Dnsmasq en Active Directory - MKB-netwerken

Algemene index van de serie: Computernetwerken voor het MKB: inleiding

Hallo vrienden!. Om dit artikel correct te begrijpen en te volgen is essentieel zijn voorgangers lezen:

• Dnsmasq op CentOS 7.3
• BIND en Active Directory®

Ze leggen theoretische en praktische concepten uit waarnaar we in deze niet zullen verwijzen. We zullen de verdeling in het lopende jaar wijzigen in Debian 8.6 "Jessie" en we gaan door met dezelfde parameters die we gebruiken in BIND en Active Directory®.

• De procedure die in dit bericht wordt beschreven, is ook geldig voor CentOS 7. Het configuratiebestand / etc / dnsmasq is hetzelfde. Ik verklaar het omdat ik het niet nodig vind om een ​​apart artikel te maken voor Dnsmasq en Active Directory® gebaseerd op CentOS. Gelukkig zijn de mappen met betrekking tot documentatie en configuratie hetzelfde.
• De Dnsmaq is een creatie van Simon Kelley

Beperkingen op het gebruik van Dnsmasq

Vanwege het belang ervan herhalen we de GRENZEN die de Dnsmasq -run ondersteunt man dnsmasq- wat reflecteert precies het volgende:

GRENZEN

• De standaardwaarden voor resourcelimieten zijn over het algemeen conservatief en geschikt voor gebruik op router-apparaten. vastgelopen met trage processors en weinig geheugen. In hardware meer  staat, is het mogelijk om de limieten te verhogen, en nog veel meer te ondersteunen klanten. Het volgende is van toepassing op dnsmasq-2.37: eerdere versies niet ze klommen zo goed.
  

• Dnsmasq ondersteunt DNS en DHCP van ten minste duizend (1,000) klanten. Leasetijden mogen niet te kort zijn (minder dan één tijd). De waarde van –dns-forward-max kan worden verhoogd: begin met het equivalent van het aantal klanten en verhoog het als het DNS. Merk op dat DNS-prestaties ook afhankelijk zijn van de servers Stroomopwaartse DNS. De grootte van de DNS-cache kan worden vergroot: de limiet Vereist is 10,000 namen en de standaardwaarde (150) is erg laag. Door een SIGUSR1 naar dnsmasq te sturen, wordt bitacore-informatie gemaakt handig voor het verfijnen van de cachegrootte. Zie het gedeelte OPMERKINGEN voor details.

• De ingebouwde TFTP-server kan meerdere overdrachten ondersteunen gelijktijdige bestanden: de absolute limiet is gerelateerd aan het aantal bestandsbeugels dat is toegestaan ​​voor een proces en het vermogen van het systeemtem aanroep select () om grote aantallen bestandshandvatten te ondersteunen. Als de limiet te hoog is ingesteld met –tftp-max, wordt deze ontschaald en wordt de werkelijke limiet bij het opstarten geklokt. Merk op dat meer transfers zijn mogelijk wanneer hetzelfde bestand wordt verzonden, wat wanneer elke transferencia stuurt een ander bestand. Het is mogelijk om dnsmasq te gebruiken om webreclame te weigeren met behulp van een lijst met bekende bannerservers, allemaal omgezet naar 127.0.0.1 of 0.0.0.0 in / etc / hosts of in een extra hosts-bestand. De lijst kan erg lang zijn. Dnsmasq is met succes getest met een miljoen namen. Die bestandsgrootte heeft een CPU van 1 GHz nodig en is bij benadering60 MB RAM.

• Dnsmasq ondersteunt DNS en DHCP van ten minste duizend (1,000) klanten.

Laten we Jessie en Dnsmasq installeren en configureren

We beginnen met een nieuwe en schone installatie van een server op basis van Debian 8 "Jessie". Dat wil zeggen, het besturingssysteem zonder enige grafische interface of een ander geïnstalleerd pakket. De netwerkparameters zijn dezelfde als die in het artikel worden gebruikt BIND en Active Directory®:

Domeinnaam mordor.fan LAN-netwerk 10.10.10.0/24 ==================================== == ========================================= Doel van het IP-adres van servers (Servers met besturingssysteem Windows ) ================================================ = ==============================
sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2
mamba.mordor.fan. 10.10.10.4 Windows-bestandsserver
dns.mordor.fan 10.10.10.5 DnsMasq Server op Jessie
darklord.mordor.fan. 10.10.10.6 Proxy, gateway en firewall op Kerios troll.mordor.fan. 10.10.10.7 Blog gebaseerd op ... kan shadowftp.mordor.fan niet herinneren. 10.10.10.8 FTP-server blackelf.mordor.fan. 10.10.10.9 Volledige e-maildienst blackspider.mordor.fan. 10.10.10.10 WWW-service palantir.mordor.fan. 10.10.10.11 Chatten op Openfire voor Windows Real CNAME ================================ sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

Initiële dns.mordor.fan serverinstellingen

root @ dns: ~ # nano / etc / hostnaam
dns

root @ dns: ~ # nano / etc / hosts
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # De volgende regels zijn wenselijk voor IPv6-geschikte hosts: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

root @ dns: ~ # nano / etc / netwerk / interfaces
# Dit bestand beschrijft de netwerkinterfaces die beschikbaar zijn op uw systeem # en hoe u deze kunt activeren. Zie interfaces (5) voor meer informatie. source /etc/network/interfaces.d/* # De loopback-netwerkinterface auto lo iface lo inet loopback # De primaire netwerkinterface allow-hotplug eth0 iface eth0 inet statisch adres 10.10.10.5 netmask 255.255.255.0 netwerk 10.10.10.0 uitzending 10.10.10.255. 10.10.10.1 gateway 127.0.0.1 # dns- * opties worden geïmplementeerd door het resolvconf-pakket, indien geïnstalleerd dns-naamservers XNUMX dns-search mordor.fan

Laten we de Dnsmasq en htop installeren

root @ dns: ~ # aptitude install dnsmasq htop

Na het installeren van het pakket htop we kunnen het CPU- en geheugenverbruik van de apparatuur controleren. Het verbruikte slechts ongeveer 71 megabyte RAM. Als we het verbruik nog meer willen verlagen, kunnen we het pakket installeren SSMTP -gemakkelijk MTA- die op zijn beurt het pakket zuivert exim4 dat Debian altijd standaard installeert en dat we echt niet nodig hebben volgens het gebruik dat we aan deze server zullen geven:

root @ dns: ~ # aptitude install ssmtp
root @ dns: ~ # aptitude purge ~ c
root @ dns: ~ # aptitude clean
root @ dns: ~ # aptitude autoclean
root @ dns: ~ # systemctl herstart

Na het herstarten van de computer is het verbruik als volgt:

Laag, toch? Laten we verder gaan.

Laten we aangeven dat Dnsmasq ook Microsft® DNS raadpleegt

Om de mogelijke Dnsmasq-configuraties op uw computer te testen dns.mordor.fanmoeten we een verklaring opnemen die aangeeft dat de Microsoft DNS van de server wordt geraadpleegd sauron.mordor.fan. We kunnen het inclusief de richtlijn doen server = / mordor.fan / 10.10.10.3 in het archief dnsmasq.conf -zoals we later zullen zien- of de regel toevoegen nameserver 10.10.10.3 in het archief / Etc / resolv.conf. Omdat we de Dnsmasq nog niet hebben geconfigureerd volgens onze behoeften, kiezen we voor de tweede manier:

root @ dns: ~ # nano /etc/resolv.conf
domein mordor.fan
nameserver 127.0.0.1
nameserver 10.10.10.3

We kunnen nu DNS-vragen oplossen

Met de standaardconfiguratie van Dnsmasq geleverd door het hoofdbestand /etc/dnasmq.conf, en met wat er in het bestand wordt gedeclareerd / Etc / resolv.conf van de server zelf «dns«, Elke client die is verbonden met het LAN -en die heeft gedeclareerd als DNS-server dns.mordor.fan- u kunt DNS-vragen oplossen ten koste van Microsoft® DNS voor nu…

• Het is erg belangrijk om de reactiesnelheid van de Dnsmasq te controleren wanneer de status wordt weergegeven als expediteur door de loutere opname van de IP 10.10.10.3 in uw bestand / Etc / resolv.conf.

Vanuit mijn administratieve werkstation en ondersteuning van alle parafernalia waarmee ik schrijf, voer ik uit:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Gegenereerd door NetworkManager-domein mordor.fan naamserver 10.10.10.5

buzz @ sysadmin: ~ $ nslookup
> dns
Server: 10.10.10.5 Adres: 10.10.10.5 # 53 Naam: dns.mordor.fan Adres: 10.10.10.5

> Sauron
Server: 10.10.10.5 Adres: 10.10.10.5 # 53

Niet-gezaghebbend antwoord:
Naam: sauron.mordor.fan Adres: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: 10.10.10.5 Adres: 10.10.10.5 # 53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan canonieke naam = sauron.mordor.fan. Naam: sauron.mordor.fan Adres: 10.10.10.3

> 10.10.10.3
Server: 127.0.0.1 Adres: 127.0.0.1 # 53 3.10.10.10.in-addr.arpa naam = sauron.mordor.fan.

> 10.10.10.9
Server: 127.0.0.1 Adres: 127.0.0.1 # 53 9.10.10.10.in-addr.arpa naam = blackelf.mordor.fan.

> 10.10.10.5
Server: 127.0.0.1 Adres: 127.0.0.1 # 53 5.10.10.10.in-addr.arpa naam = dns.mordor.fan.

> mail
Server: 10.10.10.5 Adres: 10.10.10.5 # 53 Niet-gezaghebbend antwoord: mail.mordor.fan canonieke naam = blackelf.mordor.fan. Naam: blackelf.mordor.fan Adres: 10.10.10.9> exit

buzz @ sysadmin: ~ $

Laten we de volgende aspecten eens nader bekijken:

• dns.mordor.fan beantwoordt direct DNS-vragen die het kan oplossen volgens uw huidige Dnsmasq-instellingen. Als je ze niet kunt oplossen, werkt het als expediteur en vraagt ​​IP 10.10.10.3 of het de vraag kan beantwoorden. Op de vraag naar het IP-adres van de apparatuur «dns«, Antwoordt hij direct. Wanneer de Dnsmasq wordt gevraagd wie het is «Sauron",?, doet expeditie naar 10.10.10.3 -U kunt niet direct antwoorden omdat u het nog niet hebt geregistreerd- die een correct niet-autoritair antwoord terugstuurt.
• Op de vraag wie is «03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan"?, doet expeditie opnieuw en deze keer ontvangt u een gezaghebbende reactie van Microsoft® DNS.
• De hoge reactiesnelheid van Dnsmasq voor elk type vraag.

Het zijn kleine details die een liefde groot maken ;-).

Fundamentele verschillen tussen Dnsmasq en BIND geïntegreerd met een Active Directory®

Laten we een paar DNS-zoekopdrachten uitvoeren op de records SOA y NS van het domein mordor.fan, aan elk van de betrokken nameservers:

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.3
Met domeinserver: Naam: 10.10.10.3 Adres: 10.10.10.3 # 53 Aliassen: 
mordor.fan heeft SOA-record sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.5
Met domeinserver: Naam: 10.10.10.5 Adres: 10.10.10.5 # 53 Aliassen: 
mordor.fan heeft SOA-record sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.5
Met domeinserver: Naam: 10.10.10.5 Adres: 10.10.10.5 # 53 Aliassen: 
mordor.fan naamserver sauron.mordor.fan.

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.3
Met domeinserver: Naam: 10.10.10.3 Adres: 10.10.10.3 # 53 Aliassen: 
mordor.fan naamserver sauron.mordor.fan.

De antwoorden zijn identiek - wat logisch is - omdat altijd responde sauron.mordor.fan. voor een DNS-vraag over records SOA o NS, Hoewel eruit zien wat antwoordt hij dns.mordor.fan. Het verschilt echter van wat in het artikel wordt gezien BIND en Active Directory® waar we de functionaliteit van Microsoft® DNS volledig hadden verwijderd. In dat artikel ALLE DNS-vragen over de Domino-naamruimte mordor.fan De BIND beantwoordde ze, omdat we het op die manier hebben geconfigureerd en omdat de BIND vragen beantwoordt SOA y NS naast het toestaan ​​van de regeling Meester - Slaaf, Zone-overdracht, enz., En daarom is het een completere DNS-server - complex.

Misschien zijn dat de belangrijkste verschillen tussen de DNS van de Dnsmasq en de BIND ... maar BIND - er kunnen altijd een of meer maren zijn - heeft geen DHCP-server die naadloos integreert met een DNS-server in één demon, en zonder de noodzaak van TSIG-sleutels, configuratiebestanden, zonedatabases, enz., zoals we in eerdere artikelen hebben gezien.

• Ik denk dat beste lezers nu zullen beseffen dat ik BIND niet haat of Dnsmasq verkies boven BIND. Toekomstige discussies hierover zijn totale tijdverspilling, omdat het veel te maken heeft met behoeften, eisen, smaken, voorkeuren en .... elke oplossing heeft zijn charme ;-).

• Laat in vergelijkbare scenario's iedereen de software van hun keuze en waarover ze meer weten, installeren en configureren. en dat alles werkt zoals verwacht.

Voordelen van de combinatie Dnsmasq + Active Directory®

Met deze combinatie hebben we het volledige scala aan antwoorden op DNS-vragen en een efficiënte manier om IP-adressen te leasen voor ons MKB-LAN. Zoals we later zullen zien, werkt het correct voor elke situatie met betrekking tot het al dan niet koppelen van de computer aan de Microsoft® Active Directory® Domain Controller. Daarnaast hebben we een DNS- en DNS-server expediteur bij uitstek, plus een zeer snelle DHCP-server. En allemaal met weinig vraag naar middelen. Wil je nog meer?

Is het mogelijk Dnsmasq + BIND?

Zeker ja. Hoewel ik aanbeveel om ze op verschillende computers te installeren, zodat er geen botsingen zijn vanwege de geliefde poort 53 van de DNS-service. Misschien en we zullen er iets van zien als we bij de op Samba 4 gebaseerde AD-DC komen. Wie weet?

Tips over Dnamasq

• De essentiële werkbestanden voor Dnsmasq om DHCP- en DNS-services op een LAN te leveren zijn: /etc/dnsmasq.conf, / Etc / hosts, /var/lib/misc/dnsmasq.leasesEn / Etc / resolv.conf. Het bestand dnsmasq.huurt het wordt aangemaakt wanneer u uw eerste IP-adres least.
• Een ander taakbestand dat u kunt gebruiken, is / etc / ethers. Als er zo'n bestand bestaat, wordt de instructie lees-ethers gedeclareerd in het configuratiebestand, vertelt Dnsmasq om het te lezen. Het is erg handig als we een relatie hebben MAC-adressen / hostnamen voor bepaalde doeleinden.
• De DNS-service kan volledig worden uitgeschakeld met behulp van de richtlijn port = 0 in dnsmasq.conf.
• DHCP-service voor een of meer netwerkinterfaces kan worden uitgeschakeld door middel van richtlijnen, één voor elke lijn no-dhcp-interface = eth0, no-dhcp-interface = eth1, enzovoort. Erg handig als we voor een team staan ​​met 2 of meer netwerkinterfaces en we willen dat de DHCP-service alleen door één van hen wordt geleverd of door niemand. Als we de DHCP-service voor alle interfaces uitschakelen, laten we natuurlijk alleen de DNS-service draaien. Als we beide services uitschakelen, waarom hebben we dan Dnsmasq nodig? 😉
• Om dat aan andere DNS Domain Name Servers te verklaren geen zijn openbaar of extern aan het LAN -zoals in het geval van Microsoft DNS- doen we dit via de richtlijn server = / domeinnaam / DNS-server IP in het archief /etc/dnsmasq.conf. Voorbeeld: server = / mordor.fan / 10.10.10.3.
• Om Dnsmasq te vertellen dat vragen over lokale domeinen alleen vanuit het bestand worden beantwoord / Etc / hosts of via uw DHCP, we moeten de richtlijn toevoegen local = / localnet / in het hoofdbestand van uw configuratie. Voorbeeld: local = / mordor.fan /.
• Om het bestand correct te configureren / Etc / resolv.conf - resolver we raden aan de handleiding te lezen met het commando man resolv.conf. Als u Debian 8.6 "Jessie" installeert, zult u zien dat het goed in het Spaans is geschreven.
• Dnsmasq gebruikt geen Zones-bestanden om directe of omgekeerde vragen te beantwoorden.
• Om de betekenis van elk veld te kennen «speciaal»Dat wordt gebruikt bij de aangifte van een SRV Resource Record, dient u te raadplegen BIND en Active Directory®. De syntaxis van de SRV-records in het bestand /etc/dnsmasq.conf Het is als volgt:

  srv-host = , , , ,

Lezers die meer willen weten, lees het originele bestand zorgvuldig door /etc/dnsmasq.conf of bestaande documenten in de directory / usr / share / doc / dnsmasq-base.

root @ dns: ~ # ls -l / usr / share / doc / dnsmasq-base /
totaal 128 -rw-r - r-- 1 root root 883 5 mei 2015 copyright -rw-r - r-- 1 root root 36261 5 mei 2015 changelog.archive.gz -rw-r - r-- 1 root root 11297 5 mei 2015 changelog.Debian.gz -rw-r - r-- 1 root root 26014 5 mei 2015 changelog.gz -rw-r - r-- 1 root root 2084 5 mei 2015 DBus-interface. Gz -rw- r - r-- 1 root root 4297 5 mei 2015 doc.html drwxr-xr-x 2 root root 4096 19 februari 17:52 voorbeelden -rw-r - r-- 1 root root 9721 5 mei 2015 FAQ.gz -rw -r - r-- 1 root root 4180 5 mei 2015 README.Debian -rw-r - r-- 1 root root 12019 5 mei 2015 setup.html

Laten we Dnsmasq en Resolver configureren

We nemen als eerste gids - het wijzigen van de namen en andere natuurlijk - het configuratiebestand dat in het artikel wordt gebruikt «Dnsmasq op CentOS 7.3".

Laten we de volgende stap niet vergeten:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Vaste IP-adressen

De adressen van de servers of apparatuur die een vast IP-adres vereisen, beide IPv4 als IPv6- worden gedeclareerd in het bestand / Etc / hosts:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost # De volgende regels zijn wenselijk voor IPv6-geschikte hosts: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters # Servers en computers met vaste IP's. 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8. 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

Laten we het bestand /etc/dnsmasq.conf maken

[root @ dns ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # ALGEMENE OPTIES # ---------------------------- - -------------------------------------- domein-nodig # Geef geen namen door zonder het domein part bogus-priv # Geef geen adressen door in niet-gerouteerde ruimte expand-hosts # Automatisch domein toevoegen aan hostinterface = eth0 # Interface.  PAS OP voor de interface # behalve-interface = eth1 # Luister NIET naar deze strikte NIC-volgorde # Volgorde waarin u het /etc/resolv.conf-bestand raadpleegt # Voeg veel meer configuratie-opties toe # via een bestand of door de configuratie # te lokaliseren # extra bestanden in een map # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # Met betrekking tot de domeinnaam domein = mordor.fan # Domeinnaam # De tijdserver is 10.10.10.1. 10.10.10.1 address = / time.windows.com / XNUMX # Stuurt een lege optie van de WPAD-waarde.  Vereist voor # Windos 7 en latere clients om zich correct te gedragen.  ;-) dhcp-option = 252, "\ n" # Bestand waarin we de HOSTS zullen aangeven die zullen worden "verbannen" addn-hosts = / etc / banner_add_hosts # Raadpleeg de Microsoft® DNS-server "sauron" als we # dit toestaan run server = / mordor.fan / 10.10.10.3 # Vragen over lokale domeinen worden # beantwoord vanuit / etc / hosts of via lokale DHCP = / mordor.fan / # Vragen over PTR of omgekeerde records worden # door de servers beantwoord " dns "en" sauron "in die volgorde server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3 # ------- - ------------------------------------------------- - --------- # REGISTROSCNAMEMXTXT # ------------------------------------- - ----------------------------- # Dit type registratie vereist een nummer # in het / etc / hosts # bestand, bijvoorbeeld: 10.10.0.7. 10 troll.mordor.fan troll # cname = ALIAS, REAL_NAME cname = ad-dc.mordor.fan, sauron.mordor.fan cname = fileserver.mordor.fan, mamba.mordor.fan cname = proxyweb.mordor.fan, darklord .mordor.fan cname = blog.mordor .fan, troll.mordor.fan cname = ftpserver.mordor.fan, shadowftp.mordor.fan cname = mail.mordor.fan, blackelf.mordor.fan cname = www.mordor.fan, blackspider.mordor.fan cname = opendire .mordor.fan, palantir.mordor.fan # MX RECORDS # Geeft een MX-record terug met de naam "mordor.fan" bestemd # voor het blackelf.mordor.fan team en prioriteit van 10 mx-host = mordor.fan, mail. mordor.fan, XNUMX # De standaardbestemming voor MX-records die worden gemaakt # met de localmx-optie is: mx-target = mail.mordor.fan # Retourneert een MX-record dat naar het mx-target verwijst voor ALLE # lokale localmx-machines # TXT-records. 

dhcp-lease-max = 222 # Maximaal aantal adressen om te leasen
                        # is standaard 150
# IPV6 Bereik # dhcp-bereik = 1234 ::, ra-only # Opties voor BEREIK # OPTIES dhcp-option = 1,255.255.255.0 # NETMASK dhcp-optie = 3,10.10.10.253 # ROUTER GATEWAY dhcp-optie = 6,10.10.10.5. 15 # DNS-servers dhcp-option = 19,1, mordor.fan # DNS-domeinnaam dhcp-option = 28,10.10.10.255 # optie ip-forwarding AAN dhcp-option = 42,10.10.10.1 # BROADCAST dhcp-option = 40. 41,10.10.10.3 # NTP # dhcp-option = 44,10.10.10.3, MORDOR # NIS Domeinnaam # dhcp-option = 45,10.10.10.3 # NIS Server # dhcp-option = 73,10.10.10.3 # WINS # dhcp-option = 46,8 # NetBIOS-datagrammen # dhcp-option = XNUMX # Finger Server # dhcp-option = XNUMX # NetBIOS-knooppunt dhcp-autoritatief # Gezaghebbende DHCP in het subnet # ------------- - ------------------------------------------------- - --- # --------------------------------------------- - --------------------- # LOGGING tail -f / var / log / syslog of journalctl -f # ------------ - ------------------------------------------------- - ---- log-queries # ----------------------------------------- - ------------------------- # Re A- en SRV-records die overeenkomen met Active Directory # ----------------------------------------- --------------------------
# Records A
adres = / gc._msdcs.mordor.fan / 10.10.10.3 adres = / DomainDnsZones.mordor.fan / 10.10.10.3 adres = / ForestDnsZones.mordor.fan / 10.10.10.3

# Microsoft DNS Zone CNAME-record _msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# SRV-records
# srv-host = , , , ,

# Globale catalogus # Microsoft DNS-zone _msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan, sauron.mordor.fan, 3268,0,0
# Microsoft DNS-zone mordor.fan
srv-host = _gc._tcp.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan, sauron.mordor.fan .3268,0,0

# Gewijzigde en privé LDAP van een Active Directory
# Microsoft DNS-zone _msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# Microsoft DNS-zone mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# KERBEROS gewijzigd en privé vanuit een Active Directory
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

# END van het bestand /etc/dnsmasq.conf
# ------------------------------------------------- ------------------

Laten we het bestand / etc / banner_add_host maken

[root @ dns ~] # nano / etc /banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq --test
dnsmasq: syntaxis check OK.

[root @ dns ~] # systemctl herstart dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service

Laten we het bestand /etc/resolv.conf - Resolver aanpassen

root @ dns: ~ # nano /etc/resolv.conf 
domein mordor.fan zoek mordor.fan

Waarom hebben we niet de gebruikelijke regels gedeclareerd in het bestand? oplossen.conf? Omdat we verklaren in de dnsmasq.conf de volgende richtlijnen:

# Raadpleeg de Microsoft® DNS-server "sauron" als we # laten draaien
server = / mordor.fan / 10.10.10.3

# Vragen over lokale domeinen worden # beantwoord vanuit / etc / hosts of via DHCP
local = / mordor.fan /

# Vragen over PTR of omgekeerde records worden # beantwoord door de "dns" en "sauron" servers in die volgorde
server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3

Query's van sysadmin.mordor.fan

het bestand / Etc / resolv.conf van dit team is:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf
# Gegenereerd door NetworkManager-zoekopdracht mordor.fan naamserver 10.10.10.5

buzz @ sysadmin: ~ $ host -t Naar spynet4.microsoft.com
spynet4.microsoft.com heeft adres 127.0.0.1

buzz @ sysadmin: ~ $ host -t Naar www.download.windowsupdate.com
www.download.windowsupdate.com heeft adres 127.0.0.1

gezoem@sysadmin: ~ $ dig dns
buzz @ sysadmin: ~ $ graven dns.mordor.fan
;; VRAAG SECTIE :; dns.mordor.fan. IN EEN ;; ANTWOORD-SECTIE: dns.mordor.fan. 0 IN EEN 10.10.10.5

buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs
buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fan heeft SRV-record 0 0 3268 sauron.mordor.fan.

buzz @ sysadmin: ~ $ dig _ldap._tcp.gc._msdcs.mordor.fan
;; VRAAG SECTIE :; _ldap._tcp.gc._msdcs.mordor.fan. IN EEN ;; ANTWOORD-SECTIE: _ldap._tcp.gc._msdcs.mordor.fan. 0 IN EEN 10.10.10.3

buzz @ sysadmin: ~ $ dig mordor.fan axfr
buzz @ sysadmin: ~ $ dig 10.10.10.in-addr.arpa axfr

En op deze manier, hoeveel consulten hebben we nodig

Dnsmasq + Active Directory® + Microsoft® Windows-clients

De naam van een Microsoft® Windows-client wijzigen

zeven.mordor.fan gehuurd IP-adres:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

Laten we de naam van de «zeven»-Die niet is toegevoegd aan het Active Directory-domein- door«eucalyptus«. Na de wijziging en de herstart controleren we:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

De geschiedenis van de wijzigingen is te zien in "sysadmin":

buzz @ sysadmin: ~ $ host -t A zeven
seven.mordor.fan heeft adres 10.10.10.115

Na de naamswijziging

buzz @ sysadmin: ~ $ host -t A zeven
zeven heeft geen A-record

buzz @ sysadmin: ~ $ host -t Een eucaliptus
eucaliptus.mordor.fan heeft adres 10.10.10.115

Query's van de client eucaliptus.mordor.fan

Microsoft Windows [versie 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alle rechten voorbehouden.

C: \ Users \ buzz> nslookup
Standaardserver: dns.mordor.fan Adres: 10.10.10.5

> sauron
Server: dns.mordor.fan Adres: 10.10.10.5 Naam: sauron.mordor.fan Adres: 10.10.10.3

> mordor.fan
Server: dns.mordor.fan Adres: 10.10.10.5 Naam: mordor.fan Adres: 10.10.10.3

> eucalyptus
Server: dns.mordor.fan Adres: 10.10.10.5 Naam: eucaliptus.mordor.fan Adres: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: dns.mordor.fan Adres: 10.10.10.5 Naam: sauron.mordor.fan Adres: 10.10.10.3 Aliassen: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> stel type = SRV in
> _kerberos._udp.mordor.fan
Server: dns.mordor.fan Adres: 10.10.10.5 _kerberos._udp.mordor.fan SRV-servicelocatie: prioriteit = 0 gewicht = 0 poort = 88 svr hostnaam = sauron.mordor.fan sauron.mordor.fan internetadres = 10.10.10.3. XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
Server: dns.mordor.fan Adres: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV-servicelocatie: prioriteit = 0 gewicht = 0 poort = 389 svr hostnaam = sauron .mordor.fan sauron.mordor.fan internetadres = 10.10.10.3

> afsluiten

C: \ Users \ buzz>

Registratie van Windows-clients in Microsoft® DNS

Windows-clients die niet zijn toegevoegd aan het Active Directory®-domein

We moeten controleren of de IP-adressen die door de verschillende Windows-clients van Dnsmasq worden geleasd, correct zijn geregistreerd in Microsoft® DNS. Het kan invloed hebben de manier waarop we dynamische updates inschakelen - Dynamische updates in de Microsoft® DNS-zones van de Active Directory®. We gaan uit van de standaardconfiguratie van Microsoft DNS die alleen Secure Dynamic Updates toestaat - Dynamische updates -> Alleen beveiligd, in elk van zijn zones.

Merk op dat de klant met de huidige FQDN eucalyptus.mordor.fan geen is gekoppeld aan het Active Directory-domein (of een Samba4 AD-DC), en vormt een uitzondering op de regel van Microsoft dat «Alleen klanten die zijn geregistreerd in My Domain hebben toestemming via My Update Mechanism -wat ik alleen weet- om te registreren in My DNS«. Gelukkig leert de Samba4 AD-DC ons er iets over.

eucalyptus.mordor.fan gehuurd IP 10.10.10.115:

buzz @ sysadmin: ~ $ host -t Een eucaliptus
eucaliptus.mordor.fan heeft adres 10.10.10.115

Laten we de naam veranderen in «mahonie«, Laten we Windows 7 opnieuw opstarten, en kijken wat er gebeurt als we naar de namen vragen«eucalyptus"En"mahonie»Naar elk van de DNS, eerst naar Microsoft DNS en vervolgens naar Dnsmasq:

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.3
Met domeinserver: Naam: 10.10.10.3 Adres: 10.10.10.3 # 53 Aliassen: 

Host eucaliptus.mordor.fan niet gevonden: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Een mahonie.mordor.fan 10.10.10.3
Met domeinserver: Naam: 10.10.10.3 Adres: 10.10.10.3 # 53 Aliassen: 

Host mahogany.mordor.fan niet gevonden: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.5
Met domeinserver: Naam: 10.10.10.5 Adres: 10.10.10.5 # 53 Aliassen: 

Host eucaliptus.mordor.fan niet gevonden: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Een mahonie.mordor.fan 10.10.10.5
Met domeinserver: Naam: 10.10.10.5 Adres: 10.10.10.5 # 53 Aliassen: 

mahonie.mordor.fan heeft adres 10.10.10.115

We kunnen de naam van de Windows 7-client wijzigen geen is gekoppeld aan het domein mordor.fan van de Active Directory® zo vaak als we willen, dat de Microsoft® DNS deze wijzigingen niet ontdekt of dat er een dergelijke client bestaat. Is het mogelijk dat het alleen is omdat we de optie hebben geselecteerd?  Dynamische updates -> Alleen beveiligd in elke zone van de Micorosft DNS?.

Om ervoor te zorgen dat Mr. Microsoft® DNS op de hoogte is van de wijzigingen, moeten we selecteren Dynamische updates -> Onveilig en beveiligd. Deze optie, beste lezers, impliceert een aanzienlijke kwetsbaarheid van de beveiliging van elke Domain Name Server die wordt gerespecteerd, of het nu Microsft® of UNIX® / Linux is. De Microsoft® DNS waarschuwt voor de kwetsbaarheid omdat het uiteindelijk niets meer is dan een aangepaste en geprivatiseerde BIND om ons «Beveiliging voor de duisternis«. Zo nee, waarom raadt u aan te besparen op uw beroemde registratie alle DNS-instellingen en records van uw Microsoft® DNS wanneer we een Active Directory®? implementeren. Naast de ondersteuning van onveilige updates voor Microsoft® DNS, is de volgende wijziging vereist in de configuratie van de Windows 7-clientnetwerkkaart:

Laten we het controleren:

buzz @ sysadmin: ~ $ host -t Een mahonie.mordor.fan 10.10.10.3
Gebruik van domeinserver: Naam: 10.10.10.3 Adres: 10.10.10.3 # 53 Aliassen: mahogany.mordor.fan heeft adres 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.3
Gebruik van domeinserver: Naam: 10.10.10.3 Adres: 10.10.10.3 # 53 Aliassen: 115.10.10.10.in-addr.arpa domeinnaam pointer mahogany.mordor.fan.

buzz @ sysadmin: ~ $ host -t Een mahonie 10.10.10.5
Gebruik van domeinserver: Naam: 10.10.10.5 Adres: 10.10.10.5 # 53 Aliassen: mahogany.mordor.fan heeft adres 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.5
Gebruik van domeinserver: Naam: 10.10.10.5 Adres: 10.10.10.5 # 53 Aliassen: 115.10.10.10.in-addr.arpa domeinnaam pointer mahogany.mordor.fan.

Ja nu. Wat een mooie synchronisatie voor twee DNS-servers die op geen enkele manier zijn gesynchroniseerd, toch?

Windows-clients die zijn toegevoegd aan Active Directory®-domein

Laten we de klant verenigen mahonie.mordor.fan naar het domein, maar niet voordat we de wijziging die we in de configuratie van uw netwerkkaart hebben aangebracht, hebben geëlimineerd, als we het ooit hebben gedaan om het punt van het vorige hoofdstuk te controleren. Verwijder ook de vermelding voor «mahonie»In het Microsoft® DNS, en retourneer de dynamische updates naar hun punt van oorsprong van «Alleen veilig«. Het is overigens geldig om de Microsoft-service opnieuw te starten® DNS.

Na toetreding tot het domein, en ondanks al onze inspanningen, zal de klantmahonie»Is niet geregistreerd in Microsoft® DNS. We hebben zelfs verklaard in de dnsmasq.conf - tijdelijk - dat de eerste DNS-server 10.10.10.3 is.

Microsoft Windows [versie 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alle rechten voorbehouden.

C: \ Users \ saruman> ipconfig / all

Windows IP-configuratie hostnaam. . . . . . . . . . . . : MAHONIE Primaire DNS-achtervoegsel. . . . . . . : mordor.fan Knooppunttype. . . . . . . . . . . . : Hybride IP-routering ingeschakeld. . . . . . . . : Geen WINS-proxy ingeschakeld. . . . . . . . : Geen DNS-achtervoegselzoeklijst. . . . . . : mordor.fan Ethernet-adapter Local Area Connection: verbindingsspecifieke DNS-achtervoegsel. : mordor.fan Beschrijving. . . . . . . . . . . : Intel (R) PRO / 1000 MT Fysiek adres netwerkverbinding. . . . . . . . . : 00-0C-29-D6-14-36 DHCP ingeschakeld. . . . . . . . . . . : Ja Automatische configuratie ingeschakeld. . . . : Ja Link-lokaal IPv6-adres. . . . . : fe80 :: 352a: b954: 7eba: 963e% 12 (voorkeur) IPv4-adres. . . . . . . . . . . : 10.10.10.115 (voorkeur) Subnetmasker. . . . . . . . . . . : 255.255.255.0 Huurovereenkomst verkregen. . . . . . . . . . : Zaterdag 25 februari 2017 8:19:05 uur huurovereenkomst verloopt. . . . . . . . . . : Zaterdag 25 februari 2017 4:20:36 PM Default Gateway. . . . . . . . . : 10.10.10.253 DHCP-server. . . . . . . . . . . : 10.10.10.5 DHCPv6 IAID. . . . . . . . . . . : 251661353 DHCPv6-client DUID. . . . . . . . : 00-01-00-01-20-3B-69-81-00-0C-29-D6-14-36

   DNS-servers. . . . . . . . . . . : 10.10.10.3
                                       10.10.10.5
   NetBIOS via Tcpip. . . . . . . . : Ingeschakeld Tunnel-adapter isatap.mordor.fan: Media State. . . . . . . . . . . : Media verbroken Verbindingsspecifiek DNS-achtervoegsel. : mordor.fan Beschrijving. . . . . . . . . . . : Fysiek adres van Microsoft ISATAP-adapter. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP ingeschakeld. . . . . . . . . . . : Geen automatische configuratie ingeschakeld. . . . : Ja Tunneladapter Local Area Connection * 9: Media State. . . . . . . . . . . : Media verbroken Verbindingsspecifiek DNS-achtervoegsel. : Omschrijving. . . . . . . . . . . : Fysiek adres van Microsoft Teredo Tunneling Adapter. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP ingeschakeld. . . . . . . . . . . : Geen automatische configuratie ingeschakeld. . . . : En het is

C: \ Users \ saruman>

buzz @ sysadmin: ~ $ host -t Een mahonie.mordor.fan 10.10.10.3
Gebruik van domeinserver: Naam: 10.10.10.3 Adres: 10.10.10.3 # 53 Aliassen: Host caoba.mordor.fan niet gevonden: 3 (NXDOMAIN)

gezoem@sysadmin: ~ $ host -t Naar mahonie.mordor.fan
mahonie.mordor.fan heeft adres 10.10.10.115

• De enige manier waarop de klant is geregistreerd «mahonie»In Microsft® wijzigt DNS uw netwerkkaart zoals aangegevenó in de vorige afbeelding, dat wil zeggen, expliciet vermelden dat: het DNS-achtervoegsel voor de verbinding mordor.fan is, dat het het adres van de verbinding in DNS registreert en dat het het gedeclareerde DNS-achtervoegsel gebruikt bij het registreren van de verbinding.

buzz @ sysadmin: ~ $ host -t Een mahonie.mordor.fan 10.10.10.3
Gebruik van domeinserver: Naam: 10.10.10.3 Adres: 10.10.10.3 # 53 Aliassen: mahogany.mordor.fan heeft adres 10.10.10.115

buzz @ sysadmin: ~ $ host -t Een mahonie.mordor.fan
mahonie.mordor.fan heeft adres 10.10.10.115

Laten we de naam veranderen van 'mahonie' in 'ceder'

buzz @ sysadmin: ~ $ host -t Een mahonie.mordor.fan 10.10.10.3
Gebruik van domeinserver: Naam: 10.10.10.3 Adres: 10.10.10.3 # 53 Aliassen: Host caoba.mordor.fan niet gevonden: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Naar cedar.mordor.fan 10.10.10.3
Gebruik van domeinserver: Naam: 10.10.10.3 Adres: 10.10.10.3 # 53 Aliassen: cedro.mordor.fan heeft adres 10.10.10.115

buzz @ sysadmin: ~ $ host -t Een mahonie.mordor.fan 10.10.10.5
Gebruik van domeinserver: Naam: 10.10.10.5 Adres: 10.10.10.5 # 53 Aliassen: Host caoba.mordor.fan niet gevonden: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Naar cedar.mordor.fan 10.10.10.5
Gebruik van domeinserver: Naam: 10.10.10.5 Adres: 10.10.10.5 # 53 Aliassen: cedro.mordor.fan heeft adres 10.10.10.115

En dat is allemaal normaal, zoals Microsoft®-clients en Microsoft® DNS graag zien.

Laten we werken met Microsoft® DHCP en Microsoft® DNS

Beste lezers, dit hoofdstuk is buiten de context van een blog gewijd aan Vrije Software. Zie Microsoft® Help. Ze geloven niet ?. 😉

Conclusies

Er zijn verschillende manieren om de Microsoft® DNS te laten werken als we deze samen laten bestaan ​​in een MKB-netwerk met de Dnsmasq. Onder hen zullen we alleen het volgende noemen:

• Stop de Microsoft® DNS-service volledig op de computer waarop deze wordt uitgevoerd, en geef daarna aan dat het opstarten van de service is uitgeschakeld. Schakel in de configuratie van de netwerkkaart van elke Microsoft®-client de optie uit om het adres van de verbinding in DNS te registreren. Verwijderen uit bestand /etc/dnsmasq.conf Richtlijn server = / mordor.fan / 10.10.10.3. Biljetten:
  • Zelfs als vragen over de records niet worden beantwoord SOA y NS, zal het netwerk correct werken, evenals de vereniging van de verschillende clients -Microsoft® en Linux- met het Active Directory®-domein.
  • Het heeft als voordeel dat er in het SME LAN slechts één Domain Name Server -machote- zal zijn en dat zal Dnsmasq zijn. ;-). Aan de andere kant is de mogelijkheid van inconsistenties tussen DNS-records die zijn opgeslagen in Microsoft® DNS en die beschikbaar zijn via Dnsmasq geëlimineerd.
• Laat Microsoft® DNS draaien om alleen DNS-vragen over SOA- en NS-records te beantwoorden. notities:
  • Wijzig de configuratie van de netwerkkaart van elke Windows-client door de optie uit te schakelen om het adres van de verbinding in DNS te registreren.
  • Wij denken dat deze oplossing een verspilling van middelen is.
• Configureer de services zoals we in het hele artikel hebben gezien, dat een oplossing laat zien die beter aansluit bij de filosofie van Microsoft® -niet FreeBSD / Linux- Ok?

Overzicht

• Het Microsoft® DNS-voorstel is erg gesloten. Het laat geen ruimte voor andere oplossingen die niet in overeenstemming zijn met zijn hermetische filosofie.
• Moeder Natuur leert ons dat we bestaan ​​in een divers universum. Het normale is om een ​​gemengd LAN te hebben, op weg naar Vrije Software, en rijk aan leven en variatie.
• Het lijkt erop dat voor Microsoft® klanten die zich niet bij zijn filosofie aansluiten, outcasts zijn en daarom niet de moeite moeten nemen om met hen rekening te houden.
• Hoe moeilijk is het om met Private Software te werken! Ik besteed liever wat werk aan het opzetten van Vrije Software en echt Vrij te zijn, verdomme!

"Het beste criterium van waarheid is praktijk."