Dnsmasq og Active Directory - SMB-nettverk

Generell indeks for serien: Datanettverk for SMB: Introduksjon

Hei venner!. For å forstå og følge riktig er denne artikkelen avgjørende lese forgjengerne:

• Dnsmasq på CentOS 7.3
• BIND og Active Directory®

De forklarer teoretiske og praktiske konsepter som vi ikke vil referere til i denne. Vi vil endre fordelingen i inneværende år til Debian 8.6 "Jessie" og vi vil fortsette med de samme parameterne som vi bruker i BIND og Active Directory®.

• Fremgangsmåten beskrevet i dette innlegget er også gyldig for CentOS 7. Konfigurasjonsfilen / etc / dnsmasq er den samme. Jeg erklærer det fordi jeg anser det som unødvendig å lage en egen artikkel for Dnsmasq og Active Directory® basert på CentOS. Heldigvis er katalogene relatert til dokumentasjon og konfigurasjon de samme,
• Dnsmaq er en skapelse av Simon Kelley

Begrensninger for bruk av Dnsmasq

På grunn av dens betydning gjentar vi GRENSER som støtter Dnsmasq-run mann dnsmasq- som gjenspeiler nøyaktig følgende:

GRENSER

• Standardverdiene for ressursgrenser er generelt konservative og passende for bruk på enheter av rutertypen. sitter fast med sakte prosessorer og lite minne. I maskinvare mer  i stand, er det mulig å øke grensene, og støtte mange flere kunder. Følgende gjelder dnsmasq-2.37: tidligere versjoner ikke de klatret så bra.
  

• Dnsmasq er i stand til å støtte DNS og DHCP minst tusen (1,000) kunder. Leietider bør ikke være for korte (mindre enn en tid). Verdien på –dns-forward-max kan økes: start med tilsvarer antall klienter og øker det hvis DNS. Merk at DNS-ytelse også avhenger av serverne Oppstrøms DNS. DNS-bufferstørrelse kan økes: grensen Påkrevd er 10,000 150 navn, og standardinnstillingen (1) er veldig lav. Å sende en SIGUSRXNUMX til dnsmasq gir informasjon om bitacore nyttig for finjustering av hurtigbufferstørrelse. Se MERKNADER-delen for detaljer.

• Den innebygde TFTP-serveren kan støtte flere overføringer samtidige filer: den absolutte grensen er relatert til antall filhåndtak som er tillatt for en prosess og systemets evnetem call select () for å støtte et stort antall filhåndtak. Hvis grensen er satt for høyt med –tftp-max, blir den avskalert og den faktiske grensen logges ved oppstart. Merk at flere overføringer er mulig når den samme filen sendes hva når hver transferencia sender en annen fil. Det er mulig å bruke dnsmasq til å nekte reklame på nettet ved hjelp av en liste over velkjente bannerservere, som alle løser til 127.0.0.1 eller 0.0.0.0 in / etc / hosts eller i en ekstra vertsfil. Listen kan være veldig lang. Dnsmasq er testet med suksess med en million navn. Den filstørrelsen trenger en 1 GHz CPU og omtrentlig60 MB RAM.

• Dnsmasq er i stand til å støtte DNS og DHCP minst tusen (1,000) kunder.

La oss installere og konfigurere Jessie og Dnsmasq

Vi starter med en ny og ren installasjon av en server basert på Debian 8 "Jessie". Det vil si operativsystemet uten grafisk grensesnitt eller annen pakke installert. Nettverksparametrene vil være de samme som de som er brukt i artikkelen BIND og Active Directory®:

Domenenavn mordor.fan LAN Network 10.10.10.0/24 ============================================ ============================================ Servere IP-adresse Formål (Servere med OS Windows ) ======================================================== ===============================
sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2
mamba.mordor.fan. 10.10.10.4 Windows File Server
dns.mordor.fan 10.10.10.5 DnsMasq Server på Jessie
darklord.mordor.fan. 10.10.10.6 Proxy, gateway og brannmur på Kerios troll.mordor.fan. 10.10.10.7 Blogg basert på ... husker ikke shadowftp.mordor.fan. 10.10.10.8 FTP-server blackelf.mordor.fan. 10.10.10.9 Full e-posttjeneste blackspider.mordor.fan. 10.10.10.10 WWW-tjenesten palantir.mordor.fan. 10.10.10.11 Chat på Openfire for Windows Real CNAME ================================ sauron ad-dc mamba fileserver darklord proxyweb troll blogg shadowftp ftpserver blackelf mail blackspider www palantir openfire

Opprinnelige dns.mordor.fan serverinnstillinger

root @ dns: ~ # nano / etc / vertsnavn
dns

root @ dns: ~ # nano / etc / hosts
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # Følgende linjer er ønskelige for IPv6-kompatible verter :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

root @ dns: ~ # nano / etc / nettverk / grensesnitt
# Denne filen beskriver nettverksgrensesnittene som er tilgjengelige på systemet ditt, og hvordan du aktiverer dem. For mer informasjon, se grensesnitt (5). kilde /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # The primary network interface allow-hotplug eth0 iface eth0 inet static address 10.10.10.5 netmask 255.255.255.0 network 10.10.10.0 broadcast 10.10.10.255. 10.10.10.1 gateway 127.0.0.1 # dns- * alternativene implementeres av resolvconf-pakken, hvis installerte dns-nameservers XNUMX dns-search mordor.fan

La oss installere Dnsmasq og htop

root @ dns: ~ # aptitude installer dnsmasq htop

Etter installasjon av pakken htop vi kan sjekke utstyrets CPU og minne. Det forbrukte bare 71 megabyte RAM. Hvis vi vil senke forbruket enda mer, kan vi installere pakken SSMTP -enkel MTA- som igjen renser pakken Eksempel4 at Debian alltid installerer som standard, og som vi virkelig ikke trenger i henhold til bruken vi vil gi til denne serveren:

root @ dns: ~ # aptitude installer ssmtp
root @ dns: ~ # aptitude purge ~ c
root @ dns: ~ # aptitude clean
root @ dns: ~ # aptitude autoclean
root @ dns: ~ # systemctl omstart

Etter omstart av datamaskinen er forbruket som følger:

 

Lavt, ikke sant? La oss gå videre.

La oss indikere at Dnsmasq også konsulterer Microsft® DNS

For å teste mulige Dnsmasq-konfigurasjoner på datamaskinen din dns.mordor.fan, må vi inkludere en uttalelse som indikerer at Microsoft DNS på serveren blir konsultert sauron.mordor.fan. Vi kan gjøre det inkludert direktivet server = / mordor.fan / 10.10.10.3 i arkivet dnsmasq.conf -som vi vil se senere- eller legge til linjen nameserver 10.10.10.3 i arkivet / Etc / resolv.conf. Siden vi ennå ikke har konfigurert Dnsmasq i henhold til våre behov, velger vi den andre måten:

root @ dns: ~ # nano /etc/resolv.conf
domenet mordor.fan
nameserver 127.0.0.1
nameserver 10.10.10.3

Vi kan nå løse DNS-spørsmål

Med standardkonfigurasjonen av Dnsmasq levert av hovedfilen /etc/dnasmq.conf, og med det som er erklært i filen / Etc / resolv.conf fra selve serveren «dns«, Enhver klient som er koblet til LAN - og som har deklarert som DNS-server dns.mordor.fan- du kan løse DNS-spørsmål på bekostning av Microsoft® DNS for nå…

• Det er veldig viktig å sjekke responshastigheten til Dnsmasq når du viser statusen som Transportør ved å bare inkludere IP 10.10.10.3 i filen din / Etc / resolv.conf.

Fra min administrative arbeidsstasjon og støtte for alt utstyret jeg skriver gjennom, kjører jeg:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Generert av NetworkManager-domenet mordor.fan nameserver 10.10.10.5

buzz @ sysadmin: ~ $ nslookup
> dns
Server: 10.10.10.5 Adresse: 10.10.10.5 # 53 Navn: dns.mordor.fan Adresse: 10.10.10.5

> Sauron
Server: 10.10.10.5 Adresse: 10.10.10.5 # 53

Ikke-autoritativt svar:
Navn: sauron.mordor.fan Adresse: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: 10.10.10.5 Adresse: 10.10.10.5 # 53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan kanonisk navn = sauron.mordor.fan. Navn: sauron.mordor.fan Adresse: 10.10.10.3

> 10.10.10.3
Server: 127.0.0.1 Adresse: 127.0.0.1 # 53 3.10.10.10.in-addr.arpa navn = sauron.mordor.fan.

> 10.10.10.9
Server: 127.0.0.1 Adresse: 127.0.0.1 # 53 9.10.10.10.in-addr.arpa navn = blackelf.mordor.fan.

> 10.10.10.5
Server: 127.0.0.1 Adresse: 127.0.0.1 # 53 5.10.10.10.in-addr.arpa name = dns.mordor.fan.

> post
Server: 10.10.10.5 Adresse: 10.10.10.5 # 53 Ikke-autoritativt svar: mail.mordor.fan kanonisk navn = blackelf.mordor.fan. Navn: blackelf.mordor.fan Adresse: 10.10.10.9> exit

buzz @ sysadmin: ~ $

La oss se nærmere på følgende aspekter:

• dns.mordor.fan svarer direkte på DNS-spørsmål som den kan løse i henhold til dine nåværende Dnsmasq-innstillinger. Hvis du ikke kan løse dem, fungerer det som Transportør og spør IP 10.10.10.3 om den kan svare på spørsmålet. Når du blir spurt om IP for utstyret «dns«, Svarer han direkte. Når Dnsmasq blir spurt om hvem det er «Sauron",?, gjør videresending til 10.10.10.3 -Du kan ikke svare direkte fordi du ikke har registrert det ennå - som returnerer et riktig ikke-autoritært svar.
• På spørsmål om hvem som er «03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan"?, gjør videresending igjen, og denne gangen mottar du et autoritativt svar fra Microsoft® DNS.
• Den høye responshastigheten til Dnsmasq for alle typer spørsmål.

De er små detaljer som gjør kjærligheten stor ;-).

Grunnleggende forskjeller mellom Dnsmasq og BIND integrert med en Active Directory®

La oss kjøre et par DNS-spørsmål på postene SOA y NS av domenet mordor.fan, til hver av navneserverne som er involvert:

buzz @ sysadmin: ~ $ vert -t SOA mordor.fan 10.10.10.3
Bruker domeneserver: Navn: 10.10.10.3 Adresse: 10.10.10.3 # 53 Aliaser: 
mordor.fan har SOA-post sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ vert -t SOA mordor.fan 10.10.10.5
Bruker domeneserver: Navn: 10.10.10.5 Adresse: 10.10.10.5 # 53 Aliaser: 
mordor.fan har SOA-post sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ vert -t NS mordor.fan 10.10.10.5
Bruker domeneserver: Navn: 10.10.10.5 Adresse: 10.10.10.5 # 53 Aliaser: 
mordor.fan navneserver sauron.mordor.fan.

buzz @ sysadmin: ~ $ vert -t NS mordor.fan 10.10.10.3
Bruker domeneserver: Navn: 10.10.10.3 Adresse: 10.10.10.3 # 53 Aliaser: 
mordor.fan navneserver sauron.mordor.fan.

Svarene er identiske - noe som er logisk - fordi alltid svare tilbake sauron.mordor.fan. før et DNS-spørsmål om poster SOA o NS, Selv om synes hva svarer han dns.mordor.fan. Imidlertid skiller den seg fra det som er sett i artikkelen BIND og Active Directory® der vi fullstendig hadde fjernet funksjonaliteten til Microsoft® DNS. I den artikkelen ALLE DNS-spørsmål om Domino Namespace mordor.fan BIND svarte dem fordi vi konfigurerte det på den måten, og fordi BIND svarer på spørsmål SOA y NS i tillegg til å tillate ordningen Mester - Slave, Soneoverføring osv., Og derfor er det en mer komplett DNS-server - kompleks.

Kanskje det er de viktigste forskjellene mellom DNS til Dnsmasq og BIND ... men BIND - det kan alltid være en eller flere men - har ikke en DHCP-server som integreres sømløst med en DNS-server i en enkelt demon, og uten behov for TSIG-nøkler, konfigurasjonsfiler, sonedatabaser osv., som vi har sett i tidligere artikler.

• Jeg tror at kjære lesere nå vil ha innsett at jeg ikke hater BIND og heller ikke foretrekker Dnsmasq fremfor BIND. Fremtidige diskusjoner om det er totalt bortkastet tid, siden det har mye å gjøre med behov, krav, smak, preferanser og .... hver løsning har sin sjarm ;-).

• I lignende scenarier, la alle installere og konfigurere programvaren du ønsker, og som de vet mer om. og at alt fungerer som forventet.

Fordeler med kombinasjonen Dnsmasq + Active Directory®

Med denne kombinasjonen har vi det komplette utvalget av svar på DNS-spørsmål og et effektivt middel til å leie IP-adresser for vårt SMB LAN. Som vi vil se senere, fungerer det riktig for alle situasjoner angående om datamaskinen er koblet til Microsoft® Active Directory® Domain Controller. I tillegg har vi en DNS- og DNS-server Transportør par excellence, pluss en veldig rask DHCP-server. Og alt med liten etterspørsel etter ressurser. Vil du ha mer?

Er det mulig Dnsmasq + BIND?

Definitivt ja. Selv om jeg anbefaler at de installeres på forskjellige datamaskiner, slik at det ikke blir kollisjoner på grunn av den elskede porten 53 i DNS-tjenesten. Kanskje vi får se noe om det når vi kommer til Samba 4-baserte AD-DC. Hvem vet?

Tips om Dnamasq

• De viktigste arbeidsfilene for Dnsmasq for å tilby DHCP og DNS-tjenester på et LAN er: /etc/dnsmasq.conf, / Etc / hosts, /var/lib/misc/dnsmasq.leases, Og / Etc / resolv.conf. Filen dnsmasq. leier den opprettes når du leier ut din første IP-adresse.
• En annen jobbfil du kan bruke er / etc / ethers. Hvis en slik fil eksisterer, er direktivet leseetere erklært i konfigurasjonsfilen, forteller Dnsmasq å lese den. Det er veldig nyttig når vi forholder oss MAC-adresser / vertsnavn for visse formål.
• DNS-tjenesten kan deaktiveres fullstendig ved hjelp av direktivet port = 0 i dnsmasq.conf.
• DHCP-tjenesten for ett eller flere nettverksgrensesnitt kan deaktiveres av direktiver - en for hver linje- no-dhcp-interface = eth0, no-dhcp-interface = eth1, og så videre. Veldig nyttig når vi er foran et team med 2 eller flere nettverksgrensesnitt og vi vil at DHCP-tjenesten bare skal leveres av en av dem eller av ingen. Selvfølgelig, hvis vi deaktiverer DHCP-tjenesten for alle grensesnitt, vil vi bare la DNS-tjenesten gå. Hvis vi deaktiverer begge tjenestene, hvorfor trenger vi Dnsmasq? 😉
• Å erklære til andre DNS-domenenavnservere at Nei. er offentlige eller eksterne for LAN-som i tilfelle Microsoft DNS- gjør vi det gjennom direktivet server = / domenenavn / DNS-server IP i arkivet /etc/dnsmasq.conf. Eksempel: server = / mordor.fan / 10.10.10.3.
• Å fortelle Dnsmasq at spørsmål om lokale domener bare blir besvart fra filen / Etc / hosts eller gjennom DHCP, må vi legge til direktivet lokal = / localnet / i hovedfilen til konfigurasjonen. Eksempel: lokal = / mordor.fan /.
• For å konfigurere filen riktig / Etc / resolv.conf - resolver Vi foreslår at du leser manualen med kommandoen mann resolv.conf. Hvis du installerer Debian 8.6 "Jessie", vil du oppdage at den er godt skrevet på spansk.
• Dnsmasq bruker ikke Zones-filer til å svare på direkte eller omvendte spørsmål.
• Å vite betydningen av hvert felt «spesiell»Brukes i erklæringen om en SRV Resource Record, bør du konsultere BIND og Active Directory®. Syntaksen til SRV-postene i filen /etc/dnsmasq.conf Det er som følger:

  srv-vert = , , , ,

Lesere som vil vite mer, les originalfilen nøye /etc/dnsmasq.conf eller eksisterende dokumenter i katalogen / usr / share / doc / dnsmasq-base.

root @ dns: ~ # ls -l / usr / share / doc / dnsmasq-base /
totalt 128 -rw-r - r-- 1 rotrot 883 5. mai 2015 copyright -rw-r - r-- 1 rotrot 36261 5 2015. mai 1 changelog.archive.gz -rw-r - r-- 11297 rotrot 5 2015. mai 1 changelog.Debian.gz -rw-r - r-- 26014 rotrot 5 2015. mai 1 changelog.gz -rw-r - r-- 2084 root root 5 2015. mai 1 DBus-grensesnitt. Gz -rw- r - r-- 4297 rotrot 5 2015. mai 2 doc.html drwxr-xr-x 4096 rotrot 19 Feb 17 52:1 eksempler -rw-r - r-- 9721 rotrot 5 2015. mai 1 FAQ.gz -rw -r - r-- 4180 rotrot 5 2015. mai 1 README.Debian -rw-r - r-- 12019 rotrot 5 2015. mai XNUMX setup.html

La oss konfigurere Dnsmasq og Resolver

Vi tar som en innledende guide - å endre navn og så videre, selvfølgelig - konfigurasjonsfilen som brukes i artikkelen «Dnsmasq på CentOS 7.3".

La oss ikke glemme neste trinn:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Faste IP-adresser

Adressene til serverne eller datamaskinene som krever fast IP-begge deler IPv4 som IPv6- er erklært i filen / Etc / hosts:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost # Følgende linjer er ønskelige for IPv6-kompatible verter :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters # Servere og datamaskiner med faste IP-er. 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8. 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

La oss lage /etc/dnsmasq.conf filen

[root @ dns ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # GENERELLE ALTERNATIVER # ---------------------------- - -------------------------------------- domenebehov # Ikke pass navn uten domenet del falsk-priv # Ikke pass adresser i ikke-rutet rom utvid-verter # Legg automatisk domene til vertsgrensesnitt = eth0 # Grensesnitt.  PAS PÅ grensesnittet # unntatt-grensesnitt = eth1 # IKKE lytt til denne NIC-strenge rekkefølgen # Rekkefølgen du konsulterer /etc/resolv.conf-filen # Inkluder mange flere konfigurasjonsalternativer # gjennom en fil eller ved å finne konfigurasjonen # filer ekstra i en katalog # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # Relatert til Domain Name domain = mordor.fan # Domain Name # Time Server er 10.10.10.1 adresse = / time.windows.com / 10.10.10.1 # Sender et tomt alternativ for WPAD-verdien.  Kreves for at # Windos 7 og nyere klienter skal oppføre seg ordentlig.  ;-) dhcp-option = 252, "\ n" # Fil hvor vi vil erklære HOSTS som vil bli "utestengt" addn-hosts = / etc / banner_add_hosts # Kontakt Microsoft® DNS-serveren "sauron" hvis vi # lar det være kjører server = / mordor.fan / 10.10.10.3 # Spørringer om lokale domener vil bli besvart # fra / etc / hosts eller via lokale DHCP = / mordor.fan / # Spørsmål om PTR eller omvendte poster vil bli besvart # av serverne " dns "og" sauron "i den ordreserveren = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3 # ------- - ------------------------------------------------- - --------- # REGISTROSCNAMEMXTXT # ------------------------------------- - ----------------------------- # Denne typen registrering krever en oppføring # i / etc / hosts # -filen f.eks: 10.10.0.7. 10 troll.mordor.fan troll # cname = ALIAS, REAL_NAME cname = ad-dc.mordor.fan, sauron.mordor.fan cname = fileserver.mordor.fan, mamba.mordor.fan cname = proxyweb.mordor.fan, darklord .mordor.fan cname = blog.mordor .fan, troll.mordor.fan cname = ftpserver.mordor.fan, shadowftp.mordor.fan cname = mail.mordor.fan, blackelf.mordor.fan cname = www.mordor.fan, blackspider.mordor.fan cname = opendire .mordor.fan, palantir.mordor.fan # MX RECORDS # Returnerer en MX-post med navnet "mordor.fan" bestemt # til blackelf.mordor.fan-teamet og prioritet på 10 mx-host = mordor.fan, mail. mordor.fan, XNUMX # Standard destinasjon for MX-poster opprettet # ved hjelp av alternativet localmx vil være: mx-target = mail.mordor.fan # Returnerer en MX-post som peker til mx-target for ALLE # lokale localmx-maskiner # TXT-poster. 

dhcp-lease-max = 222 # Maksimalt antall adresser som skal leies
                        # er som standard 150
# IPV6 Range # dhcp-range = 1234 ::, ra-only # Options for RANGE # OPTIONS dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,10.10.10.253 # ROUTER GATEWAY dhcp-option = 6,10.10.10.5. 15 # DNS-servere dhcp-option = 19,1, mordor.fan # DNS Domain Name dhcp-option = 28,10.10.10.255 # option ip-forwarding ON dhcp-option = 42,10.10.10.1 # BROADCAST dhcp-option = 40. 41,10.10.10.3 # NTP # dhcp-option = 44,10.10.10.3, MORDOR # NIS Domain Name # dhcp-option = 45,10.10.10.3 # NIS Server # dhcp-option = 73,10.10.10.3 # WINS # dhcp-option = 46,8 # NetBIOS datagrammer # dhcp-option = XNUMX # Finger Server # dhcp-option = XNUMX # NetBIOS node dhcp-autoritative # Autoritativ DHCP i undernettet # ------------- - ------------------------------------------------- - --- # --------------------------------------------- - --------------------- # LOGGING tail -f / var / log / syslog or journalctl -f # ------------ - ------------------------------------------------- - ---- loggspørsmål # ----------------------------------------- - ------------------------- # Til A- og SRV-poster som tilsvarer Active Directory # ----------------------------------------- --------------------------
# Records A
adresse = / gc._msdcs.mordor.fan / 10.10.10.3 adresse = / DomainDnsZones.mordor.fan / 10.10.10.3 adresse = / ForestDnsZones.mordor.fan / 10.10.10.3

# Microsoft DNS Zone CNAME-post _msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# SRV poster
# srv-vert = , , , ,

# Global katalog # Microsoft DNS-sone _msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan, sauron.mordor.fan, 3268,0,0
# Microsoft DNS-sone mordor.fan
srv-host = _gc._tcp.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan, sauron.mordor.fan .3268,0,0

# Modifisert og privat LDAP for en Active Directory
# Microsoft DNS-sone _msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# Microsoft DNS-sone mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# KERBEROS modifisert og privat fra en Active Directory
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

# END of /etc/dnsmasq.conf file
# ------------------------------------------------- ------------------

La oss lage / etc / banner_add_host-filen

[root @ dns ~] # nano / etc /banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq --test
dnsmasq: syntaks sjekk OK.

[root @ dns ~] # systemctl start dnsmasq.service på nytt 
[root @ dns ~] # systemctl status dnsmasq.service

La oss endre filen /etc/resolv.conf - Resolver

root @ dns: ~ # nano /etc/resolv.conf 
domenet mordor.fan søk mordor.fan

Hvorfor har vi ikke de vanlige linjene deklarert i filen resolve.conf? Fordi vi erklærer i dnsmasq.conf følgende direktiver:

# Kontakt Microsoft® DNS-serveren "sauron" hvis vi # lar den gå
server = / mordor.fan / 10.10.10.3

# Spørsmål om lokale domener vil bli besvart # fra / etc / hosts eller via DHCP
lokal = / mordor.fan /

# Spørsmål om PTR eller omvendte poster vil bli besvart # av "dns" og "sauron" serverne i den rekkefølgen
server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3

Spørsmål fra sysadmin.mordor.fan

Filen / Etc / resolv.conf av dette teamet er:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf
# Generert av NetworkManager søk mordor.fan nameserver 10.10.10.5

buzz @ sysadmin: ~ $ host -t Til spynet4.microsoft.com
spynet4.microsoft.com har adresse 127.0.0.1

buzz @ sysadmin: ~ $ host -t Til www.download.windowsupdate.com
www.download.windowsupdate.com har adresse 127.0.0.1

buzz@sysadmin: ~ $ dig dns
buzz @ sysadmin: ~ $ dig dns.mordor.fan
;; SPØRSMÅL :; dns.mordor.fan. I EN ;; SVAR-AVSNITT: dns.mordor.fan. 0 I A 10.10.10.5

buzz @ sysadmin: ~ $ vert -t SRV _ldap._tcp.gc._msdcs
buzz @ sysadmin: ~ $ vert -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fan har SRV-post 0 0 3268 sauron.mordor.fan.

buzz @ sysadmin: ~ $ dig _ldap._tcp.gc._msdcs.mordor.fan
;; SPØRSMÅL :; _ldap._tcp.gc._msdcs.mordor.fan. I EN ;; SVAR-AVSNITT: _ldap._tcp.gc._msdcs.mordor.fan. 0 I A 10.10.10.3

buzz @ sysadmin: ~ $ dig mordor.fan axfr
buzz @ sysadmin: ~ $ dig 10.10.10.in-addr.arpa axfr

Og på denne måten, hvor mange konsultasjoner vi trenger

Dnsmasq + Active Directory® + Microsoft® Windows-klienter

Endre navn på en Microsoft® Windows-klient

syv.mordor.fan leid IP-adresse:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

La oss gi nytt navn til «syv»-Som ikke er koblet til Active Directory Domain- av«eukalyptus«. Etter endringen og omstart kontrollerer vi:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

Historikken til endringene kan sees fra "sysadmin":

buzz @ sysadmin: ~ $ vert -t A syv
seven.mordor.fan har adresse 10.10.10.115

Etter navneskiftet

buzz @ sysadmin: ~ $ vert -t A syv
syv har ingen A-rekord

buzz @ sysadmin: ~ $ host -t A eucaliptus
eucaliptus.mordor.fan har adresse 10.10.10.115

Spørsmål fra klienten eucaliptus.mordor.fan

Microsoft Windows [Versjon 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alle rettigheter forbeholdes.

C: \ Brukere \ buzz> nslookup
Standard server: dns.mordor.fan Adresse: 10.10.10.5

> sauron
Server: dns.mordor.fan Adresse: 10.10.10.5 Navn: sauron.mordor.fan Adresse: 10.10.10.3

> mordor.fan
Server: dns.mordor.fan Adresse: 10.10.10.5 Navn: mordor.fan Adresse: 10.10.10.3

> eukalyptus
Server: dns.mordor.fan Adresse: 10.10.10.5 Navn: eucaliptus.mordor.fan Adresse: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: dns.mordor.fan Adresse: 10.10.10.5 Navn: sauron.mordor.fan Adresse: 10.10.10.3 Aliaser: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> sett type = SRV
> _kerberos._udp.mordor.fan
Server: dns.mordor.fan Adresse: 10.10.10.5 _kerberos._udp.mordor.fan SRV serviceplassering: prioritet = 0 vekt = 0 port = 88 svr vertsnavn = sauron.mordor.fan sauron.mordor.fan internettadresse = 10.10.10.3. XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
Server: dns.mordor.fan Adresse: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV serviceplassering: prioritet = 0 vekt = 0 port = 389 svr vertsnavn = sauron .mordor.fan sauron.mordor.fan internettadresse = 10.10.10.3

> gå ut

C: \ Brukere \ buzz>

Windows-klientregistrering i Microsoft® DNS

Windows-klienter er ikke koblet til Active Directory®-domenet

Vi må sjekke om IP-adressene som er leid ut av de forskjellige Windows-klientene fra Dnsmasq er riktig registrert i Microsoft® DNS. Det kan påvirke måten vi slår på dynamiske oppdateringer - Dynamiske oppdateringer i Microsoft® DNS-soner i Active Directory®. Vi starter fra standardkonfigurasjonen av Microsoft DNS som bare tillater sikre dynamiske oppdateringer - Dynamiske oppdateringer -> Bare sikker, i hver av sonene.

Merk at klienten med gjeldende FQDN eucalyptus.mordor.fan Nei. er knyttet til Active Directory-domenet (eller et Samba4 AD-DC), og er et unntak fra Microsofts regel om at «Bare klienter som er registrert i Mitt domene, har tillatelse gjennom Min oppdateringsmekanisme - som jeg bare vet - til å registrere seg i DNS-en min«. Bra at Samba4 AD-DC lærer oss noe om det.

eucalyptus.mordor.fan leid IP 10.10.10.115:

buzz @ sysadmin: ~ $ host -t A eucaliptus
eucaliptus.mordor.fan har adresse 10.10.10.115

La oss endre navnet til «mahogni«, La oss starte Windows 7 på nytt, og se hva som skjer når vi ber om navnene«eukalyptus»Y«mahogni»Til hver av DNSene, først til Microsoft DNS og deretter til Dnsmasq:

buzz @ sysadmin: ~ $ vert -t A eucaliptus.mordor.fan 10.10.10.3
Bruker domeneserver: Navn: 10.10.10.3 Adresse: 10.10.10.3 # 53 Aliaser: 

Vert eucaliptus.mordor.fan ikke funnet: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Bruker domeneserver: Navn: 10.10.10.3 Adresse: 10.10.10.3 # 53 Aliaser: 

Vert mahogany.mordor.fan ikke funnet: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ vert -t A eucaliptus.mordor.fan 10.10.10.5
Bruker domeneserver: Navn: 10.10.10.5 Adresse: 10.10.10.5 # 53 Aliaser: 

Vert eucaliptus.mordor.fan ikke funnet: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.5
Bruker domeneserver: Navn: 10.10.10.5 Adresse: 10.10.10.5 # 53 Aliaser: 

mahogni.mordor.fan har adresse 10.10.10.115

Vi kan endre navnet på Windows 7-klienten det Nei. er knyttet til domenet mordor.fan av Active Directory® så mange ganger vi vil, at Microsoft® DNS ikke finner ut om disse endringene, eller at en slik klient eksisterer. Er det mulig at det bare er fordi vi har valgt alternativet  Dynamiske oppdateringer -> Bare sikker i hver sone i Micorosft DNS?.

For at Mr. Microsoft® DNS skal vite om endringene, må vi velge Dynamiske oppdateringer -> Usikre og sikre. Dette alternativet, kjære lesere, innebærer en betydelig sårbarhet for sikkerheten til enhver domenenavnserver som respekteres, det være seg Microsft® eller UNIX® / Linux. Microsoft® DNS advarer om sårbarheten fordi det til slutt ikke er noe annet enn en modifisert og privatisert BIND å tilby oss «Sikkerhet for mørket«. Hvis ikke, hvorfor anbefaler du å spare penger på din berømte Registro alle DNS-innstillinger og poster for Microsoft® DNS når vi implementerer en Active Directory®?. I tillegg til å støtte usikre oppdateringer av Microsoft® DNS, kreves følgende endring i Windows 7-klientens nettverkskortkonfigurasjon:

 

La oss sjekke:

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Bruker domeneserver: Navn: 10.10.10.3 Adresse: 10.10.10.3 # 53 Aliaser: caoba.mordor.fan har adresse 10.10.10.115

buzz @ sysadmin: ~ $ vert 10.10.10.115 10.10.10.3
Bruker domeneserver: Navn: 10.10.10.3 Adresse: 10.10.10.3 # 53 Aliaser: 115.10.10.10.in-addr.arpa domenenavnpeker mahogny.mordor.fan.

buzz @ sysadmin: ~ $ vert -t En mahogny 10.10.10.5
Bruker domeneserver: Navn: 10.10.10.5 Adresse: 10.10.10.5 # 53 Aliaser: caoba.mordor.fan har adresse 10.10.10.115

buzz @ sysadmin: ~ $ vert 10.10.10.115 10.10.10.5
Bruker domeneserver: Navn: 10.10.10.5 Adresse: 10.10.10.5 # 53 Aliaser: 115.10.10.10.in-addr.arpa domenenavnpeker mahogny.mordor.fan.

Ja nå. Hva en fin synkronisering for to DNS-servere som ikke er synkronisert på noen måte, ikke sant?

Windows-klienter koblet til Active Directory®-domenet

La oss forene klienten mahogni.mordor.fan til domenet, men ikke før vi har eliminert modifikasjonen vi gjorde i konfigurasjonen av nettverkskortet ditt, hvis vi på et tidspunkt gjorde det for å verifisere poenget i forrige kapittel. Slett også oppføringen for «mahogni»I Microsoft® DNS, og returner de dynamiske oppdateringene til opprinnelsesstedet for «Bare sikker«. Forresten er det gyldig å starte Microsoft-tjenesten på nytt® DNS.

Etter å ha blitt med i domenet, og til tross for all vår innsats, klienten «mahogni»Er ikke registrert i Microsoft® DNS. Vi erklærte til og med i dnsmasq.conf -midlertidig- at den første DNS-serveren er 10.10.10.3.

Microsoft Windows [Versjon 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alle rettigheter forbeholdes.

C: \ Users \ saruman> ipconfig / all

Windows IP-konfigurasjonsvertsnavn. . . . . . . . . . . . : MAHOGANY Primary Dns Suffix. . . . . . . : mordor.fan Node Type. . . . . . . . . . . . : Hybrid IP-ruting aktivert. . . . . . . . : Ingen WINS-proxy aktivert. . . . . . . . : Ingen DNS-suffiks-søkeliste. . . . . . : mordor.fan Ethernet-adapter Lokal tilkobling: Tilkoblingsspesifikk DNS-suffiks. : mordor.fan Beskrivelse. . . . . . . . . . . : Intel (R) PRO / 1000 MT nettverksforbindelse fysisk adresse. . . . . . . . . : 00-0C-29-D6-14-36 DHCP aktivert. . . . . . . . . . . : Ja Autokonfigurasjon aktivert. . . . : Ja Link-lokal IPv6-adresse. . . . . : fe80 :: 352a: b954: 7eba: 963e% 12 (foretrukket) IPv4-adresse. . . . . . . . . . . : 10.10.10.115 (Foretrukket) undernettmaske. . . . . . . . . . . : 255.255.255.0 Leieavtale oppnådd. . . . . . . . . . : Lørdag 25. februar 2017 8:19:05 Leieavtalen utløper. . . . . . . . . . : Lørdag 25. februar 2017 4:20:36 Standard Gateway. . . . . . . . . : 10.10.10.253 DHCP-server. . . . . . . . . . . : 10.10.10.5 DHCPv6 IAID. . . . . . . . . . . : 251661353 DHCPv6-klient DUID. . . . . . . . : 00-01-00-01-20-3B-69-81-00-0C-29-D6-14-36

   DNS-servere. . . . . . . . . . . : 10.10.10.3
                                       10.10.10.5
   NetBIOS over Tcpip. . . . . . . . : Enabled Tunnel adapter isatap.mordor.fan: Media State. . . . . . . . . . . : Media frakoblet Tilkoblingsspesifikk DNS-suffiks. : mordor.fan Beskrivelse. . . . . . . . . . . : Microsoft ISATAP Adapter Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktivert. . . . . . . . . . . : Ingen autokonfigurasjon aktivert. . . . : Ja Tunneladapter Lokal tilkobling * 9: Medietilstand. . . . . . . . . . . : Media frakoblet Tilkoblingsspesifikk DNS-suffiks. : Beskrivelse. . . . . . . . . . . : Microsoft Teredo Tunneling Adapter Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktivert. . . . . . . . . . . : Ingen autokonfigurasjon aktivert. . . . : Og det er

C: \ Brukere \ saruman>

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Bruker domeneserver: Navn: 10.10.10.3 Adresse: 10.10.10.3 # 53 Aliaser: Host caoba.mordor.fan ikke funnet: 3 (NXDOMAIN)

buzz@sysadmin: ~ $ vert -t Til mahogni.mordor.fan
mahogni.mordor.fan har adresse 10.10.10.115

• Den eneste måten klienten er registrert på «mahogni»I Microsft® endrer DNS nettverkskortet ditt som angittó i forrige bilde, det vil si eksplisitt at: DNS-suffikset for tilkoblingen er mordor.fan, at det registrerer tilkoblingsadressen i DNS, og at den bruker det deklarerte DNS-suffikset når du registrerer tilkoblingen.

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Bruker domeneserver: Navn: 10.10.10.3 Adresse: 10.10.10.3 # 53 Aliaser: caoba.mordor.fan har adresse 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan
mahogni.mordor.fan har adresse 10.10.10.115

La oss endre navnet fra "mahogni" til "sedertre"

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Bruker domeneserver: Navn: 10.10.10.3 Adresse: 10.10.10.3 # 53 Aliaser: Host caoba.mordor.fan ikke funnet: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Til cedar.mordor.fan 10.10.10.3
Bruker domeneserver: Navn: 10.10.10.3 Adresse: 10.10.10.3 # 53 Aliaser: cedro.mordor.fan har adresse 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.5
Bruker domeneserver: Navn: 10.10.10.5 Adresse: 10.10.10.5 # 53 Aliaser: Host caoba.mordor.fan ikke funnet: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Til cedar.mordor.fan 10.10.10.5
Bruker domeneserver: Navn: 10.10.10.5 Adresse: 10.10.10.5 # 53 Aliaser: cedro.mordor.fan har adresse 10.10.10.115

Og alt normalt, slik Microsoft®-klienter og Microsoft® DNS liker ting å være.

La oss jobbe med Microsoft® DHCP og Microsoft® DNS

Kjære lesere, dette kapittelet er utenfor konteksten til en blogg dedikert til fri programvare. Se Microsoft® hjelp. De tror ikke ?. 😉

Konklusjoner

Det er flere måter å jobbe med Microsoft® DNS når vi får det til å eksistere sammen i et SMB-nettverk med Dnsmasq. Blant dem vil vi bare nevne følgende:

• Stopp Microsoft® DNS-tjenesten helt på datamaskinen der den kjører, og indikerer deretter at oppstart av tjenesten er deaktivert. Fjern merket i konfigurasjonen av nettverkskortet til hver Microsoft®-klient alternativet for å registrere adressen til tilkoblingen i DNS. Fjern fra filen /etc/dnsmasq.conf Direktiv server = / mordor.fan / 10.10.10.3. notater:
  • Selv om henvendelser om postene ikke blir besvart SOA y NS, vil nettverket fungere riktig, samt forening av de forskjellige klientene -Microsoft® og Linux- til Active Directory®-domenet.
  • Det har fordelen at det i SME LAN bare vil være én domenenavnserver - maskin - og det vil være Dnsmasq. ;-). På den annen side er muligheten for inkonsekvenser mellom DNS-poster lagret i Microsoft® DNS og de som er tilgjengelige gjennom Dnsmasq eliminert.
• La Microsoft® DNS være i gang for å svare bare på DNS-spørsmål om SOA- og NS-poster. notes:
  • Endre konfigurasjonen av nettverkskortet til hver Windows-klient, og fjern avmerkingen for å registrere adressen til tilkoblingen i DNS.
  • Vi tror at denne løsningen er sløsing med ressurser.
• Konfigurer tjenestene som vi har sett gjennom artikkelen, som viser en løsning som mer liker Microsoft®-filosofien - ikke FreeBSD / Linux- Ok?

Oppsummering

• Microsoft® DNS-forslaget er veldig lukket. Det gir ikke rom for andre løsninger som ikke er i samsvar med dens hermetiske filosofi.
• Moder Natur lærer oss at vi eksisterer i et mangfoldig univers. Det normale er å ha et blandet LAN, som beveger seg mot fri programvare, og rik på liv og variasjon.
• For Microsoft® ser det ut til at kunder som ikke blir med i hans filosofi er utstøtte, og derfor ikke bør bry seg om å ta dem i betraktning.
• Hvor vanskelig det er å jobbe med privat programvare! Jeg vil heller bruke litt arbeid på å sette opp gratis programvare og være virkelig fri, faen!

"Det beste sannhetskriteriet er praksis."