BIND và Active Directory® - Mạng SME

Chỉ số chung của bộ truyện: Mạng máy tính cho doanh nghiệp vừa và nhỏ: Giới thiệu

Xin chào các bạn!. Mục tiêu chính của bài viết này là chỉ ra cách chúng ta có thể tích hợp dịch vụ DNS dựa trên BIND9 trong mạng Microsoft, rất phổ biến ở nhiều doanh nghiệp vừa và nhỏ.

Nó phát sinh từ yêu cầu chính thức của một người bạn sống ở La Tierra del Fuego -Người Fuegian- chuyên về Mạng Microsoft® - Bao gồm chứng chỉ- để hướng dẫn bạn trong phần này của quá trình chuyển đổi máy chủ của bạn sang Linux. Các chi phí của ủng hộ Kỹ thuật viên trả tiền cho Microsoft® đã Không thể chịu được cho Công ty mà anh ta làm việc và anh ta là Cổ đông Chính của anh ta.

Bạn tôi Người Fuegian có khiếu hài hước tuyệt vời, và kể từ khi anh ấy xem loạt ba phim «Chúa tể của những chiếc nhẫn»Anh ấy bị quyến rũ bởi nhiều tên của các nhân vật đen tối của mình. Vì vậy, bạn đọc, đừng ngạc nhiên bởi tên miền và máy chủ của bạn.

Đối với những người mới tham gia chủ đề này và trước khi tiếp tục đọc, chúng tôi khuyên bạn nên đọc và nghiên cứu ba bài viết trước trên Mạng SME:

• DNS và DHCP trong openSUSE 13.2 "Harlequin"
• DNS và DHCP trên CentOS 7
• DNS và DHCP trong Debian 8 "Jessie"

Nó giống như xem ba trong bốn phần của «Thế giới ngầm»Được xuất bản cho đến ngày nay, và đây là lần thứ tư.

Thông số chung

Sau vài lần trao đổi qua e-mail, cuối cùng tôi đã rõ về các thông số chính của mạng hiện tại của bạn, đó là:

Tên miền mordor.fan Mạng LAN 10.10.10.0/24 ========================================= ======================================== Mục đích Địa chỉ IP Máy chủ (Máy chủ có HĐH Windows) =================================================== ============================ sauron.mordor.fan. 10.10.10.3 Active Directory® 2008 SR2 mamba.mordor.fan. 10.10.10.4 Máy chủ tệp Windows darklord.mordor.fan. 10.10.10.6 Proxy, cổng vào và tường lửa trên Kerios troll.mordor.fan. 10.10.10.7 Blog dựa trên ... không thể nhớ shadowftp.mordor.fan. 10.10.10.8 Máy chủ FTP blackelf.mordor.fan. 10.10.10.9 Dịch vụ e-mail đầy đủ blackspider.mordor.fan. 10.10.10.10 Dịch vụ WWW palantir.mordor.fan. 10.10.10.11 Trò chuyện trên Openfire dành cho Windows

Tôi đã xin phép Người Fuegian để đặt càng nhiều Bí danh nếu cần để giải tỏa tâm trí của tôi và đã cho phép tôi:

CNAME thực ============================== Sauron ad-dc mamba fileserver darklord proxyweb troll blog shadowftp ftpserver blackelf mail blackspider www palantir openfire

Tôi đã khai báo tất cả các bản ghi DNS quan trọng trong quá trình cài đặt Active Directory Windows 2008 mà tôi buộc phải triển khai để hướng dẫn tôi tạo bài đăng này.

Giới thiệu về bản ghi Active Directory DNS SRV

Sổ đăng ký SRV o Bộ định vị dịch vụ - được sử dụng rộng rãi trong Microsoft Active Directory - được định nghĩa trong Yêu cầu nhận xét RFC 2782. Chúng cho phép vị trí của một dịch vụ dựa trên giao thức TCP / IP thông qua một truy vấn DNS. Ví dụ: một khách hàng trên mạng Microsoft có thể xác định vị trí của Bộ điều khiển miền - Bộ điều khiển miền cung cấp dịch vụ LDAP qua giao thức TCP trên cổng 389 thông qua một truy vấn DNS.

Đó là điều bình thường trong Rừng - rừngvà Cây - Cây của một Mạng Microsoft lớn có một số Bộ điều khiển miền. Bằng cách sử dụng các bản ghi SRV trong các Vùng khác nhau tạo nên Không gian Tên miền của Mạng đó, chúng tôi có thể duy trì Danh sách Máy chủ cung cấp các dịch vụ nổi tiếng tương tự, được sắp xếp theo thứ tự ưu tiên theo giao thức truyền tải và cổng của từng may chủ.

Trong Yêu cầu nhận xét RFC 1700 Các Tên Tượng trưng Chung cho các Dịch vụ Nổi tiếng được định nghĩa - Dịch vụ nổi tiếngvà các tên chẳng hạn như «_telnet","_smtp"Cho dịch vụ telnet y SMTP. Nếu một tên tượng trưng không được xác định cho một Dịch vụ Nổi tiếng, tên địa phương hoặc tên khác có thể được sử dụng tùy theo sở thích của người dùng.

Mục đích của mỗi lĩnh vực «đặc biệt»Được sử dụng trong khai báo Bản ghi Tài nguyên SRV như sau:

• miền: "Pdc._msdcs.mordor.fan.«. Tên DNS của dịch vụ mà bản ghi SRV tham chiếu đến. Tên DNS trong ví dụ có nghĩa là-nhiều hơn hoặc ít hơn- Bộ điều khiển miền chính của khu vực _msdcs.mordor.fan.
• Dịch vụ: "_Ldap". Tên tượng trưng của dịch vụ được cung cấp được xác định theo Yêu cầu nhận xét RFC 1700.
• Nghị định thư: "_Tcp". Cho biết loại giao thức truyền tải. Thông thường có thể lấy các giá trị _tcp o _udp, mặc dù - và trên thực tế - bất kỳ loại giao thức vận tải nào được chỉ ra trong Yêu cầu nhận xét RFC 1700. Ví dụ, đối với một dịch vụ trò chuyện trên mạng dựa trên giao thức XMPP, trường này sẽ có giá trị là _xmpp.
• Ưu tiên'0«. Khai báo mức độ ưu tiên hoặc ưu tiên cho Máy chủ cung cấp dịch vụ này mà chúng ta sẽ xem sau. Các truy vấn DNS của khách hàng về dịch vụ được xác định bởi bản ghi SRV này, khi nhận được phản hồi thích hợp, sẽ cố gắng liên hệ với máy chủ lưu trữ sẵn có đầu tiên có số thấp nhất được liệt kê trong trường. Ưu tiên. Phạm vi giá trị mà trường này có thể nhận là 0 các 65535.
• Trọng lượng máy'100«. Có thể được sử dụng kết hợp với Ưu tiên để cung cấp cơ chế cân bằng tải khi có một số máy chủ cung cấp cùng một dịch vụ. Phải có một bản ghi SRV tương tự cho mỗi máy chủ trong tệp Zone, với tên của nó được khai báo trong trường Máy chủ cung cấp dịch vụ này. Trước các máy chủ có giá trị bằng nhau trong trường Ưu tiên, giá trị trường Trọng lượng máy nó có thể được sử dụng như một mức độ ưu tiên bổ sung để có được lựa chọn máy chủ chính xác để cân bằng tải. Phạm vi giá trị mà trường này có thể nhận là 0 các 65535. Nếu không yêu cầu cân bằng tải, chẳng hạn như trong trường hợp của một máy chủ, bạn nên gán giá trị 0 để làm cho hồ sơ SRV dễ đọc hơn.
• Số cổng - Cổng'389«. Số cổng trong Máy chủ cung cấp dịch vụ này cung cấp dịch vụ được chỉ ra trong trường Dịch vụ. Số cổng được đề xuất cho từng loại Dịch vụ Nổi tiếng được chỉ định trên Yêu cầu nhận xét RFC 1700, mặc dù nó có thể nhận một giá trị giữa 0 và 65535.
• Máy chủ cung cấp dịch vụ này - Mục tiêu'sauron.mordor.fan.«. Chỉ định FQDN xác định rõ ràng chủ nhà cung cấp dịch vụ được chỉ ra bởi hồ sơ CHXHCNVN. Một loại bản ghi «A»Trong không gian tên miền cho mỗi FQDN từ máy chủ hoặc chủ nhà cung cấp dịch vụ. Đơn giản hơn, một bản ghi loại A trong (các) vùng trực tiếp.
  • Lưu ý:
    Để chỉ ra một cách có thẩm quyền rằng dịch vụ được chỉ định bởi bản ghi SRV không được cung cấp trên máy chủ này, một (.) điểm.

Chúng tôi chỉ muốn nhắc lại rằng hoạt động chính xác của mạng hoặc Active Directory® chủ yếu dựa vào hoạt động chính xác của Dịch vụ tên miền..

Bản ghi DNS Active Directory

Để tạo Vùng của Máy chủ DNS mới dựa trên BIND, chúng ta phải lấy tất cả các bản ghi DNS từ Active Directory®. Để làm cho cuộc sống dễ dàng hơn, chúng tôi đến với nhóm sauron.mordor.fan -Active Directory® 2008 SR2- và trong Bảng điều khiển quản trị DNS, chúng tôi kích hoạt Chuyển vùng - trực tiếp và nghịch đảo- cho các vùng chính được khai báo trong loại dịch vụ này, đó là:

• _msdcs.mordor.fan
• mordor.fan
• 10.10.10.in-addr.harp

Khi bước trước đó đã được thực hiện và tốt nhất là từ máy tính Linux có địa chỉ IP nằm trong phạm vi của mạng con được Mạng Windows sử dụng, chúng tôi thực hiện:

buzz @ sysadmin: ~ $ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> tạm thời /rrs._msdcs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
buzz @ sysadmin: ~ $ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa

• Nhớ lại từ các bài viết trước rằng địa chỉ IP của thiết bị sysadmin.desdelinux.cái quạt nó 10.10.10.1 hoặc 192.168.10.1.

Trong ba lệnh trước, chúng ta có thể loại bỏ tùy chọn 10.10.10.3 –hỏi máy chủ DNS với địa chỉ đó- nếu chúng tôi khai báo trong tệp / Etc / resolv.conf tới IP máy chủ sauron.mordor.fan:

buzz@sysadmin:~$ cat /etc/resolv.conf # Được tạo bởi tìm kiếm NetworkManager desdelinuxmáy chủ tên .fan 192.168.10.5 máy chủ tên 10.10.10.3

Sau khi chỉnh sửa hết sức cẩn thận, tương ứng với bất kỳ tệp vùng nào trong BIND, chúng tôi sẽ thu được dữ liệu sau:

Bản ghi RR từ vùng gốc _msdcs.mordor.fan

buzz @ sysadmin: ~ $ cat temp / rrs._msdcs.mordor.fan 
; Liên quan đến SOA và NS _msdcs.mordor.fan. 3600 TRONG SOA sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 3600 _msdcs.mordor.fan. 3600 TẠI NS sauron.mordor.fan. ; ; DANH MỤC TOÀN CẦU gc._msdcs.mordor.fan. 600 TRONG A 10.10.10.3; ; Bí danh -trong cơ sở dữ liệu LDAP đã sửa đổi và riêng tư của Active Directory- của SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 TRONG CNAME sauron.mordor.fan. ; ; LDAP được sửa đổi và riêng tư của Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS được sửa đổi và riêng tư của Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Bản ghi RRs từ mordor.fan vùng ban đầu

buzz @ sysadmin: ~ $ cat temp / rrs.mordor.fan 
; Liên quan đến SOA, NS, MX và bản ghi A mà nó ánh xạ; Tên miền với IP của SAURON; Những thứ từ một Active Directory mordor.fan. 3600 TRONG SOA sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 86400 3600 mordor.fan. 600 TRONG A 10.10.10.3 mordor.fan. 3600 TẠI NS sauron.mordor.fan. mordor.fan. 3600 IN MX 10 blackelf.mordor.fan. _msdcs.mordor.fan. 3600 TẠI NS sauron.mordor.fan. ; ; Cũng quan trọng A ghi lại DomainDnsZones.mordor.fan. 600 TRONG A 10.10.10.3 ForestDnsZones.mordor.fan. 600 TRONG A 10.10.10.3; ; DANH MỤC TOÀN CẦU _gc._tcp.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. ; ; LDAP đã sửa đổi và riêng tư của Active Directory _ldap._tcp.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS được sửa đổi và riêng tư của Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 100 464 sauron.mordor.fan. ; ; Bản ghi A với IP cố định -> Máy chủ blackelf.mordor.fan. 3600 TRONG A 10.10.10.9 blackspider.mordor.fan. 3600 TRONG A 10.10.10.10 darklord.mordor.fan. 3600 TRONG A 10.10.10.6 mamba.mordor.fan. 3600 TRONG A 10.10.10.4 palantir.mordor.fan. 3600 TRONG A 10.10.10.11 sauron.mordor.fan. 3600 TRONG A 10.10.10.3 shadowftp.mordor.fan. 3600 TRONG MỘT 10.10.10.8 troll.mordor.fan. 3600 TRONG A 10.10.10.7; ; CNAME ghi lại ad-dc.mordor.fan. 3600 TRONG CNAME sauron.mordor.fan. blog.mordor.fan. 3600 TRONG CNAME troll.mordor.fan. fileserver.mordor.fan. 3600 TRONG CNAME mamba.mordor.fan. ftpserver.mordor.fan. 3600 TRONG CNAME shadowftp.mordor.fan. mail.mordor.fan. 3600 TRONG CNAME balckelf.mordor.fan. openfire.mordor.fan. 3600 TRONG CNAME palantir.mordor.fan. proxy.mordor.fan. 3600 TRONG CNAME darklord.mordor.fan. www.mordor.fan. 3600 TRONG CNAME blackspider.mordor.fan.

Bản ghi RR từ vùng gốc 10.10.10.in-addr.arpa

buzz @ sysadmin: ~ $ cat temp / rrs.10.10.10.in-addr.arpa 
; Liên quan đến SOA và NS 10.10.10.in-addr.arpa. 3600 TRONG SOA sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400 3600 10.10.10.in-addr.arpa. 3600 TẠI NS sauron.mordor.fan. ; ; Bản ghi PTR 10.10.10.10.in-addr.arpa. 3600 IN PTR blackspider.mordor.fan. 11.10.10.10.in-addr.arpa. 3600 IN PTR palantir.mordor.fan. 3.10.10.10.in-addr.arpa. 3600 IN PTR sauron.mordor.fan. 4.10.10.10.in-addr.arpa. 3600 IN PTR mamba.mordor.fan. 5.10.10.10.in-addr.arpa. 3600 IN PTR dnslinux.mordor.fan. 6.10.10.10.in-addr.arpa. 3600 IN PTR darklord.mordor.fan. 7.10.10.10.in-addr.arpa. 3600 TRONG PTR troll.mordor.fan. 8.10.10.10.in-addr.arpa. 3600 IN PTR shadowftp.mordor.fan. 9.10.10.10.in-addr.arpa. 3600 IN PTR blackelf.mordor.fan.

Cho đến thời điểm này, chúng tôi có thể nghĩ rằng chúng tôi có dữ liệu cần thiết để tiếp tục trong cuộc phiêu lưu của mình, không phải là không quan sát trước TTL và các dữ liệu khác mà kết quả đầu ra và quan sát trực tiếp DNS của Microsft® Active Directory® 2008 SR2 64 bit cung cấp cho chúng tôi theo cách rất ngắn gọn.

Hình ảnh của Trình quản lý DNS trong SAURON

Nhóm Dnslinux.mordor.fan.

Nếu chúng ta quan sát kỹ, đến địa chỉ IP 10.10.10.5 không có tên nào được chỉ định cho nó một cách chính xác để nó sẽ bị chiếm bởi tên của DNS mới dnslinux.mordor.fan. Để cài đặt cặp DNS và DHCP chúng ta có thể được hướng dẫn trong các bài viết DNS và DHCP trong Debian 8 "Jessie" y DNS và DHCP trên CentOS 7.

Hệ điều hành cơ bản

Bạn tôi Người FuegianNgoài việc là một chuyên gia thực sự về Microsoft® Windows - anh ấy còn có một số Chứng chỉ do công ty đó cấp - anh ấy đã đọc và thực hành một số bài báo về máy tính để bàn được xuất bản trên DesdeLinux., và anh ấy nói với tôi rằng anh ấy rõ ràng muốn có một giải pháp dựa trên Debian. 😉

Để làm hài lòng bạn, chúng tôi sẽ bắt đầu với một cài đặt mới, sạch sẽ của một máy chủ dựa trên Debian 8 "Jessie". Tuy nhiên, những gì chúng tôi sẽ viết tiếp theo là hợp lệ cho các bản phân phối CentOS và openSUSE mà chúng tôi đã đề cập trước đó. BIND và DHCP giống nhau trên bất kỳ bản phân phối nào. Các biến thể nhẹ được giới thiệu bởi những người bảo trì gói trong mỗi bản phân phối.

Chúng tôi sẽ thực hiện cài đặt như được chỉ ra trong DNS và DHCP trong Debian 8 "Jessie", chú ý sử dụng IP 10.10.10.5 và mạng 10.10.10.0/24., ngay cả trước khi định cấu hình BIND.

Chúng tôi cấu hình BIND theo kiểu Debian

/etc/bind/name.conf

Tập tin /etc/bind/name.conf chúng tôi để nó như nó được cài đặt.

/etc/bind/name.conf.options

Tập tin /etc/bind/name.conf.options nên để lại nội dung sau:

root @ dnslinux: ~ # cp /etc/bind/name.conf.options /etc/bind/name.conf.options.original

root @ dnslinux: ~ # nano /etc/bind/name.conf.options
tùy chọn {thư mục "/ var / cache / bind"; // Nếu có tường lửa giữa bạn và máy chủ định danh mà bạn muốn // nói chuyện, bạn có thể cần sửa tường lửa để cho phép nhiều // cổng nói chuyện. Xem http://www.kb.cert.org/vuls/id/800113 // Nếu ISP của bạn cung cấp một hoặc nhiều địa chỉ IP cho máy chủ định danh // ổn định, bạn có thể muốn sử dụng chúng làm trình chuyển tiếp. // Bỏ ghi chú khối sau và chèn các địa chỉ thay thế // trình giữ chỗ của all-0. // người chuyển tiếp {// 0.0.0.0; //}; // ================================================= ==================== $ // Nếu BIND ghi lại các thông báo lỗi về việc khóa gốc sắp hết hạn, // bạn sẽ cần cập nhật các khóa của mình. Xem https://www.isc.org/bind-keys // ========================================== ================================== $

    // Chúng tôi không muốn DNSSEC
        dnssec-enable không;
        //dnssec-xác thực tự động;

        auth-nxdomain không; # tuân theo RFC1035

 // Chúng tôi không cần lắng nghe địa chỉ IPv6
        // nghe-on-v6 {bất kỳ; }
    nghe-on-v6 {không có; };

 // Để kiểm tra từ localhost và sysadmin
    // thông qua // đào mordor.fan axfr // đào 10.10.10.in-addr.arpa axfr // đào _msdcs.mordor.fan axfr // Chúng tôi không có DNS Slave ... cho đến bây giờ
 cho phép-chuyển giao {localhost; 10.10.10.1; };
};

// Ghi nhật ký BIND
ghi nhật ký {

        truy vấn kênh {
        tệp "/var/log/name/queries.log" phiên bản 3 kích thước 1m;
        thông tin mức độ nghiêm trọng;
        thời gian in có;
        in-mức độ nghiêm trọng có;
        thể loại in có;
        };

        truy vấn kênh-lỗi {
        tệp "/var/log/name/query-error.log" phiên bản 3 kích thước 1m;
        thông tin mức độ nghiêm trọng;
        thời gian in có;
        in-mức độ nghiêm trọng có;
        thể loại in có;
        };

                                
truy vấn danh mục {
         truy vấn;
         };

lỗi truy vấn danh mục {
         truy vấn-lỗi;
         };

};

• Chúng tôi giới thiệu việc ghi lại nhật ký BIND như một NUEVO xuất hiện trong loạt bài báo về chủ đề này. Chúng tôi tạo ra lmột thư mục và các tệp cần thiết cho Logging của BIND:

root @ dnslinux: ~ # mkdir / var / log / đã đặt tên
root @ dnslinux: ~ # touch /var/log/name/queries.log
root @ dnslinux: ~ # touch /var/log/name/query-error.log
root @ dnslinux: ~ # chown -R bind: bind / var / log / names

Chúng tôi kiểm tra cú pháp của các tệp đã định cấu hình

root @ dnslinux: ~ # name-checkconf 
root @ dnslinux: ~ #

/etc/bind/name.conf.local

Chúng tôi tạo tệp /etc/bind/zones.rfcFreeBSD với nội dung tương tự như được chỉ ra trong DNS và DHCP trong Debian 8 "Jessie".

root @ dnslinux: ~ # nano /etc/bind/zones.rfcFreeBSD

Tập tin /etc/bind/name.conf.local nên để lại nội dung sau:

// // Thực hiện bất kỳ cấu hình cục bộ nào tại đây // // Xem xét thêm các vùng 1918 vào đây, nếu chúng không được sử dụng trong // tổ chức của bạn
bao gồm "/etc/bind/zones.rfc1918"; bao gồm "/etc/bind/zones.rfcFreeBSD";

vùng "mordor.fan" {loại chủ; tập tin "/var/lib/bind/db.mordor.fan"; }; vùng "10.10.10.in-addr.arpa" {gõ chính; tập tin "/var/lib/bind/db.10.10.10.in-addr.arpa"; };

vùng "_msdcs.mordor.fan" {loại chính;
 tên séc bỏ qua; tập tin "/etc/bind/db._msdcs.mordor.fan"; } root @ dnslinux: ~ # name-checkconf
root @ dnslinux: ~ #

Tệp vùng mordor.fan

root @ dnslinux: ~ # nano /var/lib/bind/db.mordor.fan
$ TTL 3H @ TRONG SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; nối tiếp 1D; làm mới 1H; thử lại 1W; hết hạn 3H); tối thiểu hoặc; Thời gian tồn tại của bộ nhớ đệm âm;
; RẤT CẨN THẬN CÁC HỒ SƠ SAU ĐÂY
@ TRONG NS dnslinux.mordor.fan.
@ TRONG A 10.10.10.5
@ TRONG MX 10 blackelf.mordor.fan. @ TRONG TXT "Chào mừng bạn đến với The Dark Lan of Mordor";
_msdcs.mordor.fan. TRONG NS dnslinux.mordor.fan.
;
dnslinux.mordor.fan. TRONG A 10.10.10.5
; HÃY KẾT THÚC RẤT KỸ VỚI CÁC HỒ SƠ SAU ĐÂY;
DomainDnsZones.mordor.fan. TRONG 10.10.10.3 ForestDnsZones.mordor.fan. TRONG A 10.10.10.3; ; DANH MỤC TOÀN CẦU _gc._tcp.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. _gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan. ; ; LDAP đã sửa đổi và riêng tư của Active Directory _ldap._tcp.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. _ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan. ; ; KERBEROS được sửa đổi và riêng tư của Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kerberos._tcp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._tcp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. _kerberos._udp.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan. _kpasswd._udp.mordor.fan. 600 IN SRV 0 0 464 sauron.mordor.fan. ; ; Bản ghi có IP cố định -> máy chủ Blackelf.mordor.fan. TRONG A 10.10.10.9 blackspider.mordor.fan. TRONG A 10.10.10.10 darklord.mordor.fan. TRONG A 10.10.10.6 mamba.mordor.fan. TRONG A 10.10.10.4 palantir.mordor.fan. TRONG A 10.10.10.11
sauron.mordor.fan. TRONG A 10.10.10.3
shadowftp.mordor.fan. TRONG MỘT 10.10.10.8 troll.mordor.fan. TRONG A 10.10.10.7; ; CNAME ghi lại ad-dc.mordor.fan. TRONG CNAME sauron.mordor.fan. blog.mordor.fan. TRONG CNAME troll.mordor.fan. fileserver.mordor.fan. TRONG CNAME mamba.mordor.fan. ftpserver.mordor.fan. TRONG CNAME shadowftp.mordor.fan. mail.mordor.fan. TRONG CNAME balckelf.mordor.fan. openfire.mordor.fan. TRONG CNAME palantir.mordor.fan. proxy.mordor.fan. TRONG CNAME darklord.mordor.fan. www.mordor.fan. TRONG CNAME blackspider.mordor.fan.

root @ dnslinux: ~ # names-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
vùng mordor.fan/IN: nạp nối tiếp 1 OK

Thơi gian TTL 600 của tất cả các thanh ghi SRV, chúng tôi sẽ giữ chúng trong trường hợp chúng tôi cài đặt Slave BIND trong thời gian sắp tới. Các bản ghi đó đại diện cho các dịch vụ Active Directory® chủ yếu đọc dữ liệu từ cơ sở dữ liệu LDAP của bạn. Do cơ sở dữ liệu đó thay đổi thường xuyên, thời gian đồng bộ hóa phải được giữ ngắn, trong lược đồ DNS Master - Slave. Theo triết lý của Microsoft được quan sát từ Active Directory 2000 đến 2008, giá trị 600 được duy trì cho các loại bản ghi SRV.

Các TTL của các máy chủ có IP cố định, chúng có thời gian khai báo trong SOA là 3 giờ.

Tệp Vùng 10.10.10.in-addr.arpa

root @ dnslinux: ~ # nano /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ TRONG SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; nối tiếp 1D; làm mới 1H; thử lại 1W; hết hạn 3H); tối thiểu hoặc; Thời gian tồn tại của bộ nhớ đệm âm; @ TRONG NS dnslinux.mordor.fan. ; 10 IN PTR blackspider.mordor.fan. 11 TRONG PTR palantir.mordor.fan. 3 TRONG PTR sauron.mordor.fan. 4 TRONG PTR mamba.mordor.fan. 5 TRONG PTR dnslinux.mordor.fan. 6 TRONG PTR darklord.mordor.fan. 7 TRONG PTR troll.mordor.fan. 8 TRONG PTR shadowftp.mordor.fan. 9 TRONG PTR blackelf.mordor.fan.

root @ dnslinux: ~ # names-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
vùng 10.10.10.in-addr.arpa/IN: nạp nối tiếp 1 OK

Tệp vùng _msdcs.mordor.fan

Hãy tính đến những gì được đề xuất trong tệp /usr/share/doc/bind9/README.Debian.gz Giới thiệu về vị trí của các tệp của Vùng chính không được cập nhật động bởi DHCP.

root @ dnslinux: ~ # nano /etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ TRONG SOA dnslinux.mordor.fan. root.dnslinux.mordor.fan. (1; nối tiếp 1D; làm mới 1H; thử lại 1W; hết hạn 3H); tối thiểu hoặc; Thời gian tồn tại của bộ nhớ đệm âm; @ TRONG NS dnslinux.mordor.fan. ; ; ; DANH MỤC TOÀN CẦU gc._msdcs.mordor.fan. 600 TRONG A 10.10.10.3; ; Bí danh -trong cơ sở dữ liệu LDAP đã sửa đổi và riêng tư của Active Directory- của SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 TRONG CNAME sauron.mordor.fan. ; ; LDAP được sửa đổi và riêng tư của Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan. _ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan. ; ; KERBEROS được sửa đổi và riêng tư của Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan. _kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Chúng tôi kiểm tra cú pháp và chúng tôi có thể bỏ qua lỗi mà nó trả về, vì trong cấu hình của Vùng này trong tệp /etc/bind/name.conf.local chúng tôi bao gồm tuyên bố tên séc bỏ qua;. Vùng sẽ được nạp chính xác bởi BIND.

root @ dnslinux: ~ # names-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: tên chủ sở hữu không hợp lệ (tên kiểm tra) khu vực _msdcs.mordor.fan/IN: đã tải nối tiếp 1 OK

root @ dnslinux: ~ # systemctl khởi động lại bind9.service 
root @ dnslinux: ~ # trạng thái systemctl bind9.service 
● bind9.service - Máy chủ tên miền BIND đã tải: đã tải (/lib/systemd/system/bind9.service; đã kích hoạt) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ names.conf Hoạt động: hoạt động (đang chạy) kể từ CN 2017-02-12 08:48:38 EST; 2 giây trước Docs: man: names (8) Process: 859 ExecStop = / usr / sbin / rndc stop (code = exited, status = 0 / SUCCESS) Main PID: 864 (names) CGroup: /system.slice/bind9.service └─864 / usr / sbin / có tên -f -u bind Ngày 12 tháng 08 48:38:864 dnslinux được đặt tên [3]: khu vực 6.efip1.arpa/IN: đã tải nối tiếp ngày 12 tháng 08 48 tháng 38 864:6:1 dnslinux có tên [12 ]: vùng befip08.arpa/IN: đã tải sê-ri ngày 48 tháng 38 864 tháng 0 6:1:12 dnslinux có tên [08]: vùng 48.efip38.arpa/IN: đã nạp sê-ri ngày 864 tháng 7 6 tháng 1 12:08:48 dnslinux có tên [38]: vùng 864.efip1.arpa/IN: đã tải nối tiếp ngày 12 tháng 08 48 tháng 38 864:1:12 dnslinux có tên [08]: vùng mordor.fan/IN: đã tải nối tiếp ngày 48 tháng 38 864 tháng 1 12:08:48 dnslinux có tên [38]: vùng mẫu .org / IN: đã tải nối tiếp ngày 864 tháng 1 12 tháng 08 48:38:864 dnslinux có tên [XNUMX]: khu vực _msdcs.mordor.fan/IN: đã tải nối tiếp ngày XNUMX tháng XNUMX ngày XNUMX tháng XNUMX XNUMX:XNUMX:XNUMX dnslinux có tên [XNUMX]: khu vực không hợp lệ / IN : đã tải nối tiếp ngày XNUMX tháng XNUMX XNUMX XNUMX:XNUMX:XNUMX dnslinux có tên [XNUMX]: tất cả các khu vực được tải
Ngày 12 tháng 08 48:38:864 dnslinux có tên [XNUMX]: chạy

Chúng tôi tham khảo ý kiến ​​BIND

Trước Sau khi cài đặt DHCP, chúng tôi phải thực hiện một loạt các kiểm tra, bao gồm cả việc tham gia máy khách Windows 7 vào miền mordor.fan được đại diện bởi Active Directory được cài đặt trên máy tính sauron.mordor.fan.

Điều đầu tiên chúng ta phải làm là dừng dịch vụ DNS trên máy tính sauron.mordor.fanvà khai báo trong giao diện mạng của bạn rằng từ bây giờ máy chủ DNS của bạn sẽ là 10.10.10.5 dnslinux.mordor.fan.

Trong bảng điều khiển của chính máy chủ sauron.mordor.fan chúng tôi thực hiện:

Microsoft Windows [Version 6.1.7600]
Bản quyền (c) 2009 Microsoft Corporation. Đã đăng ký Bản quyền.

C: \ Users \ Administrator> nslookup
Máy chủ mặc định: dnslinux.mordor.fan Địa chỉ: 10.10.10.5

> gc._msdcs
Máy chủ: dnslinux.mordor.fan Địa chỉ: 10.10.10.5 Tên: gc._msdcs.mordor.fan Địa chỉ: 10.10.10.3

> mordor.fan
Máy chủ: dnslinux.mordor.fan Địa chỉ: 10.10.10.5 Tên: mordor.fan Địa chỉ: 10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Máy chủ: dnslinux.mordor.fan Địa chỉ: 10.10.10.5 Tên: sauron.mordor.fan Địa chỉ: 10.10.10.3 Bí danh: 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> loại đặt = SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Máy chủ: dnslinux.mordor.fan Địa chỉ: 10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan Vị trí băng dịch vụ SRV: priority = 0 weight = 100 port = 88 svr hostname = Sauron.mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internet address = 10.10.10.3 dnslinux.mordor.fan internet address = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Máy chủ: dnslinux.mordor.fan Địa chỉ: 10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan Vị trí dịch vụ SRV: priority = 0 weight = 100 port = 389 svr hostname = sauron .mordor.fan _msdcs.mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internet address = 10.10.10.3 dnslinux.mordor.fan internet address = 10.10.10.5
> thoát

C: \ Users \ Administrator>

Truy vấn DNS được tạo từ sauron.mordor.fan đều đạt yêu cầu.

Bước tiếp theo sẽ là tạo một máy ảo khác có cài đặt Windows 7. Vì chúng tôi vẫn chưa cài đặt dịch vụ DHCP, chúng tôi sẽ đặt tên cho máy tính là «win7»Địa chỉ IP 10.10.10.251. Chúng tôi cũng tuyên bố rằng máy chủ DNS của bạn sẽ là 10.10.10.5 dnslinux.mordor.fanvà miền tìm kiếm sẽ là mordor.fan. Chúng tôi sẽ không đăng ký máy tính đó trong DNS vì chúng tôi cũng sẽ sử dụng nó để kiểm tra dịch vụ DHCP sau khi chúng tôi cài đặt nó.

Tiếp theo, chúng tôi mở một bảng điều khiển CMD và trong đó chúng tôi thực hiện:

Microsoft Windows [Version 6.1.7601]
Bản quyền (c) 2009 Microsoft Corporation. Đã đăng ký Bản quyền.

C: \ Users \ buzz> nslookup
Máy chủ mặc định: dnslinux.mordor.fan Địa chỉ: 10.10.10.5

> mordor.fan
Máy chủ: dnslinux.mordor.fan Địa chỉ: 10.10.10.5 Tên: mordor.fan Địa chỉ: 10.10.10.3

> loại đặt = SRV
> _ldap._tcp.DomainDnsZones
Máy chủ: dnslinux.mordor.fan Địa chỉ: 10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan Vị trí dịch vụ SRV: priority = 0 weight = 0 port = 389 svr hostname = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor Địa chỉ internet .fan sauron.mordor.fan = 10.10.10.3 dnslinux.mordor.fan địa chỉ internet = 10.10.10.5
> _kpasswd._udp
Máy chủ: dnslinux.mordor.fan Địa chỉ: 10.10.10.5 _kpasswd._udp.mordor.fan Vị trí dịch vụ SRV: priority = 0 weight = 0 port = 464 svr hostname = sauron.mordor.fan mordor.fan nameserver = dnslinux.mordor.fan Địa chỉ internet sauron.mordor.fan = 10.10.10.3 dnslinux.mordor.fan địa chỉ internet = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Máy chủ: dnslinux.mordor.fan Địa chỉ: 10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan Vị trí băng dịch vụ SRV: priority = 0 weight = 0 port = 389 svr hostname = sauron. mordor.fan mordor.fan nameserver = dnslinux.mordor.fan sauron.mordor.fan internet address = 10.10.10.3 dnslinux.mordor.fan internet address = 10.10.10.5
> ra

C: \ Users \ buzz>

Truy vấn DNS được thực hiện từ máy khách «win7»Cũng hài lòng.

Trong Active Directory, chúng tôi tạo người dùng «Saruman«, Với mục đích sử dụng nó khi tham gia ứng dụng khách win7 đến miền mordor.fan., sử dụng phương thức «ID mạng«, Sử dụng tên người dùng saruman@mordor.fan y admin@mordor.fan. Tham gia đã thành công và được chứng minh bằng ảnh chụp màn hình sau:

Giới thiệu về Cập nhật động trong Microsoft® DNS và BIND

Vì chúng tôi đã dừng dịch vụ DNS trong Active Directory® nên máy khách không thể thực hiện được «win7»Đăng ký tên và địa chỉ IP của bạn trong DNS đó. Ít hơn nhiều trong dnslinux.mordor.fan vì chúng tôi không đưa ra bất kỳ tuyên bố nào cho phép cập nhật cho bất kỳ lĩnh vực nào có liên quan.

Và đây là nơi mà cuộc chiến tốt với bạn tôi được hình thành Người Fuegian. Trong email đầu tiên của tôi về khía cạnh này, tôi đã nhận xét:

• Các bài báo của Microsoft về việc sử dụng BIND và Active Directory® khuyến nghị rằng, đặc biệt là Vùng Trực tiếp, được phép cập nhật -thâm nhập- trực tiếp bởi các máy khách Windows đã được tham gia vào miền Active Directory.
• Đó là lý do tại sao, theo mặc định, trong vùng DNS của Cập nhật động bảo mật Active Directory® được phép bởi các máy khách Windows đã tham gia vào miền Active Directory. Nếu họ không đoàn kết, họ không chịu hậu quả.
• DNS của Active Directory hỗ trợ các bản cập nhật động "Chỉ bảo mật", "Không an toàn và bảo mật" hoặc "Không", giống như nói KHÔNG có cập nhật hoặc Không có.
• Vâng thật đấy Microsoft Philosophy không đồng ý rằng khách hàng của họ sẽ KHÔNG cập nhật dữ liệu của họ trong (các) DNS của họ, nó sẽ không để ngỏ khả năng tắt cập nhật động trong (các) DNS của họ, trừ khi tùy chọn đó sẽ được để lại cho các mục đích ẩn hơn.
• Microsoft cung cấp "Bảo mật" để đổi lấy Bóng tối, như một đồng nghiệp và một người bạn đã vượt qua các khóa học Chứng chỉ Microsft® nói với tôi. Thật. Ngoài ra, El Fueguino đã xác nhận điều đó với tôi.
• Ví dụ, một ứng dụng khách có được địa chỉ IP thông qua DHCP được cài đặt trên máy UNIX® / Linux sẽ không thể phân giải địa chỉ IP của chính tên của nó cho đến khi bạn tham gia vào miền Active Directory, miễn là Microsoft® hoặc BIND được sử dụng làm DNS mà không cần cập nhật động bởi DHCP.
• Nếu tôi cài đặt DHCP trong chính Active Directory®, thì tôi phải khai báo rằng các Vùng được cập nhật bởi Microsoft® DHCP.
• Nếu chúng tôi định sử dụng BIND làm DNS cho mạng Windows, chúng tôi khuyên bạn nên cài đặt bộ đôi BIND-DHCP, sau đó sẽ tự động cập nhật BIND và vấn đề đã được kết luận.
• Trong thế giới của các mạng LAN trên UNIX® / Linux, kể từ khi các bản cập nhật động được phát minh trên BIND, chỉ DHCP của Mr.thâm nhập»Gửi tới Mrs. BIND với những cập nhật của cô ấy. Hãy thư giãn với thứ tự.
• Khi tôi khai báo trong khu vực mordor.fan ví dụ: cho phép-cập nhật {10.10.10.0/24; };, Bản thân BIND thông báo cho tôi khi khởi động hoặc khởi động lại nó rằng:

  • vùng 'mordor.fan' cho phép cập nhật theo địa chỉ IP, điều này không an toàn

• Trong thế giới UNIX® / Linux bất khả xâm phạm, sự hiểu biết về DNS như vậy đơn giản là không thể chấp nhận được.

Bạn có thể tưởng tượng phần còn lại của cuộc trao đổi với bạn của tôi Người Fuegian thông qua email, Trò chuyện Telegram, những cuộc điện thoại do anh ta trả tiền (tất nhiên rồi, tôi không có một kg cho điều đó), và thậm chí cả những tin nhắn qua những chú chim bồ câu vận chuyển trong thế kỷ XXI!

Anh ta thậm chí còn đe dọa không gửi cho tôi một đứa con trai cưng của anh ta, Iguana của anh ta «Petra»Rằng anh ấy đã hứa với tôi như một phần của khoản thanh toán. Ở đó tôi thực sự sợ hãi. Vì vậy, tôi bắt đầu lại, nhưng từ một góc độ khác.

• Active Directory "gần như" có thể đạt được với Samba 4, giải quyết khía cạnh này một cách thành thạo, cả khi chúng tôi sử dụng Internal DNS của nó hoặc BIND được biên dịch để hỗ trợ các vùng DLZ - Khu vực tải Dinamychoặc Khu vực được tải động.
• Nó tiếp tục bị như vậy: khi khách hàng có được địa chỉ IP thông qua DHCP được cài đặt trong khác Máy UNIX® / Linux, bạn sẽ không thể phân giải địa chỉ IP của tên mình cho đến khi nó được tham gia vào miền của Samba 4 AD-DC.
• Tích hợp bộ đôi BIND-DLZ và DHCP trên cùng một máy trong đó AD-DC Samba 4 đó là một công việc cho một chuyên gia thực sự.

Người Fuegian Anh ấy gọi tôi đến chương và hét vào mặt tôi: Chúng tôi KHÔNG nói về AD-DC Samba 4, nhưng Microsoft® Active Directory® !. Và tôi khiêm tốn trả lời rằng tôi rất vui với một phần của những bài báo sắp viết sau đây.

Đó là khi tôi nói với anh ấy rằng, quyết định cuối cùng về các bản cập nhật động của các máy khách trên mạng của anh ấy là do anh ấy tự nguyện. Rằng tôi sẽ chỉ cho anh ta tip được viết trước về cho phép-cập nhật {10.10.10.0/24; };, và không có gì hơn. Rằng tôi không chịu trách nhiệm về những gì gây ra từ sự lăng nhăng mà mỗi máy khách Windows - hoặc Linux - trong mạng của họ «sẽ thâm nhập»Với sự trừng phạt đối với BIND.

Nếu bạn biết, bạn của tôi, Reader rằng đó là điểm cuối của cuộc ẩu đả, bạn sẽ không tin điều đó. Bạn tôi Người Fuegian anh ấy đã chấp nhận giải pháp - và anh ấy sẽ gửi cho tôi con kỳ nhông «Pete«- điều đó bây giờ tôi chia sẻ với bạn.

Chúng tôi cài đặt và cấu hình DHCP

Để biết thêm chi tiết, hãy đọc DNS và DHCP trong Debian 8 "Jessie".

root @ dnslinux: ~ # aptitude install isc-dhcp-server

root @ dnslinux: ~ # nano / etc / default / isc-dhcp-server .... # Máy chủ DHCP (dhcpd) nên phục vụ các yêu cầu DHCP trên giao diện nào? # Tách biệt nhiều giao diện bằng dấu cách, ví dụ "eth0 eth1". INTERFACES = "eth0" root @ dnslinux: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
Kdhcp-key. + 157 + 29836

root @ dnslinux: ~ # cat Kdhcp-key. +157 + 29836.private
Định dạng khóa riêng tư: v1.3 Thuật toán: 157 (HMAC_MD5) Khóa: 3HT / bg / 6YwezUShKYofj5g == Bits: AAA = Đã tạo: 20170212205030 Xuất bản: 20170212205030 Kích hoạt: 20170212205030

root @ dnslinux: ~ # nano dhcp.key
key dhcp-key {giải thuật hmac-md5; bí mật "3HT / bg / 6YwezUShKYofj5g =="; };

root @ dnslinux: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root @ dnslinux: ~ # install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root @ dnslinux: ~ # nano /etc/bind/name.conf.local
// // Thực hiện bất kỳ cấu hình cục bộ nào tại đây // // Xem xét việc thêm các vùng 1918 vào đây, nếu chúng không được sử dụng trong // tổ chức của bạn bao gồm "/etc/bind/zones.rfc1918"; bao gồm "/etc/bind/zones.rfcFreeBSD";
// Đừng quên ... Tôi đã quên và trả giá bằng những sai lầm. ;-)
bao gồm "/etc/bind/dhcp.key";


vùng "mordor.fan" {loại chủ;
        cho phép-cập nhật {10.10.10.3; phím dhcp-key; }
        tập tin "/var/lib/bind/db.mordor.fan"; }; vùng "10.10.10.in-addr.arpa" {gõ chính;
        cho phép-cập nhật {10.10.10.3; phím dhcp-key; }
        tập tin "/var/lib/bind/db.10.10.10.in-addr.arpa"; } vùng "_msdcs.mordor.fan" {loại chủ; tên séc bỏ qua; tập tin "/etc/bind/db._msdcs.mordor.fan"; }

root @ dnslinux: ~ # name-checkconf 
root @ dnslinux: ~ #

root @ dnslinux: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style tạm thời; cập nhật ddns trên; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; bỏ qua các cập nhật của máy khách; có thẩm quyền; tùy chọn chuyển tiếp ip tắt; tên miền tùy chọn "mordor.fan"; bao gồm "/etc/dhcp/dhcp.key"; khu mordor.fan. {sơ cấp 127.0.0.1; phím dhcp-key; } vùng 10.10.10.in-addr.arpa. {sơ cấp 127.0.0.1; phím dhcp-key; } shared-network redlocal {subnet 10.10.10.0 netmask 255.255.255.0 {option router 10.10.10.1; tùy chọn subnet-mask 255.255.255.0; địa chỉ quảng bá tùy chọn 10.10.10.255; tùy chọn tên miền-máy chủ 10.10.10.5; tùy chọn netbios-tên-máy chủ 10.10.10.5; phạm vi 10.10.10.30 10.10.10.250; }} # KẾT THÚC dhcpd.conf

root @ dnslinux: ~ # dhcpd -t
Hiệp hội hệ thống Internet DHCP Server 4.3.1 Bản quyền 2004-2014 Internet Systems Consortium. Đã đăng ký Bản quyền. Để biết thông tin, vui lòng truy cập https://www.isc.org/software/dhcp/ Tệp cấu hình: /etc/dhcp/dhcpd.conf Tệp cơ sở dữ liệu: /var/lib/dhcp/dhcpd.leases Tệp PID: / var / run /dhcpd.pid

root @ dnslinux: ~ # systemctl khởi động lại bind9.service 
root @ dnslinux: ~ # trạng thái systemctl bind9.service 

root @ dnslinux: ~ # systemctl start isc-dhcp-server.service
root @ dnslinux: ~ # trạng thái systemctl isc-dhcp-server.service

Những gì liên quan đến Kiểm tra với khách hàngvà Sửa đổi thủ công các tệp Zone, chúng tôi để nó cho bạn, người bạn của độc giả, đọc trực tiếp từ DNS và DHCP trong Debian 8 "Jessie", và áp dụng nó vào điều kiện thực tế của bạn. Chúng tôi đã thực hiện tất cả các kiểm tra cần thiết và thu được kết quả khả quan. Tất nhiên, chúng tôi gửi một bản sao của tất cả chúng đến Người Fuegian. Sẽ không còn nữa!

Mẹo

Chung

• Hãy kiên nhẫn trước khi bắt đầu.
  
• Đầu tiên hãy cài đặt và cấu hình BIND. Kiểm tra mọi thứ và xem tất cả các bản ghi mà bạn đã khai báo trong mỗi tệp của ba vùng - hoặc vùng khác, cả từ Active Directory và từ chính máy chủ DNS trên Linux. Nếu có thể, từ một máy Linux chưa được tham gia vào miền, hãy thực hiện các truy vấn DNS cần thiết tới BIND.
  
• Tham gia một ứng dụng khách Windows có địa chỉ IP cố định vào miền hiện có và kiểm tra lại tất cả các cài đặt BIND từ ứng dụng khách Windows.
• Sau khi bạn chắc chắn rằng cấu hình BIND hoàn toàn mới của bạn là hoàn toàn chính xác, hãy liên doanh để cài đặt, cấu hình và khởi động dịch vụ DHCP.
• Trong trường hợp có sai sót, hãy lặp lại toàn bộ quy trình từ 0 XNUMX.
• Hãy cẩn thận với việc sao chép và dán! và các khoảng trắng còn lại trong mỗi dòng của tệp có tên.conf.xxxx
  
• Sau đó, anh ta không phàn nàn - ít hơn nhiều với người bạn Fuegian của tôi - rằng anh ta đã không được tư vấn đúng cách.

Lời khuyên khác

• Phân chia và chinh phục.
• Trong Mạng SME, an toàn hơn và có lợi hơn khi cài đặt BIND ủy quyền cho các Vùng LAN Nội bộ không lặp lại với bất kỳ máy chủ gốc nào: đệ quy không;.
• Trong Mạng SME nằm dưới Nhà cung cấp Truy cập Internet - ISP, có lẽ là các dịch vụ Proxy y SMTP họ cần phân giải tên miền trên Internet. Anh ta mực ống bạn có tùy chọn khai báo DNS bên ngoài hoặc không, trong khi trên máy chủ thư dựa trên sửa bài o MDaemon® Chúng tôi cũng có thể khai báo các máy chủ DNS mà chúng tôi sẽ sử dụng trong dịch vụ đó. Trong các trường hợp như thế này, nghĩa là các trường hợp không cung cấp dịch vụ cho Internet và thuộc Nhà cung cấp dịch vụ Internet, bạn có thể cài đặt BIND với Giao nhận trỏ đến DNS của ISPvà khai báo nó như là DNS phụ trong các máy chủ cần giải quyết các truy vấn bên ngoài tới mạng LAN, nếu không có thể khai báo chúng thông qua các tệp cấu hình của riêng chúng.
• Nếu bạn có một Vùng được ủy quyền thuộc toàn bộ trách nhiệm của bạnRồi một con gà trống gáy khác:
  • Cài đặt máy chủ DNS dựa trên NSD, theo định nghĩa là máy chủ DNS có thẩm quyền, đáp ứng các truy vấn từ các máy tính trên Internet. Để biết một số thông tin chương trình năng khiếu nsd. 😉 Hãy bảo vệ nó thật tốt với nhiều bức tường lửa khi cần thiết. Cả phần cứng và phần mềm. Nó sẽ là một DNS cho Internet và «cara»Chúng tôi không được cho nó với quần thấp. 😉
  • Vì tôi chưa bao giờ thấy mình trong trường hợp như thế này, có nghĩa là, hoàn toàn chịu trách nhiệm về Khu vực được ủy quyền, tôi sẽ phải suy nghĩ rất kỹ những gì nên đề xuất cho việc giải quyết các tên miền bên ngoài mạng LAN của chúng tôi cho các dịch vụ cần nó . Khách hàng mạng SME không thực sự cần nó. Tham khảo ý kiến ​​tài liệu chuyên ngành, hoặc một chuyên gia về những chủ đề này, vì tôi còn lâu mới trở thành một trong số họ. Nghiêm túc.
  • Đệ quy không tồn tại trên máy chủ Authoritarian. Được chứ?. Trong trường hợp ai đó tình cờ làm điều đó với BIND.
• Mặc dù chúng tôi chỉ định rõ ràng trong tệp /etc/dhcp/dhcpd.conf khai báo bỏ qua các cập nhật của máy khách;, nếu chúng tôi chạy trên bảng điều khiển máy tính dnslinux.mordor.fan thứ tự Journalctl -f, chúng ta sẽ thấy điều đó khi bắt đầu ứng dụng khách win7.mordor.fan chúng tôi nhận được các thông báo lỗi sau:

  • 12 tháng 16 55:41:900 dnslinux có tên [10.10.10.30]: client 58762 # XNUMX: cập nhật 'mordor.fan/IN' bị từ chối
    12 tháng 16 55:42:900 dnslinux có tên [10.10.10.30]: client 49763 # XNUMX: cập nhật 'mordor.fan/IN' bị từ chối
    12 tháng 16 56:23:900 dnslinux có tên [10.10.10.30]: client 63161 # XNUMX: cập nhật 'mordor.fan/IN' bị từ chối
    

  • Để loại bỏ các thông báo này, chúng ta phải đi đến các tùy chọn nâng cao của cấu hình card mạng và bỏ chọn tùy chọn «Đăng ký địa chỉ của kết nối này trong DNS«. Điều đó sẽ ngăn không cho khách hàng cố gắng tự đăng ký trong Linux DNS mãi mãi và kết thúc vấn đề. Rất tiếc, tôi không có bản sao Windows 7 bằng tiếng Tây Ban Nha. 😉
• Để tìm hiểu về tất cả các truy vấn nghiêm trọng - và điên rồ - mà máy khách Windows 7 thực hiện, hãy xem logqueries.log điều đó cho một cái gì đó chúng tôi khai báo nó trong cấu hình BIND. Thứ tự sẽ là:

  • root @ dnslinux: ~ # tail -f /var/log/name/queries.log

• Nếu bạn không cho phép máy khách của mình kết nối trực tiếp với Internet, thì tại sao bạn cần Máy chủ DNS gốc? Điều này sẽ làm giảm đáng kể đầu ra của lệnh Journalctl -f và từ máy chủ trước đó, nếu máy chủ DNS độc quyền của bạn cho Vùng nội bộ không kết nối trực tiếp với Internet, điều này rất được khuyến khích từ quan điểm bảo mật.

  root @ dnslinux: ~ # cp /etc/bind/db.root /etc/bind/db.root.original
  root @ dnslinux: ~ # cp / dev / null /etc/bind/db.root

• Nếu bạn không cần khai báo các máy chủ gốc, thì tại sao bạn cần Đệ quy - Đệ quy?

  root @ dnslinux: ~ # nano /etc/bind/name.conf.options
  tùy chọn {
   ....
   đệ quy không;
   ....
  };

Lời khuyên cụ thể mà tôi vẫn chưa rõ lắm

El người đàn ông dhcpd.conf cho chúng tôi biết những điều sau trong số nhiều -nhiều- điều khác:

        Tuyên bố cập nhật-tối ưu hóa

            cờ cập nhật-tối ưu hóa;

            Nếu thông số cập nhật-tối ưu hóa là sai đối với một máy khách nhất định, máy chủ sẽ cố gắng cập nhật DNS cho máy khách đó mỗi khi máy khách gia hạn hợp đồng thuê, thay vì chỉ cố cập nhật khi nó có vẻ cần thiết. Điều này sẽ cho phép DNS khắc phục các mâu thuẫn cơ sở dữ liệu dễ dàng hơn, nhưng cái giá phải trả là máy chủ DHCP phải thực hiện nhiều cập nhật DNS hơn. Chúng tôi khuyên bạn nên đọc tùy chọn này được bật, đây là tùy chọn mặc định. Tùy chọn này chỉ ảnh hưởng đến hoạt động của lược đồ cập nhật DNS tạm thời và không ảnh hưởng đến lược đồ cập nhật DNS đặc biệt. Nếu tham số này không được chỉ định hoặc đúng, máy chủ DHCP sẽ chỉ cập nhật khi thông tin máy khách thay đổi, máy khách nhận được hợp đồng thuê khác hoặc hợp đồng thuê của máy khách hết hạn.

Bản dịch hoặc phiên dịch chính xác hơn hay ít hơn là do bạn, bạn đọc thân mến.

Cá nhân tôi, nó đã xảy ra với tôi - và nó đã xảy ra trong quá trình thực hiện bài viết này - khi tôi liên kết BIND với Active Directory®, nó là từ Microsft® hoặc Samba 4, nếu tôi thay đổi tên của máy tính khách đã đăng ký miền Active Directory® hoặc của QUẢNG CÁO-DC của Samba 4, nó giữ tên cũ và địa chỉ IP trong Direct Zone, chứ không phải ngược lại, nó được cập nhật chính xác với tên mới. Nói cách khác, tên cũ và mới được ánh xạ tới cùng một địa chỉ IP trong Direct Zone, trong khi ngược lại, chỉ tên mới xuất hiện. Để hiểu rõ về tôi, bạn phải tự mình thử.

Tôi nghĩ đó là một kiểu trả thù Người Fuegian -không phải với tôi, xin vui lòng- vì đã cố gắng chuyển dịch vụ của bạn sang Linux.

Tất nhiên tên cũ sẽ biến mất khi TTL 3600, hoặc thời gian mà chúng tôi đã khai báo trong cấu hình DHCP. Nhưng chúng tôi muốn nó biến mất ngay lập tức vì nó xảy ra trong BIND + DHCP không có Active Directory thông qua.

Giải pháp cho tình huống đó tôi đã tìm thấy bằng cách chèn câu lệnh cập nhật-tối ưu hóa sai; ở cuối đầu tệp /etc/dhcp/dhcpd.conf:

ddns-update-style tạm thời; cập nhật ddns trên; ddns-domainname "mordor.fan."; ddns-rev-domainname "in-addr.arpa."; bỏ qua các cập nhật của máy khách;
cập nhật-tối ưu hóa sai;

Nếu bạn đọc nào biết thêm về nó, xin vui lòng khai sáng cho tôi. Tôi sẽ đánh giá cao nó rất nhiều.

tóm lại

Chúng ta đã có rất nhiều niềm vui với chủ đề này, phải không? Không phải lo lắng vì chúng tôi có BIND hoạt động như một máy chủ DNS trong mạng Microsoft®, cung cấp tất cả các bản ghi SRV và phản hồi thích hợp với các truy vấn DNS được thực hiện cho chúng. Mặt khác, chúng tôi có một máy chủ DHCP cấp địa chỉ IP và tự động cập nhật các Vùng BIND một cách chính xác.

Nhưng chúng ta không thể yêu cầu ... vào lúc này.

Tôi hy vọng bạn của tôi Người Fuegian vui vẻ và hài lòng với bước đầu tiên trong quá trình chuyển sang Linux của bạn để giảm chi phí không thể chấp nhận được của Bộ phận Hỗ trợ Kỹ thuật Microsft®.

Lưu ý quan trọng

Tính cách "Người Fuegian»Là hoàn toàn hư cấu và là sản phẩm của trí tưởng tượng của tôi. Bất kỳ sự giống hay trùng hợp nào với người thật đều giống nhau: Sự trùng hợp ngẫu nhiên thuần túy về phía tôi. Tôi chỉ tạo ra nó để làm cho việc viết và đọc bài báo này thú vị một chút. Bây giờ nếu bạn có thể cho tôi biết rằng vấn đề DNS là tối,