Dnsmasq și Active Directory - Rețele IMM-uri

Indice general al seriei: Rețele de calculatoare pentru IMM-uri: Introducere

Bună prieteni!. Pentru a înțelege și a urma corect acest articol este esențial citind predecesorii săi:

• Dnsmasq pe CentOS 7.3
• BIND și Active Directory®

Acestea explică concepte teoretice și practice la care nu ne vom referi în acesta. Vom schimba distribuția în anul curent în Debian 8.6 "Jessie" și vom continua cu aceiași parametri pe care îi folosim BIND și Active Directory®.

• Procedura descrisă în această postare este valabilă și pentru CentOS 7. Fișierul de configurare / etc / dnsmasq este același. O declar pentru că consider inutil să fac un articol separat pentru Dnsmasq și Active Directory® bazat pe CentOS. Din fericire, directoarele legate de documentație și configurare sunt aceleași.
• Dnsmaq este o creație a Simon Kelley

Limite de utilizare a Dnsmasq

Datorită importanței sale repetăm LIMITE care acceptă Dnsmasq -run omul dnsmasq- care reflectă exact urmatorul:

LIMITE

• Valorile implicite pentru limitele resurselor sunt, în general, conservatoare și adecvate pentru utilizarea pe dispozitive de tip router. blocat cu procesoare lente și cu memorie redusă. În hardware mai mult  capabil, este posibil să mărești limitele și să sprijini multe altele Clienți. Următoarele se aplică pentru dnsmasq-2.37: versiunile anterioare nu au urcat atât de bine.
  

• Dnsmasq este capabil să suporte DNS și DHCP cel puțin o mie (1,000) Clienți. Perioadele de închiriere nu trebuie să fie prea scurte (mai puțin de unu timp). Valoarea –dns-forward-max poate fi mărită: începeți cu echivalentul numărului de clienți și creșteți-l dacă DNS. Rețineți că performanța DNS depinde și de servere DNS în amonte. Dimensiunea cache DNS poate fi mărită: limita Necesar este de 10,000 de nume, iar valoarea implicită (150) este foarte mică. Trimiterea unui SIGUSR1 către dnsmasq face ca informațiile bitacore să fie util pentru reglarea fină a dimensiunii cache. Consultați secțiunea NOTE pentru detalii.

• Serverul TFTP încorporat este capabil să suporte transferuri multiple fișiere simultane: limita absolută este legată de numărul de mânere de fișiere permise unui proces și de capacitatea sistemului -apel apel select () pentru a suporta un număr mare de mânere de fișiere. Dacă limita este setată prea mare cu –tftp-max, aceasta va fi redusă la scară și limita reală va fi activată la pornire. Rețineți că mai multe transferuri sunt posibile atunci când același fișier este trimis ce atunci când fiecare transferencia trimite un alt fișier. Este posibil să utilizați dnsmasq pentru a refuza publicitatea pe web utilizând o listă de servere de bannere bine cunoscute, toate rezolvând la 127.0.0.1 sau 0.0.0.0 în / etc / hosts sau într-un fișier hosts suplimentar. Lista poate fii foarte lung. Dnsmasq a fost testat cu succes cu un milion de nume. Dimensiunea fișierului necesită un procesor de 1 GHz și aproximativ60 MB RAM.

• Dnsmasq este capabil să suporte DNS și DHCP cel puțin o mie (1,000) clienții.

Să instalăm și să configurăm Jessie și Dnsmasq

Vom începe cu o instalare nouă și curată a unui server bazat pe Debian 8 "Jessie". Adică, sistemul de operare fără nicio interfață grafică sau alt pachet instalat. Parametrii de rețea vor fi aceiași cu cei utilizați în articol BIND și Active Directory®:

Nume domeniu mordor.fan LAN Network 10.10.10.0/24 ===================================== ========================================== Servere Adresa IP Scop (Servere cu sistem de operare Windows) ================================================= ================================
sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2
mamba.mordor.fan. 10.10.10.4 Server de fișiere Windows
dns.mordor.fan 10.10.10.5 Server DnsMasq pe Jessie
darklord.mordor.fan. 10.10.10.6 Proxy, gateway și firewall pe Kerios troll.mordor.fan. 10.10.10.7 Blog bazat pe ... nu-mi amintesc shadowftp.mordor.fan. 10.10.10.8 Server FTP blackelf.mordor.fan. 10.10.10.9 Serviciu complet de e-mail blackspider.mordor.fan. 10.10.10.10 WWW service palantir.mordor.fan. 10.10.10.11 Chat pe Openfire pentru Windows CNAME real ============================ sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

Setările inițiale ale serverului dns.mordor.fan

root @ dns: ~ # nano / etc / hostname
dns

root @ dns: ~ # nano / etc / hosts
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # Următoarele linii sunt de dorit pentru gazde compatibile IPv6 :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

root @ dns: ~ # nano / etc / network / interfaces
# Acest fișier descrie interfețele de rețea disponibile pe sistemul dvs. # și cum să le activați. Pentru mai multe informații, consultați interfețele (5). sursă /etc/network/interfaces.d/* # Interfața de rețea loopback auto lo iface lo inet loopback # Interfața de rețea primară allow-hotplug eth0 iface eth0 inet adresa statică 10.10.10.5 netmask 255.255.255.0 rețea 10.10.10.0 difuzare 10.10.10.255. 10.10.10.1 gateway 127.0.0.1 # dns- * opțiunile sunt implementate de pachetul resolvconf, dacă sunt instalate dns-nameservers XNUMX dns-search mordor.fan

Să instalăm Dnsmasq și htop

root @ dns: ~ # aptitude install dnsmasq htop

După instalarea pachetului Htop putem verifica consumul de CPU și memorie al echipamentului. Consuma doar aproximativ 71 de megaocteți de memorie RAM. Dacă dorim să reducem consumul și mai mult, putem instala pachetul SSMTP -simplu MTA- care la rândul său curăță ambalajul exim4 că Debian se instalează întotdeauna în mod implicit și că într-adevăr nu avem nevoie în funcție de utilizarea pe care o vom da acestui server:

root @ dns: ~ # aptitude install ssmtp
root @ dns: ~ # aptitude purge ~ c
root @ dns: ~ # aptitude clean
root @ dns: ~ # aptitude autoclean
root @ dns: ~ # systemctl reboot

După repornirea computerului, consumul este după cum urmează:

Scăzut, nu? Sa trecem peste.

Să indicăm că Dnsmasq consultă și DNS Microsft®

Pentru a testa posibilele configurații Dnsmasq pe computer dns.mordor.fan, trebuie să includem o declarație care indică faptul că DNS-ul Microsoft al serverului este consultat sauron.mordor.fan. O putem face inclusiv directiva server = / mordor.fan / 10.10.10.3 în arhivă dnsmasq.conf -așa cum vom vedea mai târziu- sau adăugând linia nameserver 10.10.10.3 în arhivă /etc/resolv.conf. Deoarece nu am configurat încă Dnsmasq în funcție de nevoile noastre, alegem a doua modalitate:

root @ dns: ~ # nano /etc/resolv.conf
domeniul mordor.fan
nameserver 127.0.0.1
nameserver 10.10.10.3

Acum putem rezolva interogările DNS

Cu configurația implicită a Dnsmasq furnizată de fișierul său principal /etc/dnasmq.conf, și cu ceea ce este declarat în dosar /etc/resolv.conf de la server în sine «dns«, Orice client conectat la LAN - și care a declarat ca server DNS dns.mordor.fan- puteți rezolva interogările DNS pe cheltuiala DNS-ului Microsoft® deocamdata…

• Este foarte important să verificați viteza de răspuns a Dnsmasq atunci când afișați starea sa ca Expeditor prin simpla includere a IP 10.10.10.3 în fișierul dvs. /etc/resolv.conf.

Din stația mea de lucru administrativă și susținerea tuturor accesoriilor prin care scriu, conduc:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Generat de domeniul NetworkManager mordor.fan nameserver 10.10.10.5

buzz @ sysadmin: ~ $ nslookup
> dns
Server: 10.10.10.5 Adresă: 10.10.10.5 # 53 Nume: dns.mordor.fan Adresă: 10.10.10.5

> Sauron
Server: 10.10.10.5 Adresă: 10.10.10.5 # 53

Răspuns non-autoritar:
Nume: sauron.mordor.fan Adresa: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: 10.10.10.5 Adresă: 10.10.10.5 # 53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan nume canonic = sauron.mordor.fan. Nume: sauron.mordor.fan Adresa: 10.10.10.3

> 10.10.10.3
Server: 127.0.0.1 Adresă: 127.0.0.1 # 53 3.10.10.10.in-addr.arpa name = sauron.mordor.fan.

> 10.10.10.9
Server: 127.0.0.1 Adresă: 127.0.0.1 # 53 9.10.10.10.in-addr.arpa name = blackelf.mordor.fan.

> 10.10.10.5
Server: 127.0.0.1 Adresă: 127.0.0.1 # 53 5.10.10.10.in-addr.arpa name = dns.mordor.fan.

> e-mail
Server: 10.10.10.5 Adresă: 10.10.10.5 # 53 Răspuns non-autoritar: mail.mordor.fan nume canonic = blackelf.mordor.fan. Nume: blackelf.mordor.fan Adresa: 10.10.10.9> exit

buzz @ sysadmin: ~ $

Să aruncăm o privire mai atentă asupra următoarelor aspecte:

• dns.mordor.fan răspunde direct la întrebările DNS pe care le poate rezolva în funcție de setările Dnsmasq actuale. Dacă nu le poți rezolva, funcționează ca. Expeditor și întreabă IP 10.10.10.3 dacă poate răspunde la interogare. Când vi se solicită IP-ul echipamentului «dns«, Răspunde direct. Când Dnsmasq este întrebat cine este «Sauron",?, face transmiterea a la 10.10.10.3 -Nu puteți răspunde direct pentru că nu l-ați înregistrat încă- care returnează un răspuns neautoritar corect.
• La întrebarea cine este «03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan"?, face transmiterea din nou și de data aceasta primiți un răspuns autoritar de la Microsoft® DNS.
• Viteza mare de răspuns a Dnsmasq pentru orice tip de interogare.

Sunt mici detalii care fac o dragoste grozavă ;-).

Diferențe fundamentale între Dnsmasq și BIND integrate cu un Active Directory®

Să executăm câteva interogări DNS pe înregistrări SOA y NS a domeniului mordor.fan, către fiecare dintre serverele de nume implicate:

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.3
Utilizarea serverului de domeniu: Nume: 10.10.10.3 Adresă: 10.10.10.3 # 53 Aliasuri: 
mordor.fan are înregistrare SOA sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.5
Utilizarea serverului de domeniu: Nume: 10.10.10.5 Adresă: 10.10.10.5 # 53 Aliasuri: 
mordor.fan are înregistrare SOA sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.5
Utilizarea serverului de domeniu: Nume: 10.10.10.5 Adresă: 10.10.10.5 # 53 Aliasuri: 
serverul de nume mordor.fan sauron.mordor.fan.

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.3
Utilizarea serverului de domeniu: Nume: 10.10.10.3 Adresă: 10.10.10.3 # 53 Aliasuri: 
serverul de nume mordor.fan sauron.mordor.fan.

Răspunsurile sunt identice - ceea ce este logic - pentru că siempre răspunde sauron.mordor.fan. înainte de o interogare DNS despre înregistrări SOA o NS, Toate par la ce răspunde dns.mordor.fan. Cu toate acestea, diferă de ceea ce se vede în articol BIND și Active Directory® unde am eliminat complet funcționalitatea DNS Microsoft®. În articolul respectiv TOATE interogările DNS despre spațiul de nume Domino mordor.fan BIND le-a răspuns, pentru că așa îl configurăm și pentru că BIND răspunde la întrebări SOA y NS pe lângă permiterea schemei Stăpân - Sclav, Transfer de zonă etc., și, prin urmare, este un server DNS mai complet - complex.

Poate că acestea sunt principalele diferențe dintre DNS-ul Dnsmasq și BIND ... Pero BIND - poate exista întotdeauna unul sau mai multe buts - nu are un server DHCP care se integrează perfect cu un server DNS într-un singur demonul, și fără a fi nevoie de chei TSIG, fișiere de configurare, baze de date Zone etc., așa cum am văzut în articolele anterioare.

• Cred că, până acum, Dragi cititori își vor da seama că nu urăsc BIND și nici nu prefer Dnsmasq decât BIND. Discuțiile viitoare despre aceasta sunt o pierdere totală de timp, deoarece are mult de-a face cu nevoi, cerințe, gusturi, preferințe și .... fiecare soluție are farmecul ei ;-).

• În scenarii similare, permiteți tuturor să instaleze și să configureze software-ul la alegerea lor și despre care știu mai multe. și că totul funcționează așa cum era de așteptat.

Avantajele combinației Dnsmasq + Active Directory®

Cu această combinație avem gama completă de răspunsuri la interogări DNS și un mijloc eficient de închiriere a adreselor IP pentru rețeaua noastră de IMM-uri. După cum vom vedea mai târziu, funcționează corect pentru orice situație referitoare la conectarea sau nu a computerului la Microsoft® Active Directory® Domain Controller. În plus, avem un server DNS și DNS Expeditor prin excelență, plus un server DHCP foarte rapid. Și toate cu o cerere redusă de resurse. Vrei mai mult?

Este posibil Dnsmasq + BIND?

Categoric da. Deși recomand să fie instalate pe diferite computere, astfel încât să nu existe coliziuni din cauza mult iubitului port 53 al serviciului DNS. Poate vom vedea ceva despre asta când vom ajunge la AD-DC bazat pe Samba 4. Cine știe?

Sfaturi despre Dnamasq

• Fișierele de lucru esențiale pentru ca Dnsmasq să furnizeze servicii DHCP și DNS pe o rețea LAN sunt: /etc/dnsmasq.conf, / Etc / hosts, /var/lib/misc/dnsmasq.leases, Și /etc/resolv.conf. Fișierul dnsmasq.leasing este creat atunci când închiriați prima dvs. adresă IP.
• Un alt fișier de job pe care îl puteți utiliza este / etc / ethers. Dacă există un astfel de fișier, directiva citire-eteri declarat în fișierul de configurare, îi spune lui Dnsmasq să-l citească. Este foarte util atunci când ne raportăm Adrese MAC / nume de gazdă în anumite scopuri.
• Serviciul DNS poate fi complet dezactivat folosind directiva port = 0 în dnsmasq.conf.
• Serviciul DHCP pentru una sau mai multe interfețe de rețea poate fi dezactivat prin directive -una pentru fiecare linie- no-dhcp-interface = eth0, no-dhcp-interface = eth1, si asa mai departe. Foarte util atunci când suntem în fața unei echipe cu 2 -sau mai mult- interfețe de rețea și dorim ca serviciul DHCP să fie furnizat doar de una dintre ele sau de niciuna. Desigur, dacă dezactivăm serviciul DHCP pentru toate interfețele, vom lăsa serviciul DNS doar funcțional. Dacă dezactivăm ambele servicii, atunci de ce avem nevoie de Dnsmasq? 😉
• Pentru a declara altor servere DNS de nume de domeniu că Nu. sunt publice sau externe LAN-ca în cazul Microsoft DNS- o facem prin directivă server = / nume de domeniu / IP server DNS în arhivă /etc/dnsmasq.conf. exemplu: server = / mordor.fan / 10.10.10.3.
• Pentru a spune Dnsmasq că interogările despre domeniile locale au răspuns numai din fișier / Etc / hosts sau prin DHCP, trebuie să adăugăm directiva local = / localnet / în fișierul principal al configurației dvs. Exemplu: local = / mordor.fan /.
• Pentru a configura corect fișierul /etc/resolv.conf - rezolvator vă sugerăm să citiți manualul acestuia folosind comanda barbat resolv.conf. Dacă instalați Debian 8.6 „Jessie”, veți descoperi că este bine scris în spaniolă.
• Dnsmasq nu folosește fișiere Zone pentru a răspunde la întrebări directe sau inversate.
• Pentru a cunoaște semnificația fiecărui câmp «special»Acest lucru este utilizat în declarația unei înregistrări de resurse SRV, ar trebui să consultați BIND și Active Directory®. Sintaxa înregistrărilor SRV din fișier /etc/dnsmasq.conf Este următorul:

  srv-host = , , , ,

Cititorii care doresc să afle mai multe, vă rugăm să citiți cu atenție fișierul original /etc/dnsmasq.conf sau documente existente în director / usr / share / doc / dnsmasq-base.

root @ dns: ~ # ls -l / usr / share / doc / dnsmasq-base /
total 128 -rw-r - r-- 1 rădăcină rădăcină 883 5 mai 2015 copyright -rw-r - r-- 1 rădăcină rădăcină 36261 5 2015 mai 1 changelog.archive.gz -rw-r - r-- 11297 rădăcină rădăcină 5 2015 mai 1 changelog.Debian.gz -rw-r - r-- 26014 rădăcină rădăcină 5 2015 mai 1 changelog.gz -rw-r - r-- 2084 rădăcină rădăcină 5 2015 mai 1 DBus-interface. gz -rw-r - r-- 4297 rădăcină rădăcină 5 2015 mai 2 doc.html drwxr-xr-x 4096 rădăcină rădăcină 19 17 februarie 52:1 exemple -rw-r - r-- 9721 rădăcină rădăcină 5 2015 mai 1 FAQ.gz -rw-r - r-- 4180 rădăcină rădăcină 5 2015 mai 1 README.Debian -rw-r - r-- 12019 rădăcină rădăcină 5 2015 mai XNUMX setup.html

Să configurăm Dnsmasq și Resolver

Vom lua ca ghid inițial - schimbarea numelor și altele, desigur - fișierul de configurare utilizat în articol «Dnsmasq pe CentOS 7.3“.

Să nu uităm pasul următor:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Adrese IP fixe

Adresele serverelor sau echipamentelor care necesită un IP fix - ambele IPv4 ca IPv6- sunt declarate în dosar / Etc / hosts:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost # Următoarele linii sunt de dorit pentru gazde compatibile IPv6 :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters # Servere și computere cu IP-uri fixe. 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8. 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

Să creăm fișierul /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # OPTIUNI GENERALE # ----------------------------- -------------------------------------- domeniu necesar # Nu treceți nume fără partea de domeniu bogus-priv # Nu treceți adrese în spațiu nerotat expand-hosts # Adăugați automat domeniu la interfața gazdă = eth0 # Interfață.  ATENȚIE la interfață # except-interface = eth1 # NU ascultați această comandă strictă NIC # Ordinea în care consultați fișierul /etc/resolv.conf # Includeți mai multe opțiuni de configurare # printr-un fișier sau localizând configurația # fișiere suplimentar într-un director # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # Relativ la Domain Name domain = mordor.fan # Domain Name # Time Server este 10.10.10.1. 10.10.10.1 address = / time.windows.com / XNUMX # Trimite o opțiune goală a valorii WPAD.  Necesar pentru # Windos 7 și mai târziu, clienții să se comporte corect  ;-) dhcp-option = 252, "\ n" # Fișier unde vom declara gazdele care vor fi „interzise” addn-hosts = / etc / banner_add_hosts # Consultați serverul DNS Microsoft® „sauron” dacă # îl lăsăm să ruleze server = / mordor.fan / 10.10.10.3 # Întrebările despre domeniile locale vor primi răspuns # din / etc / hosts sau prin DHCP local = / mordor.fan / # Întrebarile despre înregistrările PTR sau Reverse vor fi răspunse # de către servere „dns” și „sauron” în acea comandă server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3 # ------- -------------------------------------------------- ---------- # REGISTROSCNAMEMXTXT # ------------------------------------- ------------------------------ # Acest tip de înregistrare necesită o intrare # în fișierul / etc / hosts # de exemplu: 10.10.0.7 troll.mordor.fan troll # cname = ALIAS, REAL_NAME cname = ad-dc.mordor.fan, sauron.mordor.fan cname = fileserver.mordor.fan, mamba.mordor.fan cname = proxyweb.mordor.fan , darklord.mordor.fan cname = blog.mordor .fan, troll.mordor.fan cname = ftpserver.mordor.fan, shadowftp.mordor.fan cname = mail.mordor.fan, blackelf.mordor.fan cname = www.mordor.fan, blackspider.mordor.fan cname = opendire .mordor.fan, palantir.mordor.fan # MX RECORDS # Returnează o înregistrare MX cu numele „mordor.fan” destinat # echipei blackelf.mordor.fan și prioritate de 10 mx-host = mordor.fan, mail. mordor.fan, 10 # Destinația implicită pentru înregistrările MX care sunt create # folosind opțiunea localmx va fi: mx-target = mail.mordor.fan # Returnează o înregistrare MX care indică mx-target pentru TOATE # mașini locale localmx # Înregistrări TXT. 

dhcp-lease-max = 222 # Numărul maxim de adrese de închiriat
                        # în mod implicit este 150
# Interval IPV6 # dhcp-range = 1234 ::, ra-only # Opțiuni pentru GAMĂ # OPȚIUNI dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,10.10.10.253 # ROUTER GATEWAY dhcp-option = 6,10.10.10.5 .15 # Servere DNS dhcp-option = 19,1, mordor.fan # DNS Domain Name dhcp-option = 28,10.10.10.255 # option ip-forwarding ON dhcp-option = 42,10.10.10.1 # BROADCAST dhcp-option = 40. 41,10.10.10.3 # NTP # dhcp-option = 44,10.10.10.3, MORDOR # NIS domeniu # dhcp-option = 45,10.10.10.3 # NIS Server # dhcp-option = 73,10.10.10.3 # WINS # dhcp-option = 46,8 # Datagrame NetBIOS # dhcp-option = XNUMX # Finger Server # dhcp-option = XNUMX # NetBIOS nod dhcp-autoritar # Autoritar DHCP în subrețea # ------------- -------------------------------------------------- ---- # --------------------------------------------- ---------------------- # LOGGING tail -f / var / log / syslog or journalctl -f # ------------ -------------------------------------------------- ----- log-queries # ----------------------------------------- -------------------------- # Re Înregistrări A și SRV corespunzătoare Active Directory # ----------------------------------------- --------------------------
# Înregistrări A
address = / gc._msdcs.mordor.fan / 10.10.10.3 address = / DomainDnsZones.mordor.fan / 10.10.10.3 address = / ForestDnsZones.mordor.fan / 10.10.10.3

# Microsoft DNS Zone CNAME record _msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# Înregistrări SRV
# srv-host = , , , ,

# Catalog global # Zona DNS Microsoft _msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan, sauron.mordor.fan, 3268,0,0
# Zona DNS Microsoft mordor.fan
srv-host = _gc._tcp.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan, sauron.mordor.fan .3268,0,0

# LDAP modificat și privat al unui Active Directory
# Zona DNS Microsoft _msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# Microsoft DNS zone mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# KERBEROS modificat și privat dintr-un Active Directory
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

# END al fișierului /etc/dnsmasq.conf
# ------------------------------------------------- ------------------

Să creăm fișierul / etc / banner_add_host

[root @ dns ~] # nano / etc /banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq --test
dnsmasq: sintaxă verifică OK.

[root @ dns ~] # systemctl reporniți dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service

Să modificăm fișierul /etc/resolv.conf - Resolver

root @ dns: ~ # nano /etc/resolv.conf 
domeniu mordor.fan căutare mordor.fan

De ce nu avem liniile obișnuite declarate în fișier rezoluție.conf? Pentru că declarăm în dnsmasq.conf următoarele directive:

# Consultați serverul DNS Microsoft® "sauron" dacă # lăsăm să ruleze
server = / mordor.fan / 10.10.10.3

# Întrebările despre domeniile locale vor primi răspuns # de la / etc / hosts sau prin DHCP
local = / mordor.fan /

# Întrebările despre înregistrările PTR sau Reverse vor primi răspuns # de serverele „dns” și „sauron” în această ordine
server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3

Interogări de la sysadmin.mordor.fan

Dosarul /etc/resolv.conf din această echipă este:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf
# Generat de NetworkManager căutare mordor.fan nameserver 10.10.10.5

buzz @ sysadmin: ~ $ host -t To spynet4.microsoft.com
spynet4.microsoft.com are adresa 127.0.0.1

buzz @ sysadmin: ~ $ host -t Pentru www.download.windowsupdate.com
www.download.windowsupdate.com are adresa 127.0.0.1

bâzâit@sysadmin: ~ $ dig dns
buzz @ sysadmin: ~ $ dig dns.mordor.fan
;; SECȚIUNEA ÎNTREBĂRII :; dns.mordor.fan. ÎN A ;; SECȚIUNEA DE RĂSPUNS: dns.mordor.fan. 0 ÎN A 10.10.10.5

buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs
buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fan are înregistrare SRV 0 0 3268 sauron.mordor.fan.

buzz @ sysadmin: ~ $ dig _ldap._tcp.gc._msdcs.mordor.fan
;; SECȚIUNEA ÎNTREBARE :; _ldap._tcp.gc._msdcs.mordor.fan. ÎN A ;; SECȚIUNEA DE RĂSPUNS: _ldap._tcp.gc._msdcs.mordor.fan. 0 ÎN A 10.10.10.3

buzz @ sysadmin: ~ $ dig mordor.fan axfr
buzz @ sysadmin: ~ $ dig 10.10.10.in-addr.arpa axfr

Și în acest fel, de câte consultații avem nevoie

Clienți Dnsmasq + Active Directory® + Microsoft® Windows

Redenumirea unui client Microsoft® Windows

şapte.mordor.fan adresa IP închiriată:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

Să redenumim «Șapte»-Care nu este alăturat domeniului Active Directory- de„eucalipt«. După schimbare și repornire verificăm:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

Istoricul modificărilor poate fi văzut din „sysadmin”:

buzz @ sysadmin: ~ $ host -t A seven
seven.mordor.fan are adresa 10.10.10.115

După schimbarea numelui

buzz @ sysadmin: ~ $ host -t A seven
șapte nu are înregistrare A.

buzz @ sysadmin: ~ $ host -t A eucaliptus
eucaliptus.mordor.fan are adresa 10.10.10.115

Interogări de la clientul eucaliptus.mordor.fan

Microsoft Windows [versiunea 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Toate drepturile rezervate.

C: \ Users \ buzz> nslookup
Server implicit: dns.mordor.fan Adresă: 10.10.10.5

> sauron
Server: dns.mordor.fan Adresă: 10.10.10.5 Nume: sauron.mordor.fan Adresă: 10.10.10.3

> mordor.fan
Server: dns.mordor.fan Adresă: 10.10.10.5 Nume: mordor.fan Adresă: 10.10.10.3

> eucalipt
Server: dns.mordor.fan Adresă: 10.10.10.5 Nume: eucaliptus.mordor.fan Adresă: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: dns.mordor.fan Adresă: 10.10.10.5 Nume: sauron.mordor.fan Adresă: 10.10.10.3 Aliasuri: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> set type = SRV
> _kerberos._udp.mordor.fan
Server: dns.mordor.fan Adresă: 10.10.10.5 _kerberos._udp.mordor.fan Locația serviciului SRV: prioritate = 0 greutate = 0 port = 88 svr hostname = sauron.mordor.fan sauron.mordor.fan adresa internet = 10.10.10.3. XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
Server: dns.mordor.fan Adresă: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan Locația serviciului SRV: prioritate = 0 greutate = 0 port = 389 svr hostname = sauron .mordor.fan sauron.mordor.fan adresa de internet = 10.10.10.3

> ieși

C: \ Users \ buzz>

Înregistrarea clienților Windows în Microsoft® DNS

Clienții Windows nu sunt conectați la domeniul Active Directory®

Trebuie să verificăm dacă adresele IP închiriate de diferiții clienți Windows de la Dnsmasq sunt înregistrate corect în Microsoft® DNS. Poate influența modul în care activăm actualizările dinamice - Actualizări dinamice în zonele DNS Microsoft® din Active Directory®. Pornim de la configurația implicită a Microsoft DNS, care permite doar actualizări dinamice securizate - Actualizări dinamice -> Numai sigur, în fiecare din zonele sale.

Rețineți că clientul cu actualul FQDN eucalyptus.mordor.fan Nu. este atașat domeniului Active Directory (sau un Samba4 AD-DC) și este o excepție de la regula Microsoft care «Doar clienții înregistrați în Domeniul meu vor avea permisiunea prin Mecanismul meu de actualizare - pe care îl știu doar eu - să se înregistreze în DNS-ul meu«. Bine că Samba4 AD-DC ne învață ceva despre asta.

eucalipt.mordor.fan IP închiriat 10.10.10.115:

buzz @ sysadmin: ~ $ host -t A eucaliptus
eucaliptus.mordor.fan are adresa 10.10.10.115

Să-i schimbăm numele în «mahon«, Să repornim Windows 7 și să vedem ce se întâmplă atunci când cerem numele«eucalipt»Y«mahon»Pentru fiecare dintre DNS, mai întâi către Microsoft DNS și apoi către Dnsmasq:

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.3
Utilizarea serverului de domeniu: Nume: 10.10.10.3 Adresă: 10.10.10.3 # 53 Aliasuri: 

Gazdă eucaliptus.mordor.fan nu a fost găsit: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Utilizarea serverului de domeniu: Nume: 10.10.10.3 Adresă: 10.10.10.3 # 53 Aliasuri: 

Gazda mahogany.mordor.fan nu a fost găsit: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.5
Utilizarea serverului de domeniu: Nume: 10.10.10.5 Adresă: 10.10.10.5 # 53 Aliasuri: 

Gazdă eucaliptus.mordor.fan nu a fost găsit: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.5
Utilizarea serverului de domeniu: Nume: 10.10.10.5 Adresă: 10.10.10.5 # 53 Aliasuri: 

mahogany.mordor.fan are adresa 10.10.10.115

Putem schimba numele clientului Windows 7 care Nu. este atașat domeniului mordor.fan din Active Directory® de câte ori dorim, că Microsoft® DNS nu află despre aceste modificări sau că există un astfel de client. Este posibil să fie doar pentru că am selectat opțiunea  Actualizări dinamice -> Numai sigur în fiecare zonă a Micorosft DNS?.

Pentru ca domnul Microsoft® DNS să știe despre modificări, trebuie să selectăm Actualizări dinamice -> Nesigur și sigur. Această opțiune, Stimați cititori, implică o vulnerabilitate semnificativă a securității oricărui server de nume de domeniu care este respectat, fie că este vorba de Microsft® sau UNIX® / Linux. Microsoft® DNS avertizează cu privire la vulnerabilitate pentru că, în cele din urmă, nu ne oferă altceva decât un BIND modificat și privatizat «Securitate pentru întuneric«. Dacă nu, de ce vă recomandăm să economisiți pe celebrul dvs. înregistrare toate setările DNS și înregistrările DNS-ului dvs. Microsoft® atunci când implementăm un Active Directory®? În plus față de acceptarea actualizărilor non-securizate ale Microsoft® DNS, următoarea modificare este necesară în configurația plăcii de rețea client Windows 7:

Sa verificam:

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Utilizarea serverului de domeniu: Nume: 10.10.10.3 Adresă: 10.10.10.3 # 53 Aliasuri: caoba.mordor.fan are adresa 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.3
Utilizarea serverului de domeniu: Nume: 10.10.10.3 Adresă: 10.10.10.3 # 53 Aliasuri: 115.10.10.10.in-addr.arpa indicator de nume de domeniu mahogany.mordor.fan.

buzz @ sysadmin: ~ $ host -t O mahon 10.10.10.5
Utilizarea serverului de domeniu: Nume: 10.10.10.5 Adresă: 10.10.10.5 # 53 Aliasuri: caoba.mordor.fan are adresa 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.5
Utilizarea serverului de domeniu: Nume: 10.10.10.5 Adresă: 10.10.10.5 # 53 Aliasuri: 115.10.10.10.in-addr.arpa indicator de nume de domeniu mahogany.mordor.fan.

Da acum. Ce sincronism frumos pentru două servere DNS nesincronizate în niciun fel!

Clienții Windows s-au alăturat domeniului Active Directory®

Să unim clientul mahon.mordor.fan către domeniu, dar nu înainte de a elimina modificările pe care le-am făcut în configurația plăcii dvs. de rețea, dacă am făcut-o în orice moment pentru a verifica punctul din capitolul anterior. Ștergeți și intrarea pentru «mahon»În Microsoft® DNS și întoarceți actualizările dinamice la punctul lor de origine „Numai sigur«. Apropo, este valabil să reporniți serviciul Microsoft® DNS.

După aderarea la domeniu și în ciuda tuturor eforturilor noastre, clientul «mahon»Nu este înregistrat în Microsoft® DNS. Am declarat chiar în dnsmasq.conf -temporar- că primul server DNS este 10.10.10.3.

Microsoft Windows [versiunea 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Toate drepturile rezervate.

C: \ Users \ saruman> ipconfig / all

Windows IP Configuration Host Name. . . . . . . . . . . . : MAHOGANY Sufix Dns primar. . . . . . . : mordor.fan Tip de nod. . . . . . . . . . . . : Rutare IP hibridă activată. . . . . . . . : Fără proxy WINS activat. . . . . . . . : Fără listă de căutare a sufixelor DNS. . . . . . : mordor.fan adaptor Ethernet Conexiune locală: Sufix DNS specific conexiunii. : mordor.fan Descriere. . . . . . . . . . . : Adresa fizică a conexiunii de rețea Intel (R) PRO / 1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP activat. . . . . . . . . . . : Da Autoconfigurare activată. . . . : Da Adresa IPv6 local-link. . . . . : fe80 :: 352a: b954: 7eba: 963e% 12 (preferată) Adresă IPv4. . . . . . . . . . . : 10.10.10.115 (Preferat) Mască de subrețea. . . . . . . . . . . : 255.255.255.0 Locație obținută. . . . . . . . . . : Sâmbătă, 25 februarie 2017 8:19:05 AM Închirierea expiră. . . . . . . . . . : Sâmbătă, 25 februarie 2017 4:20:36 PM Default Gateway. . . . . . . . . : 10.10.10.253 Server DHCP. . . . . . . . . . . : 10.10.10.5 DHCPv6 IAID. . . . . . . . . . . : 251661353 DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-20-3B-69-81-00-0C-29-D6-14-36

   Servere DNS. . . . . . . . . . . : 10.10.10.3
                                       10.10.10.5
   NetBIOS peste Tcpip. . . . . . . . : Enabled Tunnel adapter isatap.mordor.fan: Media State. . . . . . . . . . . : Media deconectat Sufix DNS specific conexiunii. : mordor.fan Descriere. . . . . . . . . . . : Adresa fizică a adaptorului ISATAP Microsoft. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP activat. . . . . . . . . . . : Nu este activată configurarea automată. . . . : Da Adaptor tunel Conexiune locală * 9: Stare suport. . . . . . . . . . . : Media deconectat Sufix DNS specific conexiunii. : Descriere. . . . . . . . . . . : Adresa fizică a adaptorului de tunelare Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP activat. . . . . . . . . . . : Nu este activată configurarea automată. . . . : Si e

C: \ Users \ saruman>

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Utilizarea serverului de domeniu: Nume: 10.10.10.3 Adresă: 10.10.10.3 # 53 Aliasuri: Gazdă caoba.mordor.fan nu a fost găsit: 3 (NXDOMAIN)

bâzâit@sysadmin: ~ $ host -t To mahogany.mordor.fan
mahogany.mordor.fan are adresa 10.10.10.115

• Singurul mod în care clientul este înregistrat «mahon»În Microsft® DNS modifică placa de rețea după cum este indicató în imaginea anterioară, adică afirmând în mod explicit că: sufixul DNS pentru conexiune este mordor.fan, că înregistrează adresa conexiunii în DNS și că folosește sufixul DNS declarat la înregistrarea conexiunii.

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Utilizarea serverului de domeniu: Nume: 10.10.10.3 Adresă: 10.10.10.3 # 53 Aliasuri: caoba.mordor.fan are adresa 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan
mahogany.mordor.fan are adresa 10.10.10.115

Să schimbăm numele din „mahon” în „cedru”

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Utilizarea serverului de domeniu: Nume: 10.10.10.3 Adresă: 10.10.10.3 # 53 Aliasuri: Gazdă caoba.mordor.fan nu a fost găsit: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t To cedar.mordor.fan 10.10.10.3
Utilizarea serverului de domeniu: Nume: 10.10.10.3 Adresă: 10.10.10.3 # 53 Aliasuri: cedro.mordor.fan are adresa 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.5
Utilizarea serverului de domeniu: Nume: 10.10.10.5 Adresă: 10.10.10.5 # 53 Aliasuri: Gazdă caoba.mordor.fan nu a fost găsit: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t To cedar.mordor.fan 10.10.10.5
Utilizarea serverului de domeniu: Nume: 10.10.10.5 Adresă: 10.10.10.5 # 53 Aliasuri: cedro.mordor.fan are adresa 10.10.10.115

Și totul normal, deoarece clienților Microsoft® și DNS-ului Microsoft® le plac lucrurile să fie.

Să lucrăm cu Microsoft® DHCP și Microsoft® DNS

Dragi cititori, acest capitol este în afara contextului unui blog dedicat software-ului liber. Consultați ajutorul Microsoft®. Ei nu cred ?. 😉

Concluzii

Există mai multe moduri de a lucra cu Microsoft® DNS atunci când îl facem să coexiste într-o rețea de IMM-uri cu Dnsmasq. Dintre acestea vom menționa doar următoarele:

• Opriți complet serviciul DNS Microsoft® pe computerul pe care rulează, indicând după aceea că începutul serviciului este dezactivat. Debifați în configurația plăcii de rețea a fiecărui client Microsoft® opțiunea de a înregistra adresa conexiunii în DNS. Eliminați din fișier /etc/dnsmasq.conf Directivă server = / mordor.fan / 10.10.10.3. notițe:
  • Chiar dacă nu se răspunde la întrebările despre înregistrări SOA y NS, rețeaua va funcționa corect, precum și unirea diferiților clienți -Microsoft® și Linux- cu domeniul Active Directory®.
  • Are avantajul că în rețeaua SME LAN va exista un singur server de nume de domeniu -machote- și va fi Dnsmasq. ;-). Pe de altă parte, este eliminată posibilitatea unor neconcordanțe între înregistrările DNS stocate în Microsoft® DNS și cele disponibile prin Dnsmasq.
• Lăsați Microsoft® DNS să ruleze pentru a răspunde numai la întrebările DNS despre înregistrările SOA și NS. Notas:
  • Modificați configurația plăcii de rețea a fiecărui client Windows, debifând opțiunea de a Înregistra adresa conexiunii în DNS.
  • Noi gândim că această soluție este o risipă de resurse.
• Configurați serviciile așa cum am văzut de-a lungul articolului, ceea ce arată o soluție mai pe placul filosofiei Microsoft® - nu FreeBSD / Linux- Ok?

Rezumat

• Propunerea Microsoft® DNS este foarte închisă. Nu lasă loc pentru alte soluții care nu sunt în conformitate cu filosofia sa ermetică.
• Mama Natură ne învață că existăm într-un univers divers. Normal este să ai o rețea LAN mixtă, care să se îndrepte spre software-ul liber și bogată în viață și varietate.
• Se pare că pentru Microsoft®, clienții care nu se alătură filosofiei sale sunt pariați și, prin urmare, nu ar trebui să se deranjeze să-i ia în considerare.
• Cât de greu este să lucrezi cu Private Software! Aș prefera să petrec un pic de muncă configurând software-ul gratuit și să fiu cu adevărat gratuit, la naiba!

„Cel mai bun criteriu al adevărului este practica”.