Dnsmasq och Active Directory - SME-nätverk

Allmänt index för serien: Datornätverk för små och medelstora företag: introduktion

Hej kompisar!. För att förstå och följa korrekt är den här artikeln viktigt läser sina föregångare:

• Dnsmasq på CentOS 7.3
• BIND och Active Directory®

De förklarar teoretiska och praktiska begrepp som vi inte kommer att hänvisa till i detta. Vi kommer att ändra distributionen under innevarande år till Debian 8.6 "Jessie" och vi kommer att fortsätta med samma parametrar som vi använder i BIND och Active Directory®.

• Proceduren som beskrivs i det här inlägget gäller också för CentOS 7. Konfigurationsfilen / etc / dnsmasq är densamma. Jag förklarar det eftersom jag anser att det är onödigt att skapa en separat artikel för Dnsmasq och Active Directory® baserat på CentOS. Lyckligtvis är katalogerna relaterade till dokumentation och konfiguration desamma, 😉
• Dnsmaq är en skapelse av Simon Kelley

Begränsningar för användningen av Dnsmasq

På grund av dess betydelse upprepar vi GRÄNSER som stöder Dnsmasq-run man dnsmasq- vilket speglar exakt nästa:

GRÄNSER

• Standardvärdena för resursbegränsningar är generellt konservativa och lämpliga för användning på enheter av routertyp. fastnat med långsamma processorer och lågt minne. I hårdvara mer  är det möjligt att öka gränserna och stödja många kunder. Följande gäller dnsmasq-2.37: tidigare versioner inte de klättrade så bra.
  

• Dnsmasq kan stödja DNS och DHCP minst ett tusen (1,000) kunder. Hyrestiderna bör inte vara för korta (mindre än en tid). Värdet på –dns-forward-max kan ökas: börja med motsvarande antalet kunder och öka det om DNS. Observera att DNS-prestanda också beror på servrarna Uppströms DNS. DNS-cache-storlek kan ökas: gränsen Krävs är 10,000 150 namn och standard (1) är mycket lågt. Att skicka en SIGUSRXNUMX till dnsmasq ger information om bitacore användbart för att finjustera cachestorleken. Se avsnittet ANMÄRKNINGAR för mer information.

• Den inbyggda TFTP-servern kan stödja flera överföringar samtidiga filer: den absoluta gränsen är relaterad till antalet filhandtag som är tillåtna för en process och systemets förmågatem call call () för att stödja ett stort antal filhandtag. Om gränsen är för hög med –tftp-max kommer den att avskalas och den faktiska gränsen kommer att klockas vid start. Observera att fler överföringar är möjliga när samma fil skickas vad varje transferencia skickar en annan fil. Det är möjligt att använda dnsmasq för att neka webbannonsering med hjälp av en lista över välkända bannerservrar, alla löser till 127.0.0.1 eller 0.0.0.0 in / etc / hosts eller i en ytterligare värdfil. Listan kan vara väldigt lång. Dnsmasq har testats framgångsrikt med en miljon namn. Filstorleken behöver en 1 GHz processor och ungefärlig60 MB RAM.

• Dnsmasq kan stödja DNS och DHCP minst ett tusen (1,000) kunder.

Låt oss installera och konfigurera Jessie och Dnsmasq

Vi kommer att börja från en ny och ren installation av en server baserat på Debian 8 "Jessie". Det vill säga operativsystemet utan något grafiskt gränssnitt eller något annat paket installerat. Nätverksparametrarna kommer att vara desamma som de som används i artikeln BIND och Active Directory®:

Domännamn mordor.fan LAN Network 10.10.10.0/24 ======================================= ============================================= Servers IP-adress Syfte (servrar med operativsystem Windows) =================================================== =================================
sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2
mamba.mordor.fan. 10.10.10.4 Windows File Server
dns.mordor.fan 10.10.10.5 DnsMasq Server på Jessie
darklord.mordor.fan. 10.10.10.6 Proxy, gateway och brandvägg på Kerios troll.mordor.fan. 10.10.10.7 Blogg baserad på ... kommer inte ihåg shadowftp.mordor.fan. 10.10.10.8 FTP-server blackelf.mordor.fan. 10.10.10.9 Fullständig e-posttjänst blackspider.mordor.fan. 10.10.10.10 WWW-tjänsten palantir.mordor.fan. 10.10.10.11 Chatt på Openfire för Windows Real CNAME ================================ sauron ad-dc mamba fileserver darklord proxyweb troll blogg shadowftp ftpserver blackelf mail blackspider www palantir openfire

Initiala dns.mordor.fan serverinställningar

root @ dns: ~ # nano / etc / hostname
dns

root @ dns: ~ # nano / etc / hosts
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # Följande rader är önskvärda för IPv6-värdar: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

root @ dns: ~ # nano / etc / nätverk / gränssnitt
# Den här filen beskriver de nätverksgränssnitt som finns tillgängliga på ditt system # och hur du aktiverar dem. Mer information finns i gränssnitt (5). källa /etc/network/interfaces.d/* # Loopback-nätverksgränssnittet auto lo iface lo inet loopback # Det primära nätverksgränssnittet tillåter hotplug eth0 iface eth0 inet statisk adress 10.10.10.5 netmask 255.255.255.0 nätverk 10.10.10.0 sändning 10.10.10.255. 10.10.10.1 gateway 127.0.0.1 # dns- * alternativ implementeras av resolvconf-paketet, om installerade dns-nameservers XNUMX dns-search mordor.fan

Låt oss installera Dnsmasq och htop

root @ dns: ~ # aptitude installera dnsmasq htop

Efter att ha installerat paketet htop vi kan kontrollera utrustningens processor- och minnesförbrukning. Det tog bara cirka 71 megabyte RAM-minne. Om vi ​​vill sänka konsumtionen ännu mer kan vi installera paketet SSMTP -enkel MTA- som i sin tur rensar paketet exim4 att Debian alltid installerar som standard och som vi verkligen inte behöver enligt den användning som vi kommer att ge till den här servern:

root @ dns: ~ # aptitude installera ssmtp
root @ dns: ~ # aptitude purge ~ c
root @ dns: ~ # aptitude clean
root @ dns: ~ # aptitude autoclean
root @ dns: ~ # systemctl starta om

Efter omstart av datorn är förbrukningen följande:

Lågt, eller hur? Låt oss gå vidare.

Låt oss ange att Dnsmasq också konsulterar Microsft® DNS

För att testa möjliga Dnsmasq-konfigurationer på din dator dns.mordor.fanmåste vi inkludera ett uttalande som indikerar att serverns Microsoft DNS konsulteras sauron.mordor.fan. Vi kan göra det inklusive direktivet server = / mordor.fan / 10.10.10.3 i arkivet dnsmasq.conf -som vi kommer att se senare- eller lägga till raden namnserver 10.10.10.3 i arkivet / Etc / resolv.conf. Eftersom vi ännu inte har konfigurerat Dnsmasq efter våra behov väljer vi det andra sättet:

root @ dns: ~ # nano /etc/resolv.conf
domän mordor.fan
namnserver 127.0.0.1
namnserver 10.10.10.3

Vi kan nu lösa DNS-frågor

Med standardkonfigurationen för Dnsmasq tillhandahållen av dess huvudfil /etc/dnasmq.conf, och med vad som förklaras i filen / Etc / resolv.conf från själva servern «dns«, Alla klienter som är anslutna till LAN-och som har deklarerat som DNS-server dns.mordor.fan- du kan lösa DNS-frågor på bekostnad av Microsoft® DNS tills vidare…

• Det är mycket viktigt att kontrollera svarshastigheten för Dnsmasq när du visar dess status som Speditör genom att endast IP 10.10.10.3 tas med i din fil / Etc / resolv.conf.

Från min administrativa arbetsstation och stöd för alla tillbehör som jag skriver genom, kör jag:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Skapad av NetworkManager-domänen mordor.fan nameserver 10.10.10.5

buzz @ sysadmin: ~ $ nslookup
> dns
Server: 10.10.10.5 Adress: 10.10.10.5 # 53 Namn: dns.mordor.fan Adress: 10.10.10.5

> Sauron
Server: 10.10.10.5 Adress: 10.10.10.5 # 53

Icke-auktoritärt svar:
Namn: sauron.mordor.fan Adress: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: 10.10.10.5 Adress: 10.10.10.5 # 53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan kanoniskt namn = sauron.mordor.fan. Namn: sauron.mordor.fan Adress: 10.10.10.3

> 10.10.10.3
Server: 127.0.0.1 Adress: 127.0.0.1 # 53 3.10.10.10.in-addr.arpa name = sauron.mordor.fan.

> 10.10.10.9
Server: 127.0.0.1 Adress: 127.0.0.1 # 53 9.10.10.10.in-addr.arpa name = blackelf.mordor.fan.

> 10.10.10.5
Server: 127.0.0.1 Adress: 127.0.0.1 # 53 5.10.10.10.in-addr.arpa name = dns.mordor.fan.

> e-post
Server: 10.10.10.5 Adress: 10.10.10.5 # 53 Ej auktoritärt svar: mail.mordor.fan kanoniskt namn = blackelf.mordor.fan. Namn: blackelf.mordor.fan Adress: 10.10.10.9> avsluta

buzz @ sysadmin: ~ $

Låt oss ta en närmare titt på följande aspekter:

• dns.mordor.fan svarar direkt på DNS-frågor som den kan lösa enligt dina nuvarande Dnsmasq-inställningar. Om du inte kan lösa dem fungerar det som Speditör och frågar IP 10.10.10.3 om den kan svara på frågan. På frågan om IP-adressen för utrustningen «dns«, Svarar han direkt. När Dnsmasq frågas vem är det «Sauron",?, göra vidarebefordran till 10.10.10.3 -Du kan inte svara direkt eftersom du inte har registrerat det ännu - vem returnerar ett korrekt icke-auktoritärt svar.
• På frågan vem som är «03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan"?, göra vidarebefordran igen och den här gången får du ett auktoritativt svar från Microsoft® DNS.
• Den höga svarshastigheten för Dnsmasq för alla typer av frågor.

De är små detaljer som gör en kärlek stor ;-).

Grundläggande skillnader mellan Dnsmasq och BIND integrerade med en Active Directory®

Låt oss köra ett par DNS-frågor på posterna SOA y NS av domänen mordor.fan, till var och en av namnservrarna som är inblandade:

buzz @ sysadmin: ~ $ värd -t SOA mordor.fan 10.10.10.3
Använd domänserver: Namn: 10.10.10.3 Adress: 10.10.10.3 # 53 Alias: 
mordor.fan har SOA-rekord sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ värd -t SOA mordor.fan 10.10.10.5
Använd domänserver: Namn: 10.10.10.5 Adress: 10.10.10.5 # 53 Alias: 
mordor.fan har SOA-rekord sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ värd -t NS mordor.fan 10.10.10.5
Använd domänserver: Namn: 10.10.10.5 Adress: 10.10.10.5 # 53 Alias: 
mordor.fan namnserver sauron.mordor.fan.

buzz @ sysadmin: ~ $ värd -t NS mordor.fan 10.10.10.3
Använd domänserver: Namn: 10.10.10.3 Adress: 10.10.10.3 # 53 Alias: 
mordor.fan namnserver sauron.mordor.fan.

Svaren är identiska - vilket är logiskt - för alltid svara tillbaka sauron.mordor.fan. innan en DNS-fråga om poster SOA o NS, Även ser ut vad svarar han dns.mordor.fan. Men det skiljer sig från vad som ses i artikeln BIND och Active Directory® där vi helt hade tagit bort Microsoft® DNS-funktionaliteten. I den artikeln ALLA DNS-frågor om Domino-namnområdet mordor.fan BIND svarade på dem eftersom vi konfigurerade det på det sättet och eftersom BIND svarar på frågor SOA y NS förutom att tillåta systemet Mästare - Slav, Zonöverföring, etc., och därför är det en mer komplett DNS-server - komplex.

Kanske är det de största skillnaderna mellan DNS för Dnsmasq och BIND ... men BIND - det kan alltid finnas en eller flera buts - har inte en DHCP-server som integreras sömlöst med en DNS-server i en enda demon, och utan behov av TSIG-nycklar, konfigurationsfiler, zondatabaser etc., som vi har sett i tidigare artiklar.

• Jag tror nu att kära läsare har insett att jag inte hatar BIND eller föredrar Dnsmasq framför BIND. Framtida diskussioner om det är totalt slöseri med tid, eftersom det har mycket att göra med behov, krav, smak, preferenser och .... varje lösning har sin charm ;-).

• I liknande scenarier, låt alla installera och konfigurera programvara efter eget val och att de vet mer om. och att allt fungerar som förväntat.

Fördelar med kombinationen Dnsmasq + Active Directory®

Med den här kombinationen har vi ett komplett utbud av svar på DNS-frågor och ett effektivt sätt att hyra IP-adresser för vårt SME LAN. Som vi kommer att se senare fungerar det korrekt för alla situationer om huruvida datorn är ansluten till Microsoft® Active Directory® Domain Controller. Dessutom har vi en DNS- och DNS-server Speditör par excellence, plus en mycket snabb DHCP-server. Och allt med liten efterfrågan på resurser. Vill du ha mer?

Är det möjligt Dnsmasq + BIND?

Defenitivt Ja. Även om jag rekommenderar att de installeras på olika datorer så att det inte blir några kollisioner på grund av den mycket älskade porten 53 i DNS-tjänsten. Kanske och vi får se något om det när vi kommer till Samba 4-baserade AD-DC. Vem vet?

Tips om Dnamasq

• De viktigaste arbetsfilerna för Dnsmasq för att tillhandahålla DHCP och DNS-tjänster på ett LAN är: /etc/dnsmasq.conf, / Etc / hosts, /var/lib/misc/dnsmasq.leasingOch / Etc / resolv.conf. Filen dnsmasq. hyresavtal den skapas när du hyr ut din första IP-adress.
• En annan jobbfil du kan använda är / etc / etrar. Om en sådan fil finns, direktivet läs- etrar deklareras i konfigurationsfilen, ber Dnsmasq att läsa den. Det är mycket användbart när vi berättar MAC-adresser / värdnamn för vissa ändamål.
• DNS-tjänsten kan inaktiveras helt med hjälp av direktivet port = 0 i dnsmasq.conf.
• DHCP-tjänst för ett eller flera nätverksgränssnitt kan inaktiveras genom direktiv - en för varje linje- no-dhcp-interface = eth0, no-dhcp-interface = eth1, och så vidare. Mycket användbart när vi står framför ett team med 2 eller fler nätverksgränssnitt och vi vill att DHCP-tjänsten endast ska tillhandahållas av en av dem eller av ingen. Naturligtvis, om vi inaktiverar DHCP-tjänsten för alla gränssnitt, lämnar vi bara DNS-tjänsten igång. Om vi ​​inaktiverar båda tjänsterna, varför behöver vi Dnsmasq? 😉
• Att deklarera till andra DNS-domännamnservrar att Nej är offentliga eller externa för LAN - som i fallet med Microsoft DNS - vi gör det genom direktivet server = / domännamn / DNS-serverns IP i arkivet /etc/dnsmasq.conf. exempel: server = / mordor.fan / 10.10.10.3.
• Att berätta för Dnsmasq att frågor om lokala domäner endast besvaras från filen / Etc / hosts eller via din DHCP måste vi lägga till direktivet lokal = / localnet / i huvudfilen för din konfiguration. Exempel: lokal = / mordor.fan /.
• För att korrekt konfigurera filen / Etc / resolv.conf - resolver Vi föreslår att du läser dess manual med kommandot man resolv.konf. Om du installerar Debian 8.6 "Jessie" kommer du att upptäcka att den är välskriven på spanska.
• Dnsmasq använder inte Zones-filer för att svara på direkta eller omvända frågor.
• Att veta innebörden av varje fält «especial»Det som används i deklarationen av en SRV Resource Record, bör du konsultera BIND och Active Directory®. Syntaxen för SRV-posterna i filen /etc/dnsmasq.conf Det är som följer:

  srv-värd = , , , ,

Läsare som vill veta mer, läs originalfilen noggrant /etc/dnsmasq.conf eller befintliga dokument i katalogen / usr / share / doc / dnsmasq-base.

root @ dns: ~ # ls -l / usr / share / doc / dnsmasq-base /
totalt 128 -rw-r - r-- 1 root root 883 5 maj 2015 copyright -rw-r - r-- 1 root root 36261 5 maj 2015 changelog.archive.gz -rw-r - r-- 1 root root 11297 5 maj 2015 changelog.Debian.gz -rw-r - r-- 1 root root 26014 5 maj 2015 changelog.gz -rw-r - r-- 1 root root 2084 5 maj 2015 DBus-gränssnitt. Gz -rw- r - r-- 1 root root 4297 5 maj 2015 doc.html drwxr-xr-x 2 root root 4096 feb 19 17:52 exempel -rw-r - r-- 1 root root 9721 5 maj 2015 FAQ.gz -rw -r - r-- 1 root root 4180 maj 5 2015 README.Debian -rw-r - r-- 1 root root 12019 5 maj 2015 setup.html

Låt oss konfigurera Dnsmasq och Resolver

Vi tar som en inledande guide - naturligtvis ändrar namn och så vidare - konfigurationsfilen som används i artikeln «Dnsmasq på CentOS 7.3".

Låt oss inte glömma nästa steg:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Fasta IP-adresser

Adresserna till servrarna eller utrustningen som kräver en fast IP-båda IPv4 som IPv6- deklareras i filen / Etc / hosts:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost # Följande rader är önskvärda för IPv6-kompatibla värdar: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters # Servrar och datorer med fasta IP-adresser. 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8. 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

Låt oss skapa filen /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # GENERELLA VAL # ---------------------------- - -------------------------------------- domänbehov # Skicka inte namn utan domänen del falus-priv # Skicka inte adresser i outnyttjat utrymme expand-hosts # Lägg automatiskt till domän till värdgränssnittet = eth0 # Gränssnitt.  SE upp för gränssnittet # utom-gränssnitt = eth1 # Lyssna INTE efter denna NIC-strikta ordning # Ordning i vilken du konsulterar filen /etc/resolv.conf # Inkludera många fler konfigurationsalternativ # genom en fil eller genom att hitta konfigurationsfilerna ytterligare i en katalog # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # Avser domännamnsdomänen = mordor.fan # Domain Name # Time Server är 10.10.10.1. 10.10.10.1 adress = / time.windows.com / XNUMX # Skickar ett tomt alternativ för WPAD-värdet.  Krävs för att # Windos 7 och senare klienter ska fungera ordentligt.  ;-) dhcp-option = 252, "\ n" # Fil där vi kommer att deklarera VÄSTEN som kommer att "förbjudas" addn-hosts = / etc / banner_add_hosts # Konsultera Microsoft® DNS-servern "sauron" om vi # låter den köra server = / mordor.fan / 10.10.10.3 # Frågor om lokala domäner kommer att besvaras # från / etc / hosts eller via lokal DHCP = / mordor.fan / # Frågor om PTR eller omvända poster kommer att besvaras # av servrarna "dns" och "sauron" i den ordningsservern = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3 # ------- -------------------------------------------------- ---------- # REGISTROSCNAMEMXTXT # ------------------------------------- ------------------------------ # Denna typ av registrering kräver en post # i filen / etc / hosts # t.ex.: 10.10.0.7 troll.mordor.fan troll # cname = ALIAS, REAL_NAME cname = ad-dc.mordor.fan, sauron.mordor.fan cname = fileserver.mordor.fan, mamba.mordor.fan cname = proxyweb.mordor.fan , darklord.mordor.fan cname = blog.mordor .fan, troll.mordor.fan cname = ftpserver.mordor.fan, shadowftp.mordor.fan cname = mail.mordor.fan, blackelf.mordor.fan cname = www.mordor.fan, blackspider.mordor.fan cname = opendire .mordor.fan, palantir.mordor.fan # MX RECORDS # Returnerar en MX-post med namnet "mordor.fan" avsedd # för blackelf.mordor.fan-teamet och prioritet 10 mx-host = mordor.fan, mail. mordor.fan, 10 # Standarddestinationen för MX-poster som skapas # med hjälp av localmx-alternativet kommer att vara: mx-target = mail.mordor.fan # Returnerar en MX-post som pekar på mx-målet för ALLA # lokala localmx-maskiner # TXT-poster. 

dhcp-lease-max = 222 # Maximalt antal adresser som ska hyras
                        # är som standard 150
# IPV6 Range # dhcp-range = 1234 ::, ra-only # Options for RANGE # OPTIONS dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,10.10.10.253 # ROUTER GATEWAY dhcp-option = 6,10.10.10.5. 15 # DNS-servrar dhcp-option = 19,1, mordor.fan # DNS Domain Name dhcp-option = 28,10.10.10.255 # option ip-vidarebefordran ON dhcp-option = 42,10.10.10.1 # BROADCAST dhcp-option = 40. 41,10.10.10.3 # NTP # dhcp-option = 44,10.10.10.3, MORDOR # NIS Domain Name # dhcp-option = 45,10.10.10.3 # NIS Server # dhcp-option = 73,10.10.10.3 # WINS # dhcp-option = 46,8 # NetBIOS-datagram # dhcp-option = XNUMX # Finger Server # dhcp-option = XNUMX # NetBIOS-nod dhcp-auktoritativ # Auktoritativ DHCP i undernätet # ------------- - ------------------------------------------------- - --- # ----------------------------------------------------- --------------------- # LOGGING tail -f / var / log / syslog or journalctl -f # ------------ - ------------------------------------------------- - ---- loggfrågor # ----------------------------------------- - ------------------------- # Re A- och SRV-poster som motsvarar Active Directory # ----------------------------------------- --------------------------
# Register A.
adress = / gc._msdcs.mordor.fan / 10.10.10.3 adress = / DomainDnsZones.mordor.fan / 10.10.10.3 adress = / ForestDnsZones.mordor.fan / 10.10.10.3

# Microsoft DNS Zone CNAME-post _msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# SRV-poster
# srv-värd = , , , ,

# Global katalog # Microsoft DNS-zon _msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan, sauron.mordor.fan, 3268,0,0
# Microsoft DNS-zon mordor.fan
srv-host = _gc._tcp.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan, sauron.mordor.fan .3268,0,0

# Modifierad och privat LDAP för en Active Directory
# Microsoft DNS-zon _msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# Microsoft DNS-zon mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# KERBEROS modifierad och privat från en Active Directory
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

# SLUT på /etc/dnsmasq.conf-filen
# ------------------------------------------------- ------------------

Låt oss skapa filen / etc / banner_add_host

[root @ dns ~] # nano / etc /banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq --test
dnsmasq: syntax kontrollera OK.

[root @ dns ~] # systemctl startar om dnsmasq.service 
[root @ dns ~] # systemctl-status dnsmasq.service

Låt oss ändra filen /etc/resolv.conf - Resolver

root @ dns: ~ # nano /etc/resolv.conf 
domän mordor.fan sök mordor.fan

Varför har vi inte de vanliga raderna deklarerade i filen resolve.conf? Eftersom vi förklarar i dnsmasq.conf följande direktiv:

# Konsultera Microsoft® DNS-servern "sauron" om vi # låter den köra
server = / mordor.fan / 10.10.10.3

# Frågor om lokala domäner kommer att besvaras # från / etc / hosts eller via DHCP
lokal = / mordor.fan /

# Frågor om PTR- eller Reverse-poster kommer att besvaras # av servrarna "dns" och "sauron" i den ordningen
server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3

Frågor från sysadmin.mordor.fan

Filen / Etc / resolv.conf i detta team är:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf
# Skapad av NetworkManager sök mordor.fan nameserver 10.10.10.5

buzz @ sysadmin: ~ $ host -t Till spynet4.microsoft.com
spynet4.microsoft.com har adressen 127.0.0.1

buzz @ sysadmin: ~ $ host -t Till www.download.windowsupdate.com
www.download.windowsupdate.com har adressen 127.0.0.1

surr@sysadmin: ~ $ dig dns
buzz @ sysadmin: ~ $ dig dns.mordor.fan
;; FRÅGA AVSNITT :; dns.mordor.fan. I EN ;; SVAR-AVSNITT: dns.mordor.fan. 0 I A 10.10.10.5

buzz @ sysadmin: ~ $ värd -t SRV _ldap._tcp.gc._msdcs
buzz @ sysadmin: ~ $ värd -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fan har SRV-post 0 0 3268 sauron.mordor.fan.

buzz @ sysadmin: ~ $ dig _ldap._tcp.gc._msdcs.mordor.fan
;; FRÅGA AVSNITT :; _ldap._tcp.gc._msdcs.mordor.fan. I EN ;; SVAR-AVSNITT: _ldap._tcp.gc._msdcs.mordor.fan. 0 I A 10.10.10.3

buzz @ sysadmin: ~ $ dig mordor.fan axfr
buzz @ sysadmin: ~ $ dig 10.10.10.in-addr.arpa axfr

Och på så sätt hur många samråd vi behöver

Dnsmasq + Active Directory® + Microsoft® Windows-klienter

Byta namn på en Microsoft® Windows-klient

sju.mordor.fan hyrd IP-adress:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

Låt oss byta namn på «sju»-Som inte är ansluten till Active Directory Domain- av«eukalyptus«. Efter ändringen och omstarten kontrollerar vi:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

Ändringarnas historia kan ses från "sysadmin":

buzz @ sysadmin: ~ $ värd -t A sju
seven.mordor.fan har adress 10.10.10.115

Efter namnbytet

buzz @ sysadmin: ~ $ värd -t A sju
sju har inget A-rekord

buzz @ sysadmin: ~ $ host -t A eucaliptus
eucaliptus.mordor.fan har adressen 10.10.10.115

Frågor från klienten eucaliptus.mordor.fan

Microsoft Windows [Versions 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alla rättigheter förbehållna.

C: \ Användare \ buzz> nslookup
Standardserver: dns.mordor.fan Adress: 10.10.10.5

> sauron
Server: dns.mordor.fan Adress: 10.10.10.5 Namn: sauron.mordor.fan Adress: 10.10.10.3

> mordor.fan
Server: dns.mordor.fan Adress: 10.10.10.5 Namn: mordor.fan Adress: 10.10.10.3

> eukalyptus
Server: dns.mordor.fan Adress: 10.10.10.5 Namn: eucaliptus.mordor.fan Adress: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Server: dns.mordor.fan Adress: 10.10.10.5 Namn: sauron.mordor.fan Adress: 10.10.10.3 Alias: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> uppsättningstyp = SRV
> _kerberos._udp.mordor.fan
Server: dns.mordor.fan Adress: 10.10.10.5 _kerberos._udp.mordor.fan SRV-serviceplats: prioritet = 0 vikt = 0 port = 88 svr värdnamn = sauron.mordor.fan sauron.mordor.fan internetadress = 10.10.10.3. XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
Server: dns.mordor.fan Adress: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV-serviceplats: prioritet = 0 vikt = 0 port = 389 svr värdnamn = sauron .mordor.fan sauron.mordor.fan internetadress = 10.10.10.3

> avsluta

C: \ Användare \ buzz>

Windows-klientregistrering i Microsoft® DNS

Windows-klienter är inte anslutna till Active Directory®-domänen

Vi måste kontrollera om IP-adresserna som hyrs ut av de olika Windows-klienterna från Dnsmasq är korrekt registrerade i Microsoft® DNS. Det kan påverka hur vi aktiverar dynamiska uppdateringar - Dynamiska uppdateringar i Microsoft® DNS-zoner i Active Directory®. Vi startar från standardkonfigurationen för Microsoft DNS som endast tillåter säkra dynamiska uppdateringar - Dynamiska uppdateringar -> Endast säkert, i var och en av dess zoner.

Observera att klienten med strömmen FQDN eucalyptus.mordor.fan Nej är kopplad till Active Directory-domänen (eller en Samba4 AD-DC), och är ett undantag från Microsoft-regeln som «Endast klienter som är registrerade i Min domän har tillstånd via Min uppdateringsmekanism - som jag bara vet - att registrera sig i Min DNS«. Bra att Samba4 AD-DC lär oss något om det.

eucalyptus.mordor.fan hyrd IP 10.10.10.115:

buzz @ sysadmin: ~ $ host -t A eucaliptus
eucaliptus.mordor.fan har adressen 10.10.10.115

Låt oss byta namn till «mahogny«, Låt oss starta om Windows 7 och se vad som händer när vi ber om namnen«eukalyptus»Y«mahogny»Till varje DNS, först till Microsoft DNS och sedan till Dnsmasq:

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.3
Använd domänserver: Namn: 10.10.10.3 Adress: 10.10.10.3 # 53 Alias: 

Värd eucaliptus.mordor.fan hittades inte: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Använd domänserver: Namn: 10.10.10.3 Adress: 10.10.10.3 # 53 Alias: 

Värd mahogany.mordor.fan hittades inte: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.5
Använd domänserver: Namn: 10.10.10.5 Adress: 10.10.10.5 # 53 Alias: 

Värd eucaliptus.mordor.fan hittades inte: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.5
Använd domänserver: Namn: 10.10.10.5 Adress: 10.10.10.5 # 53 Alias: 

mahogny.mordor.fan har adressen 10.10.10.115

Vi kan ändra namnet på Windows 7-klienten det Nej är kopplad till domänen mordor.fan av Active Directory® så många gånger som vi vill, att Microsoft® DNS inte får reda på dessa förändringar eller att en sådan klient finns. Är det möjligt att det bara är för att vi har valt alternativet  Dynamiska uppdateringar -> Endast säkert i varje zon i Micorosft DNS?.

För att Mr. Microsoft® DNS ska veta om ändringarna måste vi välja Dynamiska uppdateringar -> Osäkert och säkert. Detta alternativ, kära läsare, innebär en betydande sårbarhet för säkerheten för alla domännamnsserver som respekteras, vare sig det är Microsft® eller UNIX® / Linux. Microsoft® DNS varnar för sårbarheten, för i slutändan är det inget annat än en modifierad och privatiserad BIND att erbjuda oss «Säkerhet för mörkret«. Om inte, varför rekommenderar du att du sparar på din berömda registrering alla DNS-inställningar och register för din Microsoft® DNS när vi implementerar en Active Directory®?. Förutom att stödja osäkra uppdateringar av Microsoft® DNS krävs följande ändring i Windows 7-klientens nätverkskortkonfiguration:

Låt oss kolla:

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Användning av domänserver: Namn: 10.10.10.3 Adress: 10.10.10.3 # 53 Alias: mahogany.mordor.fan har adressen 10.10.10.115

buzz @ sysadmin: ~ $ värd 10.10.10.115 10.10.10.3
Använd domänserver: Namn: 10.10.10.3 Adress: 10.10.10.3 # 53 Alias: 115.10.10.10.in-addr.arpa domännamnspekare mahogny.mordor.fan.

buzz @ sysadmin: ~ $ host -t En mahogny 10.10.10.5
Användning av domänserver: Namn: 10.10.10.5 Adress: 10.10.10.5 # 53 Alias: mahogany.mordor.fan har adressen 10.10.10.115

buzz @ sysadmin: ~ $ värd 10.10.10.115 10.10.10.5
Använd domänserver: Namn: 10.10.10.5 Adress: 10.10.10.5 # 53 Alias: 115.10.10.10.in-addr.arpa domännamnspekare mahogny.mordor.fan.

Ja nu. Vilken fin synkronisering för två DNS-servrar som inte synkroniseras på något sätt, eller hur?

Windows-klienter anslutna till Active Directory®-domän

Låt oss förena klienten mahogny.mordor.fan till domänen, men inte innan vi tog bort den modifiering som vi gjorde i konfigurationen av ditt nätverkskort, om vi någon gång gjorde det för att verifiera punkten i föregående kapitel. Radera även posten för «mahogny»I Microsoft® DNS och returnera de dynamiska uppdateringarna till deras ursprungspunkt för «Endast säkert«. Förresten är det giltigt att starta om Microsoft-tjänsten® DNS.

Efter att ha gått med i domänen, och trots alla våra ansträngningar, klienten «mahogny»Är inte registrerad i Microsoft® DNS. Vi förklarade till och med i dnsmasq.conf -tillfälligt- att den första DNS-servern är 10.10.10.3.

Microsoft Windows [Versions 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alla rättigheter förbehållna.

C: \ Users \ saruman> ipconfig / all

Windows IP-konfigurationsvärdnamn. . . . . . . . . . . . : MAHOGANY Primärt Dns-suffix. . . . . . . : mordor.fan Nodtyp. . . . . . . . . . . . : Hybrid IP-routing aktiverad. . . . . . . . : Ingen WINS-proxy aktiverad. . . . . . . . : Ingen DNS-suffix-söklista. . . . . . : mordor.fan Ethernet-adapter Lokal anslutning: Anslutningsspecifikt DNS-suffix. : mordor.fan Beskrivning. . . . . . . . . . . : Intel (R) PRO / 1000 MT nätverksanslutning fysisk adress. . . . . . . . . : 00-0C-29-D6-14-36 DHCP aktiverad. . . . . . . . . . . : Ja Autokonfiguration aktiverad. . . . : Ja Länk-lokal IPv6-adress. . . . . : fe80 :: 352a: b954: 7eba: 963e% 12 (önskad) IPv4-adress. . . . . . . . . . . : 10.10.10.115 (Önskat) Subnet Mask. . . . . . . . . . . : 255.255.255.0 Hyresavtal erhållet. . . . . . . . . . : Lördag 25 februari 2017 8:19:05 Leasing upphör att gälla. . . . . . . . . . : Lördag 25 februari 2017 4:20:36 Standardgateway. . . . . . . . . : 10.10.10.253 DHCP-server. . . . . . . . . . . : 10.10.10.5 DHCPv6 IAID. . . . . . . . . . . : 251661353 DHCPv6-klient DUID. . . . . . . . : 00-01-00-01-20-3B-69-81-00-0C-29-D6-14-36

   DNS-servrar. . . . . . . . . . . : 10.10.10.3
                                       10.10.10.5
   NetBIOS över Tcpip. . . . . . . . : Enabled Tunnel adapter isatap.mordor.fan: Media State. . . . . . . . . . . : Media frånkopplad Anslutningsspecifikt DNS-suffix. : mordor.fan Beskrivning. . . . . . . . . . . : Microsoft ISATAP Adapter Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiverad. . . . . . . . . . . : Ingen autokonfiguration aktiverad. . . . : Ja Tunneladapter Lokal anslutning * 9: Medietillstånd. . . . . . . . . . . : Media frånkopplad Anslutningsspecifikt DNS-suffix. : Beskrivning. . . . . . . . . . . : Microsoft Teredo Tunneling Adapter Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiverad. . . . . . . . . . . : Ingen autokonfiguration aktiverad. . . . : Och det är

C: \ Användare \ saruman>

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Använda domänserver: Namn: 10.10.10.3 Adress: 10.10.10.3 # 53 Alias: Host caoba.mordor.fan hittades inte: 3 (NXDOMAIN)

surr@sysadmin: ~ $ host -t Till mahogny.mordor.fan
mahogny.mordor.fan har adressen 10.10.10.115

• Det enda sättet kunden registreras «mahogny»I Microsft® ändrar DNS ditt nätverkskort som angesó i föregående bild, det vill säga uttryckligen att: DNS-suffixet för anslutningen är mordor.fan, att det registrerar anslutningens adress i DNS och att det använder det deklarerade DNS-suffixet när man registrerar anslutningen.

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Användning av domänserver: Namn: 10.10.10.3 Adress: 10.10.10.3 # 53 Alias: mahogany.mordor.fan har adressen 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan
mahogny.mordor.fan har adressen 10.10.10.115

Låt oss byta namn från "mahogny" till "cederträ"

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Använda domänserver: Namn: 10.10.10.3 Adress: 10.10.10.3 # 53 Alias: Host caoba.mordor.fan hittades inte: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Till cedar.mordor.fan 10.10.10.3
Använda domänserver: Namn: 10.10.10.3 Adress: 10.10.10.3 # 53 Alias: cedro.mordor.fan har adressen 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.5
Använda domänserver: Namn: 10.10.10.5 Adress: 10.10.10.5 # 53 Alias: Host caoba.mordor.fan hittades inte: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t Till cedar.mordor.fan 10.10.10.5
Använda domänserver: Namn: 10.10.10.5 Adress: 10.10.10.5 # 53 Alias: cedro.mordor.fan har adressen 10.10.10.115

Och allt normalt, som Microsoft®-klienter och Microsoft® DNS gillar saker och ting.

Låt oss arbeta med Microsoft® DHCP och Microsoft® DNS

Kära läsare, det här kapitlet är utanför ramen för en blogg som är dedikerad till fri programvara. Se Microsoft® hjälp. De tror inte ?. 😉

Slutsatser

Det finns flera sätt att arbeta med Microsoft® DNS när vi får det att samexistera i ett SME-nätverk med Dnsmasq. Bland dem kommer vi bara att nämna följande:

• Stoppa helt Microsoft® DNS-tjänsten på den dator där den körs, vilket efteråt anger att tjänstens start är inaktiverad. Avmarkera i konfigurationen av nätverkskortet för varje Microsoft®-klient alternativet att registrera anslutningsadressen i DNS. Ta bort från filen /etc/dnsmasq.conf Direktiv server = / mordor.fan / 10.10.10.3. anteckningar:
  • Även om frågor om posterna inte besvaras SOA y NSfungerar nätverket korrekt, liksom kopplingen mellan olika klienter-Microsoft® och Linux- till Active Directory®-domänen.
  • Det har fördelen att det i SME LAN bara finns en domännamnsserver - manlig man - och det blir Dnsmasq. ;-). Å andra sidan elimineras möjligheten till inkonsekvenser mellan DNS-poster som lagras i Microsoft® DNS och de som finns tillgängliga via Dnsmasq.
• Lämna Microsoft® DNS igång för att bara svara på DNS-frågor om SOA- och NS-poster. antecknings:
  • Ändra konfigurationen av nätverkskortet för varje Windows-klient och avmarkera alternativet att registrera anslutningsadressen i DNS.
  • Vi tror att denna lösning är slöseri med resurser.
• Konfigurera tjänsterna som vi har sett i hela artikeln, som visar en lösning som passar mer av Microsoft®-filosofin - inte FreeBSD / Linux- Ok?

Sammanfattning

• Microsoft® DNS-förslaget är mycket avslutat. Det lämnar inget utrymme för andra lösningar som inte överensstämmer med dess hermetiska filosofi.
• Moder Natur lär oss att vi finns i ett mångsidigt universum. Det normala är att ha ett blandat LAN, som går mot fri programvara och rik på liv och variation.
• Det verkar som om kunder som inte går med i hans filosofi är utstödda för Microsoft® och därför inte bör ta hänsyn till dem.
• Hur svårt det är att arbeta med privat programvara! Jag skulle hellre spendera lite arbete med att installera fri programvara och vara riktigt fri, fan!

"Det bästa sanningskriteriet är övning."