Днсмаск и Ацтиве Дирецтори - МСП мреже

Општи индекс серије: Рачунарске мреже за мала и средња предузећа: Увод

Здраво пријатељи! Да бисте правилно разумели и пратили овај чланак је суштинско читајући своје претходнике:

• Днсмаск на ЦентОС 7.3
• БИНД и Ацтиве Дирецтори®

Они објашњавају теоријске и практичне концепте на које се у овом нећемо позивати. Променићемо дистрибуцију у текућој години у Дебиан 8.6 "Јессие" и наставићемо са истим параметрима које користимо у БИНД и Ацтиве Дирецтори®.

• Поступак описан у овом посту важи и за ЦентОС 7. Конфигурациона датотека / етц / днсмаск је иста. Изјављујем га јер сматрам непотребним прављење посебног чланка за Днсмаск и Ацтиве Дирецтори® заснован на ЦентОС. Срећом, директоријуми повезани са документацијом и конфигурацијом су исти,
• Днсмак је творевина Симон Келлеи

Ограничења употребе Днсмаск-а

Због његове важности понављамо ОГРАНИЧЕЊА који подржава Днсмаск -рун ман днсмаск- што одражава тачно Следећа:

ОГРАНИЧЕЊА

• Подразумеване вредности за ограничења ресурса су углавном конзервативне и прикладне за употребу на уређајима типа рутера. заглављен са спорим процесорима и мало меморије. У хардверу више  способан, могуће је повећати ограничења и подржати још много тога купци. Следеће се односи на днсмаск-2.37: претходне верзије не попели су се тако добро.
  

• Днсмаск је способан да подржи ДНС и ДХЦП најмање хиљаду (1,000) купци. Времена закупа не смеју бити прекратка (краћа од једног време). Вредност –днс-форвард-мак се може повећати: почните са еквивалент броја клијената и повећајте га ако ДНС. Имајте на уму да перформансе ДНС-а такође зависе од сервера Узводни ДНС. Величина ДНС кеш меморије се може повећати: ограничење Потребно је 10,000 имена, а подразумевана вредност (150) је врло ниска. Слањем СИГУСР1 на днсмаск добијају се битацоре информације које су Корисно за фино подешавање величине кеш меморије. За детаље погледајте одељак НАПОМЕНЕ.

• Уграђени ТФТП сервер може подржати вишеструке преносе симултане датотеке: апсолутно ограничење је повезано са бројем руковалаца датотекама дозвољеним процесу и способношћу сис‐тем позива селецт () за подршку великом броју руковалаца датотекама. Ако је ограничење постављено превисоко са –тфтп-мак, оно ће бити уклоњено и стварно ограничење ће бити тактирано при покретању. Имајте на уму да више трансфера су могући када се пошаље иста датотека шта када сваки трансференциа шаље другу датотеку. Помоћу днсмаск-а можете забранити веб оглашавање помоћу листе добро познати банер сервери, сви решавају на 127.0.0.1 или 0.0.0.0 у / етц / хостс или у додатној датотеци хостс. Списак може бити веома дугачак. Днсмаск је успешно тестиран са милион имена. За ту величину датотеке потребан је приближно 1ГХз ЦПУ60МБ РАМ-а.

• Днсмаск је способан да подржи ДНС и ДХЦП најмање хиљаду (1,000) купци.

Хајде да инсталирамо и конфигуришемо Јессие и Днсмаск

Кренућемо од нове и чисте инсталације сервера заснованог на Дебиан 8 "Јессие". Односно, оперативни систем без инсталираног графичког интерфејса или другог пакета. Параметри мреже биће исти као и они коришћени у чланку БИНД и Ацтиве Дирецтори®:

Име домена мордор.фан ЛАН мрежа 10.10.10.0/24 ==================================== ============================================ Намена ИП адресе сервера (сервери са ОС Виндовс) ================================================== ===============================
саурон.мордор.фан. 10.10.10.3 Ацтиве Дирецтори® 2008 СР2
мамба.мордор.фан. 10.10.10.4 Виндовс фајл сервер
днс.мордор.фан 10.10.10.5 ДнсМаск Сервер на Јессие
дарклорд.мордор.фан. 10.10.10.6 Проки, гатеваи и фиревалл на Кериос тролл.мордор.фан. 10.10.10.7 Блог заснован на ... не могу се сјетити схадовфтп.мордор.фан. 10.10.10.8 ФТП сервер блацкелф.мордор.фан. 10.10.10.9 Пуна услуга е-поште блацкспидер.мордор.фан. 10.10.10.10 ВВВ услуга палантир.мордор.фан. 10.10.10.11 Ћаскање на Опенфире-у за Виндовс Реал ЦНАМЕ ============================= саурон ад-дц мамба сервер датотека дарклорд прокивеб тролл блог схадовфтп фтпсервер блацкелф маил блацкспидер ввв палантир опенфире

Почетна подешавања днс.мордор.фан сервера

роот @ днс: ~ # нано / етц / хостнаме
ДНС

роот @ днс: ~ # нано / етц / хостс
127.0.0.1 лоцалхост 10.10.10.5 днс.мордор.фан днс # Следеће линије су пожељне за хостове који подржавају ИПв6 :: 1 лоцалхост ип6-лоцалхост ип6-лоопбацк фф02 :: 1 ип6-аллнодес фф02 :: 2 ип6-аллроутерс

роот @ днс: ~ # нано / етц / нетворк / интерфацес
# Ова датотека описује мрежне интерфејсе доступне на вашем систему # и како их активирати. За више информација погледајте интерфејси (5). извор /етц/нетворк/интерфацес.д/* # Повратни мрежни интерфејс ауто ло ифаце ло инет лоопбацк # Примарни мрежни интерфејс аллов-хотплуг етх0 ифаце етх0 инет статичка адреса 10.10.10.5 нетмаск 255.255.255.0 мрежа 10.10.10.0 емитовање 10.10.10.255. 10.10.10.1 гатеваи 127.0.0.1 # днс- * опције су имплементиране пакетом ресолвцонф, ако су инсталирани днс-намесерверс XNUMX днс-сеарцх мордор.фан

Инсталирајмо Днсмаск и хтоп

роот @ днс: ~ # аптитуде инсталирај днсмаск хтоп

Након инсталирања пакета хтоп можемо да проверимо потрошњу процесора и меморије опреме. Потрошио је само око 71 мегабајта РАМ-а. Ако желимо још више да смањимо потрошњу, можемо да инсталирамо пакет ССМТП -једноставно МТА- што заузврат очисти пакет Еким4 да се Дебиан увијек инсталира по дефаулту и да нам заиста није потребан у складу с употребом коју ћемо пружити овом серверу:

роот @ днс: ~ # аптитуде инсталл ссмтп
роот @ днс: ~ # уклањање способности ~ ц
роот @ днс: ~ # аптитуде цлеан
роот @ днс: ~ # аптитуде аутоцлеан
роот @ днс: ~ # системцтл рестарт

Након поновног покретања рачунара потрошња је следећа:

Ниско, зар не? Идемо даље.

Назначимо да Днсмаск такође консултује Мицросфт® ДНС

Да бисте тестирали могуће Днсмаск конфигурације на рачунару днс.мордор.фан, морамо укључити изјаву која указује на то да је консултован Мицрософт ДНС сервера саурон.мордор.фан. То можемо учинити укључујући директиву сервер = / мордор.фан / 10.10.10.3 у архиву днсмаск.цонф -као што ћемо видети касније- или додавањем реда намесервер КСНУМКС у архиву / Етц / ресолв.цонф. Како Днсмаск још нисмо конфигурисали према нашим потребама, бирамо други начин:

роот @ днс: ~ # нано /етц/ресолв.цонф
домена мордор.фан
намесервер КСНУМКС
намесервер КСНУМКС

Сада можемо да решимо ДНС упите

Са подразумеваном конфигурацијом Днсмаск-а коју пружа његова главна датотека /етц/днасмк.цонф, и са оним што је декларисано у датотеци / Етц / ресолв.цонф са самог сервера «ДНС«, Било који клијент повезан са ЛАН-ом и који се прогласио као ДНС сервер днс.мордор.фан- ДНС упите можете да решите на штету Мицрософт® ДНС-а за сада…

• Веома је важно проверити брзину одзива Днсмаск-а када приказује његов статус као Прослеђивач пуким укључивањем ИП 10.10.10.3 у вашу датотеку / Етц / ресолв.цонф.

Из своје административне радне станице и подршке свих прибора преко којих пишем, водим:

бузз @ сисадмин: ~ $ цат /етц/ресолв.цонф 
# Генерисано од НетворкМанагер домена мордор.фан намесервер 10.10.10.5

бузз @ сисадмин: ~ $ нслоокуп
> ДНС
Сервер: 10.10.10.5 Адреса: 10.10.10.5 # 53 Име: днс.мордор.фан Адреса: 10.10.10.5

> саурон
Сервер: 10.10.10.5 Адреса: 10.10.10.5 # 53

Неауторитативни одговор:
Име: саурон.мордор.фан Адреса: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Сервер: 10.10.10.5 Адреса: 10.10.10.5 # 53 03296249-82а1-49аа-а4ф0-28900ф5д256б._мсдцс.мордор.фан канонско име = саурон.мордор.фан. Име: саурон.мордор.фан Адреса: 10.10.10.3

> КСНУМКС
Сервер: 127.0.0.1 Адреса: 127.0.0.1 # 53 3.10.10.10.ин-аддр.арпа наме = саурон.мордор.фан.

> КСНУМКС
Сервер: 127.0.0.1 Адреса: 127.0.0.1 # 53 9.10.10.10.ин-аддр.арпа наме = блацкелф.мордор.фан.

> КСНУМКС
Сервер: 127.0.0.1 Адреса: 127.0.0.1 # 53 5.10.10.10.ин-аддр.арпа наме = днс.мордор.фан.

> пошта
Сервер: 10.10.10.5 Адреса: 10.10.10.5 # 53 Неауторитативни одговор: маил.мордор.фан канонско име = блацкелф.мордор.фан. Име: блацкелф.мордор.фан Адреса: 10.10.10.9> излаз

бузз @ сисадмин: ~ $

Погледајмо ближе следеће аспекте:

• днс.мордор.фан директно одговара на ДНС упите које може да реши у складу са вашим тренутним Днсмаск подешавањима. Ако не можете да их решите, то делује као Прослеђивач и пита ИП 10.10.10.3 да ли може да одговори на упит. На питање о ИП опреми «ДНС«, Одговара директно. Када се Днсмаск пита ко је то «саурон",?, направити прослеђивање да 10.10.10.3 -Не можете директно одговорити јер га још увек нисте регистровали- ко враћа тачан неауторитарни одговор.
• На питање ко је «03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan"?, направити прослеђивање и овог пута добијате ауторитативни одговор од Мицрософт® ДНС-а.
• Велика брзина одговора Днсмаск-а за било коју врсту упита.

То су мали детаљи који љубав чине великом ;-).

Основне разлике између Днсмаск-а и БИНД-а интегрисаних са Ацтиве Дирецтори®

Покренимо неколико ДНС упита на записима СОА y NS домена мордор.фан, сваком од укључених сервера имена:

бузз @ сисадмин: ~ $ хост -т СОА мордор.фан 10.10.10.3
Коришћење домена сервера: Име: 10.10.10.3 Адреса: 10.10.10.3 # 53 псеудоними: 
мордор.фан има СОА запис саурон.мордор.фан. хостмастер.мордор.фан. 56 900 600 86400 3600 XNUMX

бузз @ сисадмин: ~ $ хост -т СОА мордор.фан 10.10.10.5
Коришћење домена сервера: Име: 10.10.10.5 Адреса: 10.10.10.5 # 53 псеудоними: 
мордор.фан има СОА запис саурон.мордор.фан. хостмастер.мордор.фан. 56 900 600 86400 3600 XNUMX

бузз @ сисадмин: ~ $ хост -т НС мордор.фан 10.10.10.5
Коришћење домена сервера: Име: 10.10.10.5 Адреса: 10.10.10.5 # 53 псеудоними: 
мордор.фан сервер имена саурон.мордор.фан.

бузз @ сисадмин: ~ $ хост -т НС мордор.фан 10.10.10.3
Коришћење домена сервера: Име: 10.10.10.3 Адреса: 10.10.10.3 # 53 псеудоними: 
мордор.фан сервер имена саурон.мордор.фан.

Одговори су идентични - што је и логично - јер увек одговори саурон.мордор.фан. пре ДНС упита о записима СОА o NS, Иако чини се шта одговара днс.мордор.фан. Међутим, разликује се од онога што се види у чланку БИНД и Ацтиве Дирецтори® где смо у потпуности уклонили функционалност Мицрософт® ДНС-а. У том чланку СВИ ДНС упити о Домино именском простору мордор.фан БИНД им је одговорио, јер смо га тако конфигурисали и зато што БИНД одговара на упите СОА y NS поред допуштања шеме Господар - роб, Зоне трансфер итд., Па је према томе комплетнији ДНС сервер - сложен.

Можда су то главне разлике између ДНС-а Днсмаск-а и БИНД-а ... перо БИНД - увек може бити један или више, али нема ДХЦП сервер који се беспрекорно интегрише са ДНС сервером у један даемонд, и без потребе за ТСИГ кључевима, конфигурационим датотекама, базама података зона, итд., као што смо видели у претходним чланцима.

• Мислим да ће до сада, драги читаоци, схватити да не мрзим БИНД нити да више волим Днсмаск него БИНД. Будуће расправе о томе тотално су губљење времена, јер има много везе са потребама, захтевима, укусима, преференцијама и .... свако решење има своју драж ;-).

• У сличним сценаријима, дозволите свима да инсталирају и конфигуришу софтвер по свом избору и да знају више о њему. и да све функционише према очекивањима.

Предности комбинације Днсмаск + Ацтиве Дирецтори®

Овом комбинацијом имамо читав низ одговора на ДНС упите и ефикасно средство за закуп ИП адреса за наш СМЕ ЛАН. Као што ћемо видети касније, исправно функционише у било којој ситуацији у вези са тим да ли је рачунар придружен Мицрософт® Ацтиве Дирецтори® контролору домене. Поред тога, имамо ДНС и ДНС сервер Прослеђивач пар екцелленце, плус врло брз ДХЦП сервер. И све то са мало потражње за ресурсима. Хоћеш више?

Да ли је могуће Днсмаск + БИНД?

Дефинитивно да. Иако препоручујем да се инсталирају на различите рачунаре како не би дошло до судара због толико вољеног порта 53 ДНС услуге. Можда и нешто о томе видимо кад дођемо до АД-ДЦ са седиштем на Самби 4. Ко зна?

Савети о Днамаску

• Основне радне датотеке за Днсмаск за пружање ДХЦП и ДНС услуга на ЛАН-у су: /етц/днсмаск.цонф, / Етц / хостс, /вар/либ/мисц/днсмаск.леасес, И / Етц / ресолв.цонф. Фајл днсмаск.леасес креира се када закупите своју прву ИП адресу.
• Још једна датотека посла коју можете користити је / етц / етерс. Ако таква датотека постоји, директива етери за читање декларисан у датотеци конфигурације, каже Днсмаск-у да га прочита. Веома је корисно када се односимо МАЦ адресе / имена хостова у одређене сврхе.
• ДНС услуга може бити потпуно онемогућена коришћењем директиве порт = 0 у днсмаск.цонф.
• ДХЦП услуга за један или више мрежних интерфејса може се онемогућити директивама -један за сваку линију- но-дхцп-интерфаце = етх0, но-дхцп-интерфаце = етх1, и тако даље. Веома корисно када смо испред тима са 2 или више мрежних интерфејса и желимо да ДХЦП услугу пружа само један од њих или ниједан. Наравно, ако онемогућимо ДХЦП услугу за све интерфејсе, оставићемо само да ради ДНС услуга. Ако онемогућимо обе услуге, зашто нам је онда потребан Днсмаск? 😉
• Да то изјаве другим ДНС серверима имена домена не су јавни или екстерни у односу на ЛАН - као у случају Мицрософт ДНС-а - то радимо путем директиве сервер = / име домена / ДНС сервер ИП у архиву /етц/днсмаск.цонф. Пример: сервер = / мордор.фан / 10.10.10.3.
• Да кажемо Днсмаск-у да на упите о локалним доменима одговарају само из датотеке / Етц / хостс или путем вашег ДХЦП-а, морамо додати директиву локално = / лоцалнет / у главној датотеци ваше конфигурације. Пример: локално = / мордор.фан /.
• Да бисте правилно конфигурисали датотеку / Етц / ресолв.цонф - Ресолвер предлажемо да прочитате његов приручник помоћу наредбе човек резолуција.конф. Ако инсталирате Дебиан 8.6 "Јессие", видећете да је добро написан на шпанском.
• Днсмаск не користи датотеке зона за одговарање на директне или обрнуте упите.
• Да се ​​зна значење сваког поља «посебан»То се користи у декларацији евиденције ресурса СРВ, требало би да се консултујете БИНД и Ацтиве Дирецтори®. Синтакса СРВ записа у датотеци /етц/днсмаск.цонф То је следеће:

  срв-хост = , , , ,

Читаоци који желе да сазнају више, пажљиво прочитајте оригиналну датотеку /етц/днсмаск.цонф или постојећих докумената у директоријуму / уср / схаре / доц / днсмаск-басе.

роот @ днс: ~ # лс -л / уср / схаре / доц / днсмаск-басе /
укупно 128 -рв-р - р-- 1 роот роот 883 5. маја 2015. цопиригхт -рв-р - р-- 1 роот роот 36261 5 2015. маја 1. цхангелог.арцхиве.гз -рв-р - р-- 11297 роот роот 5 2015. маја 1. цхангелог.Дебиан.гз -рв-р - р-- 26014 роот роот 5 2015. 1. 2084. цхангелог.гз -рв-р - р-- 5 роот роот 2015 1. 4297. 5. ДБус-интерфаце. гз -рв-р - р-- 2015 роот роот 2 4096. маја 19. доц.хтмл дрвкр-кр-к 17 роот роот 52 1. фебруара 9721:5 примери -рв-р - р-- 2015 роот роот 1 4180. маја 5 ФАК.гз -рв-р - р-- 2015 роот роот 1 12019. мај 5. РЕАДМЕ.Дебиан -рв-р - р-- 2015 роот роот XNUMX XNUMX. XNUMX. XNUMX сетуп.хтмл

Конфигуришемо Днсмаск и Ресолвер

Као почетни водич узећемо - промену имена и других, наравно - конфигурациону датотеку која се користи у чланку «Днсмаск на ЦентОС 7.3".

Не заборавимо следећи корак:

[роот @ днс ~] # мв /етц/днсмаск.цонф /етц/днсмаск.цонф.оригинал

Фиксне ИП адресе

Адресе сервера или опреме за које је потребан фиксни ИП ИПвКСНУМКС као ИПвКСНУМКС- су декларисани у датотеци / Етц / хостс:

[роот @ днс ~] # нано / етц / хостс
127.0.0.1 лоцалхост # Следеће линије су пожељне за хостове који подржавају ИПв6 :: 1 лоцалхост ип6-лоцалхост ип6-лоопбацк фф02 :: 1 ип6-аллнодес фф02 :: 2 ип6-аллроутерс # Сервери и рачунари са фиксним ИП-овима. 10.10.10.1 сисадмин.мордор.фан 10.10.10.3 саурон.мордор.фан 10.10.10.4 мамба.мордор.фан 10.10.10.5 днс.мордор.фан 10.10.10.6 дарклорд.мордор.фан 10.10.10.7 тролл.мордор.фан 10.10.10.8. 10.10.10.9 схадовфтп.мордор.фан 10.10.10.10 блацкелф.мордор.фан 10.10.10.11 блацкспидер.мордор.фан XNUMX палантир.мордор.фан

Креирајмо датотеку /етц/днсмаск.цонф

[роот @ днс ~] # нано /етц/днсмаск.цонф
# ------------------------------------------------- ------------------ # ГЕНЕРАЛНЕ ОПЦИЈЕ # ----------------------------- ---------------------------------------потребан домен # Не прослеђујте имена без дела домена лажни-прив # Не прослеђујте адресе у непроустеном простору екпанд-хостс # Аутоматски додај домену у хост интерфаце = етх0 # Интерфаце.  ПАЗИТЕ на интерфејс # осим-интерфаце = етх1 # НЕМОЈТЕ слушати овај НИЦ строги редослед # Редослед у којем прегледавате датотеку /етц/ресолв.цонф # Укључите много више опција конфигурације # кроз датотеку или проналажењем конфигурационих # датотека додатни у директоријуму # цонф-филе = / етц / днсмаск.море.цонф цонф-дир = / етц / днсмаск.д # Односи се на име домена домаин = мордор.фан # Име домена # Сервер времена је 10.10.10.1. 10.10.10.1 аддресс = / тиме.виндовс.цом / XNUMX # Шаље празну опцију вредности ВПАД.  Обавезно за # Виндос 7 и новије клијенте да се понашају исправно.  ;-) дхцп-оптион = 252, "\ н" # Датотека у којој ћемо прогласити ХОСТОВЕ који ће бити "забрањени" аддн-хостс = / етц / баннер_адд_хостс # Консултујте Мицрософт® ДНС сервер "саурон" ако # пустимо да се покрене сервер = / мордор.фан / 10.10.10.3 # На упите о локалним доменима одговараће # са / етц / хостс или путем локалног ДХЦП = / мордор.фан / # На упите о ПТР-у или обрнутим записима одговарат ће # сервери "днс" и "саурон" у том редоследу сервер = / 10.10.10.ин-аддр.арпа / 10.10.10.5 сервер = / 10.10.10.ин-аддр.арпа / 10.10.10.3 # ------- -------------------------------------------------- ---------- # РЕГИСТРОСЦНАМЕМКСТКСТ # ------------------------------------- ------------------------------ # Ова врста регистрације захтева унос # у датотеци / етц / хостс #, нпр: 10.10.0.7 тролл.мордор.фан тролл # цнаме = АЛИАС, РЕАЛ_НАМЕ цнаме = ад-дц.мордор.фан, саурон.мордор.фан цнаме = филесервер.мордор.фан, мамба.мордор.фан цнаме = прокивеб.мордор.фан , дарклорд.мордор.фан цнаме = блог.мордор .фан, тролл.мордор.фан цнаме = фтпсервер.мордор.фан, схадовфтп.мордор.фан цнаме = маил.мордор.фан, блацкелф.мордор.фан цнаме = ввв.мордор.фан, блацкспидер.мордор.фан цнаме = опендире .мордор.фан, палантир.мордор.фан # МКС РЕЦОРДС # Враћа МКС запис са именом „мордор.фан“ намењен # за тим блацкелф.мордор.фан и приоритетом од 10 мк-хост = мордор.фан, маил. мордор.фан, 10 # Подразумевано одредиште за МКС записе створене # помоћу опције лоцалмк биће: мк-таргет = маил.мордор.фан # Враћа МКС запис који показује на мк-таргет за СВЕ # локалне лоцалмк машине # ТКСТ записа. 

дхцп-леасе-мак = 222 # Максималан број адреса за закуп
                        # је подразумевано 150
# Опсег ИПВ6 # дхцп-ранге = 1234 ::, ра-онли # Опције за РАНГЕ # ОПТИОНС дхцп-оптион = 1,255.255.255.0 # НЕТМАСК дхцп-оптион = 3,10.10.10.253 # РОУТЕР ГАТЕВАИ дхцп-оптион = 6,10.10.10.5 .15 # ДНС сервери дхцп-оптион = 19,1, мордор.фан # ДНС име домена дхцп-оптион = 28,10.10.10.255 # оптион ип-форвардинг ОН дхцп-оптион = 42,10.10.10.1 # БРОАДЦАСТ дхцп-оптион = 40. 41,10.10.10.3 # НТП # дхцп-оптион = 44,10.10.10.3, МОРДОР # НИС Име домена # дхцп-оптион = 45,10.10.10.3 # НИС Сервер # дхцп-оптион = 73,10.10.10.3 # ВИНС # дхцп-оптион = 46,8 # НетБИОС датаграми # дхцп-оптион = XNUMX # Фингер Сервер # дхцп-оптион = XNUMX # НетБИОС чвор дхцп-ауторитативни # Ауторитативни ДХЦП у подмрежи # ------------- -------------------------------------------------- ---- # --------------------------------------------- ---------------------- # ПРИЈАВА таил -ф / вар / лог / сислог или јоурналцтл -ф # ------------ -------------------------------------------------- ----- лог-куериес # ----------------------------------------- -------------------------- # Ре А и СРВ записи који одговарају Ацтиве Дирецтори # ----------------------------------------- --------------------------
# Записи А.
аддресс = / гц._мсдцс.мордор.фан / 10.10.10.3 аддресс = / ДомаинДнсЗонес.мордор.фан / 10.10.10.3 аддресс = / ФорестДнсЗонес.мордор.фан / 10.10.10.3

# Мицрософт ДНС Зоне ЦНАМЕ запис _мсдцс.мордор.фан
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# СРВ записа
# срв-хост = , , , ,

# Глобални каталог # Мицрософт ДНС зона _мсдцс.мордор.фан
срв-хост = _лдап._тцп.гц._мсдцс.мордор.фан, саурон.мордор.фан, 3268,0,0 срв-хост = _лдап._тцп.Дефаулт-Фирст-Сите-Наме._ситес.гц._мсдцс.мордор .фан, саурон.мордор.фан, 3268,0,0
# Мицрософт ДНС зона мордор.фан
срв-хост = _гц._тцп.мордор.фан, саурон.мордор.фан, 3268,0,0 срв-хост = _гц._тцп.Дефаулт-Фирст-Сите-Наме._ситес.мордор.фан, саурон.мордор.фан .3268,0,0

# Модификовани и приватни ЛДАП активног директоријума
# Мицрософт ДНС зона _мсдцс.мордор.фан
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# Мицрософт ДНС зона мордор.фан
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# КЕРБЕРОС измењен и приватан из Ацтиве Дирецтори-а
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

# ЕНД датотеке /етц/днсмаск.цонф
# ------------------------------------------------- ------------------

Креирајмо датотеку / етц / баннер_адд_хост

[роот @ днс ~] # нано / етц /баннер_адд_хостс
127.0.0.1 виндовсупдате.цом 127.0.0.1 цтлдл.виндовсупдате.цом 127.0.0.1 оцсп.верисигн.цом 127.0.0.1 цсц3-2010-црл.верисигн.цом 127.0.0.1 ввв.мсфтнцси.цом 127.0.0.1 ипв6.мсфтнцси.цом 127.0.0.1 тередо.ипв6.мицрософт.цом 127.0.0.1 дс.довнлоад.виндовсупдате.цом 127.0.0.1 довнлоад.мицрософт.цом 127.0.0.1 фе2.упдате.мицрософт.цом 127.0.0.1 црл.мицрософт.цом 127.0.0.1 ввв .довнлоад.виндовсупдате.цом 127.0.0.1 вин8.ипв6.мицрософт.цом 127.0.0.1 спинет.мицрософт.цом 127.0.0.1 спинет1.мицрософт.цом 127.0.0.1 спинет2.мицрософт.цом 127.0.0.1 спинет3.мицрософт.цом 127.0.0.1. 4 спинет127.0.0.1.мицрософт.цом 5 спинет127.0.0.1.мицрософт.цом 15 оффице127.0.0.1цлиент.мицрософт.цом 127.0.0.1 аддонс.мозилла.орг XNUMX црл.верисигн.цом

[роот @ днс ~] # днсмаск --тест
днсмаск: синтакса је у реду.

[роот @ днс ~] # системцтл поново покрените днсмаск.сервице 
[роот @ днс ~] # системцтл статус днсмаск.сервице

Изменимо датотеку /етц/ресолв.цонф - Ресолвер

роот @ днс: ~ # нано /етц/ресолв.цонф 
домаин мордор.фан сеарцх мордор.фан

Зашто у датотеци нисмо декларисали уобичајене редове ресолв.цонф? Јер ми изјављујемо у днсмаск.цонф следеће смернице:

# Консултујте Мицрософт® ДНС сервер „саурон“ ако га # пустимо да ради
сервер = / мордор.фан / 10.10.10.3

# На упите о локалним доменима одговараће # са / етц / хостс или путем ДХЦП-а
локално = / мордор.фан /

# На упите о ПТР или обрнутим записима одговориће # сервери "днс" и "саурон" тим редоследом
сервер = / 10.10.10.ин-аддр.арпа / 10.10.10.5 сервер = / 10.10.10.ин-аддр.арпа / 10.10.10.3

Упити са сисадмин.мордор.фан

Датотека / Етц / ресолв.цонф овог тима је:

бузз @ сисадмин: ~ $ цат /етц/ресолв.цонф
# Генерирано од стране НетворкМанагер сеарцх мордор.фан намесервер 10.10.10.5

бузз @ сисадмин: ~ $ хост -т На спинет4.мицрософт.цом
спинет4.мицрософт.цом има адресу 127.0.0.1

бузз @ сисадмин: ~ $ хост -т На ввв.довнлоад.виндовсупдате.цом
ввв.довнлоад.виндовсупдате.цом има адресу 127.0.0.1

зујање@сисадмин: ~ $ диг днс
бузз @ сисадмин: ~ $ диг днс.мордор.фан
;; ОДЕЉАК ПИТАЊА:; днс.мордор.фан. ИН А ;; ОДЈЕЉАК ОДГОВОРА: днс.мордор.фан. 0 У 10.10.10.5

бузз @ сисадмин: ~ $ хост -т СРВ _лдап._тцп.гц._мсдцс
бузз @ сисадмин: ~ $ хост -т СРВ _лдап._тцп.гц._мсдцс.мордор.фан
_лдап._тцп.гц._мсдцс.мордор.фан има запис СРВ 0 0 3268 саурон.мордор.фан.

бузз @ сисадмин: ~ $ диг _лдап._тцп.гц._мсдцс.мордор.фан
;; ОДЕЉАК ПИТАЊА :; _лдап._тцп.гц._мсдцс.мордор.фан. ИН А ;; ОДЈЕЉАК ОДГОВОРА: _лдап._тцп.гц._мсдцс.мордор.фан. 0 У 10.10.10.3

бузз @ сисадмин: ~ $ диг мордор.фан акфр
бузз @ сисадмин: ~ $ диг 10.10.10.ин-аддр.арпа акфр

И на тај начин, колико консултација нам треба

Днсмаск + Ацтиве Дирецтори® + Мицрософт® Виндовс клијенти

Преименовање Мицрософт® Виндовс клијента

седам.мордор.фан закупљена ИП адреса:

роот @ днс: ~ # цат /вар/либ/мисц/днсмаск.леасес 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

Преименујмо «седам»-Који се није придружио домени Ацтиве Дирецтори-а«еукалиптус«. Након промене и поновног покретања проверавамо:

роот @ днс: ~ # цат /вар/либ/мисц/днсмаск.леасес 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

Историја промена се може видети из „сисадмин-а“:

бузз @ сисадмин: ~ $ хост -т Седам
севен.мордор.фан има адресу 10.10.10.115

Након промене имена

бузз @ сисадмин: ~ $ хост -т Седам
седам нема рекорд А

бузз @ сисадмин: ~ $ хост -т А еукалиптус
еуцалиптус.мордор.фан има адресу 10.10.10.115

Упити клијента еуцалиптус.мордор.фан

Виндовс [верзија КСНУМКС]
Ауторска права (ц) 2009 Мицрософт Цорпоратион. Сва права задржана.

Ц: \ Усерс \ бузз> нслоокуп
Подразумевани сервер: днс.мордор.фан Адреса: 10.10.10.5

> саурон
Сервер: днс.мордор.фан Адреса: 10.10.10.5 Име: саурон.мордор.фан Адреса: 10.10.10.3

> мордор.фан
Сервер: днс.мордор.фан Адреса: 10.10.10.5 Име: мордор.фан Адреса: 10.10.10.3

> еукалиптус
Сервер: днс.мордор.фан Адреса: 10.10.10.5 Име: еуцалиптус.мордор.фан Адреса: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Сервер: днс.мордор.фан Адреса: 10.10.10.5 Име: саурон.мордор.фан Адреса: 10.10.10.3 Псеудоними: 03296249-82а1-49аа-а4ф0-28900ф5д256б._мсдцс.мордор.фан

> сет типе = СРВ
> _керберос._удп.мордор.фан
Сервер: днс.мордор.фан Адреса: 10.10.10.5 _керберос._удп.мордор.фан СРВ локација услуге: приоритет = 0 тежина = 0 порт = 88 свр име хоста = саурон.мордор.фан саурон.мордор.фан Интернет адреса = 10.10.10.3. XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
Сервер: днс.мордор.фан Адреса: 10.10.10.5 _лдап._тцп.18д3360д-8фдб-40цф-а678-д7ц420б6д775.домаинс._мсдцс.мордор.фан СРВ локација услуге: приоритет = 0 тежина = 0 порт = 389 свр хостнаме = саурон .мордор.фан саурон.мордор.фан Интернет адреса = 10.10.10.3

> излаз

Ц: \ Усерс \ бузз>

Регистрација Виндовс клијената у Мицрософт® ДНС

Виндовс клијенти који нису придружени Ацтиве Дирецтори® домену

Морамо да проверимо да ли су ИП адресе које су закупили различити Виндовс клијенти од Днсмаска тачно регистроване у Мицрософт® ДНС. Може утицати начин на који укључујемо динамичка ажурирања - Динамичка ажурирања у Мицрософт® ДНС зонама Ацтиве Дирецтори®. Полазимо од подразумеване конфигурације Мицрософт ДНС-а која омогућава само сигурна динамичка ажурирања - Динамичка ажурирања -> Само безбедно, у свакој од својих зона.

Имајте на уму да је клијент са тренутним ФКДН еуцалиптус.мордор.фан не је повезан са доменом Ацтиве Дирецтори (или Самба4 АД-ДЦ) и изузетак је Мицрософтовог правила да «Само клијенти регистровани у Мојој домени имат ће дозволу путем Мог механизма за ажурирање - којег ја само знам - да се региструју у свом ДНС-у«. Срећом Самба4 АД-ДЦ нас научи понешто о томе.

еуцалиптус.мордор.фан изнајмљено ИП 10.10.10.115:

бузз @ сисадмин: ~ $ хост -т А еукалиптус
еуцалиптус.мордор.фан има адресу 10.10.10.115

Променимо му име у «махагонија«, Поново покренимо Виндовс 7 и видимо шта ће се догодити када тражимо имена«еукалиптус"И"махагонија»За сваки од ДНС-а, прво за Мицрософт ДНС, а затим за Днсмаск:

бузз @ сисадмин: ~ $ хост -т А еуцалиптус.мордор.фан 10.10.10.3
Коришћење домена сервера: Име: 10.10.10.3 Адреса: 10.10.10.3 # 53 псеудоними: 

Домаћин еуцалиптус.мордор.фан није пронађен: 3 (НКСДОМАИН)

бузз @ сисадмин: ~ $ хост -т Махагони.мордор.фан 10.10.10.3
Коришћење домена сервера: Име: 10.10.10.3 Адреса: 10.10.10.3 # 53 псеудоними: 

Домаћин махагони.мордор.фан није пронађен: 3 (НКСДОМАИН)

бузз @ сисадмин: ~ $ хост -т А еуцалиптус.мордор.фан 10.10.10.5
Коришћење домена сервера: Име: 10.10.10.5 Адреса: 10.10.10.5 # 53 псеудоними: 

Домаћин еуцалиптус.мордор.фан није пронађен: 3 (НКСДОМАИН)

бузз @ сисадмин: ~ $ хост -т Махагони.мордор.фан 10.10.10.5
Коришћење домена сервера: Име: 10.10.10.5 Адреса: 10.10.10.5 # 53 псеудоними: 

махогани.мордор.фан има адресу 10.10.10.115

Можемо променити име Виндовс 7 клијента који не је приложен уз домен мордор.фан Ацтиве Дирецтори® онолико пута колико желимо, да Мицрософт® ДНС не сазна за ове промене или да такав клијент постоји. Да ли је могуће да је то само зато што смо одабрали опцију  Динамичка ажурирања -> Само безбедно у свакој зони Мицоросфт ДНС-а?.

Да би господин Мицрософт® ДНС знао за промене, морамо да изаберемо Динамичка ажурирања -> Несигурна и сигурна. Ова опција, драги читаоци, подразумева значајну рањивост сигурности било ког сервера домена који се поштује, било да је то Мицросфт® или УНИКС® / Линук. Мицрософт® ДНС упозорава на рањивост јер нам на крају нуди само модификовани и приватизовани БИНД «Сигурност за мрак«. Ако не, зашто препоручујете уштеду на свом познатом регистрација сва ДНС подешавања и евиденције вашег Мицрософт® ДНС-а када имплементирамо Ацтиве Дирецтори®?. Поред подршке за небезбедна ажурирања Мицрософт® ДНС-а, у конфигурацији мрежне картице клијента за Виндовс 7 потребна је следећа промена:

Хајде да проверимо:

бузз @ сисадмин: ~ $ хост -т Махагони.мордор.фан 10.10.10.3
Коришћење сервера домена: Име: 10.10.10.3 Адреса: 10.10.10.3 # 53 псеудоними: цаоба.мордор.фан има адресу 10.10.10.115

бузз @ сисадмин: ~ $ хост 10.10.10.115 10.10.10.3
Коришћење сервера домена: Име: 10.10.10.3 Адреса: 10.10.10.3 # 53 Псеудоними: 115.10.10.10.ин-аддр.арпа показивач имена домена махогани.мордор.фан.

бузз @ сисадмин: ~ $ хост -т Махагони 10.10.10.5
Коришћење сервера домена: Име: 10.10.10.5 Адреса: 10.10.10.5 # 53 псеудоними: цаоба.мордор.фан има адресу 10.10.10.115

бузз @ сисадмин: ~ $ хост 10.10.10.115 10.10.10.5
Коришћење сервера домена: Име: 10.10.10.5 Адреса: 10.10.10.5 # 53 Псеудоними: 115.10.10.10.ин-аддр.арпа показивач имена домена махогани.мордор.фан.

Да сада. Каква лепа синхронизација за два ДНС сервера која нису синхронизована ни на који начин!

Виндовс клијенти придружени Ацтиве Дирецтори® домену

Ујединимо клијента махагони.мордор.фан на Домен, али не пре него што смо елиминисали модификацију коју смо извршили у конфигурацији ваше мрежне картице, ако смо то у неком тренутку урадили да бисмо проверили тачку претходног поглавља. Такође избришите унос за «махагонија»У Мицрософт-у® ДНС, и вратите динамичка ажурирања на тачку порекла «Само сигурно«. Иначе, ваљано је поново покренути Мицрософт услугу® ДНС.

Након придруживања домени, и поред свих наших напора, клијент «махагонија»Није регистрован у Мицрософт® ДНС. Чак смо се изјаснили у днсмаск.цонф -темпорари- да је први ДНС сервер 10.10.10.3.

Виндовс [верзија КСНУМКС]
Ауторска права (ц) 2009 Мицрософт Цорпоратион. Сва права задржана.

Ц: \ Усерс \ саруман> ипцонфиг / алл

Име хоста за Виндовс ИП конфигурацију. . . . . . . . . . . . : МАХОГАНИ Примари Днс Суффик. . . . . . . : мордор.фан Тип чвора. . . . . . . . . . . . : Омогућено хибридно ИП усмеравање. . . . . . . . : Није омогућен ВИНС проки. . . . . . . . : Нема листе за претрагу ДНС суфикса. . . . . . : мордор.фан Етхернет адаптер Локално повезивање: ДНС суфикс специфичан за везу. : мордор.фан Опис. . . . . . . . . . . : Физичка адреса мрежне везе Интел (Р) ПРО / 1000 МТ. . . . . . . . . : 00-0Ц-29-Д6-14-36 ДХЦП омогућен. . . . . . . . . . . : Да Омогућена је аутоматска конфигурација. . . . : Да Локална ИПв6 адреса са локалном везом. . . . . : фе80 :: 352а: б954: 7еба: 963е% 12 (Преферред) ИПв4 Адреса. . . . . . . . . . . : 10.10.10.115 (Преферред) Маска подмреже. . . . . . . . . . . : 255.255.255.0 Закуп је добијен. . . . . . . . . . : Субота, 25. фебруар 2017. 8:19:05 Закуп истиче. . . . . . . . . . : Субота, 25. фебруар 2017. 4:20:36 Подразумевани пролаз. . . . . . . . . : 10.10.10.253 ДХЦП сервер. . . . . . . . . . . : 10.10.10.5 ДХЦПв6 ИАИД. . . . . . . . . . . : 251661353 ДХЦПв6 клијент ДУИД. . . . . . . . : 00-01-00-01-20-3Б-69-81-00-0Ц-29-Д6-14-36

   ДНС сервери. . . . . . . . . . . : 10.10.10.3
                                       10.10.10.5
   НетБИОС преко Тцпип-а. . . . . . . . : Омогућен тунелски адаптер исатап.мордор.фан: Стање медија. . . . . . . . . . . : Медији нису повезани ДНС суфикс специфичан за везу. : мордор.фан Опис. . . . . . . . . . . : Физичка адреса Мицрософт ИСАТАП адаптера. . . . . . . . . : 00-00-00-00-00-00-00-Е0 ДХЦП је омогућен. . . . . . . . . . . : Није омогућена аутоматска конфигурација. . . . : Да Тунел адаптер Локално повезивање * 9: Стање медија. . . . . . . . . . . : Медији нису повезани ДНС суфикс специфичан за везу. : Опис. . . . . . . . . . . : Физичка адреса Мицрософт Тередо адаптера за тунелирање. . . . . . . . . : 00-00-00-00-00-00-00-Е0 ДХЦП је омогућен. . . . . . . . . . . : Није омогућена аутоматска конфигурација. . . . : И то је

Ц: \ Корисници \ саруман>

бузз @ сисадмин: ~ $ хост -т Махагони.мордор.фан 10.10.10.3
Коришћење сервера домена: Име: 10.10.10.3 Адреса: 10.10.10.3 # 53 псеудоними: Хост цаоба.мордор.фан није пронађен: 3 (НКСДОМАИН)

зујање@сисадмин: ~ $ хост -т До махагонија.мордор.фан
махогани.мордор.фан има адресу 10.10.10.115

• Једини начин на који је клијент регистрован «махагонија»У Мицросфт®-у ДНС мења вашу мрежну картицу како је назначеноó на претходној слици, односно изричито наводећи да је: ДНС суфикс везе мордор.фан, да региструје адресу везе у ДНС-у и да користи декларисани ДНС суфикс приликом регистрације везе.

бузз @ сисадмин: ~ $ хост -т Махагони.мордор.фан 10.10.10.3
Коришћење сервера домена: Име: 10.10.10.3 Адреса: 10.10.10.3 # 53 псеудоними: цаоба.мордор.фан има адресу 10.10.10.115

бузз @ сисадмин: ~ $ хост -т Махагони.мордор.фан
махогани.мордор.фан има адресу 10.10.10.115

Променимо име из „махагони“ у „кедар“

бузз @ сисадмин: ~ $ хост -т Махагони.мордор.фан 10.10.10.3
Коришћење сервера домена: Име: 10.10.10.3 Адреса: 10.10.10.3 # 53 псеудоними: Хост цаоба.мордор.фан није пронађен: 3 (НКСДОМАИН)

бузз @ сисадмин: ~ $ хост -т За цедар.мордор.фан 10.10.10.3
Коришћење домена сервера: Име: 10.10.10.3 Адреса: 10.10.10.3 # 53 псеудоними: цедро.мордор.фан има адресу 10.10.10.115

бузз @ сисадмин: ~ $ хост -т Махагони.мордор.фан 10.10.10.5
Коришћење сервера домена: Име: 10.10.10.5 Адреса: 10.10.10.5 # 53 псеудоними: Хост цаоба.мордор.фан није пронађен: 3 (НКСДОМАИН)

бузз @ сисадмин: ~ $ хост -т За цедар.мордор.фан 10.10.10.5
Коришћење домена сервера: Име: 10.10.10.5 Адреса: 10.10.10.5 # 53 псеудоними: цедро.мордор.фан има адресу 10.10.10.115

И то све нормално, као што Мицрософт® клијенти и Мицрософт® ДНС воле ствари.

Радимо са Мицрософт® ДХЦП и Мицрософт® ДНС

Драги читаоци, ово поглавље је ван контекста блога посвећеног Слободном софтверу. Погледајте Мицрософт® помоћ. Они не верују? 😉

Закључци

Постоји неколико начина рада са Мицрософт® ДНС-ом када га активирамо у МСП мрежи са Днсмаск-ом. Међу њима ћемо споменути само следеће:

• Потпуно зауставите Мицрософт® ДНС услугу на рачунару на којем ради, назначујући потом да је покретање услуге онемогућено. Уклоните ознаку у конфигурацији мрежне картице сваког Мицрософт® клијента за опцију Регистровање адресе везе у ДНС-у. Уклони из датотеке /етц/днсмаск.цонф Директива сервер = / мордор.фан / 10.10.10.3. Рачуни:
  • Чак и ако се не одговори на упите о евиденцији СОА y NS, мрежа ће радити исправно, као и обједињавање различитих клијената - Мицрософт® и Линук– са Ацтиве Дирецтори® доменом.
  • Предност му је што ће у МСП ЛАН-у постојати само један Сервер имена домена - мушки мушки - и то ће бити Днсмаск. ;-). С друге стране, елиминише се могућност неусаглашености између ДНС записа ускладиштених у Мицрософт® ДНС и оних доступних путем Днсмаск-а.
• Оставите Мицрософт® ДНС покренут да одговара само на ДНС упите о СОА и НС записима. Приметитиs:
  • Измените конфигурацију мрежне картице сваког Виндовс клијента, поништавањем потврде опције за регистрацију адресе везе у ДНС-у.
  • Мислимо да је ово решење губљење ресурса.
• Конфигуришите услуге као што смо видели у чланку, који показује решење које више воли Мицрософт® филозофију - не ФрееБСД / Линук - Ок?

Резиме

• Мицрософт® ДНС предлог је врло затворен. Не оставља простор за друга решења која нису у складу са његовом херметичком филозофијом.
• Мајка природа нас учи да постојимо у разноврсном универзуму. Нормално је имати мешовити ЛАН, кретати се ка Слободном софтверу и богат животом и разноликошћу.
• Чини се да су за Мицрософт® купци који се не придруже његовој филозофији одметници, па стога не би смели да их узму у обзир.
• Како је тешко радити са приватним софтвером! Радије бих потрошио мало посла на постављању бесплатног софтвера и био заиста слободан, доврага!

„Најбољи критеријум истине је пракса“.