BIND dhe Active Directory® - Rrjetet e NVM-ve

Indeksi i përgjithshëm i serisë: Rrjetet kompjuterike për NVM-të: Hyrje

Përshëndetje miq!. Objektivi kryesor i këtij artikulli është të tregojë se si mund të integrojmë shërbimin DNS bazuar në BIND9 në një rrjet Microsoft, shumë i zakonshëm në shumë NVM.

Kjo lind nga kërkesa zyrtare e një miku që jeton në La Tierra del Fuego -Fuegian- e specializuar në Rrjetet Microsoft® - Çertifikatat e përfshira - për t'ju drejtuar në këtë pjesë të migrimit të serverave tuaj në Linux. Kostot e mbështetje Tekniku që paguan Microsoft® janë tashmë E padurueshme për Kompaninë në të cilën ai punon dhe të së cilës ai është Aksioneri i tij Kryesor.

Shoku im Fuegian ai ka një sens të shkëlqyeshëm humori, dhe pasi që pa serinë e tre filmave «Zoti i unazave»Ai ishte mahnitur nga shumë prej emrave të personazheve të tij të errët. Pra, shoku lexues, mos u habit nga emrat e domenit dhe serverave të tu.

Për të sapoardhurit në temë dhe para se të vazhdoni me leximin, ju rekomandojmë që të lexoni dhe studioni tre artikujt e mëparshëm në Rrjetet e NVM-ve:

Likeshtë si të shikosh tre nga katër pjesët e «Nëntoka»Botuar deri më sot, dhe se ky është i katërti.

Parametrat e përgjithshëm

Pas disa shkëmbimeve përmes e-mailMë në fund isha i qartë për parametrat kryesorë të rrjetit tuaj aktual, të cilat janë:

Emri i domenit mordor.fan Rrjeti LAN 10.10.10.0/24 ======================================= == ========================================= Qëllimi i Adresës IP të serverave (serverat me Windows Windows) =============================================== === ============================== sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Server skedari Windows darklord.mordor.fan. 10.10.10.6 Proxy, gateway dhe firewall në Kerios troll.mordor.fan. 10.10.10.7 Blog bazuar në ... nuk mund të kujtohet shadowftp.mordor.fan. 10.10.10.8 serveri FTP blackelf.mordor.fan. 10.10.10.9 Shërbimi i plotë me postë elektronike blackspider.mordor.fan. 10.10.10.10 shërbimi WWW palantir.mordor.fan. 10.10.10.11 Bisedoni në Openfire për Windows

Unë kërkova leje për të Fuegian të vendosë sa më shumë pseudonime të nevojshme për të pastruar mendjen time dhe më dha lejen e tij:

CNAME i vërtetë =============================== sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

Unë deklarova të gjitha shënimet e rëndësishme DNS në instalimin tim të një Active Directory Windows 2008 që u detyrova të zbatoj për të më drejtuar në bërjen e këtij postimi.

Rreth të dhënave Active Directory DNS SRV

Regjistrat SRV o Locatorët e Shërbimit - të përdorura gjerësisht në Microsoft Active Directory - janë përcaktuar në Kërkesa për Komente RFC 2782. Ato lejojnë vendndodhjen e një shërbimi bazuar në protokollin TCP / IP përmes një pyetjeje DNS. Për shembull, një klient në një rrjet Microsoft mund të lokalizojë vendndodhjen e Kontrolluesve të Domainit - Kontrolluesit e domenit që ofrojnë shërbimin LDAP mbi protokollin TCP në portin 389 përmes një pyetjeje të vetme DNS.

Normalshtë normale që në Pyjet - pyjet, dhe Pemët - Pemë i një rrjeti të madh Microsoft ka disa Kontrollues Domain. Përmes përdorimit të regjistrave SRV në Zona të ndryshme që përbëjnë Hapësirën e Emrit të Domenit të këtij Rrjeti, ne mund të mbajmë një listë të serverave që ofrojnë shërbime të ngjashme të njohura, të porositura sipas preferencës sipas protokollit të transportit dhe portës së secilës prej tyre. serverat.

Kërkesa për Komente RFC 1700 Përcaktohen emrat simbolikë universalë për shërbimet e mirënjohura - Shërbimi i mirënjohur, dhe emra të tillë si «_telnet" '_smtp»Për shërbimet telnet y SMTP. Nëse një emër simbolik nuk përcaktohet për një Shërbim të Njohur mirë, një emër lokal ose një emër tjetër mund të përdoret në përputhje me preferencat e përdoruesit.

ngurtësohem

Qëllimi i secilës fushë «special»Që përdoret në deklarimin e një Regjistrimi të Burimeve SRV është si më poshtë:

  • Fushë: "Pdc._msdcs.mordor.fan.« Emri DNS i shërbimit të cilit i referohet rekordi SRV. Emri DNS në shembull do të thotë - më shumë ose më pak - Kontrolluesi i Domainit Primar të zonës _msdcs.mordor.fan.
  • Shërbime: "_Ldap". Emri simbolik i shërbimit që ofrohet i përcaktuar sipas Kërkesa për Komente RFC 1700.
  • Protokoll: "_Tcp". Tregon llojin e protokollit të transportit. Zakonisht mund të marrë vlerat _pcp o _peshoj, megjithëse - dhe në fakt - çdo lloj protokolli transporti i treguar në Kërkesa për Komente RFC 1700. Për shembull, për një shërbim bisedë bazuar në protokoll XMPP, kjo fushë do të kishte vlerën e _xmpp.
  • Prioritet: "0« Shpalleni përparësinë ose preferencën për Pritësi që ofron këtë shërbim që do ta shohim më vonë. Pyetjet e klientëve DNS në lidhje me shërbimin e përcaktuar nga ky rekord SRV, pasi të marrin përgjigjen e duhur, do të përpiqen të kontaktojnë hostin e parë të disponueshëm me numrin më të ulët të shënuar në fushë. Prioritet. Diapazoni i vlerave që mund të marrë kjo fushë është 0 65535.
  • peshë: "100« Mund të përdoret në kombinim me Prioritet për të siguruar një mekanizëm të balancimit të ngarkesës kur ka disa servera që ofrojnë të njëjtin shërbim. Duhet të ketë një rekord të ngjashëm SRV për secilin server në skedarin Zone, me emrin e tij të deklaruar në fushë Pritësi që ofron këtë shërbim. Para serverave me vlera të barabarta në fushë Prioritet, vlera e fushës peshë mund të përdoret si një nivel preferencë shtesë për të marrë një zgjedhje të saktë të serverit për balancimin e ngarkesës. Diapazoni i vlerave që mund të marrë kjo fushë është 0 65535. Nëse nuk kërkohet balancimi i ngarkesës, për shembull si në rastin e një serveri të vetëm, rekomandohet të caktohet vlera 0 për ta bërë regjistrimin SRV më të lehtë për të lexuar.
  • Numri i portit - Porti: "389« Numri i portit në Pritësi që ofron këtë shërbim që ofron shërbimin e treguar në terren Shërbime. Numri i rekomanduar i portit për secilin lloj të Shërbimit të Njohur është treguar në Kërkesa për Komente RFC 1700, megjithëse mund të marrë një vlerë ndërmjet 0 dhe 65535.
  • Pritësi që ofron këtë shërbim - Synimi: "sauron.mordor.tifoz.« Specifikon FQDN që identifikon pa mëdyshje mikpritës që ofron shërbimin e treguar nga rekordi SRV. Një tip rekord «A»Në hapësirën e emrave të domain-eve për secilën FQDN nga serveri ose mikpritës që ofron shërbimin. Më e thjeshtë, një rekord tipi A në zonën (a) e drejtpërdrejtë.
    • Shenim:
      Për të treguar në mënyrë autoritare që shërbimi i specifikuar nga rekordi SRV nuk ofrohet në këtë host, një (
      .) pikë.

Ne thjesht duam të përsërisim se funksionimi i saktë i një rrjeti ose i një Active Directory® mbështetet shumë në funksionimin e duhur të Shërbimit të Emrit të Domenit.

Regjistrimet Active Directory DNS

Për të bërë Zonat e serverit të ri DNS bazuar në BIND, ne duhet të marrim të gjitha regjistrat DNS nga Active Directory®. Për ta bërë jetën më të lehtë, ne shkojmë në ekip sauron.mordor.tifoz -Active Directory® 2008 SR2- dhe në Konzolën e Administrimit DNS ne aktivizojmë Transferimin e Zonës -direkt dhe të kundërt- për zonat kryesore të deklaruara në këtë lloj shërbimi, të cilat janë:

  • _msdcs.mordor.fan
  • mordor.tifoz
  • 10.10.10.in-adrr.arpa

Pasi të jetë kryer hapi i mëparshëm dhe mundësisht nga një kompjuter Linux adresa e IP e të cilit është brenda intervalit të nënrrjetit të përdorur nga Rrjeti Windows, ne ekzekutojmë:

buzz @ sysadmin: dig $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> temp /rrs._msdcs.mordor.fan
gumëzhime @ sysadmin: dig $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: dig $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa
  • Kujtojnë nga artikujt e mëparshëm se adresa IP e pajisjes sysadmin.fromlinux.fan është 10.10.10.1 ose 192.168.10.1.

Në tre komandat e mëparshme mund të eleminojmë opsionin 10.10.10.3 -pyesni serverin DNS me atë adresë- nëse deklarohemi në dosje /etc/resolv.conf në IP-në e serverit sauron.mordor.tifoz:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf # Gjeneruar nga kërkimi i NetworkManager nga linux.fan nameserver 192.168.10.5 nameserver 10.10.10.3

Pas redaktimit me shumë kujdes, siç korrespondon me çdo skedar zone në BIND, ne do të marrim të dhënat e mëposhtme:

Regjistrimet RR nga zona origjinale _msdcs.mordor.fan

zhurmë @ sysadmin: ~ $ temp temp / rrs._msdcs.mordor.fan 
; Lidhur me SOA dhe NS _msdcs.mordor.fan. 3600 N SO SOA sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 3600 _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; KATALOG GLOBAL gc._msdcs.mordor.fan. 600 N A 10.10.10.3; ; Aliases - në bazën e të dhënave të modifikuara dhe private LDAP të një Direktori Aktive - të SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 N CN CNAME sauron.mordor.fan. ; ; LDAP i modifikuar dhe privat i një Active Directory _ldap._tcp.Default-First-Site-Same-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS i modifikuar dhe privat i një Direktori Aktive _kerberos._tcp.Default-First-Site-Same-Name._sites.dc._msdcs.mordor.fan 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Regjistrimet RR nga zona origjinale mordor.fan

gumëzhime @ sysadmin: temp $ temp temp / rrs.mordor.fan 
; Lidhur me SOA, NS, MX dhe rekordin A që harton; Emrin e Domenit në IP të SAURON; Gjërat nga një directory aktive mordor.fan. 3600 N SO SOA sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 86400 3600 mordor.fan. 600 N A 10.10.10.3 mordor.fan. 3600 IN NS sauron.mordor.fan. mordor.fan. 3600 IN MX 10 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; Gjithashtu e rëndësishme A regjistron DomainDnsZones.mordor.fan. 600 N A 10.10.10.3 ForestDnsZones.mordor.fan. 600 N A 10.10.10.3; ; KATALOG GLOBAL _gc._tcp.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _gc._tcp. Emri i faqes-së-parazgjedhur._sites.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. ; ; LDAP i modifikuar dhe privat i një Direktori Aktive _ldap._tcp.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp. Emri i faqes së parë-në-emër._sites.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS i modifikuar dhe privat i një Direktori Aktive _kerberos._tcp.Default-First-Site-Same-Name._sites.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. ; ; Regjistron A me IP fikse -> Serverët blackelf.mordor.fan. 3600 IN A 10.10.10.9 blackspider.mordor.fan. 3600 IN A 10.10.10.10 darklord.mordor.fan. 3600 IN A 10.10.10.6 mamba.mordor.fan. 3600 IN A 10.10.10.4 palantir.mordor.fan. 3600 NE A 10.10.10.11 sauron.mordor.fan. 3600 IN A 10.10.10.3 shadowftp.mordor.fan. 3600 IN A 10.10.10.8 troll.mordor.fan. 3600 N A 10.10.10.7; ; CNAME regjistron ad-dc.mordor.fan. 3600 N CN CNAME sauron.mordor.fan. blog.mordor.fan. 3600 NE CNAME troll.mordor.fan. serveri i skedarëve.mordor.fan. 3600 N CN CNAME mamba.mordor.fan. ftpserver.mordor.fan. 3600 NE CNAME shadowftp.mordor.fan. postë.mordor.fan. 3600 NE CNAME balckelf.mordor.fan. zjarr i hapur.mordor.fan. 3600 N CN CNAME palantir.mordor.fan. proxy.mordor.fan. 3600 N CN CNAME zotëri i errët.mordor.fan. www.mordor.fan. 3600 N CN CNAME blackspider.mordor.fan.

Regjistrimet RR nga zona origjinale 10.10.10.in-addr.arpa

buzz @ sysadmin: temp $ temp temp / rrs.10.10.10.in-addr.arpa 
; Lidhur me SOA dhe NS 10.10.10.in-addr.arpa. 3600 N SO SOA sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400 3600 10.10.10.in-addr.arpa. 3600 IN NS sauron.mordor.fan. ; ; Të dhënat e PTR 10.10.10.10.in-addr.arpa. 3600 IN PTR blackspider.mordor.fan. 11.10.10.10.in-addr.arpa. 3600 IN PTR palantir.mordor.fan. 3.10.10.10.in-addr.arpa. 3600 IN PTR sauron.mordor.fan. 4.10.10.10.in-addr.arpa. 3600 IN PTR mamba.mordor.fan. 5.10.10.10.in-addr.arpa. 3600 IN PTR dnslinux.mordor.fan. 6.10.10.10.in-addr.arpa. 3600 IN PTR darklord.mordor.fan. 7.10.10.10.in-addr.arpa. 3600 IN PTR troll.mordor.fan. 8.10.10.10.in-addr.arpa. 3600 IN PTR shadowftp.mordor.fan. 9.10.10.10.in-addr.arpa. 3600 IN PTR blackelf.ordor.fan.

Deri në këtë pikë mund të mendojmë se kemi të dhënat e nevojshme për të vazhduar në aventurën tonë, jo pa vëzhguar më parë TTL-të dhe të dhëna të tjera që në një mënyrë shumë koncize na ofron prodhimi dhe vëzhgimi i drejtpërdrejtë i DNS-së të bitëve të një Microsft® Active Directory® 2008 SR2 64.

Imazhet e DNS Manager në SAURON

Ekipi i Dnslinux.mordor.fan.

Nëse shohim nga afër, në adresën IP 10.10.10.5 asnjë emër nuk iu caktua saktësisht në mënyrë që të pushtohej nga emri i DNS-së së re dnslinux.mordor.fan. Për të instaluar çiftin DNS dhe DHCP mund të drejtohemi nga artikujt DNS dhe DHCP në Debian 8 "Jessie" y DNS dhe DHCP në CentOS 7.

Sistemi operativ bazë

Shoku im FuegianPërveç që është një specialist i vërtetë në Microsoft® Windows - ai ka disa Çertifikata të lëshuara nga ajo kompani - ai ka lexuar dhe vënë në praktikë disa nga artikujt në lidhje me tryezat e botuara në Nga Linux., dhe ai më tha se ai dëshironte shprehimisht një zgjidhje të bazuar në Debian. 😉

Për t'ju kënaqur, ne do të fillojmë me një instalim të pastër dhe të pastër të një serveri të bazuar në Debian 8 "Jessie". Sidoqoftë, ajo që do të shkruajmë më poshtë është e vlefshme për shpërndarjet CentOS dhe openSUSE, artikujt e të cilave i përmendëm më parë. BIND dhe DHCP janë të njëjtat në çdo shpërndarje. Ndryshime të vogla futen nga mirëmbajtësit e paketave në secilën shpërndarje.

Ne do të bëjmë instalimin siç tregohet në DNS dhe DHCP në Debian 8 "Jessie", duke u kujdesur për të përdorur IP 10.10.10.5 dhe rrjeti 10.10.10.0 / 24., edhe para se të konfiguroni BIND.

Ne konfigurojmë BIND në stilin Debian

/etc/bind/named.conf

Dosja /etc/bind/named.conf e lëmë ashtu siç është instaluar.

/etc/bind/named.conf.options

Dosja /etc/bind/named.conf.options duhet të lihet me përmbajtjen vijuese:

root @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

rrënja @ dnslinux: n # nano /etc/bind/named.conf.options
opsionet {direktoria "/ var / cache / bind"; // Nëse ekziston një firewall midis jush dhe serverëve të emrave me të cilët dëshironi // të flisni, mund t'ju duhet të rregulloni firewall-in për të lejuar që të flasin shumë porta //. Shikoni http://www.kb.cert.org/vuls/id/800113 // Nëse ISP-ja juaj siguroi një ose më shumë adresa IP për serverë // të qëndrueshëm të emrave, ju ndoshta dëshironi t'i përdorni ato si transferues. // Shkyçni bllokun e mëposhtëm dhe vendosni adresat duke zëvendësuar // mbajtësin e vendndodhjes të të gjitha-0. // përcjellësit {// 0.0.0.0; //}; // =============================================== = ====================== $ // Nëse BIND regjistron mesazhe gabimi në lidhje me çelësin rrënjë që skadon, // do t'ju duhet të azhurnoni çelësat tuaj. Shikoni https://www.isc.org/bind-keys // ================================== = ===================================== $

    // Ne nuk duam DNSSEC
        dnssec-enable jo;
        //automatizimi i vërtetimit të dnssec;

        auth-nxdomain nr; # konform RFC1035

 // Ne nuk kemi nevojë të dëgjojmë për adresat IPv6
        // dëgjo-në-v6 {ndonjë; };
    dëgjo-në-v6 {asnjë; };

 // Për kontrolle nga localhost dhe sysadmin
    // përmes // gërmoj mordor.fan axfr // gërmoj 10.10.10.in-addr.arpa axfr // gërmoj _msdcs.mordor.fan axfr // Ne nuk kemi skllav DNS ... deri tani
 lejo-transfero {localhost; 10.10.10.1; };
};

// Regjistrimi BIND
regjistrimi {

        pyetjet e kanalit {
        skedari "/var/log/named/queries.log" versionet 3 madhësia 1m;
        informacioni i ashpërsisë;
        koha e shtypjes po;
        ashpërsia e shtypjes po;
        kategori e shtypur po;
        };

        gabim i pyetjes në kanal {
        skedari "/var/log/named/query-error.log" versionet 3 madhësia 1m;
        informacioni i ashpërsisë;
        koha e shtypjes po;
        ashpërsia e shtypjes po;
        kategori e shtypur po;
        };

                                
pyetjet e kategorisë {
         pyetje;
         };

gabimet e pyetjes së kategorisë {
         pyetje-gabim;
         };

};
  • Ne prezantojmë kapjen e regjistrave BIND si një NUEVO paraqitja në serinë e artikujve mbi këtë temë. Ne krijojmë lnjë dosje dhe skedarët e kërkuar për Prerje-transportim trupash të BINDIT:
root @ dnslinux: ~ # mkdir / var / log / me emër
root @ dnslinux: touch # prek /var/log/named/queries.log
root @ dnslinux: touch # prek /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / name

Ne kontrollojmë sintaksën e skedarëve të konfiguruar

rrënja @ dnslinux: ~ # quajtur-checkconf 
root @ dnslinux: ~ #

/etj/bind/named.conf.local

Ne krijojmë skedarin /etc/bind/zones.rfcFreeBSD me të njëjtën përmbajtje siç tregohet në DNS dhe DHCP në Debian 8 "Jessie".

root @ dnslinux: # nano /etc/bind/zones.rfcFreeBSD

Dosja /etj/bind/named.conf.local duhet të lihet me përmbajtjen vijuese:

// // Bëni ndonjë konfigurim lokal këtu // // Merrni parasysh të shtoni zonat e 1918 këtu, nëse ato nuk përdoren në organizatën tuaj //
përfshijnë "/etc/bind/zones.rfc1918"; përfshijnë "/etc/bind/zones.rfcFreeBSD";

zona "mordor.fan" {tipi master; skedari "/var/lib/bind/db.mordor.fan"; }; zona "10.10.10.in-addr.arpa" {tipi master; skedari "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

zona "_msdcs.mordor.fan" {tipi master;
 emrat e kontrollit injorojnë; skedari "/etc/bind/db._msdcs.mordor.fan"; }; rrënja @ dnslinux: ~ # quajtur-checkconf
root @ dnslinux: ~ #

Zona File mordor.fan

rrënja @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ N SO SOA dnslinux.mordor.fan. rrënjë.dnslinux.mordor.fan. (1; serial 1D; rifreskoni 1H; riprovoni 1W; skadon 3H); minimale ose; Koha e caching negativ për të jetuar;
; Jini shumë të kujdesshëm me shënimet e mëposhtme
@ NS dnslinux.mordor.fan.
@ N A 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT "Mirësevini në Lanin e Errët të Mordorit";
_msdcs.mordor.fan. NE NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. N A A 10.10.10.5
; P ENDRFUNDONI SHUM KUJDES ME REGJISTRAT E VJETOR;
DomainDnsZones.mordor.fan. NE A 10.10.10.3 ForestDnsZones.mordor.fan. N A A 10.10.10.3; ; KATALOG GLOBAL _gc._tcp.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. _gc._tcp. Emri i Faqes së Parë-Mbiemri._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ; ; LDAP i modifikuar dhe privat i një Directory Active _ldap._tcp.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. ; ; KERBEROS i modifikuar dhe privat nga një Direktivë Aktive _kerberos._tcp.Default-First-Site-Same-Name._sites.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. ; ; Një rekord me IP fikse -> serverat Blackelf.mordor.fan. NE A 10.10.10.9 blackspider.mordor.fan. NE A 10.10.10.10 darklord.mordor.fan. NE A 10.10.10.6 mamba.mordor.fan. NE A 10.10.10.4 palantir.mordor.fan. NE A 10.10.10.11
sauron.mordor.fan. N A A 10.10.10.3
hijeftp.mordor.fan. NE A 10.10.10.8 troll.mordor.fan. N A A 10.10.10.7; ; CNAME regjistron ad-dc.mordor.fan. NE CNAME sauron.mordor.fan. blog.mordor.fan. NE CNAME troll.mordor.fan. serveri i skedarëve.mordor.fan. NE CNAME mamba.mordor.fan. ftpserver.mordor.fan. NE CNAME shadowftp.mordor.fan. postë.mordor.fan. NE CNAME balckelf.mordor.fan. zjarr i hapur.mordor.fan. NE CNAME palantir.mordor.fan. proxy.mordor.fan. N CN CNAME zotëri i errët.mordor.fan. www.mordor.fan. NE CNAME blackspider.mordor.fan.

root @ dnslinux: ~ # quajtur-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
zona mordor.fan/IN: seriali i ngarkuar 1 OK

Kohet 600 TTL nga të gjithë regjistrat SRV ne do t'i mbajmë ato në rast se instalojmë një BIND Slave në kohë të tjera. Këto regjistra përfaqësojnë shërbime Active Directory® që kryesisht lexojnë të dhëna nga baza juaj e të dhënave LDAP. Ndërsa ajo bazë e të dhënave ndryshon shpesh, kohët e sinkronizimit duhet të mbahen të shkurtra, në një skemë Master - Slave DNS. Sipas filozofisë së Microsoft të vëzhguar nga Active Directory 2000 deri në 2008, vlera prej 600 ruhet për këto lloje të regjistrimeve SRV.

L TTL-të të serverave me IP fikse, ata janë nën kohën e deklaruar në SOA prej 3 orësh.

Dosja e Zonës 10.10.10.in-addr.arpa

rrënja @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ N SO SOA dnslinux.mordor.fan. rrënjë.dnslinux.mordor.fan. (1; serial 1D; rifreskoni 1H; riprovoni 1W; skadon 3H); minimale ose; Koha e caching negativ për të jetuar; @ NS dnslinux.mordor.fan. ; 10 N P PTR blackspider.mordor.fan. 11 N P PTR palantir.mordor.fan. 3 N P PTR sauron.mordor.fan. 4 N P PTR mamba.mordor.fan. 5 N P PTR dnslinux.mordor.fan. 6 N P PTR darklord.mordor.fan. 7 N P PTR troll.mordor.fan. 8 N P PTR shadowftp.mordor.fan. 9 N P PTR blackelf.mordor.fan.

rrënja @ dnslinux: ~ # zone-check-zone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
zona 10.10.10.in-addr.arpa/IN: seriali i ngarkuar 1 OK

Dosja e Zonës _msdcs.mordor.fan

Le të marrim parasysh atë që rekomandohet në skedar /usr/share/doc/bind9/README.Debian.gz Rreth vendndodhjes së skedarëve të Zonave Master nuk i nënshtrohen azhurnimeve dinamike nga DHCP.

root @ dnslinux: # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ N SO SOA dnslinux.mordor.fan. rrënjë.dnslinux.mordor.fan. (1; seriali 1D; rifresko 1H; riprovo 1W; skadon 3H); minimale ose; Koha e caching-it negativ për të jetuar; @ NS dnslinux.mordor.fan. ; ; ; KATALOG GLOBAL gc._msdcs.mordor.fan. 600 N A 10.10.10.3; ; Aliases - në bazën e të dhënave të modifikuara dhe private LDAP të një Direktori Aktive - të SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 N CN CNAME sauron.mordor.fan. ; ; LDAP i modifikuar dhe privat i një Active Directory _ldap._tcp.Default-First-Site-Same-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS i modifikuar dhe privat i një Direktori Aktive _kerberos._tcp.Default-First-Site-Same-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Ne kontrollojmë sintaksën dhe mund të injorojmë gabimin që ajo kthen, pasi në konfigurimin e kësaj Zone në skedar /etj/bind/named.conf.local ne përfshijmë deklaratën emrat e kontrollit injorojnë;. Zona do të ngarkohet si duhet nga BIND.

rrënja @ dnslinux: ~ # name-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: emri i pronarit të keq (emrat e kontrollit) zona _msdcs.mordor.fan/IN: seriali i ngarkuar 1 OK

root @ dnslinux: ~ # systemctl rinis lidhjen9.shërbim 
root @ dnslinux: ~ # systemctl status bind9.service 
● bind9.service - Serveri i emrit të domenit BIND ngarkuar: i ngarkuar (/lib/systemd/system/bind9.service; aktivizuar) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ names.conf Aktive: aktiv (drejtues) që nga Dielli 2017-02-12 08:48:38 EST; 2s më parë 8 / usr / sbin / emëruar -f -u bind 859 shkurt 0:864:9 dnslinux me emrin [864]: zona 12.efip08.arpa/IN: serial i ngarkuar 48 shkurt 38 864:3:6 dnslinux me emrin [1 ]: zone befip12.arpa/IN: seriali i ngarkuar 08 Shk 48 38:864:6 dnslinux me emrin [1]: zona 12.efip08.arpa/IN: seriali i ngarkuar 48 Shk 38 864:0:6 dnslinux me emrin [1]: zona 12.efip08.arpa/IN: serial i ngarkuar 48 shkurt 38 864:7:6 dnslinux me emrin [1]: zona mordor.fan/IN: serial i ngarkuar 12 shkurt 08 48:38:864 dnslinux me emrin [1]: shembulli i zonës .org / IN: serial i ngarkuar 12 shkurt 08 48:38:864 dnslinux me emrin [1]: zone _msdcs.mordor.fan/IN: serial i ngarkuar 12 shkurt 08 48:38:864 dnslinux me emrin [1]: zona e pavlefshme / IN : seriali i ngarkuar 12 Shk 08 48:38:864 dnslinux me emrin [1]: të gjitha zonat e ngarkuara
Shkurt 12 08:48:38 dnslinux me emrin [864]: running

Ne konsultohemi me BIND

Para Pas instalimit të DHCP, ne duhet të kryejmë një seri kontrollesh që përfshijnë edhe bashkimin e një klienti të Windows 7 në domen mordor.tifoz përfaqësuar nga Active Directory i instaluar në kompjuter sauron.mordor.tifoz.

Gjëja e parë që duhet të bëni është të ndaloni shërbimin DNS në kompjuter sauron.mordor.tifoz, dhe deklaroni në ndërfaqen e rrjetit tuaj që tani e tutje serveri juaj DNS do të jetë 10.10.10.5 dnslinux.mordor.fan.

Në një tastierë të vetë serverit sauron.mordor.tifoz ne ekzekutojmë:

Microsoft Windows [Versioni 6.1.7600]
E drejta e autorit (c) 2009 Microsoft Corporation. Të gjitha të drejtat e rezervuara.

C: \ Përdoruesit \ Administratori> nslookup
Server i paracaktuar: dnslinux.mordor.fan Adresa: 10.10.10.5

> gc._msdcs
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 Emri: gc._msdcs.mordor.fan Adresa: 10.10.10.3

> mordor.fan
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 Emri: mordor.fan Adresa: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 Emri: sauron.mordor.fan Adresa: 10.10.10.3 Aliases: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> lloji i caktuar = SRV
> _kerberos._tcp.Emri i Parazgjedhur-në-Faqen e Parë._sites.dc._msdcs
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRV vendndodhja e akullit të SRV: përparësia = 0 pesha = 100 porte = 88 svr host host sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan adresa e internetit = 10.10.10.3 dnslinux.mordor.fan adresa e internetit = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan Vendi i shërbimit SRV: përparësia = 0 pesha = 100 port = 389 svr hostname = sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan adresa e internetit = 10.10.10.3 dnslinux.mordor.fan adresa e internetit = 10.10.10.5
> dalja

C: \ Përdoruesit \ Administratori>

Kërkesat DNS të bëra nga sauron.mordor.tifoz janë të kënaqshme.

Hapi tjetër do të jetë krijimi i një makine tjetër virtuale me Windows 7 të instaluar. Meqenëse ende nuk e kemi të instaluar shërbimin DHCP, ne do t'i japim kompjuterit me emrin «win7»Adresa IP 10.10.10.251. Ne gjithashtu deklarojmë që serveri juaj DNS do të jetë 10.10.10.5 dnslinux.mordor.fan, dhe se domeni i kërkimit do të jetë mordor.tifoz. Ne nuk do ta regjistrojmë atë kompjuter në DNS sepse do ta përdorim gjithashtu për të testuar shërbimin DHCP pasi ta instalojmë.

Tjetra ne hapim një tastierë VKM dhe në të ne ekzekutojmë:

Microsoft Windows [Versioni 6.1.7601]
E drejta e autorit (c) 2009 Microsoft Corporation. Të gjitha të drejtat e rezervuara.

C: \ Përdoruesit \ gumëzhij> nslookup
Server i paracaktuar: dnslinux.mordor.fan Adresa: 10.10.10.5

> mordor.fan
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 Emri: mordor.fan Adresa: 10.10.10.3

> lloji i caktuar = SRV
> _ldap._tcp.DomainDnsZones
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan Vendndodhja e shërbimit SRV: përparësia = 0 pesha = 0 port = 389 svr host host = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fan sauron.mordor.fan adresa e internetit = 10.10.10.3 dnslinux.mordor.fan adresa e internetit = 10.10.10.5
> _kpasswd._udp
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 _kpasswd._udp.mordor.fan Vendndodhja e shërbimit SRV: përparësi = 0 peshë = 0 port = 464 emër host i svr = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan adresa e internetit sauron.mordor.fan = 10.10.10.3 dnslinux.mordor.fan adresa e internetit = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Server: dnslinux.mordor.fan Adresa: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRV shërbimi i vendndodhjes së akullit: përparësia = 0 pesha = 0 port = 389 svr host host = sauron. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan adresa e internetit = 10.10.10.3 dnslinux.mordor.fan adresa e internetit = 10.10.10.5
> dalje

C: \ Përdoruesit \ gumëzhij>

Kërkesat DNS të bëra nga klienti «win7»Ishin gjithashtu të kënaqshëm.

Në Active Directory krijojmë përdoruesin «saruman«, Me qëllim të përdorimit të tij kur bashkoheni me klientin win7 në domen mordor.tifoz., duke përdorur metodën «ID e rrjetit«, Përdorimi i emrave të përdoruesit saruman@mordor.fan y administratori@mordor.fan. Bashkimi ishte i suksesshëm dhe dëshmohet nga pamja e mëposhtme e ekranit:

Rreth Azhurnimeve Dinamike në Microsoft® DNS dhe BIND

Ndërsa kemi shërbimin DNS të ndaluar në Active Directory® nuk ishte e mundur për klientin «win7»Regjistroni emrin tuaj dhe adresën IP në atë DNS. Shumë më pak në dnslinux.mordor.fan meqenëse nuk bëmë asnjë deklaratë lejoj-azhurnoj për ndonjë nga fushat e përfshira.

Dhe këtu u formua lufta e mirë me mikun tim Fuegian. Në emailin tim të parë në lidhje me këtë aspekt kam komentuar:

  • Artikujt e Microsoft mbi përdorimin e BIND dhe Active Directory® rekomandojnë që, veçanërisht Zona Direkte, të lejohet të azhurnohet -depërtuar- drejtpërdrejt nga klientët e Windows që janë bashkuar tashmë në domenin Active Directory.
  • Kjo është arsyeja pse, në mënyrë të paracaktuar, në zonat DNS të një Active Directory® Secure Dinamic Updates lejohen. nga klientët e Windows tashmë të bashkuar në domenin Active Directory. Nëse nuk janë të bashkuar, ata përmbahen nga pasojat.
  • DNS e një Direktori Active mbështet azhurnimet dinamike "Vetëm të Sigurt", "Jo të sigurt dhe të sigurt", ose "Asnjë" që është e njëjtë me të thuash JO Përditësime ose Asnjë.
  • Po, vërtet Filozofia e Microsoft nuk pajtohet që klientët e saj NUK do të azhurnojnë të dhënat e tyre në DNS (et) e tyre, nuk do të linte të hapur mundësinë e çaktivizimit të azhurnimeve dinamike në DNS (et) e tyre, përveç nëse ai opsion do të lihet për qëllime më të fshehura.
  • Microsoft ofron "Security" në këmbim të Darkness, siç më tha një koleg dhe mik i cili kaloi kurse të Certifikatave të Microsoftft. E vërtetë. Përveç kësaj, El Fueguino ma konfirmoi atë.
  • Një klient që merr një adresë IP përmes DHCP të instaluar në një makinë UNIX® / Linux për shembull, nuk do të jetë në gjendje të zgjidhë adresën IP të emrit të tij derisa të bashkoheni me domenin e Active Directory, për sa kohë që Microsoft® ose një BIND përdoret si DNS pa azhurnime dinamike nga DHCP.
  • Nëse instaloj DHCP në vetë Active Directory®, atëherë duhet të deklaroj që Zonat azhurnohen nga Microsoft® DHCP.
  • Nëse do të përdorim BIND si DNS për rrjetin Windows, është logjike dhe rekomandohet që të instalojmë dyshen BIND-DHCP, me këtë të fundit që azhurnon dinamikisht BIND dhe çështja e përfunduar.
  • Në botën e rrjeteve LAN në UNIX® / Linux, pasi azhurnimet dinamike u shpikën në BIND, lejohet vetëm Z. DHCP «depërtoj»Për zonjën BIND me azhurnimet e saj. Relaksimi që është me rregull, ju lutem.
  • Kur deklarohem në zonë mordor.tifoz për shembull: lejoni-azhurnoni {10.10.10.0/24; };, Vetë BIND më informon kur e filloj ose e rindez atë:
    • zona 'mordor.fan' lejon azhurnime nga adresa IP, e cila është e pasigurt
  • Në botën e shenjtë UNIX® / Linux, një mend i tillë me DNS është thjesht i papranueshëm.

Ju mund ta imagjinoni pjesën tjetër të shkëmbimit me mikun tim Fuegian Mediante email, Biseda në Telegram, thirrjet telefonike të paguara prej tij (natyrisht burrë, nuk kam një kilogram për këtë), madje edhe mesazhet përmes pëllumbave transportues në shekullin XXI!

Ai madje kërcënoi të mos më dërgonte një djalë të kafshës së tij, Iguana e tij «Petra»Se ai më kishte premtuar si pjesë e pagesës. Atje vërtet u frikësova. Kështu që fillova përsëri, por nga një kënd tjetër.

  • Active Directory "pothuajse" që mund të arrihet me Samba 4, e zgjidh këtë aspekt në një mënyrë mjeshtërore, si kur përdorim DNS-në e tij të Brendshme, ose BIND të përpiluar për të mbështetur zonat DLZ - Zonat e Ngarkuara Dinamyc, ose Zonat e Ngarkuara Dinamikisht.
  • Vazhdon të vuajë nga e njëjta: kur një klient merr një adresë IP përmes një DHCP të instaluar në Otra Makinë UNIX® / Linux, nuk do të jeni në gjendje të zgjidhni adresën IP të emrit tuaj derisa të bashkohet me domenin e Samba 4 AD-DC.
  • Integroni dyshen BIND-DLZ dhe DHCP në të njëjtën makinë ku AD-DC Samba 4 është një punë për një specialist të vërtetë.

Fuegian Ai më thirri në kapitull dhe më bërtiti: NUK flasim AD-DC Samba 4, por Microsoft® Active Directory®! Dhe me përulësi u përgjigja se isha i kënaqur me një pjesë të artikujve vijues që do të shkruaja.

Kjo është kur i thashë atij se, vendimi përfundimtar për azhurnimet dinamike të kompjuterëve klientë në rrjetin e tij u la në vullnetin e tij të lirë. Se unë do t'i jepja vetëm atë bakshish shkruar më parë rreth lejoni-azhurnoni {10.10.10.0/24; };, dhe më shumë asgjë. Se unë nuk isha përgjegjës për atë që rezultoi nga ajo devijim që çdo klient Windows - ose Linux - në rrjetin e tij «do të depërtojë»Pa u ndëshkuar për BIND.

Nëse do ta dinit, miku im, Reader, se kjo ishte pika përfundimtare e sherrit, nuk do ta besonit. Shoku im Fuegian ai e pranoi zgjidhjen - dhe ai do të më dërgojë iguana «petrika«- që tani e ndaj me ju.

Ne instalojmë dhe konfigurojmë DHCP

Për më shumë detaje lexoni DNS dhe DHCP në Debian 8 "Jessie".

root @ dnslinux: ~ # aftësia instalon serverin isc-dhcp

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # Në cilat ndërfaqe serveri DHCP (dhcpd) duhet të shërbejë kërkesat DHCP? # Ndani ndërfaqe të shumta me hapësira, p.sh. "eth0 eth1". INTERFACES = rrënja "eth0" @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
Çelësi i Kdhcp. +157 + 29836

root @ dnslinux: cat # cat Kdhcp-key. +157 + 29836. privat
Formati i çelësit privat: v1.3 Algoritmi: 157 (HMAC_MD5) Çelësi: 3HT / bg / 6YwezUShKYofj5g == Pjesët: AAA = Krijuar: 20170212205030 Publikimi: 20170212205030 Aktivizo: 20170212205030

rrënja @ dnslinux: ~ # nano dhcp.key
çelësi dhcp-kyç {algoritmi hmac-md5; sekret "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

rrënja @ dnslinux: # nano /etc/bind/named.conf.local
// // Bëni ndonjë konfigurim lokal këtu // // Merrni parasysh shtimin e zonave 1918 këtu, nëse ato nuk përdoren në organizatën tuaj // përfshini "/etc/bind/zones.rfc1918"; përfshijnë "/etc/bind/zones.rfcFreeBSD";
// Mos harroni ... Kam harruar dhe paguar me gabime. ;-)
përfshijnë "/etc/bind/dhcp.key";


zona "mordor.fan" {tipi master;
        lejoni-azhurnoni {10.10.10.3; çelësi dhcp; };
        skedari "/var/lib/bind/db.mordor.fan"; }; zona "10.10.10.in-addr.arpa" {tipi master;
        lejoni-azhurnoni {10.10.10.3; çelësi dhcp; };
        skedari "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; zona "_msdcs.mordor.fan" {tipi master; emrat e kontrollit injorojnë; skedari "/etc/bind/db._msdcs.mordor.fan"; };

rrënja @ dnslinux: ~ # quajtur-checkconf 
root @ dnslinux: ~ #

rrënja @ dnslinux: # nano /etc/dhcp/dhcpd.conf
e përkohshme në stilin e azhurnimit; ddns-azhurnimet më; ddns-domain name "mordor.fan."; ddns-rev-domain name "in-addr.arpa."; injoroni azhurnimet e klientit; autoritare; çaktivizimi i ip-it të opsionit; emri i domenit të opsionit "mordor.fan"; përfshijnë "/etc/dhcp/dhcp.key"; zonë mordor.fan. {parësore 127.0.0.1; çelësi dhcp; } zona 10.10.10.in-addr.arpa. {parësore 127.0.0.1; çelësi dhcp; } redlocal i rrjetit të përbashkët {subnet 10.10.10.0 maskë neto 255.255.255.0 {rutera të opsioneve 10.10.10.1; opsioni nën-maskë 255.255.255.0; adresa e transmetimit të opsionit 10.10.10.255; server-opsioni domain-name-server 10.10.10.5; opsionet netbios-name-servera 10.10.10.5; diapazoni 10.10.10.30 10.10.10.250; }} # FUND dhcpd.conf

rrënja @ dnslinux: ~ # dhcpd -t
Konsorciumi i Sistemeve të Internetit DHCP Server 4.3.1 E drejta e autorit 2004-2014 Konsorciumi i Sistemeve të Internetit. Të gjitha të drejtat e rezervuara. Për informacion, ju lutemi vizitoni https://www.isc.org/software/dhcp/ Skedari konfigurues: /etc/dhcp/dhcpd.conf Skedari i bazës së të dhënave: /var/lib/dhcp/dhcpd.leases skedarin PID: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl rinis lidhjen9.shërbim 
root @ dnslinux: ~ # systemctl status bind9.service 

root @ dnslinux: ~ # systemctl start isc-dhcp-server.service
root @ dnslinux: ~ # systemctl status isc-dhcp-server.service

Me çfarë lidhet Kontrolle me klientë, Dhe Modifikimi manual i skedarëve të Zonës, e lëmë për ju, shok lexues, ta lexoni direkt nga DNS dhe DHCP në Debian 8 "Jessie", dhe zbatojeni atë në kushtet tuaja aktuale. Ne bëmë të gjitha kontrollet e nevojshme dhe morëm rezultate të kënaqshme. Sigurisht që ne u dërgojmë një kopje të të gjithë atyre Fuegian. Nuk do të ketë më!

Këshilla

i përgjithshëm

  • Merrni një durim të mirë para se të filloni.
  • Së pari instaloni dhe konfiguroni BIND. Kontrolloni gjithçka dhe shikoni të gjitha rekordet që keni deklaruar në secilën skedar të tre zonave-ose më shumë-, si nga Active Directory ashtu edhe nga vetë serveri DNS në Linux. Nëse është e mundur, nga një makinë Linux që nuk është e bashkuar në domen, bëni pyetjet e nevojshme DNS në BIND.
  • Bashkohuni me një klient Windows me një adresë IP fikse në domenin ekzistues dhe rikontrolloni të gjitha cilësimet BIND nga klienti i Windows.
  • Pasi të jeni pa dyshim i sigurt se konfigurimi i markës suaj të re BIND është plotësisht i saktë, dilni të instaloni, konfiguroni dhe filloni shërbimin DHCP.
  • Në rast gabimesh, përsëritni të gjithë procedurën nga zero 0.
  • Kini kujdes me kopjimin dhe ngjitjen! dhe hapësirat shtesë në secilën rresht të skedarëve të emëruar.conf.xxxx
  • Më pas, ai nuk u ankua - aq më pak te miku im Fuegian - se nuk ishte këshilluar si duhet.

Këshilla të tjera

  • Përça dhe sundo.
  • Në një Rrjeti të NVM-ve është më e sigurt dhe më e dobishme të instaloni një BIND Autoritar për Zonat e Brendshme të LAN-it që nuk përsëritet në asnjë server rrënjë: rekursion jo;.
  • Në një rrjet të NVM-ve të vendosura nën një Ofrues të Qasjes në Internet - ISP, mbase shërbimet Prokurë y SMTP ata duhet të zgjidhin emrat e domain-eve në Internet. kallamar ju keni mundësinë të deklaroni DNS tuaj të jashtëm ose jo, ndërsa jeni në një server postë të bazuar në Postfiks o MDemon® Ne gjithashtu mund të deklarojmë serverat DNS që do të përdorim në atë shërbim. Në raste si kjo, domethënë, raste që nuk ofrojnë shërbime në internet dhe që janë nën një Ofruesi i shërbimit të Internetit, mund të instaloni një BIND me Përcjellësit duke treguar DNS të ISP, dhe deklarojeni atë si DNS sekondar në serverat që duhet të zgjidhin pyetjet e jashtme në LAN, përndryshe është e mundur t'i deklaroni ato përmes skedarëve të tyre të konfigurimit.
  • Nëse keni një Zonë të Deleguar nën tërë përgjegjësinë tuajPastaj një sorrë një gjel:
    • Instaloni një server DNS bazuar në NSD, i cili është një server autoritar DNS sipas përkufizimit, që u përgjigjet pyetjeve nga kompjuterat në internet. Për disa informata tregojnë aftësinë nsd. 😉 Ju lutemi mbrojeni atë shumë mirë me aq mure zjarri sa të jetë e nevojshme. Edhe hardueri edhe softueri. Do të jetë një DNS për internet, dhe se «fytyrë»Nuk duhet ta japim me pantallona të ulëta. 😉
    • Meqenëse nuk e kam parë kurrë veten time në një rast si ky, domethënë personi i ngarkuar me një Zonë të Deleguar, do të më duhet të mendoj shumë mirë se çfarë të rekomandoj për zgjidhjen e emrave të domain-eve jashtë LAN tonë për shërbimet që i nevojiten. . Klientët e Rrjetit të NVM-ve në të vërtetë nuk kanë nevojë për të. Konsultohuni me literaturë të specializuar, ose një specialist në këto lëndë, pasi unë jam larg nga të qenit një prej tyre. Seriozisht.
    • Rekursioni nuk ekziston në serverat autoritarë. Mirë?. Në rast se dikush mendon ta bëjë atë me një BIND.
  • Megjithëse ne specifikojmë në mënyrë të qartë në dosje /etc/dhcp/dhcpd.conf deklarata injoroni azhurnimet e klientit;, nëse ekzekutojmë në një tastierë kompjuteri dnslinux.mordor.fan rendi ditarctl -f, ne do të shohim se kur filloni klientin fitojë7.mordor.fan ne marrim mesazhet e mëposhtme të gabimit:
    • Shkurt 12 16:55:41 dnslinux me emrin [900]: klienti 10.10.10.30 # 58762: azhurnimi 'mordor.fan/IN' mohuar
      Shkurt 12 16:55:42 dnslinux me emrin [900]: klienti 10.10.10.30 # 49763: azhurnimi 'mordor.fan/IN' mohuar
      Shkurt 12 16:56:23 dnslinux me emrin [900]: klienti 10.10.10.30 # 63161: azhurnimi 'mordor.fan/IN' mohuar
      
    • Për të eleminuar këto mesazhe, duhet të shkojmë te opsionet e përparuara të konfigurimit të kartës së rrjetit dhe të zgjedhim opsionin «Regjistroni adresat e kësaj lidhjeje në DNS« Kjo do të parandalojë që klienti të përpiqet të regjistrohet vetë në Linux DNS përgjithmonë dhe fundi i problemit. Na vjen keq, por nuk kam një kopje të Windows 7 në Spanjisht. 😉
  • Për të mësuar në lidhje me të gjitha pyetjet serioze - dhe të çmendura - që bën një klient i Windows 7, shikoni në pyetjet e regjistrit.log qe per dicka ta deklarojme ne konfigurimin BIND. Rendi do të ishte:
    • root @ dnslinux: # bisht -f /var/log/named/queries.log
  • Nëse nuk i lejoni kompjuterët e klientit tuaj të lidhen drejtpërdrejt me internetin, atëherë pse keni nevojë për serverat Root DNS? Kjo do të zvogëlojë ndjeshëm prodhimin e komandës ditarctl -f dhe nga ai i mëparshmi, nëse serveri juaj Autoritar DNS për Zonat e Brendshme nuk lidhet direkt me internetin, gjë që rekomandohet shumë nga pikëpamja e sigurisë.
    root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
    root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root
  • Nëse nuk keni nevojë për deklarimin e serverave root, atëherë pse keni nevojë për Recursion - Recursion?
    rrënja @ dnslinux: n # nano /etc/bind/named.conf.options
    opsione {
     ....
     rekursion jo;
     ....
    };

Këshilla specifike për të cilat ende nuk jam shumë e qartë

El njeri dhcpd.konf na tregon në vijim ndër shumë gjëra të tjera:

        Deklarata e optimizimit të azhurnimit

            flamuri i optimizimit të azhurnimit;

            Nëse parametri i optimizimit të azhurnimit është i rremë për një klient të caktuar, serveri do të provojë një azhurnim DNS për atë klient sa herë që klienti rinovon kontratën e tij, në vend që të provojë vetëm një azhurnim kur duket se është i nevojshëm. Kjo do të lejojë që DNS të shërohet nga mospërputhjet e bazës së të dhënave më lehtë, por kostoja është që serveri DHCP duhet të bëjë më shumë azhurnime të DNS. Ne rekomandojmë të lexoni këtë opsion të aktivizuar, i cili është i paracaktuar. Ky opsion ndikon vetëm në sjelljen e skemës së azhurnimit të përkohshëm të DNS dhe nuk ka asnjë efekt në skemën e azhurnimit ad-hoc të DNS. Nëse ky parametër nuk është specifikuar, ose është i vërtetë, serveri DHCP do të azhurnohet vetëm kur informacioni i klientit ndryshon, klienti merr një kontratë tjetër me qira, ose qiraja e klientit skadon.

Përkthimi ose interpretimi pak a shumë i saktë ju lihet ju, lexues i dashur.

Personalisht, mua më ka ndodhur - dhe ka ndodhur gjatë bërjes së këtij artikulli - që kur lidh një BIND me një Active Directory®, është nga Microsft® ose Samba 4, nëse ndryshoj emrin e një kompjuteri klienti të regjistruar në domain Active Directory® ose i AD-DC të Samba 4, ajo mban emrin e saj të vjetër dhe adresën IP në Zonën Direkte, dhe jo anasjelltas, e cila azhurnohet saktë me emrin e ri. Kjo do të thotë, emrat e vjetër dhe të rinj janë shënuar në të njëjtën adresë IP në Zonën Direkte, ndërsa në të kundërt shfaqet vetëm emri i ri. Për të më kuptuar mirë, duhet ta provosh vetë.

Mendoj se është një lloj hakmarrje ndaj Fuegian - jo tek unë, të lutem - për përpjekjen për të migruar shërbimet e tua në Linux.

Sigurisht që emri i vjetër do të zhduket kur të jetë 3600 TTL, ose kohën që kemi deklaruar në konfigurimin DHCP. Por ne duam që ajo të zhduket menjëherë siç ndodh në një BIND + DHCP pa një Active Directory përmes.

Zgjidhjen e asaj situate e gjeta duke futur deklaratën azhurnimi i optimizimit false; në fund të pjesës së sipërme të skedarit /etc/dhcp/dhcpd.conf:

e përkohshme në stilin e azhurnimit; ddns-azhurnimet më; ddns-domain name "mordor.fan."; ddns-rev-domain name "in-addr.arpa."; injoroni azhurnimet e klientit;
azhurnimi i optimizimit false;

Nëse ndonjë lexues di më shumë për këtë, të lutem më ndriço. Do ta vlerësoj shumë.

Përmbledhje

Ne jemi argëtuar shumë me këtë temë, apo jo? Asnjë vuajtje sepse kemi një BIND që punon si një server DNS në një rrjet Microsoft®, duke ofruar të gjitha të dhënat SRV dhe duke iu përgjigjur në mënyrë të përshtatshme pyetjeve të DNS që u janë bërë. Nga ana tjetër, ne kemi një server DHCP që jep adresat IP dhe azhurnon dinamikisht Zonat BIND në mënyrë korrekte.

Por ne nuk mund të pyesim ... për momentin.

Shpresoj shoku im Fuegian jini të lumtur dhe të kënaqur me hapin e parë në migrimin tuaj në Linux për t'i bërë të përballueshme shpenzimet e padurueshme të Mbështetjes Teknike të Microsft®.

Shënim i rëndësishëm

Personazhi "Fuegian»Completelyshtë plotësisht imagjinar dhe produkt i imagjinatës sime. Çdo ngjashmëri apo rastësi me njerëzit e vërtetë është e njëjta gjë: Rastësia e pastër e pavullnetshme nga ana ime. Unë e krijova atë vetëm për ta bërë shkrimin dhe leximin e këtij artikulli paksa të kënaqshëm. Tani nëse mund të më thuash që çështja DNS është e errët,


Përmbajtja e artikullit i përmbahet parimeve tona të etika editoriale. Për të raportuar një gabim klikoni këtu.

13 komente, lini tuajën

Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet.

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   crespo88 dijo

    Shumë e fortë, pa koment. Meqenëse DNS e Microsoft nuk është e nevojshme. Kini kujdes të mos padisni, hahahaha. Faleminderit për dorëzimin Fico.

  2.   federico dijo

    Me padit? Se i shohin me EL Fueguino. 😉
    Faleminderit mik!!!

  3.   Fasule Haniball dijo

    A nuk ishte më e lehtë për të instaluar zentyal, për të gjithë këtë pjesë të direktorisë aktive?

  4.   dhunter dijo

    Haha, artikulim i shkëlqyeshëm për të montuar lidhjen e fuqishme dhe shoh që Zentyal ju rekomandua në komentin e mësipërm, unë po largohem para se të fillojë të shtënat.

    PS: Domeni i bazuar në Windows është Mordor por nëse montojmë një Samba të pastër do të ishte Gondor apo Rohan apo jo? 😉

  5.   federico dijo

    Unë nuk e rekomandoj përdorimin e Zentyal askujt. Përdorni Windows sepse përdorimi i tij është një realitet në shumë NVM. Për stabilitetin e Zentyal, pyesni mikun dhe kolegun tim Dhunter. 😉

  6.   federico dijo

    Sigurisht që po, shoku dhunter. Me Samba 4 do të quhet tierramedia.fan. 😉

  7.   federico dijo

    Për ata që tashmë e kanë shkarkuar artikullin, jini shumë të kujdesshëm me sa vijon:
    Ku thote
    ; Jini shumë të kujdesshëm me shënimet e mëposhtme
    @ NS dnslinux.mordor.fan.
    @ N A 10.10.10.3

    Duhet thënë saktë

    ; Jini shumë të kujdesshëm me shënimet e mëposhtme
    @ NS dnslinux.mordor.fan.
    @ N A 10.10.10.5

    Kolegu Eduardo Noel ishte ai që kuptoi gabimin tim të pavullnetshëm.

  8.   federico dijo

    Për ata që tashmë e kanë shkarkuar artikullin, jini shumë të kujdesshëm me sa vijon:
    Ku thote
    ; Jini shumë të kujdesshëm me shënimet e mëposhtme
    @ NS dnslinux.mordor.fan.
    @ N A 10.10.10.3

    Duhet thënë saktë

    ; Jini shumë të kujdesshëm me shënimet e mëposhtme
    @ NS dnslinux.mordor.fan.
    @ N A 10.10.10.5

    Kolegu Eduardo Noel ishte ai që kuptoi gabimin tim të pavullnetshëm.

  9.   dhunter dijo

    Për ata që planifikojnë të përdorin Zentyal për diçka serioze, unë ju paralajmëroj që të jeni shumë të kujdesshëm, unë jam duke përdorur dy shoferë Zentyal 4.2 (më 14.04), azhurnuar gjithçka dhe të jenë të kujdesshëm në maksimum, mete shumë të rralla (dhe më të rralla janë përgjigjet në projekti bugzilla, ju Ata ju bëjnë të ndiheni budallenj për përdorimin e diçkaje për të cilën keni aq pak vlerësim), ata ishin pa reagime të jashtëzakonshme për një kohë që mendova se ishin zhdukur dhe papritmas ata lëshojnë 5.0 pa migrim të mundshëm nga 4.2… bukuroshe.

    Raportimi i defekteve në versionin e komunitetit nuk ka kuptim nëse nuk ekzekutoni së bashku me zhvilluesit gjithmonë duke përdorur versionin e fundit, shikoni këtë: https://tracker.zentyal.org/issues/5080#comment:14

    Në fund duhet të vdesësh me një version relativisht të qëndrueshëm dhe ta mundësh derisa të zgjasë, shiko gjërat që zentyal im ka në cron:

    0 7 * * 1-6 /sbin/shutdown -r now

    Siç po thosha ... bukuroshe!

    PS: Me sa duket unë e shpenzoj gjithë këtë punë për të përdorur versionin falas, gjoja versioni me pagesë është serioz, por mendoj se nuk është strategjia më e mirë për të fituar përdorues, një produkt tjetër me një model të ngjashëm biznesi është Proxmox dhe unë krahasova versionin e tij të paguar për e tillë për t'i dhënë para projektit dhe jo sepse versioni falas bie shpejt, Proxmox është një perlë.

  10.   Ismael Alvarez Wong dijo

    Përshëndetje Federico:
    Me çdo artikull të ri ju ngrini ndalimin, shkoni sikur të mos mjaftonte me gjithçka të mbuluar në 3 postimet e mëparshme në lidhje me dyshen BIND + DHCP, tani ju botoni këtë "trung" (më falni shpjeguesin) e artikullit se si të migroni DNS e Microsoft në BIND, si ta azhurnoni atë nga një DHCP në Linux dhe të përmbushni të gjitha sa më sipër bashkëjetojnë me një Direktori Active të Microsoft.
    . Çdo gjë e shkëlqyeshme që lidhet me të dhënat SRV të DNS të një Direktori Active, zonën e tij të drejtpërdrejtë "_msdcs.dominio", si të kapni nga Linux regjistrat e zonave-ose më shumë- të DNS të Microsoft AD për të krijuar bazat e të dhënave tha Zonat në BIND.
    . Veryshtë shumë e dobishme të aktivizoni Regjistrat e pyetjeve në konfigurimin BIND.
    . VLERSISHT këshillën që: Një klient që merr një adresë IP përmes DHCP të instaluar në Linux, nuk do të jetë në gjendje të zgjidhë adresën IP me emrin e tij derisa të bashkohet me domenin e Active Directory. Në shembullin e Laboratorit të artikullit, së pari kompjuterit "win7" i caktohet adresa IP 10.10.10.251 për të bërë kontrolle DNS të domenit "mordor.fan", pastaj bashkohet nga ajo IP fikse në Microsoft AD në mënyrë që së fundmi kur DHCP është instaluar në Linux, kjo është ajo që cakton IP-në e saj dhe në të njëjtën kohë azhurnimet "depërtojnë" në BIND për të shkruar regjistrin e pajisjeve në Zonat Forward dhe Reverse. SHKO SHUMORE T D DETAJUAR NUK DO T F GJENI!
    . Shumë mirë të gjitha konsideratat për Azhurnimet Dinamike në Microsoft® DNS dhe në BIND; si dhe të gjitha këshillat e shpjeguara në seksionin përfundimtar dhe posaçërisht të gjithë zhvillimin dhe zgjidhjen e propozuar për «Këshillin e Veçantë për të cilin ende nuk jam shumë i qartë».
    ! 5 YJET PER AUTORIN! dhe unë ndjek serinë PYMES me interes në rritje!

  11.   federico dijo

    Dhunter: Shkroi Zërin e Përvojës. "Praktika është kriteri më i mirë i së vërtetës."

    Wong: Më ka marrë malli për komentin tuaj - plotësim i artikullit. Shpresoj se një në lidhje me dnsmasq do të dalë së shpejti.

    Faleminderit të dyve për komentet tuaja.

  12.   crespo88 dijo

    Ju nuk keni folur + për partnerin që quhet «El Fueguino», as për vendimin e tij për të filluar migrimin e serverave të tij. Ti vodhe nje tjeter nga Microsoft, hahaha !!!! ????

  13.   federico dijo

    hahahaha shoku crespo88. E shoh që ju ka pëlqyer vala e karakterit imagjinar. Nëse të tjerët ju pëlqejnë, kjo mund të bëjë artikuj mbi tema të dendura më argëtuese. Le të presim për komente të tjera në lidhje me të.

bool (e vërtetë)