BIND in Active Directory® - Mreža za MSP

Splošno kazalo serije: Računalniška omrežja za MSP: Uvod

Pozdravljeni prijatelji!. Glavni cilj tega članka je pokazati, kako lahko integriramo storitev DNS, ki temelji na BIND9, v Microsoftovo omrežje, kar je zelo pogosto v mnogih MSP.

Izhaja iz uradne zahteve prijatelja, ki živi na La Tierra del Fuego -Fuegian- specializirano za omrežja Microsoft® - vključeni so tudi certifikati -, ki vas bodo vodili v tem delu selitve vaših strežnikov na Linux. Stroški podpora Tehnik, ki plačuje Microsoft®, je že Neznosen za družbo, v kateri dela in katere glavni delničar je.

Moj prijatelj Fuegian ima odličen smisel za humor in ker je videl serijo treh filmov «Gospodar prstanov»Očaralo ga je veliko imen njegovih temnih likov. Torej, prijatelj bralec, ne bodite presenečeni nad imeni vaše domene in strežnikov.

Za novince v temi in pred nadaljevanjem branja priporočamo, da preberete in preučite tri prejšnje članke o omrežjih MSP:

• DNS in DHCP v openSUSE 13.2 "Harlekin"
• DNS in DHCP na CentOS 7
• DNS in DHCP v Debianu 8 "Jessie"

Kot da bi gledali tri od štirih delovPodzemlje»Objavljeno do danes in da je to že četrto.

Splošni parametri

Po več izmenjavah prek email, končno sem bil jasen glede glavnih parametrov vašega trenutnega omrežja, ki so:

Domain name mordor.fan LAN Network 10.10.10.0/24 ====================================== == ========================================== Namen IP naslova strežnikov (strežniki z OS Windows) ================================================== === ============================ sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Datotečni strežnik Windows darklord.mordor.fan. 10.10.10.6 Proxy, prehod in požarni zid na Kerios troll.mordor.fan. 10.10.10.7 Blog, zasnovan na ... ne morem se spomniti shadowftp.mordor.fan. 10.10.10.8 FTP strežnik blackelf.mordor.fan. 10.10.10.9 Popolna e-poštna storitev blackspider.mordor.fan. 10.10.10.10 WWW storitev palantir.mordor.fan. 10.10.10.11 Klepet v Openfire za Windows

Prosil sem za dovoljenje Fuegian da mi določi toliko vzdevkov, da si zbistrim misli in mi dovoli:

Resnična CNAME ============================== sauron ad-dc mamba datotečni strežnik darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

V svoji namestitvi sistema Active Directory Windows 2008 sem razglasil vse pomembne zapise DNS, ki sem jih moral prisiliti, da so me vodili pri izdelavi te objave.

O zapisih DNS SRV Active Directory

Registri SRV o Lokatorji storitev, ki se pogosto uporabljajo v Microsoft Active Directory, so opredeljeni v Zahteva za komentar RFC 2782. Omogočajo lokacijo storitve na podlagi protokola TCP / IP prek poizvedbe DNS. Na primer, stranka v Microsoftovem omrežju lahko poišče lokacijo krmilnikov domen - Nadzorniki domen ki zagotavljajo storitev LDAP prek protokola TCP na vratih 389 z eno samo poizvedbo DNS.

Normalno je, da v gozdovih - gozdoviin drevesa - Drevesa velikega Microsoftovega omrežja obstaja več krmilnikov domen. Z uporabo zapisov SRV v različnih conah, ki tvorijo prostor domenskih imen tega omrežja, lahko vzdržujemo seznam strežnikov, ki ponujajo podobne znane storitve, razvrščene po želji glede na transportni protokol in vrata vsakega enega od strežnikov.

V Zahteva za komentar RFC 1700 Določena so univerzalna simbolična imena za dobro znane storitve - Dobro znana služba, in imena, kot so «_telnet«,«_smtp»Za storitve telnet y SMTP. Če za dobro znano storitev simbolično ime ni določeno, lahko uporabimo lokalno ime ali drugo ime glede na nastavitve uporabnika.

Namen vsakega polja «Posebno»V izjavi o zapisu virov SRV se uporablja naslednje:

• Domena: "Pdc._msdcs.mordor.fan.«. DNS ime storitve, na katero se nanaša zapis SRV. Ime DNS v primeru pomeni -več ali manj- Krmilnik primarne domene območja _msdcs.mordor.fan.
• Service: "_Ldap". Simbolično ime storitve, ki se zagotavlja, je opredeljeno v skladu s Zahteva za komentar RFC 1700.
• Protokol: "_Tcp". Označuje vrsto transportnega protokola. Običajno lahko sprejme vrednosti _tcp o _udp, čeprav - in dejansko - katero koli vrsto protokola, navedenega v Zahteva za komentar RFC 1700. Na primer za storitev klepet na protokolu XMPP, to polje bi imelo vrednost _xmpp.
• Prednost"0«. Navedite prednost ali prednost za Gostitelj, ki ponuja to storitev da bomo videli kasneje. Poizvedbe DNS odjemalcev o storitvi, opredeljeni s tem zapisom SRV, bodo po prejemu ustreznega odgovora poskušale vzpostaviti stik s prvim razpoložljivim gostiteljem z najmanjšo številko, navedeno v polju. Prednost. Območje vrednosti, ki ga lahko sprejme to polje, je 0 65535.
• Teža"100«. Lahko se uporablja v kombinaciji z Prednost za zagotavljanje mehanizma za uravnoteženje obremenitve, če obstaja več strežnikov, ki zagotavljajo isto storitev. Za vsak strežnik v datoteki Cona bi moral biti podoben zapis SRV z imenom, navedenim v polju Gostitelj, ki ponuja to storitev. Pred strežniki z enakimi vrednostmi na terenu Prednost, vrednost polja Teža lahko se uporablja kot dodatna raven prednosti za natančno izbiro strežnika za uravnoteženje obremenitve. Območje vrednosti, ki ga lahko sprejme to polje, je 0 65535. Če izravnava obremenitve ni potrebna, na primer tako kot v primeru enega strežnika, je priporočljivo dodeliti vrednost 0 za lažje branje zapisa SRV.
• Številka vrat - vrata"389«. Številka vrat v Gostitelj, ki ponuja to storitev ki zagotavlja storitev, navedeno v polju Service. Priporočena številka vrat za vsako vrsto dobro znane storitve je navedena na Zahteva za komentar RFC 1700, čeprav lahko traja med 0 in 65535.
• Gostitelj, ki ponuja to storitev - Target"sauron.mordor.fan.«. Določa FQDN ki nedvoumno identificira gostitelj ki zagotavlja storitev, ki jo označuje zapis SRV. Vrsta zapisa «A»V imenskem prostoru domene za vsakega FQDN s strežnika oz gostitelj ki zagotavlja storitev. Preprosteje, zapis vrste A v neposrednem (-ih) območju (-ih).
  • Opomba:
    Če želite verodostojno navesti, da storitev, ki jo določa zapis SRV, na tem gostitelju ni zagotovljena.) točka.

Želimo samo ponoviti, da pravilno delovanje omrežja ali Active Directory® v veliki meri temelji na pravilnem delovanju storitve domenskih imen..

DNS zapisi Active Directory

Za izdelavo con novega strežnika DNS na podlagi BIND moramo pridobiti vse zapise DNS od Active Directory®. Za lažje življenje gremo v ekipo sauron.mordor.fan -Active Directory® 2008 SR2- in v skrbniški konzoli DNS aktiviramo Zone Transfer - direct in reverse - za glavna območja, prijavljena pri tej vrsti storitve, to so:

• _msdcs.mordor.fan
• mordor.fan
• 10.10.10.in-addr.harf

Ko je bil izveden prejšnji korak in po možnosti iz računalnika Linux, katerega naslov IP je v območju podomrežja, ki ga uporablja omrežje Windows, izvedemo:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> temp /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa

• Iz prejšnjih člankov se spomnite, da je naslov IP naprave sistemski skrbnik.desdelinux.fan je 10.10.10.1 ali 192.168.10.1.

V treh prejšnjih ukazih lahko možnost izključimo 10.10.10.3 -vprašajte strežnik DNS s tem naslovom- če se prijavimo v datoteki / Etc / resolv.conf na IP strežnika sauron.mordor.fan:

buzz@sysadmin:~$ cat /etc/resolv.conf 
# Generated by NetworkManager
search desdelinux.fan
nameserver 192.168.10.5
nameserver 10.10.10.3

Po izjemno previdnem urejanju, kot ustreza kateri koli datoteki območja v BIND-u, bomo dobili naslednje podatke:

RRs zapisi iz prvotne cone _msdcs.mordor.fan

buzz @ sysadmin: ~ $ mačka temp / rrs._msdcs.mordor.fan 
; V zvezi s SOA in NS _msdcs.mordor.fan. 3600 V SOA sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 3600 _msdcs.mordor.fan. 3600 V NS sauron.mordor.fan. ; ; SVETOVNI KATALOG gc._msdcs.mordor.fan. 600 V 10.10.10.3; ; Vzdevki - v spremenjeni in zasebni zbirki podatkov LDAP Active Directory- SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 V CNAME sauron.mordor.fan. ; ; Spremenjen in zaseben LDAP Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 V SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 V SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. ; ; Spremenjen in zaseben KERBEROS Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 V SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 V SRV 0 100 88 sauron.mordor.fan.

RRs zapisi iz prvotne cone mordor.fan

buzz @ sysadmin: ~ $ mačka temp / rrs.mordor.fan 
; V zvezi s SOA, NS, MX in zapisom A, ki ga preslika; domensko ime na IP SAURON-a; Stvari iz Active Directory mordor.fan. 3600 V SOA sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 86400 3600 mordor.fan. 600 V 10.10.10.3 mordor.fan. 3600 V NS sauron.mordor.fan. mordor.fan. 3600 IN MX 10 črna črna.mordor.fan. _msdcs.mordor.fan. 3600 V NS sauron.mordor.fan. ; ; Pomembno tudi A zapis DomainDnsZones.mordor.fan. 600 V 10.10.10.3 ForestDnsZones.mordor.fan. 600 V 10.10.10.3; ; SVETOVNI KATALOG _gc._tcp.mordor.fan. 600 V SRV 0 100 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 V SRV 0 100 3268 sauron.mordor.fan. ; ; Spremenjen in zaseben LDAP Active Directory _ldap._tcp.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. ; ; Spremenjen in zaseben KERBEROS iz storitve Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 V SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 V SRV 0 100 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 V SRV 0 100 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 V SRV 0 100 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 V SRV 0 100 464 sauron.mordor.fan. ; ; Zapisi s fiksnimi IP-ji -> Blackelf.mordor.fan strežniki. 3600 V 10.10.10.9 blackspider.mordor.fan. 3600 V 10.10.10.10 darklord.mordor.fan. 3600 V 10.10.10.6 mamba.mordor.fan. 3600 V 10.10.10.4 palantir.mordor.fan. 3600 V 10.10.10.11 sauron.mordor.fan. 3600 V 10.10.10.3 shadowftp.mordor.fan. 3600 V 10.10.10.8 troll.mordor.fan. 3600 V 10.10.10.7; ; CNAME beleži ad-dc.mordor.fan. 3600 V CNAME sauron.mordor.fan. blog.mordor.fan. 3600 V CNAME troll.mordor.fan. fileserver.mordor.fan. 3600 V CNAME mamba.mordor.fan. ftpserver.mordor.fan. 3600 V CNAME shadowftp.mordor.fan. mail.mordor.fan. 3600 IN CNAME balckelf.mordor.fan. openfire.mordor.fan. 3600 V CNAME palantir.mordor.fan. proxy.mordor.fan. 3600 V CNAME darklord.mordor.fan. www.mordor.fan. 3600 IN CNAME blackspider.mordor.fan.

RRs zapisi iz prvotne cone 10.10.10.in-addr.arpa

buzz @ sysadmin: ~ $ mačka temp / rrs.10.10.10.in-addr.arpa 
; Glede SOA in NS 10.10.10.in-addr.arpa. 3600 V SOA sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400 3600 10.10.10.in-addr.arpa. 3600 V NS sauron.mordor.fan. ; ; Zapisi PTR 10.10.10.10.in-addr.arpa. 3600 V PTR blackspider.mordor.fan. 11.10.10.10.in-addr.arpa. 3600 V PTR palantir.mordor.fan. 3.10.10.10.in-addr.arpa. 3600 V PTR sauron.mordor.fan. 4.10.10.10.in-addr.arpa. 3600 V PTR mamba.mordor.fan. 5.10.10.10.in-addr.arpa. 3600 V PTR dnslinux.mordor.fan. 6.10.10.10.in-addr.arpa. 3600 V PTR darklord.mordor.fan. 7.10.10.10.in-addr.arpa. 3600 V PTR troll.mordor.fan. 8.10.10.10.in-addr.arpa. 3600 V PTR shadowftp.mordor.fan. 9.10.10.10.in-addr.arpa. 3600 V PTR črnolf.mordor.fan.

Do te točke lahko mislimo, da imamo potrebne podatke za nadaljevanje naše avanture, ne da bi prej opazovali TTL in druge podatke, ki nam na zelo jedrnat način zagotavljajo izhod in neposredno opazovanje DNS-ja 2008-bitnega Microsft® Active Directory® 2 SR64.

Slike upravitelja DNS v SAURONU

Ekipa Dnslinux.mordor.fan.

Če pogledamo natančno, na naslov IP 10.10.10.5 ni mu bilo dodeljeno nobeno ime, da bi ga zasedlo ime novega DNS dnslinux.mordor.fan. Za namestitev para DNS in DHCP nas lahko vodijo članki DNS in DHCP v Debianu 8 "Jessie" y DNS in DHCP na CentOS 7.

Osnovni operacijski sistem

Moj prijatelj FuegianPoleg tega, da je pravi strokovnjak za Microsoft® Windows - ima nekaj certifikatov, ki jih je izdalo to podjetje - je prebral in v praksi uporabil nekaj člankov o namizjih, objavljenih v DesdeLinux., in mi rekel, da si izrecno želi rešitev, ki temelji na Debianu. 😉

Da vas prosimo, bomo začeli s svežo, čisto namestitvijo strežnika, ki temelji na Debian 8 "Jessie". Kar pa bomo zapisali naprej, velja za distribucije CentOS in openSUSE, katerih članke smo že omenili. BIND in DHCP sta enaka za katero koli distribucijo. Vzdrževalci paketov pri vsaki distribuciji uvedejo majhne razlike.

Namestitev bomo izvedli, kot je navedeno v DNS in DHCP v Debianu 8 "Jessie", ki skrbi za uporabo IP 10.10.10.5 in omrežje 10.10.10.0/24., še preden konfigurirate BIND.

BIND nastavimo v slogu Debian

/etc/bind/named.conf

Datoteka /etc/bind/named.conf pustimo, kot je nameščen.

/etc/bind/named.conf.options

Datoteka /etc/bind/named.conf.options mora imeti naslednjo vsebino:

root @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dnslinux: ~ # nano /etc/bind/named.conf.options
možnosti {imenik "/ var / cache / bind"; // Če obstaja požarni zid med vami in strežniki imen, s katerimi želite // govoriti, boste morda morali popraviti požarni zid, da bo omogočil več // vrat. Glejte http://www.kb.cert.org/vuls/id/800113 // Če je vaš ponudnik internetnih storitev navedel enega ali več naslovov IP za stabilne // strežnike imen, jih verjetno želite uporabiti kot posrednike. // Odpokličite naslednji blok in vstavite naslove, ki nadomeščajo // nadomestno mesto all-0. // špediterji {// 0.0.0.0; //}; // ================================================== = ==================== $ // Če BIND zabeleži sporočila o napakah o poteku korenskega ključa, // boste morali posodobiti svoje ključe. Glej https://www.isc.org/bind-keys // ================================== = ================================== $

    // Ne želimo DNSSEC
        dnssec-omogoči št;
        //dnssec-validation auto;

        auth-nxdomain no; # v skladu z RFC1035

 // Ni nam treba poslušati naslovov IPv6
        // poslušaj-v6 {kateri koli; };
    Listen-on-v6 {nič; };

 // Za preverjanja od localhost in sysadmin
    // skozi // dig mordor.fan axfr // dig 10.10.10.in-addr.arpa axfr // dig _msdcs.mordor.fan axfr // Nimamo podrejenega DNS-a ... do zdaj
 dovoli prenos {localhost; 10.10.10.1; };
};

// Dnevnik BIND
prijava {

        poizvedbe po kanalih {
        datoteka "/var/log/named/queries.log" različice 3 velikosti 1m;
        informacije o resnosti;
        čas tiska da;
        resnost tiska da;
        kategorija tiska da;
        };

        napaka pri poizvedbi kanala {
        datoteka "/var/log/named/query-error.log" različice 3 velikosti 1m;
        informacije o resnosti;
        čas tiska da;
        resnost tiska da;
        kategorija tiska da;
        };

                                
poizvedbe po kategorijah {
         poizvedbe;
         };

poizvedbene napake kategorije {
         napaka pri poizvedbi;
         };

};

• Uvedemo zajem dnevnikov BIND kot a NOVO nastop v seriji člankov na to temo. Ustvarjamo lmapo in datoteke, potrebne za Beleženje VEZA:

root @ dnslinux: ~ # mkdir / var / log / named
root @ dnslinux: ~ # dotik /var/log/named/queries.log
root @ dnslinux: ~ # dotik /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / named

Preverimo skladnjo konfiguriranih datotek

root @ dnslinux: ~ # named-checkconf 
root @ dnslinux: ~ #

/etc/bind/named.conf.local

Datoteko ustvarimo /etc/bind/zones.rfcFreeBSD z enako vsebino, kot je navedena v DNS in DHCP v Debianu 8 "Jessie".

root @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

Datoteka /etc/bind/named.conf.local mora imeti naslednjo vsebino:

// // Naredite kakršno koli lokalno konfiguracijo // // Razmislite o dodajanju 1918 con tukaj, če se ne uporabljajo v vaši // organizaciji
vključujejo "/etc/bind/zones.rfc1918"; vključujejo "/etc/bind/zones.rfcFreeBSD";

cona "mordor.fan" {glavni mojster; datoteka "/var/lib/bind/db.mordor.fan"; }; cona "10.10.10.in-addr.arpa" {glavni mojster; datoteka "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

cona "_msdcs.mordor.fan" {glavni mojster;
 check-names ignore; datoteka "/etc/bind/db._msdcs.mordor.fan"; }; root @ dnslinux: ~ # named-checkconf
root @ dnslinux: ~ #

Zone File mordor.fan

root @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; serijski 1D; osveži 1H; poskusi 1W; poteče 3H); najmanj ali; Negativni čas predpomnjenja za življenje;
; BODITE ZELO PREVIDNI PRI NASLEDNJIH SNIMKIH
@ IN NS dnslinux.mordor.fan.
@ V 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT "Dobrodošli v temnem lancu Mordorja";
_msdcs.mordor.fan. V NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. V 10.10.10.5
; ZAKLJUČNO ZAKLJUČITE S NASLEDNJIMI ZAPISI;
DomainDnsZones.mordor.fan. V 10.10.10.3 ForestDnsZones.mordor.fan. V 10.10.10.3; ; SVETOVNI KATALOG _gc._tcp.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ; ; Spremenjen in zaseben LDAP Active Directory _ldap._tcp.mordor.fan. 600 V SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 V SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 V SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 V SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 V SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 V SRV 0 0 389 sauron.mordor.fan. ; ; Spremenjen in zaseben KERBEROS iz storitve Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 V SRV 0 0 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 V SRV 0 0 464 sauron.mordor.fan. ; ; Zapisi s fiksnimi IP-ji -> Blackelf.mordor.fan strežniki. V 10.10.10.9 blackspider.mordor.fan. V 10.10.10.10 darklord.mordor.fan. V 10.10.10.6 mamba.mordor.fan. V 10.10.10.4 palantir.mordor.fan. V 10.10.10.11
sauron.mordor.fan. V 10.10.10.3
shadowftp.mordor.fan. V 10.10.10.8 troll.mordor.fan. V 10.10.10.7; ; CNAME beleži ad-dc.mordor.fan. V CNAME sauron.mordor.fan. blog.mordor.fan. IN CNAME troll.mordor.fan. fileserver.mordor.fan. V CNAME mamba.mordor.fan. ftpserver.mordor.fan. V CNAME shadowftp.mordor.fan. mail.mordor.fan. IN CNAME balckelf.mordor.fan. openfire.mordor.fan. IN CNAME palantir.mordor.fan. proxy.mordor.fan. IN CNAME darklord.mordor.fan. www.mordor.fan. IN CNAME blackspider.mordor.fan.

root @ dnslinux: ~ # named-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
zone mordor.fan/IN: naložen serijski 1 OK

Časi 600 TTL vseh registrov SRV jih bomo obdržali, če bomo v kratkem namestili Slave BIND. Ti zapisi predstavljajo storitve Active Directory®, ki večinoma berejo podatke iz vaše baze podatkov LDAP. Ker se ta baza podatkov pogosto spreminja, morajo biti časi sinhronizacije kratki v shemi DNS Master - Slave. V skladu z Microsoftovo filozofijo iz Active Directory 2000 do 2008 se za te vrste zapisov SRV ohranja vrednost 600.

P TTL strežnikov s fiksnim IP-jem, so v deklariranem času v SOA 3 ure.

Zonska datoteka 10.10.10.in-addr.arpa

root @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; serijski 1D; osveži 1H; poskusi 1W; poteče 3H); najmanj ali; Negativni čas predpomnjenja za življenje; @ IN NS dnslinux.mordor.fan. ; 10 V PTR blackspider.mordor.fan. 11 V PTR palantir.mordor.fan. 3 V PTR sauron.mordor.fan. 4 V PTR mamba.mordor.fan. 5 V PTR dnslinux.mordor.fan. 6 V PTR darklord.mordor.fan. 7 V PTR troll.mordor.fan. 8 V PTR shadowftp.mordor.fan. 9 V PTR blackelf.mordor.fan.

root @ dnslinux: ~ # named-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
cona 10.10.10.in-addr.arpa/IN: naložen serijski 1 OK

Zone File _msdcs.mordor.fan

Upoštevajmo, kaj je v datoteki priporočeno /usr/share/doc/bind9/README.Debian.gz O lokaciji datotek glavnih con, ki jih DHCP ni dinamično posodabljal.

root @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; serijski 1D; osveži 1H; poskusi 1W; poteče 3H); najmanj ali; Negativni čas predpomnjenja za življenje; @ IN NS dnslinux.mordor.fan. ; ; ; SVETOVNI KATALOG gc._msdcs.mordor.fan. 600 V 10.10.10.3; ; Vzdevki - v spremenjeni in zasebni zbirki podatkov LDAP Active Directory- SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 V CNAME sauron.mordor.fan. ; ; Spremenjen in zaseben LDAP Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 V SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 V SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 V SRV 0 100 389 sauron.mordor.fan. ; ; Spremenjen in zaseben KERBEROS Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 V SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 V SRV 0 100 88 sauron.mordor.fan.

Sintakso preverimo in lahko prezremo napako, ki jo vrne, saj je v konfiguraciji te cone v datoteki /etc/bind/named.conf.local vključimo izjavo imena čekov ne upoštevajo;. BIND bo območje pravilno naložil.

root @ dnslinux: ~ # named-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: slabo ime lastnika (ček-imena) cona _msdcs.mordor.fan/IN: naložen serijski 1 V redu

root @ dnslinux: ~ # systemctl znova zaženite bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 
● bind9.service - Naložen strežnik domenskih imen BIND: naložen (/lib/systemd/system/bind9.service; omogočeno) Spust: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf aktiven: aktiven (teče) od ne 2017-02-12 08:48:38 EST; 2s nazaj Dokumenti: človek: poimenovan (8) Proces: 859 ExecStop = / usr / sbin / rndc stop (koda = izhod, status = 0 / USPEH) Glavni PID: 864 (imenovan) CGroup: /system.slice/bind9.service └─864 / usr / sbin / named -f -u bind 12. februar 08:48:38 dnslinux z imenom [864]: cona 3.efip6.arpa/IN: naložen serijski 1. februar 12 08:48:38 dnslinux z imenom [864 ]: cona befip6.arpa/IN: naložen serijski 1. februar 12 08:48:38 dnslinux z imenom [864]: cona 0.efip6.arpa/IN: naložen serijski 1. februar 12 08:48:38 dnslinux z imenom [864]: cona 7.efip6.arpa/IN: naložen serijski 1. februar 12 08:48:38 dnslinux z imenom [864]: zone mordor.fan/IN: naložen serijski 1. februar 12 08:48:38 dnslinux z imenom [864]: primer cone .org / IN: naložen serijski 1. februar 12 08:48:38 dnslinux z imenom [864]: zone _msdcs.mordor.fan/IN: naložen serijski 1. februar 12 08:48:38 dnslinux z imenom [864]: cona neveljavna / IN : naložen serijski 1. februar 12 08:48:38 dnslinux z imenom [864]: vsa območja naložena
12. februar 08:48:38 dnslinux z imenom [864]: tek

Posvetujemo se z BIND

Preden Po namestitvi DHCP moramo opraviti vrsto pregledov, ki vključujejo celo pridružitev odjemalca Windows 7 domeni mordor.fan predstavlja Active Directory, nameščen v računalniku sauron.mordor.fan.

Najprej je treba v računalniku ustaviti storitev DNS sauron.mordor.fanin v svojem omrežnem vmesniku izjavite, da bo odslej vaš DNS strežnik 10.10.10.5 dnslinux.mordor.fan.

V konzoli samega strežnika sauron.mordor.fan izvedemo:

Microsoft Windows [Version 6.1.7600]
Avtorske pravice (c) 2009 Microsoft Corporation. Vse pravice pridržane.

C: \ Users \ Administrator> nslookup
Privzeti strežnik: dnslinux.mordor.fan Naslov: 10.10.10.5

> gc._msdcs
Strežnik: dnslinux.mordor.fan Naslov: 10.10.10.5 Ime: gc._msdcs.mordor.fan Naslov: 10.10.10.3

> mordor.fan
Strežnik: dnslinux.mordor.fan Naslov: 10.10.10.5 Ime: mordor.fan Naslov: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Strežnik: dnslinux.mordor.fan Naslov: 10.10.10.5 Ime: sauron.mordor.fan Naslov: 10.10.10.3 Vzdevki: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> vrsta nastavitve = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Strežnik: dnslinux.mordor.fan Naslov: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRV ledena lokacija: prioritet = 0 teža = 100 vrat = 88 svr ime gostitelja = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan internetni naslov sauron.mordor.fan = 10.10.10.3 internetni naslov dnslinux.mordor.fan = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Strežnik: dnslinux.mordor.fan Naslov: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV lokacija storitve: prioritet = 0 teža = 100 vrat = 389 svr ime gostitelja = sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internetni naslov = 10.10.10.3 internetni naslov dnslinux.mordor.fan = 10.10.10.5
> izhod

C: \ Uporabniki \ Skrbnik>

DNS poizvedbe iz sauron.mordor.fan so zadovoljivi.

Naslednji korak bo ustvariti nov navidezni stroj z nameščenim sistemom Windows 7. Ker še vedno nismo namestili storitve DHCP, bomo dali računalnik z imenom «win7»Naslov IP 10.10.10.251. Izjavljamo tudi, da bo vaš strežnik DNS 10.10.10.5 dnslinux.mordor.fanin da bo iskalna domena mordor.fan. Tega računalnika ne bomo registrirali v DNS, ker ga bomo uporabili tudi za testiranje storitve DHCP, potem ko ga namestimo.

Nato odpremo konzolo CMD in v njem izvedemo:

Microsoft Windows [Version 6.1.7601]
Avtorske pravice (c) 2009 Microsoft Corporation. Vse pravice pridržane.

C: \ Users \ buzz> nslookup
Privzeti strežnik: dnslinux.mordor.fan Naslov: 10.10.10.5

> mordor.fan
Strežnik: dnslinux.mordor.fan Naslov: 10.10.10.5 Ime: mordor.fan Naslov: 10.10.10.3

> vrsta nastavitve = SRV
> _ldap._tcp.DomainDnsZones
Strežnik: dnslinux.mordor.fan Naslov: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan Lokacija storitve SRV: prioritet = 0 teža = 0 vrata = 389 svr ime gostitelja = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fan internetni naslov sauron.mordor.fan = 10.10.10.3 internetni naslov dnslinux.mordor.fan = 10.10.10.5
> _kpasswd._udp
Strežnik: dnslinux.mordor.fan Naslov: 10.10.10.5 _kpasswd._udp.mordor.fan Lokacija storitve SRV: prioritet = 0 teža = 0 vrata = 464 svr ime gostitelja = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan internetni naslov sauron.mordor.fan = 10.10.10.3 internetni naslov dnslinux.mordor.fan = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Strežnik: dnslinux.mordor.fan Naslov: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRV ledena lokacija: prioritet = 0 teža = 0 vrata = 389 svr ime gostitelja = sauron. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan internetni naslov sauron.mordor.fan = 10.10.10.3 internetni naslov dnslinux.mordor.fan = 10.10.10.5
> izhod

C: \ Uporabniki \ buzz>

DNS poizvedbe od odjemalca «win7»Bili so tudi zadovoljivi.

V Active Directory ustvarimo uporabnika «saruman«, Z namenom, da ga uporabimo pri pridružitvi stranki win7 na domeno mordor.fan., z uporabo metode «ID omrežja«, Uporaba uporabniških imen saruman@mordor.fan y administrator@mordor.fan. Pridružitev je bila uspešna, kar dokazuje naslednji posnetek zaslona:

O dinamičnih posodobitvah v Microsoft® DNS in BIND

Ker imamo storitev DNS ustavljeno v Active Directory®, za odjemalca to ni bilo mogoče «win7»Registrirajte svoje ime in naslov IP v tem DNS. Veliko manj v dnslinux.mordor.fan saj nismo dali nobene izjave dovoli-posodobi za katero koli od zadevnih področij.

In tu se je izoblikoval dober boj s prijateljem Fuegian. V svojem prvem e-poštnem sporočilu o tem vidiku sem komentiral:

• Microsoftovi članki o uporabi BIND in Active Directory® priporočajo posodobitev, zlasti Direct Zone -prodrli- neposredno s strani odjemalcev sistema Windows, ki so že pridruženi domeni Active Directory.
• Zato so privzeto v območjih DNS Active Directory® varne dinamične posodobitve dovoljene s strani odjemalcev sistema Windows, ki so že pridruženi domeni Active Directory. Če niso enotni, se vzdržijo posledic.
• DNS Active Directory podpira dinamične posodobitve »Samo varno«, »Nevarno in varno« ali »Brez«, kar je enako kot reči NO Updates or None.
• Ja res Microsoft Philosophy se ne strinja, da stranke ne bodo posodabljale svojih podatkov v svojih DNS-jih, prav tako ne bo pustila odprte možnosti onemogočanja dinamičnih posodobitev v svojih DNS-ih, razen če bo ta možnost ostala za bolj skrite namene.
• Microsoft ponuja "Varnost" v zameno za Darkness, kot mi je povedal kolega in prijatelj, ki je opravil tečaje Microsft® Certificate. Prav. Poleg tega mi je to potrdil El Fueguino.
• Odjemalec, ki pridobi naslov IP prek DHCP-ja, nameščenega na primer na računalniku UNIX® / Linux, ne bo mogel razrešiti naslova IP svojega imena dokler se ne pridružite domeni Active Directory, če se Microsoft® ali BIND uporablja kot DNS brez dinamičnih posodobitev s strani DHCP.
• Če namestim DHCP v sam Active Directory®, moram izjaviti, da je območja posodobil Microsoft® DHCP.
• Če bomo BIND uporabljali kot DNS za omrežje Windows, je logično in priporočljivo, da namestimo par BIND-DHCP, pri čemer slednji dinamično posodablja BIND in zadeva zaključi.
• V svetu omrežij LAN na UNIX® / Linux, odkar so na BIND izumili dinamične posodobitve, je dovoljen samo g. DHCP «prodreti»Gospi BIND s svojimi posodobitvami. Sprostitev z redom, prosim.
• Ko se prijavim v coni mordor.fan na primer: allow-update {10.10.10.0/24; };, BIND me ob zagonu ali ponovnem zagonu obvesti, da:

  • cona 'mordor.fan' omogoča posodobitve po naslovu IP, ki ni varen

• V skrivnostnem svetu UNIX® / Linux je takšna pamet z DNS preprosto nedopustna.

Lahko si predstavljate preostanek izmenjave z mojim prijateljem Fuegian skozi e-pošte, Telegram Klepet, telefonske klice, ki jih je plačal on (seveda človek, za to nimam kilograma), in celo sporočila prek golobov nosilcev v XXI. stoletju!

Celo zagrozil mi je, da mi ne bo poslal sina svojega ljubljenčka, njegove Iguane «Petra»Da mi je obljubil v okviru plačila. Tam me je bilo res strah. Tako sem začel spet, vendar iz drugega zornega kota.

• "Skoraj" Active Directory, ki ga lahko dosežemo s Sambo 4, rešuje ta vidik na mojstrski način, tako ko uporabljamo njegov notranji DNS ali BIND, sestavljen za podporo con DLZ - Območja, naložena z Dinamycali dinamično naloženo območje.
• Še naprej trpi zaradi istega: ko odjemalec pridobi naslov IP prek DHCP, nameščenega v drugo Naprave UNIX® / Linux ne boste mogli razrešiti naslova IP svojega imena dokler ni pridružen domeni Samba 4 AD-DC.
• Integrirajte BIND-DLZ in DHCP duo na isti napravi, kjer je AD-DC Samba 4 to je delo za pravega strokovnjaka.

Fuegian Poklical me je k poglavju in zavpil name: NE govorimo o AD-DC Samba 4, ampak Microsoft® Active Directory®!. In ponižno sem odgovoril, da sem navdušen nad delom naslednjih člankov, ki jih bom napisal.

Takrat sem mu povedal, da je bila končna odločitev o dinamičnih posodobitvah odjemalskih računalnikov v njegovem omrežju prepuščena njegovi prosti volji. Da bi mu dal samo Nasvet napisano pred približno allow-update {10.10.10.0/24; };in še več nič. Da nisem odgovoren za to, kar je posledica tiste razvratnosti, ki jo je imel vsak odjemalec sistema Windows ali Linux v svojem omrežju «bo prodrl»Nekaznovano BIND.

Če bi vedel, moj prijatelj, Reader, da je to končna točka prepira, ne bi verjel. Moj prijatelj Fuegian sprejel je rešitev - in poslal mi bo iguano «Pete«- to zdaj delim z vami.

Namestimo in konfiguriramo DHCP

Za več podrobnosti preberite DNS in DHCP v Debianu 8 "Jessie".

root @ dnslinux: ~ # aptitude namestite isc-dhcp-server

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # Na katerih vmesnikih naj strežnik DHCP (dhcpd) streže zahteve DHCP? # Ločite več vmesnikov s presledki, npr. "Eth0 eth1". INTERFACES = "eth0" root @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n UPORABNIK dhcp-ključ
Tipka Kdhcp. + 157 + 29836

root @ dnslinux: ~ # cat Kdhcp-ključ. +157 + 29836. zasebni
Oblika zasebnega ključa: v1.3 Algoritem: 157 (HMAC_MD5) Ključ: 3HT / bg / 6YwezUShKYofj5g == Bit: AAA = Ustvarjeno: 20170212205030 Objava: 20170212205030 Aktiviraj: 20170212205030

root @ dnslinux: ~ # nano dhcp.key
ključ dhcp-ključ {algoritem hmac-md5; skrivnost "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/named.conf.local
// // Naredite kakršno koli lokalno konfiguracijo tukaj // // Razmislite o dodajanju 1918 con tukaj, če jih ne uporabljate v vaši // organizaciji vključujejo "/etc/bind/zones.rfc1918"; vključujejo "/etc/bind/zones.rfcFreeBSD";
// Ne pozabi ... Pozabil sem in plačal z napakami. ;-)
vključite "/etc/bind/dhcp.key";


cona "mordor.fan" {glavni mojster;
        allow-update {10.10.10.3; ključ dhcp-ključ; };
        datoteka "/var/lib/bind/db.mordor.fan"; }; cona "10.10.10.in-addr.arpa" {glavni mojster;
        allow-update {10.10.10.3; ključ dhcp-ključ; };
        datoteka "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; cona "_msdcs.mordor.fan" {glavni mojster; check-names ignore; datoteka "/etc/bind/db._msdcs.mordor.fan"; };

root @ dnslinux: ~ # named-checkconf 
root @ dnslinux: ~ #

root @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
ddns-vmesni slog posodobitve; ddns-posodobitve o; ddns-ime domene "mordor.fan."; ddns-rev-ime domene "in-addr.arpa."; prezreti posodobitve odjemalca; avtoritativni; možnost ip-posredovanja izključena; ime domene-ime "mordor.fan"; vključite "/etc/dhcp/dhcp.key"; cona mordor.fan. {primarno 127.0.0.1; ključ dhcp-ključ; } cona 10.10.10.in-addr.arpa. {primarno 127.0.0.1; ključ dhcp-ključ; } redlocal v deljenem omrežju {subnet 10.10.10.0 netmask 255.255.255.0 {usmerjevalniki možnosti 10.10.10.1; možnost podomrežja-maska ​​255.255.255.0; možnost oddajanja-naslov 10.10.10.255; možnost domena-ime-strežniki 10.10.10.5; možnost netbios-imenski strežniki 10.10.10.5; obseg 10.10.10.30 10.10.10.250; }} # END dhcpd.conf

root @ dnslinux: ~ # dhcpd -t
Konzorcij za internetne sisteme DHCP strežnik 4.3.1 Copyright 2004-2014 Konzorcij za internetne sisteme. Vse pravice pridržane. Za informacije obiščite https://www.isc.org/software/dhcp/ Konfiguracijska datoteka: /etc/dhcp/dhcpd.conf Datoteka zbirke podatkov: /var/lib/dhcp/dhcpd.leases PID datoteka: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl znova zaženite bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 

root @ dnslinux: ~ # systemctl start isc-dhcp-server.service
root @ dnslinux: ~ # systemctl status isc-dhcp-server.service

Kaj je povezano s Preverjanja s strankami, in Ročno spreminjanje datotek območja, prepuščamo vam, bralcu, da ga preberete neposredno od DNS in DHCP v Debianu 8 "Jessie", in ga uporabite za vaše dejanske pogoje. Opravili smo vse potrebne preglede in dosegli zadovoljive rezultate. Seveda pošljemo kopijo vseh Fuegian. Ne bo več!

Nasveti

Splošno

• Preden začnete, si privoščite veliko potrpljenja.
  
• Najprej namestite in konfigurirajte BIND. Preverite vse in si oglejte vse zapise, ki ste jih prijavili v vsaki datoteki s tremi ali več območji, tako iz Active Directory kot iz samega strežnika DNS v Linuxu. Če je mogoče, iz računalnika Linux, ki ni povezan z domeno, podajte potrebne DNS poizvedbe v BIND.
  
• Pridružite se odjemalcu Windows s fiksnim naslovom IP obstoječi domeni in znova preverite vse nastavitve BIND v odjemalcu Windows.
• Ko ste nedvomno prepričani, da je vaša popolnoma nova konfiguracija BIND popolnoma pravilna, se odločite za namestitev, konfiguracijo in zagon storitve DHCP.
• V primeru napak ponovite celoten postopek od nič 0.
• Bodite previdni pri kopiranju in lepljenju! in preostali presledki v vsaki vrstici datotek named.conf.xxxx
  
• Potem se ni pritožil - še manj pa mojemu prijatelju Fuegiancu -, da mu ni bilo pravilno svetovano.

Drugi nasveti

• Delite in osvojite.
• V omrežju MSP je varneje in koristneje namestiti pooblaščeni BIND za notranja območja LAN, ki se ne ponovi v nobenem korenskem strežniku: rekurzija št;.
• V omrežju MSP, ki se nahaja pri ponudniku dostopa do interneta - ISP, morda storitve Proxy y SMTP rešiti morajo domene na internetu. On Lignji imate možnost, da svoj DNS razglasite za zunanjega ali ne, medtem ko na poštnem strežniku temelji na Postfix o MDaemon® Prav tako lahko prijavimo strežnike DNS, ki jih bomo uporabljali v tej storitvi. V takih primerih, to je v primerih, ki ne ponujajo internetnih storitev in so pod a Ponudnik internetnih storitev, lahko namestite BIND z Špediterji kaže na DNS v ISPin ga razglasijo kot sekundarni DNS v strežnikih, ki morajo reševati zunanje poizvedbe v LAN, sicer jih je mogoče prijaviti prek lastnih konfiguracijskih datotek.
• Če imate na svojo odgovornost v celoti delegirano conoNato še petelin vrana:
  • Namestite strežnik DNS na osnovi NSD, ki je po definiciji pooblaščeni strežnik DNS, ki se odziva na poizvedbe iz računalnikov v internetu. Za nekaj informacij prikaz sposobnosti nsd. Protect Prosimo, da ga zaščitite s čim več požarnimi zidovi. Tako strojna kot programska oprema. To bo DNS za internet in to «Tsar»Ne smemo ga dajati z nizkimi hlačami. 😉
  • Ker se v takem primeru še nisem videl, se pravi popolnoma odgovoren za delegirano cono, bi moral dobro premisliti, kaj priporočiti za razrešitev domenskih imen zunaj našega LAN-a za storitve, ki to potrebujejo. Odjemalci omrežij MSP tega v resnici ne potrebujejo. Poiščite specializirano literaturo ali strokovnjaka za te predmete, saj še zdaleč nisem eden izmed njih. Resno.
  • Rekurzija na avtoritarnih strežnikih ne obstaja. V redu?. V primeru, da kdo to stori z BIND-om.
• Čeprav v datoteki izrecno določimo /etc/dhcp/dhcpd.conf izjavo prezreti posodobitve odjemalca;, če tečemo na računalniški konzoli dnslinux.mordor.fan vrstni red journalctl -f, bomo to videli ob zagonu stranke win7.mordor.fan dobimo naslednja sporočila o napaki:

  • 12. februar 16:55:41 dnslinux z imenom [900]: odjemalec 10.10.10.30 # 58762: posodobitev 'mordor.fan/IN' zavrnjena
    12. februar 16:55:42 dnslinux z imenom [900]: odjemalec 10.10.10.30 # 49763: posodobitev 'mordor.fan/IN' zavrnjena
    12. februar 16:56:23 dnslinux z imenom [900]: odjemalec 10.10.10.30 # 63161: posodobitev 'mordor.fan/IN' zavrnjena
    

  • Če želite odpraviti ta sporočila, pojdite na napredne možnosti konfiguracije omrežne kartice in počistite možnost «Naslove te povezave registrirajte v DNS«. To bo stranki preprečilo, da bi se za vedno poskušal sam registrirati v Linux DNS in konec težave. Žal nimam kopije sistema Windows 7 v španščini. 😉
• Če želite izvedeti o vseh resnih - in norih - poizvedbah odjemalca Windows 7, si oglejte dnevnik queries.log da to za nekaj razglasimo v konfiguraciji BIND. Vrstni red bi bil:

  • root @ dnslinux: ~ # tail -f /var/log/named/queries.log

• Če odjemalskim računalnikom ne dovolite neposredne povezave z internetom, zakaj potem potrebujete korenski strežnik DNS? To bo znatno zmanjšalo rezultat ukaza journalctl -f in od prejšnjega, če se vaš avtoritarni strežnik DNS za notranje cone ne poveže neposredno z internetom, kar je z varnostnega vidika zelo priporočljivo.

  root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
  root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root

• Če ne potrebujete izjave korenskih strežnikov, zakaj potem potrebujete rekurzijo - Rekurzija?

  root @ dnslinux: ~ # nano /etc/bind/named.conf.options
  opcije {
   ....
   rekurzija št;
   ....
  };

Konkretni nasveti, katerih še vedno nisem zelo jasen

El človek dhcpd.conf nam med številnimi drugimi stvarmi pove naslednje:

        Izjava o optimizaciji posodobitve

            zastavica za optimizacijo posodobitev;

            Če je parameter za optimizacijo posodobitve za danega odjemalca neresničen, bo strežnik poskušal posodobiti DNS za tega odjemalca vsakič, ko odjemalec obnovi najem, namesto da poskuša posodobitev le, kadar se zdi, da je potrebna. To bo DNS omogočilo lažje zdravljenje neskladnosti z bazami podatkov, vendar je strošek tega, da mora strežnik DHCP opraviti veliko več posodobitev DNS. Priporočamo, da preberete to možnost, ki je privzeta. Ta možnost vpliva samo na vedenje vmesne sheme posodobitve DNS in ne vpliva na priložnostno shemo posodobitve DNS. Če ta parameter ni podan ali je resničen, se strežnik DHCP posodobi šele, ko se spremenijo informacije o odjemalcu, odjemalec dobi drugačen najem ali odjemalski najem poteče.

Bolj ali manj natančen prevod ali interpretacija je prepuščena vam, dragi bralec.

Osebno se mi je zgodilo - in to se je zgodilo med nastankom tega članka -, da ko povežem BIND z Active Directory®, je to Microsft® ali Samba 4, če spremenim ime odjemalskega računalnika, registriranega v domene Active Directory® ali AD–DC Sambe 4 ohranja staro ime in naslov IP v neposredni coni in ne obratno, kar je pravilno posodobljeno z novim imenom. Z drugimi besedami, stara in nova imena se preslikajo na isti naslov IP v neposredni coni, medtem ko se v obratni smeri prikaže samo novo ime. Če me želite dobro razumeti, morate poskusiti sami.

Mislim, da gre za nekakšno maščevanje Fuegian -ne zame, prosim- ker sem poskušal migrirati vaše storitve na Linux.

Seveda bo staro ime izginilo, ko bo 3600 TTLali čas, ki smo ga navedli v konfiguraciji DHCP. Želimo pa, da takoj izgine, kot se zgodi v BIND + DHCP brez Active Directory prek.

Rešitev za to situacijo sem našel z vstavitvijo izjave posodobitev-optimizacija false; na koncu datoteke /etc/dhcp/dhcpd.conf:

ddns-vmesni slog posodobitve; ddns-posodobitve o; ddns-ime domene "mordor.fan."; ddns-rev-ime domene "in-addr.arpa."; prezreti posodobitve odjemalca;
posodobitev-optimizacija false;

Če kateri od bralcev o tem ve več, me prosim prosvetlite. Zelo ga bom cenil.

Povzetek

S temo smo se zelo zabavali, kajne? Brez trpljenja, ker imamo BIND, ki deluje kot strežnik DNS v omrežju Microsoft®, ponuja vse zapise SRV in se ustrezno odziva na poizvedbe DNS, ki so jim bile poslane. Po drugi strani imamo strežnik DHCP, ki dodeljuje naslove IP in dinamično pravilno posodablja območja BIND.

Ampak ne moremo vprašati ... za trenutek.

Upam, da moj prijatelj Fuegian bodite srečni in zadovoljni s prvim korakom pri selitvi na Linux, da bodo nevzdržni stroški tehnične podpore Microsft® znosni.

Pomembna opomba

Znak "Fuegian»Je popolnoma izmišljen in je plod moje domišljije. Vsaka podobnost ali naključje z resničnimi ljudmi je isto: čisto neprostovoljno naključje z moje strani. Ustvaril sem ga samo zato, da je pisanje in branje tega članka nekoliko prijetno. Zdaj, če mi lahko poveste, da je težava z DNS temna,