BIND и Active Directory® - Сети малого и среднего бизнеса

Общий индекс серии: Компьютерные сети для МСП: Введение

Привет друзья!. Основная цель этой статьи - показать, как мы можем интегрировать службу DNS на основе BIND9 в сеть Microsoft, очень распространенную во многих малых и средних предприятиях.

Это связано с официальной просьбой друга, который живет на Огненной Земле -Огненный- специализируется на Microsoft® Networks -Certificates included-, чтобы помочь вам в этой части миграции ваших серверов на Linux. Стоимость поддержка Техник, который платит Microsoft®, уже Невыносимо для Компании, в которой он работает и в которой он является его основным акционером.

Мой друг Огненный у него отличное чувство юмора, а так как он посмотрел серию из трех фильмов «Властелин колец»Его пленили многие имена своих темных персонажей. Так что, друг Читатель, не удивляйтесь именам вашего домена и ваших серверов.

Для новичков в этой теме, прежде чем продолжить чтение, мы рекомендуем вам прочитать и изучить три предыдущие статьи о сетях малого и среднего бизнеса:

Это как смотреть три из четырех частей «Другой мир»Издается до сегодняшнего дня, и это уже четвертый.

Общие параметры

После нескольких обменов через Электронная почта: , наконец, я понял основные параметры вашей текущей сети, а именно:

Доменное имя mordor.fan LAN Network 10.10.10.0/24 ==================================== =========================================== Назначение IP-адреса серверов (Серверы с ОС Windows) ================================================ =============================== sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Файловый сервер Windows darklord.mordor.fan. 10.10.10.6 Прокси, шлюз и брандмауэр на Kerios troll.mordor.fan. 10.10.10.7 Блог на основе ... не могу вспомнить shadowftp.mordor.fan. 10.10.10.8 FTP-сервер blackelf.mordor.fan. 10.10.10.9 Полный почтовый сервис blackspider.mordor.fan. 10.10.10.10 WWW сервис palantir.mordor.fan. 10.10.10.11 Чат в Openfire для Windows

Я попросил разрешения на Огненный установить столько псевдонимов, сколько необходимо, чтобы очистить мой разум, и дал мне свое разрешение

Настоящий CNAME ============================== sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

Я объявил все важные записи DNS в своей установке Active Directory Windows 2008, которые я был вынужден реализовать, чтобы направлять меня при создании этого сообщения.

О записях SRV Active Directory DNS

Регистры SRV o Локаторы служб - широко используемые в Microsoft Active Directory - определены в Запрос комментариев RFC 2782. Они позволяют определять местоположение службы на основе протокола TCP / IP через DNS-запрос. Например, клиент в сети Microsoft может определить местонахождение контроллеров домена - Контроллеры домена которые предоставляют службу LDAP по протоколу TCP на порт 389 с помощью одного запроса DNS.

Это нормально, что в лесах - Леса, а деревья - Деревья В большой сети Microsoft есть несколько контроллеров домена. Используя записи SRV в разных Зонах, составляющих пространство доменных имен этой сети, мы можем поддерживать Список серверов, которые предоставляют аналогичные хорошо известные услуги, упорядоченные по предпочтению в соответствии с транспортным протоколом и портом каждого из них. один из серверов.

В Запрос комментариев RFC 1700 Определение универсальных символических имен для хорошо известных служб - Известный сервис, и такие имена, как «_telnet' "_smtp"За услуги Telnet y SMTP. Если символическое имя не определено для хорошо известной службы, можно использовать локальное имя или другое имя в соответствии с предпочтениями пользователя.

связующее вещество

Назначение каждого поля «специальный»В объявлении записи ресурса SRV используется следующее:

  • Домен: "Pdc._msdcs.mordor.fan.«. DNS-имя службы, к которой относится запись SRV. DNS-имя в примере означает -более или менее- Основной контроллер домена области _msdcs.mordor.fan.
  • Услуга: "_Ldap". Символическое название предоставляемой услуги, определенное в соответствии с Запрос комментариев RFC 1700.
  • протокол: "_Tcp". Указывает тип транспортного протокола. Обычно может принимать значения _tcp o _udp, хотя - и фактически - любой тип транспортного протокола, указанный в Запрос комментариев RFC 1700. Например, для услуги чат на основе протокола XMPP, это поле будет иметь значение _xmpp.
  • приоритет"0«. Объявите приоритет или предпочтение Хост, предлагающий эту услугу что мы увидим позже. DNS-запросы клиентов об услуге, определенной этой записью SRV, после получения соответствующего ответа будут пытаться связаться с первым доступным хостом с наименьшим номером, указанным в поле. приоритет. Диапазон значений, которые может принимать это поле: 0 в 65535.
  • Вес"100«. Может использоваться в сочетании с приоритет чтобы обеспечить механизм балансировки нагрузки, когда несколько серверов предоставляют одну и ту же услугу. Для каждого сервера в файле зоны должна быть похожая SRV-запись, имя которой должно быть объявлено в поле. Хост, предлагающий эту услугу. Перед серверами с равными значениями в поле приоритет, значение поля Вес его можно использовать как дополнительный уровень предпочтения для получения точного выбора сервера для балансировки нагрузки. Диапазон значений, которые может принимать это поле: 0 в 65535. Если балансировка нагрузки не требуется, например, как в случае с одним сервером, рекомендуется присвоить значение 0 чтобы облегчить чтение записи SRV.
  • Номер порта - Порт"389«. Номер порта в Хост, предлагающий эту услугу который предоставляет услугу, указанную в поле Услуга. Номер порта, рекомендуемый для каждого типа хорошо известной службы, указан в Запрос комментариев RFC 1700, хотя может принимать значение между 0 и 65535.
  • Хост, предлагающий эту услугу - Target"sauron.mordor.fan.«. Определяет Полное доменное имя что однозначно определяет кашель который предоставляет услугу, указанную в записи SRV. Тип записи «A»В пространстве имен домена для каждого Полное доменное имя с сервера или кашель который предоставляет услугу. Проще, запись типа A в прямой зоне (ах).
    • Примечание:
      Чтобы достоверно указать, что служба, указанная в записи SRV, не предоставляется на этом узле, один (
      .) точка.

Мы просто хотим повторить, что правильная работа сети или Active Directory® во многом зависит от правильной работы службы доменных имен..

Записи DNS Active Directory

Чтобы сделать зоны нового DNS-сервера на основе BIND, мы должны получить все записи DNS из Active Directory®. Чтобы облегчить жизнь, идем в команду sauron.mordor.fan -Active Directory® 2008 SR2- и в консоли администрирования DNS мы активируем прямую и обратную передачу зоны для основных зон, объявленных в этом типе услуг, а именно:

  • _msdcs.mordor.fan
  • mordor.fan
  • 10.10.10.in-addr.arpa

После выполнения предыдущего шага, желательно с компьютера Linux, IP-адрес которого находится в диапазоне подсети, используемой сетью Windows, мы выполняем:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> темп /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa
  • Напомним из предыдущих статей, что IP-адрес устройства sysadmin.fromlinux.fan эс 10.10.10.1 или 192.168.10.1.

В трех предыдущих командах мы можем исключить параметр 10.10.10.3спросите DNS-сервер с этим адресом- если декларируем в файле / Etc / resolv.conf на IP-адрес сервера sauron.mordor.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf # Генерируется поиском NetworkManager с сервера имён linux.fan 192.168.10.5 nameserver 10.10.10.3

После тщательного редактирования, как и для любого файла зоны в BIND, мы получим следующие данные:

Записи RR из исходной зоны _msdcs.mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs._msdcs.mordor.fan 
; Относительно SOA и NS _msdcs.mordor.fan. 3600 В SOA sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 3600 _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; ГЛОБАЛЬНЫЙ КАТАЛОГ gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ; Псевдонимы - в модифицированной и частной базе данных LDAP Active Directory - SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 В CNAME sauron.mordor.fan. ; ; Модифицированный и частный LDAP для Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. _ldap._tcp.600d0d-100fdb-389cf-a18-d3360c8b40d678.domains._msdcs.mordor.fan. 7 IN SRV 420 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 6 IN SRV 775 600 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 0 IN SRV 100 389 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. ; ; KERBEROS изменен и закрыт из Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 100 IN SRV 3268 600 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 0 IN SRV 100 3268 sauron.mordor.fan.

Записи RR из оригинальной зоны mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs.mordor.fan 
; Относительно SOA, NS, MX и записи A, которую он отображает; доменное имя для IP SAURON; Вещи из Active Directory mordor.fan. 3600 В SOA sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 86400 3600 мордор.фан. 600 IN A 10.10.10.3 мордор.фан. 3600 IN NS sauron.mordor.fan. mordor.fan. 3600 IN MX 10 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; Также важны записи DomainDnsZones.mordor.fan. 600 IN A 10.10.10.3 ForestDnsZones.mordor.fan. 600 IN A 10.10.10.3; ; ГЛОБАЛЬНЫЙ КАТАЛОГ _gc._tcp.mordor.fan. 600 IN SRV 0 100 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 3268 IN SRV 600 0 sauron.mordor.fan. ; ; Модифицированный и частный LDAP Active Directory _ldap._tcp.mordor.fan. 100 IN SRV 3268 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. ; ; Измененный и частный KERBEROS в Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 100 IN SRV 389 600 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 0 IN SRV 100 389 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 100 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 389 IN SRV 600 0 100 sauron.mordor.fan. ; ; Записи А с фиксированным IP -> Серверы blackelf.mordor.fan. 88 IN A 600 blackspider.mordor.fan. 0 IN A 100 darklord.mordor.fan. 88 IN A 600 mamba.mordor.fan. 0 IN A 100 palantir.mordor.fan. 464 IN A 600 sauron.mordor.fan. 0 IN A 100 shadowftp.mordor.fan. 88 IN A 600 troll.mordor.fan. 0 IN A 100; ; CNAME записывает ad-dc.mordor.fan. 464 В CNAME sauron.mordor.fan. blog.mordor.fan. 3600 В CNAME troll.mordor.fan. fileserver.mordor.fan. 10.10.10.9 В CNAME mamba.mordor.fan. ftpserver.mordor.fan. 3600 В CNAME shadowftp.mordor.fan. mail.mordor.fan. 10.10.10.10 В CNAME balckelf.mordor.fan. openfire.mordor.fan. 3600 В CNAME palantir.mordor.fan. proxy.mordor.fan. 10.10.10.6 В CNAME darklord.mordor.fan. www.mordor.fan. 3600 В CNAME blackspider.mordor.fan.

Записи RR из исходной зоны 10.10.10.in-addr.arpa

buzz @ sysadmin: ~ $ cat temp / rrs.10.10.10.in-addr.arpa 
; Относительно SOA и NS 10.10.10.in-addr.arpa. 3600 В SOA sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400 3600 10.10.10.in-addr.arpa. 3600 IN NS sauron.mordor.fan. ; ; PTR записи 10.10.10.10.in-addr.arpa. 3600 IN PTR blackspider.mordor.fan. 11.10.10.10.in-addr.arpa. 3600 IN PTR palantir.mordor.fan. 3.10.10.10.in-addr.arpa. 3600 В ПТР sauron.mordor.fan. 4.10.10.10.in-addr.arpa. 3600 IN PTR mamba.mordor.fan. 5.10.10.10.in-addr.arpa. 3600 В PTR dnslinux.mordor.fan. 6.10.10.10.in-addr.arpa. 3600 В PTR darklord.mordor.fan. 7.10.10.10.in-addr.arpa. 3600 IN PTR troll.mordor.fan. 8.10.10.10.in-addr.arpa. 3600 В PTR shadowftp.mordor.fan. 9.10.10.10.in-addr.arpa. 3600 В PTR blackelf.mordor.fan.

До этого момента мы можем думать, что у нас есть данные, необходимые для продолжения нашего приключения, не без предварительного наблюдения TTL и другие данные, которые в очень сжатой форме предоставляют нам выходные данные и прямое наблюдение за DNS 2008-битной системы Microsft® Active Directory® 2 SR64.

Образы DNS-менеджера в SAURON

Команда dnslinux.mordor.fan.

Если присмотреться, к IP-адресу 10.10.10.5 ему не было присвоено имя, чтобы оно было занято именем нового DNS dnslinux.mordor.fan. Для установки пары DNS и DHCP можно руководствоваться статьями DNS и DHCP в Debian 8 «Джесси» y DNS и DHCP в CentOS 7.

Базовая операционная система

Мой друг ОгненныйПомимо того, что он настоящий специалист по Microsoft® Windows (у него есть несколько сертификатов, выданных этой компанией), он прочитал и применил на практике некоторые статьи о настольных компьютерах, опубликованные в FromLinux., и он сказал мне, что он явно хочет решение на основе Debian. 😉

Чтобы порадовать вас, мы начнем с новой чистой установки сервера на основе Debian 8 «Джесси». Однако то, что мы напишем дальше, действительно для дистрибутивов CentOS и openSUSE, статьи о которых мы упоминали ранее. BIND и DHCP одинаковы в любом дистрибутиве. Сопровождающие пакета вносят небольшие изменения в каждый дистрибутив.

Мы выполним установку, как указано в DNS и DHCP в Debian 8 «Джесси», заботясь об использовании IP 10.10.10.5 и сеть 10.10.10.0/24., даже до настройки BIND.

Настраиваем BIND в стиле Debian

/etc/bind/ named.conf

Файл /etc/bind/ named.conf оставляем как установлено.

/etc/bind/ named.conf.options

Файл /etc/bind/ named.conf.options следует оставить со следующим содержанием:

корень @ dnslinux: ~ # cp /etc/bind/ named.conf.options /etc/bind/ named.conf.options.original

корень @ dnslinux: ~ # nano /etc/bind/ named.conf.options
параметры {каталог "/ var / cache / bind"; // Если между вами и серверами имен, с которыми вы хотите // разговаривать, есть брандмауэр, вам может потребоваться исправить брандмауэр, чтобы разрешить соединение // нескольким портам. См. Http://www.kb.cert.org/vuls/id/800113 // Если ваш интернет-провайдер предоставил один или несколько IP-адресов для стабильных // серверов имен, вы, вероятно, захотите использовать их в качестве серверов пересылки. // Раскомментируйте следующий блок и вставьте адреса, заменяющие // заполнитель всех 0. // экспедиторы {// 0.0.0.0; //}; // =============================================== ===================== $ // Если BIND регистрирует сообщения об ошибках об истечении срока действия корневого ключа, // вам необходимо обновить ключи. См. Https://www.isc.org/bind-keys // ================================= =================================== $

    // Нам не нужен DNSSEC
        dnssec-enable нет;
        //dnssec-validation auto;

        auth-nxdomain no; # соответствует RFC1035

 // Нам не нужно прослушивать IPv6-адреса
        // слушать на v6 {любой; };
    слушайте-на-v6 {нет; };

 // Для проверок от localhost и sysadmin
    // через // dig mordor.fan axfr // dig 10.10.10.in-addr.arpa axfr // dig _msdcs.mordor.fan axfr // У нас нет подчиненного DNS ... до сих пор
 разрешить передачу {localhost; 10.10.10.1; };
};

// Запись BIND
протоколирование {

        запросы канала {
        файл "/var/log/ named/queries.log" версии 3 размером 1м;
        информация о серьезности;
        время печати да;
        серьезность печати да;
        категория печати да;
        };

        channel query-error {
        файл "/var/log/ named/query-error.log" версии 3 размером 1м;
        информация о серьезности;
        время печати да;
        серьезность печати да;
        категория печати да;
        };

                                
категория запросов {
         запросы;
         };

category query-errors {
         запрос-ошибка;
         };

};
  • Мы вводим захват журналов BIND как NUEVO появление в серии статей по данной теме. Мы создаем lпапку и файлы, необходимые для Запись BIND:
корень @ dnslinux: ~ # mkdir / var / log / named
root @ dnslinux: ~ # коснитесь /var/log/ named/queries.log
root @ dnslinux: ~ # сенсорный /var/log/ named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / named

Проверяем синтаксис настроенных файлов

корень @ dnslinux: ~ # named-checkconf 
корень @ dnslinux: ~ #

/etc/bind/ named.conf.local

Создаем файл /etc/bind/zones.rfcFreeBSD с таким же содержанием, как указано в DNS и DHCP в Debian 8 «Джесси».

корень @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

Файл /etc/bind/ named.conf.local следует оставить со следующим содержанием:

// // Выполните здесь любую локальную конфигурацию // // Рассмотрите возможность добавления здесь зон 1918, если они не используются в вашей // организации
включить "/etc/bind/zones.rfc1918"; включить "/etc/bind/zones.rfcFreeBSD";

зона "мордор.фан" {тип мастер; файл "/var/lib/bind/db.mordor.fan"; }; зона "10.10.10.in-addr.arpa" {тип мастер; файл "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

зона "_msdcs.mordor.fan" {тип мастер;
 чек-имена игнорировать; файл "/etc/bind/db._msdcs.mordor.fan"; }; корень @ dnslinux: ~ # named-checkconf
корень @ dnslinux: ~ #

Файл зоны mordor.fan

корень @ dnslinux: ~ # нано /var/lib/bind/db.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; серийный 1D; обновить 1H; повторить 1W; истечь 3H); минимум или; Время жизни отрицательного кеширования;
; БУДЬТЕ ОСТОРОЖНЫ СО СЛЕДУЮЩИМИ ЗАПИСЯМИ
@ IN NS dnslinux.mordor.fan.
@ IN A 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT "Добро пожаловать в Темный Лан Мордора";
_msdcs.mordor.fan. В NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. IN A 10.10.10.5
; ОЧЕНЬ ВНИМАТЕЛЬНО ЗАКОНЧИТЕ СЛЕДУЮЩИЕ ЗАПИСИ;
DomainDnsZones.mordor.fan. IN A 10.10.10.3 ForestDnsZones.mordor.fan. IN A 10.10.10.3; ; ГЛОБАЛЬНЫЙ КАТАЛОГ _gc._tcp.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ; ; Модифицированный и частный LDAP Active Directory _ldap._tcp.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. ; ; KERBEROS изменен и закрыт из Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. ; ; Записи А с фиксированным IP -> Серверы blackelf.mordor.fan. IN A 10.10.10.9 blackspider.mordor.fan. В А 10.10.10.10 darklord.mordor.fan. IN A 10.10.10.6 mamba.mordor.fan. IN A 10.10.10.4 palantir.mordor.fan. IN A 10.10.10.11
sauron.mordor.fan. IN A 10.10.10.3
shadowftp.mordor.fan. В А 10.10.10.8 troll.mordor.fan. IN A 10.10.10.7; ; CNAME записывает ad-dc.mordor.fan. В CNAME sauron.mordor.fan. blog.mordor.fan. В CNAME troll.mordor.fan. fileserver.mordor.fan. В CNAME mamba.mordor.fan. ftpserver.mordor.fan. В CNAME shadowftp.mordor.fan. mail.mordor.fan. В CNAME balckelf.mordor.fan. openfire.mordor.fan. В CNAME palantir.mordor.fan. proxy.mordor.fan. В CNAME darklord.mordor.fan. www.mordor.fan. В CNAME blackspider.mordor.fan.

root @ dnslinux: ~ # named-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
зона mordor.fan/IN: загружен серийный номер 1 ОК

Времена TTL 600 из всех регистров SRV мы сохраним их на тот случай, если мы установим Slave BIND в ближайшее время. Эти записи представляют собой службы Active Directory®, которые в основном считывают данные из вашей базы данных LDAP. Поскольку эта база данных часто изменяется, время синхронизации должно быть коротким в схеме DNS Master-Slave. Согласно философии Microsoft, наблюдаемой в Active Directory с 2000 по 2008 год, для этих типов записей SRV сохраняется значение 600.

серия TTL серверов с фиксированным IP-адресом они находятся ниже заявленного времени в SOA 3 часа.

Файл зоны 10.10.10.in-addr.arpa

корень @ dnslinux: ~ # нано /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; серийный 1D; обновить 1H; повторить 1W; истечь 3H); минимум или; Время жизни отрицательного кеширования; @ IN NS dnslinux.mordor.fan. ; 10 В ПТР blackspider.mordor.fan. 11 В ПТР palantir.mordor.fan. 3 В ПТР sauron.mordor.fan. 4 В ПТР mamba.mordor.fan. 5 В PTR dnslinux.mordor.fan. 6 В PTR darklord.mordor.fan. 7 НА ПТР troll.mordor.fan. 8 В PTR shadowftp.mordor.fan. 9 В PTR blackelf.mordor.fan.

root @ dnslinux: ~ # named-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
зона 10.10.10.in-addr.arpa/IN: загружен серийный номер 1 ОК

Файл зоны _msdcs.mordor.fan

Учтем, что рекомендовано в файле /usr/share/doc/bind9/README.Debian.gz О расположении файлов основных зон, не подвергающихся динамическому обновлению по DHCP.

корень @ dnslinux: ~ # нано /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; серийный 1D; обновить 1H; повторить 1W; истечь 3H); минимум или; Время жизни отрицательного кеширования; @ IN NS dnslinux.mordor.fan. ; ; ; ГЛОБАЛЬНЫЙ КАТАЛОГ gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ; Псевдонимы - в модифицированной и частной базе данных LDAP Active Directory - SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 В CNAME sauron.mordor.fan. ; ; Модифицированный и частный LDAP для Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. _ldap._tcp.600d0d-100fdb-389cf-a18-d3360c8b40d678.domains._msdcs.mordor.fan. 7 IN SRV 420 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 6 IN SRV 775 600 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 0 IN SRV 100 389 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. ; ; KERBEROS изменен и закрыт из Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 100 IN SRV 3268 600 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 0 IN SRV 100 3268 sauron.mordor.fan.

Мы проверяем синтаксис и можем проигнорировать ошибку, которую он возвращает, поскольку в конфигурации этой Зоны в файле /etc/bind/ named.conf.local мы включаем заявление чек-имена игнорировать;. Зона будет правильно загружена BIND.

root @ dnslinux: ~ # named-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: имя неверного владельца (имена проверок) зона _msdcs.mordor.fan/IN: загружен серийный номер 1 ОК

root @ dnslinux: ~ # systemctl перезапуск bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 
● bind9.service - Сервер доменных имен BIND загружен: загружен (/lib/systemd/system/bind9.service; включен) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf Активен: активный (работает) с Вс 2017-02-12 08:48:38 EST; 2с назад Документы: man: named (8) Процесс: 859 ExecStop = / usr / sbin / rndc stop (code = exited, status = 0 / SUCCESS) Главный PID: 864 (named) CGroup: /system.slice/bind9.service └─864 / usr / sbin / named -f -u bind 12 февраля 08:48:38 dnslinux с именем [864]: зона 3.efip6.arpa/IN: загружен серийный номер 1, 12 февраля 08:48:38 dnslinux с именем [864] ]: zone befip6.arpa/IN: загружен серийный номер 1 февраля 12 08:48:38 dnslinux с именем [864]: зона 0.efip6.arpa/IN: загружен серийный номер 1 февраля 12 08:48:38 dnslinux с именем [864]: зона 7.efip6.arpa/IN: загруженный серийный номер 1 фев 12 08:48:38 dnslinux с именем [864]: зона mordor.fan/IN: загруженный серийный номер 1 фев 12 08:48:38 dnslinux с именем [864]: пример зоны .org / IN: загружен серийный номер 1 фев 12 08:48:38 dnslinux с именем [864]: зона _msdcs.mordor.fan/IN: загружен серийный номер 1 фев 12 08:48:38 dnslinux с именем [864]: недействительная зона / IN : загружен серийный номер 1 февраля 12 08:48:38 dnslinux с именем [864]: все зоны загружены
12 февраля 08:48:38 dnslinux с именем [864]: Бег

Консультируем BIND

До После установки DHCP мы должны провести серию проверок, включая даже присоединение клиента Windows 7 к домену. mordor.fan представлен Active Directory, установленным на компьютере sauron.mordor.fan.

Первое, что нужно сделать, это остановить службу DNS на компьютере. sauron.mordor.fan, и объявите в своем сетевом интерфейсе, что с этого момента ваш DNS-сервер будет 10.10.10.5 dnslinux.mordor.fan.

В консоли самого сервера sauron.mordor.fan выполняем:

Microsoft Windows, [Version 6.1.7600]
Авторское право (c) Корпорация Microsoft, 2009 г. Все права защищены.

C: \ Пользователи \ Администратор> nslookup
Сервер по умолчанию: dnslinux.mordor.fan Адрес: 10.10.10.5

> gc._msdcs
Сервер: dnslinux.mordor.fan Адрес: 10.10.10.5 Имя: gc._msdcs.mordor.fan Адрес: 10.10.10.3

> mordor.fan
Сервер: dnslinux.mordor.fan Адрес: 10.10.10.5 Имя: mordor.fan Адрес: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Сервер: dnslinux.mordor.fan Адрес: 10.10.10.5 Имя: sauron.mordor.fan Адрес: 10.10.10.3 Псевдонимы: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> установить тип = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Сервер: dnslinux.mordor.fan Адрес: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan Расположение службы SRV: приоритет = 0 вес = 100 порт = 88 svr имя хоста = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan Интернет-адрес = 10.10.10.3 Интернет-адрес dnslinux.mordor.fan = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Сервер: dnslinux.mordor.fan Адрес: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan Расположение службы SRV: приоритет = 0 вес = 100 порт = 389 svr hostname = sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan Интернет-адрес = 10.10.10.3 Интернет-адрес dnslinux.mordor.fan = 10.10.10.5
> выход

C: \ Пользователи \ Администратор>

DNS-запросы, сделанные из sauron.mordor.fan удовлетворительны.

Следующим шагом будет создание еще одной виртуальной машины с установленной Windows 7. Поскольку у нас все еще не установлена ​​служба DHCP, мы дадим компьютеру имя «win7»IP-адрес 10.10.10.251. Мы также заявляем, что ваш DNS-сервер будет 10.10.10.5 dnslinux.mordor.fan, и что домен поиска будет mordor.fan. Мы не будем регистрировать этот компьютер в DNS, потому что мы также будем использовать его для тестирования службы DHCP после ее установки.

Далее открываем консоль CMD и в нем выполняем:

Microsoft Windows, [Version 6.1.7601]
Авторское право (c) Корпорация Microsoft, 2009 г. Все права защищены.

C: \ Users \ buzz> nslookup
Сервер по умолчанию: dnslinux.mordor.fan Адрес: 10.10.10.5

> mordor.fan
Сервер: dnslinux.mordor.fan Адрес: 10.10.10.5 Имя: mordor.fan Адрес: 10.10.10.3

> установить тип = SRV
> _ldap._tcp.DomainDnsZones
Сервер: dnslinux.mordor.fan Адрес: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan Расположение службы SRV: priority = 0 weight = 0 port = 389 svr hostname = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fan sauron.mordor.fan Интернет-адрес = 10.10.10.3 dnslinux.mordor.fan Интернет-адрес = 10.10.10.5
> _kpasswd._udp
Сервер: dnslinux.mordor.fan Адрес: 10.10.10.5 _kpasswd._udp.mordor.fan Местоположение службы SRV: priority = 0 weight = 0 port = 464 svr hostname = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan интернет-адрес = 10.10.10.3 dnslinux.mordor.fan интернет-адрес = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Сервер: dnslinux.mordor.fan Адрес: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan Расположение службы SRV: приоритет = 0 вес = 0 порт = 389 svr имя хоста = sauron. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan Интернет-адрес = 10.10.10.3 Интернет-адрес dnslinux.mordor.fan = 10.10.10.5
> выход

C: \ Users \ buzz>

DNS-запросы, сделанные от клиента «win7»Были также удовлетворительны.

В Active Directory создаем пользователя «Саруман«, С целью использования при присоединении к клиенту win7 в домен mordor.fan., используя метод «Сетевой идентификатор«, Используя имена пользователей saruman@mordor.fan y administrator@mordor.fan. Соединение прошло успешно, что подтверждается следующим снимком экрана:

О динамических обновлениях в Microsoft® DNS и BIND

Поскольку у нас остановлена ​​служба DNS в Active Directory®, это было невозможно для клиента «win7»Зарегистрируйте свое имя и IP-адрес в этом DNS. Намного меньше в dnslinux.mordor.fan поскольку мы не делали никаких заявлений разрешить обновление для любой из задействованных областей.

И здесь началась хорошая битва с моим другом Огненный. В моем первом письме по этому поводу я прокомментировал:

  • В статьях Microsoft об использовании BIND и Active Directory® рекомендуется разрешить обновление, особенно Direct Zone -пенетрада- прямо клиентами Windows, которые уже подключены к домену Active Directory.
  • Вот почему по умолчанию в зонах DNS Active Directory® разрешены безопасные динамические обновления. клиентами Windows, уже подключенными к домену Active Directory. Если их не объединить, они воздерживаются от последствий.
  • DNS Active Directory поддерживает динамические обновления «Только безопасный», «Небезопасный и безопасный» или «Нет», что означает «НЕТ обновлений» или «Нет»..
  • Да, действительно Философия Microsoft не соглашается с тем, что ее клиенты НЕ будут обновлять свои данные в своих DNS (ах), это не оставит открытой возможность отключения динамических обновлений в своих DNS (ах), если только этот вариант останется для более скрытых целей.
  • Microsoft предлагает «Безопасность» в обмен на Тьму, как мне рассказал коллега и друг, прошедший курсы сертификатов Microsft®. Правда. Вдобавок Эль Фуэгино мне подтвердил.
  • Клиент, который получает IP-адрес через DHCP, установленный, например, на машине UNIX® / Linux, не сможет разрешить IP-адрес своего собственного имени. пока вы не присоединитесь к домену Active Directory, пока Microsoft® или BIND используется в качестве DNS без динамических обновлений DHCP.
  • Если я устанавливаю DHCP в самой Active Directory®, я должен заявить, что зоны обновляются с помощью Microsoft® DHCP.
  • Если мы собираемся использовать BIND в качестве DNS для сети Windows, логично и рекомендуется установить дуэт BIND-DHCP, при этом последний динамически обновляет BIND, и на этом вопрос завершен.
  • В мире сетей LAN в UNIX® / Linux, поскольку динамические обновления были изобретены в BIND, разрешен только г-н DHCP «проникать»Миссис БИНД с ее обновлениями. Пожалуйста, расслабьтесь с порядком.
  • Когда я объявляю в зоне mordor.fan Например: разрешить-обновление {10.10.10.0/24; };, BIND сам сообщает мне при запуске или перезапуске, что:
    • зона 'mordor.fan' разрешает обновления по IP-адресу, что небезопасно
  • В священном мире UNIX® / Linux такая дерзость с DNS просто недопустима..

Вы можете представить остальную часть обмена с моим другом Огненный через письма, Telegram чат, телефонные разговоры, оплаченные им (конечно, у меня нет на это килограмма), и даже сообщения через почтовых голубей в XXI веке!

Он даже угрожал не присылать мне сына своего питомца, его игуаны «Petra»Что он обещал мне в качестве оплаты. Там я действительно испугался. Итак, я начал снова, но под другим углом.

  • «Почти» Active Directory, которого можно достичь с помощью Samba 4, мастерски решает этот аспект, как при использовании его внутреннего DNS, так и при использовании BIND, скомпилированного для поддержки зон DLZ - Зоны загрузки Dinamyc, или динамически загруженные зоны.
  • Он продолжает страдать от того же: когда клиент получает IP-адрес через DHCP, установленный в другой Машина UNIX® / Linux, вы не сможете разрешить IP-адрес своего собственного имени пока он не будет присоединен к домену Samba 4 AD-DC.
  • Интегрируйте дуэт BIND-DLZ и DHCP на том же компьютере, где AD-DC Самба 4 это работа для настоящего специалиста.

Огненный Он позвал меня в главу и крикнул: мы НЕ говорим о AD-DC Самба 4, но Microsoft® Active Directory®!. И я смиренно ответил, что был в восторге от части следующих статей, которые собирался написать.

Тогда я сказал ему, что окончательное решение о динамическом обновлении клиентских компьютеров в его сети было оставлено на его усмотрение. Что я бы дал ему только тип написано раньше о разрешить-обновление {10.10.10.0/24; };, и больше ничего. Что я не несу ответственности за то, что произошло в результате этой неразборчивости, что каждый клиент Windows - или Linux - в их сети »проникнет»Безнаказанно перед BIND.

Если бы ты знал, мой друг, Читатель, что это был конец драки, ты бы не поверил. Мой друг Огненный он принял решение - и он пришлет мне игуану «Пит«- этим я сейчас с вами делюсь.

Устанавливаем и настраиваем DHCP

Подробнее читайте DNS и DHCP в Debian 8 «Джесси».

root @ dnslinux: ~ # aptitude install isc-dhcp-server

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # На каких интерфейсах DHCP-сервер (dhcpd) должен обслуживать DHCP-запросы? # Разделите несколько интерфейсов пробелами, например, "eth0 eth1". ИНТЕРФЕЙСЫ = "eth0" root @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
Kdhcp-ключ. + 157 + 29836

root @ dnslinux: ~ # cat Kdhcp-key. +157 + 29836.private
Формат закрытого ключа: v1.3 Алгоритм: 157 (HMAC_MD5) Ключ: 3HT / bg / 6YwezUShKYofj5g == Биты: AAA = Создано: 20170212205030 Опубликовать: 20170212205030 Активировать: 20170212205030

корень @ dnslinux: ~ # nano dhcp.key
ключ dhcp-key {алгоритм hmac-md5; секрет "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # установить -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

корень @ dnslinux: ~ # нано /etc/bind/ named.conf.local
// // Выполните здесь любую локальную конфигурацию // // Рассмотрите возможность добавления здесь зон 1918, если они не используются в вашей // организации include "/etc/bind/zones.rfc1918"; включить "/etc/bind/zones.rfcFreeBSD";
// Не забывай ... Я забыл и заплатил ошибками. ;-)
включить "/etc/bind/dhcp.key";


зона "мордор.фан" {тип мастер;
        разрешить-обновление {10.10.10.3; ключ dhcp-key; };
        файл "/var/lib/bind/db.mordor.fan"; }; зона "10.10.10.in-addr.arpa" {тип мастер;
        разрешить-обновление {10.10.10.3; ключ dhcp-key; };
        файл "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; зона "_msdcs.mordor.fan" {тип мастер; чек-имена игнорировать; файл "/etc/bind/db._msdcs.mordor.fan"; };

корень @ dnslinux: ~ # named-checkconf 
корень @ dnslinux: ~ #

корень @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style временный; ddns-updates on; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; игнорировать клиентские обновления; авторитетный; опция ip-forwarding отключена; вариант доменного имени "mordor.fan"; включить "/etc/dhcp/dhcp.key"; зона мордор.фан. {первичный 127.0.0.1; ключ dhcp-key; } зона 10.10.10.in-addr.arpa. {первичный 127.0.0.1; ключ dhcp-key; } совместно используемая сеть redlocal {подсеть 10.10.10.0 сетевая маска 255.255.255.0 {дополнительные маршрутизаторы 10.10.10.1; опция маска подсети 255.255.255.0; опция широковещательного адреса 10.10.10.255; вариант доменных имен-серверов 10.10.10.5; опция netbios-name-servers 10.10.10.5; диапазон 10.10.10.30 10.10.10.250; }} # END dhcpd.conf

корень @ dnslinux: ~ # dhcpd -t
Сервер DHCP 4.3.1 Консорциума Интернет-систем Авторские права 2004-2014 гг. Консорциум Интернет-систем. Все права защищены. Для получения информации посетите https://www.isc.org/software/dhcp/ Файл конфигурации: /etc/dhcp/dhcpd.conf Файл базы данных: /var/lib/dhcp/dhcpd. Файл PID: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl перезапуск bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 

root @ dnslinux: ~ # systemctl start isc-dhcp-server.service
root @ dnslinux: ~ # systemctl status isc-dhcp-server.service

Что связано с Проверяет с клиентамиИ Ручное изменение файлов зоны, мы предоставляем вам, читатель друг, читать прямо из DNS и DHCP в Debian 8 «Джесси»и примените его к вашим реальным условиям. Мы провели все необходимые проверки и получили удовлетворительные результаты. Конечно, мы отправляем копии всех Огненный. Больше не будет!

чаевые

общий

  • Наберитесь терпения перед тем, как начать.
  • Сначала установите и настройте BIND. Проверьте все и просмотрите все записи, которые вы объявили в каждом файле из трех или более зон, как из Active Directory, так и с самого DNS-сервера в Linux. Если возможно, с компьютера Linux, который не присоединен к домену, сделайте необходимые DNS-запросы к BIND.
  • Присоединитесь к клиенту Windows с фиксированным IP-адресом к существующему домену и перепроверьте все параметры BIND в клиенте Windows.
  • Убедившись, что конфигурация вашего нового BIND полностью правильна, вы можете установить, настроить и запустить службу DHCP.
  • В случае ошибок повторите всю процедуру с нуля 0.
  • Будьте осторожны с копией и вставкой! и оставшиеся пробелы в каждой строке файлов named.conf.xxxx
  • Впоследствии он не жаловался - а уж тем более моему другу Фуэгианину - что ему не посоветовали должным образом..

Другие советы

  • Разделяй и властвуй.
  • В сети SME безопаснее и выгоднее установить авторитетный BIND для внутренних зон локальной сети, который не повторяется ни на одном корневом сервере: рекурсия нет;.
  • В сети МСП, находящейся под управлением провайдера доступа в Интернет - Интернет-провайдер, возможно, услуги доверенное лицо y SMTP им нужно разрешать доменные имена в Интернете. Он Кальмар у вас есть возможность объявить свой DNS внешним или нет, в то время как на почтовом сервере на основе постфикс o MDaemon® Мы также можем объявить DNS-серверы, которые мы будем использовать в этой службе. В таких случаях, то есть в случаях, когда услуги в Интернете не предоставляются и которые подпадают под действие Интернет-провайдер, вы можете установить BIND с помощью Транспортеры указывая на DNS Интернет-провайдер, и объявить его как вторичный DNS на серверах, которым необходимо разрешать внешние запросы к LAN, в противном случае их можно объявить через их собственные файлы конфигурации.
  • Если у вас есть Делегированная зона под вашу полную ответственностьПотом другой петух крикнул:
    • Установите DNS-сервер на основе НРД, который по определению является авторитетным DNS-сервером, отвечающим на запросы компьютеров в Интернете. Для некоторой информации aptitude show nsd. 😉 Пожалуйста, защитите его как можно большим количеством противопожарных перегородок. И аппаратное, и программное обеспечение. Это будет DNS для Интернета, и это «Царь»Нельзя давать с низкими штанами. 😉
    • Поскольку я никогда не видел себя в подобном случае, то есть полностью ответственным за делегированную зону, мне нужно было бы очень хорошо подумать, что рекомендовать для разрешения доменных имен, внешних по отношению к нашей локальной сети, для служб, которые в этом нуждаются. Клиентам SME Network это действительно не нужно. Проконсультируйтесь со специализированной литературой или со специалистом по этим предметам, я далеко не один из них. Шутки в сторону.
    • Рекурсия не существует на авторитарных серверах. Хорошо?. На случай, если кто-то подумает сделать это с помощью BIND.
  • Хотя мы явно указываем в файле /etc/dhcp/dhcpd.conf декларация игнорировать клиентские обновления;, если запустить на компьютерной консоли dnslinux.mordor.fan заказ journalctl -f, мы увидим, что при запуске клиента win7.mordor.fan мы получаем следующие сообщения об ошибках:
    • 12 февраля, 16:55:41 dnslinux с именем [900]: клиент 10.10.10.30 # 58762: обновление mordor.fan/IN отклонено
      12 февраля, 16:55:42 dnslinux с именем [900]: клиент 10.10.10.30 # 49763: обновление mordor.fan/IN отклонено
      12 февраля, 16:56:23 dnslinux с именем [900]: клиент 10.10.10.30 # 63161: обновление mordor.fan/IN отклонено
      
    • Чтобы устранить эти сообщения, мы должны перейти к расширенным параметрам конфигурации сетевой карты и снять флажок с опции «Зарегистрируйте адреса этого подключения в DNS«. Это предотвратит попытки клиента самостоятельно зарегистрироваться в Linux DNS навсегда, и проблема исчезнет. Извините, но у меня нет копии Windows 7 на испанском языке. 😉
  • Чтобы узнать обо всех серьезных и безумных запросах, которые делает клиент Windows 7, ознакомьтесь с журнал запросов.log что для чего-то мы это декларируем в конфигурации BIND. Порядок будет следующим:
    • корень @ dnslinux: ~ # хвост -f /var/log/ named/queries.log
  • Если вы не разрешаете своим клиентским компьютерам напрямую подключаться к Интернету, тогда зачем вам нужны корневые DNS-серверы? Это значительно уменьшит вывод команды journalctl -f и из предыдущего, если ваш авторитарный DNS-сервер для внутренних зон не подключается напрямую к Интернету, что настоятельно рекомендуется с точки зрения безопасности.
    корень @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
    корень @ dnslinux: ~ # cp / dev / null /etc/bind/db.root
  • Если вам не нужно объявление корневых серверов, тогда зачем вам Рекурсия - Рекурсия?
    корень @ dnslinux: ~ # nano /etc/bind/ named.conf.options
    параметры {
     ....
     рекурсия нет;
     ....
    };

Конкретный совет, который мне до сих пор не очень понятен

El человек dhcpd.conf сообщает нам следующее среди множества других вещей:

        Заявление об оптимизации обновления

            флаг обновления-оптимизации;

            Если параметр update-optimisation равен false для данного клиента, сервер будет пытаться обновить DNS для этого клиента каждый раз, когда клиент продлевает аренду, вместо того, чтобы пытаться выполнить обновление только тогда, когда это кажется необходимым. Это позволит DNS легче устранять несоответствия базы данных, но цена заключается в том, что DHCP-сервер должен выполнять гораздо больше обновлений DNS. Мы рекомендуем прочитать, что этот параметр включен, он установлен по умолчанию. Эта опция влияет только на поведение временной схемы обновления DNS и не влияет на специальную схему обновления DNS. Если этот параметр не указан или имеет значение true, DHCP-сервер будет обновляться только при изменении информации о клиенте, получении клиентом другой аренды или истечении срока аренды клиента.

Более-менее точный перевод предоставляется вам, уважаемый читатель.

Лично со мной случалось - и это произошло во время написания этой статьи - когда я привязываю BIND к Active Directory®, это происходит от Microsft® или Samba 4, если я изменяю имя клиентского компьютера, зарегистрированного в домене Active Directory® или из AD-DC Samba 4 сохраняет свое старое имя и IP-адрес в прямой зоне, а не наоборот, которая правильно обновляется с новым именем. Другими словами, старое и новое имена сопоставляются с одним и тем же IP-адресом в прямой зоне, в то время как в обратном порядке отображается только новое имя. Чтобы хорошо меня понять, вы должны попробовать сами.

Я думаю, это своего рода месть Огненный Не мне, пожалуйста, за попытку перенести ваши службы на Linux.

Конечно, старое имя исчезнет, ​​когда его TTL 3600, или время, которое мы заявили в конфигурации DHCP. Но мы хотим, чтобы он исчез немедленно, как это происходит в BIND + DHCP. без Active Directory через.

Решение этой ситуации я нашел, вставив оператор обновление-оптимизация false; в конце верхней части файла /etc/dhcp/dhcpd.conf:

ddns-update-style временный; ddns-updates on; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; игнорировать клиентские обновления;
обновление-оптимизация false;

Если кто-нибудь из Читателей знает об этом больше, пожалуйста, просветите меня. Я буду очень признателен.

Резюме

Мы получили массу удовольствия от этой темы, верно? Никаких страданий, потому что у нас есть BIND, работающий в качестве DNS-сервера в сети Microsoft®, предлагающий все записи SRV и соответствующим образом отвечая на запросы DNS, отправленные им. С другой стороны, у нас есть DHCP-сервер, который предоставляет IP-адреса и правильно динамически обновляет зоны BIND.

Но мы не можем спрашивать ... пока.

Я надеюсь мой друг Огненный Будьте счастливы и довольны первым шагом в переходе на Linux, который сделает невыносимые расходы на техническую поддержку Microsft® несложными.

Важное примечание

Символ "Огненный»Это полностью выдумка и продукт моего воображения. Любое сходство или совпадение с реальными людьми - одно и то же: чистое непроизвольное совпадение с моей стороны. Я создал его только для того, чтобы написание и чтение этой статьи было немного приятным. Теперь, если вы можете сказать мне, что проблема с DNS темная,


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

13 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   crespo88 сказал

    Очень сильно, без комментариев. Так как DNS от Microsoft не нужен. Будьте осторожны, не подайте в суд, хахахаха. Спасибо за доставку, Фико.

  2.   Federico сказал

    Подать в суд на меня? Что они видят их с Эль Фуэгино. 😉
    Спасибо друг!!!

  3.   Ханибалл Бин сказал

    Не было ли проще установить zentyal на всю эту часть активного каталога?

  4.   dhunter сказал

    Ха-ха, отличная артикуляция для установки мощного бинда, и я вижу, что Zentyal был рекомендован вам в комментарии выше, я ухожу до начала стрельбы.

    PS: Домен, основанный на Windows, - это Мордор, но если мы смонтируем чистую Samba, это будет Гондор или Рохан, верно? 😉

  5.   Federico сказал

    Никому не рекомендую использовать Зентиал. Используйте Windows, потому что ее использование стало реальностью для многих малых и средних предприятий. О стабильности Zentyal спросите моего друга и коллегу Дантера. 😉

  6.   Federico сказал

    Конечно же, друг dhunter. В Samba 4 он будет называться tierramedia.fan. 😉

  7.   Federico сказал

    Тем, кто уже скачал статью, будьте очень осторожны со следующим:
    Где говорит
    ; БУДЬТЕ ОСТОРОЖНЫ СО СЛЕДУЮЩИМИ ЗАПИСЯМИ
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.3

    Должен сказать правильно

    ; БУДЬТЕ ОСТОРОЖНЫ СО СЛЕДУЮЩИМИ ЗАПИСЯМИ
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.5

    Коллега Эдуардо Ноэль был тем, кто осознал мою невольную ошибку.

  8.   Federico сказал

    Тем, кто уже скачал статью, будьте очень осторожны со следующим:
    Где говорит
    ; БУДЬТЕ ОСТОРОЖНЫ СО СЛЕДУЮЩИМИ ЗАПИСЯМИ
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.3

    Должен сказать правильно

    ; БУДЬТЕ ОСТОРОЖНЫ СО СЛЕДУЮЩИМИ ЗАПИСЯМИ
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.5

    Коллега Эдуардо Ноэль был тем, кто осознал мою невольную ошибку.

  9.   dhunter сказал

    Для тех, кто планирует использовать Zentyal для чего-то серьезного, я предупреждаю вас быть очень осторожными, я использую два драйвера Zentyal 4.2 (14.04), обновил все и будьте осторожны до максимума, очень редкие ошибки (и еще реже ответы в проекте bugzilla, вы Они заставляют вас чувствовать себя глупо из-за того, что вы используете что-то, что вы так мало цените), какое-то время они не пользовались огромной обратной связью, и я думал, что они исчезли, и внезапно они выпускают 5.0 без возможной миграции с 4.2… прекрасно….

    Сообщать об ошибках в версию сообщества не имеет смысла, если вы не работаете вместе с разработчиками, всегда использующими последнюю версию, проверьте это: https://tracker.zentyal.org/issues/5080#comment:14

    В конце концов, надо умереть с относительно стабильной версией и бить ее до тех пор, пока она не продлится, посмотрите на то, что у моего zentyal есть в cron:

    0 7 * * 1-6 /sbin/shutdown -r now

    Как я уже говорил ... прекрасно!

    PS: Предположительно, я трачу всю эту работу на использование бесплатной версии, предположительно платная версия - это серьезно, но я думаю, что это не лучшая стратегия для привлечения пользователей, другой продукт с аналогичной бизнес-моделью - Proxmox, и я сравнил его платную версию на такую Чтобы дать проекту деньги, а не потому, что бесплатная версия не хватает, Proxmox - это жемчужина.

  10.   Исмаэль Альварес Вонг сказал

    Привет, Федерико:
    С каждой новой статьей вы поднимаете стоп, как будто этого было недостаточно, со всем, что было описано в 3 предыдущих сообщениях о дуэте BIND + DHCP, теперь вы публикуете эту «магистраль» (извините за ругательство) статьи о том, как перенести DNS Microsoft на BIND, как обновить его с DHCP в Linux, и в довершение всего, все вышеперечисленное сосуществует с Microsoft Active Directory.
    . Отлично все, что связано с записями SRV DNS Active Directory, его прямой зоной "_msdcs.dominio", как захватывать из Linux записи зон - или более того - DNS Microsoft AD для создания баз данных сказал Зоны в BIND.
    . Очень полезно включить журналы запросов в конфигурации BIND.
    . ОЧЕНЬ ЦЕННЫЙ совет: Клиент, который получает IP-адрес через DHCP, установленный в Linux, не сможет разрешить IP-адрес своего собственного имени, пока он не присоединится к домену Active Directory. В примере Лаборатории в этой статье сначала компьютеру «win7» назначается IP-адрес 10.10.10.251 для проверки DNS домена «mordor.fan», затем он подключается с этого фиксированного IP-адреса к Microsoft AD, чтобы, наконец, когда Если в Linux установлен DHCP, это тот, который назначает свой IP-адрес и в то же время обновления «проникают» в BIND для записи реестра оборудования в прямой и обратной зонах. ПОДРОБНЕЕ ВЫ НЕ НАЙДЕТЕ!
    . Очень хорошо все соображения относительно динамических обновлений в Microsoft® DNS и в BIND; а также все советы, объясненные в последнем разделе, и, в частности, все разработки и предлагаемые решения для «Специального совета, в котором я до сих пор не очень разбираюсь».
    ! 5 ЗВЕЗД АВТОРУ! и я с возрастающим интересом слежу за серией PYMES!

  11.   Federico сказал

    Дантер: Написал «Голос опыта». «Практика - лучший критерий истины».

    Вонг: Я уже пропустил ваш комментарий - дополнение к статье. Надеюсь, что скоро выйдет статья о dnsmasq.

    Спасибо вам обоим за ваши комментарии.

  12.   crespo88 сказал

    Вы не говорили + ни о партнере по имени «El Fueguino», ни о его решении начать миграцию своих серверов. Ты украл другую у Microsoft, хахаха !!!! ????

  13.   Federico сказал

    хахахаха друг crespo88. Я вижу, вам понравилась волна вымышленного персонажа. Если у других будет больше мнений, подобных вам, это могло бы сделать статьи на сложные темы более интересными. Будем ждать других комментариев по этому поводу.