BIND och Active Directory® - SME-nätverk

Allmänt index för serien: Datornätverk för små och medelstora företag: introduktion

Hej kompisar!. Huvudsyftet med den här artikeln är att visa hur vi kan integrera DNS-tjänsten baserat på BIND9 i ett Microsoft-nätverk, mycket vanligt i många små och medelstora företag.

Det härrör från den officiella begäran från en vän som bor i La Tierra del Fuego -Fuegian- specialiserat på Microsoft®-nätverk - certifikat ingår - för att vägleda dig i denna del av migrationen av dina servrar till Linux. Kostnaderna för stöd Teknikern som betalar Microsoft® är redan Outhärdlig för det företag där han arbetar och som han är hans huvudaktieägare i.

Min vän Fuegian han har ett stort sinne för humor, och eftersom han såg serien med tre filmer «Ringenes Herre»Han fängslades av många av namnen på hans mörka karaktärer. Så, läservän, bli inte förvånad över namnen på din domän och dina servrar.

För nykomlingar i ämnet och innan du fortsätter läsa rekommenderar vi att du läser och studerar de tre tidigare artiklarna om små och medelstora nätverk:

Det är som att titta på tre av de fyra delarna av «Undre världen»Publiceras fram till idag och att detta är den fjärde.

Allmänna parametrar

Efter flera utbyten via e-mailÄntligen var jag klar över de viktigaste parametrarna för ditt nuvarande nätverk, som är:

Domännamn mordor.fan LAN-nätverk 10.10.10.0/24 ======================================== ============================================= Servrar IP-adress Syfte (servrar med operativsystem Windows) =================================================== ================================= sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Windows-filserver darklord.mordor.fan. 10.10.10.6 Proxy, gateway och brandvägg på Kerios troll.mordor.fan. 10.10.10.7 Blogg baserad på ... kommer inte ihåg shadowftp.mordor.fan. 10.10.10.8 FTP-server blackelf.mordor.fan. 10.10.10.9 Hel e-posttjänst blackspider.mordor.fan. 10.10.10.10 WWW-tjänsten palantir.mordor.fan. 10.10.10.11 Chatt på Openfire för Windows

Jag frågade tillstånd Fuegian att ställa in så många alias som behövs för att rensa mitt sinne och gav mig hans tillstånd:

Real CNAME =============================== sauron ad-dc mamba fileserver darklord proxyweb troll blogg shadowftp ftpserver blackelf mail blackspider www palantir openfire

Jag förklarade alla viktiga DNS-poster i min installation av en Active Directory Windows 2008 som jag var tvungen att implementera för att vägleda mig i skapandet av detta inlägg.

Om Active Directory DNS SRV-poster

Registren SRV o Service Locators - används ofta i Microsoft Active Directory - definieras i Begäran om kommentarer RFC 2782. De tillåter lokalisering av en tjänst baserat på TCP / IP-protokollet via en DNS-fråga. Till exempel kan en kund i ett Microsoft-nätverk hitta platsen för domänkontrollanter - Domain Controllers som tillhandahåller LDAP-tjänsten via TCP-protokollet på port 389 via en enda DNS-fråga.

Det är normalt att i skogarna - Skogaroch träd - Träd i ett stort Microsoft-nätverk finns det flera domänkontrollanter. Genom att använda SRV-poster i de olika zonerna som utgör domännamnsområdet för det nätverket kan vi upprätthålla en lista över servrar som tillhandahåller liknande välkända tjänster, ordnade enligt preferenser enligt transportprotokollet och porten för var och en servrarna.

I Begäran om kommentarer RFC 1700 Universella symboliska namn för kända tjänster definieras - Välkänd service, och namn som «_telnet" '_smtp»För tjänster Telnet y SMTP-. Om ett symboliskt namn inte definieras för en välkänd tjänst kan ett lokalt namn eller annat namn användas enligt användarens preferenser.

bind

Syftet med varje fält «especial»Det som används i deklarationen av en SRV Resource Record är följande:

  • Domän: "Pdc._msdcs.mordor.fan.«. DNS-namn på den tjänst som SRV-posten hänvisar till. DNS-namnet i exemplet betyder -mer eller mindre- Primär domänkontrollant av området _msdcs.mordor.fan.
  • Service: "_Ldap". Symboliskt namn på tjänsten som tillhandahålls definierad enligt Begäran om kommentarer RFC 1700.
  • Protokoll: "_Tcp". Anger typ av transportprotokoll. Normalt kan det ta värdena _tcp o _udp, även om - och i själva verket - alla typer av transportprotokoll som anges i Begäran om kommentarer RFC 1700. Till exempel för en tjänst chatt protokollbaserat XMPP, detta fält skulle ha värdet av _xmpp.
  • Budget"0«. Förklara prioritet eller preferens för Värd som erbjuder denna tjänst som vi kommer att se senare. Klienternas DNS-frågor om tjänsten som definieras av denna SRV-post, när de får lämpligt svar, kommer att försöka kontakta den första tillgängliga värden med det lägsta numret som anges i fältet. Budget. Det värdeområde som detta fält kan ta är 0 en 65535.
  • Vikt"100«. Kan användas i kombination med Budget att tillhandahålla en lastbalanseringsmekanism när det finns flera servrar som tillhandahåller samma tjänst. Det bör finnas en liknande SRV-post för varje server i zonfilen, med dess namn deklarerat i fältet Värd som erbjuder denna tjänst. Innan servrar med lika värden i fältet Budget, fältvärdet Vikt den kan användas som en extra preferensnivå för att få ett exakt serverval för lastbalansering. Det värdeområde som detta fält kan ta är 0 en 65535. Om belastningsbalansering inte krävs, till exempel som för en enda server, rekommenderas att tilldela värdet 0 för att göra SRV-posten lättare att läsa.
  • Portnummer - Port"389«. Portnummer i Värd som erbjuder denna tjänst som tillhandahåller den tjänst som anges i fältet Service. Portnumret som rekommenderas för varje typ av välkänd tjänst anges i Begäran om kommentarer RFC 1700, även om det kan ta ett värde mellan 0 och 65535.
  • Värd som erbjuder denna tjänst - Target"sauron.mordor.fan.«. Anger FQDN som otvetydigt identifierar värd som tillhandahåller den tjänst som anges av SRV-posten. En posttyp «A»I domännamnsområdet för varje FQDN från servern eller värd som tillhandahåller tjänsten. Enklare, en typpost A i de direkta zonerna.
    • Obs:
      För att auktoritärt ange att den tjänst som anges av SRV-posten inte tillhandahålls på denna värd, en enda (
      .) punkt.

Vi vill bara upprepa att rätt drift av ett nätverk eller en Active Directory® är starkt beroende av rätt funktion för Domain Name Service..

Active Directory DNS-poster

För att göra zonerna för den nya DNS-servern baserad på BIND måste vi hämta alla DNS-poster från Active Directory®. För att göra livet enklare går vi till laget sauron.mordor.fan -Active Directory® 2008 SR2- och i DNS-administrationskonsolen aktiverar vi Zone Transfer -direct och inverse- för de huvudzoner som deklareras i denna typ av tjänst, vilka är:

  • _msdcs.mordor.fan
  • mordor.fan
  • 10.10.10.in-addr.harpa

När det föregående steget har genomförts och helst från en Linux-dator vars IP-adress ligger inom ramen för det undernät som används av Windows-nätverket, kör vi:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> temp /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa
  • Kom ihåg från tidigare artiklar att IP-adressen till enheten sysadmin.desdelinux.fläkt det 10.10.10.1 eller 192.168.10.1.

I de tre föregående kommandona kan vi eliminera alternativet 10.10.10.3 -fråga DNS-servern med den adressen- om vi förklarar i filen / Etc / resolv.conf till serverns IP sauron.mordor.fan:

buzz@sysadmin:~$ cat /etc/resolv.conf 
# Generated by NetworkManager
search desdelinux.fan
nameserver 192.168.10.5
nameserver 10.10.10.3

Efter att ha redigerats med yttersta försiktighet, vilket motsvarar alla zonfiler i en BIND, kommer vi att få följande data:

RR-poster från den ursprungliga zonen _msdcs.mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs._msdcs.mordor.fan 
; Avser SOA och NS _msdcs.mordor.fan. 3600 I SOA sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 3600 _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; GLOBAL KATALOG gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ; Alias ​​-i den modifierade och privata LDAP-databasen för en Active Directory- av SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 I CNAME sauron.mordor.fan. ; ; Modifierad och privat LDAP för en Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS modifierad och privat från en Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

RR-poster från den ursprungliga zonen mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs.mordor.fan 
; Avser SOA, NS, MX och A-posten som den kartlägger; domännamnet till SAURON: s IP; Saker från en Active Directory mordor.fan. 3600 I SOA sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 86400 3600 mordor.fan. 600 IN A 10.10.10.3 mordor.fan. 3600 IN NS sauron.mordor.fan. mordor.fan. 3600 IN MX 10 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; Också viktigt A registrerar DomainDnsZones.mordor.fan. 600 IN A 10.10.10.3 ForestDnsZones.mordor.fan. 600 IN A 10.10.10.3; ; GLOBAL KATALOG _gc._tcp.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. ; ; Modifierad och privat LDAP för en Active Directory _ldap._tcp.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; Modifierad och privat KERBEROS av en Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. ; ; Registrerar A med fast IP -> Servers blackelf.mordor.fan. 3600 IN A 10.10.10.9 blackspider.mordor.fan. 3600 IN A 10.10.10.10 darklord.mordor.fan. 3600 IN A 10.10.10.6 mamba.mordor.fan. 3600 IN A 10.10.10.4 palantir.mordor.fan. 3600 IN A 10.10.10.11 sauron.mordor.fan. 3600 IN A 10.10.10.3 shadowftp.mordor.fan. 3600 IN A 10.10.10.8 troll.mordor.fan. 3600 IN A 10.10.10.7; ; CNAME registrerar ad-dc.mordor.fan. 3600 I CNAME sauron.mordor.fan. blogg.mordor.fan. 3600 I CNAME troll.mordor.fan. fileserver.mordor.fan. 3600 I CNAME mamba.mordor.fan. ftpserver.mordor.fan. 3600 I CNAME shadowftp.mordor.fan. mail.mordor.fan. 3600 I CNAME balckelf.mordor.fan. openfire.mordor.fan. 3600 I CNAME palantir.mordor.fan. proxy.mordor.fan. 3600 I CNAME darklord.mordor.fan. www.mordor.fan. 3600 I CNAME blackspider.mordor.fan.

RR-poster från originalzon 10.10.10.in-addr.arpa

buzz @ sysadmin: ~ $ cat temp / rrs.10.10.10.in-addr.arpa 
; Avser SOA och NS 10.10.10.in-addr.arpa. 3600 I SOA sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400 3600 10.10.10.in-addr.arpa. 3600 IN NS sauron.mordor.fan. ; ; PTR-poster 10.10.10.10.in-addr.arpa. 3600 IN PTR blackspider.mordor.fan. 11.10.10.10.in-addr.arpa. 3600 IN PTR palantir.mordor.fan. 3.10.10.10.in-addr.arpa. 3600 IN PTR sauron.mordor.fan. 4.10.10.10.in-addr.arpa. 3600 IN PTR mamba.mordor.fan. 5.10.10.10.in-addr.arpa. 3600 IN PTR dnslinux.mordor.fan. 6.10.10.10.in-addr.arpa. 3600 IN PTR darklord.mordor.fan. 7.10.10.10.in-addr.arpa. 3600 IN PTR troll.mordor.fan. 8.10.10.10.in-addr.arpa. 3600 IN PTR shadowftp.mordor.fan. 9.10.10.10.in-addr.arpa. 3600 IN PTR blackelf.mordor.fan.

Fram till denna punkt kan vi tro att vi har nödvändiga data för att fortsätta i vårt äventyr, inte utan att först observera TTL: er och andra data som på ett mycket kortfattat sätt ger oss utdata och direkt observation av DNS för Microsft® Active Directory® 2008 SR2 64 bitar.

Bilder av DNS-chefen i SAURON

Dnslinux.mordor.fan-teamet.

Om vi ​​tittar noga, till IP-adressen 10.10.10.5 inget namn tilldelades det exakt så att det skulle upptas av namnet på den nya DNS dnslinux.mordor.fan. För att installera DNS- och DHCP-paret kan vi vägledas av artiklarna DNS och DHCP i Debian 8 "Jessie" y DNS och DHCP på CentOS 7.

Basoperativsystem

Min vän FuegianFörutom att vara en riktig specialist inom Microsoft® Windows - han har ett par certifikat utfärdat av företaget - har han läst och praktiserat några av artiklarna om stationära datorer som publicerats i DesdeLinux., och han berättade för mig att han uttryckligen ville ha en Debian-baserad lösning. 😉

För att behaga dig börjar vi med en ny, ren installation av en server baserat på Debian 8 "Jessie". Vad vi kommer att skriva nästa gäller dock för CentOS- och openSUSE-distributioner vars artiklar vi nämnde tidigare. BIND och DHCP är samma på alla distroer. Små variationer introduceras av pakethållarna i varje distribution.

Vi kommer att göra installationen som anges i DNS och DHCP i Debian 8 "Jessie", se till att använda IP 10.10.10.5 och nätverket 10.10.10.0/24., även innan du konfigurerar BIND.

Vi konfigurerar BIND i Debian-stil

/etc/bind/named.conf

Filen /etc/bind/named.conf vi lämnar den när den är installerad.

/etc/bind/named.conf.options

Filen /etc/bind/named.conf.options bör lämnas med följande innehåll:

root @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dnslinux: ~ # nano /etc/bind/named.conf.options
alternativ {katalog "/ var / cache / bind"; // Om det finns en brandvägg mellan dig och namnservrarna du vill // att prata med, kan du behöva fixa brandväggen så att flera // portar kan prata. Se http://www.kb.cert.org/vuls/id/800113 // Om din Internetleverantör tillhandahöll en eller flera IP-adresser för stabila // namnservrar vill du förmodligen använda dem som vidarebefordrare. // Avmarkera följande block och sätt in adresserna som ersätter // all-0: s platshållare. // speditörer {// 0.0.0.0; //}; // ================================================== = ==================== $ $ // Om BIND loggar felmeddelanden om att rotnyckeln har löpt ut, // måste du uppdatera dina nycklar. Se https://www.isc.org/bind-keys // =================================== = ==================================== $

    // Vi vill inte ha DNSSEC
        dnssec-aktivera nej;
        //dnssec-validering auto;

        autor-nxdomän nr; # överensstämmer med RFC1035

 // Vi behöver inte lyssna på IPv6-adresser
        // lyssna på v6 {any; };
    lyssna på v6 {ingen; };

 // För kontroller från localhost och sysadmin
    // genom // dig mordor.fan axfr // dig 10.10.10.in-addr.arpa axfr // dig _msdcs.mordor.fan axfr // Vi har inte Slave DNS ... tills nu
 allow-transfer {localhost; 10.10.10.1; };
};

// Loggning BIND
loggning {

        kanalfrågor {
        fil "/var/log/named/queries.log" version 3 storlek 1m;
        allvarlighetsinformation;
        utskriftstid ja;
        tryck-svårighetsgrad ja;
        utskriftskategori ja;
        };

        kanalfrågefel {
        fil "/var/log/named/query-error.log" version 3 storlek 1m;
        allvarlighetsinformation;
        utskriftstid ja;
        tryck-svårighetsgrad ja;
        utskriftskategori ja;
        };

                                
kategorifrågor {
         frågor;
         };

kategorifråga-fel {
         fråga-fel;
         };

};
  • Vi introducerar fångsten av BIND-loggarna som en NY framträdande i serien av artiklar om ämnet. Vi skapar len mapp och filer som krävs för Loggning av BIND:
root @ dnslinux: ~ # mkdir / var / log / named
root @ dnslinux: ~ # touch /var/log/named/queries.log
root @ dnslinux: ~ # touch /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / named

Vi kontrollerar syntaxen för de konfigurerade filerna

root @ dnslinux: ~ # namngiven-checkconf 
root @ dnslinux: ~ #

/etc/bind/named.conf.local

Vi skapar filen /etc/bind/zones.rfcFreeBSD med samma innehåll som anges i DNS och DHCP i Debian 8 "Jessie".

root @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

Filen /etc/bind/named.conf.local bör lämnas med följande innehåll:

// // Gör någon lokal konfiguration här // // Överväg att lägga till 1918-zonerna här, om de inte används i din // organisation
inkludera "/etc/bind/zones.rfc1918"; inkluderar "/etc/bind/zones.rfcFreeBSD";

zon "mordor.fan" {typ master; fil "/var/lib/bind/db.mordor.fan"; }; zon "10.10.10.in-addr.arpa" {typ master; fil "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

zon "_msdcs.mordor.fan" {typ master;
 checknamn ignorerar; fil "/etc/bind/db._msdcs.mordor.fan"; }; root @ dnslinux: ~ # namngiven-checkconf
root @ dnslinux: ~ #

Zonarkiv mordor.fan

root @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; serie 1D; uppdatera 1H; försök 1W; upphöra 3H); minimum eller; Negativ cachetid för att leva;
; VAR MYCKET FÖRSIKTIG MED FÖLJANDE INSPELNINGAR
@ IN NS dnslinux.mordor.fan.
@ IN A 10.10.10.5
@ IN MX 10 blackelf.mordor.fan. @ IN TXT "Välkommen till The Dark Lan of Mordor";
_msdcs.mordor.fan. I NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. I A 10.10.10.5
; AVSLUTA MYCKET omsorgsfullt med följande inspelningar;
DomainDnsZones.mordor.fan. IN A 10.10.10.3 ForestDnsZones.mordor.fan. I A 10.10.10.3; ; GLOBAL KATALOG _gc._tcp.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ; ; Modifierad och privat LDAP för en Active Directory _ldap._tcp.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. ; ; Modifierad och privat KERBEROS av en Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. ; ; Registrerar A med fast IP -> Servers blackelf.mordor.fan. IN A 10.10.10.9 blackspider.mordor.fan. IN A 10.10.10.10 darklord.mordor.fan. IN A 10.10.10.6 mamba.mordor.fan. IN A 10.10.10.4 palantir.mordor.fan. I A 10.10.10.11
sauron.mordor.fan. I A 10.10.10.3
shadowftp.mordor.fan. I A 10.10.10.8 troll.mordor.fan. I A 10.10.10.7; ; CNAME registrerar ad-dc.mordor.fan. I CNAME sauron.mordor.fan. blogg.mordor.fan. I CNAME troll.mordor.fan. fileserver.mordor.fan. I CNAME mamba.mordor.fan. ftpserver.mordor.fan. I CNAME shadowftp.mordor.fan. mail.mordor.fan. I CNAME balckelf.mordor.fan. openfire.mordor.fan. I CNAME palantir.mordor.fan. proxy.mordor.fan. I CNAME darklord.mordor.fan. www.mordor.fan. I CNAME blackspider.mordor.fan.

root @ dnslinux: ~ # namngiven-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
zon mordor.fan/IN: laddad serie 1 OK

Tiderna TTL 600 av alla SRV-register behåller vi dem om vi installerar en Slave BIND ibland. Dessa poster representerar Active Directory®-tjänster som mest läser data från din LDAP-databas. Eftersom databasen ändras ofta måste synkroniseringstiderna hållas korta i ett Master - Slave DNS-schema. Enligt Microsoft-filosofin som observerats från Active Directory 2000 till 2008 bibehålls värdet 600 för dessa typer av SRV-poster.

mycket TTL: er av servrarna med fast IP är de under den angivna tiden i SOA på 3 timmar.

Zonfil 10.10.10.in-addr.arpa

root @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; serie 1D; uppdatera 1H; försök 1W; upphöra 3H); minimum eller; Negativ cachetid för att leva; @ IN NS dnslinux.mordor.fan. ; 10 IN PTR blackspider.mordor.fan. 11 I PTR palantir.mordor.fan. 3 IN PTR sauron.mordor.fan. 4 I PTR mamba.mordor.fan. 5 IN PTR dnslinux.mordor.fan. 6 I PTR darklord.mordor.fan. 7 I PTR troll.mordor.fan. 8 IN PTR shadowftp.mordor.fan. 9 IN PTR blackelf.mordor.fan.

root @ dnslinux: ~ # namngiven-kontrollzon 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
zon 10.10.10.in-addr.arpa/IN: laddad serie 1 OK

Zonfil _msdcs.mordor.fan

Låt oss ta hänsyn till vad som rekommenderas i filen /usr/share/doc/bind9/README.Debian.gz Om platsen för filerna i huvudzonerna som inte utsätts för dynamiska uppdateringar av DHCP.

root @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; serie 1D; uppdatera 1H; försök 1W; upphöra 3H); minimum eller; Negativ cachetid för att leva; @ IN NS dnslinux.mordor.fan. ; ; ; GLOBAL KATALOG gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ; Alias ​​-i den modifierade och privata LDAP-databasen för en Active Directory- av SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 I CNAME sauron.mordor.fan. ; ; Modifierad och privat LDAP för en Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; Modifierad och privat KERBEROS av en Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Vi kontrollerar syntaxen och vi kan ignorera det fel det returnerar, eftersom i konfigurationen av denna zon i filen /etc/bind/named.conf.local vi inkluderar uttalandet checknamn ignorerar;. Zonen laddas korrekt av BIND.

root @ dnslinux: ~ # namngiven-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: dåligt ägarnamn (kontrollnamn) zon _msdcs.mordor.fan/IN: laddad serie 1 OK

root @ dnslinux: ~ # systemctl starta om bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 
● bind9.service - BIND-domännamnsserver laddad: laddad (/lib/systemd/system/bind9.service; aktiverad) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf Aktiv: aktiv (kör) sedan sön 2017-02-12 08:48:38 EST; 2s sedan Dokument: man: heter (8) Process: 859 ExecStop = / usr / sbin / rndc stop (code = exited, status = 0 / SUCCESS) Main PID: 864 (called) CGroup: /system.slice/bind9.service └─864 / usr / sbin / named -f -u bind 12 feb 08:48:38 dnslinux namngiven [864]: zon 3.efip6.arpa/IN: laddad serie 1 feb 12 08:48:38 dnslinux namngiven [864 ]: zon befip6.arpa/IN: laddad serie 1 feb 12 08:48:38 dnslinux namngiven [864]: zon 0.efip6.arpa/IN: laddad serie 1 feb 12 08:48:38 dnslinux namngiven [864]: zon 7.efip6.arpa/IN: laddad serie 1 feb 12 08:48:38 dnslinux namngiven [864]: zon mordor.fan/IN: laddad serie 1 feb 12 08:48:38 dnslinux namngiven [864]: zonexempel .org / IN: laddad serie 1 feb 12 08:48:38 dnslinux namngiven [864]: zon _msdcs.mordor.fan/IN: laddad serie 1 feb 12 08:48:38 dnslinux namngiven [864]: zon ogiltig / IN : laddad serie 1 feb 12 08:48:38 dnslinux med namnet [864]: alla zoner laddade
12 feb 08:48:38 dnslinux heter [864]: rinnande

Vi konsulterar BIND

Före Efter installationen av DHCP måste vi utföra en serie kontroller som även inkluderar att gå med en Windows 7-klient till domänen mordor.fan representeras av Active Directory installerad på datorn sauron.mordor.fan.

Det första vi måste göra är att stoppa DNS-tjänsten på datorn sauron.mordor.fanoch förklara i ditt nätverksgränssnitt att DNS-servern från och med nu kommer att vara 10.10.10.5 dnslinux.mordor.fan.

I en konsol på själva servern sauron.mordor.fan vi utför:

Microsoft Windows [Versions 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. Alla rättigheter förbehållna.

C: \ Användare \ Administratör> nslookup
Standardserver: dnslinux.mordor.fan Adress: 10.10.10.5

> gc._msdcs
Server: dnslinux.mordor.fan Adress: 10.10.10.5 Namn: gc._msdcs.mordor.fan Adress: 10.10.10.3

> mordor.fan
Server: dnslinux.mordor.fan Adress: 10.10.10.5 Namn: mordor.fan Adress: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Server: dnslinux.mordor.fan Adress: 10.10.10.5 Namn: sauron.mordor.fan Adress: 10.10.10.3 Alias: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> uppsättningstyp = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Server: dnslinux.mordor.fan Adress: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRV serv isplats: prioritet = 0 vikt = 100 port = 88 svr värdnamn = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internetadress = 10.10.10.3 dnslinux.mordor.fan internetadress = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Server: dnslinux.mordor.fan Adress: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV-serviceplats: prioritet = 0 vikt = 100 port = 389 svr värdnamn = sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internetadress = 10.10.10.3 dnslinux.mordor.fan internetadress = 10.10.10.5
> avsluta

C: \ Användare \ Administratör>

DNS-frågor gjorda av sauron.mordor.fan är tillfredsställande.

Nästa steg blir att skapa en annan virtuell maskin med Windows 7 installerat. Eftersom vi fortfarande inte har DHCP-tjänsten installerad kommer vi att ge datorn med namnet «win7»IP-adressen 10.10.10.251. Vi förklarar också att din DNS-server kommer att vara 10.10.10.5 dnslinux.mordor.fan, och att sökdomänen kommer att vara mordor.fan. Vi registrerar inte den datorn i DNS eftersom vi också använder den för att testa DHCP-tjänsten efter att vi har installerat den.

Därefter öppnar vi en konsol CMD och i det utför vi:

Microsoft Windows [Versions 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alla rättigheter förbehållna.

C: \ Användare \ buzz> nslookup
Standardserver: dnslinux.mordor.fan Adress: 10.10.10.5

> mordor.fan
Server: dnslinux.mordor.fan Adress: 10.10.10.5 Namn: mordor.fan Adress: 10.10.10.3

> uppsättningstyp = SRV
> _ldap._tcp.DomainDnsZones
Server: dnslinux.mordor.fan Adress: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan SRV-serviceplats: prioritet = 0 vikt = 0 port = 389 svr värdnamn = sauron.mordor.fan mordor.fan namnserver = dnslinux.mordor .fan sauron.mordor.fan internetadress = 10.10.10.3 dnslinux.mordor.fan internetadress = 10.10.10.5
> _kpasswd._udp
Server: dnslinux.mordor.fan Adress: 10.10.10.5 _kpasswd._udp.mordor.fan SRV-serviceplats: prioritet = 0 vikt = 0 port = 464 svr värdnamn = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internetadress = 10.10.10.3 dnslinux.mordor.fan internetadress = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Server: dnslinux.mordor.fan Adress: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRV servisplats: prioritet = 0 vikt = 0 port = 389 svr värdnamn = sauron. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internetadress = 10.10.10.3 dnslinux.mordor.fan internetadress = 10.10.10.5
> avsluta

C: \ Användare \ buzz>

DNS-frågor från klienten «win7»Var också tillfredsställande.

I Active Directory skapar vi användaren «Saruman«, I syfte att använda det när du går med i klienten win7 till domänen mordor.fan., med hjälp av metoden «Nätverks-ID«, Använda användarnamn saruman@mordor.fan y administratör@mordor.fan. Sammanfogningen lyckades och bevisas av följande skärmdump:

Om dynamiska uppdateringar i Microsoft® DNS och BIND

Eftersom vi har stoppat DNS-tjänsten i Active Directory® var det inte möjligt för klienten «win7»Registrera ditt namn och IP-adress i den DNS. Mycket mindre i dnslinux.mordor.fan eftersom vi inte gjorde något uttalande tillåt-uppdatering för något av de berörda områdena.

Och det var här den goda striden med min vän bildades Fuegian. I mitt första e-postmeddelande om denna aspekt kommenterade jag:

  • Microsofts artiklar om användningen av BIND och Active Directory® rekommenderar att, särskilt Direct Zone, får uppdateras -trängde in- direkt av Windows-klienter som redan är anslutna till Active Directory-domänen.
  • Det är därför som standard i DNS-zonerna för Active Directory® Secure Dynamic Updates är tillåtna av Windows-klienter som redan är anslutna till Active Directory-domänen. Om de inte är förenade avstår de från konsekvenserna.
  • DNS för en Active Directory stöder dynamiska uppdateringar "Endast säker", "Osäker och säker" eller "Ingen" vilket är detsamma som att säga INGA uppdateringar eller inget.
  • Ja verkligen Microsoft Philosophy accepterar inte att dess kunder INTE kommer att uppdatera sina data i sina DNS (ar), det skulle inte lämna möjligheten att inaktivera dynamiska uppdateringar i sina DNS (ar), såvida inte det alternativet kommer att lämnas för mer dolda ändamål.
  • Microsoft erbjuder "Säkerhet" i utbyte mot Darkness, Som en kollega och vän som passerade Microsft®-certifikatkurser berättade för mig. Sann. Dessutom bekräftade El Fueguino det för mig.
  • En klient som till exempel förvärvar en IP-adress via DHCP installerad på en UNIX® / Linux-maskin kan inte lösa IP-adressen för sitt eget namn tills du är ansluten till Active Directory-domänen, så länge Microsoft® eller en BIND används som DNS utan dynamiska uppdateringar från en DHCP.
  • Om jag installerar DHCP i själva Active Directory® måste jag förklara att zonerna uppdateras av Microsoft® DHCP.
  • Om vi ​​ska använda BIND som DNS för Windows-nätverket är det logiskt och rekommenderas att vi installerar BIND-DHCP-duon, med den senare dynamiskt uppdatering av BIND och frågan avslutad.
  • I världen av LAN-nätverk på UNIX® / Linux, eftersom dynamiska uppdateringar uppfanns på BIND, är endast Mr. DHCP tillåten «penetrera»Till fru BIND med sina uppdateringar. Avkopplingen som är med ordning, tack.
  • När jag förklarar i zonen mordor.fan till exempel: tillåta uppdatering {10.10.10.0/24; };, BIND själv informerar mig när jag startar eller startar om att:
    • zon 'mordor.fan' tillåter uppdateringar efter IP-adress, vilket är osäkert
  • I den heliga UNIX® / Linux-världen är sådan kunnig med DNS helt enkelt otillåtlig.

Du kan föreställa dig resten av utbytet med min vän Fuegian genom e, Telegramchatt, telefonsamtal betalade av honom (naturligtvis man, jag har inte ett kilo för det), och till och med meddelanden genom bärduvor under XXI-talet!

Han hotade till och med att inte skicka mig en son till sitt husdjur, hans leguan «petra»Att han hade lovat mig som en del av betalningen. Där blev jag verkligen rädd. Så jag började igen, men från en annan vinkel.

  • Den "nästan" Active Directory som kan uppnås med Samba 4, löser denna aspekt på ett mästerligt sätt, både när vi använder dess interna DNS eller BIND som sammanställts för att stödja DLZ-zoner - Dinamyc laddade zonereller dynamiskt laddade zoner.
  • Det lider fortfarande av detsamma: när en klient förvärvar en IP-adress via en DHCP installerad i andra UNIX® / Linux-maskin kommer du inte att kunna lösa IP-adressen för ditt eget namn tills den är ansluten till domänen för Samba 4 AD-DC.
  • Integrera BIND-DLZ- och DHCP-duon på samma maskin där AD-DC Samba 4 det är ett jobb för en riktig specialist.

Fuegian Han kallade mig till kapitel och skrek till mig: Vi pratar INTE AD-DC Samba 4, men från Microsoft® Active Directory®!. Och jag svarade ödmjukt att jag var nöjd med en del av följande artiklar som jag skulle skriva.

Det var då jag sa till honom att det slutgiltiga beslutet om dynamiska uppdateringar för klientdatorer i hans nätverk lämnades till hans fria vilja. Att jag bara skulle ge honom den Tips skrivna innan om tillåta uppdatering {10.10.10.0/24; };och mer ingenting. Att jag inte var ansvarig för vad som ledde till den promiskuitet att varje Windows-klient - eller Linux - i sitt nätverk «kommer att tränga igenom»Med straffrihet mot BIND.

Om du visste, min vän, läsare att det var slutpunkten för slagsmål, skulle du inte tro det. Min vän Fuegian han accepterade lösningen - och han skickar mig leguanen «Pete«- att jag nu delar med dig.

Vi installerar och konfigurerar DHCP

För mer information läs DNS och DHCP i Debian 8 "Jessie".

root @ dnslinux: ~ # aptitude installera isc-dhcp-server

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # På vilka gränssnitt ska DHCP-servern (dhcpd) servera DHCP-förfrågningar? # Separera flera gränssnitt med mellanslag, t.ex. "eth0 eth1". INTERFACES = "eth0" root @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n ANVÄNDARE dhcp-key
Kdhcp-tangent. + 157 + 29836

root @ dnslinux: ~ # cat Kdhcp-key. +157 + 29836.private
Privatnyckelformat: v1.3 Algoritm: 157 (HMAC_MD5) Nyckel: 3HT / bg / 6YwezUShKYofj5g == Bitar: AAA = Skapad: 20170212205030 Publicera: 20170212205030 Aktivera: 20170212205030

root @ dnslinux: ~ # nano dhcp.key
nyckel dhcp-nyckel {algoritm hmac-md5; hemlighet "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/named.conf.local
// // Gör någon lokal konfiguration här // // Överväg att lägga till 1918-zonerna här, om de inte används i din // organisation inkluderar "/etc/bind/zones.rfc1918"; inkluderar "/etc/bind/zones.rfcFreeBSD";
// Glöm inte ... jag glömde och betalade med misstag. ;-)
inkludera "/etc/bind/dhcp.key";


zon "mordor.fan" {typ master;
        tillåta uppdatering {10.10.10.3; nyckel dhcp-nyckel; };
        fil "/var/lib/bind/db.mordor.fan"; }; zon "10.10.10.in-addr.arpa" {typ master;
        tillåta uppdatering {10.10.10.3; nyckel dhcp-nyckel; };
        fil "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; zon "_msdcs.mordor.fan" {typ master; checknamn ignorerar; fil "/etc/bind/db._msdcs.mordor.fan"; };

root @ dnslinux: ~ # namngiven-checkconf 
root @ dnslinux: ~ #

root @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style interim; ddns-uppdateringar på; ddns-domännamn "mordor.fan."; ddns-rev-domännamn "in-addr.arpa."; ignorera klientuppdateringar; auktoritativ; alternativ ip-vidarebefordran av; alternativ domännamn "mordor.fan"; inkludera "/etc/dhcp/dhcp.key"; zon mordor.fan. {primär 127.0.0.1; nyckel dhcp-nyckel; } zon 10.10.10.in-addr.arpa. {primär 127.0.0.1; nyckel dhcp-nyckel; } redlokal för delat nätverk {subnet 10.10.10.0 netmask 255.255.255.0 {option routers 10.10.10.1; undernätmask 255.255.255.0; alternativ sändningsadress 10.10.10.255; alternativ domännamnsservrar 10.10.10.5; alternativ netbios-namnservrar 10.10.10.5; intervall 10.10.10.30 10.10.10.250; }} # SLUT dhcpd.conf

root @ dnslinux: ~ # dhcpd -t
Internet Systems Consortium DHCP Server 4.3.1 Copyright 2004-2014 Internet Systems Consortium. Alla rättigheter förbehållna. För information, besök https://www.isc.org/software/dhcp/ Config file: /etc/dhcp/dhcpd.conf Databasfil: /var/lib/dhcp/dhcpd.leasing PID-fil: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl starta om bind9.service 
root @ dnslinux: ~ # systemctl status bind9.service 

root @ dnslinux: ~ # systemctl start isc-dhcp-server.service
root @ dnslinux: ~ # systemctl status isc-dhcp-server.service

Vad är relaterat till Kontroller med kunder, Och Manuell modifiering av zonfiler, vi lämnar det åt dig, läservän, att läsa det direkt från DNS och DHCP i Debian 8 "Jessie"och tillämpa den på dina faktiska förhållanden. Vi utförde alla nödvändiga kontroller och fick tillfredsställande resultat. Naturligtvis skickar vi en kopia av dem alla till Fuegian. Det kommer inte att finnas mer!

tips

Allmänt

  • Få en hel del tålamod innan du börjar.
  • Installera först och konfigurera BIND. Kontrollera allt och se alla poster du förklarade i varje fil med de tre eller fler zonerna, både från Active Directory och från själva DNS-servern på Linux. Om möjligt, från en Linux-maskin som inte är ansluten till domänen, gör de nödvändiga DNS-frågorna till BIND.
  • Gå med i en Windows-klient med en fast IP-adress till den befintliga domänen och kontrollera alla BIND-inställningar från Windows-klienten.
  • När du utan tvekan är säker på att din helt nya BIND-konfiguration är helt korrekt, vågar du installera, konfigurera och starta DHCP-tjänsten.
  • I händelse av fel upprepar du hela proceduren från noll 0.
  • Var försiktig med att kopiera och klistra in! och de extra utrymmena i varje rad i namnen.conf.xxxx-filer
  • Efteråt klagade han inte - mycket mindre till min vän Fuegian - att han inte fick rätt råd.

Andra tips

  • Söndra och erövra.
  • I ett SME-nätverk är det säkrare och mer fördelaktigt att installera en auktoritativ BIND för de interna LAN-zonerna som inte återkommer till någon rotserver: rekursionsnummer;.
  • I ett litet och medelstort nätverk under en Internetaccessleverantör - ISP, kanske tjänsterna Proxy y SMTP- de måste lösa domännamn på internet. han Bläckfisk du har möjlighet att förklara din DNS extern eller inte, medan du är på en e-postserver baserat på postfix o MDaemon® Vi kan också deklarera de DNS-servrar som vi kommer att använda i den tjänsten. I fall som detta, det vill säga fall som inte tillhandahåller tjänster till Internet och som är under a Internet Service Provider, kan du installera en BIND med skotare pekar på DNS: n för ISP, och deklarera det som sekundär DNS på servrarna som behöver lösa externa frågor till LAN, annars är det möjligt att deklarera dem genom sina egna konfigurationsfiler.
  • Om du har en delegerad zon under hela ditt ansvarSedan galar en annan tupp:
    • Installera en DNS-server baserat på NSD, som per definition är en auktoritativ DNS-server som svarar på frågor från datorer på Internet. För lite information aptitude visa nsd. Protect Skydda det mycket bra med så många brandväggar som behövs. Både hårdvara och mjukvara. Det kommer att vara en DNS för Internet, och det «Cara»Vi får inte ge den med låga byxor. 😉
    • Eftersom jag aldrig har sett mig själv i ett fall som detta, det vill säga helt ansvarigt för en delegerad zon, skulle jag behöva tänka mycket vad jag skulle rekommendera för upplösning av domännamn utanför vårt LAN för de tjänster som behöver det . Små och medelstora nätverksklienter behöver det inte riktigt. Konsultera specialiserad litteratur eller en specialist inom dessa ämnen, eftersom jag är långt ifrån en av dem. Allvarligt.
    • Rekursion finns inte på auktoritära servrar. Okej?. Om någon tänker göra det med en BIND.
  • Även om vi uttryckligen anger i filen /etc/dhcp/dhcpd.conf förklaringen ignorera klientuppdateringar;, om vi kör på en datorkonsol dnslinux.mordor.fan beställningen journalctl -f, kommer vi att se det när vi startar klienten win7.mordor.fan vi får följande felmeddelanden:
    • 12 feb 16:55:41 dnslinux heter [900]: klient 10.10.10.30 # 58762: uppdatering 'mordor.fan/IN' nekad
      12 feb 16:55:42 dnslinux heter [900]: klient 10.10.10.30 # 49763: uppdatering 'mordor.fan/IN' nekad
      12 feb 16:56:23 dnslinux heter [900]: klient 10.10.10.30 # 63161: uppdatering 'mordor.fan/IN' nekad
      
    • För att eliminera dessa meddelanden måste vi gå till de avancerade alternativen för nätverkskortkonfigurationen och avmarkera alternativet «Registrera anslutningens adresser i DNS«. Det kommer att hindra klienten från att försöka självregistrera sig i Linux DNS för alltid och slutet på problemet. Tyvärr, men jag har inte en kopia av Windows 7 på spanska. 😉
  • För att ta reda på alla allvarliga - och galna - frågor som en Windows 7-klient gör, kolla in loggfrågor.logg att för något deklarerar vi det i BIND-konfigurationen. Beställningen skulle vara:
    • root @ dnslinux: ~ # tail -f /var/log/named/queries.log
  • Om du inte tillåter dina klientdatorer att ansluta direkt till Internet, varför behöver du då Root DNS-servrarna? Detta kommer att avsevärt minska kommandot journalctl -f och från den föregående, om din auktoritära DNS-server för de interna zonerna inte ansluter direkt till Internet, vilket rekommenderas starkt ur säkerhetssynpunkt.
    root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
    root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root
  • Om du inte behöver deklarationen från rotservrarna, varför behöver du rekursion - Rekursion?
    root @ dnslinux: ~ # nano /etc/bind/named.conf.options
    alternativ {
     ....
     rekursionsnummer;
     ....
    };

Specifika råd om vilka jag fortfarande inte är så tydliga

El man dhcpd.conf berättar för oss följande bland många -många andra saker:

        Uppdateringsoptimeringsuttalandet

            flagga för uppdateringsoptimering;

            Om uppdateringsoptimeringsparametern är falsk för en viss klient, kommer servern att försöka en DNS-uppdatering för den klienten varje gång klienten förnyar sitt leasingavtal, snarare än att bara försöka uppdatera när det verkar vara nödvändigt. Detta gör det möjligt för DNS att läka från databasinkonsekvenser lättare, men kostnaden är att DHCP-servern måste göra många fler DNS-uppdateringar. Vi rekommenderar att du läser detta alternativ aktiverat, vilket är standard. Det här alternativet påverkar endast beteendet för det interimistiska DNS-uppdateringsschemat och har ingen inverkan på ad-hoc-DNS-uppdateringsschemat. Om den här parametern inte anges eller är sant uppdateras DHCP-servern bara när klientinformationen ändras, klienten får en annan hyresavtal eller klientens hyresavtal upphör.

Den mer eller mindre exakta översättningen eller tolkningen lämnas åt dig, kära läsare.

Personligen har det hänt mig - och det hände när jag skapade den här artikeln - att när jag länkar en BIND till en Active Directory® kommer den från Microsft® eller Samba 4, om jag ändrar namnet på en klientdator som är registrerad i Active Directory®-domän eller av AD–DC i Samba 4, behåller det sitt gamla namn och IP-adress i Direct Zone, och inte tvärtom, vilket är korrekt uppdaterat med det nya namnet. Med andra ord mappas de gamla och nya namnen till samma IP-adress i Direct Zone, medan endast det nya namnet visas i omvänd ordning. För att förstå mig väl måste du prova det själv.

Jag tror att det är en slags hämnd mot Fuegian -Inte för mig, snälla- för att försöka migrera dina tjänster till Linux.

Naturligtvis försvinner det gamla namnet när det är TTL 3600eller den tid som vi har deklarerat i DHCP-konfigurationen. Men vi vill att det ska försvinna omedelbart när det händer i en BIND + DHCP utan Active Directory genom.

Lösningen på den situationen hittade jag genom att infoga uttalandet uppdateringsoptimering falsk; i slutet av filens överkant /etc/dhcp/dhcpd.conf:

ddns-update-style interim; ddns-uppdateringar på; ddns-domännamn "mordor.fan."; ddns-rev-domännamn "in-addr.arpa."; ignorera klientuppdateringar;
uppdateringsoptimering falsk;

Om någon läsare vet mer om det, snälla upplys mig. Jag kommer att uppskatta det mycket.

Sammanfattning

Vi har haft mycket roligt med ämnet, eller hur? Inget lidande eftersom vi har en BIND som fungerar som en DNS-server i ett Microsoft®-nätverk, som erbjuder alla SRV-poster och svarar på lämpligt sätt på de DNS-frågor som ställts till dem. Å andra sidan har vi en DHCP-server som ger IP-adresser och dynamiskt uppdaterar BIND-zonerna korrekt.

Men vi kan inte fråga ... för tillfället.

Jag hoppas min vän Fuegian var glad och nöjd med det första steget i din migrering till Linux för att göra de outhärdliga kostnaderna för Microsft® teknisk support uthärdliga.

Viktig anmärkning

Karaktär "Fuegian»Är helt fiktiv och en produkt av min fantasi. Varje likhet eller tillfällighet med riktiga människor är densamma: Ren ofrivillig tillfällighet från min sida. Jag skapade den bara för att göra skrivandet och läsningen av den här artikeln lite roligare. Om du nu kan berätta för mig att DNS-problemet är mörkt, 😉


13 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   crespo88 sade

    Mycket stark, ingen kommentar. Eftersom Microsofts DNS inte behövs. Var försiktig så att du inte blir stämd, hahahaha. Tack för leveransen Fico.

  2.   federico sade

    Stäm mig? Låt dem ses med EL Fueguino. 😉
    Tack min vän!!!

  3.   haniballböna sade

    Var det inte lättare att installera zentyal för hela den här delen av den aktiva katalogen?

  4.   djägare sade

    Haha, bra artikulation för att montera den kraftfulla bindan och jag ser att Zentyal rekommenderades till dig i kommentaren ovan, jag lämnar innan skottet bryter ut.

    PS: Domänen baserad på Windows är Mordor men om vi monterar en ren Samba skulle det vara Gondor eller Rohan, eller hur? 😉

  5.   federico sade

    Jag rekommenderar inte användning av Zentyal till någon. Använd Windows eftersom dess användning är verklighet i många små och medelstora företag. Fråga min vän och kollega Dhunter om stabiliteten i Zentyal. 😉

  6.   federico sade

    Visst du gör det, dunter vän. Med Samba 4 kommer det att kallas tierramedia.fan. 😉

  7.   federico sade

    För dem som redan har laddat ner artikeln, var mycket försiktig med följande:
    Var säger
    ; VAR MYCKET FÖRSIKTIG MED FÖLJANDE INSPELNINGAR
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.3

    Måste säga rätt

    ; VAR MYCKET FÖRSIKTIG MED FÖLJANDE INSPELNINGAR
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.5

    Kollega Eduardo Noel var den som insåg mitt oavsiktliga misstag.

  8.   federico sade

    För dem som redan har laddat ner artikeln, var mycket försiktig med följande:
    Var säger
    ; VAR MYCKET FÖRSIKTIG MED FÖLJANDE INSPELNINGAR
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.3

    Måste säga rätt

    ; VAR MYCKET FÖRSIKTIG MED FÖLJANDE INSPELNINGAR
    @ IN NS dnslinux.mordor.fan.
    @ IN A 10.10.10.5

    Kollega Eduardo Noel var den som insåg mitt oavsiktliga misstag.

  9.   djägare sade

    För dem som planerar att använda Zentyal för något seriöst, jag varnar dig för att vara mycket försiktig, jag använder två Zentyal 4.2-drivrutiner (den 14.04), uppdaterade allt och var försiktig så mycket som möjligt, och mycket sällsynta är svaren i projektet bugzilla, du De får dig att känna dig dum för att använda något som du har så lite uppskattning för), de var utan enorm feedback på ett tag att jag trodde att de hade försvunnit och plötsligt släpper de 5.0 utan möjlig migration från 4.2 ... härlig ...

    Att rapportera buggar till communityversionen är inte meningsfullt om du inte kör tillsammans med utvecklarna som alltid använder det senaste, kolla in det här: https://tracker.zentyal.org/issues/5080#comment:14

    I slutändan måste du dö med en relativt stabil version och slå den tills den varar, titta på de saker som min zentyal har i cron:

    0 7 * * 1-6 /sbin/shutdown -r now

    Som sagt ... härligt!

    PS: Förmodligen spenderar jag allt detta arbete för att använda den fria versionen, förmodligen är den betalda versionen seriös, men jag tror att det inte är den bästa strategin att få användare, en annan produkt med en liknande affärsmodell är Proxmox och jag jämförde den betalda versionen för sådant för att ge pengar till projektet och inte för att den fria versionen blir kort, Proxmox är en pärla.

  10.   Ismael Alvarez Wong sade

    Hej Federico:
    Med varje ny artikel lyfter du upp stoppet, går som om det inte räckte med allt som omfattas av de tre föregående inläggen om BIND + DHCP-duon, nu publicerar du den här "bagageutrymmet" (ursäkta mig det expletiva) av artikeln om hur man migrerar Microsofts DNS till BIND, hur man uppdaterar den från en DHCP i Linux och till att börja med alla ovanstående finns tillsammans med en Microsoft Active Directory.
    . Genial todo lo relacionado sobre los registros SRV del DNS de un Active Directory, su zona directa «_msdcs.dominio», como capturar desde Linux los registros de las zonas -o mas- del DNS del AD de Microsoft para crear las Bases de Datos de dichas Zonas en el BIND.
    . Det är mycket användbart att aktivera loggarna för frågorna i BIND-konfigurationen.
    . MYCKET VÄRDEVÄRT rådet att: En kund som förvärvar en IP-adress via en DHCP installerad på Linux kommer inte att kunna lösa IP-adressen för sitt eget namn förrän han ansluts till Active Directory-domänen. I exemplet från laboratoriet i artikeln tilldelas först datorn "win7" IP-adressen 10.10.10.251 för att göra DNS-kontroller av domänen "mordor.fan", sedan går den från den fasta IP: n till Microsoft AD så att äntligen när Om DHCP är installerat i Linux, är det den som tilldelar sin IP och samtidigt uppdaterar "tränger" in BIND för att skriva registeret över utrustningen i fram- och bakåtzonerna. GÅ MER DETALJERADE DU FÅNG INTE!
    . Mycket bra alla överväganden om dynamiska uppdateringar i Microsoft® DNS och i BIND; samt alla råd som förklaras i det sista avsnittet och specifikt all utveckling och den föreslagna lösningen till det "specifika rådet som jag fortfarande inte är så tydlig med".
    ! 5 STJÄRNOR FÖR SKRIVAREN! och jag följer PYMES-serien med ökande intresse!

  11.   federico sade

    Dhunter: Skrev Voice of Experience. "Övning är det bästa sanningskriteriet."

    Wong: Jag saknade redan din kommentar - artikelkomplement. Hoppas att en om dnsmasq snart kommer ut.

    Tack båda för dina kommentarer.

  12.   crespo88 sade

    Du har inte talat + om partnern som heter «El Fueguino», inte heller om hans beslut att starta migreringen av sina servrar. Du stal en annan från Microsoft, hahaha !!!! ????

  13.   federico sade

    hahahaha vän crespo88. Jag ser att du gillade den fiktiva karaktärens våg. Om andra har fler åsikter som du kan det göra artiklar om täta ämnen mer underhållande. Låt oss vänta på andra kommentarer om det.