Dnsmasq и Active Directory - Сети малого и среднего бизнеса

Общий индекс серии: Компьютерные сети для МСП: Введение

Привет друзья!. Чтобы понять и правильно следовать этой статье, существенный читая своих предшественников:

• Dnsmasq в CentOS 7.3
• BIND и Active Directory®

Они объясняют теоретические и практические концепции, на которые мы не будем ссылаться в этой статье. В текущем году мы изменим распределение на Debian 8.6 «Джесси» и мы продолжим с теми же параметрами, что и в BIND и Active Directory®.

• Процедура, описанная в этом посте, также действительна для CentOS 7. Конфигурационный файл / etc / dnsmasq такой же. Объявляю это потому, что считаю ненужным делать отдельную статью для Dnsmasq и Active Directory.® на базе CentOS. К счастью, каталоги, относящиеся к документации и конфигурации, совпадают.,
• Dnsmaq - это создание Саймон Келли

Ограничения на использование Dnsmasq

Ввиду его важности мы повторяем ПРЕДЕЛЫ который поддерживает Dnsmasq -run человек dnsmasq- что отражает точно следующие:

ПРЕДЕЛЫ

• Значения по умолчанию для ограничений ресурсов обычно консервативны и подходят для использования на устройствах типа маршрутизатора. застрял с медленными процессорами и нехваткой памяти. В аппаратном больше  способный, можно увеличить лимиты и поддерживать многие другие клиентов. Следующее относится к dnsmasq-2.37: предыдущие версии не они так хорошо лазали.
  

• Dnsmasq может поддерживать DNS и DHCP не менее одной тысячи (1,000) клиентов. Сроки аренды не должны быть слишком короткими (менее одного время). Значение –dns-forward-max можно увеличить: начните с эквивалент количества клиентов и увеличьте его, если DNS. Обратите внимание, что производительность DNS также зависит от серверов. Восходящий DNS. Размер кеша DNS можно увеличить: предел Требуется 10,000 150 имен, а значение по умолчанию (1) очень низкое. Отправка SIGUSRXNUMX в dnsmasq создает битовую информацию, которая полезно для точной настройки размера кеша. См. Подробности в разделе «ПРИМЕЧАНИЯ».

• Встроенный сервер TFTP может поддерживать несколько передач. одновременных файлов: абсолютный предел связан с количеством файловых дескрипторов, разрешенных процессу, и способностью системыTem вызовет select () для поддержки большого количества файловых дескрипторов. Если предел установлен слишком высоким с помощью –tftp-max, он будет масштабирован, а фактический предел будет синхронизирован при запуске. Обратите внимание, что больше переводов возможны при отправке одного и того же файла.ferencia отправляет другой файл. Можно использовать dnsmasq для запрета веб-рекламы, используя список хорошо известные серверы баннеров, все разрешающие до 127.0.0.1 или 0.0.0.0 в / etc / hosts или в дополнительном файле hosts. Список может быть очень длинным. Dnsmasq успешно протестирован с миллионом имен. Для этого размера файла требуется процессор с тактовой частотой 1 ГГц и60 МБ ОЗУ.

• Dnsmasq может поддерживать DNS и DHCP не менее одной тысячи (1,000) клиентов.

Установим и настроим Jessie и Dnsmasq

Мы начнем с новой и чистой установки сервера на основе Debian 8 «Джесси». То есть операционная система без графического интерфейса или установленного другого пакета. Параметры сети будут такими же, что мы использовали в статье. BIND и Active Directory®:

Доменное имя mordor.fan LAN Network 10.10.10.0/24 ====================================== ========================================== Назначение IP-адреса серверов (Серверы с ОС Windows) ================================================ ===============================
sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2
mamba.mordor.fan. 10.10.10.4 Файловый сервер Windows
dns.mordor.fan 10.10.10.5 Сервер DnsMasq на Jessie
darklord.mordor.fan. 10.10.10.6 Прокси, шлюз и межсетевой экран на Kerios troll.mordor.fan. 10.10.10.7 Блог на основе ... не могу вспомнить shadowftp.mordor.fan. 10.10.10.8 FTP-сервер blackelf.mordor.fan. 10.10.10.9 Полный почтовый сервис blackspider.mordor.fan. 10.10.10.10 WWW сервис palantir.mordor.fan. 10.10.10.11 Чат на Openfire для Windows Real CNAME ============================== sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www палантир openfire

Начальные настройки сервера dns.mordor.fan

корень @ DNS: ~ # нано / etc / hostname
DNS

корень @ DNS: ~ # нано / etc / hosts
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # Для хостов с поддержкой IPv6 желательны следующие строки: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

корень @ DNS: ~ # нано / etc / network / interfaces
# Этот файл описывает сетевые интерфейсы, доступные в вашей системе # и способы их активации. Для получения дополнительной информации см. Interfaces (5). source /etc/network/interfaces.d/* # Сетевой интерфейс loopback auto lo iface lo inet loopback # Основной сетевой интерфейс allow-hotplug eth0 iface eth0 inet статический адрес 10.10.10.5 netmask 255.255.255.0 network 10.10.10.0 broadcast 10.10.10.255. 10.10.10.1 gateway 127.0.0.1 Опции # dns- * реализуются пакетом resolvconf, если установлены dns-nameservers XNUMX dns-search mordor.fan

Установим Dnsmasq и htop

root @ dns: ~ # aptitude install dnsmasq htop

После установки пакета HTOP мы можем проверить потребление ЦП и памяти оборудованием. Он занимал всего 71 мегабайт оперативной памяти. Если мы хотим еще больше снизить потребление, мы можем установить пакет ССМТП -просто МТА- который, в свою очередь, очищает пакет exim4 что Debian всегда устанавливается по умолчанию и который нам на самом деле не нужен в зависимости от того, как мы будем использовать этот сервер:

root @ dns: ~ # aptitude install ssmtp
root @ dns: ~ # чистка способностей ~ c
root @ dns: ~ # чистота
root @ dns: ~ # aptitude autoclean
root @ dns: ~ # перезагрузка systemctl

После перезагрузки компа потребление следующее:

Низкий, правда? Давайте двигаться дальше.

Укажем, что Dnsmasq также консультируется с Microsft® DNS.

Чтобы проверить возможные конфигурации Dnsmasq на вашем компьютере DNS.mordor.fan, мы должны включить заявление, указывающее, что выполняется консультация с Microsoft DNS сервера. Саурон.мордор.фан. Мы можем это сделать, включая директиву сервер = / mordor.fan / 10.10.10.3 в архиве dnsmasq.conf -как мы увидим позже- или добавив строку сервер имен 10.10.10.3 в архиве / Etc / resolv.conf. Поскольку мы еще не настроили Dnsmasq в соответствии с нашими потребностями, мы выбираем второй способ:

корень @ dns: ~ # nano /etc/resolv.conf
домен mordor.fan
сервер имен 127.0.0.1
сервер имен 10.10.10.3

Теперь мы можем разрешать DNS-запросы

С конфигурацией по умолчанию Dnsmasq, предоставленной его основным файлом /etc/dnasmq.conf, и тем, что заявлено в файле / Etc / resolv.conf с самого сервера «DNS«, Любой клиент, подключенный к локальной сети и заявленный как DNS-сервер DNS.mordor.fan- вы можете разрешать DNS-запросы за счет Microsoft® DNS теперь…

• Очень важно проверить скорость отклика Dnsmasq при отображении его статуса как экспедитор простым включением IP 10.10.10.3 в ваш файл / Etc / resolv.conf.

С моей административной рабочей станции и поддержки всей атрибутики, через которую я пишу, я запускаю:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Создано NetworkManager доменом mordor.fan nameserver 10.10.10.5

buzz @ sysadmin: ~ $ nslookup
> DNS
Сервер: 10.10.10.5 Адрес: 10.10.10.5 # 53 Имя: dns.mordor.fan Адрес: 10.10.10.5

> Саурон
Сервер: 10.10.10.5 Адрес: 10.10.10.5 # 53

Неавторитетный ответ:
Имя: sauron.mordor.fan Адрес: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Сервер: 10.10.10.5 Адрес: 10.10.10.5 # 53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan каноническое имя = sauron.mordor.fan. Имя: sauron.mordor.fan Адрес: 10.10.10.3

> 10.10.10.3
Сервер: 127.0.0.1 Адрес: 127.0.0.1 # 53 3.10.10.10.in-addr.arpa name = sauron.mordor.fan.

> 10.10.10.9
Сервер: 127.0.0.1 Адрес: 127.0.0.1 # 53 9.10.10.10.in-addr.arpa name = blackelf.mordor.fan.

> 10.10.10.5
Сервер: 127.0.0.1 Адрес: 127.0.0.1 # 53 5.10.10.10.in-addr.arpa name = dns.mordor.fan.

> почта
Сервер: 10.10.10.5 Адрес: 10.10.10.5 # 53 Неавторизованный ответ: mail.mordor.fan каноническое имя = blackelf.mordor.fan. Имя: blackelf.mordor.fan Адрес: 10.10.10.9> выход

buzz @ sysadmin: ~ $

Давайте подробнее рассмотрим следующие аспекты:

• DNS.mordor.fan напрямую отвечает на запросы DNS, которые он может разрешить в соответствии с вашими текущими настройками Dnsmasq. Если вы не можете их решить, это работает как экспедитор и спрашивает IP 10.10.10.3, может ли он ответить на запрос. На вопрос IP оборудования «DNS«, Он отвечает прямо. Когда Dnsmasq спрашивают, кто это «Саурон",?, сделать пересылка к 10.10.10.3 -Вы не можете ответить напрямую, потому что еще не зарегистрировали его- кто дает правильный неавторитарный ответ.
• На вопрос, кто такой «03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan"?, сделать пересылка снова, и на этот раз вы получите авторитетный ответ от Microsoft® DNS.
• Высокая скорость ответа Dnsmasq на любой тип запроса.

Это маленькие детали, которые делают любовь прекрасной ;-).

Фундаментальные различия между Dnsmasq и BIND, интегрированными с Active Directory®

Запустим пару DNS-запросов к записям SOA y NS домена Мордор.фан, каждому из задействованных серверов имен:

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.3
Используемый сервер домена: Имя: 10.10.10.3 Адрес: 10.10.10.3 # 53 Псевдонимы: 
У mordor.fan есть запись SOA sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.5
Используемый сервер домена: Имя: 10.10.10.5 Адрес: 10.10.10.5 # 53 Псевдонимы: 
У mordor.fan есть запись SOA sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.5
Используемый сервер домена: Имя: 10.10.10.5 Адрес: 10.10.10.5 # 53 Псевдонимы: 
Сервер имен mordor.fan sauron.mordor.fan.

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.3
Используемый сервер домена: Имя: 10.10.10.3 Адрес: 10.10.10.3 # 53 Псевдонимы: 
Сервер имен mordor.fan sauron.mordor.fan.

Ответы идентичны - что логично - потому что Siempre ответить Саурон.мордор.фан. перед DNS-запросом о записях SOA o NS, Хотя кажется что он отвечает DNS.mordor.fan. Однако это отличается от того, что видно в статье. BIND и Active Directory®, где мы полностью удалили функциональность Microsoft® DNS. В этой статье ВСЕ запросы DNS о пространстве имен Domino Мордор.фан BIND ответил им, потому что мы настроили его таким образом, и потому что BIND отвечает на запросы. SOA y NS в дополнение к разрешающей схеме Мастер - Раб, Зонная передача и т. Д., Поэтому это более полный DNS-сервер - сложный.

Возможно, это основные различия между DNS Dnsmasq и BIND ... но BIND - всегда может быть одно или несколько но - не имеет DHCP-сервера, который легко интегрируется с DNS-сервером в едином демон, и без необходимости использования ключей TSIG, файлов конфигурации, баз данных зон и т. д., как мы видели в предыдущих статьях.

• Я думаю, что к настоящему времени уважаемые читатели поймут, что я не ненавижу BIND и не предпочитаю Dnsmasq BIND. Дальнейшие обсуждения этого вопроса - пустая трата времени, так как он во многом связан с потребностями, требованиями, вкусами, предпочтениями и .... каждое решение имеет свою прелесть ;-).

• В аналогичных сценариях позвольте каждому установить и настроить программное обеспечение по своему выбору и о котором они знают больше. и что все работает как положено.

Преимущества комбинации Dnsmasq + Active Directory®

Благодаря этой комбинации у нас есть полный спектр ответов на запросы DNS и эффективные средства аренды IP-адресов для нашей локальной сети малого и среднего бизнеса. Как мы увидим позже, он работает правильно в любой ситуации, связанной с подключением компьютера к контроллеру домена Microsoft® Active Directory®. Кроме того, у нас есть DNS и DNS сервер экспедитор по преимуществу, плюс очень быстрый DHCP-сервер. И все это при небольшом спросе на ресурсы. Вы хотите больше?

Возможен ли Dnsmasq + BIND?

Определенно да. Хотя я рекомендую устанавливать их на разных компьютерах, чтобы не было конфликтов из-за любимого порта 53 службы DNS. Возможно, и мы что-нибудь увидим, когда перейдем к AD-DC на базе Samba 4. Кто знает?

Советы о Dnamasq

• Важнейшие рабочие файлы для Dnsmasq для предоставления служб DHCP и DNS в локальной сети: /etc/dnsmasq.conf, / Etc / хостов, /var/lib/misc/dnsmasq.leases, y / Etc / resolv.conf. Файл dnsmasq.leases он создается, когда вы арендуете свой первый IP-адрес.
• Другой файл вакансии, который вы можете использовать, это / и т.д. / эфиры. Если такой файл существует, директива читать эфиры объявленный в файле конфигурации, сообщает Dnsmasq, чтобы он прочитал его. Это очень полезно, когда мы связываем MAC-адреса / имена хостов для определенных целей.
• Службу DNS можно полностью отключить с помощью директивы Порт = 0 в dnsmasq.conf.
• Службу DHCP для одного или нескольких сетевых интерфейсов можно отключить с помощью директив -один для каждой линии- no-dhcp-interface = eth0, no-dhcp-interface = eth1, и так далее. Очень полезно, когда мы находимся перед группой с двумя или более сетевыми интерфейсами и хотим, чтобы служба DHCP предоставлялась только одним из них или ни одним из них. Конечно, если мы отключим службу DHCP для всех интерфейсов, мы оставим только службу DNS работающей. Если мы отключим обе службы, то зачем нам Dnsmasq? 😉
• Объявить другим DNS-серверам доменных имен, что нет являются общедоступными или внешними по отношению к локальной сети - как в случае Microsoft DNS - мы делаем это с помощью директивы server = / имя домена / IP-адрес DNS-сервера в архиве /etc/dnsmasq.conf, пример: сервер = / mordor.fan / 10.10.10.3.
• Чтобы сообщить Dnsmasq, что запросы о локальных доменах отвечают только из файла / Etc / хостов или через ваш DHCP мы должны добавить директиву местный = / localnet / в основном файле вашей конфигурации. Пример: местный = / mordor.fan /.
• Чтобы правильно настроить файл / Etc / resolv.conf – распознаватель предлагаем прочитать его руководство с помощью команды человек resolv.conf. Если вы установите Debian 8.6 «Jessie», вы обнаружите, что он хорошо написан по-испански.
• Dnsmasq не использует файлы Zones для ответа на прямые или обратные запросы.
• Знать значение каждого поля «специальный»Это используется в объявлении записи ресурса SRV, вам следует проконсультироваться BIND и Active Directory®. Синтаксис SRV-записей в файле /etc/dnsmasq.conf это:

  srv-host = , , , ,

Читатели, которые хотят узнать больше, внимательно прочитайте исходный файл. /etc/dnsmasq.conf или существующие документы в каталоге / usr / share / doc / dnsmasq-base.

корень @ DNS: ~ # ls -l / usr / share / doc / dnsmasq-base /
всего 128 -rw-r - r-- 1 root root 883 5 мая 2015 г. copyright -rw-r - r-- 1 root root 36261 5 2015 мая 1 г. changelog.archive.gz -rw-r - r-- 11297 root root 5 2015 мая 1 г. changelog.Debian.gz -rw-r - r-- 26014 root root 5 2015 мая 1 г. changelog.gz -rw-r - r-- 2084 root root 5 2015 мая 1 г. DBus-interface. gz -rw-r - r-- 4297 root root 5 2015 мая 2 doc.html drwxr-xr-x 4096 root root 19 17 февраля 52:1 примеры -rw-r - r-- 9721 root root 5 2015 мая 1 FAQ.gz -rw-r - r-- 4180 root root 5 2015 мая 1 README.Debian -rw-r - r-- 12019 root root 5 2015 мая XNUMX setup.html

Настроим Dnsmasq и Resolver

Мы возьмем в качестве начального руководства - изменение имен и прочего, конечно - конфигурационный файл, используемый в статье «Dnsmasq в CentOS 7.3».

Не забываем следующий шаг:

[корень @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Фиксированные IP-адреса

Адреса серверов или оборудования, для которых требуется фиксированный IP-адрес. IPv4 в качестве IPv6- объявлены в файле / Etc / хостов:

[root @ dns ~] # нано / etc / hosts
127.0.0.1 localhost # Для хостов с поддержкой IPv6 желательны следующие строки: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters # Серверы и компьютеры с фиксированными IP-адресами. 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8. 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

Создадим файл /etc/dnsmasq.conf

[корень @ dns ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # ОБЩИЕ НАСТРОЙКИ # ----------------------------- -------------------------------------- domain-required # Не передавайте имена без доменной части bogus-priv # Не передавать адреса в не маршрутизируемом пространстве expand-hosts # Автоматически добавлять домен к хосту interface = eth0 # Интерфейс.  ОСТЕРЕГАЙТЕСЬ интерфейса # except-interface = eth1 # НЕ слушайте этот строгий порядок NIC # Порядок, в котором вы обращаетесь к файлу /etc/resolv.conf # Включите многие другие параметры конфигурации # через файл или указав # файлы конфигурации дополнительно в каталоге # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # Относительно доменного имени domain = mordor.fan # Имя домена # Сервер времени 10.10.10.1. 10.10.10.1 address = / time.windows.com / XNUMX # Отправляет пустой вариант значения WPAD.  Требуется для корректной работы клиентов # Windos 7 и более поздних версий.  ;-) dhcp-option = 252, "\ n" # Файл, в котором мы объявим ХОСТЫ, которые будут "забанены" addn-hosts = / etc / banner_add_hosts # Проконсультируемся с сервером Microsoft® DNS "sauron", # если мы позволим ему работать server = / mordor.fan / 10.10.10.3 # На запросы о локальных доменах будут даны ответы # из / etc / hosts или через локальный DHCP = / mordor.fan / # На запросы о PTR или обратных записях ответят # серверы "dns" и "sauron" в этом порядке server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3 # ------- -------------------------------------------------- ---------- # REGISTROSCNAMEMXTXT # ------------------------------------- ------------------------------ # Для этого типа регистрации требуется запись # в файле / etc / hosts #, например: 10.10.0.7 troll.mordor.fan troll # cname = ALIAS, REAL_NAME cname = ad-dc.mordor.fan, sauron.mordor.fan cname = fileserver.mordor.fan, mamba.mordor.fan cname = proxyweb.mordor.fan , darklord.mordor.fan cname = blog.mordor .fan, troll.mordor.fan cname = ftpserver.mordor.fan, shadowftp.mordor.fan cname = mail.mordor.fan, blackelf.mordor.fan cname = www.mordor.fan, blackspider.mordor.fan cname = opendire .mordor.fan, palantir.mordor.fan # MX RECORDS # Возвращает MX-запись с именем "mordor.fan", # предназначенную команде blackelf.mordor.fan и приоритетом 10 mx-host = mordor.fan, mail. mordor.fan, 10 # Назначением по умолчанию для записей MX, созданных # с использованием параметра localmx, будет: mx-target = mail.mordor.fan # Возвращает запись MX, указывающую на mx-target для ВСЕХ # локальных машин localmx # TXT записей. 

dhcp-lease-max = 222 # Максимальное количество адресов в аренду
                        # по умолчанию 150
# Диапазон IPV6 # dhcp-range = 1234 ::, ra-only # Опции для ДИАПАЗОНА # ОПЦИИ dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,10.10.10.253 # ШЛЮЗ МАРШРУТИЗАТОРА dhcp-option = 6,10.10.10.5 .15 # DNS-серверы dhcp-option = 19,1, mordor.fan # DNS-имя домена dhcp-option = 28,10.10.10.255 # option ip-forwarding ON dhcp-option = 42,10.10.10.1 # BROADCAST dhcp-option = 40. 41,10.10.10.3 # NTP # dhcp-option = 44,10.10.10.3, MORDOR # Имя домена NIS # dhcp-option = 45,10.10.10.3 # Сервер NIS # dhcp-option = 73,10.10.10.3 # WINS # dhcp-option = 46,8 # Дейтаграммы NetBIOS # dhcp-option = XNUMX # Finger Server # dhcp-option = XNUMX # узел NetBIOS dhcp-authoritative # авторитетный DHCP в подсети # ------------- -------------------------------------------------- ---- # --------------------------------------------- ---------------------- # LOGGING tail -f / var / log / syslog или journalctl -f # ------------ -------------------------------------------------- ----- запросы журнала # ----------------------------------------- -------------------------- # Re Записи A и SRV, соответствующие Active Directory № ----------------------------------------- --------------------------
# Записей A
адрес = / gc._msdcs.mordor.fan / 10.10.10.3 адрес = / DomainDnsZones.mordor.fan / 10.10.10.3 адрес = / ForestDnsZones.mordor.fan / 10.10.10.3

# Запись CNAME зоны DNS Microsoft _msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# SRV записей
# srv-host = , , , ,

# Глобальный каталог # Зона Microsoft DNS _msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan, sauron.mordor.fan, 3268,0,0
# Зона Microsoft DNS mordor.fan
srv-host = _gc._tcp.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan, sauron.mordor.fan .3268,0,0

# Модифицированный и частный LDAP Active Directory
# Microsoft DNS зона _msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# Microsoft DNS зона mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# KERBEROS изменен и закрыт из Active Directory
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

# КОНЕЦ файла /etc/dnsmasq.conf
# ------------------------------------------------- ------------------

Создадим файл / etc / banner_add_host

[root @ dns ~] # nano / etc /Banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq --test
dnsmasq: проверка синтаксиса ОК.

[root @ dns ~] # systemctl перезапуск dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service

Модифицируем файл /etc/resolv.conf - Resolver

корень @ dns: ~ # nano /etc/resolv.conf 
домен mordor.fan поискать mordor.fan

Почему у нас в файле не объявлены обычные строки разрешение.conf? Потому что мы заявляем в dnsmasq.conf следующие директивы:

# Проконсультируйтесь с DNS-сервером Microsoft® "sauron", # если мы позволим ему работать
сервер = / mordor.fan / 10.10.10.3

# На запросы о локальных доменах ответят # из / etc / hosts или через DHCP
местный = / mordor.fan /

# На запросы о PTR или обратных записях ответят # серверы "dns" и "sauron" в указанном порядке
сервер = / 10.10.10.in-addr.arpa / 10.10.10.5 сервер = / 10.10.10.in-addr.arpa / 10.10.10.3

Запросы от sysadmin.mordor.fan

Файл / Etc / resolv.conf этой команды:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf
# Создано NetworkManager search mordor.fan nameserver 10.10.10.5

buzz @ sysadmin: ~ $ host -t На spynet4.microsoft.com
spynet4.microsoft.com имеет адрес 127.0.0.1

buzz @ sysadmin: ~ $ host -t На www.download.windowsupdate.com
www.download.windowsupdate.com имеет адрес 127.0.0.1

жужжание@sysadmin: ~ $ dig dns
buzz @ sysadmin: ~ $ dig dns.mordor.fan
;; ВОПРОСЫ :; dns.mordor.fan. В ;; РАЗДЕЛ ОТВЕТА: dns.mordor.fan. 0 В А 10.10.10.5

buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs
buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fan имеет запись SRV 0 0 3268 sauron.mordor.fan.

buzz @ sysadmin: ~ $ dig _ldap._tcp.gc._msdcs.mordor.fan
;; РАЗДЕЛ ВОПРОСОВ :; _ldap._tcp.gc._msdcs.mordor.fan. В ;; РАЗДЕЛ ОТВЕТА: _ldap._tcp.gc._msdcs.mordor.fan. 0 В А 10.10.10.3

buzz @ sysadmin: ~ $ dig mordor.fan axfr
buzz @ sysadmin: ~ $ dig 10.10.10.in-addr.arpa axfr

И таким образом, сколько консультаций нам нужно

Dnsmasq + Active Directory® + клиенты Microsoft® Windows

Переименование клиента Microsoft® Windows

семь.мордор.вентилятор арендованный IP-адрес:

корень @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

Переименуем «семь»-Которая не присоединена к домену Active Directory- от«Eucaliptus«. После изменения и перезагрузки проверяем:

корень @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

Историю изменений можно увидеть у «системного администратора»:

buzz @ sysadmin: ~ $ host -t Семь
seven.mordor.fan имеет адрес 10.10.10.115

После смены названия

buzz @ sysadmin: ~ $ host -t Семь
у семи нет рекордов

buzz @ sysadmin: ~ $ host -t Эвкалипт
eucaliptus.mordor.fan имеет адрес 10.10.10.115

Запросы от клиента eucaliptus.mordor.fan

Microsoft Windows, [Version 6.1.7601]
Авторское право (c) Корпорация Microsoft, 2009 г. Все права защищены.

C: \ Users \ buzz> nslookup
Сервер по умолчанию: dns.mordor.fan Адрес: 10.10.10.5

> саурон
Сервер: dns.mordor.fan Адрес: 10.10.10.5 Имя: sauron.mordor.fan Адрес: 10.10.10.3

> mordor.fan
Сервер: dns.mordor.fan Адрес: 10.10.10.5 Имя: mordor.fan Адрес: 10.10.10.3

> эвкалипт
Сервер: dns.mordor.fan Адрес: 10.10.10.5 Имя: eucaliptus.mordor.fan Адрес: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Сервер: dns.mordor.fan Адрес: 10.10.10.5 Имя: sauron.mordor.fan Адрес: 10.10.10.3 Псевдонимы: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> установить тип = SRV
> _kerberos._udp.mordor.fan
Сервер: dns.mordor.fan Адрес: 10.10.10.5 _kerberos._udp.mordor.fan Местоположение службы SRV: priority = 0 weight = 0 port = 88 svr hostname = sauron.mordor.fan sauron.mordor.fan Интернет-адрес = 10.10.10.3. XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
Сервер: dns.mordor.fan Адрес: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan Расположение службы SRV: приоритет = 0 вес = 0 порт = 389 SVR имя хоста = sauron .mordor.fan sauron.mordor.fan Интернет-адрес = 10.10.10.3

> выход

C: \ Users \ buzz>

Регистрация клиентов Windows в Microsoft® DNS

Клиенты Windows, не присоединенные к домену Active Directory®

Мы должны проверить, правильно ли зарегистрированы IP-адреса, арендованные различными клиентами Windows из Dnsmasq в Microsoft® DNS. Это может повлиять как мы включаем динамические обновления - Динамические обновления в зонах DNS Microsoft® Active Directory®. Начнем с конфигурации Microsoft DNS по умолчанию, которая разрешает только безопасные динамические обновления - Динамические обновления -> Только безопасные, в каждой из своих Зон.

Обратите внимание, что клиент с текущим Полное доменное имя eucaliptus.mordor.fan нет прикреплен к домену Active Directory (или Samba4 AD-DC) и является исключением из правила Microsoft, которое «Только клиенты, зарегистрированные в Моем домене, будут иметь разрешение через Мой механизм обновления, о котором я знаю только, на регистрацию в Моем DNS.«. Хорошо, что Samba4 AD-DC кое-чему нас научил.

эвкалипт.мордор.вентилятор арендовал IP 10.10.10.115:

buzz @ sysadmin: ~ $ host -t Эвкалипт
eucaliptus.mordor.fan имеет адрес 10.10.10.115

Изменим его название на «красное дерево«, Давайте перезапустим Windows 7 и посмотрим, что произойдет, когда мы попросим имена«Eucaliptus«И»красное дерево»Для каждого DNS, сначала в Microsoft DNS, а затем в Dnsmasq:

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.3
Используемый сервер домена: Имя: 10.10.10.3 Адрес: 10.10.10.3 # 53 Псевдонимы: 

Хост eucaliptus.mordor.fan не найден: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Красное дерево.mordor.fan 10.10.10.3
Используемый сервер домена: Имя: 10.10.10.3 Адрес: 10.10.10.3 # 53 Псевдонимы: 

Хост mahogany.mordor.fan не найден: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.5
Используемый сервер домена: Имя: 10.10.10.5 Адрес: 10.10.10.5 # 53 Псевдонимы: 

Хост eucaliptus.mordor.fan не найден: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Красное дерево.mordor.fan 10.10.10.5
Используемый сервер домена: Имя: 10.10.10.5 Адрес: 10.10.10.5 # 53 Псевдонимы: 

mahogany.mordor.fan имеет адрес 10.10.10.115

Мы можем изменить имя клиента Windows 7, который нет прикреплен к домену Мордор.фан Active Directory® столько раз, сколько мы хотим, чтобы Microsoft® DNS не узнала об этих изменениях или о том, что такой клиент существует. Возможно ли, что это только потому, что мы выбрали вариант  Динамические обновления -> Только безопасные в каждой зоне DNS Micorosft ?.

Чтобы г-н Microsoft® DNS знал об изменениях, мы должны выбрать Динамические обновления -> Небезопасный и безопасный. Этот вариант, уважаемые читатели, подразумевает значительную уязвимость безопасности любого уважаемого сервера доменных имен, будь то Microsft® или UNIX® / Linux. Microsoft® DNS предупреждает об уязвимости, потому что в конечном итоге это не что иное, как модифицированный и приватизированный BIND, который предлагает нам «Безопасность для тьмы«. Если нет, то почему вы рекомендуете экономить на знаменитых регистрация все настройки DNS и записи вашего DNS Microsoft®, когда мы внедряем Active Directory® ?. Помимо поддержки небезопасных обновлений Microsoft® DNS, в конфигурации сетевой карты клиента Windows 7 требуется следующее изменение:

Давайте проверим:

buzz @ sysadmin: ~ $ host -t Красное дерево.mordor.fan 10.10.10.3
Используемый сервер домена: Имя: 10.10.10.3 Адрес: 10.10.10.3 # 53 Псевдонимы: mahogany.mordor.fan имеет адрес 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.3
Используемый сервер домена: Имя: 10.10.10.3 Адрес: 10.10.10.3 # 53 Псевдонимы: 115.10.10.10.in-addr.arpa указатель имени домена mahogany.mordor.fan.

buzz @ sysadmin: ~ $ host -t Красное дерево 10.10.10.5
Используемый сервер домена: Имя: 10.10.10.5 Адрес: 10.10.10.5 # 53 Псевдонимы: mahogany.mordor.fan имеет адрес 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.5
Используемый сервер домена: Имя: 10.10.10.5 Адрес: 10.10.10.5 # 53 Псевдонимы: 115.10.10.10.in-addr.arpa указатель имени домена mahogany.mordor.fan.

Да сейчас. Какая приятная синхронизация для двух серверов DNS, которые никак не синхронизируются!

Клиенты Windows, подключенные к домену Active Directory®

Объединим клиента красное дерево.mordor.fan в Домен, но не ранее устранения модификации, которую мы внесли в конфигурацию вашей сетевой карты, если мы когда-либо делали это, чтобы не проверять ни что иное, как пункт предыдущей главы. Также удалите запись для «красное дерево»В Microsoft® DNS и вернуть динамические обновления в исходную точку «Только безопасный«. Кстати, можно перезапустить службу Microsoft® DNS.

После присоединения к домену, несмотря на все наши усилия, клиент «красное дерево»Не зарегистрирован в Microsoft® DNS. Мы даже заявили в dnsmasq.conf -Contemporary- что первый DNS-сервер - 10.10.10.3.

Microsoft Windows, [Version 6.1.7601]
Авторское право (c) Корпорация Microsoft, 2009 г. Все права защищены.

C: \ Users \ saruman> ipconfig / все

Имя хоста конфигурации Windows IP. . . . . . . . . . . . : MAHOGANY Первичный суффикс DNS. . . . . . . : mordor.fan Тип узла. . . . . . . . . . . . : Гибридная IP-маршрутизация включена. . . . . . . . : Прокси-сервер WINS не включен. . . . . . . . : Нет списка поиска DNS-суффиксов. . . . . . : mordor.fan Ethernet-адаптер Подключение по локальной сети: DNS-суффикс для конкретного подключения. : mordor.fan Описание. . . . . . . . . . . : Intel (R) PRO / 1000 MT Физический адрес сетевого подключения. . . . . . . . . : 00-0C-29-D6-14-36 DHCP включен. . . . . . . . . . . : Да Автоконфигурация включена. . . . : Да Link-локальный IPv6-адрес. . . . . : fe80 :: 352a: b954: 7eba: 963e% 12 (предпочтительный) IPv4-адрес. . . . . . . . . . . : 10.10.10.115 (Предпочтительно) Маска подсети. . . . . . . . . . . : 255.255.255.0 Получена аренда. . . . . . . . . . : Суббота, 25 февраля 2017 г. 8:19:05 Срок аренды истекает. . . . . . . . . . : Суббота, 25 февраля 2017 г., 4:20:36 Шлюз по умолчанию. . . . . . . . . : 10.10.10.253 DHCP-сервер. . . . . . . . . . . : 10.10.10.5 DHCPv6 IAID. . . . . . . . . . . : 251661353 DUID клиента DHCPv6. . . . . . . . : 00-01-00-01-20-3B-69-81-00-0C-29-D6-14-36

   DNS-серверы. . . . . . . . . . . : 10.10.10.3
                                       10.10.10.5
   NetBIOS через Tcpip. . . . . . . . : Включен Туннельный адаптер isatap.mordor.fan: Состояние носителя. . . . . . . . . . . : Мультимедиа отключены DNS-суффикс конкретного подключения. : mordor.fan Описание. . . . . . . . . . . : Физический адрес адаптера Microsoft ISATAP. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP включен. . . . . . . . . . . : Автоконфигурация не включена. . . . : Да Туннельный адаптер Подключение по локальной сети * 9: Состояние носителя. . . . . . . . . . . : Мультимедиа отключены DNS-суффикс для конкретного подключения. : Описание. . . . . . . . . . . : Физический адрес туннельного адаптера Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP включен. . . . . . . . . . . : Автоконфигурация не включена. . . . : И это

C: \ Пользователи \ saruman>

buzz @ sysadmin: ~ $ host -t Красное дерево.mordor.fan 10.10.10.3
Используемый сервер домена: Имя: 10.10.10.3 Адрес: 10.10.10.3 # 53 Псевдонимы: Хост caoba.mordor.fan не найден: 3 (NXDOMAIN)

жужжание@sysadmin: ~ $ host -t В mahogany.mordor.fan
mahogany.mordor.fan имеет адрес 10.10.10.115

• Только так клиент зарегистрирован «красное дерево»В Microsft® DNS модифицирует вашу сетевую карту, как указаноó на предыдущем изображении, то есть, явно заявляя, что: DNS-суффикс для подключения - mordor.fan, что он регистрирует адрес подключения в DNS и что он использует объявленный DNS-суффикс при регистрации подключения.

buzz @ sysadmin: ~ $ host -t Красное дерево.mordor.fan 10.10.10.3
Используемый сервер домена: Имя: 10.10.10.3 Адрес: 10.10.10.3 # 53 Псевдонимы: mahogany.mordor.fan имеет адрес 10.10.10.115

buzz @ sysadmin: ~ $ host -t Красное дерево.mordor.fan
mahogany.mordor.fan имеет адрес 10.10.10.115

Давайте изменим название с «красное дерево» на «кедр».

buzz @ sysadmin: ~ $ host -t Красное дерево.mordor.fan 10.10.10.3
Используемый сервер домена: Имя: 10.10.10.3 Адрес: 10.10.10.3 # 53 Псевдонимы: Хост caoba.mordor.fan не найден: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t К cedar.mordor.fan 10.10.10.3
Используемый сервер домена: Имя: 10.10.10.3 Адрес: 10.10.10.3 # 53 Псевдонимы: cedro.mordor.fan имеет адрес 10.10.10.115

buzz @ sysadmin: ~ $ host -t Красное дерево.mordor.fan 10.10.10.5
Используемый сервер домена: Имя: 10.10.10.5 Адрес: 10.10.10.5 # 53 Псевдонимы: Хост caoba.mordor.fan не найден: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t К cedar.mordor.fan 10.10.10.5
Используемый сервер домена: Имя: 10.10.10.5 Адрес: 10.10.10.5 # 53 Псевдонимы: cedro.mordor.fan имеет адрес 10.10.10.115

И все нормально, как хотелось бы клиентам Microsoft® и Microsoft® DNS.

Давайте работать с Microsoft® DHCP и Microsoft® DNS

Уважаемые читатели, эта глава не в контексте блога, посвященного свободному программному обеспечению. См. Справку Microsoft®. Они не верят ?. 😉

Выводы

Есть несколько способов работы Microsoft® DNS, когда мы заставляем его сосуществовать в сети SME с Dnsmasq. Среди них отметим только следующие:

• Полностью остановите службу Microsoft® DNS на компьютере, на котором она запущена, с указанием впоследствии, что запуск службы отключен. Снимите флажок в конфигурации сетевой карты каждого клиента Microsoft® с опции Зарегистрировать адрес подключения в DNS. Удалить из файла /etc/dnsmasq.conf Директива сервер = / mordor.fan / 10.10.10.3. Примечания:
  • Даже если на запросы о записях нет ответа SOA y NS, сеть будет работать правильно, как и объединение различных клиентов - Microsoft® и Linux - в домен Active Directory®.
  • Его преимущество заключается в том, что в локальной сети SME будет только один сервер доменных имен -machote-, и это будет Dnsmasq. ;-). С другой стороны, исключается возможность несоответствия между записями DNS, хранящимися в Microsoft® DNS, и записями, доступными через Dnsmasq.
• Оставьте Microsoft® DNS работающим, чтобы отвечать только на запросы DNS о записях SOA и NS. примечаниеs:
  • Измените конфигурацию сетевой карты каждого клиента Windows, сняв отметку с опции Регистрировать адрес подключения в DNS.
  • Мы думаем что это решение - пустая трата ресурсов.
• Сконфигурируйте службы, как мы видели на протяжении всей статьи, где показано решение, больше соответствующее философии Microsoft®, а не FreeBSD / Linux- Хорошо?

Резюме

• Предложение Microsoft® DNS очень закрыто. Он не оставляет места для других решений, которые не соответствуют его герметической философии.
• Мать-природа учит нас, что мы существуем в разнообразной вселенной. Нормальным делом является смешанная LAN, движущаяся к свободному программному обеспечению, богатая жизнью и разнообразием.
• Похоже, что для Microsoft® клиенты, которые не присоединяются к его философии, являются изгоями, и поэтому не должны принимать их во внимание.
• Как сложно работать с Private Software! Я бы предпочел потратить немного времени на настройку свободного программного обеспечения и быть действительно бесплатным, черт возьми!

«Лучший критерий истины - это практика».