Dnsmasq และ Active Directory - เครือข่าย SME

ดัชนีทั่วไปของซีรี่ส์: Computer Networks for SMEs: Introduction

สวัสดีเพื่อน!. เพื่อทำความเข้าใจและปฏิบัติตามอย่างถูกต้องบทความนี้คือ สำคัญ อ่านรุ่นก่อน:

• Dnsmasq บน CentOS 7.3
• BIND และ Active Directory®

พวกเขาอธิบายแนวคิดทางทฤษฎีและการปฏิบัติซึ่งเราจะไม่อ้างถึงในแนวคิดนี้ เราจะเปลี่ยนการกระจายในปีปัจจุบันเป็น Debian 8.6 "เจสซี" และเราจะดำเนินการต่อโดยใช้พารามิเตอร์เดียวกันกับที่เราใช้ BIND และ Active Directory®.

• ขั้นตอนที่อธิบายในโพสต์นี้ใช้ได้กับ CentOS 7 เช่นกันไฟล์คอนฟิกูเรชัน / etc / dnsmasq ก็เหมือนกัน ฉันประกาศเพราะฉันคิดว่ามันไม่จำเป็นที่จะต้องสร้างบทความแยกต่างหากสำหรับ Dnsmasq และ Active Directory®ขึ้นอยู่กับ CentOS. โชคดีที่ไดเรกทอรีที่เกี่ยวข้องกับเอกสารประกอบและการกำหนดค่าเหมือนกัน,
• Dnsmaq เป็นการสร้างไฟล์ ไซม่อนตวัด

ข้อ จำกัด ในการใช้ Dnsmasq

เนื่องจากความสำคัญเราจึงทำซ้ำ ขีด จำกัด ที่รองรับ Dnsmasq -run คน dnsmasq- ซึ่งสะท้อนให้เห็น เป๊ะ ต่อไป:

ขีด จำกัด

• โดยทั่วไปค่าเริ่มต้นสำหรับขีด จำกัด ทรัพยากรเป็นแบบอนุรักษ์นิยมและเหมาะสมสำหรับใช้กับอุปกรณ์ประเภทเราเตอร์ ติดอยู่กับโปรเซสเซอร์ที่ช้าและหน่วยความจำเหลือน้อย ในฮาร์ดแวร์มากขึ้น  สามารถเพิ่มขีด จำกัด และสนับสนุนอื่น ๆ อีกมากมาย ลูกค้า. ข้อมูลต่อไปนี้ใช้กับ dnsmasq-2.37: เวอร์ชันก่อนหน้าไม่ทำ พวกเขาปีนขึ้นไปได้ดี
  

• Dnsmasq สามารถรองรับ DNS และ DHCP ได้อย่างน้อยหนึ่งพัน (1,000) ลูกค้า. เวลาเช่าไม่ควรสั้นเกินไป (น้อยกว่าหนึ่ง เวลา). ค่าของ –dns-forward-max สามารถเพิ่มขึ้นได้: เริ่มต้นด้วย เทียบเท่ากับจำนวนลูกค้าและเพิ่มขึ้นหากไฟล์ DNS โปรดทราบว่าประสิทธิภาพของ DNS ขึ้นอยู่กับเซิร์ฟเวอร์ด้วย DNS ต้นทาง ขนาดแคช DNS สามารถเพิ่มได้: ขีด จำกัด ที่ต้องการคือ 10,000 ชื่อและค่าเริ่มต้น (150) ต่ำมาก การส่ง SIGUSR1 ไปยัง dnsmasq ทำให้ข้อมูล bitacore เป็น มีประโยชน์สำหรับการปรับขนาดแคชอย่างละเอียด ดูส่วนบันทึกสำหรับรายละเอียด

• เซิร์ฟเวอร์ TFTP ในตัวสามารถรองรับการถ่ายโอนหลาย ๆ ไฟล์พร้อมกัน: ขีด จำกัด สัมบูรณ์เกี่ยวข้องกับจำนวนไฟล์จัดการที่อนุญาตให้ใช้กับกระบวนการและความสามารถของระบบtem call เลือก () เพื่อรองรับไฟล์จัดการจำนวนมาก หากตั้งค่าขีด จำกัด ไว้สูงเกินไปด้วย –tftp-max จะถูกลดขนาดและขีด จำกัด จริงจะถูกโอเวอร์คล็อกเมื่อเริ่มต้น โปรดทราบว่าการโอนมากขึ้น เป็นไปได้เมื่อไฟล์เดียวกันถูกส่งสิ่งที่เมื่อแต่ละทรานส์Ferencia ส่งไฟล์อื่น เป็นไปได้ที่จะใช้ dnsmasq เพื่อปฏิเสธการโฆษณาบนเว็บโดยใช้รายการไฟล์ เซิร์ฟเวอร์แบนเนอร์ที่รู้จักกันดีทั้งหมดแก้ไขเป็น 127.0.0.1 หรือ 0.0.0.0 ใน / etc / hosts หรือในไฟล์โฮสต์เพิ่มเติม รายการสามารถ ยาวมาก Dnsmasq ได้รับการทดสอบเรียบร้อยแล้วโดยมีชื่อเป็นล้านชื่อ ขนาดไฟล์นั้นต้องการ CPU 1GHz และโดยประมาณแรม 60MB.

• Dnsmasq สามารถรองรับ DNS และ DHCP ได้อย่างน้อยหนึ่งพัน (1,000) ลูกค้า.

มาติดตั้งและกำหนดค่า Jessie และ Dnsmasq

เราจะเริ่มต้นด้วยการติดตั้งเซิร์ฟเวอร์ใหม่และสะอาดตาม Debian 8 "เจสซี". นั่นคือระบบปฏิบัติการที่ไม่มีอินเทอร์เฟซแบบกราฟิกหรือแพ็คเกจอื่นติดตั้ง พารามิเตอร์เครือข่ายจะเหมือนกับที่ใช้ในบทความ BIND และ Active Directory®:

ชื่อโดเมน mordor.fan LAN Network 10.10.10.0/24 ==================================== ========================================= วัตถุประสงค์ที่อยู่ IP ของเซิร์ฟเวอร์ (เซิร์ฟเวอร์ที่ใช้ระบบปฏิบัติการ Windows ) ================================================ ==============================
sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2
mamba.mordor.fan. 10.10.10.4 Windows File Server
dns.mordor.fan 10.10.10.5 เซิร์ฟเวอร์ DnsMasq บน Jessie
darklord.mordor.fan. 10.10.10.6 พร็อกซีเกตเวย์และไฟร์วอลล์บน Kerios troll.mordor.fan 10.10.10.7 บล็อกอิง ... จำ shadowftp.mordor.fan ไม่ได้ 10.10.10.8 เซิร์ฟเวอร์ FTP blackelf.mordor.fan 10.10.10.9 บริการอีเมลฉบับเต็ม blackspider.mordor.fan 10.10.10.10 บริการ WWW palantir.mordor.fan 10.10.10.11 แชทบน Openfire สำหรับ Windows Real CNAME ============================= sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

การตั้งค่าเซิร์ฟเวอร์ dns.mordor.fan เริ่มต้น

root @ dns: ~ # nano / etc / hostname
DNS

root @ dns: ~ # nano / etc / hosts
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # บรรทัดต่อไปนี้เป็นที่พึงปรารถนาสำหรับโฮสต์ที่รองรับ IPv6 :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

root @ dns: ~ # nano / etc / network / อินเทอร์เฟซ
# ไฟล์นี้อธิบายอินเทอร์เฟซเครือข่ายที่มีอยู่ในระบบของคุณ # และวิธีเปิดใช้งาน สำหรับข้อมูลเพิ่มเติมโปรดดูอินเทอร์เฟซ (5) source /etc/network/interfaces.d/* # อินเทอร์เฟซเครือข่ายแบบวนกลับอัตโนมัติ lo iface lo inet loopback # อินเทอร์เฟซเครือข่ายหลัก allow-hotplug eth0 iface eth0 inet static address 10.10.10.5 netmask 255.255.255.0 network 10.10.10.0 ออกอากาศ 10.10.10.255 10.10.10.1 เกตเวย์ 127.0.0.1 # dns- * ตัวเลือกถูกนำไปใช้โดยแพ็คเกจ resolvconf หากติดตั้ง dns-nameserver XNUMX dns-search mordor.fan

มาติดตั้ง Dnsmasq และ htop กันเถอะ

root @ dns: ~ # aptitude ติดตั้ง dnsmasq htop

หลังจากติดตั้งแพคเกจ htop เราสามารถตรวจสอบการใช้ CPU และหน่วยความจำของอุปกรณ์ ใช้ RAM ประมาณ 71 เมกะไบต์เท่านั้น หากเราต้องการลดปริมาณการใช้ลงมากขึ้นเราสามารถติดตั้งแพคเกจได้ เอส.เอ็ม.ที.พี - ง่าย เอ็มที- ซึ่งจะล้างแพ็คเกจ exim4 Debian นั้นจะติดตั้งตามค่าเริ่มต้นเสมอและเราไม่จำเป็นต้องใช้ตามการใช้งานที่เราจะมอบให้กับเซิร์ฟเวอร์นี้:

root @ dns: ~ # aptitude ติดตั้ง ssmtp
root @ dns: ~ # aptitude purge ~ ค
root @ dns: ~ # aptitude clean
root @ dns: ~ # autoclean ความถนัด
root @ dns: ~ # systemctl รีบูต

หลังจากรีสตาร์ทคอมพิวเตอร์ปริมาณการใช้จะเป็นดังนี้:

ต่ำใช่ไหม? ไปต่อกันเถอะ

ให้เราระบุว่า Dnsmasq ปรึกษาMicrosft® DNS ด้วย

เพื่อทดสอบการกำหนดค่า Dnsmasq ที่เป็นไปได้บนคอมพิวเตอร์ของคุณ dns.mordor.fanเราต้องรวมคำสั่งที่ระบุว่า Microsoft DNS ของเซิร์ฟเวอร์ได้รับการปรึกษา sauron.mordor.fan. เราสามารถทำได้รวมทั้งคำสั่ง เซิร์ฟเวอร์ = / mordor.fan / 10.10.10.3 ในที่เก็บถาวร dnsmasq.conf - เราจะเห็นในภายหลัง - หรือเพิ่มบรรทัด nameserver ฮิต ในที่เก็บถาวร / etc / resolv.conf. เนื่องจากเรายังไม่ได้กำหนดค่า Dnsmasq ตามความต้องการของเราเราจึงเลือกวิธีที่สอง:

root @ dns: ~ # นาโน /etc/resolv.conf
โดเมน mordor.fan
nameserver ฮิต
nameserver ฮิต

ตอนนี้เราสามารถแก้ไขแบบสอบถาม DNS ได้แล้ว

ด้วยการกำหนดค่าเริ่มต้นของ Dnsmasq ที่จัดเตรียมโดยไฟล์หลัก /etc/dnasmq.confและสิ่งที่ประกาศไว้ในไฟล์ / etc / resolv.conf จากเซิร์ฟเวอร์เอง«DNS«, ไคลเอนต์ใด ๆ ที่เชื่อมต่อกับ LAN - และที่ประกาศว่าเป็นเซิร์ฟเวอร์ DNS dns.mordor.fan- คุณสามารถแก้ไขแบบสอบถาม DNS โดยเสียค่าใช้จ่ายของMicrosoft® DNS สำหรับตอนนี้…

• เป็นสิ่งสำคัญมากในการตรวจสอบความเร็วในการตอบสนองของ Dnsmasq เมื่อแสดงสถานะเป็น ผู้ส่งของ โดยการรวม IP 10.10.10.3 ไว้ในไฟล์ของคุณ / etc / resolv.conf.

จากเวิร์กสเตชันการดูแลระบบของฉันและการสนับสนุนของกระจุกกระจิกทั้งหมดที่ฉันเขียนฉันเรียกใช้:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# สร้างโดยโดเมน NetworkManager mordor.fan nameserver 10.10.10.5

buzz @ sysadmin: ~ $ nslookup
> DNS
เซิร์ฟเวอร์: 10.10.10.5 ที่อยู่: 10.10.10.5 # 53 ชื่อ: dns.mordor.fan ที่อยู่: 10.10.10.5

> เซารอน
เซิร์ฟเวอร์: 10.10.10.5 ที่อยู่: 10.10.10.5 # 53

คำตอบที่ไม่น่าเชื่อถือ:
ชื่อ: sauron.mordor.fan ที่อยู่: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
เซิร์ฟเวอร์: 10.10.10.5 ที่อยู่: 10.10.10.5 # 53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan canonical name = sauron.mordor.fan ชื่อ: sauron.mordor.fan ที่อยู่: 10.10.10.3

> 10.10.10.3
เซิร์ฟเวอร์: 127.0.0.1 ที่อยู่: 127.0.0.1 # 53 3.10.10.10.in-addr.arpa name = sauron.mordor.fan

> 10.10.10.9
เซิร์ฟเวอร์: 127.0.0.1 ที่อยู่: 127.0.0.1 # 53 9.10.10.10.in-addr.arpa name = blackelf.mordor.fan

> 10.10.10.5
เซิร์ฟเวอร์: 127.0.0.1 ที่อยู่: 127.0.0.1 # 53 5.10.10.10.in-addr.arpa name = dns.mordor.fan

> จดหมาย
เซิร์ฟเวอร์: 10.10.10.5 ที่อยู่: 10.10.10.5 # 53 Non-authoritative answer: mail.mordor.fan canonical name = blackelf.mordor.fan ชื่อ: blackelf.mordor.fan ที่อยู่: 10.10.10.9> exit

buzz @ sysadmin: ~ $

มาดูประเด็นต่อไปนี้อย่างละเอียดยิ่งขึ้น:

• dns.mordor.fan ตอบคำถาม DNS โดยตรงซึ่งสามารถแก้ไขได้ตามการตั้งค่า Dnsmasq ปัจจุบันของคุณ หากคุณไม่สามารถแก้ปัญหาได้มันจะทำงานเหมือน ผู้ส่งของ และถาม IP 10.10.10.3 ว่าสามารถตอบคำถามได้หรือไม่ เมื่อถามถึง IP ของอุปกรณ์«DNS«เขาตอบโดยตรง เมื่อ Dnsmasq ถูกถามว่าใครคือ«เซารอน",?, ทำให้ ส่งต่อ ไปยัง 10.10.10.3 - คุณไม่สามารถตอบได้โดยตรงเนื่องจากคุณยังไม่ได้ลงทะเบียน - ใครเป็นผู้ตอบกลับคำตอบที่ไม่ใช่เผด็จการ
• เมื่อถามว่าใครคือ«03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan"?, ทำ ส่งต่อ อีกครั้งและในครั้งนี้คุณได้รับการตอบกลับที่เชื่อถือได้จากMicrosoft® DNS
• ความเร็วในการตอบสนองสูงของ Dnsmasq สำหรับการสืบค้นทุกประเภท

เป็นรายละเอียดเล็ก ๆ น้อย ๆ ที่ทำให้ความรักยิ่งใหญ่ ;-)

ความแตกต่างพื้นฐานระหว่าง Dnsmasq และ BIND ที่รวมเข้ากับ Active Directory®

มาเรียกใช้แบบสอบถาม DNS สองสามรายการในระเบียน SOA y NS ของโดเมน มอร์ดอร์.แฟนสำหรับแต่ละเนมเซิร์ฟเวอร์ที่เกี่ยวข้อง:

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.3
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.3 ที่อยู่: 10.10.10.3 # 53 นามแฝง: 
mordor.fan มีบันทึก SOA sauron.mordor.fan hostmaster.mordor.fan. 56 900 600 86400 3600

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.5
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.5 ที่อยู่: 10.10.10.5 # 53 นามแฝง: 
mordor.fan มีบันทึก SOA sauron.mordor.fan hostmaster.mordor.fan. 56 900 600 86400 3600

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.5
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.5 ที่อยู่: 10.10.10.5 # 53 นามแฝง: 
mordor.fan เนมเซิร์ฟเวอร์ sauron.mordor.fan

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.3
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.3 ที่อยู่: 10.10.10.3 # 53 นามแฝง: 
mordor.fan เนมเซิร์ฟเวอร์ sauron.mordor.fan

คำตอบเหมือนกัน - ซึ่งเป็นตรรกะ - เพราะ เสมอ ตอบกลับ sauron.mordor.fan. ก่อนแบบสอบถาม DNS เกี่ยวกับระเบียน SOA o NSแม้ หน้าตา เขาตอบว่าอะไร dns.mordor.fan. อย่างไรก็ตามมันแตกต่างจากที่เห็นในบทความ BIND และ Active Directory®ซึ่งเราได้ลบฟังก์ชันMicrosoft® DNS ออกไปโดยสิ้นเชิง ในบทความนั้น DNS ทั้งหมดจะสอบถามเกี่ยวกับ Domino Namespace มอร์ดอร์.แฟน BIND ตอบคำถามพวกเขาเพราะเรากำหนดค่าไว้แบบนั้นและเนื่องจาก BIND ตอบคำถาม SOA y NS นอกเหนือจากการอนุญาตโครงการ มาสเตอร์ - ทาส, การถ่ายโอนโซน ฯลฯ ดังนั้นจึงเป็นเซิร์ฟเวอร์ DNS ที่สมบูรณ์ยิ่งขึ้น - ซับซ้อน

บางทีนี่อาจเป็นความแตกต่างหลักระหว่าง DNS ของ Dnsmasq และ BIND ... แต่ BIND - สามารถมีได้ตั้งแต่หนึ่งตัวขึ้นไป - ไม่มีเซิร์ฟเวอร์ DHCP ที่รวมเข้ากับเซิร์ฟเวอร์ DNS ได้อย่างราบรื่นในเครื่องเดียว Daemondและไม่ต้องใช้คีย์ TSIG, ไฟล์คอนฟิกูเรชัน, ฐานข้อมูลโซน ฯลฯ ดังที่เราได้เห็นในบทความก่อนหน้านี้

• ฉันคิดว่าในตอนนี้ผู้อ่านที่รักจะได้ตระหนักว่าฉันไม่ได้เกลียด BIND หรือชอบ Dnsmasq เป็น BIND การอภิปรายในอนาคตเกี่ยวกับเรื่องนี้เป็นการเสียเวลาโดยสิ้นเชิงเนื่องจากมีส่วนเกี่ยวข้องกับความต้องการความต้องการรสนิยมความชอบและ .... แต่ละวิธีมีเสน่ห์ ;-)

• ในสถานการณ์ที่คล้ายคลึงกันให้ทุกคนติดตั้งและกำหนดค่าซอฟต์แวร์ที่ตนเลือกและทราบข้อมูลเพิ่มเติม และทุกอย่างทำงานได้ตามที่คาดไว้.

ข้อดีของชุดค่าผสม Dnsmasq + Active Directory®

ด้วยการผสมผสานนี้เรามีการตอบสนองที่สมบูรณ์สำหรับการสืบค้น DNS และวิธีการเช่าที่อยู่ IP ที่มีประสิทธิภาพสำหรับ SME LAN ของเรา ดังที่เราจะเห็นในภายหลังมันทำงานได้อย่างถูกต้องสำหรับทุกสถานการณ์ที่เกี่ยวข้องกับการที่คอมพิวเตอร์เข้าร่วมกับMicrosoft® Active Directory® Domain Controller หรือไม่ นอกจากนี้เรายังมี DNS และเซิร์ฟเวอร์ DNS ผู้ส่งของ ความยอดเยี่ยมพร้อมเซิร์ฟเวอร์ DHCP ที่รวดเร็วมาก และทั้งหมดนี้มีความต้องการทรัพยากรเพียงเล็กน้อย คุณต้องการมากกว่านี้ไหม

เป็นไปได้หรือไม่ Dnsmasq + BIND?

ใช่แน่นอน แม้ว่าฉันจะแนะนำให้ติดตั้งบนคอมพิวเตอร์เครื่องอื่นเพื่อไม่ให้เกิดการชนกันเนื่องจากพอร์ต 53 ของบริการ DNS ที่เป็นที่นิยมมาก บางทีเราจะเห็นอะไรบางอย่างเกี่ยวกับมันเมื่อเราไปที่ AD-DC ที่ใช้ Samba 4 ใครจะรู้?

เคล็ดลับเกี่ยวกับ Dnamasq

• ไฟล์งานที่จำเป็นสำหรับ Dnsmasq เพื่อให้บริการ DHCP และ DNS บน LAN ได้แก่ : /etc/dnsmasq.conf, / etc / hosts, /var/lib/misc/dnsmasq.leaseและ / etc / resolv.conf. ไฟล์ dnsmasq.lease มันถูกสร้างขึ้นเมื่อคุณเช่าที่อยู่ IP แรกของคุณ
• ไฟล์งานอื่นที่คุณสามารถใช้ได้คือ / etc / ethers. หากมีไฟล์ดังกล่าวอยู่คำสั่ง อ่านอีเทอร์ ประกาศในไฟล์ config บอกให้ Dnsmasq อ่าน มันมีประโยชน์มากเมื่อเราเกี่ยวข้อง ที่อยู่ MAC / ชื่อโฮสต์ เพื่อวัตถุประสงค์บางประการ
• บริการ DNS สามารถปิดใช้งานได้อย่างสมบูรณ์โดยใช้คำสั่ง พอร์ต = 0 ใน dnsmasq.conf
• บริการ DHCP สำหรับอินเทอร์เฟซเครือข่ายอย่างน้อยหนึ่งรายการสามารถปิดใช้งานได้โดยคำสั่ง -one สำหรับแต่ละบรรทัด - no-dhcp-interface = eth0, no-dhcp-interface = eth1และอื่น ๆ มีประโยชน์มากเมื่อเราอยู่ต่อหน้าทีมที่มีอินเทอร์เฟซเครือข่าย 2 หรือมากกว่าและเราต้องการให้บริการ DHCP โดยหนึ่งในนั้นหรือไม่มีเลย แน่นอนว่าหากเราปิดใช้งานบริการ DHCP สำหรับอินเทอร์เฟซทั้งหมดเราจะปล่อยให้บริการ DNS ทำงานเท่านั้น หากเราปิดใช้งานทั้งสองบริการทำไมเราถึงต้องใช้ Dnsmasq? 😉
• เพื่อประกาศไปยังเซิร์ฟเวอร์ชื่อโดเมน DNS อื่น ๆ ว่า ไม่ เป็นสาธารณะหรือภายนอกของ LAN - ในกรณีของ Microsoft DNS - เราทำผ่านคำสั่ง เซิร์ฟเวอร์ = / ชื่อโดเมน / IP เซิร์ฟเวอร์ DNS ในที่เก็บถาวร /etc/dnsmasq.conf. ตัวอย่างเช่น: เซิร์ฟเวอร์ = / mordor.fan / 10.10.10.3.
• เพื่อบอก Dnsmasq ว่าการสืบค้นเกี่ยวกับโดเมนท้องถิ่นจะได้รับคำตอบจากไฟล์เท่านั้น / etc / hosts หรือผ่าน DHCP ของคุณเราต้องเพิ่มคำสั่ง ท้องถิ่น = / localnet / ในไฟล์หลักของการกำหนดค่าของคุณ ตัวอย่าง: ท้องถิ่น = / mordor.fan /.
• เพื่อกำหนดค่าไฟล์อย่างถูกต้อง / etc / resolv.conf - Resolver เราขอแนะนำให้อ่านคู่มือโดยใช้คำสั่ง คน resolv.conf. หากคุณติดตั้ง Debian 8.6 "Jessie" คุณจะพบว่ามันเขียนเป็นภาษาสเปนได้ดี
• Dnsmasq ไม่ได้ใช้ไฟล์ Zones เพื่อตอบคำถามโดยตรงหรือย้อนกลับ
• เพื่อทราบความหมายของแต่ละฟิลด์«พิเศษ»ที่ใช้ในการประกาศ SRV Resource Record คุณควรปรึกษา BIND และ Active Directory®. ไวยากรณ์ของระเบียน SRV ในไฟล์ /etc/dnsmasq.conf มันเป็นดังนี้:

  srv-host = , , , ,

ผู้อ่านที่ต้องการทราบข้อมูลเพิ่มเติมโปรดอ่านไฟล์ต้นฉบับอย่างละเอียด /etc/dnsmasq.conf หรือเอกสารที่มีอยู่ในไดเร็กทอรี / usr / share / doc / dnsmasq-base.

รูท @ dns: ~ # ls -l / usr / share / doc / dnsmasq-base /
รวม 128 -rw-r - r-- 1 รูท 883 5 พฤษภาคม 2015 ลิขสิทธิ์ -rw-r - r-- 1 รูท 36261 5 2015 พฤษภาคม 1 changelog.archive.gz -rw-r - r-- 11297 รูทรูท 5 2015 พฤษภาคม 1 changelog.Debian.gz -rw-r - r-- 26014 root root 5 2015 พฤษภาคม 1 changelog.gz -rw-r - r-- 2084 root root 5 2015 พฤษภาคม 1 DBus-interface gz -rw-r - r-- 4297 root root 5 2015 พฤษภาคม 2 doc.html drwxr-xr-x 4096 root root 19 17 ก.พ. 52:1 ตัวอย่าง -rw-r - r-- 9721 รูท 5 2015 พฤษภาคม 1 FAQ.gz -rw-r - r-- 4180 root root 5 2015 พฤษภาคม 1 README.Debian -rw-r - r-- 12019 root root 5 2015 พฤษภาคม XNUMX setup.html

มากำหนดค่า Dnsmasq และ Resolver กัน

เราจะใช้เป็นแนวทางเบื้องต้น - การเปลี่ยนชื่อและอื่น ๆ แน่นอน - ไฟล์กำหนดค่าที่ใช้ในบทความ«Dnsmasq บน CentOS 7.3"

อย่าลืมขั้นตอนต่อไป:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

ที่อยู่ IP คงที่

ที่อยู่ของเซิร์ฟเวอร์หรืออุปกรณ์ที่ต้องการ IP คงที่ - ทั้งคู่ IPv4 ในขณะที่ IPv6- มีการประกาศในไฟล์ / etc / hosts:

[root @ dns ~] # นาโน / etc / hosts
127.0.0.1 localhost # บรรทัดต่อไปนี้เป็นที่พึงปรารถนาสำหรับโฮสต์ที่รองรับ IPv6 :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters # เซิร์ฟเวอร์และคอมพิวเตอร์ที่มี IP คงที่ 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

มาสร้างไฟล์ /etc/dnsmasq.conf

[root @ dns ~] # นาโน /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # ตัวเลือกทั่วไป # ---------------------------- - -------------------------------------- โดเมนที่ต้องการ # ไม่ต้องส่งชื่อโดยไม่มีโดเมน part bogus-priv # ไม่ต้องส่งที่อยู่ในพื้นที่ขยายโฮสต์ที่ไม่ได้กำหนดเส้นทาง # เพิ่มโดเมนไปยังอินเทอร์เฟซโฮสต์โดยอัตโนมัติ = eth0 # อินเทอร์เฟซ  ระวังอินเทอร์เฟซ # except-interface = eth1 # อย่าฟังคำสั่ง NIC ที่เข้มงวดนี้ # ลำดับที่คุณปรึกษาไฟล์ /etc/resolv.conf # รวมตัวเลือกการกำหนดค่าอื่น ๆ อีกมากมาย # ผ่านไฟล์หรือโดยการค้นหาการกำหนดค่า # ไฟล์ เพิ่มเติมในไดเร็กทอรี # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # เกี่ยวข้องกับ Domain Name domain = mordor.fan # Domain Name # Time Server คือ 10.10.10.1 10.10.10.1 address = / time.windows.com / XNUMX # ส่งตัวเลือกว่างของค่า WPAD  จำเป็นสำหรับ # Windos 7 และไคลเอนต์ที่ใหม่กว่าในการทำงานอย่างถูกต้อง  ;-) dhcp-option = 252, "\ n" # ไฟล์ที่เราจะประกาศ HOSTS ที่จะ "ถูกแบน" addn-hosts = / etc / banner_add_hosts # ปรึกษาเซิร์ฟเวอร์Microsoft® DNS "sauron" ถ้าเรา # ปล่อยให้มันทำงาน เซิร์ฟเวอร์ = / mordor.fan / 10.10.10.3 # คำถามเกี่ยวกับโดเมนท้องถิ่นจะได้รับคำตอบ # จาก / etc / hosts หรือผ่าน DHCP ในพื้นที่ = / mordor.fan / # การสอบถามเกี่ยวกับ PTR หรือระเบียน Reverse จะได้รับคำตอบ # โดยเซิร์ฟเวอร์ "dns" และ "sauron" ในเซิร์ฟเวอร์คำสั่งนั้น = / 10.10.10.in-addr.arpa / 10.10.10.5 เซิร์ฟเวอร์ = / 10.10.10.in-addr.arpa / 10.10.10.3 # ------- -------------------------------------------------- ---------- # REGISTROSCNAMEMXTXT # ------------------------------------- ------------------------------ # การลงทะเบียนประเภทนี้ต้องมีรายการ # ในไฟล์ / etc / hosts # เช่น: 10.10.0.7 troll.mordor.fan troll # cname = ALIAS, REAL_NAME cname = ad-dc.mordor.fan, sauron.mordor.fan cname = fileserver.mordor.fan, mamba.mordor.fan cname = proxyweb.mordor.fan , darklord.mordor.fan cname = blog.mordor .fan, troll.mordor.fan cname = ftpserver.mordor.fan, shadowftp.mordor.fan cname = mail.mordor.fan, blackelf.mordor.fan cname = www.mordor.fan, blackspider.mordor.fan cname = opendire .mordor.fan, palantir.mordor.fan # MX RECORDS # ส่งคืนระเบียน MX ด้วยชื่อ "mordor.fan" ที่กำหนดไว้ # สำหรับทีม blackelf.mordor.fan และลำดับความสำคัญ 10 mx-host = mordor.fan, mail mordor.fan, 10 # ปลายทางเริ่มต้นสำหรับระเบียน MX ที่สร้าง # โดยใช้ตัวเลือก localmx จะเป็น: mx-target = mail.mordor.fan # ส่งคืนระเบียน MX ที่ชี้ไปที่ mx-target สำหรับเครื่อง localmx ทั้งหมด # เครื่อง # ระเบียน TXT 

dhcp-rent-max = 222 # จำนวนที่อยู่สูงสุดที่จะเช่า
                        # โดยค่าเริ่มต้นคือ 150
# IPV6 Range # dhcp-range = 1234 ::, ra-only # ตัวเลือกสำหรับ RANGE # OPTIONS dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,10.10.10.253 # ROUTER GATEWAY dhcp-option = 6,10.10.10.5 .15 # เซิร์ฟเวอร์ DNS dhcp-option = 19,1, mordor.fan # ชื่อโดเมน DNS dhcp-option = 28,10.10.10.255 # ตัวเลือกส่งต่อ ip บน dhcp-option = 42,10.10.10.1 # BROADCAST dhcp-option = 40 41,10.10.10.3 # NTP # dhcp-option = 44,10.10.10.3, MORDOR # NIS ชื่อโดเมน # dhcp-option = 45,10.10.10.3 # เซิร์ฟเวอร์ NIS # dhcp-option = 73,10.10.10.3 # WINS # dhcp-option = 46,8 # NetBIOS datagrams # dhcp-option = XNUMX # Finger Server # dhcp-option = XNUMX # NetBIOS node dhcp-authoritative # Authoritative DHCP ในซับเน็ต # ------------- -------------------------------------------------- ---- # --------------------------------------------- ---------------------- # บันทึกหาง -f / var / log / syslog หรือ journalctl -f # ------------ -------------------------------------------------- ----- บันทึกแบบสอบถาม # ----------------------------------------- -------------------------- # เรื่อง บันทึก A และ SRV ที่สอดคล้องกับ Active Directory # ----------------------------------------- --------------------------
# บันทึกก
ที่อยู่ = / gc._msdcs.mordor.fan / 10.10.10.3 ที่อยู่ = / DomainDnsZones.mordor.fan / 10.10.10.3 ที่อยู่ = / ForestDnsZones.mordor.fan / 10.10.10.3

# ระเบียน CNAME โซน DNS ของ Microsoft _msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# บันทึก SRV
# srv-host = , , , ,

# แคตตาล็อกทั่วโลก # โซน DNS ของ Microsoft _msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan, sauron.mordor.fan, 3268,0,0
# Microsoft DNS โซน mordor.fan
srv-host = _gc._tcp.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan, sauron.mordor.fan .3268,0,0

# LDAP ที่ปรับเปลี่ยนและเป็นส่วนตัวของ Active Directory
# โซน DNS ของ Microsoft _msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# Microsoft DNS โซน mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# KERBEROS แก้ไขและเป็นส่วนตัวจาก Active Directory
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

# END ของไฟล์ /etc/dnsmasq.conf
# ------------------------------------------------- ------------------

มาสร้างไฟล์ / etc / banner_add_host

[root @ dns ~] # นาโน / etc /Banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq - ทดสอบ
dnsmasq: ตรวจสอบไวยากรณ์ตกลง

[root @ dns ~] # systemctl รีสตาร์ท dnsmasq.service 
[root @ dns ~] # systemctl สถานะ dnsmasq.service

มาแก้ไขไฟล์ /etc/resolv.conf - Resolver

root @ dns: ~ # นาโน /etc/resolv.conf 
โดเมน mordor.fan ค้นหา mordor.fan

ทำไมเราไม่มีบรรทัดปกติที่ประกาศไว้ในไฟล์ แก้ไข.confเหรอ? เพราะเราประกาศใน dnsmasq.conf คำสั่งต่อไปนี้:

# ปรึกษาเซิร์ฟเวอร์Microsoft® DNS "sauron" ถ้าเรา # ปล่อยให้มันทำงาน
เซิร์ฟเวอร์ = / mordor.fan / 10.10.10.3

# คำถามเกี่ยวกับโดเมนท้องถิ่นจะได้รับคำตอบ # จาก / etc / hosts หรือผ่าน DHCP
ท้องถิ่น = / mordor.fan /

# การสอบถามเกี่ยวกับ PTR หรือระเบียน Reverse จะได้รับคำตอบ # โดยเซิร์ฟเวอร์ "dns" และ "sauron" ตามลำดับนั้น
เซิร์ฟเวอร์ = / 10.10.10.in-addr.arpa / 10.10.10.5 เซิร์ฟเวอร์ = / 10.10.10.in-addr.arpa / 10.10.10.3

แบบสอบถามจาก sysadmin.mordor.fan

ไฟล์ / etc / resolv.conf ของทีมนี้คือ:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf
# สร้างโดย NetworkManager ค้นหา mordor.fan nameserver 10.10.10.5

buzz @ sysadmin: ~ $ host -t ถึง spynet4.microsoft.com
spynet4.microsoft.com มีที่อยู่ 127.0.0.1

buzz @ sysadmin: ~ $ host -t ไปที่ www.download.windowsupdate.com
www.download.windowsupdate.com มีที่อยู่ 127.0.0.1

ฉวัดเฉวียน@sysadmin: ~ $ ขุด dns
buzz @ sysadmin: ~ $ ขุด dns.mordor.fan
;; ส่วนคำถาม:; dns.mordor.fan ใน ;; ส่วนคำตอบ: dns.mordor.fan 0 ใน 10.10.10.5

buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs
buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fan มีบันทึก SRV 0 0 3268 sauron.mordor.fan

buzz @ sysadmin: ~ $ ขุด _ldap._tcp.gc._msdcs.mordor.fan
;; ส่วนคำถาม:; _ldap._tcp.gc._msdcs.mordor.fan ใน ;; ส่วนคำตอบ: _ldap._tcp.gc._msdcs.mordor.fan 0 ใน 10.10.10.3

buzz @ sysadmin: ~ $ ขุด mordor.fan axfr
buzz @ sysadmin: ~ $ dig 10.10.10.in-addr.arpa axfr

และด้วยวิธีนี้เราต้องการคำปรึกษากี่ครั้ง

ไคลเอนต์ Dnsmasq + Active Directory® + Microsoft® Windows

การเปลี่ยนชื่อไคลเอ็นต์Microsoft® Windows

เซเว่น.มอร์ดอร์.แฟน ที่อยู่ IP เช่า:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

มาเปลี่ยนชื่อ«เจ็ด» - ซึ่งไม่ได้เข้าร่วมกับ Active Directory Domain- โดย«ยูคาลิปตัส«. หลังจากการเปลี่ยนแปลงและการรีสตาร์ทเราตรวจสอบ:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

ประวัติความเป็นมาของการเปลี่ยนแปลงสามารถดูได้จาก "sysadmin":

buzz @ sysadmin: ~ $ host -t A seven
seven.mordor.fan มีที่อยู่ 10.10.10.115

หลังจากเปลี่ยนชื่อ

buzz @ sysadmin: ~ $ host -t A seven
เจ็ดไม่มีบันทึก A

buzz @ sysadmin: ~ $ host -t A eucaliptus
eucaliptus.mordor.fan มีที่อยู่ 10.10.10.115

แบบสอบถามจากไคลเอนต์ eucaliptus.mordor.fan

Microsoft Windows [Thai Version 6.1.7601]
ลิขสิทธิ์ (c) 2009 Microsoft Corporation สงวนลิขสิทธิ์.

C: \ Users \ buzz> nslookup
เซิร์ฟเวอร์เริ่มต้น: dns.mordor.fan ที่อยู่: 10.10.10.5

> เซารอน
เซิร์ฟเวอร์: dns.mordor.fan ที่อยู่: 10.10.10.5 ชื่อ: sauron.mordor.fan ที่อยู่: 10.10.10.3

> mordor.fan
เซิร์ฟเวอร์: dns.mordor.fan ที่อยู่: 10.10.10.5 ชื่อ: mordor.fan ที่อยู่: 10.10.10.3

> ยูคาลิปตัส
เซิร์ฟเวอร์: dns.mordor.fan ที่อยู่: 10.10.10.5 ชื่อ: eucaliptus.mordor.fan ที่อยู่: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
เซิร์ฟเวอร์: dns.mordor.fan ที่อยู่: 10.10.10.5 ชื่อ: sauron.mordor.fan ที่อยู่: 10.10.10.3 นามแฝง: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> กำหนดประเภท = SRV
> _kerberos._udp.mordor.fan
เซิร์ฟเวอร์: dns.mordor.fan ที่อยู่: 10.10.10.5 _kerberos._udp.mordor.fan ตำแหน่งบริการ SRV: ลำดับความสำคัญ = 0 น้ำหนัก = 0 พอร์ต = 88 svr hostname = sauron.mordor.fan sauron.mordor.fan ที่อยู่อินเทอร์เน็ต = 10.10.10.3 XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
เซิร์ฟเวอร์: dns.mordor.fan ที่อยู่: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan ตำแหน่งบริการ SRV: ลำดับความสำคัญ = 0 weight = 0 port = 389 svr hostname = sauron .mordor.fan ที่อยู่อินเทอร์เน็ต sauron.mordor.fan = 10.10.10.3

> ออก

C: \ Users \ buzz>

การลงทะเบียนไคลเอนต์ Windows ในMicrosoft® DNS

ไคลเอนต์ Windows ไม่ได้เข้าร่วมกับโดเมน Active Directory®

เราต้องตรวจสอบว่าที่อยู่ IP ที่เช่าโดยไคลเอนต์ Windows อื่นจาก Dnsmasq ได้รับการลงทะเบียนอย่างถูกต้องในMicrosoft® DNS หรือไม่ มันสามารถมีอิทธิพล วิธีที่เราเปิดการอัปเดตแบบไดนามิก - การอัปเดตแบบไดนามิก ในMicrosoft® DNS Zones ของ Active Directory® เราเริ่มต้นจากการกำหนดค่าเริ่มต้นของ Microsoft DNS ซึ่งอนุญาตเฉพาะ Secure Dynamic Updates - การอัปเดตแบบไดนามิก -> ปลอดภัยเท่านั้นในแต่ละโซน

โปรดทราบว่าไคลเอนต์ที่มีปัจจุบัน FQDN eucalyptus.mordor.fan ไม่ แนบกับ Active Directory Domain (หรือ Samba4 AD-DC) และเป็นข้อยกเว้นของกฎของ Microsoft ที่«เฉพาะลูกค้าที่ลงทะเบียนในโดเมนของฉันเท่านั้นที่จะได้รับอนุญาตผ่านกลไกการอัปเดตของฉันซึ่งฉันรู้เพียงเพื่อลงทะเบียนใน My DNS«. โชคดีที่ Samba4 AD-DC สอนเราบางอย่างเกี่ยวกับเรื่องนี้

eucalyptus.mordor.fan เช่า IP 10.10.10.115:

buzz @ sysadmin: ~ $ host -t A eucaliptus
eucaliptus.mordor.fan มีที่อยู่ 10.10.10.115

เปลี่ยนชื่อเป็น«คาโอบะ«มาเริ่มต้น Windows 7 ใหม่และดูว่าจะเกิดอะไรขึ้นเมื่อเราขอชื่อ«ยูคาลิปตัส» Y «คาโอบะ»สำหรับ DNS แต่ละรายการอันดับแรกไปที่ Microsoft DNS จากนั้นไปที่ Dnsmasq:

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.3
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.3 ที่อยู่: 10.10.10.3 # 53 นามแฝง: 

ไม่พบโฮสต์ eucaliptus.mordor.fan: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.3 ที่อยู่: 10.10.10.3 # 53 นามแฝง: 

ไม่พบโฮสต์ mahogany.mordor.fan: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.5
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.5 ที่อยู่: 10.10.10.5 # 53 นามแฝง: 

ไม่พบโฮสต์ eucaliptus.mordor.fan: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.5
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.5 ที่อยู่: 10.10.10.5 # 53 นามแฝง: 

mahogany.mordor.fan มีที่อยู่ 10.10.10.115

เราสามารถเปลี่ยนชื่อไคลเอนต์ Windows 7 ได้ว่า ไม่ ติดอยู่กับโดเมน มอร์ดอร์.แฟน Active Directory®กี่ครั้งก็ได้ตามที่เราต้องการโดยที่Microsoft® DNS ไม่พบข้อมูลเกี่ยวกับการเปลี่ยนแปลงเหล่านี้หรือไคลเอ็นต์ดังกล่าวมีอยู่จริง เป็นไปได้ไหมว่าเป็นเพราะเราได้เลือกตัวเลือกเท่านั้น  การอัปเดตแบบไดนามิก -> ปลอดภัยเท่านั้น ในแต่ละโซนของ Micorosft DNS?

เพื่อให้ Mr. Microsoft® DNS ทราบเกี่ยวกับการเปลี่ยนแปลงเราต้องเลือก การอัปเดตแบบไดนามิก -> ไม่ปลอดภัยและปลอดภัย. ตัวเลือกนี้ Dear Readers หมายถึงช่องโหว่ที่สำคัญของการรักษาความปลอดภัยของ Domain Name Server ที่เคารพไม่ว่าจะเป็นMicrosft®หรือUNIX® / Linux Microsoft® DNS เตือนเกี่ยวกับช่องโหว่เพราะท้ายที่สุดแล้วมันก็ไม่มีอะไรมากไปกว่า BIND ที่ปรับเปลี่ยนและแปรรูปให้เรา«ความปลอดภัยสำหรับความมืด«. ถ้าไม่ทำไมคุณถึงแนะนำให้ออมกับชื่อเสียงของคุณ การลงทะเบียน การตั้งค่า DNS และบันทึกทั้งหมดของMicrosoft® DNS ของคุณเมื่อเราใช้ Active Directory®? นอกเหนือจากการรองรับการอัปเดตที่ไม่ปลอดภัยสำหรับMicrosoft® DNS แล้วจำเป็นต้องมีการปรับเปลี่ยนต่อไปนี้ในการกำหนดค่าการ์ดเครือข่ายไคลเอ็นต์ Windows 7

ตรวจสอบ:

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.3 ที่อยู่: 10.10.10.3 # 53 นามแฝง: caoba.mordor.fan มีที่อยู่ 10.10.10.115

buzz @ sysadmin: ~ โฮสต์ $ 10.10.10.115 10.10.10.3
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.3 ที่อยู่: 10.10.10.3 # 53 นามแฝง: 115.10.10.10.in-addr.arpa ตัวชี้ชื่อโดเมน mahogany.mordor.fan

buzz @ sysadmin: ~ $ host -t มะฮอกกานี 10.10.10.5
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.5 ที่อยู่: 10.10.10.5 # 53 นามแฝง: caoba.mordor.fan มีที่อยู่ 10.10.10.115

buzz @ sysadmin: ~ โฮสต์ $ 10.10.10.115 10.10.10.5
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.5 ที่อยู่: 10.10.10.5 # 53 นามแฝง: 115.10.10.10.in-addr.arpa ตัวชี้ชื่อโดเมน mahogany.mordor.fan

ใช่ตอนนี้. การซิงโครไนซ์ที่ดีสำหรับเซิร์ฟเวอร์ DNS สองเครื่องที่ไม่ซิงโครไนซ์ด้วยวิธีใด ๆ ใช่ไหม?

ไคลเอนต์ Windows ที่เข้าร่วมกับโดเมน Active Directory®

มารวมตัวกันของลูกค้า มะฮอกกานี.mordor.fan ไปยังโดเมน แต่ไม่ใช่ก่อนที่จะกำจัดการแก้ไขที่เราทำในการกำหนดค่าการ์ดเครือข่ายของคุณหากถึงจุดหนึ่งเราได้ทำการตรวจสอบจุดของบทก่อนหน้า ลบรายการสำหรับ«ด้วยคาโอบะ»ใน Microsoft® DNS และคืนการอัปเดตแบบไดนามิกไปยังจุดเริ่มต้นของ«ปลอดภัยเท่านั้น«. อย่างไรก็ตามการเริ่มบริการของ Microsoft ใหม่นั้นถูกต้อง® DNS.

หลังจากเข้าร่วมโดเมนและแม้ว่าเราจะพยายามอย่างเต็มที่แล้วก็ตามลูกค้า«คาโอบะ»ไม่ได้ลงทะเบียนในMicrosoft® DNS เรายังประกาศในไฟล์ dnsmasq.conf - ชั่วคราว - เซิร์ฟเวอร์ DNS ตัวแรกคือ 10.10.10.3

Microsoft Windows [Thai Version 6.1.7601]
ลิขสิทธิ์ (c) 2009 Microsoft Corporation สงวนลิขสิทธิ์.

C: \ Users \ saruman> ipconfig / ทั้งหมด

ชื่อโฮสต์การกำหนดค่า Windows IP . . . . . . . . . . . : MAHOGANY คำต่อท้าย Dns หลัก . . . . . . : mordor.fan Node Type. . . . . . . . . . . . : เปิดใช้งานการกำหนดเส้นทาง IP แบบไฮบริด . . . . . . . : ไม่ได้เปิดใช้งานพร็อกซี WINS . . . . . . . : ไม่มีรายการค้นหา DNS ต่อท้าย . . . . . : mordor.fan อีเทอร์เน็ตอะแด็ปเตอร์ Local Area Connection: Connection-specific DNS ต่อท้าย : mordor.fan คำอธิบาย . . . . . . . . . . : ที่อยู่ทางกายภาพของการเชื่อมต่อเครือข่าย Intel (R) PRO / 1000 MT . . . . . . . . : 00-0C-29-D6-14-36 DHCP เปิดใช้งาน . . . . . . . . . . : ใช่เปิดใช้งานการกำหนดค่าอัตโนมัติ . . . : ใช่ Link-local IPv6 Address . . . . : fe80 :: 352a: b954: 7eba: 963e% 12 (ที่ต้องการ) ที่อยู่ IPv4 . . . . . . . . . . : 10.10.10.115 (ต้องการ) ซับเน็ตมาสก์ . . . . . . . . . . : 255.255.255.0 เช่าที่ได้มา . . . . . . . . . : วันเสาร์ที่ 25 กุมภาพันธ์ 2017 8:19:05 น. สัญญาเช่าหมดอายุ . . . . . . . . . : วันเสาร์ที่ 25 กุมภาพันธ์ 2017 4:20:36 น. Default Gateway . . . . . . . . : 10.10.10.253 เซิร์ฟเวอร์ DHCP . . . . . . . . . . : 10.10.10.5 DHCPv6 IAID . . . . . . . . . . : 251661353 DHCPv6 ไคลเอ็นต์ DUID . . . . . . . : 00-01-00-01-20-3B-69-81-00-0C-29-D6-14-36

   เซิร์ฟเวอร์ DNS . . . . . . . . . . : 10.10.10.3
                                       10.10.10.5
   NetBIOS ผ่าน Tcpip . . . . . . . : เปิดใช้งานอะแด็ปเตอร์ Tunnel isatap.mordor.fan: Media State . . . . . . . . . . : สื่อยกเลิกการเชื่อมต่อ DNS ต่อท้ายเฉพาะการเชื่อมต่อ : mordor.fan คำอธิบาย . . . . . . . . . . : ที่อยู่ทางกายภาพของ Microsoft ISATAP Adapter . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP เปิดใช้งาน . . . . . . . . . . : ไม่ได้เปิดใช้งานการกำหนดค่าอัตโนมัติ . . . : ใช่ Tunnel adapter Local Area Connection * 9: Media State . . . . . . . . . . : สื่อยกเลิกการเชื่อมต่อ DNS ต่อท้ายเฉพาะการเชื่อมต่อ : คำอธิบาย . . . . . . . . . . : ที่อยู่ทางกายภาพของ Microsoft Teredo Tunneling Adapter . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP เปิดใช้งาน . . . . . . . . . . : ไม่ได้เปิดใช้งานการกำหนดค่าอัตโนมัติ . . . : และมันก็เป็น

C: \ Users \ saruman>

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.3 ที่อยู่: 10.10.10.3 # 53 นามแฝง: โฮสต์ caoba.mordor.fan ไม่พบ: 3 (NXDOMAIN)

ฉวัดเฉวียน@sysadmin: ~ $ host -t ถึง mahogany.mordor.fan
mahogany.mordor.fan มีที่อยู่ 10.10.10.115

• วิธีเดียวที่ลูกค้าจะลงทะเบียน«คาโอบะ»ในMicrosft® DNS กำลังแก้ไขการ์ดเครือข่ายของคุณตามที่ระบุó ในภาพก่อนหน้ากล่าวคือระบุอย่างชัดเจนว่า: ส่วนต่อท้าย DNS สำหรับการเชื่อมต่อคือ mordor.fan ซึ่งลงทะเบียนที่อยู่ของการเชื่อมต่อใน DNS และใช้คำต่อท้าย DNS ที่ประกาศเมื่อลงทะเบียนการเชื่อมต่อ.

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.3 ที่อยู่: 10.10.10.3 # 53 นามแฝง: caoba.mordor.fan มีที่อยู่ 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan
mahogany.mordor.fan มีที่อยู่ 10.10.10.115

เปลี่ยนชื่อจากมะฮอกกานีเป็นซีดาร์กันเถอะ

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.3 ที่อยู่: 10.10.10.3 # 53 นามแฝง: โฮสต์ caoba.mordor.fan ไม่พบ: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t ถึง cedar.mordor.fan 10.10.10.3
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.3 ที่อยู่: 10.10.10.3 # 53 นามแฝง: cedro.mordor.fan มีที่อยู่ 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.5
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.5 ที่อยู่: 10.10.10.5 # 53 นามแฝง: โฮสต์ caoba.mordor.fan ไม่พบ: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t ถึง cedar.mordor.fan 10.10.10.5
ใช้เซิร์ฟเวอร์โดเมน: ชื่อ: 10.10.10.5 ที่อยู่: 10.10.10.5 # 53 นามแฝง: cedro.mordor.fan มีที่อยู่ 10.10.10.115

และปกติทั้งหมดในฐานะไคลเอนต์Microsoft®และMicrosoft® DNS ก็เหมือนกับสิ่งที่เป็นอยู่

มาทำงานกับMicrosoft® DHCP และMicrosoft® DNS กันเถอะ

เรียนผู้อ่านบทนี้ไม่อยู่ในบริบทของบล็อกที่ทุ่มเทให้กับซอฟต์แวร์เสรี ดูวิธีใช้Microsoft® พวกเขาไม่เชื่อ?. 😉

สรุปผลการวิจัย

มีหลายวิธีในการทำงานกับMicrosoft® DNS เมื่อเราทำให้มันอยู่ร่วมกันในเครือข่าย SME กับ Dnsmasq ในหมู่พวกเขาเราจะกล่าวถึงเฉพาะดังต่อไปนี้:

• หยุดบริการMicrosoft® DNS บนคอมพิวเตอร์ที่กำลังทำงานโดยสิ้นเชิงซึ่งบ่งชี้ว่าหลังจากนั้นการเริ่มต้นบริการถูกปิดใช้งาน ยกเลิกการทำเครื่องหมายในการกำหนดค่าการ์ดเครือข่ายของไคลเอ็นต์Microsoft®แต่ละตัวตัวเลือกในการลงทะเบียนที่อยู่ของการเชื่อมต่อใน DNS ลบออกจากไฟล์ /etc/dnsmasq.conf คำสั่ง เซิร์ฟเวอร์ = / mordor.fan / 10.10.10.3. บันทึก:
  • แม้ว่าจะไม่มีการตอบข้อซักถามเกี่ยวกับบันทึก SOA y NSเครือข่ายจะทำงานได้อย่างถูกต้องเช่นเดียวกับการรวมกันของไคลเอนต์ต่างๆ-Microsoft®และ Linux- เข้ากับโดเมน Active Directory®
  • มีข้อดีคือใน SME LAN จะมี Domain Name Server เพียงตัวเดียว - ตัวผู้ - และจะเป็น Dnsmasq ;-). ในทางกลับกันความเป็นไปได้ที่จะเกิดความไม่สอดคล้องกันระหว่างระเบียน DNS ที่จัดเก็บในMicrosoft® DNS และที่มีให้ผ่าน Dnsmasq จะถูกกำจัด
• ปล่อยให้Microsoft® DNS ทำงานเพื่อตอบเฉพาะคำถาม DNS เกี่ยวกับระเบียน SOA และ NS หมายเหตุs:
  • แก้ไขการกำหนดค่าการ์ดเครือข่ายของไคลเอนต์ Windows แต่ละตัวโดยยกเลิกการเลือกตัวเลือกในการลงทะเบียนที่อยู่ของการเชื่อมต่อใน DNS
  • พวกเราคิดว่า ว่าการแก้ปัญหานี้เป็นการสิ้นเปลืองทรัพยากร
• กำหนดค่าบริการตามที่เราได้เห็นในบทความซึ่งแสดงวิธีแก้ปัญหาที่ตรงกับความต้องการของปรัชญาMicrosoft®ไม่ใช่ FreeBSD / Linux- โอเค?

ข้อมูลอย่างย่อ

• ข้อเสนอMicrosoft® DNS ถูกปิดอย่างมาก มันไม่เหลือที่ว่างสำหรับการแก้ปัญหาอื่น ๆ ที่ไม่เป็นไปตามปรัชญาลึกลับของมัน
• แม่ธรรมชาติสอนเราว่าเรามีอยู่ในจักรวาลที่หลากหลาย สิ่งปกติคือการมี LAN แบบผสมมุ่งสู่ซอฟต์แวร์เสรีและมีชีวิตที่หลากหลายและมีชีวิตชีวา
• ดูเหมือนว่าสำหรับMicrosoft®ลูกค้าที่ไม่เข้าร่วมกับปรัชญาของเขาคือคนนอกศาสนาดังนั้นจึงไม่ควรกังวลที่จะนำพวกเขามาพิจารณา
• การทำงานกับซอฟต์แวร์ส่วนตัวนั้นยากแค่ไหน! ฉันอยากจะใช้เวลาสักหน่อยในการตั้งค่าซอฟต์แวร์ฟรีและเป็นอิสระอย่างแท้จริงไอ้มัน!

"หลักเกณฑ์ที่ดีที่สุดของความจริงคือการปฏิบัติ"