Dnsmasq a Active Directory - Siete SME

Všeobecný index série: Počítačové siete pre malé a stredné podniky: Úvod

Dobrý deň, priatelia!. Ak chcete tomuto článku porozumieť a správne ho dodržiavať, postupujte takto: nevyhnutný čítanie jeho predchodcov:

• Dnsmasq v systéme CentOS 7.3
• BIND a Active Directory®

Vysvetľujú teoretické a praktické koncepty, na ktoré sa v tomto nebudeme odvolávať. Distribúciu v aktuálnom roku zmeníme na Debian 8.6 „Jessie“ a budeme pokračovať s rovnakými parametrami, ktoré používame v BIND a Active Directory®.

• Postup popísaný v tomto príspevku je platný aj pre CentOS 7. Konfiguračný súbor / etc / dnsmasq je rovnaký. Vyhlasujem to, pretože považujem za zbytočné vytvárať samostatný článok pre Dnsmasq a Active Directory® založený na CentOS. Našťastie sú adresáre týkajúce sa dokumentácie a konfigurácie rovnaké,
• Dnsmaq je výtvorom Simon Kelley

Obmedzenia používania Dnsmasq

Pre svoj význam opakujeme LIMITY ktorý podporuje spustenie Dnsmasq muž dnsmasq- čo odráža presne tak nasledovný:

LIMITY

• Predvolené hodnoty pre limity zdrojov sú všeobecne konzervatívne a sú vhodné na použitie na zariadeniach typu smerovača. uviazol s pomalými procesormi a nedostatkom pamäte. V hardvéri viac  je možné zvýšiť limity a podporiť mnoho ďalších zákazníkov. Pre dnsmasq-2.37 platí toto: predchádzajúce verzie nie liezli tak dobre.
  

• Dnsmasq je schopný podporovať DNS a DHCP najmenej tisíc (1,000 XNUMX) zákazníkov. Leasingové doby by nemali byť príliš krátke (menej ako jeden čas). Hodnotu –dns-forward-max možno zvýšiť: začnite s ekvivalent počtu klientov a zvýšiť ho, ak DNS. Upozorňujeme, že výkon DNS závisí aj od serverov Upstream DNS. Je možné zväčšiť veľkosť medzipamäte DNS: limit Vyžaduje sa 10,000 150 mien a predvolená hodnota (1) je veľmi nízka. Odoslaním SIGUSRXNUMX do dnsmasq získate bitacore informácie, ktoré sú Užitočné na doladenie veľkosti pamäte cache. Podrobnosti nájdete v časti POZNÁMKY.

• Vstavaný server TFTP je schopný podporovať viac prenosov simultánne súbory: absolútny limit súvisí s počtom spracovaných súborov, ktoré sú povolené v procese, a schopnosťou systémutem call select () na podporu veľkého počtu spracovaní súborov. Ak je limit nastavený príliš vysoko na hodnotu –tftp-max, bude zmenšený a aktuálny limit bude taktovaný pri štarte. Upozorňujeme, že viac prevodov sú možné, keď sa pošle rovnaký súbor, čo keď každý transferencia pošle iný súbor. Pomocou dnsmasq môžete zakázať webovú reklamu pomocou zoznamu dobre známe bannerové servery, všetky s rozlíšením 127.0.0.1 alebo 0.0.0.0 v / etc / hosts alebo v ďalšom súbore hostiteľov. Zoznam môže byť veľmi dlhý. Dnsmasq bol úspešne testovaný s miliónom mien. Táto veľkosť súboru vyžaduje procesor 1 GHz a približne60 MB RAM.

• Dnsmasq je schopný podporovať DNS a DHCP najmenej tisíc (1,000 XNUMX) zákazníci.

Poďme nainštalovať a nakonfigurovať Jessie a Dnsmasq

Začneme od novej a čistej inštalácie servera založeného na Debian 8 „Jessie“. Teda operačný systém bez nainštalovaného grafického rozhrania alebo iného balíka. Sieťové parametre budú rovnaké ako parametre použité v článku BIND a Active Directory®:

Názov domény mordor.fan LAN Network 10.10.10.0/24 ==================================== ========================================== Účel servera IP adresa (servery s OS Windows) ================================================= ================================
sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2
mamba.mordor.fan. 10.10.10.4 Súborový server Windows
dns.mordor.fan 10.10.10.5 DnsMasq server na Jessie
darklord.mordor.fan. 10.10.10.6 Proxy, brána a firewall na serveri Kerios troll.mordor.fan. 10.10.10.7 Blog založený na ... nepamätám si shadowftp.mordor.fan. 10.10.10.8 FTP server blackelf.mordor.fan. 10.10.10.9 Plná e-mailová služba blackspider.mordor.fan. 10.10.10.10 WWW služba palantir.mordor.fan. 10.10.10.11 Chat na Openfire pre Windows Real CNAME ============================= sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

Počiatočné nastavenia servera dns.mordor.fan

root @ dns: ~ # nano / etc / hostname
dns

root @ dns: ~ # nano / etc / hosts
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # Nasledujúce riadky sú žiaduce pre hostiteľov schopných protokolu IPv6 :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouter

root @ dns: ~ # nano / etc / network / interfaces
# Tento súbor popisuje sieťové rozhrania dostupné vo vašom systéme # a spôsob ich aktivácie. Viac informácií nájdete v časti rozhrania (5). source /etc/network/interfaces.d/* # Sieťové rozhranie loopback auto lo iface lo inet loopback # Primárne sieťové rozhranie allow-hotplug eth0 iface eth0 inet statická adresa 10.10.10.5 sieťová maska ​​255.255.255.0 sieť 10.10.10.0 vysielanie 10.10.10.255. Brána 10.10.10.1 127.0.0.1 # dns- * možnosti implementuje balík resolvconf, ak je nainštalovaný dns-nameservers XNUMX dns-search mordor.fan

Nainštalujeme Dnsmasq a htop

root @ dns: ~ # aptitude nainštalovať dnsmasq htop

Po nainštalovaní balíka htop môžeme skontrolovať spotrebu procesora a pamäte zariadenia. Spotrebovala iba asi 71 megabajtov pamäte RAM. Ak chceme spotrebu ešte znížiť, môžeme si balíček nainštalovať SSMTP -jednoduché MTA- čo následne vyčistí balíček Príloha 4 že Debian sa vždy inštaluje štandardne a čo skutočne nepotrebujeme podľa použitia, ktoré poskytneme tomuto serveru:

root @ dns: ~ # aptitude nainštalovať ssmtp
root @ dns: ~ # vyčistenie aptitude ~ c
root @ dns: ~ # aptitude clean
root @ dns: ~ # aptitude autoclean
root @ dns: ~ # systemctl reštart

Po reštartovaní počítača je spotreba nasledovná:

Nízka, nie? Poďme ďalej.

Označme, že Dnsmasq konzultuje aj server Microsft® DNS

Ak chcete otestovať možné konfigurácie Dnsmasq na počítači dns.mordor.fan, musíme zahrnúť vyhlásenie, ktoré naznačuje, že bol vyhľadaný server Microsoft DNS servera sauron.mordor.fan. Dokážeme to vrátane smernice server = / mordor.fan / 10.10.10.3 v archíve dnsmasq.conf -ako uvidíme neskôr- alebo pridanie riadku nameserver 10.10.10.3 v archíve / Etc / resolv.conf. Pretože sme ešte nenakonfigurovali Dnsmasq podľa našich potrieb, zvolili sme druhý spôsob:

root @ dns: ~ # nano /etc/resolv.conf
doména mordor.fan
nameserver 127.0.0.1
nameserver 10.10.10.3

Teraz môžeme vyriešiť dotazy DNS

S predvolenou konfiguráciou Dnsmasq poskytovanou jeho hlavným súborom /etc/dnasmq.confa s tým, čo je deklarované v spise / Etc / resolv.conf zo samotného servera «dns«, Ľubovoľný klient pripojený k LAN - a deklarovaný ako server DNS dns.mordor.fan- dotazy DNS môžete vyriešiť na úkor servera Microsoft® DNS na Teraz…

• Pri zobrazovaní jeho stavu ako je veľmi dôležité skontrolovať rýchlosť odozvy Dnsmasq dopravcu jednoduchým zahrnutím IP 10.10.10.3 do vášho súboru / Etc / resolv.conf.

Z mojej administratívnej stanice a podpory všetkých pomôcok, cez ktoré píšem, bežím:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Generované doménou NetworkManager mordor.fan nameserver 10.10.10.5

buzz @ sysadmin: ~ $ nslookup
> dns
Server: 10.10.10.5 Adresa: 10.10.10.5 # 53 Názov: dns.mordor.fan Adresa: 10.10.10.5

> Sauron
Server: 10.10.10.5 Adresa: 10.10.10.5 # 53

Neautoritatívna odpoveď:
Meno: sauron.mordor.fan Adresa: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: 10.10.10.5 Adresa: 10.10.10.5 # 53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan kanonický názov = sauron.mordor.fan. Meno: sauron.mordor.fan Adresa: 10.10.10.3

> 10.10.10.3
Server: 127.0.0.1 Adresa: 127.0.0.1 # 53 3.10.10.10.in-addr.arpa name = sauron.mordor.fan.

> 10.10.10.9
Server: 127.0.0.1 Adresa: 127.0.0.1 # 53 9.10.10.10.in-addr.arpa name = blackelf.mordor.fan.

> 10.10.10.5
Server: 127.0.0.1 Adresa: 127.0.0.1 # 53 5.10.10.10.in-addr.arpa name = dns.mordor.fan.

> mail
Server: 10.10.10.5 Adresa: 10.10.10.5 # 53 Neautoritatívna odpoveď: mail.mordor.fan kanonický názov = blackelf.mordor.fan. Názov: blackelf.mordor.fan Adresa: 10.10.10.9> výstup

buzz @ sysadmin: ~ $

Pozrime sa podrobnejšie na tieto aspekty:

• dns.mordor.fan priamo odpovedá na dotazy DNS, ktoré dokáže vyriešiť podľa vašich aktuálnych nastavení Dnsmasq. Ak ich neviete vyriešiť, funguje to ako dopravcu a pýta sa IP 10.10.10.3, či dokáže odpovedať na dotaz. Na požiadanie o IP zariadenia «dns«, Odpovedá priamo. Keď sa Dnsmasq opýta, kto to je «Sauron",?, urobiť presmerovanie na 10.10.10.3 - Nemôžete odpovedať priamo, pretože ste to ešte nezaregistrovali - kto vráti správnu neautoritársku odpoveď.
• Na otázku, kto je «03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan"?, urobiť presmerovanie znova a tentokrát dostanete autoritatívnu odpoveď od spoločnosti Microsoft® DNS.
• Vysoká rýchlosť odozvy Dnsmasq pre akýkoľvek typ dotazu.

Sú to malé detaily, vďaka ktorým je láska veľká ;-).

Základné rozdiely medzi Dnsmasq a BIND integrované do služby Active Directory®

Poďme na záznamy spustiť niekoľko dotazov DNS SOA y NS domény mordor.fan, každému zo zúčastnených menných serverov:

buzz @ sysadmin: ~ $ hostiteľ -t SOA mordor.fan 10.10.10.3
Používanie doménového servera: Názov: 10.10.10.3 Adresa: 10.10.10.3 # 53 Aliasy: 
mordor.fan má rekord SOA sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ hostiteľ -t SOA mordor.fan 10.10.10.5
Používanie doménového servera: Názov: 10.10.10.5 Adresa: 10.10.10.5 # 53 Aliasy: 
mordor.fan má rekord SOA sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.5
Používanie doménového servera: Názov: 10.10.10.5 Adresa: 10.10.10.5 # 53 Aliasy: 
mordor.fan názov servera sauron.mordor.fan.

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.3
Používanie doménového servera: Názov: 10.10.10.3 Adresa: 10.10.10.3 # 53 Aliasy: 
mordor.fan názov servera sauron.mordor.fan.

Odpovede sú identické - čo je logické - pretože vždy Odpovedať späť sauron.mordor.fan. pred DNS dotazom na záznamy SOA o NS, Keď vyzerať čo odpovedá dns.mordor.fan. Líši sa však od toho, čo je vidieť v článku BIND a Active Directory®, kde sme úplne odstránili funkciu Microsoft® DNS. V tomto článku VŠETKY dotazy DNS týkajúce sa menného priestoru Domino mordor.fan BIND im odpovedal, pretože sme to tak nakonfigurovali a pretože BIND odpovedá na dotazy SOA y NS okrem umožnenia schémy Majster - otrok, Zónový prenos atď., A preto sa jedná o kompletnejší server DNS - komplexný.

Možno to sú hlavné rozdiely medzi DNS serverov Dnsmasq a BIND ... ale BIND - vždy môže existovať jedno alebo viac ale - nemá server DHCP, ktorý by sa bezproblémovo integroval so serverom DNS v jednom démon, a bez potreby TSIG kľúčov, konfiguračných súborov, zónových databáz atď., ako sme videli v predchádzajúcich článkoch.

• Myslím, že teraz si vážení čitatelia uvedomia, že neznášam BINDU alebo radšej Dnsmasq ako BIND. Budúce diskusie o nej sú úplnou stratou času, pretože to má veľa spoločného s potrebami, požiadavkami, vkusom, preferenciami a .... každé riešenie má svoje čaro ;-).

• V podobných scenároch nechajte každého nainštalovať a nakonfigurovať softvér podľa svojho výberu a ktorý vie viac a že všetko funguje podľa očakávaní.

Výhody kombinácie Dnsmasq + Active Directory®

Vďaka tejto kombinácii máme kompletný rozsah odpovedí na dotazy DNS a efektívny spôsob prenájmu IP adries pre našu SME LAN. Ako uvidíme neskôr, v každej situácii týkajúcej sa toho, či je alebo nie je počítač pripojený k radiču domény Microsoft® Active Directory®, funguje správne. Okrem toho máme server DNS a DNS dopravcu par excellence, plus veľmi rýchly server DHCP. A to všetko s malým dopytom po zdrojoch. Chceš viac?

Je možné Dnsmasq + BIND?

Určite áno. Aj keď odporúčam, aby boli nainštalované na rôznych počítačoch, aby nedochádzalo ku kolíziám kvôli veľmi obľúbenému portu 53 služby DNS. Možno a niečo o tom uvidíme, keď sa dostaneme k AD-DC založenému na Sambe 4. Kto vie?

Tipy o Dnamasq

• Základné pracovné súbory pre Dnsmasq na poskytovanie služieb DHCP a DNS v sieti LAN sú: /etc/dnsmasq.conf, / Etc / hosts, /var/lib/misc/dnsmasq.leaseA / Etc / resolv.conf. Súbor dnsmasq.prenajom vytvorí sa pri prenájme vašej prvej adresy IP.
• Ďalším súborom úloh, ktorý môžete použiť, je / etc / ethery. Ak taký súbor existuje, smernica étery na čítanie deklarovaný v konfiguračnom súbore, povie Dnsmasq, aby si ho prečítal. Je to veľmi užitočné, keď máme vzťah MAC adresy / názvy hostiteľov na určité účely.
• Službu DNS je možné pomocou smernice úplne deaktivovať port = 0 v dnsmasq.conf.
• Službu DHCP pre jedno alebo viac sieťových rozhraní je možné zakázať príkazmi -jeden pre každý riadok- no-dhcp-interface = eth0, no-dhcp-interface = eth1, a tak ďalej. Veľmi užitočné, keď sme pred tímom s 2 alebo viacerými sieťovými rozhraniami a chceme, aby službu DHCP poskytoval iba jeden z nich alebo nikto. Ak samozrejme deaktivujeme službu DHCP pre všetky rozhrania, ponecháme iba spustenú službu DNS. Ak deaktivujeme obe služby, tak prečo potrebujeme Dnsmasq? 😉
• Vyhlásiť ostatným serverom názvov domén DNS, že žiadny sú verejné alebo externé v sieti LAN - ako v prípade Microsoft DNS - robíme to prostredníctvom smernice server = / názov domény / IP servera DNS v archíve /etc/dnsmasq.conf, príklad: server = / mordor.fan / 10.10.10.3.
• Povedať Dnsmasqovi, že na otázky týkajúce sa miestnych domén sa odpovedá iba zo súboru / Etc / hosts alebo cez váš DHCP, musíme pridať smernicu local = / localnet / v hlavnom súbore vašej konfigurácie. Príklad: local = / mordor.fan /.
• Pre správnu konfiguráciu súboru / Etc / resolv.conf - resolver odporúčame prečítať si jeho príručku pomocou príkazu muž resolv.conf. Ak si nainštalujete Debian 8.6 „Jessie“, zistíte, že je napísaný dobre v španielčine.
• Dnsmasq nepoužíva súbory zón na zodpovedanie priamych alebo reverzných otázok.
• Poznať význam každého poľa «zvláštne»Toto sa používa vo vyhlásení záznamu o zdroji SRV, mali by ste sa poradiť BIND a Active Directory®. Syntax záznamov SRV v súbore /etc/dnsmasq.conf Je to nasledovné:

  srv-host = , , , ,

Čitatelia, ktorí sa chcú dozvedieť viac, pozorne si prečítajte pôvodný súbor /etc/dnsmasq.conf alebo existujúce dokumenty v adresári / usr / share / doc / dnsmasq-base.

root @ dns: ~ # ls -l / usr / share / doc / dnsmasq-base /
spolu 128 -rw-r - r-- 1 koreňový koreň 883 5. mája 2015 copyright -rw-r - r-- 1 koreňový koreň 36261 5 2015. mája 1 changelog.archive.gz -rw-r - r-- 11297 root root 5 2015. mája 1 zoznam zmien. Debian.gz -rw-r - r-- 26014 koreňový koreň 5 2015. mája 1 changelog.gz -rw-r - r-- 2084 koreňový koreň 5 2015. mája 1 rozhranie DBus. gz -rw-r - r-- 4297 koreňový koreň 5 2015. mája 2 doc.html drwxr-xr-x 4096 koreňový koreň 19 17. februára 52:1 príklady -rw-r - r-- 9721 koreňový koreň 5 2015. mája 1 FAQ.gz -rw-r - r-- 4180 root root 5 2015. mája 1 README.Debian -rw-r - r-- 12019 root root 5 2015. mája XNUMX setup.html

Konfigurujme Dnsmasq a Resolver

Ako úvodnú príručku si vezmeme - samozrejme zmenu názvu a ďalších - konfiguračný súbor použitý v článku «Dnsmasq v systéme CentOS 7.3".

Nezabudnime na ďalší krok:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Pevné adresy IP

Adresy serverov alebo zariadení, ktoré vyžadujú pevnú IP adresu IPv4 ako IPv6- sú deklarované v spise / Etc / hosts:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost # Nasledujúce riadky sú žiaduce pre hostiteľov podporujúcich protokol IPv6 :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters # Servery a počítače s pevnou adresou IP. 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8. 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

Vytvorme súbor /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # VŠEOBECNÉ MOŽNOSTI # ----------------------------- -------------------------------------- doména potrebná # Neprezrádzajte mená bez časti domény falošný-priv # Neposielajte adresy do nezrušeného priestoru expand-hosts # Automaticky pridať doménu k hostiteľovi interface = eth0 # Rozhranie.  POZOR na rozhranie # okrem-interface = eth1 # NEposlúchajte tento NIC strict-order # Poradie, v ktorom konzultujete súbor /etc/resolv.conf # Zahrňte oveľa viac možností konfigurácie # prostredníctvom súboru alebo vyhľadaním súborov konfigurácie # ďalšie v adresári # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # Čo sa týka názvu domény domain = mordor.fan # názov domény # Časový server je 10.10.10.1. 10.10.10.1 address = / time.windows.com / XNUMX # Pošle prázdnu voľbu hodnoty WPAD.  Vyžaduje sa, aby sa klienti # Windos 7 a novší správali správne.  ;-) dhcp-option = 252, "\ n" # Súbor, kde budeme deklarovať HOSTY, ktoré budú "zakázané" addn-hosts = / etc / banner_add_hosts # Ak server # necháme bežať, obráťte sa na server „Sauron“ servera Microsoft® server = / mordor.fan / 10.10.10.3 # Na otázky týkajúce sa miestnych domén budú odpovedané # z / etc / hosts alebo prostredníctvom lokálneho DHCP = / mordor.fan / # Na dotazy týkajúce sa PTR alebo reverzných záznamov budú odpovedané # servery „dns“ a „sauron“ v tomto poradí server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3 # ------- -------------------------------------------------- ---------- # REGISTROSCNAMEMXTXT # ------------------------------------- ------------------------------ # Tento typ registrácie vyžaduje záznam # v súbore / etc / hosts #, napr .: 10.10.0.7 troll.mordor.fan troll # cname = ALIAS, REAL_NAME cname = ad-dc.mordor.fan, sauron.mordor.fan cname = fileserver.mordor.fan, mamba.mordor.fan cname = proxyweb.mordor.fan , darklord.mordor.fan cname = blog.mordor .fan, troll.mordor.fan cname = ftpserver.mordor.fan, shadowftp.mordor.fan cname = mail.mordor.fan, blackelf.mordor.fan cname = www.mordor.fan, blackspider.mordor.fan cname = opendire .mordor.fan, palantir.mordor.fan # MX RECORDS # Vráti MX záznam s názvom „mordor.fan“ určený # pre tím blackelf.mordor.fan a prioritou 10 mx-host = mordor.fan, mail. mordor.fan, 10 # Predvolený cieľ pre záznamy MX, ktoré sa vytvárajú # pomocou voľby localmx, bude: mx-target = mail.mordor.fan # Vráti MX záznam ukazujúci na mx-target pre VŠETKY # lokálne stroje localmx # Záznamov TXT. 

dhcp-leasing-max = 222 # Maximálny počet adries na zapožičanie
                        # predvolene je 150
# Rozsah IPV6 # dhcp-range = 1234 ::, ra-only # Možnosti pre RANGE # MOŽNOSTI dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,10.10.10.253 # ROUTER GATEWAY dhcp-option = 6,10.10.10.5 .15 # Servery DNS dhcp-option = 19,1, mordor.fan # DNS Domain Name dhcp-option = 28,10.10.10.255 # option ip-forwarding ON dhcp-option = 42,10.10.10.1 # BROADCAST dhcp-option = 40. 41,10.10.10.3 # NTP # dhcp-option = 44,10.10.10.3, MORDOR # NIS Domain Name # dhcp-option = 45,10.10.10.3 # NIS Server # dhcp-option = 73,10.10.10.3 # WINS # dhcp-option = 46,8 # NetBIOS datagramy # dhcp-option = XNUMX # Finger Server # dhcp-option = XNUMX # Uzol NetBIOS dhcp-autoritatívny # Autoritatívny DHCP v podsieti # ------------- -------------------------------------------------- ---- # --------------------------------------------- ---------------------- # PRIHLÁSENIE chvost -f / var / log / syslog alebo journalctl -f # ------------ -------------------------------------------------- ----- log-dotazy # ----------------------------------------- -------------------------- # Re Záznamy A a SRV zodpovedajúce službe Active Directory # ----------------------------------------- --------------------------
# Záznamy A
address = / gc._msdcs.mordor.fan / 10.10.10.3 address = / DomainDnsZones.mordor.fan / 10.10.10.3 address = / ForestDnsZones.mordor.fan / 10.10.10.3

# Záznam DNS zóny Microsoft DNS _msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# Záznamov SRV
# srv-host = , , , ,

# Globálny katalóg # Zóna Microsoft DNS _msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _ldap._tcp. Default-First-Site-Name._sites.gc._msdcs.mordor .fan, sauron.mordor.fan, 3268,0,0
# Microsoft DNS zóna mordor.fan
srv-host = _gc._tcp.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan, sauron.mordor.fan . 3268,0,0

# Upravený a súkromný LDAP aktívneho adresára
# Zóna Microsoft DNS _msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# Microsoft DNS zóna mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# KERBEROS upravený a súkromný z Active Directory
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

# KONIEC súboru /etc/dnsmasq.conf
# ------------------------------------------------- ------------------

Vytvorme súbor / etc / banner_add_host

[root @ dns ~] # nano / etc /banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq --test
dnsmasq: kontrola syntaxe v poriadku.

[root @ dns ~] # systemctl reštart dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service

Upravme súbor /etc/resolv.conf - Resolver

root @ dns: ~ # nano /etc/resolv.conf 
doména mordor.fan hľadanie mordor.fan

Prečo nemáme v súbore deklarované obvyklé riadky vyriešiť.konf? Pretože deklarujeme v dnsmasq.conf nasledujúce smernice:

# Ak server # necháme bežať, obráťte sa na server „Microsoft“ DNS
server = / mordor.fan / 10.10.10.3

# Na otázky týkajúce sa miestnych domén budú odpovedané # z / etc / hosts alebo prostredníctvom DHCP
local = / mordor.fan /

# Na dotazy týkajúce sa PTR alebo reverzných záznamov odpovedia # servery „dns“ a „sauron“ v uvedenom poradí.
server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3

Dotazy zo stránky sysadmin.mordor.fan

Súbor / Etc / resolv.conf tohto tímu je:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf
# Generované vyhľadávačom NetworkManager mordor.fan nameserver 10.10.10.5

buzz @ sysadmin: ~ $ host -t Na spynet4.microsoft.com
spynet4.microsoft.com má adresu 127.0.0.1

buzz @ sysadmin: ~ $ host -t Na www.download.windowsupdate.com
www.download.windowsupdate.com má adresu 127.0.0.1

bzučať@ sysadmin: ~ $ dig dns
buzz @ sysadmin: ~ $ dig dns.mordor.fan
;; SEKCIA OTÁZOK :; dns.mordor.fan. V ;; SEKCIA ODPOVEĎ: dns.mordor.fan. 0 VO 10.10.10.5

buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs
buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fan má záznam SRV 0 0 3268 sauron.mordor.fan.

buzz @ sysadmin: ~ $ dig _ldap._tcp.gc._msdcs.mordor.fan
;; SEKCIA OTÁZOK :; _ldap._tcp.gc._msdcs.mordor.fan. V ;; SEKCIA ODPOVEĎ: _ldap._tcp.gc._msdcs.mordor.fan. 0 VO 10.10.10.3

buzz @ sysadmin: ~ $ dig mordor.fan axfr
buzz @ sysadmin: ~ $ dig 10.10.10.in-addr.arpa axfr

A tak koľko konzultácií potrebujeme

Klienti Dnsmasq + Active Directory® + Microsoft® Windows

Premenovanie klienta Microsoft® Windows

sedem.mordor.fan prenajatá IP adresa:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.lease 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

Premenujme «sedem»-Ktoré nie je pripojené k doméne Active Directory - od«eukalyptus«. Po zmene a reštarte skontrolujeme:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.lease 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

Históriu zmien si môžete pozrieť z „sysadmin“:

buzz @ sysadmin: ~ $ hostiteľ -t Sedmička
seven.mordor.fan má adresu 10.10.10.115

Po zmene názvu

buzz @ sysadmin: ~ $ hostiteľ -t Sedmička
sedem nemá rekord A.

buzz @ sysadmin: ~ $ host -t eucaliptus
eucaliptus.mordor.fan má adresu 10.10.10.115

Dotazy od klienta eucaliptus.mordor.fan

Microsoft Windows [Version 6.1.7601]
Autorské práva (c) 2009 Microsoft Corporation. Všetky práva vyhradené.

C: \ Users \ buzz> nslookup
Predvolený server: dns.mordor.fan Adresa: 10.10.10.5

> sauron
Server: dns.mordor.fan Adresa: 10.10.10.5 Názov: sauron.mordor.fan Adresa: 10.10.10.3

> mordor.fan
Server: dns.mordor.fan Adresa: 10.10.10.5 Názov: mordor.fan Adresa: 10.10.10.3

> eukalyptus
Server: dns.mordor.fan Adresa: 10.10.10.5 Názov: eucaliptus.mordor.fan Adresa: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: dns.mordor.fan Adresa: 10.10.10.5 Názov: sauron.mordor.fan Adresa: 10.10.10.3 Aliasy: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> typ súpravy = SRV
> _kerberos._udp.mordor.fan
Server: dns.mordor.fan Adresa: 10.10.10.5 _kerberos._udp.mordor.fan Umiestnenie služby SRV: priorita = 0 hmotnosť = 0 port = 88 svr názov hostiteľa = sauron.mordor.fan sauron.mordor.fan internetová adresa = 10.10.10.3. XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
Server: dns.mordor.fan Adresa: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan Umiestnenie služby SRV: priorita = 0 váha = 0 port = 389 názov hostiteľa svr = sauron internetová adresa .mordor.fan sauron.mordor.fan = 10.10.10.3

> výstup

C: \ Users \ buzz>

Registrácia klientov Windows v Microsoft® DNS

Klienti Windows, ktorí nie sú pripojení k doméne Active Directory®

Musíme skontrolovať, či sú adresy IP prenajaté rôznymi klientmi so systémom Windows od spoločnosti Dnsmasq správne zaregistrované v serveri Microsoft® DNS. Môže to ovplyvniť spôsob, akým zapíname Dynamické aktualizácie - Dynamické aktualizácie v zónach Microsoft® DNS v službe Active Directory®. Vychádzame z predvolenej konfigurácie servera Microsoft DNS, ktorá umožňuje iba zabezpečené dynamické aktualizácie - Dynamické aktualizácie -> Iba zabezpečené, v každej zo svojich zón.

Upozorňujeme, že klient má aktuálny FQDN eukalyptus.mordor.fan žiadny je pripojený k doméne Active Directory (alebo Samba4 AD-DC) a je výnimkou z pravidla spoločnosti Microsoft, že «Iba klienti registrovaní v Mojej doméne budú mať povolenie prostredníctvom Mojho aktualizačného mechanizmu - o ktorom viem iba -, že sa zaregistrujú v Mojom DNS«. Dobrá vec, že ​​nás Samba4 AD-DC o tom niečo učí.

eukalyptus.mordor.fan prenajaté IP 10.10.10.115:

buzz @ sysadmin: ~ $ host -t eucaliptus
eucaliptus.mordor.fan má adresu 10.10.10.115

Zmeňme jeho názov na «mahagón«, Reštartujeme Windows 7 a uvidíme, čo sa stane, keď požiadame o mená«eukalyptus»Y«mahagón»Ku každému DNS, najskôr k Microsoft DNS a potom k Dnsmasq:

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.3
Používanie doménového servera: Názov: 10.10.10.3 Adresa: 10.10.10.3 # 53 Aliasy: 

Hostiteľ eucaliptus.mordor.fan nenájdený: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahagón.mordor.fan 10.10.10.3
Používanie doménového servera: Názov: 10.10.10.3 Adresa: 10.10.10.3 # 53 Aliasy: 

Hostiteľ mahagón.mordor.fan nenájdený: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.5
Používanie doménového servera: Názov: 10.10.10.5 Adresa: 10.10.10.5 # 53 Aliasy: 

Hostiteľ eucaliptus.mordor.fan nenájdený: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahagón.mordor.fan 10.10.10.5
Používanie doménového servera: Názov: 10.10.10.5 Adresa: 10.10.10.5 # 53 Aliasy: 

mahogany.mordor.fan má adresu 10.10.10.115

Môžeme zmeniť názov klienta Windows 7, ktorý žiadny je pripojený k Doméne mordor.fan služby Active Directory® toľkokrát, koľkokrát chceme, že server Microsoft® DNS nezistí tieto zmeny alebo že takýto klient existuje. Je možné, že je to len preto, že sme vybrali túto možnosť  Dynamické aktualizácie -> Iba zabezpečené v každej zóne DNS spoločnosti Micorosft?

Aby mohol pán Microsoft® DNS vedieť o zmenách, musíme vybrať Dynamické aktualizácie -> Nezabezpečené a zabezpečené. Táto možnosť, Vážení čitatelia, znamená značnú zraniteľnosť zabezpečenia ktoréhokoľvek rešpektovaného servera doménových mien, nech už je to Microsft® alebo UNIX® / Linux. Microsoft® DNS varuje pred zraniteľnosťou, pretože v konečnom dôsledku nejde o nič iné ako upravený a privatizovaný BIND, ktorý nám ponúka «Bezpečnosť pre temnotu«. Ak nie, prečo odporúčate ušetriť na svojom slávnom registrácia všetky nastavenia DNS a záznamy vášho servera Microsoft® DNS, keď implementujeme službu Active Directory®? Okrem podpory nezabezpečených aktualizácií servera Microsoft® DNS je v konfigurácii sieťovej karty klienta so systémom Windows 7 vyžadovaná nasledujúca úprava:

Skontrolujme to:

buzz @ sysadmin: ~ $ host -t A mahagón.mordor.fan 10.10.10.3
Používanie doménového servera: Názov: 10.10.10.3 Adresa: 10.10.10.3 # 53 Aliasy: caoba.mordor.fan má adresu 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.3
Používanie doménového servera: Názov: 10.10.10.3 Adresa: 10.10.10.3 # 53 Aliasy: 115.10.10.10.in-addr.arpa ukazovateľ názvu domény mahogany.mordor.fan.

buzz @ sysadmin: ~ $ hostiteľ -t Mahagón 10.10.10.5
Používanie doménového servera: Názov: 10.10.10.5 Adresa: 10.10.10.5 # 53 Aliasy: caoba.mordor.fan má adresu 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.5
Používanie doménového servera: Názov: 10.10.10.5 Adresa: 10.10.10.5 # 53 Aliasy: 115.10.10.10.in-addr.arpa ukazovateľ názvu domény mahogany.mordor.fan.

Ano teraz. Aká pekná synchronizácia pre dva servery DNS, ktoré nie sú nijak synchronizované!

Klienti Windows sa pripojili k doméne Active Directory®

Spojme klienta mahagón.mordor.fanúšik do Domény, ale nie skôr, ako vylúčime zmeny, ktoré sme vykonali v konfigurácii vašej sieťovej karty, ak sme to niekedy urobili, aby sme overili bod z predchádzajúcej kapitoly. Vymažte tiež záznam pre «mahagón»V spoločnosti Microsoft® DNS a vrátiť dynamické aktualizácie na miesto ich pôvodu «Iba bezpečné«. Mimochodom, je platné reštartovať službu Microsoft® DNS.

Po pripojení k Doméne a napriek všetkému nášmu úsiliu klient «mahagón»Nie je zaregistrovaný v serveri Microsoft® DNS. Dokonca sme deklarovali v dnsmasq.conf - dočasne - že prvý server DNS je 10.10.10.3.

Microsoft Windows [Version 6.1.7601]
Autorské práva (c) 2009 Microsoft Corporation. Všetky práva vyhradené.

C: \ Users \ saruman> ipconfig / všetko

Názov hostiteľa konfigurácie systému Windows IP. . . . . . . . . . . . : MAHOGANY Primárna prípona Dns. . . . . . . : mordor.fan Typ uzla. . . . . . . . . . . . : Hybridné smerovanie IP je povolené. . . . . . . . : Nie je povolený proxy server WINS. . . . . . . . : Žiadny zoznam prípon DNS. . . . . . : mordor.fan Ethernetový adaptér Pripojenie k miestnej sieti: Prípona DNS špecifická pre dané pripojenie. : mordor.fan Popis. . . . . . . . . . . : Fyzická adresa sieťového pripojenia Intel (R) PRO / 1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP povolený. . . . . . . . . . . : Áno Automatická konfigurácia povolená. . . . : Áno Link-local IPv6 adresa. . . . . : fe80 :: 352a: b954: 7eba: 963e% 12 (preferovaná) adresa IPv4. . . . . . . . . . . : 10.10.10.115 (preferovaná) Maska podsiete. . . . . . . . . . . : 255.255.255.0 Prenájom vozidla. . . . . . . . . . : Sobota 25. februára 2017 8:19:05 Prenájom vyprší. . . . . . . . . . : Sobota 25. februára 2017 4:20:36 Predvolená brána. . . . . . . . . : 10.10.10.253 Server DHCP. . . . . . . . . . . : 10.10.10.5 DHCPv6 IAID. . . . . . . . . . . : 251661353 Klient DHCPv6 DUID. . . . . . . . : 00-01-00-01-20-3B-69-81-00-0C-29-D6-14-36

   Servery DNS. , , , , , , , , , , : 10.10.10.3
                                       10.10.10.5
   NetBIOS cez Tcpip. . . . . . . . : Povolený adaptér tunela isatap.mordor.fan: Stav média. . . . . . . . . . . : Médiá odpojené Prípona DNS špecifická pre pripojenie. : mordor.fan Popis. . . . . . . . . . . : Fyzická adresa adaptéra Microsoft ISATAP. . . . . . . . . : 00-00-00-00-00-00-00-0-E9 DHCP povolené. . . . . . . . . . . : Nie je povolená žiadna automatická konfigurácia. . . . : Áno Tunelový adaptér Pripojenie k miestnej sieti * 00: Stav média. . . . . . . . . . . : Médiá odpojené Prípona DNS špecifická pre pripojenie. : Popis. . . . . . . . . . . : Fyzická adresa adaptéra tunelovania Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-0-XNUMX-EXNUMX DHCP povolené. . . . . . . . . . . : Nie je povolená žiadna automatická konfigurácia. . . . : A to je

C: \ Users \ saruman>

buzz @ sysadmin: ~ $ host -t A mahagón.mordor.fan 10.10.10.3
Používanie doménového servera: Názov: 10.10.10.3 Adresa: 10.10.10.3 # 53 Aliasy: Hostiteľ caoba.mordor.fan nenájdený: 3 (NXDOMAIN)

bzučať@ sysadmin: ~ $ hostiteľ -t na mahagón.mordor.fan
mahogany.mordor.fan má adresu 10.10.10.115

• Jediný spôsob registrácie klienta «mahagón»V Microsft® DNS upravuje vaša sieťová karta, ako je uvedenéó na predchádzajúcom obrázku, to znamená, že výslovne uvádza, že: prípona DNS pre pripojenie je mordor.fan, že zaregistruje adresu spojenia v DNS a že pri registrácii pripojenia použije deklarovanú príponu DNS.

buzz @ sysadmin: ~ $ host -t A mahagón.mordor.fan 10.10.10.3
Používanie doménového servera: Názov: 10.10.10.3 Adresa: 10.10.10.3 # 53 Aliasy: caoba.mordor.fan má adresu 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mhogany.mordor.fan
mahogany.mordor.fan má adresu 10.10.10.115

Zmeňme názov z „mahagón“ na „céder“

buzz @ sysadmin: ~ $ host -t A mahagón.mordor.fan 10.10.10.3
Používanie doménového servera: Názov: 10.10.10.3 Adresa: 10.10.10.3 # 53 Aliasy: Hostiteľ caoba.mordor.fan nenájdený: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Na cedar.mordor.fan 10.10.10.3
Používanie doménového servera: Názov: 10.10.10.3 Adresa: 10.10.10.3 # 53 Aliasy: cedro.mordor.fan má adresu 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahagón.mordor.fan 10.10.10.5
Používanie doménového servera: Názov: 10.10.10.5 Adresa: 10.10.10.5 # 53 Aliasy: Hostiteľ caoba.mordor.fan nenájdený: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Na cedar.mordor.fan 10.10.10.5
Používanie doménového servera: Názov: 10.10.10.5 Adresa: 10.10.10.5 # 53 Aliasy: cedro.mordor.fan má adresu 10.10.10.115

A všetko normálne, pretože klienti Microsoft® a Microsoft® DNS majú radi veci ako majú byť.

Poďme pracovať s Microsoft® DHCP a Microsoft® DNS

Vážení čitatelia, táto kapitola je mimo kontextu blogu venovaného slobodnému softvéru. Prečítajte si pomocníka spoločnosti Microsoft®. Neveria ?. 😉

Závery

Existuje niekoľko spôsobov, ako pracovať s Microsoft® DNS, keď ho vytvoríme súčasne v sieti SME s Dnsmasq. Z nich spomenieme iba tieto:

• Úplne zastavte službu Microsoft® DNS na počítači, na ktorom je spustená, a následne informujte, že je spustenie služby zakázané. Zrušte začiarknutie v konfigurácii sieťovej karty každého klienta Microsoft®, možnosť Registrovať adresu pripojenia v DNS. Odstrániť zo súboru /etc/dnsmasq.conf Smernice server = / mordor.fan / 10.10.10.3. Poznámky:
  • Aj keď nie sú zodpovedané otázky týkajúce sa záznamov SOA y NS, sieť bude fungovať správne, rovnako ako spojenie rôznych klientov - Microsoft® a Linux - s doménou Active Directory®.
  • Má to výhodu, že v SME LAN bude iba jeden server názvov domén - mužský - a bude to Dnsmasq. ;-). Na druhej strane je vylúčená možnosť nekonzistencie medzi záznamami DNS uloženými v Microsoft® DNS a tými, ktoré sú k dispozícii prostredníctvom Dnsmasq.
• Microsoft® DNS nechajte spustený, aby odpovedal iba na dotazy DNS týkajúce sa záznamov SOA a NS. Poznámka:s:
  • Upravte konfiguráciu sieťovej karty každého klienta so systémom Windows a zrušte začiarknutie možnosti Registrovať adresu pripojenia v DNS.
  • My si myslíme že toto riešenie je mrhaním zdrojov.
• Nakonfigurujte služby tak, ako sme to videli v článku, ktorý ukazuje riešenie, ktoré sa viac podobá filozofii spoločnosti Microsoft® - nie je to FreeBSD / Linux- Ok ?.

Zhrnutie

• Návrh Microsoft® DNS je veľmi uzavretý. Nenecháva priestor pre ďalšie riešenia, ktoré nie sú v súlade s jej hermetickou filozofiou.
• Matka príroda nás učí, že existujeme v rozmanitom vesmíre. Normálna vec je mať zmiešanú LAN, smerujúcu k slobodnému softvéru a bohatú na život a rozmanitosť.
• Zdá sa, že pre Microsoft® sú zákazníci, ktorí sa nepripojia k jeho filozofii, vyvrheľmi, a preto by sa nemali obťažovať brať ich do úvahy.
• Aké ťažké je pracovať so súkromným softvérom! Radšej by som strávil trochu práce nastavením slobodného softvéru a bol skutočne slobodný, sakra!

„Najlepším kritériom pravdy je prax.“