BIND ve Active Directory® - KOBİ Ağları

Serinin genel dizini: KOBİ'ler için Bilgisayar Ağları: Giriş

Merhaba arkadaşlar!. Bu makalenin ana amacı, birçok KOBİ'de çok yaygın olan bir Microsoft ağında BIND9 tabanlı DNS hizmetini nasıl entegre edebileceğimizi göstermektir.

La Tierra del Fuego'da yaşayan bir arkadaşın resmi talebinden kaynaklanıyor -Fuegian- Microsoft® Ağlarında uzmanlaşmıştır - Sertifikalar dahildir - sunucularınızın Linux'a geçişinin bu bölümünde size rehberlik etmek için. Maliyetleri destek Microsoft® ödeme yapan teknisyenler zaten Dayanılmaz Çalıştığı ve Ana Ortağı olduğu Şirket için.

Arkadaşım Fuegian büyük bir mizah anlayışı var ve üç filmlik seriyi izlediği için «Yüzüklerin Efendisi»Karanlık karakterlerinin bir çok ismi onu büyüledi. Bu yüzden Reader arkadaş, alan adınızın ve sunucularınızın adlarına şaşırmayın.

Konuya yeni başlayanlar için ve okumaya devam etmeden önce, KOBİ Ağları ile ilgili önceki üç makaleyi okumanızı ve incelemenizi öneririz:

Dört bölümden üçünü izlemek gibi "Yeraltı dünyası»Bugüne kadar yayınlandı ve bu dördüncü.

Genel parametreler

Üzerinden birkaç değişimden sonra E-posta, sonunda mevcut ağınızın ana parametreleri hakkında netleşmiştim:

Alan adı mordor.fan LAN Ağı 10.10.10.0/24 ================================== == ====================================== Sunucular IP Adresi Amacı (İşletim Sistemi Windows'lu Sunucular) ============================================== == =========================== sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Windows dosya sunucusu darklord.mordor.fan. 10.10.10.6 Kerios troll.mordor.fan üzerinde proxy, ağ geçidi ve güvenlik duvarı. 10.10.10.7 ... tabanlı blog ... shadowftp.mordor.fan hatırlayamıyorum. 10.10.10.8 FTP sunucusu blackelf.mordor.fan. 10.10.10.9 Tam e-posta hizmeti blackspider.mordor.fan. 10.10.10.10 WWW hizmeti palantir.mordor.fan. 10.10.10.11 Windows için Openfire'da Sohbet

İzin istedim Fuegian zihnimi temizlemek için gerektiği kadar Takma Ad ayarlamak ve bana izin verdi:

Gerçek CNAME ============================== sauron reklam-dc mamba dosya sunucusu darklord proxyweb troll blog shadowftp ftpserver blackelf posta blackspider www palantir openfire

Bir Active Directory Windows 2008 yüklememde, bu yazıyı oluştururken bana yol göstermesi için uygulamaya zorlandığım tüm önemli DNS kayıtlarını beyan ettim.

Bir Active Directory'nin DNS'sinin SRV kayıtları hakkında

Kayıtlar SRV o Microsoft Active Directory'de yaygın olarak kullanılan Hizmet Bulucular, Yorum İsteği RFC 2782. Bir DNS sorgusu aracılığıyla TCP / IP protokolüne dayalı bir hizmetin konumuna izin verirler. Örneğin, bir Microsoft ağındaki bir müşteri Etki Alanı Denetleyicilerinin konumunu bulabilir - Alan Denetleyicileri Tek bir DNS sorgusu aracılığıyla 389 numaralı bağlantı noktasında TCP protokolü üzerinden LDAP hizmeti sağlayan.

Ormanlarda normaldir - Ormanlarve Ağaçlar - Ağaçlar Büyük bir Microsoft Ağının çeşitli Etki Alanı Denetleyicileri vardır. Bu Ağın Etki Alanı Adı Alanını oluşturan farklı Bölgelerde SRV kayıtlarının kullanılmasıyla, benzer iyi bilinen hizmetleri sağlayan, her birinin taşıma protokolüne ve bağlantı noktasına göre tercihe göre sıralanan bir Sunucu Listesi tutabiliriz. sunucular.

In Yorum İsteği RFC 1700 Tanınmış Hizmetler için Evrensel Sembolik Adları Tanımlama - Tanınmış Hizmetve «gibi isimler_telnet""_smtp»Hizmetler için telnet y SMTP. İyi Bilinen bir Hizmet için sembolik bir ad tanımlanmamışsa, kullanıcının tercihlerine göre bir yerel ad veya başka bir ad kullanılabilir.

bağlamak

Her alanın amacı «özel»Bir SRV Kaynak Kaydının bildiriminde kullanılan, aşağıdaki gibidir:

  • domain: "Pdc._msdcs.mordor.fan.«. SRV kaydının başvurduğu hizmetin DNS adı. Örnekteki DNS adı -daha fazla veya daha az- anlamına gelir Birincil Etki Alanı Denetleyicisi alanın _msdcs.mordor.fan.
  • Hizmet: "_Ldap". Sunulan hizmetin sembolik adı, Yorum İsteği RFC 1700.
  • Protokol: "_Tcp". Taşıma protokolünün türünü gösterir. Tipik olarak değerleri alabilir _tcp o _udpancak -ve aslında- belgede belirtilen her türlü taşıma protokolü Yorum İsteği RFC 1700. Örneğin, bir hizmet için sohbet protokole dayalı XMPP, bu alan şu değere sahip olacaktır: _xmpp.
  • öncelik'0«. Önceliğini veya tercihini beyan edin. Bu hizmeti sunan ev sahibi daha sonra göreceğiz. İstemcilerin bu SRV kaydı tarafından tanımlanan hizmetle ilgili DNS sorguları, uygun yanıtı aldıktan sonra, alanda listelenen en düşük numaraya sahip ilk kullanılabilir ana bilgisayarla iletişime geçmeye çalışacaktır. öncelik. Bu alanın alabileceği değer aralığı için 0 65535.
  • Ağırlık'100«. İle kombinasyon halinde kullanılabilir öncelik aynı hizmeti sağlayan birkaç sunucu olduğunda bir yük dengeleme mekanizması sağlamak. Zone dosyasındaki her sunucu için benzer bir SRV kaydı olmalı ve adı alanda belirtilmelidir. Bu hizmeti sunan ev sahibi. Alanda eşit değerlere sahip sunuculardan önce öncelikalan değeri Ağırlık yük dengeleme için tam bir sunucu seçimi elde etmek için ek bir tercih düzeyi olarak kullanılabilir. Bu alanın alabileceği değer aralığı için 0 65535. Örneğin tek bir sunucuda olduğu gibi yük dengeleme gerekmiyorsa, değerin atanması önerilir. 0 SRV kaydının okunmasını kolaylaştırmak için.
  • Bağlantı noktası numarası - Bağlantı noktası'389«. Bağlantı noktası numarası Bu hizmeti sunan ev sahibi alanında belirtilen hizmeti sağlayan Hizmet. Her İyi Bilinen Hizmet türü için önerilen bağlantı noktası numarası, Yorum İsteği RFC 1700arasında bir değer alabilirse de 0 ve 65535.
  • Bu hizmeti sunan ana bilgisayar - Hedef'sauron.mordor.fan.«. Belirtir FQDN kesin olarak tanımlayan ev sahibi SRV kaydı tarafından belirtilen hizmeti sağlar. Bir kayıt türü «A»Her biri için alan ad alanında FQDN sunucudan veya ev sahibi hizmeti veren. Daha basit, bir tür kaydı A doğrudan bölge (ler) de.
    • Not:
      SRV kaydı tarafından belirtilen hizmetin bu ana bilgisayarda sağlanmadığını yetkili olarak belirtmek için tek bir (
      .) nokta.

Bir ağın veya Active Directory®'nin doğru çalışmasının büyük ölçüde Alan Adı Hizmetinin doğru çalışmasına dayandığını tekrarlamak istiyoruz..

Active Directory DNS kayıtları

Yeni DNS Sunucusunun Bölgelerini BIND tabanlı yapmak için, tüm DNS kayıtlarını Active Directory®'den almalıyız. Hayatı kolaylaştırmak için takıma gidiyoruz sauron.mordor.fan -Active Directory® 2008 SR2- ve DNS Yönetim Konsolunda, bu tür hizmette belirtilen ana bölgeler için Bölge Transferini (doğrudan ve tersi) etkinleştiririz, bunlar:

  • _msdcs.mordor.fan
  • mordor.fan
  • 10.10.10.in-addr.harp

Önceki adım gerçekleştirildikten sonra ve tercihen IP adresi Windows Ağı tarafından kullanılan alt ağ aralığı içinde olan bir Linux bilgisayardan gerçekleştirildikten sonra, şunları çalıştırırız:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> temp /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa
  • Önceki makalelerden, cihazın IP adresinin sistem yöneticisi.desdelinux.fan es 10.10.10.1 veya 192.168.10.1.

Önceki üç komutta seçeneği kaldırabiliriz 10.10.10.3 -DNS sunucusuna bu adresle sorun- dosyada beyan edersek / Etc / resolv.conf sunucu IP'sine sauron.mordor.fan:

buzz@sysadmin:~$ cat /etc/resolv.conf # NetworkManager araması tarafından oluşturulmuştur desdelinux.fan ad sunucusu 192.168.10.5 ad sunucusu 10.10.10.3

Bir BIND'deki herhangi bir bölge dosyasına karşılık gelen son derece dikkatli bir şekilde düzenleme yaptıktan sonra, aşağıdaki verileri elde edeceğiz:

Orijinal bölgeden gelen RR kayıtları _msdcs.mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs._msdcs.mordor.fan 
; SOA ve NS _msdcs.mordor.fan ile ilgili. SOA'DA 3600 sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; GLOBAL KATALOG gc._msdcs.mordor.fan. 3600 IN A 600; ; Takma adlar - bir Active Directory'nin değiştirilmiş ve özel LDAP veritabanında - SAURON 10.10.10.3-03296249a82-1aa-a49f4-0f28900d5b._msdcs.mordor.fan. 256 IN CNAME sauron.mordor.fan. ; ; Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan'ın değiştirilmiş ve özel LDAP'si. 600 IN SRV 600 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 0 IN SRV 100 sauron.mordor.fan. _ldap._tcp.389d600d-0fdb-100cf-a389-d18c3360b8d40.domains._msdcs.mordor.fan. 678 IN SRV 7 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 420 IN SRV 6 775 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 389 IN SRV 600 sauron.mordor.fan. ; ; KERBEROS, bir Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan'dan değiştirilmiş ve özel. 0 IN SRV 100 3268 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 sauron.mordor.fan.

Orijinal bölgeden gelen RR kayıtları mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs.mordor.fan 
; SOA, NS, MX ve eşleştirdiği A kaydı ile ilgili olarak; SAURON IP'sine Alan Adı; Active Directory mordor.fan'dan şeyler. SOA'DA 3600 sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 mordor.fan. 86400 IN A 3600 mordor.fan. 600 IN NS sauron.mordor.fan. mordor.fan. 10.10.10.3 IN MX 3600 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 IN NS sauron.mordor.fan. ; ; Ayrıca önemli A kayıtları DomainDnsZones.mordor.fan. 10 IN A 3600 ForestDnsZones.mordor.fan. 600 IN A 10.10.10.3; ; GLOBAL KATALOG _gc._tcp.mordor.fan. 600 IN SRV 10.10.10.3 600 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 0 IN SRV 100 3268 sauron.mordor.fan. ; ; Active Directory _ldap._tcp.mordor.fan'ın değiştirilmiş ve özel LDAP'si. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 100 IN SRV 3268 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. ; ; Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan için değiştirilmiş ve özel KERBEROS. 600 IN SRV 0 100 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 389 IN SRV 600 0 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 100 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 389 IN SRV 600 sauron.mordor.fan. ; ; Sabit IP ile A kayıtları -> Blackelf.mordor.fan Sunucular. 0 İÇİNDE 100 blackspider.mordor.fan. 389 IN A 600 darklord.mordor.fan. 0 IN 100 mamba.mordor.fan. 88 IN A 600 palantir.mordor.fan. 0 İÇİNDE 100 sauron.mordor.fan. 88 IN 600 shadowftp.mordor.fan. 0 IN 100 troll.mordor.fan. 464 İÇİNDE 600; ; CNAME kayıtları ad-dc.mordor.fan. CNAME'DE 0 sauron.mordor.fan. blog.mordor.fan. CNAME'DE 100 troll.mordor.fan. fileserver.mordor.fan. CNAME mamba.mordor.fan'DA 88. ftpserver.mordor.fan. 600 IN CNAME shadowftp.mordor.fan. mail.mordor.fan. CNAME'de 0 balckelf.mordor.fan. openfire.mordor.fan. CNAME'de 100 palantir.mordor.fan. proxy.mordor.fan. 464 IN CNAME darklord.mordor.fan. www.mordor.fan. CNAME'de 3600 blackspider.mordor.fan.

Orijinal bölge 10.10.10.in-addr.arpa'dan RR kayıtları

buzz @ sysadmin: ~ $ cat temp / rrs.10.10.10.in-addr.arpa 
; SOA ve NS 10.10.10.in-addr.arpa ile ilgili. SOA'DA 3600 sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400.in-addr.arpa. 3600 IN NS sauron.mordor.fan. ; ; PTR kayıtları 10.10.10.in-addr.arpa. 3600 IN PTR blackspider.mordor.fan. 10.10.10.10.in-addr.arpa. 3600 IN PTR palantir.mordor.fan. 11.10.10.10.in-addr.arpa. 3600 IN PTR sauron.mordor.fan. 3.10.10.10.in-addr.arpa. 3600 IN PTR mamba.mordor.fan. 4.10.10.10.in-addr.arpa. 3600 IN PTR dnslinux.mordor.fan. 5.10.10.10.in-addr.arpa. 3600 IN PTR darklord.mordor.fan. 6.10.10.10.in-addr.arpa. 3600 IN PTR troll.mordor.fan. 7.10.10.10.in-addr.arpa. 3600 IN PTR shadowftp.mordor.fan. 8.10.10.10.in-addr.arpa. 3600 IN PTR blackelf.mordor.fan.

Bu noktaya kadar maceramıza devam etmek için gerekli verilere sahip olduğumuzu düşünebiliriz. TTL'ler ve bir Microsft® Active Directory® 2008 SR2 64 bit'in DNS'sinin çıktısının ve doğrudan gözleminin çok kısa bir şekilde bize sağladığı diğer veriler.

SAURON'daki DNS Yöneticisi'nin görüntüleri

Dnslinux.mordor.fan ekibi.

Yakından bakarsak IP adresine 10.10.10.5 yeni DNS'nin adıyla meşgul olması için ona hiçbir isim atanmamıştı dnslinux.mordor.fan. DNS ve DHCP çiftini kurmak için makalelere rehberlik edebiliriz Debian 8 "Jessie" de DNS ve DHCP y CentOS 7'de DNS ve DHCP.

Temel işletim sistemi

Arkadaşım FuegianMicrosoft® Windows konusunda gerçek bir uzman olmasının yanı sıra - bu şirket tarafından verilmiş birkaç Sertifikaya sahiptir - masaüstü bilgisayarlarda yayınlanan bazı makaleleri okuyup uygulamaya koymuştur. DesdeLinux. ve bana açıkça Debian tabanlı bir çözüm istediğini söyledi. 😉

Sizi memnun etmek için, yeni ve temiz bir sunucu kurulumu ile başlayacağız. Debian 8 "Jessie". Ancak bundan sonra yazacağımız şey, daha önce makalelerinden bahsettiğimiz CentOS ve openSUSE dağıtımları için geçerlidir. BIND ve DHCP herhangi bir dağıtımda aynıdır. Her dağıtımda paket bakıcıları tarafından küçük varyasyonlar sunulur.

Kurulumu aşağıda belirtildiği gibi yapacağız Debian 8 "Jessie" de DNS ve DHCPIP kullanmaya özen göstererek 10.10.10.5 ve ağ 10.10.10.0/24., BIND'i yapılandırmadan önce bile.

BIND'ı Debian tarzında yapılandırıyoruz

/etc/bind/adlandırılmış.conf

dosya /etc/bind/adlandırılmış.conf kurulu olduğu gibi bırakıyoruz.

/etc/bind/named.conf.options

dosya /etc/bind/named.conf.seçeneks aşağıdaki içerikle bırakılmalıdır:

root @ dnslinux: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dnslinux: ~ # nano /etc/bind/named.conf.options
seçenekler {dizin "/ var / cache / bind"; // Sizinle konuşmak istediğiniz ad sunucuları arasında bir güvenlik duvarı varsa // birden fazla bağlantı noktasının konuşmasına izin vermek için güvenlik duvarını düzeltmeniz gerekebilir. Bkz. Http://www.kb.cert.org/vuls/id/800113 // ISS'niz kararlı // ad sunucuları için bir veya daha fazla IP adresi sağladıysa, muhtemelen bunları iletici olarak kullanmak istersiniz. // Aşağıdaki bloğun açıklamasını kaldırın ve all-0'ın yer tutucusunu // değiştirerek adresleri ekleyin. // ileticiler {// 0.0.0.0; //}; // ============================================= = ==================== $ // BIND, süresi dolan kök anahtarla ilgili hata mesajları kaydederse, // anahtarlarınızı güncellemeniz gerekir. Bkz. Https://www.isc.org/bind-keys // ================================= = ================================ $

    // DNSSEC istemiyoruz
        dnssec-etkinleştirme hayır;
        //dnssec-doğrulama otomatik;

        auth-nx alan adı yok; # RFC1035'e uygundur

 // IPv6 adreslerini dinlememize gerek yok
        // listen-on-v6 {any; };
    listen-on-v6 {yok; };

 // localhost ve sysadmin'den gelen kontroller için
    // aracılığıyla // kazmak mordor.fan axfr // kazmak 10.10.10.in-addr.arpa axfr // dig _msdcs.mordor.fan axfr // Şimdiye kadar Slave DNS'imiz yok ...
 allow-transfer {localhost; 10.10.10.1; };
};

// Günlük BIND
Kerestecilik {

        kanal sorguları {
        dosya "/var/log/named/queries.log" sürümleri 3 boyut 1m;
        önem bilgisi;
        baskı zamanı evet;
        baskı şiddeti evet;
        baskı kategorisi evet;
        };

        kanal sorgu-hatası {
        dosya "/var/log/named/query-error.log" sürümleri 3 boyut 1m;
        önem bilgisi;
        baskı zamanı evet;
        baskı şiddeti evet;
        baskı kategorisi evet;
        };

                                
kategori sorguları {
         sorguları;
         };

kategori sorgu hataları {
         sorgu hatası;
         };

};
  • BIND günlüklerinin yakalanmasını bir YENİ konuyla ilgili makaleler dizisinde görünüm. Biz yaratıyoruziçin gerekli klasör ve dosyalar Günlüğü BIND:
root @ dnslinux: ~ # mkdir / var / log / adlandırılmış
root @ dnslinux: ~ # touch /var/log/named/queries.log
root @ dnslinux: ~ # touch /var/log/named/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / adlandırılmış

Yapılandırılan dosyaların sözdizimini kontrol ediyoruz

root @ dnslinux: ~ # adlandırılmış-checkconf 
root @ dnslinux: ~ #

/etc/bind/adlandırılmış.conf.local

Dosyayı oluşturuyoruz /etc/bind/zones.rfcFreeBSD aynı içeriğe sahip Debian 8 "Jessie" de DNS ve DHCP.

root @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

dosya /etc/bind/adlandırılmış.conf.local aşağıdaki içerikle bırakılmalıdır:

// // Herhangi bir yerel yapılandırmayı burada yapın // // Kuruluşunuzda kullanılmıyorlarsa // 1918 bölgelerini buraya eklemeyi düşünün
"/etc/bind/zones.rfc1918" dahil; "/etc/bind/zones.rfcFreeBSD" içerir;

bölge "mordor.fan" {tür yöneticisi; "/var/lib/bind/db.mordor.fan" dosyası; }; bölge "10.10.10.in-addr.arpa" {ana tür; dosyası "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

zone "_msdcs.mordor.fan" {type master;
 onay adları yok sayılır; dosya "/etc/bind/db._msdcs.mordor.fan"; }; root @ dnslinux: ~ # adlandırılmış-checkconf
root @ dnslinux: ~ #

Bölge Dosyası mordor.fan

root @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ SOA'da dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; seri 1D; 1H yenileyin; 1W'yi tekrar deneyin; 3H sona erer); minimum veya; Yaşamak için negatif önbelleğe alma süresi;
; AŞAĞIDAKİ KAYITLARA ÇOK DİKKATLİ OLUN
@ IN NS dnslinux.mordor.fan.
@ 10.10.10.5 İÇİNDE
@ IN MX 10 blackelf.mordor.fan. @ IN TXT "Mordor'un Karanlık Lanetine Hoş Geldiniz";
_msdcs.mordor.fan. NS dnslinux.mordor.fan IN.
;
dnslinux.mordor.fan. 10.10.10.5 İÇİNDE
; AŞAĞIDAKİ KAYITLARLA ÇOK DİKKATLİ BİR ŞEKİLDE SONLANDIRIN;
DomainDnsZones.mordor.fan. 10.10.10.3 ForestDnsZones.mordor.fan İÇİNDE. 10.10.10.3'te; ; GLOBAL KATALOG _gc._tcp.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ; ; Active Directory _ldap._tcp.mordor.fan'ın değiştirilmiş ve özel LDAP'si. 600 IN SRV 0 0 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 389 IN SRV 600 0 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 0 IN SRV 389 600 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 0 IN SRV 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 389 IN SRV 600 0 sauron.mordor.fan. ; ; Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan'ın değiştirilmiş ve özel KERBEROS'u. 0 IN SRV 389 600 0 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 0 IN SRV 389 600 0 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 0 IN SRV 88 600 sauron.mordor.fan. _kerberos._udp.mordor.fan. 0 IN SRV 0 88 600 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 0 IN SRV 0 464 sauron.mordor.fan. ; ; Sabit IP ile A kayıtları -> Blackelf.mordor.fan Sunucular. 600'da blackspider.mordor.fan. 0 darklord.mordor.fan. 0 mamba.mordor.fan'da. 88 palantir.mordor.fan. 600 İÇİNDE
sauron.mordor.fan. 10.10.10.3'te
shadowftp.mordor.fan. 10.10.10.8 troll.mordor.fan. 10.10.10.7 İÇİNDE; ; CNAME kayıtları ad-dc.mordor.fan. CNAME'DE sauron.mordor.fan. blog.mordor.fan. CNAME'DE troll.mordor.fan. fileserver.mordor.fan. CNAME'de mamba.mordor.fan. ftpserver.mordor.fan. CNAME'de shadowftp.mordor.fan. mail.mordor.fan. CNAME'de balckelf.mordor.fan. openfire.mordor.fan. CNAME'de palantir.mordor.fan. proxy.mordor.fan. CNAME'DE darklord.mordor.fan. www.mordor.fan. CNAME'DE blackspider.mordor.fan.

root @ dnslinux: ~ # adlandırılmış-kontrol bölgesi mordor.fan /var/lib/bind/db.mordor.fan 
zone mordor.fan/IN: seri 1 yüklendi Tamam

Kere 600 TL Tüm SRV kayıtlarından, bir Slave BIND kurmamız durumunda onları saklayacağız. Bu kayıtlar, çoğunlukla LDAP veritabanınızdan veri okuyan Active Directory® hizmetlerini temsil eder. Bu veritabanı sık sık değiştiği için, senkronizasyon süreleri bir Master - Slave DNS şemasında kısa tutulmalıdır. Active Directory 2000'den 2008'e kadar gözlemlenen Microsoft felsefesine göre, bu tür SRV kayıtları için 600 değeri korunur.

Jardines de Viveros TTL'ler Sabit IP'li sunucuların SOA'da belirtilen sürenin altında 3 saattir.

Bölge Dosyası 10.10.10.in-addr.arpa

root @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ SOA'da dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; seri 1D; 1H yenileyin; 1W'yi yeniden deneyin; 3H sona erer); minimum veya; Yaşamak için negatif önbelleğe alma süresi; @ IN NS dnslinux.mordor.fan. ; 10 IN PTR blackspider.mordor.fan. 11 IN PTR palantir.mordor.fan. 3 IN PTR sauron.mordor.fan. 4 IN PTR mamba.mordor.fan. 5 IN PTR dnslinux.mordor.fan. 6 IN PTR darklord.mordor.fan. 7 IN PTR troll.mordor.fan. 8 IN PTR shadowftp.mordor.fan. 9 IN PTR blackelf.mordor.fan.

root @ dnslinux: ~ # adlandırılmış-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
bölge 10.10.10.in-addr.arpa/IN: seri 1 yüklendi Tamam

Bölge Dosyası _msdcs.mordor.fan

Dosyada neyin önerildiğini dikkate alalım /usr/share/doc/bind9/README.Debian.gz DHCP tarafından dinamik güncellemelere tabi tutulmayan Ana Bölge dosyalarının konumu hakkında.

root @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ SOA'da dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; seri 1D; 1H yenileyin; 1W'yi yeniden deneyin; 3H sona erer); minimum veya; Yaşamak için negatif önbelleğe alma süresi; @ IN NS dnslinux.mordor.fan. ; ; ; GLOBAL KATALOG gc._msdcs.mordor.fan. 600 IN A 10.10.10.3; ; Takma adlar - bir Active Directory'nin değiştirilmiş ve özel LDAP veritabanında - SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 IN CNAME sauron.mordor.fan. ; ; Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan'ın değiştirilmiş ve özel LDAP'si. 600 IN SRV 0 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 100 IN SRV 389 sauron.mordor.fan. _ldap._tcp.600d0d-100fdb-389cf-a18-d3360c8b40d678.domains._msdcs.mordor.fan. 7 IN SRV 420 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 6 IN SRV 775 600 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 0 IN SRV 100 389 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 sauron.mordor.fan. ; ; Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan'ın değiştirilmiş ve özel KERBEROS'u. 100 IN SRV 3268 600 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 0 IN SRV 100 3268 sauron.mordor.fan.

Sözdizimini kontrol ediyoruz ve döndürdüğü hatayı yok sayabiliriz, çünkü dosyadaki bu Bölgenin konfigürasyonunda /etc/bind/adlandırılmış.conf.local ifadeyi ekliyoruz onay adları yok sayılır;. Bölge, BIND tarafından doğru şekilde yüklenecektir.

root @ dnslinux: ~ # adlandırılmış-kontrol bölgesi _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: kötü sahip adı (kontrol adları) bölge _msdcs.mordor.fan/IN: seri 1 yüklendi Tamam

root @ dnslinux: ~ # systemctl yeniden bind9.service 
root @ dnslinux: ~ # systemctl durumu bind9.service 
● bind9.service - BIND Etki Alanı Adı Sunucusu Yüklendi: yüklendi (/lib/systemd/system/bind9.service; etkin) Bırakma: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf Etkin: aktif (çalışıyor) Paz 2017-02-12 08:48:38 EST'den beri; 2sn önce Docs: man: named (8) Process: 859 ExecStop = / usr / sbin / rndc stop (kod = çıkıldı, status = 0 / SUCCESS) Ana PID: 864 (adlandırılmış) CGroup: /system.slice/bind9.service └─864 / usr / sbin / adlandırılmış -f -u bağlama 12 Şubat 08:48:38 dnslinux adlı [864]: bölge 3.efip6.arpa/IN: yüklü seri 1 Şubat 12 08:48:38 dnslinux adlı [864 ]: befip6.arpa/IN bölgesi: yüklenen seri 1 Şubat 12 08:48:38 dnslinux adlı [864]: bölge 0.efip6.arpa/IN: yüklenmiş seri 1 Şubat 12 08:48:38 dnslinux [864]: zone 7.efip6.arpa/IN: 1 Şubat 12 08:48:38 seri yüklendi [864]: bölge mordor.fan/IN: yüklendi seri 1 Şubat 12 08:48:38 dnslinux adlı [864]: bölge örneği .org / IN: seri 1 Şubat 12 08:48:38 dnslinux adlı [864]: bölge _msdcs.mordor.fan/IN: yüklenen seri 1 Şubat 12 08:48:38 dnslinux adlı [864]: bölge geçersiz / IN : yüklendi 1 Şubat 12 08:48:38 dnslinux [864]: tüm bölgeler yüklendi
12 Şubat 08:48:38 dnslinux [864] adında: koşu

BIND'a danışıyoruz

Önce DHCP'yi kurduktan sonra, bir Windows 7 istemcisine etki alanına katılmayı bile içeren bir dizi kontrol gerçekleştirmeliyiz. mordor.fan bilgisayarda yüklü Active Directory tarafından temsil edilir sauron.mordor.fan.

Yapılacak ilk şey bilgisayardaki DNS hizmetini durdurmaktır. sauron.mordor.fanve ağ arayüzünüzde şu andan itibaren DNS sunucunuzun 10.10.10.5 dnslinux.mordor.fan.

Sunucunun kendi konsolunda sauron.mordor.fan yürütürüz:

Microsoft, Windows [Sürüm 6.1.7600]
Telif hakkı (c) 2009 Microsoft Corporation. Tüm hakları Saklıdır.

C: \ Kullanıcılar \ Yönetici> nslookup
Varsayılan Sunucu: dnslinux.mordor.fan Adresi: 10.10.10.5

> gc._msdcs
Sunucu: dnslinux.mordor.fan Adres: 10.10.10.5 Ad: gc._msdcs.mordor.fan Adres: 10.10.10.3

> mordor.fan
Sunucu: dnslinux.mordor.fan Adres: 10.10.10.5 Adı: mordor.fan Adres: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Sunucu: dnslinux.mordor.fan Adres: 10.10.10.5 Ad: sauron.mordor.fan Adres: 10.10.10.3 Diğer Adlar: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> türü ayarla = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Sunucu: dnslinux.mordor.fan Adres: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRV sunucu konumu: öncelik = 0 ağırlık = 100 bağlantı noktası = 88 svr ana bilgisayar adı = sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internet adresi = 10.10.10.3 dnslinux.mordor.fan internet adresi = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Sunucu: dnslinux.mordor.fan Adres: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV hizmet konumu: öncelik = 0 ağırlık = 100 bağlantı noktası = 389 s ana bilgisayar adı = sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internet adresi = 10.10.10.3 dnslinux.mordor.fan internet adresi = 10.10.10.5
> çıkış

C: \ Kullanıcılar \ Yönetici>

DNS sorguları sauron.mordor.fan tatmin edicidir.

Bir sonraki adım, Windows 7 yüklü başka bir sanal makine oluşturmak olacaktır. Halen DHCP hizmeti kurulu olmadığından, bilgisayara «adını vereceğiz.win7»IP adresi 10.10.10.251. Ayrıca, DNS sunucunuzun 10.10.10.5 dnslinux.mordor.fanve arama etki alanı mordor.fan. Bu bilgisayarı DNS'ye kaydetmeyeceğiz çünkü kurduktan sonra DHCP hizmetini test etmek için de kullanacağız.

Sonra bir konsol açıyoruz CMD ve içinde yürütürüz:

Microsoft, Windows [Sürüm 6.1.7601]
Telif hakkı (c) 2009 Microsoft Corporation. Tüm hakları Saklıdır.

C: \ Kullanıcılar \ buzz> nslookup
Varsayılan Sunucu: dnslinux.mordor.fan Adresi: 10.10.10.5

> mordor.fan
Sunucu: dnslinux.mordor.fan Adres: 10.10.10.5 Adı: mordor.fan Adres: 10.10.10.3

> türü ayarla = SRV
> _ldap._tcp.DomainDnsZones
Sunucu: dnslinux.mordor.fan Adres: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan SRV hizmet konumu: öncelik = 0 ağırlık = 0 bağlantı noktası = 389 svr ana bilgisayar adı = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor .fan sauron.mordor.fan internet adresi = 10.10.10.3 dnslinux.mordor.fan internet adresi = 10.10.10.5
> _kpasswd._udp
Sunucu: dnslinux.mordor.fan Adres: 10.10.10.5 _kpasswd._udp.mordor.fan SRV hizmet konumu: öncelik = 0 ağırlık = 0 bağlantı noktası = 464 svr ana bilgisayar adı = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internet adresi = 10.10.10.3 dnslinux.mordor.fan internet adresi = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Sunucu: dnslinux.mordor.fan Adres: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRV sunucu konumu: öncelik = 0 ağırlık = 0 bağlantı noktası = 389 svr ana bilgisayar adı = sauron. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internet adresi = 10.10.10.3 dnslinux.mordor.fan internet adresi = 10.10.10.5
> çıkış

C: \ Kullanıcılar \ buzz>

İstemciden yapılan DNS sorguları «win7»Ayrıca tatmin ediciydi.

Active Directory'de kullanıcı yaratırız «Saruman«, Müşteriye katılırken kullanmak amacıyla win7 etki alanına mordor.fan., yöntemini kullanarak «Ağ kimliği«, Kullanıcı adlarını kullanma saruman@mordor.fan y admin@mordor.fan. Birleştirme başarılı oldu ve aşağıdaki ekran görüntüsü ile kanıtlandı:

Microsoft® DNS ve BIND'deki Dinamik Güncellemeler Hakkında

DNS hizmeti Active Directory®'de durdurulduğundan, istemci için bu mümkün olmadı «win7»Adınızı ve IP adresinizi bu DNS'ye kaydedin. Çok daha az dnslinux.mordor.fan hiçbir açıklama yapmadığımız için izin ver ilgili alanlardan herhangi biri için.

Ve burası arkadaşımla iyi dövüşün oluştuğu yer Fuegian. Bu konu ile ilgili ilk e-postamda yorum yaptım:

  • Microsoft'un BIND ve Active Directory® kullanımıyla ilgili makaleleri, özellikle Direct Zone'un güncellenmesine izin verilmesini önerir -Penetrada- direkt olarak Active Directory etki alanına zaten katılmış olan Windows istemcileri tarafından.
  • Bu nedenle, varsayılan olarak bir Active Directory® Güvenli Dinamik Güncellemelere DNS bölgelerinde izin verilir. Active Directory etki alanına zaten katılan Windows istemcileri tarafından. Birleşmiş değillerse, sonuçlarından kaçınırlar.
  • Bir Active Directory'nin DNS'si, "Yalnızca güvenli", "Güvenli olmayan ve güvenli" veya "Hiçbiri" güncelleme YOK veya Hiçbiri demeyle aynı olan dinamik güncellemeleri destekler..
  • Evet gerçekten Microsoft Philosophy, müşterilerinin verilerini DNS'lerinde GÜNCELLEMEZ, DNS'lerinde dinamik güncelleştirmeleri devre dışı bırakma olasılığını açık bırakmaz, bu seçenek daha gizli amaçlar için bırakılmadıkça.
  • Microsoft, Darkness karşılığında "Güvenlik" sunar, Microsft® Sertifikaları kurslarını geçen bir meslektaşım ve arkadaşımın söylediği gibi. Doğru. Ayrıca El Fueguino bunu bana doğruladı.
  • Örneğin, bir UNIX® / Linux makinesinde kurulu DHCP aracılığıyla bir IP adresi alan bir istemci, kendi adının IP adresini çözemez. Active Directory etki alanına katılana kadarMicrosoft® veya bir BIND, DHCP tarafından dinamik güncellemeler olmadan DNS olarak kullanıldığı sürece.
  • DHCP'yi Active Directory®'nin kendisine yüklersem, Bölgelerin Microsoft® DHCP tarafından güncellendiğini beyan etmeliyim.
  • Windows ağı için DNS olarak BIND kullanacaksak, mantıklıdır ve BIND-DHCP ikilisini kurmamız önerilir, ikincisi BIND'ı dinamik olarak günceller ve konu sona erer.
  • UNIX® / Linux üzerindeki LAN ağları dünyasında, dinamik güncellemeler BIND'de icat edildiğinden, yalnızca Mr. DHCP'ye izin verilir «nüfuz etmek»Güncellemeleri ile Bayan BIND'a. Düzenli rahatlama lütfen.
  • Bölgede ilan ettiğimde mordor.fan örneğin: izin güncelleme {10.10.10.0/24; };, BIND, başlatırken veya yeniden başlatırken bana şu bilgileri verir:
    • 'mordor.fan' bölgesi, güvenli olmayan IP adresine göre güncellemelere izin verir
  • Kutsal UNIX® / Linux dünyasında, DNS konusunda bu kadar bilgili olmak kesinlikle kabul edilemez.

Arkadaşımla takasın geri kalanını hayal edebilirsin Fuegian içinden e-postaları, Telgraf Sohbeti, onun tarafından ödenen telefon görüşmeleri (tabii ki adamım, bunun için bir kilom yok) ve hatta XXI.Yüzyılda taşıyıcı güvercinler aracılığıyla mesajlar!

Hatta evcil hayvanı İguanasının oğlunu bana göndermemekle tehdit etti «Petra»Bana ödemenin bir parçası olarak söz vermişti. Orada gerçekten korktum. Bu yüzden yeniden başladım, ama başka bir açıdan.

  • Samba 4 ile elde edilebilecek "neredeyse" Active Directory, bu yönü hem Dahili DNS'i kullandığımızda hem de DLZ bölgelerini desteklemek için derlenen BIND'i ustaca bir şekilde çözer - Dinamyc Yüklü Bölgelerveya Dinamik Olarak Yüklenen Bölgeler.
  • Aynı durumdan muzdarip olmaya devam ediyor: bir istemci, kurulu bir DHCP aracılığıyla bir IP adresi aldığında diğer UNIX® / Linux makinesi, kendi adınızın IP adresini çözemezsiniz Samba 4 AD-DC etki alanına katılıncaya kadar.
  • BIND-DLZ ve DHCP ikilisini aynı makineye entegre edin. AD-DC Samba 4 gerçek bir uzman için bir iş.

Fuegian Beni bölüme çağırdı ve bana bağırdı: Bundan bahsetmiyoruz AD-DC Samba 4, ancak Microsoft® Active Directory®!. Ve alçakgönüllülükle, yazacağım makalelerin bir kısmından memnun olduğumu söyledim.

İşte o zaman ona ağındaki istemci bilgisayarlar için dinamik güncellemelere ilişkin son kararın özgür iradesine bırakıldığını söyledim. Ona sadece vereceğimi tip hakkında daha önce yazılmış izin güncelleme {10.10.10.0/24; };ve daha fazlası hiçbir şey. Ağlarındaki her Windows istemcisinin -ya da Linux'un- bu karışıklıktan kaynaklanan şeyden ben sorumlu değildim «nüfuz edecek»Bağlayıcılığa karşı cezasızlık.

Arkadaşım, Reader'ın kavganın son noktası olduğunu bilseydin buna inanmazdın. Arkadaşım Fuegian çözümü kabul etti - ve bana iguanayı gönderecek «Pete«- şimdi sizinle paylaşıyorum.

DHCP kurup yapılandırıyoruz

Daha fazla ayrıntı için okuyun Debian 8 "Jessie" de DNS ve DHCP.

root @ dnslinux: ~ # aptitude install isc-dhcp-server

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # DHCP sunucusu (dhcpd) hangi arayüzlerde DHCP taleplerini sunmalıdır? # Birden çok arayüzü boşluklarla ayırın, örneğin "eth0 eth1". ARABİRİMLER = "eth0" root @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n KULLANICI dhcp-anahtarı
Kdhcp anahtarı. + 157 + 29836

root @ dnslinux: ~ # cat Kdhcp-key. +157 + 29836.özel
Özel anahtar biçimi: v1.3 Algoritma: 157 (HMAC_MD5) Anahtar: 3HT / bg / 6YwezUShKYofj5g == Bit: AAA = Oluşturuldu: 20170212205030 Yayınlanma: 20170212205030 Etkinleştirme: 20170212205030

root @ dnslinux: ~ # nano dhcp.key
anahtar dhcp-anahtar {algoritması hmac-md5; gizli "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/named.conf.local
// // Herhangi bir yerel yapılandırmayı burada yapın // // Kuruluşunuzda kullanılmıyorsa, buraya 1918 bölgeleri eklemeyi düşünün // "/etc/bind/zones.rfc1918"; "/etc/bind/zones.rfcFreeBSD" içerir;
// Unutma ... Unuttum ve hatalarla ödedim. ;-)
"/etc/bind/dhcp.key" dahil;


bölge "mordor.fan" {tür yöneticisi;
        güncelleme izni {10.10.10.3; anahtar dhcp-anahtarı; };
        "/var/lib/bind/db.mordor.fan" dosyası; }; bölge "10.10.10.in-addr.arpa" {ana tür;
        güncelleme izni {10.10.10.3; anahtar dhcp-anahtarı; };
        dosya "/var/lib/bind/db.10.10.10.in-addr.arpa"; }; zone "_msdcs.mordor.fan" {type master; kontrol adları yok sayılır; dosya "/etc/bind/db._msdcs.mordor.fan"; };

root @ dnslinux: ~ # adlandırılmış-checkconf 
root @ dnslinux: ~ #

root @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
ddns-güncelleme-stili ara; ddns-güncellemeleri açık; ddns-alan adı "mordor.fan."; ddns-rev-alanadı "in-addr.arpa."; istemci güncellemelerini göz ardı edin; yetkili; seçenek ip yönlendirme kapalı; seçenek alan adı "mordor.fan"; "/etc/dhcp/dhcp.key" dahil; zone mordor.fan. {birincil 127.0.0.1; anahtar dhcp-anahtarı; } bölge 10.10.10.in-addr.arpa. {birincil 127.0.0.1; anahtar dhcp-anahtarı; } paylaşılan ağ yeniden yerel {alt ağ 10.10.10.0 ağ maskesi 255.255.255.0 {seçenek yönlendiricileri 10.10.10.1; seçenek alt ağ maskesi 255.255.255.0; seçenek yayın adresi 10.10.10.255; seçenek alan adı sunucuları 10.10.10.5; seçenek netbios-isim-sunucuları 10.10.10.5; 10.10.10.30 10.10.10.250 aralığı; }} # END dhcpd.conf

root @ dnslinux: ~ # dhcpd -t
İnternet Sistemleri Konsorsiyumu DHCP Sunucusu 4.3.1 Telif Hakkı 2004-2014 İnternet Sistemleri Konsorsiyumu. Tüm hakları Saklıdır. Bilgi için lütfen https://www.isc.org/software/dhcp/ Yapılandırma dosyasını ziyaret edin: /etc/dhcp/dhcpd.conf Veritabanı dosyası: /var/lib/dhcp/dhcpd.leases PID dosyası: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl yeniden bind9.service 
root @ dnslinux: ~ # systemctl durumu bind9.service 

root @ dnslinux: ~ # systemctl start isc-dhcp-server.service
root @ dnslinux: ~ # systemctl durumu isc-dhcp-server.service

Ne ile ilgili Müşterilerle kontrollerVe Bölge dosyalarının manuel olarak değiştirilmesi, onu doğrudan okumanız için size bırakıyoruz, okuyucu arkadaş Debian 8 "Jessie" de DNS ve DHCPve bunu gerçek koşullarınıza uygulayın. Gerekli tüm kontrolleri yaptık ve tatmin edici sonuçlar elde ettik. Elbette hepsinin bir kopyasını şuraya gönderiyoruz: Fuegian. Artık olmayacak!

İpuçları

genel

  • Başlamadan önce bolca sabırlı olun.
  • Önce BIND'i kurun ve yapılandırın. Her şeyi kontrol edin ve hem Active Directory'den hem de Linux'taki DNS sunucusundan üç veya daha fazla bölgenin her bir dosyasında beyan ettiğiniz tüm kayıtları görün. Mümkünse, etki alanına katılmamış bir Linux makinesinden gerekli DNS sorgularını BIND'a yapın.
  • Sabit bir IP adresine sahip bir Windows istemcisini mevcut etki alanına katın ve Windows istemcisinden tüm BIND ayarlarını yeniden kontrol edin.
  • Yepyeni BIND'inizin yapılandırmasının tamamen doğru olduğundan şüphesiz emin olduktan sonra, DHCP hizmetini kurmak, yapılandırmak ve başlatmak için dışarı çıkın.
  • Hata durumunda, tüm prosedürü sıfır 0'dan tekrarlayın.
  • Kopyala ve yapıştır sırasında dikkatli olun! ve named.conf.xxxx dosyalarının her satırında kalan boşluklar
  • Daha sonra, dostum Fuegian'a, uygun şekilde tavsiye edilmediğinden şikayet etmedi..

Diğer ipuçları

  • Böl ve fethet.
  • Bir KOBİ Ağında, Dahili LAN Bölgeleri için herhangi bir kök sunucuda tekrarlanmayan bir Yetkili BIND kurmak daha güvenli ve daha faydalıdır: özyineleme no;.
  • Bir İnternet Erişim Sağlayıcısı altında bulunan bir KOBİ Ağında - ISSbelki hizmetler vekil y SMTP İnternetteki alan adlarını çözmeleri gerekir. O Kalamar bir posta sunucusundayken DNS'nizi harici olarak beyan etme seçeneğiniz vardır. Postfix o MDaemon® Ayrıca o serviste kullanacağımız DNS sunucularını da ilan edebiliriz. Bu gibi durumlarda yani internete hizmet vermeyen ve bir İnternet Servis Sağlayıcısıile bir BIND kurabilirsiniz Taşıma araçları DNS’in ISSve bunu, harici sorguları LAN'a çözümlemesi gereken sunucularda ikincil DNS olarak ilan edin, aksi takdirde bunları kendi yapılandırma dosyaları aracılığıyla bildirmek mümkündür.
  • Tüm sorumluluğunuz altında bir Yetki Alan Bölgeniz varsaSonra başka bir horoz kargası:
    • Dayalı bir DNS sunucusu kurun. NSDAP, tanımı gereği Yetkili DNS sunucusu olan ve İnternet'teki bilgisayarlardan gelen sorgulara yanıt veren. Bazı bilgiler için yetenek gösterisi nsd. 😉 Lütfen onu gerektiği kadar çok yangın duvarı ile çok iyi koruyun. Hem donanım hem de yazılım. İnternet için bir DNS olacak ve bu «Çar»Alçak pantolonla vermemeliyiz. 😉
    • Kendimi daha önce böyle bir durumda, yani bir Delege Bölgesi'nden tamamen sorumlu görmediğim için, LAN'ımıza harici alan adlarının ihtiyaç duyan hizmetler için çözümlenmesi için ne önereceğimi çok iyi düşünmem gerekirdi. . KOBİ Ağ İstemcileri buna gerçekten ihtiyaç duymuyor. Onlardan biri olmaktan uzak olduğum için, bu konularda uzmanlaşmış literatüre veya bir uzmana danışın. Ciddi anlamda.
    • Otoriter sunucularda özyineleme mevcut değildir. Tamam?. Birinin bunu bir BIND ile yapmayı düşünmesi durumunda.
  • Dosyada açıkça belirtmemize rağmen /etc/dhcp/dhcpd.conf Deklarasyon istemci güncellemelerini göz ardı edin;bir bilgisayar konsolunda çalıştırırsak dnslinux.mordor.fan sipariş günlükctl -f, müşteriyi başlatırken göreceğiz win7.mordor.fan aşağıdaki hata mesajlarını alıyoruz:
    • 12 Şubat 16:55:41 dnslinux [900]: 10.10.10.30 istemcisi # 58762: güncelleme 'mordor.fan/IN' reddedildi
      12 Şubat 16:55:42 dnslinux [900]: 10.10.10.30 istemcisi # 49763: güncelleme 'mordor.fan/IN' reddedildi
      12 Şubat 16:56:23 dnslinux [900]: 10.10.10.30 istemcisi # 63161: güncelleme 'mordor.fan/IN' reddedildi
      
    • Bu mesajları ortadan kaldırmak için, ağ kartı yapılandırmasının gelişmiş seçeneklerine gitmeli ve «seçeneğinin işaretini kaldırmalıyız.Bu bağlantının adreslerini DNS'ye kaydedin«. Bu, istemcinin sonsuza kadar Linux DNS'de kendi kendine kayıt olmayı denemesini ve sorunun sonunda engelleyecektir. Maalesef, Windows 7'nin İspanyolca bir kopyasına sahip değilim. 😉
  • Bir Windows 7 istemcisinin yaptığı tüm ciddi ve çılgın sorgular hakkında bilgi edinmek için, günlük queries.log BIND yapılandırmasında ilan ettiğimiz bir şey için. Sipariş şu şekilde olacaktır:
    • root @ dnslinux: ~ # tail -f /var/log/named/queries.log
  • İstemci bilgisayarlarınızın doğrudan İnternet'e bağlanmasına izin vermezseniz, neden Kök DNS Sunucularına ihtiyacınız var? Bu, komutun çıktısını önemli ölçüde azaltacaktır günlükctl -f ve bir öncekinden, İç Bölgeler için Otoriter DNS sunucunuz doğrudan İnternete bağlanmıyorsa, güvenlik açısından şiddetle tavsiye edilir.
    root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
    root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root
  • Kök sunucuların bildirimine ihtiyacınız yoksa, neden Özyinelemeye ihtiyacınız var - Özyineleme?
    root @ dnslinux: ~ # nano /etc/bind/named.conf.options
    seçenekler {
     ....
     özyineleme no;
     ....
    };

Hâlâ net olmadığım özel tavsiyeler

El adam dhcpd.conf bize diğer birçok şey arasında şunları söyler:

        Güncelleme optimizasyon bildirimi

            güncelleme-optimizasyon bayrağı;

            Güncelleme optimizasyonu parametresi belirli bir istemci için yanlışsa, sunucu, yalnızca gerekli göründüğünde bir güncellemeyi denemek yerine, istemcinin kirasını her yenilediğinde o istemci için bir DNS güncellemesi yapmayı deneyecektir. Bu, DNS'nin veritabanı tutarsızlıklarından daha kolay bir şekilde kurtulmasına izin verecektir, ancak bunun maliyeti, DHCP sunucusunun çok daha fazla DNS güncellemesi yapması gerektiğidir. Varsayılan olan bu etkin seçeneği okumanızı öneririz. Bu seçenek, yalnızca geçici DNS güncelleme şemasının davranışını etkiler ve geçici DNS güncelleme şeması üzerinde hiçbir etkisi yoktur. Bu parametre belirtilmezse veya doğruysa, DHCP sunucusu yalnızca müşteri bilgileri değiştiğinde, müşteri farklı bir kira aldığında veya müşterinin kira süresi dolduğunda güncellenecektir.

Az ya da çok kesin çeviri ya da yorum size bırakılmıştır sevgili okur.

Şahsen, benim başıma geldi - ve bu makalenin yapımı sırasında oldu - bir BIND'i bir Active Directory®'ye bağladığımda, kayıtlı bir istemci bilgisayarın adını değiştirirsem, bunun Microsft® veya Samba 4'ten geldiği Active Directory® alanı veya AD–DC Samba 4, eski adını ve IP adresini Direkt Bölgede tutar ve tersi değil, yeni adla doğru bir şekilde güncellenir. Başka bir deyişle, eski ve yeni adlar Doğrudan Bölgede aynı IP adresine eşlenirken, tersi durumda yalnızca yeni ad görünür. Beni iyi anlamak için kendin denemelisin.

Bir tür intikam olduğunu düşünüyorum Fuegian -bana değil, lütfen- hizmetlerinizi Linux'a taşımaya çalıştığınız için.

Elbette eski isim kaybolacak 3600 TLveya DHCP yapılandırmasında beyan ettiğimiz zaman. Ancak BIND + DHCP'de olduğu anda kaybolmasını istiyoruz. Active Directory olmadan.

İfadeyi ekleyerek bulduğum bu duruma çözüm güncelleme optimizasyonu yanlış; dosyanın üst kısmının sonunda /etc/dhcp/dhcpd.conf:

ddns-güncelleme-stili ara; ddns-güncellemeleri açık; ddns-alan adı "mordor.fan."; ddns-rev-alanadı "in-addr.arpa."; istemci güncellemelerini göz ardı edin;
güncelleme optimizasyonu yanlış;

Herhangi bir Okuyucu bu konuda daha fazlasını biliyorsa, lütfen beni aydınlatın. Çok takdir edeceğim.

Resumen

Konuyla çok eğlendik, değil mi? Acı çekmiyoruz çünkü bir Microsoft® ağında DNS sunucusu olarak çalışan, tüm SRV kayıtlarını sunan ve onlara yapılan DNS sorgularına uygun şekilde yanıt veren bir BIND'imiz var. Öte yandan, IP adreslerini veren ve BIND Bölgelerini doğru bir şekilde dinamik olarak güncelleyen bir DHCP sunucumuz var.

Ama şimdilik ... isteyemeyiz.

Umarım arkadaşım Fuegian Microsft® Teknik Desteğinin katlanılmaz maliyetlerini katlanılabilir hale getirmek için Linux'a geçişinizin ilk adımından memnun ve tatmin olun.

Önemli not

Karakter "Fuegian»Tamamen kurgusal ve hayal gücümün bir ürünü. Gerçek insanlarla herhangi bir benzerlik veya tesadüf aynı şeydir: Benim açımdan Saf İstemsiz Tesadüf. Ben sadece bu makaleyi yazmayı ve okumayı biraz keyifli hale getirmek için yarattım. Şimdi bana DNS sorununun karanlık olduğunu söylersen,


13 yorum, sizinkini bırakın

Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: Miguel Ángel Gatón
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.

  1.   Crespo88 dijo

    Çok güçlü, yorum yok. Microsoft'un DNS'ine ihtiyaç olmadığı için. Dava açmamaya dikkat et, hahahaha. Fico teslimatı için teşekkürler.

  2.   federico dijo

    Dava mı edeceksin? EL Fueguino ile görünsünler. 😉
    Teşekkürler arkadaşım!!!

  3.   Haniball Fasulyesi dijo

    Aktif dizinin tüm bu kısımları için zentyal'ı kurmak daha kolay değil miydi?

  4.   dhunter dijo

    Haha, güçlü bağları monte etmek için harika bir eklemlenme ve yukarıdaki yorumda Zentyal'ın size önerildiğini görüyorum, çekim başlamadan önce gidiyorum.

    Not: Windows tabanlı etki alanı Mordor'dur, ancak saf bir Samba bağlarsak Gondor veya Rohan olur değil mi? 😉

  5.   federico dijo

    Zentyal kullanımını kimseye önermiyorum. Windows'u, kullanımı birçok KOBİ'de bir gerçeklik olduğu için kullanın. Zentyal'ın istikrarı hakkında, arkadaşım ve meslektaşım Dhunter'a sorun. 😉

  6.   federico dijo

    Tabii ki var, avcı arkadaş. Samba 4 ile tierramedia.fan olarak adlandırılacaktır. 😉

  7.   federico dijo

    Makaleyi zaten indirmiş olanlar için aşağıdakilere çok dikkat edin:
    Nerede diyor
    ; AŞAĞIDAKİ KAYITLARA ÇOK DİKKATLİ OLUN
    @ IN NS dnslinux.mordor.fan.
    @ 10.10.10.3'te

    Doğru söylemeli

    ; AŞAĞIDAKİ KAYITLARA ÇOK DİKKATLİ OLUN
    @ IN NS dnslinux.mordor.fan.
    @ 10.10.10.5 İÇİNDE

    Yanlışlıkla yaptığım hatayı fark eden meslektaşım Eduardo Noel'di.

  8.   federico dijo

    Makaleyi zaten indirmiş olanlar için aşağıdakilere çok dikkat edin:
    Nerede diyor
    ; AŞAĞIDAKİ KAYITLARA ÇOK DİKKATLİ OLUN
    @ IN NS dnslinux.mordor.fan.
    @ 10.10.10.3'te

    Doğru söylemeli

    ; AŞAĞIDAKİ KAYITLARA ÇOK DİKKATLİ OLUN
    @ IN NS dnslinux.mordor.fan.
    @ 10.10.10.5 İÇİNDE

    Yanlışlıkla yaptığım hatayı fark eden meslektaşım Eduardo Noel'di.

  9.   dhunter dijo

    Zentyal'i ciddi bir şey için kullanmayı planlayanlar için sizi çok dikkatli olmanız konusunda uyarıyorum, iki Zentyal 4.2 sürücüsü kullanıyorum (14.04'te), her şeyi güncelledim ve maksimum, çok nadir hatalara (ve daha nadiren cevaplar bugzilla projesi, sen çok az takdir ettiğin bir şeyi kullandığın için seni aptal hissettiriyorlar), bir süre yok olduklarını düşündüğüm çok büyük geri bildirimler almadılar ve aniden 5.0'den olası bir geçiş olmadan 4.2'ı yayınladılar… güzel….

    Her zaman en son sürümü kullanan geliştiricilerle birlikte çalışmadığınız sürece hataları topluluk sürümüne bildirmenin bir anlamı yoktur, şuna bakın: https://tracker.zentyal.org/issues/5080#comment:14

    Sonunda, nispeten kararlı bir sürümle ölmeniz ve onu bitene kadar yenmeniz gerekiyor, zentyalımın cron'da sahip olduğu şeylere bakın:

    0 7 * * 1-6 /sbin/shutdown -r now

    Dediğim gibi ... güzel!

    Not: Sözde tüm bu işi ücretsiz sürümü kullanmak için harcıyorum, sözde ücretli sürüm ciddi, ancak kullanıcı kazanmak için en iyi strateji olmadığını düşünüyorum, benzer iş modeline sahip başka bir ürün Proxmox ve ücretli sürümünü karşılaştırdım. Proxmox, projeye para vermek için değil, ücretsiz sürümün yetersiz kalması nedeniyle değil, Proxmox bir mücevher.

  10.   İsmail Alvarez Wong dijo

    Merhaba Federico:
    Her yeni makale ile duruşu yükseltin, BIND + DHCP ikilisi hakkında önceki 3 gönderide kapsanan her şey yeterli değilmiş gibi gidin, şimdi nasıl taşınacağına dair makalenin bu "ana hattını" (pardon küfür) yayınlayın Microsoft'un DNS'i BIND, Linux'ta bir DHCP'den nasıl güncellenir ve yukarıdakilerin tümü bir Microsoft Active Directory ile bir arada bulunur.
    . Bir Active Directory'nin DNS SRV kayıtları, doğrudan bölgesi "_msdcs.domain", nasıl yakalanacağı ile ilgili harika her şey desde Linux BIND'de söz konusu Bölgelerin Veritabanlarını oluşturmak için Microsoft AD DNS'nin bölgelerinin (veya daha fazlasının) kayıtları.
    . BIND konfigürasyonunda sorguların Günlüklerini etkinleştirmek çok kullanışlıdır.
    . Şu tavsiye ÇOK DEĞERLİ: Linux üzerinde kurulu bir DHCP aracılığıyla bir IP adresi alan bir müşteri, Active Directory etki alanına katılana kadar kendi adının IP adresini çözemez. Makalenin Laboratuvarı örneğinde, önce "win7" bilgisayara "mordor.fan" etki alanının DNS kontrollerini yapmak için 10.10.10.251 IP adresi atanır, ardından bu sabit IP'den Microsoft AD'ye katılır, böylece nihayet DHCP Linux'ta kurulduğunda, bu, IP'sini atayan ve aynı zamanda, İleri ve Geri Bölgelerdeki ekipmanın kaydını yazmak için BIND'a "nüfuz eden" güncellemedir. DAHA DETAYLI GİDİN BULMAZSINIZ!
    . Microsoft® DNS ve BIND'deki Dinamik Güncellemelerle ilgili tüm hususlar çok iyi; son bölümde açıklanan tüm tavsiyelerin yanı sıra özellikle tüm geliştirmeler ve «Henüz çok net olmadığım Özel Konsey» için önerilen çözüm.
    YAZAR İÇİN! 5 YILDIZ! ve PYMES Serisini artan ilgiyle takip ediyorum!

  11.   federico dijo

    Dhunter: Deneyimin Sesi'ni yazdı. "Pratik, gerçeğin en iyi kriteridir."

    Wong: Yorumunuzu çoktan kaçırdım - makale tamamlayıcı. Umarım dnsmasq ile ilgili bir tane yakında çıkacaktır.

    Her ikinize de yorumlarınız için teşekkür ederim.

  12.   Crespo88 dijo

    + "El Fueguino" adlı ortaktan veya sunucularının geçişini başlatma kararından bahsetmediniz. Microsoft'tan bir tane daha çaldın, hahaha !!!! ????

  13.   federico dijo

    hahahaha arkadaş crespo88. Kurgusal karakterin dalgasını sevdiğini görüyorum. Başkalarının sizin gibi daha fazla fikri varsa, yoğun konulardaki makaleleri daha eğlenceli hale getirebilir. Bununla ilgili diğer yorumları bekleyelim.