BIND a Active Directory® - Siete SME

Všeobecný index série: Počítačové siete pre malé a stredné podniky: Úvod

Dobrý deň, priatelia!. Hlavným cieľom tohto článku je ukázať, ako môžeme integrovať službu DNS založenú na BIND9 v sieti Microsoft, ktorá je veľmi častá v mnohých malých a stredných podnikoch.

Vyplýva to z oficiálnej žiadosti priateľa, ktorý žije v La Tierra del Fuego -Fuegian- špecializovaný na Microsoft® Networks - Vrátane certifikátov - ktorý vás prevedie touto časťou migrácie vašich serverov na Linux. Náklady na podpora Technici, ktorí platia spoločnosti Microsoft®, už sú Neznesiteľné pre spoločnosť, v ktorej pracuje, a ktorej je hlavným akcionárom.

Môj priateľ Fuegian má veľký zmysel pre humor, a keďže videl sériu troch filmov «Pán prsteňov»Zaujalo ho veľa mien jeho temných postáv. Takže, priateľ čitateľ, nenechaj sa prekvapiť názvami svojej domény a serverov.

Začiatočníkom tejto témy a pred pokračovaním v čítaní odporúčame prečítať si a prečítať si tri predchádzajúce články o sieťach SME:

• DNS a DHCP v openSUSE 13.2 „Harlekýn“
• DNS a DHCP na CentOS 7
• DNS a DHCP v Debiane 8 „Jessie“

Je to ako sledovať tri zo štyroch častí «Podsvetie»Zverejnené dodnes a toto je štvrté.

Všeobecné parametre

Po niekoľkých výmenách prostredníctvom e-mail, nakoniec som mal jasno o hlavných parametroch vašej súčasnej siete, ktorými sú:

Názov domény mordor.fan LAN Network 10.10.10.0/24 ==================================== ========================================== Účel servera IP adresa (servery s OS Windows) ================================================= =============================== sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Súborový server Windows darklord.mordor.fan. 10.10.10.6 Proxy, brána a firewall na serveri Kerios troll.mordor.fan. 10.10.10.7 Blog založený na ... nepamätám si shadowftp.mordor.fan. 10.10.10.8 FTP server blackelf.mordor.fan. 10.10.10.9 Plná e-mailová služba blackspider.mordor.fan. 10.10.10.10 WWW služba palantir.mordor.fan. 10.10.10.11 Chat na Openfire pre Windows

Požiadal som o povolenie Fuegian nastaviť toľko aliasov, koľko je potrebné na vyčistenie mysle a dal mi jeho súhlas:

Skutočný CNAME ============================== sauron ad-dc mamba súborový server darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

Vo svojej inštalácii služby Active Directory Windows 2008 som deklaroval všetky dôležité záznamy DNS, ktoré som bol nútený implementovať, aby ma pri tvorbe tohto príspevku sprevádzali.

O záznamoch SRV o DNS aktívneho adresára

Registre SRV o Vyhľadávače služieb - široko používané v Microsoft Active Directory - sú definované v Žiadosť o pripomienky RFC 2782. Umožňujú umiestnenie služby na základe protokolu TCP / IP prostredníctvom dotazu DNS. Napríklad zákazník v sieti Microsoft môže vyhľadať umiestnenie radičov domény - Radiče domén ktoré poskytujú službu LDAP cez protokol TCP na porte 389 prostredníctvom jediného dotazu DNS.

Je normálne, že v Lesoch - Lesya stromy - Stromy veľkej siete Microsoft existuje niekoľko radičov domény. Použitím záznamov SRV v rôznych zónach, ktoré tvoria priestor názvov domén tejto siete, môžeme udržiavať zoznam serverov, ktoré poskytujú podobné známe služby, zoradené podľa preferencie podľa transportného protokolu a portu každého z týchto serverov. servery.

V Žiadosť o pripomienky RFC 1700 Univerzálne symbolické názvy pre známe služby sú definované - Známa službaa mená ako «_telnet" '_smtp»Za služby telnet y SMTP. Ak pre dobre známu službu nie je definované symbolické meno, je možné použiť miestne meno alebo iný názov podľa preferencií používateľa.

Účel každého poľa «zvláštne»Pri deklarácii záznamu zdroja SRV sa používa nasledovné:

• Doména: „Pdc._msdcs.mordor.fan.«. DNS názov služby, na ktorú sa záznam SRV vzťahuje. Názov DNS v príklade znamená - viac alebo menej - Primárny radič domény oblasti _msdcs.mordor.fan.
• Služba sa: „_Ldap“. Symbolický názov služby, ktorá je poskytovaná, je definovaný podľa Žiadosť o pripomienky RFC 1700.
• Protokol: „_Tcp“. Označuje typ prepravného protokolu. Spravidla môže mať hodnoty _tcp o _udp, hoci - a v skutočnosti - akýkoľvek typ prepravného protokolu uvedeného v Žiadosť o pripomienky RFC 1700. Napríklad za službu rozprávanie protokolárne XMPP, toto pole by malo hodnotu _xmpp.
• Priorita"0«. Deklarujte prioritu alebo preferenciu pre Hostiteľ ponúkajúci túto službu že uvidíme neskôr. Dotazy DNS klientov týkajúce sa služby definovanej v tomto zázname SRV sa po prijatí príslušnej odpovede pokúsia kontaktovať prvého dostupného hostiteľa s najnižším počtom uvedeným v poli. Priorita. Rozsah hodnôt, ktoré toto pole môže nadobúdať, je 0 65535.
• Váha"100«. Možno použiť v kombinácii s Priorita poskytnúť mechanizmus vyrovnávania záťaže, keď existuje niekoľko serverov, ktoré poskytujú rovnakú službu. Pre každý server v súbore Zone by mal byť podobný záznam SRV s jeho menom deklarovaným v poli Hostiteľ ponúkajúci túto službu. Pred servermi s rovnakými hodnotami v poli Priorita, hodnota poľa Váha dá sa použiť ako ďalšia preferenčná úroveň na získanie presného výberu servera na vyvažovanie záťaže. Rozsah hodnôt, ktoré toto pole môže nadobúdať, je 0 65535. Ak nie je potrebné vyváženie záťaže, napríklad ako v prípade jedného servera, odporúča sa priradiť hodnotu 0 aby sa záznam SRV ľahšie čítal.
• Číslo portu - Port"389«. Číslo portu v Hostiteľ ponúkajúci túto službu ktorá poskytuje službu uvedenú v poli Služba sa. Odporúčané číslo portu pre každý typ dobre známej služby je uvedené na Žiadosť o pripomienky RFC 1700, aj keď môže mať hodnotu medzi 0 a 65535.
• Hostiteľ ponúkajúci túto službu - Target"sauron.mordor.fan.«. Určuje FQDN ktorá jednoznačne identifikuje hostiteľ ktorá poskytuje službu uvedenú v zázname SRV. Typ záznamu «A»V mennom priestore domény pre každého FQDN zo servera alebo hostiteľ ktorá poskytuje službu. Jednoduchšie, typový záznam A v priamej zóne (zónach).
  • Poznámka:
    Aby ste oprávnene označili, že služba uvedená v zázname SRV nie je na tomto hostiteľovi poskytovaná, použite jeden (.) bod.

Chceme len zopakovať, že správna prevádzka siete alebo služby Active Directory® sa vo veľkej miere spolieha na správnu činnosť služby Domain Name Service..

Záznamy DNS služby Active Directory

Aby sme vytvorili zóny nového servera DNS na základe BIND, musíme získať všetky záznamy DNS zo služby Active Directory®. Aby sme si uľahčili život, ideme do tímu sauron.mordor.fan -Active Directory® 2008 SR2- a v administračnej konzole DNS aktivujeme Zone Transfer - priamy a reverzný - pre hlavné zóny deklarované v tomto type služby, ktorými sú:

• _msdcs.mordor.fan
• mordor.fan
• 10.10.10.v-addr.arpa

Po vykonaní predchádzajúceho kroku a najlepšie z počítača so systémom Linux, ktorého adresa IP je v rozsahu podsiete používanej sieťou Windows, vykonáme:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> teplota /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa

• Pripomeňme si z predchádzajúcich článkov, že IP adresa zariadenia sysadmin.desdelinux.ventilátor i 10.10.10.1 alebo 192.168.10.1.

V troch predchádzajúcich príkazoch môžeme túto možnosť vylúčiť @10.10.10.3 -spýtajte sa na server DNS s touto adresou- ak deklarujeme v spise / Etc / resolv.conf na IP servera sauron.mordor.fan:

buzz@sysadmin:~$ cat /etc/resolv.conf # Vygenerované vyhľadávaním v NetworkManager desdelinux.menný server fanúšikov 192.168.10.5 nameserver 10.10.10.3

Po mimoriadnej opatrnosti, ako to zodpovedá ľubovoľnému súboru zón v BIND, získame nasledujúce údaje:

Záznamy RR z pôvodnej zóny _msdcs.mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs._msdcs.mordor.fan 
; Pokiaľ ide o SOA a NS _msdcs.mordor.fan. 3600 V SOA sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 3600 _msdcs.mordor.fan. 3600 V NS sauron.mordor.fan. ; ; GLOBÁLNY KATALÓG gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ; Aliasy - v upravenej a súkromnej databáze LDAP služby Active Directory - servera SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 V CNAME sauron.mordor.fan. ; ; Upravený a súkromný LDAP služby Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 V SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 V SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. ; ; Upravený a súkromný KERBEROS Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 V SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 V SRV 0 100 88 sauron.mordor.fan.

Záznamy RR z pôvodnej zóny mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs.mordor.fan 
; Pokiaľ ide o záznamy SOA, NS, MX a A, ktoré mapuje; doménové meno do IP spoločnosti SAURON; Veci z Active Directory mordor.fan. 3600 V SOA sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 86400 3600 mordor.fan. 600 IN A 10.10.10.3 mordor.fan. 3600 V NS sauron.mordor.fan. mordor.fan. 3600 IN MX 10 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 V NS sauron.mordor.fan. ; ; Dôležitý je aj záznam A DomainDnsZones.mordor.fan. 600 IN A 10.10.10.3 ForestDnsZones.mordor.fan. 600 IN A 10.10.10.3; ; GLOBÁLNY KATALÓG _gc._tcp.mordor.fan. 600 V SRV 0 100 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 V SRV 0 100 3268 sauron.mordor.fan. ; ; Upravený a súkromný LDAP služby Active Directory _ldap._tcp.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. ; ; Upravený a súkromný KERBEROS služby Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 V SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 V SRV 0 100 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 V SRV 0 100 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 V SRV 0 100 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 V SRV 0 100 464 sauron.mordor.fan. ; ; Záznamy A s pevnou IP -> Servery blackelf.mordor.fan. 3600 IN A 10.10.10.9 blackspider.mordor.fan. 3600 IN A 10.10.10.10 darklord.mordor.fan. 3600 IN A 10.10.10.6 mamba.mordor.fan. 3600 IN A 10.10.10.4 palantir.mordor.fan. 3600 IN A 10.10.10.11 sauron.mordor.fan. 3600 IN A 10.10.10.3 shadowftp.mordor.fan. 3600 IN A 10.10.10.8 troll.mordor.fan. 3600 IN A 10.10.10.7; ; CNAME záznamy ad-dc.mordor.fan. 3600 V CNAME sauron.mordor.fan. blog.mordor.fan. 3600 V CNAME troll.mordor.fan. fileserver.mordor.fan. 3600 V CNAME mamba.mordor.fan. ftpserver.mordor.fan. 3600 V CNAME shadowftp.mordor.fan. mail.mordor.fan. 3600 V CNAME balckelf.mordor.fan. openfire.mordor.fan. 3600 V CNAME palantir.mordor.fan. proxy.mordor.fan. 3600 V CNAME darklord.mordor.fan. www.mordor.fan. 3600 V CNAME blackspider.mordor.fan.

Záznamy RR z pôvodnej zóny 10.10.10.in-addr.arpa

buzz @ sysadmin: ~ $ cat temp / rrs.10.10.10.in-addr.arpa 
; Pokiaľ ide o SOA a NS 10.10.10.in-addr.arpa. 3600 V SOA sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400 3600 10.10.10.in-addr.arpa. 3600 V NS sauron.mordor.fan. ; ; Záznamy PTR 10.10.10.10.in-addr.arpa. 3600 11.10.10.10 V PTR blackspider.mordor.fan. 3600.in-addr.arpa. 3.10.10.10 V PTR palantir.mordor.fan. 3600.in-addr.arpa. 4.10.10.10 V PTR sauron.mordor.fan. 3600.in-addr.arpa. 5.10.10.10 V PTR mamba.mordor.fan. 3600.in-addr.arpa. 6.10.10.10 3600 V PTR dnslinux.mordor.fan. 7.10.10.10.in-addr.arpa. 3600 V PTR darklord.mordor.fan. 8.10.10.10.in-addr.arpa. 3600 9.10.10.10 V PTR troll.mordor.fan. 3600.in-addr.arpa. XNUMX XNUMX V PTR shadowftp.mordor.fan. XNUMX.in-addr.arpa. XNUMX V PTR blackelf.mordor.fan.

Až do tohto okamihu si môžeme myslieť, že máme potrebné údaje, aby sme mohli pokračovať v našom dobrodružstve, nie bez predchádzajúceho pozorovania TTL a ďalšie údaje, ktoré nám veľmi výstižným spôsobom poskytujú výstup a priame pozorovanie DNS Microsft® Active Directory® 2008 SR2 64 bitov.

Obrázky správcu DNS v programe SAURON

Tím Dnslinux.mordor.fan.

Ak sa pozrieme pozorne, na IP adresu 10.10.10.5 nebolo mu presne pridelené žiadne meno, aby ho obsadzoval názov nového DNS dnslinux.mordor.fan. Pri inštalácii párov DNS a DHCP sa môžeme riadiť článkami DNS a DHCP v Debiane 8 „Jessie“ y DNS a DHCP na CentOS 7.

Základný operačný systém

Môj priateľ FuegianOkrem toho, že je skutočným špecialistom na Microsoft® Windows - má niekoľko certifikátov vydaných touto spoločnosťou -, prečítal si a zaviedol do praxe niektoré články o počítačoch publikované v DesdeLinux. a povedal mi, že výslovne chce riešenie založené na Debiane. 😉

Aby sme vás potešili, začneme s čerstvou a čistou inštaláciou servera založeného na Debian 8 „Jessie“. To, čo napíšeme ďalej, však platí pre distribúcie CentOS a openSUSE, ktorých články sme spomínali skôr. BIND a DHCP sú rovnaké pri každom distro. Mierne variácie zavádzajú správcovia balíkov v každej distribúcii.

Inštaláciu vykonáme podľa pokynov v DNS a DHCP v Debiane 8 „Jessie“, dbajte na používanie IP 10.10.10.5 a sieť 10.10.10.0/24., ešte pred konfiguráciou BIND.

Konfigurujeme BIND v štýle Debianu

/etc/bind/named.conf

Súbor /etc/bind/named.conf necháme tak, ako je nainštalovaný.

/etc/bind/named.conf.options

Súbor /etc/bind/named.conf.options by mal zostať s nasledujúcim obsahom:

root @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dnslinux: ~ # nano /etc/bind/named.conf.options
možnosti {adresár "/ var / cache / bind"; // Ak medzi vami a mennými servermi, s ktorými chcete // hovoriť, je brána firewall, možno budete musieť bránu firewall opraviť, aby mohla hovoriť viac portov //. Pozri http://www.kb.cert.org/vuls/id/800113 // Ak váš ISP poskytol jednu alebo viac adries IP pre stabilné // menné servery, pravdepodobne ich budete chcieť použiť ako servery na preposielanie. // Odkomentujte nasledujúci blok a vložte adresy, ktoré nahradia // zástupný symbol all-0. // lesné traktory {// 0.0.0.0; //}; // ================================================ ====================== $ // Ak program BIND zaznamená chybové správy o uplynutí platnosti koreňového kľúča, // budete musieť svoje kľúče aktualizovať. Pozri https://www.isc.org/bind-keys // ================================== ==================================== $

    // Nechceme DNSSEC
        dnssec-povoliť nie;
        //dnssec-validation auto;

        auth-nxdomain no; # zodpovedá RFC1035

 // Nepotrebujeme počúvať adresy IPv6
        // listen-on-v6 {any; };
    listen-on-v6 {none; };

 // Pre kontroly od localhost a sysadmin
    // cez // dig mordor.fan axfr // dig 10.10.10.in-addr.arpa axfr // dig _msdcs.mordor.fan axfr // Nemáme Slave DNS ... doteraz
 allow-transfer {localhost; 10.10.10.1; };
};

// Prihlásenie BIND
logovanie {

        dotazy kanála {
        súbor "/var/log/named/queries.log" verzie 3 veľkosť 1m;
        informácie o závažnosti;
        doba tlače áno;
        závažnosť tlače áno;
        print-category áno;
        };

        chyba dopytu kanála {
        súbor "/var/log/named/query-error.log" verzie 3 veľkosť 1m;
        informácie o závažnosti;
        doba tlače áno;
        závažnosť tlače áno;
        print-category áno;
        };

                                
dotazy na kategórie {
         dotazy;
         };

chyby v dotazoch kategórie {
         chyba dotazu;
         };

};

• Zavádzanie protokolov BIND uvádzame ako a NEW vystúpenie v sérii článkov na túto tému. Vytvárame lpriečinok a súbory potrebné pre Prihlásenie ZÁVÄZKU:

root @ dnslinux: ~ # mkdir / var / log / pomenovaný
root @ dnslinux: ~ # touch /var/log/named/queries.log
root @ dnslinux: ~ # touch /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R väzba: väzba / var / log / pomenovaný

Skontrolujeme syntax nakonfigurovaných súborov

root @ dnslinux: ~ # named-checkconf 
root @ dnslinux: ~ #

/etc/bind/named.conf.local

Vytvárame súbor /etc/bind/zones.rfcFreeBSD s rovnakým obsahom, ako je uvedené v DNS a DHCP v Debiane 8 „Jessie“.

root @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

Súbor /etc/bind/named.conf.local by mal zostať s nasledujúcim obsahom:

// // Tu môžete vykonať ľubovoľnú lokálnu konfiguráciu // // // Zvážte, či sem môžete pridať zóny 1918, ak sa nepoužívajú vo vašej // organizácii
zahrnúť „/etc/bind/zones.rfc1918“; zahrnúť "/etc/bind/zones.rfcFreeBSD";

zóna "mordor.fan" {typ majster; súbor "/var/lib/bind/db.mordor.fan"; }; zóna "10.10.10.in-addr.arpa" {typ majster; súbor "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

zóna "_msdcs.mordor.fan" {typ majster;
 kontrolné mená ignorovať; súbor "/etc/bind/db._msdcs.mordor.fan"; }; root @ dnslinux: ~ # named-checkconf
root @ dnslinux: ~ #

Zónový súbor mordor.fan

root @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; sériové 1D; obnovenie 1H; opakovanie 1W; uplynutie platnosti 3H); minimálne alebo; Negatívny čas na uloženie do pamäte cache;
; S NÁSLEDNÝMI ZÁZNAMMI BUĎTE VEĽMI OPATRNÍ
@ IN NS dnslinux.mordor.fan.
@ IN A 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT „Vitajte v The Dark Lan of Mordor“;
_msdcs.mordor.fan. V NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. V A 10.10.10.5
; UKONČTE VEĽMI POZORNE S NASLEDUJÚCIMI ZÁZNAMMI;
DomainDnsZones.mordor.fan. V A 10.10.10.3 ForestDnsZones.mordor.fan. V A 10.10.10.3; ; GLOBÁLNY KATALÓG _gc._tcp.mordor.fan. 600 V SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 V SRV 0 0 3268 sauron.mordor.fan. ; ; Upravený a súkromný LDAP služby Active Directory _ldap._tcp.mordor.fan. 600 V SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 V SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 V SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 V SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 V SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 V SRV 0 0 389 sauron.mordor.fan. ; ; Upravený a súkromný KERBEROS služby Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 V SRV 0 0 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 V SRV 0 0 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 V SRV 0 0 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 V SRV 0 0 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 V SRV 0 0 464 sauron.mordor.fan. ; ; Záznamy A s pevnou IP -> Servery blackelf.mordor.fan. V 10.10.10.9 blackspider.mordor.fan. V 10.10.10.10 darklord.mordor.fan. IN A 10.10.10.6 mamba.mordor.fan. V 10.10.10.4 palantir.mordor.fan. V A 10.10.10.11
sauron.mordor.fan. V A 10.10.10.3
shadowftp.mordor.fan. V 10.10.10.8 troll.mordor.fan. V A 10.10.10.7; ; CNAME záznamy ad-dc.mordor.fan. V CNAME sauron.mordor.fan. blog.mordor.fan. V CNAME troll.mordor.fan. fileserver.mordor.fan. V CNAME mamba.mordor.fan. ftpserver.mordor.fan. V CNAME shadowftp.mordor.fan. mail.mordor.fan. V CNAME balckelf.mordor.fan. openfire.mordor.fan. V CNAME palantir.mordor.fan. proxy.mordor.fan. V CNAME darklord.mordor.fan. www.mordor.fan. V CNAME blackspider.mordor.fan.

root @ dnslinux: ~ # named-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
zóna mordor.fan/IN: načítaný rad 1 OK

Časy 600 TTL všetkých registrov SRV si ich ponecháme pre prípad, že nainštalujeme Slave BIND v nadchádzajúcich časoch. Tieto záznamy predstavujú služby Active Directory®, ktoré väčšinou čítajú údaje z vašej databázy LDAP. Pretože sa táto databáza často mení, musia byť časy synchronizácie krátke, v schéme DNS typu Master - Slave. Podľa filozofie spoločnosti Microsoft pozorovanej od služby Active Directory 2000 až 2008 je pre tieto typy záznamov SRV zachovaná hodnota 600.

undefined TTL serverov s pevnou IP adresou, sú pod deklarovaným časom v SOA 3 hodiny.

Zónový súbor 10.10.10.in-addr.arpa

root @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; sériové 1D; obnovenie 1H; opakovanie 1W; uplynutie platnosti 3H); minimálne alebo; Negatívny čas na uloženie do pamäte cache; @ IN NS dnslinux.mordor.fan. ; 10 V PTR blackspider.mordor.fan. 11 V PTR palantir.mordor.fan. 3 V PTR sauron.mordor.fan. 4 V PTR mamba.mordor.fan. 5 V PTR dnslinux.mordor.fan. 6 V PTR darklord.mordor.fan. 7 V PTR troll.mordor.fan. 8 V PTR shadowftp.mordor.fan. 9 V PTR blackelf.mordor.fan.

root @ dnslinux: ~ # named-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
zóna 10.10.10.in-addr.arpa/IN: načítaný rad 1 OK

Zónový súbor _msdcs.mordor.fan

Zoberme do úvahy to, čo sa v spise odporúča /usr/share/doc/bind9/README.Debian.gz O umiestnení súborov hlavných zón, ktoré nepodliehajú dynamickým aktualizáciám prostredníctvom protokolu DHCP.

root @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; sériové 1D; obnovenie 1H; opakovanie 1W; uplynutie platnosti 3H); minimálne alebo; Negatívny čas na uloženie do pamäte cache; @ IN NS dnslinux.mordor.fan. ; ; ; GLOBÁLNY KATALÓG gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ; Aliasy - v upravenej a súkromnej databáze LDAP služby Active Directory - servera SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 V CNAME sauron.mordor.fan. ; ; Upravený a súkromný LDAP služby Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 V SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 V SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS upravený a súkromný z Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 V SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 V SRV 0 100 88 sauron.mordor.fan.

Skontrolujeme syntax a môžeme ignorovať chybu, ktorú vracia, pretože v konfigurácii tejto zóny v súbore /etc/bind/named.conf.local zaraďujeme výrok kontrolné mená ignorovať;. Zóna bude BINDOM správne načítaná.

root @ dnslinux: ~ # named-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: zlé meno vlastníka (kontrolné mená) zóna _msdcs.mordor.fan/IN: načítaný rad 1 OK

root @ dnslinux: ~ # systemctl restart bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 
● bind9.service - Načítaný server názvov domén BIND: načítaný (/lib/systemd/system/bind9.service; povolený) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf Aktívne: aktívny (beh) od ne 2017-02-12 08:48:38 EST; Pred 2 s Dokumenty: muž: pomenovaný (8) Proces: 859 ExecStop = / usr / sbin / rndc stop (kód = ukončený, stav = 0 / ÚSPECH) Hlavné PID: 864 (pomenované) CGroup: /system.slice/bind9.service └─864 / usr / sbin / named -f -u bind 12 feb 08:48:38 dnslinux pomenovaný [864]: zóna 3.efip6.arpa/IN: načítaný seriál 1 feb 12 08:48:38 dnslinux pomenovaný [864 ]: zóna befip6.arpa/IN: načítaný rad 1. februára 12 08:48:38 dnslinux s názvom [864]: zóna 0.efip6.arpa/IN: načítaný rad 1. februára 12 08:48:38 dnslinux s názvom [864]: zóna 7.efip6.arpa/IN: načítaný seriál 1. februára 12 08:48:38 dnslinux s názvom [864]: zóna mordor.fan/IN: načítaný seriál 1 feb 12 08:48:38 dnslinux s názvom [864]: príklad zóny .org / IN: načítané sériové číslo 1 12. februára 08:48:38 dnslinux s názvom [864]: zóna _msdcs.mordor.fan/IN: načítané sériové číslo 1. februára 12 08:48:38 dnslinux s názvom [864]: zóna neplatná / IN : načítané sériové číslo 1. februára 12 08:48:38 dnslinux s názvom [864]: všetky zóny načítané
12. feb 08:48:38 dnslinux pomenovaný [864]: bezat

Konzultujeme BIND

Pred Po inštalácii DHCP musíme vykonať sériu kontrol, ktoré zahŕňajú dokonca aj pripojenie klienta Windows 7 k doméne mordor.fan zastúpená službou Active Directory nainštalovanou v počítači sauron.mordor.fan.

Prvá vec, ktorú musíme urobiť, je zastaviť službu DNS v počítači sauron.mordor.fana vo svojom sieťovom rozhraní deklarujte, že odteraz bude váš server DNS 10.10.10.5 dnslinux.mordor.fan.

V konzole samotného servera sauron.mordor.fan vykonávame:

Microsoft Windows [Version 6.1.7600]
Autorské práva (c) 2009 Microsoft Corporation. Všetky práva vyhradené.

C: \ Users \ Správca> nslookup
Predvolený server: dnslinux.mordor.fan Adresa: 10.10.10.5

> gc._msdcs
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 Názov: gc._msdcs.mordor.fan Adresa: 10.10.10.3

> mordor.fan
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 Názov: mordor.fan Adresa: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 Názov: sauron.mordor.fan Adresa: 10.10.10.3 Aliasy: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> typ súpravy = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan Umiestnenie služby SRV: priorita = 0 hmotnosť = 100 port = 88 názov hostiteľa svr = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan internetová adresa sauron.mordor.fan = 10.10.10.3 dnslinux.mordor.fan internetová adresa = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan Umiestnenie služby SRV: priorita = 0 hmotnosť = 100 port = 389 názov hostiteľa svr = sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internetová adresa = 10.10.10.3 dnslinux.mordor.fan internetová adresa = 10.10.10.5
> výstup

C: \ Users \ Správca>

DNS dotazy vyrobené z sauron.mordor.fan sú uspokojivé.

Ďalším krokom bude vytvorenie ďalšieho virtuálneho stroja s nainštalovaným systémom Windows 7. Pretože stále nemáme nainštalovanú službu DHCP, dáme počítač s názvom «win7»IP adresa 10.10.10.251. Tiež prehlasujeme, že váš server DNS bude 10.10.10.5 dnslinux.mordor.fan, a že hľadaná doména bude mordor.fan. Tento počítač nebudeme registrovať v DNS, pretože ho tiež použijeme na testovanie služby DHCP po jej nainštalovaní.

Ďalej otvoríme konzolu CMD a v ňom vykonáme:

Microsoft Windows [Version 6.1.7601]
Autorské práva (c) 2009 Microsoft Corporation. Všetky práva vyhradené.

C: \ Users \ buzz> nslookup
Predvolený server: dnslinux.mordor.fan Adresa: 10.10.10.5

> mordor.fan
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 Názov: mordor.fan Adresa: 10.10.10.3

> typ súpravy = SRV
> _ldap._tcp.DomainDnsZones
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan Umiestnenie služby SRV: priorita = 0 váha = 0 port = 389 svr názov hostiteľa = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor internetová adresa .fan sauron.mordor.fan = 10.10.10.3 internetová adresa dnslinux.mordor.fan = 10.10.10.5
> _kpasswd._udp
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 _kpasswd._udp.mordor.fan Umiestnenie služby SRV: priorita = 0 váha = 0 port = 464 názov hostiteľa svr = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan internetová adresa sauron.mordor.fan = 10.10.10.3 internetová adresa dnslinux.mordor.fan = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan Umiestnenie služby SRV: priorita = 0 váha = 0 port = 389 názov hostiteľa svr = sauron. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internetová adresa = 10.10.10.3 dnslinux.mordor.fan internetová adresa = 10.10.10.5
> výjazd

C: \ Users \ buzz>

DNS dotazy od klienta «win7»Boli tiež uspokojivé.

V Active Directory vytvoríme používateľa «Saruman«, S cieľom využiť ho pri pripojení sa ku klientovi win7 do domény mordor.fan., pomocou metódy «ID siete«, Používanie používateľských mien saruman@mordor.fan y administrator@mordor.fan. Pripojenie bolo úspešné a dokazuje to nasledujúca snímka obrazovky:

O dynamických aktualizáciách v Microsoft® DNS a BIND

Pretože máme službu DNS zastavenú v službe Active Directory®, nebolo možné pre klienta «win7»Zaregistrujte svoje meno a adresu IP v danom serveri DNS. Oveľa menej v dnslinux.mordor.fan keďže sme neurobili nijaké vyhlásenie povoliť-aktualizovať pre ktorúkoľvek z dotknutých oblastí.

A práve tu sa formoval dobrý boj s mojím priateľom Fuegian. Vo svojom prvom e-maile o tomto aspekte som uviedol:

• Články spoločnosti Microsoft o používaní služieb BIND a Active Directory® odporúčajú aktualizáciu, najmä Direct Zone, povoliť -prenikol- priamo klientmi Windows, ktorí sú už pripojení k doméne Active Directory.
• Preto sú predvolene povolené v zónach DNS služby Active Directory® Secure Dynamic Updates. klientmi Windows, ktorí sú už pripojení k doméne Active Directory. Ak nie sú jednotní, zdržujú sa následkov.
• DNS v službe Active Directory podporuje dynamické aktualizácie „Iba zabezpečené“, „Nezabezpečené a zabezpečené“ alebo „Žiadne“, čo je rovnaké ako pri slove ŽIADNE aktualizácie alebo Žiadne..
• Áno vážne Filozofia spoločnosti Microsoft nesúhlasí s tým, že jej zákazníci NEMUSIA aktualizovať svoje údaje vo svojich DNS, nenechali by otvorenú možnosť zakázania dynamických aktualizácií vo svojich DNS, pokiaľ táto možnosť nebude ponechaná pre skrytejšie účely.
• Microsoft ponúka „Zabezpečenie“ výmenou za Darkness, ako mi povedal kolega a priateľ, ktorý absolvoval kurzy certifikátu Microsft®. Pravdaže. El Fueguino mi to navyše potvrdilo.
• Klient, ktorý získa adresu IP prostredníctvom protokolu DHCP nainštalovaného napríklad na počítači so systémom UNIX® / Linux, nebude môcť zistiť adresu IP svojho vlastného mena. kým sa nepripojíte k doméne Active Directory, pokiaľ sa ako DNS používa Microsoft® alebo BIND bez dynamických aktualizácií pomocou DHCP.
• Ak nainštalujem DHCP do služby Active Directory® sám, musím vyhlásiť, že zóny sú aktualizované programom Microsoft® DHCP.
• Pokiaľ budeme používať BIND ako DNS pre sieť Windows, je logické a odporúčané, aby sme si nainštalovali duo BIND-DHCP, ktoré dynamicky aktualizuje BIND a vec je uzavretá.
• Vo svete sietí LAN v systémoch UNIX® / Linux, pretože boli vyvinuté dynamické aktualizácie v prostredí BIND, je povolený iba pán DHCP «preniknúť»Pani BINDOVEJ s jej aktualizáciami. Relaxácia, ktorá je na poriadku, prosím.
• Keď vyhlásim v zóne mordor.fan napríklad: allow-update {10.10.10.0/24; };, Sám BIND ma pri spustení alebo reštartovaní informuje, že:

  • zóna „mordor.fan“ umožňuje aktualizácie podľa nezabezpečenej adresy IP

• V posvätnom svete UNIX® / Linux je takáto drzosť s DNS jednoducho neprípustná.

Môžete si predstaviť zvyšok výmeny s mojím priateľom Fuegian cez e-maily, Telegramový chat, ním platené telefónne hovory (samozrejme človeče, nemám na to ani kilo), ba dokonca správy cez poštové holuby v XXI storočí!

Dokonca sa vyhrážal, že mi nepošle syna svojho miláčika, jeho leguána «Petra»Že mi sľúbil ako súčasť platby. Tam som sa naozaj zľakol. Takže som začal odznova, ale z iného uhla pohľadu.

• „Takmer“ Active Directory, ktorý je možné dosiahnuť pomocou Samby 4, rieši tento aspekt majstrovským spôsobom, či už používame jeho interný DNS, alebo BIND kompilovaný na podporu zón DLZ - Zóny načítané dinamycomalebo dynamicky načítané zóny.
• Stále trpí tým istým: keď klient získa adresu IP prostredníctvom protokolu DHCP nainštalovaného v serveri ďalšie V systéme UNIX® / Linux nebudete môcť zistiť adresu IP svojho vlastného mena kým sa nepripojí k doméne Samba 4 AD-DC.
• Integrujte duo BIND-DLZ a DHCP na rovnakom stroji, kde je aj AD-DC Samba 4 je to práca pre skutočného špecialistu.

Fuegian Zavolal ma do kapitoly a zakričal na mňa: Nehovoríme o tom AD-DC Samba 4, ale Microsoft® Active Directory®!. A s pokorou som odpovedal, že ma potešila časť nasledujúcich článkov, ktoré sa chystám napísať.

Vtedy som mu povedal, že konečné rozhodnutie o dynamických aktualizáciách pre klientske počítače v jeho sieti bolo na jeho slobodnej vôli. Že by som mu dal iba typ napísané predtým o allow-update {10.10.10.0/24; };, a viac nič. Že nie som zodpovedný za to, čo vyplynulo z tejto promiskuity, že každý klient so systémom Windows - alebo Linux - vo svojej sieti «prenikne»Beztrestne pre BIND.

Keby ste vedeli, priateľu, čitateľ, že to bol konečný bod hádky, neveril by si. Môj priateľ Fuegian prijal riešenie - a pošle mi leguána «pete«- že teraz s vami zdieľam.

Inštalujeme a konfigurujeme DHCP

Pre viac podrobností si prečítajte DNS a DHCP v Debiane 8 „Jessie“.

root @ dnslinux: ~ # aptitude nainštalujte server isc-dhcp

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # Na akých rozhraniach by mal server DHCP (dhcpd) slúžiť požiadavkám DHCP? # Oddeľte viac rozhraní medzerami, napr. „Eth0 eth1“. ROZHRANIA = "eth0" root @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
Kľúč Kdhcp. +157 + 29836

root @ dnslinux: ~ # cat Kdhcp-key. +157 + 29836.private
Formát súkromného kľúča: v1.3 Algoritmus: 157 (HMAC_MD5) Kľúč: 3HT / bg / 6YwezUShKYofj5g == Bity: AAA = Vytvorené: 20170212205030 Zverejniť: 20170212205030 Aktivovať: 20170212205030

root @ dnslinux: ~ # nano dhcp.key
key dhcp-key {algoritmus hmac-md5; tajomstvo "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/named.conf.local
// // Tu môžete urobiť ľubovoľnú lokálnu konfiguráciu // // // Zvážte, či sem môžete pridať zóny 1918, ak sa nepoužívajú vo vašej // organizácii, vrátane „/etc/bind/zones.rfc1918“; zahrnúť "/etc/bind/zones.rfcFreeBSD";
// Nezabudni ... zabudol som a zaplatil s chybami. ;-)
zahrnúť "/etc/bind/dhcp.key";


zóna "mordor.fan" {typ majster;
        allow-update {10.10.10.3; kľúč dhcp-kľúč; };
        súbor "/var/lib/bind/db.mordor.fan"; }; zóna "10.10.10.in-addr.arpa" {typ majster;
        allow-update {10.10.10.3; kľúč dhcp-kľúč; };
        súbor "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; zóna "_msdcs.mordor.fan" {typ majster; kontrolné mená ignorovať; súbor "/etc/bind/db._msdcs.mordor.fan"; };

root @ dnslinux: ~ # named-checkconf 
root @ dnslinux: ~ #

root @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
dočasný štýl ddns-update; aktualizácie ddns; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; ignorovať aktualizácie klientov; smerodajný; možnosť presmerovania ip vypnutá; možnosť názov domény "mordor.fan"; zahrnúť "/etc/dhcp/dhcp.key"; zóna mordor.fan. {primárne 127.0.0.1; kľúč dhcp-kľúč; } zóna 10.10.10.in-addr.arpa. {primárne 127.0.0.1; kľúč dhcp-kľúč; } redlocal zdieľanej siete {subnet 10.10.10.0 netmask 255.255.255.0 {option routery 10.10.10.1; voliteľná maska ​​podsiete 255.255.255.0; možnosť broadcast-address 10.10.10.255; možnosť domain-name-servery 10.10.10.5; možnosť netbios-name-servery 10.10.10.5; rozsah 10.10.10.30 10.10.10.250; }} # END dhcpd.conf

root @ dnslinux: ~ # dhcpd -t
Konsorcium internetových systémov DHCP 4.3.1 Autorské práva 2004-2014 Konsorcium internetových systémov. Všetky práva vyhradené. Informácie nájdete na https://www.isc.org/software/dhcp/ Súbor konfigurácie: /etc/dhcp/dhcpd.conf Databázový súbor: /var/lib/dhcp/dhcpd.leases Súbor PID: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl restart bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 

root @ dnslinux: ~ # systemctl štart isc-dhcp-server.service
root @ dnslinux: ~ # systemctl status isc-dhcp-server.service

S čím súvisí Kontroly s klientmia Ručná úprava súborov zóny, nechávame na vás, priateľu čitateľa, aby si si ho prečítal priamo z DNS a DHCP v Debiane 8 „Jessie“a použijete ho na svoje skutočné podmienky. Vykonali sme všetky potrebné kontroly a dosiahli uspokojivé výsledky. Kópiu všetkých samozrejme posielame na adresu Fuegian. Viac už nebude!

tipy

Všeobecný

• Skôr ako začnete, buďte trpezliví.
  
• Najskôr nainštalujte a nakonfigurujte BIND. Skontrolujte všetko a pozrite si všetky záznamy, ktoré ste deklarovali v každom súbore troch alebo viacerých zón, a to zo služby Active Directory aj zo samotného servera DNS v systéme Linux. Ak je to možné, zo stroja so systémom Linux, ktorý nie je pripojený k doméne, urobte potrebné dotazy DNS na BIND.
  
• Pripojte sa k klientovi Windows s pevnou adresou IP k existujúcej doméne a znova skontrolujte všetky nastavenia BIND z klienta Windows.
• Keď si budete nepochybne istí, že konfigurácia vášho úplne nového BINDu je úplne správna, odvážte sa nainštalovať, nakonfigurovať a spustiť službu DHCP.
• V prípade chýb celý postup opakujte od nuly 0.
• Pri kopírovaní a vkladaní buďte opatrní! a zvyšné medzery v každom riadku súborov named.conf.xxxx
  
• Potom sa nesťažoval - tým skôr môjmu priateľovi Fuegianovi -, že mu nebolo správne odporúčané.

Ďalšie tipy

• Rozdeľte a dobývajte.
• V sieti SME je bezpečnejšie a výhodnejšie inštalovať autoritatívnu väzbu BIND pre interné zóny LAN, ktorá sa neopakuje na žiadnom koreňovom serveri: rekurzia č;.
• V sieti SME umiestnenej pod poskytovateľom prístupu na internet - ISP, snáď služby Zástupca y SMTP musia vyriešiť názvy domén na internete. On kalmar máte možnosť vyhlásiť, že váš DNS je externý alebo nie, zatiaľ čo na poštovom serveri založenom na Postfix o MDaemon® Môžeme tiež deklarovať servery DNS, ktoré v tejto službe použijeme. V prípadoch ako je tento, to znamená prípady, ktoré neposkytujú služby na internete a ktoré spadajú pod a Poskytovateľ internetových služieb, môžete nainštalovať BIND pomocou transportéry ukazuje na DNS servera ISP, a deklarovať ho ako sekundárny DNS na serveroch, ktoré potrebujú vyriešiť externé dotazy do siete LAN, inak je možné ich deklarovať prostredníctvom vlastných konfiguračných súborov.
• Ak máte delegovanú zónu v rámci celej svojej zodpovednostiPotom ďalšia vrana kohúta:
  • Nainštalujte server DNS na základe NSD, ktorý je podľa definície autoritatívnym serverom DNS a reaguje na dotazy z počítačov na internete. Pre nejaké informácie schopnosť ukázať nsd. 😉 Chráňte ho prosím veľmi dobre čo najväčším počtom protipožiarnych stien. Hardvér aj softvér. Bude to DNS pre internet a že «car»Nesmieme to dávať s nízkymi nohavicami. 😉
  • Pretože som sa nikdy nevidel v takomto prípade, to znamená, že som úplne zodpovedný za delegovanú zónu, musel by som veľmi dobre premyslieť, čo odporučiť na rozlíšenie doménových mien mimo našu LAN pre služby, ktoré to potrebujú . Klienti siete SME to skutočne nepotrebujú. Poraďte sa s odbornou literatúrou alebo s odborníkom na tieto predmety, pretože ani zďaleka nie som jedným z nich. Vážne.
  • Na autoritatívnych serveroch rekurzia neexistuje. Dobre? V prípade, že to niekto náhodou urobí s VIAZANÍM.
• Aj keď to v súbore výslovne špecifikujeme /etc/dhcp/dhcpd.conf vyhlásenie ignorovať aktualizácie klientov;, ak bežíme na počítačovej konzole dnslinux.mordor.fan poradie journalctl -f, uvidíme to pri štarte klienta win7.mordor.fan dostávame nasledujúce chybové správy:

  • 12. februára 16:55:41 dnslinux s názvom [900]: klient 10.10.10.30 # 58762: aktualizácia 'mordor.fan/IN' odmietnutá
    12. februára 16:55:42 dnslinux s názvom [900]: klient 10.10.10.30 # 49763: aktualizácia 'mordor.fan/IN' odmietnutá
    12. februára 16:56:23 dnslinux s názvom [900]: klient 10.10.10.30 # 63161: aktualizácia 'mordor.fan/IN' odmietnutá
    

  • Aby sme tieto správy vylúčili, musíme prejsť na rozšírené možnosti konfigurácie sieťovej karty a zrušiť začiarknutie možnosti «Zaregistrujte adresy tohto pripojenia v DNS«. To zabráni tomu, aby sa klient pokúsil o vlastnú registráciu v systéme Linux DNS navždy a po ukončení problému. Je nám ľúto, ale nemám kópiu systému Windows 7 v španielčine. 😉
• Ak sa chcete dozvedieť o všetkých závažných a šialených dotazoch, ktoré klient Windows 7 kladie, navštívte stránku prihlasovacie dotazy že za niečo to deklarujeme v konfigurácii BIND. Objednávka by bola:

  • root @ dnslinux: ~ # tail -f /var/log/named/queries.log

• Ak svojim klientskym počítačom neumožňujete priame pripojenie na internet, načo sú vám koreňové servery DNS? To výrazne zníži výkon príkazu journalctl -f a z predchádzajúceho, ak sa váš autoritárny server DNS pre interné zóny nepripojí priamo k internetu, čo sa z bezpečnostného hľadiska veľmi odporúča.

  root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
  root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root

• Ak nepotrebujete deklaráciu koreňových serverov, tak prečo potrebujete Rekurziu - Rekurzia?

  root @ dnslinux: ~ # nano /etc/bind/named.conf.options
  možnosti {
   ....
   rekurzia č;
   ....
  };

Konkrétne rady, z ktorých stále nemám veľmi jasno

El muž dhcpd.conf nám okrem mnohých okrem iného hovorí:

        Vyhlásenie o optimalizácii aktualizácie

            príznak optimalizácie aktualizácie;

            Ak je parameter optimalizácie aktualizácie pre daného klienta nepravdivý, server sa pokúsi o aktualizáciu DNS pre tohto klienta zakaždým, keď klient obnoví svoj prenájom, a nie iba o aktualizáciu, keď sa to javí ako nevyhnutné. To umožní DNS ľahšie sa vyliečiť z nekonzistencií v databáze, ale cena je taká, že server DHCP musí vykonať oveľa viac aktualizácií DNS. Odporúčame prečítať túto možnosť povolenú, čo je predvolené. Táto voľba ovplyvňuje iba chovanie dočasnej schémy aktualizácie DNS a nemá žiadny vplyv na schému aktualizácie ad-hoc DNS. Ak tento parameter nie je zadaný alebo je pravdivý, server DHCP sa aktualizuje, až keď sa zmenia informácie o klientovi, dostane iný prenájom alebo vyprší jeho platnosť.

Viac alebo menej presný preklad alebo tlmočenie zostane na vás, vážený čitateľ.

Osobne sa mi stalo - a stalo sa aj pri tvorbe tohto článku -, že keď prepojím BIND na Active Directory®, je to z Microsft® alebo Samba 4, ak zmením názov klientskeho počítača registrovaného v doména Active Directory® alebo AD–DC verzie Samba 4 si ponecháva svoje staré meno a IP adresu v priamej zóne, a nie naopak, ktorá je správne aktualizovaná novým menom. Inými slovami, staré a nové mená sú namapované na rovnakú adresu IP v priamej zóne, zatiaľ čo naopak sa zobrazuje iba nový názov. Aby ste ma dobre pochopili, musíte to vyskúšať sami.

Myslím si, že je to akási pomsta Fuegian - nie, prosím, - za pokus o migráciu vašich služieb na systém Linux.

Starý názov samozrejme zmizne, keď bude 3600 TTLalebo čas, ktorý sme deklarovali v konfigurácii DHCP. Chceme však, aby to okamžite zmizlo, ako sa to stane v BIND + DHCP bez služby Active Directory cez.

Riešenie tejto situácie som našiel vložením vyhlásenia aktualizácia-optimalizácia falošná; na konci hornej časti súboru /etc/dhcp/dhcpd.conf:

dočasný štýl ddns-update; aktualizácie ddns; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; ignorovať aktualizácie klientov;
aktualizácia-optimalizácia falošná;

Ak o tom niektorý čitateľ vie viac, poučte ma. Veľmi si to vážim.

Zhrnutie

Na tejto téme sme si užili veľa zábavy, však? Žiadne utrpenie, pretože máme BIND pracujúci ako server DNS v sieti Microsoft®, ktorý ponúka všetky záznamy SRV a odpovedá na príslušné dotazy DNS. Na druhej strane máme server DHCP, ktorý prideľuje adresy IP a dynamicky správne aktualizuje ZÁZNAMOVÉ Zóny.

Ale nemôžeme sa opýtať ... pre túto chvíľu.

Dúfam, že môj priateľ Fuegian buďte šťastní a spokojní s prvým krokom pri migrácii na systém Linux, aby boli neúnosné náklady na technickú podporu Microsft® neúnosné.

Dôležitá poznámka

Postava “Fuegian»Je úplne fiktívne a je výsledkom mojej fantázie. Akákoľvek podobnosť alebo zhoda so skutočnými ľuďmi je rovnaká vec: z mojej strany čistá nedobrovoľná zhoda okolností. Vytvoril som ho iba preto, aby bolo písanie a čítanie tohto článku trochu príjemné. Teraz, ak mi môžete povedať, že problém s DNS je temný,