubungkan BIND ke Active Directory®, ia dari Microsft® atau Samba 4, jika saya menukar nama komputer pelanggan yang didaftarkan dalam domain Active Directory® atau daripada AD-DC dari Samba 4, ia menyimpan nama lama dan alamat IP di Zon Langsung, dan bukan sebaliknya, yang dikemas kini dengan betul dengan nama baru. Dengan kata lain, nama lama dan baru dipetakan ke alamat IP yang sama di Zon Langsung, sementara sebaliknya hanya nama baru yang muncul. Untuk memahami saya dengan baik, anda mesti mencubanya sendiri.

Saya fikir ia adalah semacam dendam terhadap The Fuegian -bukan untuk saya, tolong- kerana cuba memindahkan perkhidmatan anda ke Linux.

Sudah tentu nama lama akan hilang apabila ada TTL 3600, atau waktu yang telah kita nyatakan dalam konfigurasi DHCP. Tetapi kami mahu ia segera hilang seperti yang berlaku dalam BIND + DHCP tanpa Direktori Aktif melalui.

Penyelesaian untuk situasi itu saya dapati dengan memasukkan pernyataan kemas kini-pengoptimuman palsu; di hujung bahagian atas fail /etc/dhcp/dhcpd.conf:

ddns-kemas kini-gaya sementara; ddns-kemas kini mengenai; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; abaikan kemas kini pelanggan;
kemas kini-pengoptimuman palsu;

Sekiranya ada Pembaca yang mengetahui lebih lanjut mengenainya, sila jelaskan saya. Saya akan sangat menghargainya.

Ringkasan

Kami telah berseronok dengan subjeknya, bukan? Tidak ada penderitaan kerana kami mempunyai BIND yang berfungsi sebagai pelayan DNS dalam rangkaian Microsoft®, yang menawarkan semua catatan SRV dan menanggapi dengan tepat pertanyaan DNS yang dibuat kepada mereka. Sebaliknya, kami mempunyai pelayan DHCP yang memberikan alamat IP dan secara dinamis mengemas kini Zon BIND dengan betul.

Tetapi kita tidak boleh meminta ... buat masa ini.

Saya harap kawan saya The Fuegian selamat dan berpuas hati dengan langkah pertama dalam penghijrahan anda ke Linux untuk menjadikan kos Sokongan Teknikal Microsft® yang tidak tertanggung.

Nota penting

Perwatakan "The Fuegian»Ini benar-benar fiksyen dan produk imaginasi saya. Apa-apa persamaan atau kebetulan dengan orang sebenar adalah perkara yang sama: Kebetulan Murni Tidak Sukarela di pihak saya. Saya hanya membuatnya untuk menulis dan membaca artikel ini sedikit menyeronokkan. Sekarang jika anda dapat memberitahu saya bahawa masalah DNS sudah gelap. 😉


Kandungan artikel mematuhi prinsip kami etika editorial. Untuk melaporkan ralat, klik di sini.

13 komen, tinggalkan komen anda

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan.

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   crespo88 kata

    Sangat kuat, tiada komen. Oleh kerana DNS Microsoft tidak diperlukan. Hati-hati jangan menyaman, hahahaha. Terima kasih atas penghantaran Fico.

  2.   Federico kata

    Saman saya? Biarkan mereka dilihat bersama EL Fueguino. 😉
    Terima kasih kawan!!!

  3.   Kacang Haniball kata

    Bukankah lebih mudah untuk memasang zentyal, untuk semua bahagian direktori aktif ini?

  4.   penipu kata

    Haha, artikulasi hebat untuk memasang ikatan yang kuat dan saya melihat bahawa Zentyal disyorkan kepada anda dalam komen di atas, saya akan pergi sebelum penggambaran bermula.

    PS: Domain berdasarkan Windows adalah Mordor tetapi jika kita memasang Samba yang murni itu akan menjadi Gondor atau Rohan bukan? 😉

  5.   Federico kata

    Saya tidak mengesyorkan penggunaan Zentyal kepada sesiapa sahaja. Gunakan Windows kerana penggunaannya adalah kenyataan di banyak PKS. Mengenai kestabilan Zentyal, tanya rakan saya dan rakan sekerja Dhunter. 😉

  6.   Federico kata

    Pasti anda lakukan, kawan dhunter. Dengan Samba 4 ia akan dipanggil tierramedia.fan. 😉

  7.   Federico kata

    Bagi mereka yang sudah memuat turun artikel, berhati-hatilah dengan perkara berikut:
    Di mana mengatakan
    ; BERHATI-HATI DENGAN REKOD BERIKUT
    @ DI NS dnslinux.mordor.fan.
    @ DALAM 10.10.10.3

    Mesti cakap dengan betul

    ; BERHATI-HATI DENGAN REKOD BERIKUT
    @ DI NS dnslinux.mordor.fan.
    @ DALAM 10.10.10.5

    Rakan sekerja Eduardo Noel adalah orang yang menyedari kesalahan saya yang tidak disengajakan.

  8.   Federico kata

    Bagi mereka yang sudah memuat turun artikel, berhati-hatilah dengan perkara berikut:
    Di mana mengatakan
    ; BERHATI-HATI DENGAN REKOD BERIKUT
    @ DI NS dnslinux.mordor.fan.
    @ DALAM 10.10.10.3

    Mesti cakap dengan betul

    ; BERHATI-HATI DENGAN REKOD BERIKUT
    @ DI NS dnslinux.mordor.fan.
    @ DALAM 10.10.10.5

    Rakan sekerja Eduardo Noel adalah orang yang menyedari kesalahan saya yang tidak disengajakan.

  9.   penipu kata

    Bagi mereka yang merancang untuk menggunakan Zentyal untuk sesuatu yang serius saya memberi amaran agar anda berhati-hati, saya menggunakan dua pemacu Zentyal 4.2 (pada 14.04), mengemas kini semuanya dan berhati-hati dengan pepijat maksimum yang sangat jarang berlaku (dan lebih jarang terdapat jawapan dalam projek bugzilla, anda Mereka membuat anda merasa bodoh kerana menggunakan sesuatu yang anda hargai), mereka tidak mendapat maklum balas yang luar biasa untuk sementara waktu sehingga saya fikir mereka telah hilang dan tiba-tiba mereka melepaskan 5.0 tanpa kemungkinan penghijrahan dari 4.2… indah….

    Melaporkan pepijat ke versi komuniti tidak masuk akal kecuali anda berjalan bersama pembangun yang selalu menggunakan versi terbaru, lihat ini: https://tracker.zentyal.org/issues/5080#comment:14

    Pada akhirnya seseorang harus mati dengan versi yang agak stabil dan mengalahkannya sehingga ia bertahan, lihatlah barang-barang yang ada di zon saya:

    0 7 * * 1-6 /sbin/shutdown -r now

    Seperti yang saya katakan ... cantik!

    PS: Sepatutnya saya menghabiskan semua pekerjaan ini untuk menggunakan versi percuma, kononnya versi berbayar itu serius, tetapi saya rasa itu bukan strategi terbaik untuk mendapatkan pengguna, produk lain dengan model perniagaan yang serupa adalah Proxmox dan saya membandingkan versi berbayarnya untuk itu. untuk memberikan wang kepada projek dan bukan kerana versi percuma tidak lengkap, Proxmox adalah permata.

  10.   Ismael Alvarez Wong kata

    Helo Federico:
    Dengan setiap artikel baru anda berhenti, seakan-akan tidak cukup dengan semua yang dibahas dalam 3 catatan sebelumnya mengenai duo BIND + DHCP, sekarang anda menerbitkan artikel "trunk" ini (maafkan saya penjelasan) mengenai cara memindahkan DNS Microsoft ke BIND, bagaimana untuk memperbaruinya dari DHCP di Linux dan untuk mengatasi semua perkara di atas wujud bersama Direktori Aktif Microsoft.
    . Hebat semua yang berkaitan dengan rekod SRV DNS Direktori Aktif, zon langsungnya "_msdcs.dominio", cara menangkap dari Linux catatan zon -atau lebih banyak lagi dari DNS Microsoft AD untuk membuat Pangkalan Data kata Zon di BIND.
    . Ia sangat berguna untuk mengaktifkan Log pertanyaan dalam konfigurasi BIND.
    . SANGAT NILAI nasihat bahawa: Pelanggan yang memperoleh alamat IP melalui DHCP yang dipasang di Linux, tidak akan dapat menyelesaikan alamat IP namanya sendiri sehingga dia bergabung dengan domain Direktori Aktif. Dalam contoh makmal artikel, pertama-tama komputer "win7" diberi alamat IP 10.10.10.251 untuk membuat pemeriksaan DNS pada domain "mordor.fan", kemudian bergabung dari IP tetap itu ke Microsoft AD sehingga akhirnya ketika Sekiranya DHCP dipasang di Linux, inilah yang memberikan IPnya dan pada masa yang sama kemas kini "menembusi" BIND untuk menulis pendaftaran peralatan di Zon Maju dan Terbalik. PERGI LEBIH LANJUT ANDA TIDAK AKAN MENCARI!
    . Sangat baik semua pertimbangan mengenai Kemas kini Dinamik di Microsoft® DNS dan di BIND; serta semua nasihat yang dijelaskan di bahagian terakhir dan secara khusus semua pengembangan dan cadangan penyelesaian untuk "Majlis Tertentu yang saya masih belum begitu jelas."
    ! 5 BINTANG UNTUK PENULIS! dan saya mengikuti Seri PYMES dengan minat yang semakin meningkat!

  11.   Federico kata

    Dhunter: Menulis Suara Pengalaman. "Amalan adalah kriteria kebenaran terbaik."

    Wong: Saya sudah terlepas komen anda - pelengkap artikel. Semoga ada maklumat mengenai dnsmasq tidak lama lagi.

    Terima kasih atas komen anda berdua.

  12.   crespo88 kata

    Anda belum bercakap + mengenai pasangan yang dipanggil «El Fueguino», atau juga mengenai keputusannya untuk memulakan migrasi pelayannya. Anda mencuri yang lain dari Microsoft, hahaha !!!! ????

  13.   Federico kata

    hahahaha kawan crespo88. Saya melihat anda menyukai gelombang watak fiksyen. Sekiranya orang lain mempunyai lebih banyak pendapat seperti anda, ini dapat menjadikan artikel mengenai topik padat lebih menghiburkan. Mari tunggu komen lain mengenainya.