Dnsmasq та Active Directory - мережі МСП

Загальний покажчик серії: Комп’ютерні мережі для МСП: Вступ

Привіт, друзі!. Щоб зрозуміти і правильно слідувати цій статті істотне читання своїх попередників:

• Dnsmasq на CentOS 7.3
• BIND та Active Directory®

Вони пояснюють теоретичні та практичні концепції, на які ми не будемо посилатися в цій. Ми змінимо розподіл у поточному році на Debian 8.6 "Джессі" і ми продовжимо з тими ж параметрами, які ми використовуємо в BIND та Active Directory®.

• Процедура, описана в цьому дописі, також діє для CentOS 7. Файл конфігурації / etc / dnsmasq однаковий. Я заявляю це, оскільки вважаю непотрібним робити окрему статтю для Dnsmasq та Active Directory® на базі CentOS. На щастя, каталоги, пов’язані з документацією та конфігурацією, однакові. ℘
• Dnsmaq є творінням Саймон Келлі

Обмеження використання Dnsmasq

Через його важливість ми повторюємо ОБМЕЖЕННЯ що підтримує Dnsmasq -run людина dnsmasq- що відображає екстремальний наступний:

ОБМЕЖЕННЯ

• Значення за замовчуванням для обмежень ресурсів, як правило, є консервативними та придатними для використання на пристроях типу маршрутизатора. застряг із повільними процесорами та малою пам’яттю. В апаратному забезпеченні більше  здатні, можна збільшити межі та підтримати багато інших клієнтів. Наступне стосується dnsmasq-2.37: попередні версії цього не роблять вони так добре лазили.
  

• Dnsmasq здатний підтримувати DNS і DHCP щонайменше тисячу (1,000) клієнтів. Час оренди не повинен бути занадто коротким (менше одного час). Значення –dns-forward-max можна збільшити: почніть з еквівалент кількості клієнтів і збільшити його, якщо DNS. Зверніть увагу, що продуктивність DNS також залежить від серверів Висхідний DNS. Розмір кешу DNS можна збільшити: обмеження Потрібно 10,000 імен, а за замовчуванням (150) дуже низький. Надсилання SIGUSR1 до dnsmasq робить інформацію bitacore такою корисно для тонкої настройки розміру кешу. Детальніше див. У розділі ПРИМІТКИ.

• Вбудований сервер TFTP здатний підтримувати кілька передач одночасні файли: абсолютна межа пов’язана з кількістю дескрипторів файлів, дозволених до процесу, і здатністю системтим викликом select () для підтримки великої кількості дескрипторів файлів. Якщо ліміт встановлений занадто високим за допомогою –tftp-max, він буде демасштабований, а фактичний ліміт буде зареєстрований під час запуску. Зверніть увагу, що більше переказів можливі, коли один і той же файл надсилається, що коли кожен трансferencia надсилає інший файл. Можна використовувати dnsmasq, щоб заборонити веб-рекламу, використовуючи список добре відомі банерні сервери, усі з дозволом 127.0.0.1 або 0.0.0.0 у / etc / hosts або у додатковому файлі hosts. Список може бути дуже довгим. Dnsmasq успішно протестовано з мільйоном імен. Для цього розміру файлу потрібен приблизно 1 ГГц процесора60 Мб оперативної пам'яті.

• Dnsmasq здатний підтримувати DNS і DHCP щонайменше тисячу (1,000) клієнтів.

Давайте встановимо та налаштуємо Jessie та Dnsmasq

Ми почнемо з нової та чистої інсталяції сервера на базі Debian 8 "Джессі". Тобто операційна система без будь-якого графічного інтерфейсу чи іншого пакета встановлена. Параметри мережі будуть такими ж, як і в статті BIND та Active Directory®:

Доменне ім'я mordor.fan Мережа локальної мережі 10.10.10.0/24 ====================================== == =========================================== Призначення серверів IP-адреса (Сервери з ОС Windows ) ================================================== = ================================
sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2
mamba.mordor.fan. 10.10.10.4 Файловий сервер Windows
dns.mordor.fan 10.10.10.5 Сервер DnsMasq на Джессі
darklord.mordor.fan. 10.10.10.6 Проксі, шлюз і брандмауер на Kerios troll.mordor.fan. 10.10.10.7 Блог, заснований на ... не можу згадати shadowftp.mordor.fan. 10.10.10.8 FTP-сервер blackelf.mordor.fan. 10.10.10.9 Повна служба електронної пошти blackspider.mordor.fan. 10.10.10.10 служба WWW palantir.mordor.fan. 10.10.10.11 Чат на Openfire для Windows Real CNAME ================================ sauron ad-dc mamba файловий сервер darklord proxyweb troll blog shadowftp ftpserver blackelf пошта blackspider www palantir openfire

Початкові налаштування сервера dns.mordor.fan

root @ dns: ~ # nano / etc / hostname
DNS

root @ dns: ~ # nano / etc / hosts
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # Наступні рядки бажані для хостів, що підтримують IPv6 :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

root @ dns: ~ # nano / etc / network / interfaces
# Цей файл описує мережеві інтерфейси, доступні у вашій системі # та способи їх активації. Для отримання додаткової інформації див. Інтерфейси (5). джерело /etc/network/interfaces.d/* # Мережевий інтерфейс зворотного зв'язку автоматично, якщо iface lo inet loopback # Первинний мережевий інтерфейс allow-hotplug eth0 iface eth0 inet статична адреса 10.10.10.5 netmask 255.255.255.0 мережа 10.10.10.0 трансляція 10.10.10.255. Шлюз 10.10.10.1 127.0.0.1 Параметри # dns- * реалізовані пакетом resolvconf, якщо встановлені dns-nameservers XNUMX dns-search mordor.fan

Давайте встановимо Dnsmasq і htop

root @ dns: ~ # aptitude встановити dnsmasq htop

Після встановлення пакета htop ми можемо перевірити процесор і споживання пам'яті обладнанням. Це споживало лише близько 71 мегабайт оперативної пам'яті. Якщо ми хочемо ще більше знизити споживання, ми можемо встановити пакет SSMTP -простий МТА- що в свою чергу продуває пакет exim4 що Debian завжди встановлюється за замовчуванням і що нам дійсно не потрібно відповідно до використання, яке ми надамо цьому серверу:

root @ dns: ~ # aptitude встановити ssmtp
root @ dns: ~ # очищення здібностей ~ c
root @ dns: ~ # aptitude clean
root @ dns: ~ # aptitude autoclean
root @ dns: ~ # перезавантажте systemctl

Після перезавантаження комп’ютера споживання є таким:

Низький, правда? Йдемо далі.

Вкажемо, що Dnsmasq також звертається до Microsft® DNS

Щоб перевірити можливі конфігурації Dnsmasq на вашому комп’ютері dns.mordor.fan, ми повинні включити заяву, яка вказує на те, що консультація Microsoft DNS сервера здійснюється sauron.mordor.fan. Ми можемо це зробити, включаючи директиву server = / mordor.fan / 10.10.10.3 в архіві dnsmasq.conf -як ми побачимо пізніше- або додавання рядка сервер імен 10.10.10.3 в архіві / Etc / resolv.conf. Оскільки ми ще не налаштували Dnsmasq відповідно до наших потреб, ми обираємо другий спосіб:

root @ dns: ~ # nano /etc/resolv.conf
домен mordor.fan
сервер імен 127.0.0.1
сервер імен 10.10.10.3

Тепер ми можемо вирішувати запити DNS

З налаштуваннями Dnsmasq за замовчуванням, що надаються основним файлом /etc/dnasmq.conf, і з тим, що заявлено у файлі / Etc / resolv.conf з самого сервера «DNS«, Будь-який клієнт, підключений до локальної мережі, і який оголосив як DNS-сервер dns.mordor.fan- Ви можете вирішувати запити DNS за рахунок Microsoft® DNS зараз…

• Дуже важливо перевірити швидкість відповіді Dnsmasq при відображенні його статусу як Експедитор простим включенням IP 10.10.10.3 у ваш файл / Etc / resolv.conf.

З моєї адміністративної робочої станції та підтримки всієї атрибутики, через яку я пишу, я запускаю:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Створено сервером імен домену mordor.fan 10.10.10.5

buzz @ sysadmin: ~ $ nslookup
> DNS
Сервер: 10.10.10.5 Адреса: 10.10.10.5 # 53 Ім'я: dns.mordor.fan Адреса: 10.10.10.5

> sauron
Сервер: 10.10.10.5 Адреса: 10.10.10.5 # 53

Неавторитетна відповідь:
Ім'я: sauron.mordor.fan Адреса: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Сервер: 10.10.10.5 Адреса: 10.10.10.5 # 53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan канонічне ім'я = sauron.mordor.fan. Ім'я: sauron.mordor.fan Адреса: 10.10.10.3

> 10.10.10.3
Сервер: 127.0.0.1 Адреса: 127.0.0.1 # 53 3.10.10.10.in-addr.arpa name = sauron.mordor.fan.

> 10.10.10.9
Сервер: 127.0.0.1 Адреса: 127.0.0.1 # 53 9.10.10.10.in-addr.arpa name = blackelf.mordor.fan.

> 10.10.10.5
Сервер: 127.0.0.1 Адреса: 127.0.0.1 # 53 5.10.10.10.in-addr.arpa name = dns.mordor.fan.

> пошта
Сервер: 10.10.10.5 Адреса: 10.10.10.5 # 53 Неавторитетна відповідь: mail.mordor.fan канонічне ім'я = blackelf.mordor.fan. Назва: blackelf.mordor.fan Адреса: 10.10.10.9> вихід

buzz @ sysadmin: ~ $

Давайте детальніше розглянемо такі аспекти:

• dns.mordor.fan безпосередньо відповідає на запити DNS, які він може вирішити відповідно до ваших поточних налаштувань Dnsmasq. Якщо ви не можете їх вирішити, це працює як Експедитор і запитує IP 10.10.10.3, чи може він відповісти на запит. Коли запитують ІР обладнання «DNS«, Він відповідає прямо. Коли Dnsmasq запитують, хто це «sauron",?, робить пересилка в стилі 10.10.10.3 -Ви не можете відповісти безпосередньо, оскільки ви його ще не зареєстрували- хто повертає правильну неавторитарну відповідь.
• На питання, хто такий «03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan", робить пересилка знову і цього разу ви отримуєте авторитетну відповідь від Microsoft® DNS.
• Висока швидкість відгуку Dnsmasq для будь-якого типу запиту.

Це дрібні деталі, які роблять кохання великим ;-).

Принципові відмінності між Dnsmasq та BIND, інтегрованими з Active Directory®

Давайте запустимо пару запитів DNS на записи SOA y NS домену mordor.fan, кожному із задіяних серверів імен:

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.3
Використання сервера домену: Ім'я: 10.10.10.3 Адреса: 10.10.10.3 # 53 Псевдоніми: 
mordor.fan має запис SOA sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ host -t SOA mordor.fan 10.10.10.5
Використання сервера домену: Ім'я: 10.10.10.5 Адреса: 10.10.10.5 # 53 Псевдоніми: 
mordor.fan має запис SOA sauron.mordor.fan. hostmaster.mordor.fan. 56 900 600 86400 3600 XNUMX

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.5
Використання сервера домену: Ім'я: 10.10.10.5 Адреса: 10.10.10.5 # 53 Псевдоніми: 
сервер імен mordor.fan sauron.mordor.fan.

buzz @ sysadmin: ~ $ host -t NS mordor.fan 10.10.10.3
Використання сервера домену: Ім'я: 10.10.10.3 Адреса: 10.10.10.3 # 53 Псевдоніми: 
сервер імен mordor.fan sauron.mordor.fan.

Відповіді однакові - що логічно - тому що завжди відповідь sauron.mordor.fan. перед запитом DNS про записи SOA o NSхоча виглядає як що він відповідає dns.mordor.fan. Однак воно відрізняється від того, що видно в статті BIND та Active Directory®, де ми повністю видалили функціонал Microsoft® DNS. У цій статті ВСІ запити DNS про простір імен Domino mordor.fan BIND відповів їм, тому що ми так його налаштували, і тому, що BIND відповідає на запити SOA y NS на додаток до дозволу схеми Господар - Раб, Передача зон тощо, і тому це більш повний DNS-сервер - складний.

Можливо, це головні відмінності між DNS Dnsmasq та BIND ... але BIND - завжди може бути одне або більше, але - не має DHCP-сервера, який легко інтегрується з DNS-сервером в одному демонд, і без необхідності використання ключів TSIG, файлів конфігурації, баз даних зони тощо, як ми бачили в попередніх статтях.

• Думаю, дотепер, шановні читачі вже зрозуміли, що я не ненавиджу BIND і не віддаю перевагу Dnsmasq перед BIND. Подальші обговорення цього питання - це цілковита втрата часу, оскільки це має багато спільного з потребами, вимогами, смаками, уподобаннями та .... кожне рішення має свою чарівність ;-).

• У подібних сценаріях нехай кожен встановлює та налаштовує програмне забезпечення на свій вибір та про те, що він знає більше. і що все працює, як очікувалося.

Переваги комбінації Dnsmasq + Active Directory®

Завдяки цій комбінації ми маємо повний спектр відповідей на запити DNS та ефективний засіб оренди IP-адрес для нашої мережі МСП. Як ми побачимо пізніше, він працює коректно в будь-якій ситуації щодо того, приєднаний чи ні комп'ютер до контролера домену Microsoft® Active Directory®. Крім того, у нас є DNS і DNS-сервер Експедитор насамперед, плюс дуже швидкий DHCP-сервер. І все з невеликим попитом на ресурси. Ви хочете більше?

Чи можливо Dnsmasq + BIND?

Безумовно, так. Хоча я рекомендую їх встановлювати на різних комп'ютерах, щоб не було зіткнень через улюблений порт 53 служби DNS. Можливо, і ми щось про це побачимо, коли дійдемо до AD-DC на базі Samba 4. Хто знає?

Поради щодо Dnamasq

• Основними робочими файлами Dnsmasq для надання DHCP та DNS-послуг у локальній мережі є: /etc/dnsmasq.conf, / Etc / хостів, /var/lib/misc/dnsmasq.leasesІ / Etc / resolv.conf. Файл dnsmasq.lease він створюється під час оренди вашої першої IP-адреси.
• Ще один файл роботи, який ви можете використовувати, - / etc / ethers. Якщо такий файл існує, директива ефіри зчитування оголошений у файлі конфігурації, каже Dnsmasq прочитати його. Це дуже корисно, коли ми спілкуємось MAC-адреси / імена хостів для певних цілей.
• Службу DNS можна повністю відключити за допомогою директиви port = 0 в dnsmasq.conf.
• Служба DHCP для одного або декількох мережевих інтерфейсів може бути відключена директивами -одна для кожного рядка- no-dhcp-interface = eth0, no-dhcp-interface = eth1, і так далі. Дуже корисно, коли ми стоїмо перед командою з 2-ма або більше мережевими інтерфейсами, і ми хочемо, щоб послугу DHCP надавала лише одна з них або жодна. Звичайно, якщо ми вимкнемо службу DHCP для всіх інтерфейсів, ми залишимо лише працюючу службу DNS. Якщо ми вимкнемо обидві служби, то навіщо нам Dnsmasq? 😉
• Заявити іншим DNS-серверам доменних імен, що немає є загальнодоступними або зовнішніми для локальної мережі - як у випадку з Microsoft DNS - ми робимо це за допомогою директиви server = / ім'я домену / IP-адреса DNS-сервера в архіві /etc/dnsmasq.conf. Приклад: server = / mordor.fan / 10.10.10.3.
• Щоб повідомити Dnsmasq, що на запити про локальні домени відповідає лише файл / Etc / хостів або через ваш DHCP, ми повинні додати директиву local = / localnet / у головному файлі вашої конфігурації. Приклад: local = / mordor.fan /.
• Щоб правильно налаштувати файл / Etc / resolv.conf - распознаватель пропонуємо прочитати його керівництво за допомогою команди людина резол.конф. Якщо ви встановите Debian 8.6 "Jessie", то виявите, що він добре написаний іспанською.
• Dnsmasq не використовує файли Зони для відповіді на прямі або зворотні запити.
• Знати значення кожного поля «спеціальний»Що використано у декларації SRV Resource Record, вам слід проконсультуватися BIND та Active Directory®. Синтаксис записів SRV у файлі /etc/dnsmasq.conf Це так:

  srv-host = , , , ,

Читачі, які хочуть дізнатись більше, уважно прочитайте оригінальний файл /etc/dnsmasq.conf або наявні документи в каталозі / usr / share / doc / dnsmasq-base.

root @ dns: ~ # ls -l / usr / share / doc / dnsmasq-base /
всього 128 -rw-r - r-- 1 кореневий корінь 883 5 травня 2015 авторське право -rw-r - r-- 1 кореневий корінь 36261 5 травня 2015 changelog.archive.gz -rw-r - r-- 1 кореневий корінь 11297 5 травня 2015 р. Changelog.Debian.gz -rw-r - r-- 1 кореневий корінь 26014 5 травня 2015 р. Changelog.gz -rw-r - r-- 1 кореневий корінь 2084 5 травня 2015 р. DBus-інтерфейс. Gz -rw- r - r-- 1 кореневий корінь 4297 5 травня 2015 р. doc.html drwxr-xr-x 2 кореневий корінь 4096 19 лютого 17:52 приклади -rw-r - r-- 1 кореневий корінь 9721 5 травня 2015 р. FAQ.gz -rw -r - r - 1 кореневий корінь 4180 5 травня 2015 README.Debian -rw-r - r - 1 кореневий корінь 12019 5 травня 2015 setup.html

Давайте налаштуємо Dnsmasq та Resolver

Для початкового посібника ми візьмемо - зміну імен тощо, звичайно - конфігураційний файл, використаний у статті «Dnsmasq на CentOS 7.3".

Не забуваймо наступний крок:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Виправлені IP-адреси

Адреси серверів або обладнання, які потребують фіксованого IP-обох IPv4 як IPv6- оголошені у файлі / Etc / хостів:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost # Наведені нижче рядки бажані для хостів, що підтримують IPv6 :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters # Сервери та комп'ютери з фіксованими IP-адресами. 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8. 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

Давайте створимо файл /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # ЗАГАЛЬНІ ВАРІАНТИ # ---------------------------- - ---------------------------------------потрібен домен # Не передавати імена без домену частина фальшивого-прив # Не передавати адреси в нерутованому просторі expand-hosts # Автоматично додавати домен до інтерфейсу хоста = eth0 # Інтерфейс.  ОСТЕРЕЖЕТЕСЯ інтерфейсу #, крім інтерфейсу = eth1 # НЕ слухайте цього строгого порядку NIC # Порядок, в якому ви звертаєтесь до файлу /etc/resolv.conf # Включіть багато інших параметрів конфігурації # через файл або, знайшовши конфігурацію # додаткові файли в каталозі # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # Що стосується доменного імені domain = mordor.fan # Ім'я домену # Сервер часу 10.10.10.1. 10.10.10.1 address = / time.windows.com / XNUMX # Надсилає порожній параметр значення WPAD.  Потрібно для # Windos 7 і пізніших клієнтів, щоб поводитись належним чином.  ;-) dhcp-option = 252, "\ n" # Файл, де ми оголосимо ХОСТИ, які будуть "заборонені" addn-hosts = / etc / banner_add_hosts # Зверніться до DNS-сервера Microsoft® "sauron", якщо ми # дозволимо запустити сервер = / mordor.fan / 10.10.10.3 # На запити про локальні домени буде відповідати # з / etc / hosts або через локальний DHCP = / mordor.fan / # На запити про PTR або зворотні записи відповідатимуть # сервери " dns "і" sauron "у такому порядку server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3 # ------- - ------------------------------------------------- - --------- # REGISTROSCNAMEMXTXT # ------------------------------------- - ----------------------------- # Цей тип реєстрації вимагає введення # у файлі / etc / hosts #, наприклад: 10.10.0.7. 10 troll.mordor.fan troll # cname = ALIAS, REAL_NAME cname = ad-dc.mordor.fan, sauron.mordor.fan cname = fileserver.mordor.fan, mamba.mordor.fan cname = proxyweb.mordor.fan, darklord .mordor.fan cname = blog.mordor .fan, troll.mordor.fan cname = ftpserver.mordor.fan, shadowftp.mordor.fan cname = mail.mordor.fan, blackelf.mordor.fan cname = www.mordor.fan, blackspider.mordor.fan cname = opendire .mordor.fan, palantir.mordor.fan # MX RECORDS # Повертає запис MX з ім'ям "mordor.fan", призначеним # для команди blackelf.mordor.fan та пріоритетом 10 mx-host = mordor.fan, пошта. mordor.fan, XNUMX # Місцем за замовчуванням для записів MX, які створюються # за допомогою параметра localmx, буде: mx-target = mail.mordor.fan # Повертає запис MX, що вказує на mx-ціль для ВСІХ # локальних локальних машин mx # Записи TXT. 

dhcp-lease-max = 222 # Максимальна кількість адрес для оренди
                        # за замовчуванням - 150
# Діапазон IPV6 # dhcp-range = 1234 ::, ra-only # Параметри RANGE # OPTIONS dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,10.10.10.253 # ROUTER GATEWAY dhcp-option = 6,10.10.10.5. 15 # DNS-сервери dhcp-option = 19,1, mordor.fan # DNS-ім'я домену dhcp-option = 28,10.10.10.255 # option ip-forwarding ON dhcp-option = 42,10.10.10.1 # BROADCAST dhcp-option = 40. 41,10.10.10.3 # NTP # dhcp-option = 44,10.10.10.3, MORDOR # Доменне ім'я NIS # dhcp-option = 45,10.10.10.3 # Сервер NIS # dhcp-option = 73,10.10.10.3 # WINS # dhcp-option = 46,8 # Дейтаграми NetBIOS # dhcp-option = XNUMX # Finger Server # dhcp-option = XNUMX # Вузол NetBIOS dhcp-авторитетний # Авторитетний DHCP у підмережі # ------------- - ------------------------------------------------- - --- # --------------------------------------------- - --------------------- # ВХІД в хвіст -f / var / log / syslog або journalctl -f # ------------ - ------------------------------------------------- - ---- запити журналу # ----------------------------------------- ------------------------- # Re Записи A та SRV, що відповідають Active Directory # ----------------------------------------- --------------------------
# Записи A
address = / gc._msdcs.mordor.fan / 10.10.10.3 address = / DomainDnsZones.mordor.fan / 10.10.10.3 address = / ForestDnsZones.mordor.fan / 10.10.10.3

# Запис CNAME зони Microsoft DNS _msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

# Записи SRV
# srv-host = , , , ,

# Глобальний каталог # Зона Microsoft DNS _msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan, sauron.mordor.fan, 3268,0,0
# Зона Microsoft DNS mordor.fan
srv-host = _gc._tcp.mordor.fan, sauron.mordor.fan, 3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan, sauron.mordor.fan .3268,0,0

# Модифікований та приватний LDAP Active Directory
# Зона Microsoft DNS _msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
# Зона Microsoft DNS mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
# KERBEROS змінено та закрито з Active Directory
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

# END файлу /etc/dnsmasq.conf
# ------------------------------------------------- ------------------

Давайте створимо файл / etc / banner_add_host

[root @ dns ~] # nano / etc /banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq --test
dnsmasq: перевірка синтаксису OK.

[root @ dns ~] # systemctl перезапустіть dnsmasq.service 
[root @ dns ~] # systemctl статус dnsmasq.service

Давайте змінимо файл /etc/resolv.conf - Resolver

root @ dns: ~ # nano /etc/resolv.conf 
домен mordor.fan пошук mordor.fan

Чому б нам не вказати у файлі звичайні рядки resolve.conf? Тому що ми заявляємо в dnsmasq.conf наступні директиви:

# Зверніться до Microsoft® DNS-сервера «sauron», якщо ми # дозволимо йому працювати
server = / mordor.fan / 10.10.10.3

# На запити про локальні домени буде відповідати # з / etc / hosts або через DHCP
local = / mordor.fan /

# На запити щодо PTR чи зворотних записів відповідатимуть # сервери "dns" та "sauron" у такому порядку
server = / 10.10.10.in-addr.arpa / 10.10.10.5 server = / 10.10.10.in-addr.arpa / 10.10.10.3

Запити від sysadmin.mordor.fan

Файл / Etc / resolv.conf цієї команди:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf
# Створено мережевим сервером імен mordor.fan 10.10.10.5

buzz @ sysadmin: ~ $ host -t До spynet4.microsoft.com
spynet4.microsoft.com має адресу 127.0.0.1

buzz @ sysadmin: ~ $ host -t До www.download.windowsupdate.com
www.download.windowsupdate.com має адресу 127.0.0.1

дзижчання@sysadmin: ~ $ dig dns
buzz @ sysadmin: ~ $ dig dns.mordor.fan
;; ПИТАННЯ РОЗДІЛ :; dns.mordor.fan. В ;; РОЗДІЛ ВІДПОВІДІ: dns.mordor.fan. 0 В 10.10.10.5

buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs
buzz @ sysadmin: ~ $ host -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fan має запис SRV 0 0 3268 sauron.mordor.fan.

buzz @ sysadmin: ~ $ dig _ldap._tcp.gc._msdcs.mordor.fan
;; РОЗДІЛ ПИТАННЯ ;; _ldap._tcp.gc._msdcs.mordor.fan. В ;; РОЗДІЛ ВІДПОВІДІ: _ldap._tcp.gc._msdcs.mordor.fan. 0 В 10.10.10.3

buzz @ sysadmin: ~ $ dig mordor.fan axfr
buzz @ sysadmin: ~ $ dig 10.10.10.in-addr.arpa axfr

І таким чином, скільки консультацій нам потрібно

Dnsmasq + Active Directory® + клієнти Microsoft® Windows

Перейменування клієнта Microsoft® Windows

сім.mordor.fan орендована IP-адреса:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

Давайте перейменуємо «сім»-Який не приєднаний до домену Active Directory- користувачем«евкаліпт«. Після зміни та перезапуску перевіряємо:

root @ dns: ~ # cat /var/lib/misc/dnsmasq.leases 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

Історію змін видно з "sysadmin":

buzz @ sysadmin: ~ $ host -t A сім
seven.mordor.fan має адресу 10.10.10.115

Після зміни назви

buzz @ sysadmin: ~ $ host -t A сім
сім не має рекорду A

buzz @ sysadmin: ~ $ host -t Евкаліпт
eucaliptus.mordor.fan має адресу 10.10.10.115

Запити від клієнта eucaliptus.mordor.fan

Microsoft Windows, [Version 6.1.7601]
Авторське право (c) 2009 Microsoft Corporation. Всі права захищені.

C: \ Users \ buzz> nslookup
Сервер за замовчуванням: dns.mordor.fan Адреса: 10.10.10.5

> саурон
Сервер: dns.mordor.fan Адреса: 10.10.10.5 Ім'я: sauron.mordor.fan Адреса: 10.10.10.3

> mordor.fan
Сервер: dns.mordor.fan Адреса: 10.10.10.5 Ім'я: mordor.fan Адреса: 10.10.10.3

> евкаліпт
Сервер: dns.mordor.fan Адреса: 10.10.10.5 Ім'я: eucaliptus.mordor.fan Адреса: 10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
Сервер: dns.mordor.fan Адреса: 10.10.10.5 Ім'я: sauron.mordor.fan Адреса: 10.10.10.3 Псевдоніми: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> встановити тип = SRV
> _kerberos._udp.mordor.fan
Сервер: dns.mordor.fan Адреса: 10.10.10.5 _kerberos._udp.mordor.fan Місце служби SRV: пріоритет = 0 вага = 0 порт = 88 svr ім'я хоста = sauron.mordor.fan sauron.mordor.fan Інтернет-адреса = 10.10.10.3. XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
Сервер: dns.mordor.fan Адреса: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan Розташування служби SRV: пріоритет = 0 вага = 0 порт = 389 svr ім'я хоста = sauron .mordor.fan sauron.mordor.fan інтернет-адреса = 10.10.10.3

> вихід

C: \ Users \ buzz>

Реєстрація клієнтів Windows у Microsoft® DNS

Клієнти Windows, не приєднані до домену Active Directory®

Ми повинні перевірити, чи IP-адреси, орендовані різними клієнтами Windows від Dnsmasq, правильно зареєстровані в Microsoft® DNS. Це може впливати як ми вмикаємо динамічні оновлення - Динамічні оновлення у Microsoft® DNS-зонах Active Directory®. Ми починаємо з типової конфігурації Microsoft DNS, яка дозволяє лише безпечне динамічне оновлення - Динамічні оновлення -> Лише безпечне, у кожній з його зон.

Зверніть увагу, що клієнт з поточним FQDN eucalyptus.mordor.fan немає приєднано до домену Active Directory (або Samba4 AD-DC) і є винятком із правила Microsoft, яке «Тільки клієнти, зареєстровані в Моєму домені, матимуть дозвіл через Механізм оновлення - про що я знаю лише - реєструватися в своєму DNS«. На щастя, Samba4 AD-DC вчить нас чомусь про це.

евкаліпт.мордор.фан орендований IP 10.10.10.115:

buzz @ sysadmin: ~ $ host -t Евкаліпт
eucaliptus.mordor.fan має адресу 10.10.10.115

Змінимо його назву на «червоне дерево«, Давайте перезапустимо Windows 7 і подивимося, що станеться, коли ми запитаємо імена«евкаліпт"Y"червоне дерево»Для кожного з DNS, спочатку до Microsoft DNS, а потім до Dnsmasq:

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.3
Використання сервера домену: Ім'я: 10.10.10.3 Адреса: 10.10.10.3 # 53 Псевдоніми: 

Хост eucaliptus.mordor.fan не знайдено: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Використання сервера домену: Ім'я: 10.10.10.3 Адреса: 10.10.10.3 # 53 Псевдоніми: 

Хост mahogany.mordor.fan не знайдено: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A eucaliptus.mordor.fan 10.10.10.5
Використання сервера домену: Ім'я: 10.10.10.5 Адреса: 10.10.10.5 # 53 Псевдоніми: 

Хост eucaliptus.mordor.fan не знайдено: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.5
Використання сервера домену: Ім'я: 10.10.10.5 Адреса: 10.10.10.5 # 53 Псевдоніми: 

mahogany.mordor.fan має адресу 10.10.10.115

Ми можемо змінити назву клієнта Windows 7 немає додається до Домену mordor.fan Active Directory® скільки завгодно разів, що Microsoft® DNS не дізнається про ці зміни або що такий клієнт існує. Чи можливо, що це лише тому, що ми обрали варіант  Динамічні оновлення -> Лише безпечне у кожній зоні DNS Micorosft?

Щоб пан Microsoft® DNS знав про зміни, ми повинні вибрати Динамічні оновлення -> Незахищені та безпечні. Цей варіант, шановні читачі, передбачає значну вразливість безпеки будь-якого доменного сервера імен, який поважається, будь то Microsft® або UNIX® / Linux. Microsoft® DNS попереджає про вразливість, тому що врешті-решт це не що інше, як модифікований та приватизований BIND, який нам може запропонувати «Безпека темряви«. Якщо ні, то чому ви рекомендуєте економити на своєму знаменитому реєстрація усі налаштування DNS і записи вашого Microsoft® DNS, коли ми впроваджуємо Active Directory®?. Окрім підтримки небезпечних оновлень для Microsoft® DNS, у конфігурації мережевої картки клієнта Windows 7 потрібна наступна модифікація:

Давайте перевіримо:

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Використання сервера домену: Ім'я: 10.10.10.3 Адреса: 10.10.10.3 # 53 Псевдоніми: caoba.mordor.fan має адресу 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.3
Використання сервера домену: Ім'я: 10.10.10.3 Адреса: 10.10.10.3 # 53 Псевдоніми: 115.10.10.10.in-addr.arpa покажчик доменного імені mahogany.mordor.fan.

buzz @ sysadmin: ~ $ host -t Червоне дерево 10.10.10.5
Використання сервера домену: Ім'я: 10.10.10.5 Адреса: 10.10.10.5 # 53 Псевдоніми: caoba.mordor.fan має адресу 10.10.10.115

buzz @ sysadmin: ~ $ host 10.10.10.115 10.10.10.5
Використання сервера домену: Ім'я: 10.10.10.5 Адреса: 10.10.10.5 # 53 Псевдоніми: 115.10.10.10.in-addr.arpa покажчик доменного імені mahogany.mordor.fan.

Так зараз. Який приємний синхронізм для двох серверів DNS, не синхронізованих жодним чином, правда?

Клієнти Windows, приєднані до домену Active Directory®

Давайте об’єднаємо клієнта червоне дерево.mordor.fan до Домену, але не раніше, ніж усунути зміну, яку ми внесли у конфігурацію вашої мережевої карти, якщо в якийсь момент ми зробили це, щоб перевірити пункт попередньої глави. Також видалити запис для «червоне дерево»В Microsoft® DNS і поверніть динамічні оновлення до місця їх походження «Тільки захищений«. До речі, дійсно перезапустити службу Microsoft® DNS.

Після приєднання до Домену, і незважаючи на всі наші зусилля, клієнт «червоне дерево»Не зареєстровано в Microsoft® DNS. Ми навіть заявили в dnsmasq.conf -temporary - що першим сервером DNS є 10.10.10.3.

Microsoft Windows, [Version 6.1.7601]
Авторське право (c) 2009 Microsoft Corporation. Всі права захищені.

C: \ Users \ saruman> ipconfig / all

Ім'я хоста конфігурації IP-адреси Windows. . . . . . . . . . . . : МАГОГАНІЯ Первинний суфікс Dns. . . . . . . : mordor.fan Тип вузла. . . . . . . . . . . . : Увімкнено гібридну IP-маршрутизацію. . . . . . . . : Проксі-сервер WINS не ввімкнено. . . . . . . . : Немає списку пошуку суфіксів DNS. . . . . . : mordor.fan Ethernet-адаптер Локальне підключення: суфікс DNS для конкретного підключення : mordor.fan Опис. . . . . . . . . . . : Фізична адреса мережевого підключення Intel (R) PRO / 1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP увімкнено. . . . . . . . . . . : Так Увімкнено автоконфігурацію. . . . : Так Локальна адреса IPv6. . . . . : fe80 :: 352a: b954: 7eba: 963e% 12 (бажана) IPv4-адреса. . . . . . . . . . . : 10.10.10.115 (бажано) Маска підмережі. . . . . . . . . . . : 255.255.255.0 Отримано оренду. . . . . . . . . . : Субота, 25 лютого 2017 р., 8:19:05, Термін дії оренди закінчується. . . . . . . . . . : Субота, 25 лютого 2017 р. 4:20:36 Шлюз за замовчуванням. . . . . . . . . : 10.10.10.253 DHCP-сервер. . . . . . . . . . . : 10.10.10.5 DHCPv6 IAID. . . . . . . . . . . : 251661353 DHCPv6 клієнт DUID. . . . . . . . : 00-01-00-01-20-3B-69-81-00-0C-29-D6-14-36

   DNS-сервери. . . . . . . . . . . : 10.10.10.3
                                       10.10.10.5
   NetBIOS через Tcpip. . . . . . . . : Увімкнено адаптер тунелю isatap.mordor.fan: Стан носія. . . . . . . . . . . : Мультимедіа відключено Суфікс DNS для підключення. : mordor.fan Опис. . . . . . . . . . . : Фізична адреса адаптера Microsoft ISATAP. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP увімкнено. . . . . . . . . . . : Автоконфігурація не ввімкнена. . . . : Так Тунельний адаптер Місцеве підключення * 9: Стан носія. . . . . . . . . . . : Мультимедіа відключено Суфікс DNS для підключення. : Опис. . . . . . . . . . . : Фізична адреса адаптера тунельного адаптера Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP увімкнено. . . . . . . . . . . : Автоконфігурація не ввімкнена. . . . : І це так

C: \ Users \ saruman>

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Використання сервера домену: Ім'я: 10.10.10.3 Адреса: 10.10.10.3 # 53 Псевдоніми: Хост caoba.mordor.fan не знайдено: 3 (NXDOMAIN)

дзижчання@sysadmin: ~ $ host -t До mahogany.mordor.fan
mahogany.mordor.fan має адресу 10.10.10.115

• Єдиний спосіб реєстрації клієнта «червоне дерево»У Microsft® DNS модифікує вашу мережеву карту, як зазначеноó на попередньому зображенні, тобто явно зазначивши, що: суфікс DNS для з'єднання - це mordor.fan, що він реєструє адресу з'єднання в DNS і використовує оголошений суфікс DNS при реєстрації з'єднання.

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Використання сервера домену: Ім'я: 10.10.10.3 Адреса: 10.10.10.3 # 53 Псевдоніми: caoba.mordor.fan має адресу 10.10.10.115

buzz @ sysadmin: ~ $ host -t A червоне дерево.mordor.fan
mahogany.mordor.fan має адресу 10.10.10.115

Давайте змінимо назву з "червоне дерево" на "кедр"

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.3
Використання сервера домену: Ім'я: 10.10.10.3 Адреса: 10.10.10.3 # 53 Псевдоніми: Хост caoba.mordor.fan не знайдено: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t До cedar.mordor.fan 10.10.10.3
Використання сервера домену: Ім'я: 10.10.10.3 Адреса: 10.10.10.3 # 53 Псевдоніми: cedro.mordor.fan має адресу 10.10.10.115

buzz @ sysadmin: ~ $ host -t A mahogany.mordor.fan 10.10.10.5
Використання сервера домену: Ім'я: 10.10.10.5 Адреса: 10.10.10.5 # 53 Псевдоніми: Хост caoba.mordor.fan не знайдено: 3 (NXDOMAIN)

buzz @ sysadmin: ~ $ host -t До cedar.mordor.fan 10.10.10.5
Використання сервера домену: Ім'я: 10.10.10.5 Адреса: 10.10.10.5 # 53 Псевдоніми: cedro.mordor.fan має адресу 10.10.10.115

І все нормально, оскільки клієнти Microsoft® та Microsoft® DNS люблять бути.

Давайте працюватимемо з Microsoft® DHCP та Microsoft® DNS

Шановні читачі, ця глава виходить за рамки блогу, присвяченого вільному програмному забезпеченню. Зверніться до довідки Microsoft®. Вони не вірять ?. 😉

Висновки

Існує кілька способів роботи з Microsoft® DNS, коли ми змушуємо його співіснувати в мережі МСП із Dnsmasq. Серед них ми згадаємо лише таке:

• Повністю зупиніть службу Microsoft® DNS на комп'ютері, де вона працює, вказавши згодом, що запуск служби вимкнено. Зніміть прапорець у конфігурації мережевої карти кожного клієнта Microsoft®, щоб зареєструвати адресу з'єднання в DNS. Видалити з файлу /etc/dnsmasq.conf Директива server = / mordor.fan / 10.10.10.3. примітки:
  • Навіть якщо запити про записи не дають відповіді SOA y NS, мережа працюватиме коректно, а також об’єднання різних клієнтів - Microsoft® та Linux– із доменом Active Directory®.
  • Ця перевага полягає в тому, що в локальній мережі малого та середнього бізнесу буде лише один сервер доменних імен - чоловічий чоловічий - і це буде Dnsmasq. ;-). З іншого боку, усувається можливість невідповідності записів DNS, що зберігаються в Microsoft® DNS, і записів, доступних через Dnsmasq.
• Залиште Microsoft® DNS запущеним, щоб відповідати лише на запити DNS щодо записів SOA та NS. Увагаs:
  • Змініть конфігурацію мережевої карти кожного клієнта Windows, знявши прапорець Зареєструвати адресу з'єднання в DNS.
  • Ми думаємо що це рішення є марною тратою ресурсів.
• Налаштуйте служби, як ми бачили у цій статті, яка показує рішення, яке більше подобається філософії Microsoft® - не FreeBSD / Linux - Ok?

Резюме

• Пропозиція Microsoft® DNS дуже закрита. Це не залишає місця для інших рішень, які не відповідають його герметичній філософії.
• Мати-природа вчить нас, що ми існуємо в різноманітному Всесвіті. Звичайна річ - це змішана локальна мережа, яка рухається до вільного програмного забезпечення, багата життям та різноманітністю.
• Здається, що для Microsoft® клієнти, які не приєднуються до його філософії, є ізгоями, і тому їм не слід турбуватися про їх врахування.
• Як важко працювати з приватним програмним забезпеченням! Краще я витрачу трохи роботи на налаштування вільного програмного забезпечення і буду по-справжньому вільним, блін!

"Найкращий критерій істини - це практика".