BIND和ActiveDirectory®-中小企业网络

系列总索引： 中小企业计算机网络：简介

你好朋友！。 本文的主要目的是说明如何在Microsoft网络中集成基于BIND9的DNS服务，这在许多SME中非常常见。

它源于居住在La Tierra del Fuego的一位朋友的正式要求-福建人-专门研究Microsoft®Networks-包括证书-在将服务器迁移到Linux的这一部分中为您提供指导。 的费用 支持 支付Microsoft®的技术员已经 无法忍受 代表他工作的公司，他是他的主要股东。

米阿米戈 福建人 很有幽默感，并且自从他看了三部电影系列之后，指环王»他被许多黑暗角色的名字迷住了。 因此，读者朋友，不要为您的域和服务器的名称感到惊讶。

对于本主题的新手，在继续阅读之前，建议您阅读和研究有关SME Networks的前三篇文章：

• openSUSE 13.2“ Harlequin”中的DNS和DHCP
• CentOS 7上的DNS和DHCP
• Debian 8“ Jessie”中的DNS和DHCP

就像看«黑社会»直到今天出版，这是第四本。

一般参数

经过几次交流后 e-mail，最后我清楚了您当前网络的主要参数，它们是：

域名mordor.fan LAN网络10.10.10.0/24 ====================================== =========================================服务器IP地址用途（装有Windows操作系统的服务器） ）================================================= ============================ sauron.mordor.fan。 10.10.10.3 ActiveDirectory®2008 SR2 mamba.mordor.fan。 Windows文件服务器10.10.10.4 darklord.mordor.fan。 10.10.10.6 Kerios troll.mordor.fan上的代理，网关和防火墙。 10.10.10.7的博客基于...不记得shadowftp.mordor.fan。 10.10.10.8 FTP服务器blackelf.mordor.fan。 10.10.10.9完整的电子邮件服务blackspider.mordor.fan。 10.10.10.10万维网服务palantir.mordor.fan。 10.10.10.11在Windows的Openfire上聊天

我请求允许 福建人 设置必要的别名来清除我的想法并给予我他的许可：

真正的CNAME ============================== sauron ad-dc曼巴文件服务器

我在安装Active Directory Windows 2008的过程中声明了所有重要的DNS记录，这些记录被迫实施以指导我撰写本文。

关于Active Directory的DNS的SRV记录

寄存器 SRV o服务定位符-在Microsoft Active Directory中广泛使用-在 请求评论RFC 2782。 它们允许通过DNS查询基于TCP / IP协议的服务位置。 例如，Microsoft网络上的客户可以找到域控制器的位置- 域控制器 通过单个DNS查询通过TCP协议在端口389上提供LDAP服务的服务器。

在森林里- 森林和树木- 树 大型Microsoft网络中，有几个域控制器。 通过在组成该网络域名空间的不同区域中使用SRV记录，我们可以维护一个提供相似知名服务的服务器列表，并根据传输协议和每个端口的端口按优先级进行排序。服务器。

在 请求评论RFC 1700 为知名服务定义通用符号名- 知名服务，以及诸如“_telnet“”_smtp»服务 远程登录 y SMTP。 如果未为“众所周知的服务”定义符号名称，则可以根据用户的偏好使用本地名称或其他名称。

每个领域的目的«特别»在SRV资源记录的声明中使用以下内容：

• 域名: “ Pdc._msdcs.mordor.fan。«。 SRV记录引用的服务的DNS名称。 该示例中的DNS名称表示-或多或少- 主域控制器 该地区 _msdcs.mordor.fan.
• 服务: “ _Ldap”。 根据以下内容定义的所提供服务的符号名称 请求评论RFC 1700.
• 协议: “ _Tcp”。 表示传输协议的类型。 通常可以取值 _tcp o _udp，尽管-实际上- 请求评论RFC 1700。 例如，对于服务 即时通话 基于协议 XMPP，此字段的值为 _xmpp.
• 优先“0«。 声明优先级或偏好 提供这项服务的主机 我们稍后会看到。 客户端收到的有关此SRV记录定义的服务的DNS查询在收到适当的响应后，将尝试与字段中列出的编号最小的第一个可用主机联系。 优先。 该字段可以采用的值的范围是 0到65535.
• 重量“100«。 可以与 优先 当有多个服务器提供相同服务时提供负载平衡机制。 区域文件中的每个服务器应该有一个类似的SRV记录，其名称在字段中声明 提供这项服务的主机。 在具有相同值的服务器之前 优先，字段值 重量 它可以用作其他优先级别，以获取用于负载平衡的准确服务器选择。 该字段可以取的值范围是 0到65535。 如果不需要负载平衡，例如在单个服务器的情况下，建议分配该值 0 使SRV记录更易于阅读。
• 端口号-端口“389«。 输入端口号 提供这项服务的主机 提供现场指示的服务 服务。 每种知名服务类型的建议端口号都显示在 请求评论RFC 1700，尽管它可以取 0和65535.
• 提供这项服务的主机-目标“sauron.mordor.fan。«。 指定 FQDN 明确标识 主持人 提供SRV记录指示的服务。 记录类型«A»在每个域的名称空间中 FQDN 从服务器或 主持人 提供服务。 更简单，类型记录 A 在直接区域中。
  • 注意：
    为了权威地指示在此主机上未提供SRV记录所指定的服务，单个（.）点.

我们只想重复一遍，网络或ActiveDirectory®的正确操作在很大程度上取决于域名服务的正确操作。.

Active Directory DNS记录

要基于BIND创建新DNS服务器的区域，我们必须从ActiveDirectory®获取所有DNS记录。 为了让生活更轻松，我们去了团队 魔多魔王 -ActiveDirectory®2008 SR2-，在DNS管理控制台中，我们激活在这种类型的服务中声明的主要区域的“区域转移”（直接和反向）：

• _msdcs.mordor.fan
• 范多芬
• 10.10.10.in-addr.harp

一旦执行了上一步，最好是从IP地址在Windows网络使用的子网范围内的Linux计算机上执行，我们将执行：

嗡嗡声@ sysadmin：〜$ dig @ 10.10.10.3 _msdcs.mordor.fan axfr> 温度/rrs._msdcs.魔多.fan
嗡嗡声@ sysadmin：〜$ dig @ 10.10.10.3 mordor.fan axfr> temp / rrs.mordor.fan
嗡嗡声@ sysadmin：〜$ dig @ 10.10.10.3 10.10.10.in-addr.arpa axfr> temp / rrs.10.10.10.in-addr.arpa

• 回想一下以前的文章，设备的IP地址 系统管理员。desdelinux。风扇 es 10.10.10.1 或192.168.10.1.

在前面的三个命令中，我们可以消除该选项 @ 10.10.10.3 –向DNS服务器询问该地址-如果我们在文件中声明 / etc / resolv.conf中 到服务器IP 魔多魔王:

humb@sysadmin:~$ cat /etc/resolv.conf # 由 NetworkManager 搜索生成 desdelinux.fan 域名服务器 192.168.10.5 域名服务器 10.10.10.3

仔细编辑后，对应于BIND中的任何区域文件，我们将获得以下数据：

来自原始区域_msdcs.mordor.fan的RRs记录

嗡嗡声@ sysadmin：〜$ cat temp / rrs._msdcs.mordor.fan 
; 有关SOA和NS _msdcs.mordor.fan。 3600在SOA中sauron.mordor.fan。 hostmaster.mordor.fan。 12 900 600 86400 3600 _msdcs.mordor.fan。 3600英寸NS sauron.mordor.fan。 ; ; 全球目录gc._msdcs.mordor.fan。 600英寸A 10.10.10.3; ; SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan的别名-在Active Directory的修改后的私有LDAP数据库中。 600 IN CNAME sauron.mordor.fan。 ; ; Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan的修改后的私有LDAP。 600 IN SRV 0 sauron.mordor.fan。 _ldap._tcp.dc._msdcs.mordor.fan。 100 IN SRV 389 sauron.mordor.fan。 _ldap._tcp.600d0d-100fdb-389cf-a18-d3360c8b40d678.domains._msdcs.mordor.fan。 7 IN SRV 420 sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan。 6 IN SRV 775 600 0 sauron.mordor.fan。 _ldap._tcp.gc._msdcs.mordor.fan。 100 IN SRV 389 600 0 sauron.mordor.fan。 _ldap._tcp.pdc._msdcs.mordor.fan。 100 IN SRV 3268 sauron.mordor.fan。 ; ; Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan的修改后的私有KERBEROS。 600 IN SRV 0 100 3268 sauron.mordor.fan。 _kerberos._tcp.dc._msdcs.mordor.fan。 600 IN SRV 0 100 389 sauron.mordor.fan。

来自原始区域mordor.fan的RRs记录

嗡嗡声@ sysadmin：〜$ cat temp / rrs.mordor.fan 
; 与SOA，NS，MX及其映射的A记录有关； SAURON IP的域名； 来自Active Directory mordor.fan的内容。 3600在SOA中sauron.mordor.fan。 hostmaster.mordor.fan。 48 900 600 86400 3600 mordor.fan。 600 mordor.fan中的10.10.10.3英寸。 3600英寸NS sauron.mordor.fan。 mordor.fan。 3600 IN MX 10 blackelf.mordor.fan。 _msdcs.mordor.fan。 3600英寸NS sauron.mordor.fan。 ; ; 同样重要的A记录DomainDnsZones.mordor.fan。 600英寸10.10.10.3 ForestDnsZones.mordor.fan。 600英寸A 10.10.10.3; ; 全局目录_gc._tcp.mordor.fan。 600 IN SRV 0 100 3268 sauron.mordor.fan。 _gc._tcp.Default-First-Site-Name._sites.mordor.fan。 600 IN SRV 0 100 3268 sauron.mordor.fan。 ; ; Active Directory _ldap._tcp.mordor.fan的修改后的专用LDAP。 600 IN SRV 0 sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan。 100 IN SRV 389 sauron.mordor.fan。 _ldap._tcp.DomainDnsZones.mordor.fan。 600 IN SRV 0 sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.mordor.fan。 100 IN SRV 389 sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan。 600 IN SRV 0 sauron.mordor.fan。 _ldap._tcp.ForestDnsZones.mordor.fan。 100 IN SRV 389 sauron.mordor.fan。 ; ; 来自Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan的修改后的私有KERBEROS。 600 IN SRV 0 100 389 sauron.mordor.fan。 _kerberos._tcp.mordor.fan。 600 IN SRV 0 100 389 sauron.mordor.fan。 _kpasswd._tcp.mordor.fan。 600 IN SRV 0 sauron.mordor.fan。 _kerberos._udp.mordor.fan。 100 IN SRV 389 600 0 sauron.mordor.fan。 _kpasswd._udp.mordor.fan。 100 IN SRV 88 sauron.mordor.fan。 ; ; 具有固定IP的记录-> Blackelf.mordor.fan服务器。 600英寸0 blackspider.mordor.fan。 100装在88 darklord.mordor.fan中。 600英寸0 mamba.mordor.fan。 100英寸464 palantir.mordor.fan。 600 in a 0 sauron.mordor.fan。 100输入88 shadowftp.mordor.fan。 600英寸0 troll.mordor.fan。 100英寸A 464; ; CNAME记录了ad-dc.mordor.fan。 3600 IN CNAME sauron.mordor.fan。 blog.mordor.fan。 10.10.10.9 IN CNAME troll.mordor.fan。 fileserver.mordor.fan。 3600 IN CNAME mamba.mordor.fan。 ftpserver.mordor.fan。 10.10.10.10 IN CNAME shadowftp.mordor.fan。 mail.mordor.fan。 3600 IN CNAME balckelf.mordor.fan。 openfire.mordor.fan。 10.10.10.6 IN CNAME palantir.mordor.fan。 proxy.mordor.fan。 3600 IN CNAME darklord.mordor.fan。 www.mordor.fan。 10.10.10.4 IN CNAME blackspider.mordor.fan。

来自原始区域10.10.10.in-addr.arpa的RRs记录

嗡嗡声@ sysadmin：〜$ cat temp / rrs.10.10.10.in-addr.arpa 
; 与SOA和NS 10.10.10.in-addr.arpa有关。 3600在SOA中sauron.mordor.fan。 hostmaster.mordor.fan。 21 900 600 86400 3600 10.10.10.in-addr.arpa。 3600英寸NS sauron.mordor.fan。 ; ; PTR记录10.10.10.10.in-addr.arpa。 3600英寸PTR blackspider.mordor.fan。 11.10.10.10.in-addr.arpa。 3600英寸PTR palantir.mordor.fan。 3.10.10.10.in-addr.arpa。 3600 IN PTR sauron.mordor.fan。 4.10.10.10.in-addr.arpa。 3600 IN PTR mamba.mordor.fan。 5.10.10.10.in-addr.arpa。 3600 IN PTR dnslinux.mordor.fan。 6.10.10.10.in-addr.arpa。 3600英寸PTR darklord.mordor.fan。 7.10.10.10.in-addr.arpa。 3600 IN PTR troll.mordor.fan。 8.10.10.10.in-addr.arpa。 3600 IN PTR shadowftp.mordor.fan。 9.10.10.10.in-addr.arpa。 3600 IN PTR blackelf.mordor.fan。

到目前为止，我们可以认为，我们有必要的数据来继续我们的冒险之旅，而不是首先观察到 TTL 以及其他数据，这些数据以非常简洁的方式为我们提供了Microsft®ActiveDirectory®2008 SR2 64位DNS的输出和直接观察。

SAURON中的DNS管理器图像

Dnslinux.mordor.fan团队。

如果仔细看，到IP地址 10.10.10.5 没有为它精确分配名称，因此它将被新DNS的名称占用 dnslinux.魔多变种fan。 要安装DNS和DHCP对，请参考以下文章 Debian 8“ Jessie”中的DNS和DHCP y CentOS 7上的DNS和DHCP.

基本操作系统

米阿米戈 福建人除了是Microsoft®Windows的真正专家外，他还拥有该公司颁发的几份证书-他已阅读并实施了一些有关在Windows上发布的台式机的文章。 DesdeLinux。，他告诉我，他明确希望使用基于Debian的解决方案。 😉

为了使您满意，我们将从全新，干净的服务器安装开始，该服务器基于 Debian 8“杰西”。 但是，我们将在下面编写的内容对我们前面提到的CentOS和openSUSE发行版有效。 BIND和DHCP在任何发行版中都是相同的。 包装维护人员在每个发行版中都会引入一些细微差异。

我们将按照以下指示进行安装 Debian 8“ Jessie”中的DNS和DHCP，小心使用IP 10.10.10.5 和网络 10.10.10.0/24。，甚至在配置BIND之前。

我们以Debian风格配置BIND

/etc/bind/named.conf

文件 /etc/bind/named.conf 我们将其保留为已安装。

/etc/bind/named.conf.options

文件 /etc/bind/named.conf.options 应保留以下内容：

根@ dnslinux：〜＃cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

根@ dnslinux：〜＃纳米/etc/bind/named.conf.options
选项{目录“ / var / cache / bind”; //如果您和要与之通信的名称服务器之间存在防火墙，//您可能需要修复防火墙以允许多个端口进行通信。 请参阅http://www.kb.cert.org/vuls/id/800113 //如果您的ISP为稳定的名称服务器提供了一个或多个IP地址，则您可能希望将它们用作转发器。 //取消注释以下块，并插入替换全0占位符的地址。 //转发器{// 0.0.0.0; //}; // =============================================== = // ================== $ //如果BIND记录有关根密钥已过期的错误消息，//您将需要更新密钥。 参见https://www.isc.org/bind-keys // // ================================ =================================

    //我们不想要DNSSEC
        dnssec启用否；
        //dnssec-validation自动；

        auth-nxdomain否； ＃符合RFC1035

 //我们不需要侦听IPv6地址
        // v6监听{any; };
    v6监听{none; };

 //用于从localhost和sysadmin进行检查
    //通过// dig mordor.fan axfr // dig 10.10.10.in-addr.arpa axfr // dig _msdcs.mordor.fan axfr //到目前为止我们还没有Slave DNS ...
 allow-transfer {localhost; 10.10.10.1; };
};

//记录BIND
记录{

        频道查询{
        文件“ /var/log/named/queries.log”版本3大小1m；
        严重性信息；
        打印时间是；
        打印严重度是；
        打印类别是；
        };

        频道查询错误{
        文件“ /var/log/named/query-error.log”版本3大小1m；
        严重性信息；
        打印时间是；
        打印严重度是；
        打印类别是；
        };

                                
类别查询{
         查询;
         };

类别查询错误{
         查询错误；
         };

};

• 我们将捕获BIND日志介绍为 新 出现在有关该主题的系列文章中。 我们创造所需的文件夹和文件 记录 BIND的:

根@ dnslinux：〜＃mkdir / var / log / named
根@ dnslinux：〜＃触摸/var/log/named/queries.log
根@ dnslinux：〜＃触摸/var/log/named/query-error.log
根@ dnslinux：〜＃chown -R绑定：绑定/ var /日志/命名

我们检查配置文件的语法

根@ dnslinux：〜＃named-checkconf 
根@ dnslinux：〜＃

/etc/bind/named.conf.local

我们创建文件 /etc/bind/zones.rfcFreeBSD 内容与 Debian 8“ Jessie”中的DNS和DHCP.

根@ dnslinux：〜＃纳米/etc/bind/zones.rfcFreeBSD

文件 /etc/bind/named.conf.local 应保留以下内容：

// //在此处进行任何本地配置// //如果您的组织中未使用1918区域，请考虑在此处添加XNUMX
包括“ /etc/bind/zones.rfc1918”； 包括“ /etc/bind/zones.rfcFreeBSD”；

区域“ mordor.fan” {类型主控； 文件“ /var/lib/bind/db.mordor.fan”； }; 区域“ 10.10.10.in-addr.arpa” {type master; 文件“ /var/lib/bind/db.10.10.10.in-addr.arpa”； };

区域“ _msdcs.mordor.fan” {类型主；
 检查名称忽略； 文件“ /etc/bind/db._msdcs.mordor.fan”； }; 根@ dnslinux：〜＃named-checkconf
根@ dnslinux：〜＃

区域存档mordor.fan

根@ dnslinux：〜＃纳米 /var/lib/bind/db.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan。 root.dnslinux.mordor.fan。 （1;序列1D;刷新1H;重试1W;到期3H）; 最小或负的生存时间；
; 请务必遵守以下记录
@ IN NS dnslinux.mordor.fan。
@ IN A 10.10.10.5
@ IN MX 10 blackelf.mordor.fan。 @ IN TXT“欢迎来到魔多的黑暗之路”；
_msdcs.mordor.fan。 在NS dnslinux.mordor.fan中。
;
dnslinux.mordor.fan。 在A 10.10.10.5中
; 严格结束以下记录；
DomainDnsZones.mordor.fan。 在一个10.10.10.3 ForestDnsZones.mordor.fan中。 在A 10.10.10.3中; ; 全局目录_gc._tcp.mordor.fan。 600 IN SRV 0 0 3268 sauron.mordor.fan。 _gc._tcp.Default-First-Site-Name._sites.mordor.fan。 600 IN SRV 0 0 3268 sauron.mordor.fan。 ; ; Active Directory _ldap._tcp.mordor.fan的修改后的专用LDAP。 600 IN SRV 0 0 389 sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan。 600 IN SRV 0 0 389 sauron.mordor.fan。 _ldap._tcp.DomainDnsZones.mordor.fan。 600 IN SRV 0 0 389 sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.mordor.fan。 600 IN SRV 0 0 389 sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan。 600 IN SRV 0 0 389 sauron.mordor.fan。 _ldap._tcp.ForestDnsZones.mordor.fan。 600 IN SRV 0 0 389 sauron.mordor.fan。 ; ; 从Active Directory _kerberos._tcp.Default-First-Site-Name._sites.mordor.fan修改并私有的KERBEROS。 600 IN SRV 0 0 88 sauron.mordor.fan。 _kerberos._tcp.mordor.fan。 600 IN SRV 0 0 88 sauron.mordor.fan。 _kpasswd._tcp.mordor.fan。 600 IN SRV 0 0 464 sauron.mordor.fan。 _kerberos._udp.mordor.fan。 600 IN SRV 0 0 88 sauron.mordor.fan。 _kpasswd._udp.mordor.fan。 600 IN SRV 0 0 464 sauron.mordor.fan。 ; ; 记录具有固定IP的A->服务器blackelf.mordor.fan。 在一个10.10.10.9 blackspider.mordor.fan中。 在10.10.10.10 darklord.mordor.fan中。 在一个10.10.10.6 mamba.mordor.fan中。 在一个10.10.10.4 palantir.mordor.fan中。 在A 10.10.10.11
sauron.mordor.fan。 在A 10.10.10.3中
shadowftp.mordor.fan。 在一个10.10.10.8 troll.mordor.fan中。 在A 10.10.10.7; ; CNAME记录了ad-dc.mordor.fan。 在CNAME中sauron.mordor.fan。 blog.mordor.fan。 在CNAME中troll.mordor.fan。 fileserver.mordor.fan。 在CNAME中，mamba.mordor.fan。 ftpserver.mordor.fan。 在CNAME中的shadowftp.mordor.fan。 mail.mordor.fan。 在CNAME中balckelf.mordor.fan。 openfire.mordor.fan。 在CNAME中palantir.mordor.fan。 proxy.mordor.fan。 在CNAME中Darklord.mordor.fan。 www.mordor.fan。 在CNAME中blackspider.mordor.fan。

根@ dnslinux：〜＃named-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
区域mordor.fan/IN：已加载序列号1 OK

时代 TTL 600 在所有SRV寄存器中，我们会保留它们，以防万一我们不及时安装一个从设备绑定。 这些记录表示主要从LDAP数据库读取数据的ActiveDirectory®服务。 由于该数据库经常更改，因此在主从DNS方案中，同步时间必须保持较短。 根据从Active Directory 2000到2008观察到的Microsoft理念，这些类型的SRV记录的值保持为600。

MGI TTL 对于具有固定IP的服务器，它们在SOA中声明的时间不到3小时。

区域文件10.10.10.in-addr.arpa

根@ dnslinux：〜＃纳米 /var/lib/bind/db.10.10.10.in-addr.arpa
$ TTL 3H @ IN SOA dnslinux.mordor.fan。 root.dnslinux.mordor.fan。 （1;序列1D;刷新1H;重试1W;到期3H）; 最小或负的生存时间； @ IN NS dnslinux.mordor.fan。 ; 10英寸PTR blackspider.mordor.fan。 11 IN PTR palantir.mordor.fan。 3 IN PTR sauron.mordor.fan。 4 IN PTR mamba.mordor.fan。 5 IN PTR dnslinux.mordor.fan。 6 IN PTR darklord.mordor.fan。 7 IN PTR troll.mordor.fan。 8 IN PTR shadowftp.mordor.fan。 9英寸PTR blackelf.mordor.fan。

根@ dnslinux：〜＃named-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
区域10.10.10.in-addr.arpa/IN：加载序列号1 OK

区域文件_msdcs.mordor.fan

让我们考虑文件中的建议 /usr/share/doc/bind9/README.Debian.gz 关于不受DHCP动态更新的主区域文件的位置。

根@ dnslinux：〜＃纳米/etc/bind/db._msdcs.mordor.fan
$ TTL 3H @ IN SOA dnslinux.mordor.fan。 root.dnslinux.mordor.fan。 （1;序列1D;刷新1H;重试1W;到期3H）; 最小或负的生存时间； @ IN NS dnslinux.mordor.fan。 ; ; ; 全球目录gc._msdcs.mordor.fan。 600英寸A 10.10.10.3; ; SAURON 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan的别名-在Active Directory的修改后的私有LDAP数据库中。 600 IN CNAME sauron.mordor.fan。 ; ; Active Directory _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan的修改后的私有LDAP。 600 IN SRV 0 sauron.mordor.fan。 _ldap._tcp.dc._msdcs.mordor.fan。 100 IN SRV 389 sauron.mordor.fan。 _ldap._tcp.600d0d-100fdb-389cf-a18-d3360c8b40d678.domains._msdcs.mordor.fan。 7 IN SRV 420 sauron.mordor.fan。 _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan。 6 IN SRV 775 600 0 sauron.mordor.fan。 _ldap._tcp.gc._msdcs.mordor.fan。 100 IN SRV 389 600 0 sauron.mordor.fan。 _ldap._tcp.pdc._msdcs.mordor.fan。 100 IN SRV 3268 sauron.mordor.fan。 ; ; 从Active Directory _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan修改并私有的KERBEROS。 600 IN SRV 0 100 3268 sauron.mordor.fan。 _kerberos._tcp.dc._msdcs.mordor.fan。 600 IN SRV 0 100 389 sauron.mordor.fan。

我们检查语法，并且可以忽略它返回的错误，因为在文件中此Zone的配置中 /etc/bind/named.conf.local 我们包括以下声明 检查名称忽略；。 该区域将由BIND正确加载。

根@ dnslinux：〜＃named-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14：gc._msdcs.mordor.fan：错误的所有者名称（检查名称）区域_msdcs.mordor.fan/IN：已加载串行1 OK

根@ dnslinux：〜＃systemctl重新启动bind9.service 
根@ dnslinux：〜＃systemctl状态bind9.service 
●bind9.service-BIND域名服务器已加载：已加载（/lib/systemd/system/bind9.service；已启用）插件：/run/systemd/generator/bind9.service.d –50-insserv.conf- $ named.conf活动： 活动（运行） 自周日2017-02-12 08:48:38 EST; 2秒钟前文档：人：命名为（8）进程：859 ExecStop = / usr / sbin / rndc stop（代码=已退出，状态= 0 /成功）主PID：864（命名）CGroup：/system.slice/bind9.service 864─12/ usr / sbin /命名为-f -u bind 08月48日38:864:3 dnslinux命名为[6]：区域1.efip12.arpa/IN：加载串行08 Feb 48 38:864:6 dnslinux命名为[1 ]：区域befip12.arpa/IN：加载了序列08 Feb 48 38:864:0 dnslinux [6]：区域1.efip12.arpa/IN：加载了序列08 Feb 48 38:864:7 dnslinux被命名为[6]：区域1.efip12.arpa/IN：加载序列08 Feb 48 38:864:1 dnslinux命名为[12]：区域dordor.fan/IN/区域：加载序列08 Feb 48 38:864:1 dnslinux命名为[12]：区域示例.org / IN：加载序列08 Feb 48 38:864:1 dnslinux命名为[12]：区域_msdcs.mordor.fan/IN：加载序列08 Feb 48 38:864:1 dnslinux被命名为[12]：区域无效/ IN ：加载了串行08 Feb 48 38:864:XNUMX dnslinux，名为[XNUMX]： 所有区域均已加载
12月08日48:38:864名为[XNUMX]的dnslinux： 运行

我们咨询BIND

前 安装DHCP后，我们必须进行一系列检查，包括什至将Windows 7客户端加入域中。 范多芬 由计算机上安装的Active Directory表示 魔多魔王.

我们应该做的第一件事是停止计算机上的DNS服务 魔多魔王，然后在您的网络接口中声明，从现在开始，您的DNS服务器上将是 10.10.10.5 dnslinux.mordor.fan.

在服务器本身的控制台中 魔多魔王 我们执行：

微软的Windows [版本6.1.7600]
版权所有（c）2009 Microsoft Corporation。 版权所有。

C：\用户\管理员> nslookup
默认服务器：dnslinux.mordor.fan地址：10.10.10.5

> gc._msdcs
服务器：dnslinux.mordor.fan地址：10.10.10.5名称：gc._msdcs.mordor.fan地址：10.10.10.3

> mordor.fan
服务器：dnslinux.mordor.fan地址：10.10.10.5名称：mordor.fan地址：10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
服务器：dnslinux.mordor.fan地址：10.10.10.5名称：sauron.mordor.fan地址：10.10.10.3别名：03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

>设置类型= SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
服务器：dnslinux.mordor.fan地址：10.10.10.5 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan SRV服务位置：优先级= 0重量= 100端口= 88 svr主机名= sauron.mordor.fan _msdcs.mordor.fan名称服务器= dnslinux.mordor.fan sauron.mordor.fan互联网地址= 10.10.10.3 dnslinux.mordor.fan互联网地址= 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
服务器：dnslinux.mordor.fan地址：10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV服务位置：优先权= 0权重= 100权重= 389端口= 10.10.10.3 svr主机名= sauron .mordor.fan _msdcs.mordor.fan名称服务器= dnslinux.mordor.fan sauron.mordor.fan互联网地址= 10.10.10.5 dnslinux.mordor.fan互联网地址= XNUMX
>退出

C：\用户\管理员>

DNS查询来自 魔多魔王 令人满意。

下一步将是创建另一个安装了Windows 7的虚拟机。 由于我们仍未安装DHCP服务，因此我们将为计算机提供名称«win7»IP地址 10.10.10.251。 我们还声明您的DNS服务器将是 10.10.10.5 dnslinux.mordor.fan，并且搜索域将是 范多芬。 我们不会在DNS中注册该计算机，因为安装后我们还将使用它来测试DHCP服务。

接下来我们打开一个控制台 CMD 然后执行：

微软的Windows [版本6.1.7601]
版权所有（c）2009 Microsoft Corporation。 版权所有。

C：\用户\ buzz> nslookup
默认服务器：dnslinux.mordor.fan地址：10.10.10.5

> mordor.fan
服务器：dnslinux.mordor.fan地址：10.10.10.5名称：mordor.fan地址：10.10.10.3

>设置类型= SRV
> _ldap._tcp.DomainDnsZones
服务器：dnslinux.mordor.fan地址：10.10.10.5 _ldap._tcp.DomainDnsZones.mordor.fan SRV服务位置：优先级= 0权重= 0端口= 389 svr主机名= sauron.mordor.fan mordor.fan名称服务器= dnslinux.mordor .fan sauron.mordor.fan互联网地址= 10.10.10.3 dnslinux.mordor.fan互联网地址= 10.10.10.5
> _kpasswd._udp
服务器：dnslinux.mordor.fan地址：10.10.10.5 _kpasswd._udp.mordor.fan SRV服务位置：优先级= 0权重= 0端口= 464 svr主机名= sauron.mordor.fan mordor.fan名称服务器= dnslinux.mordor.fan sauron.mordor.fan互联网地址= 10.10.10.3 dnslinux.mordor.fan互联网地址= 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
服务器：dnslinux.mordor.fan地址：10.10.10.5 _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan SRV服务位置：优先级= 0重量= 0端口= 389 svr主机名= sauron。 mordor.fan mordor.fan名称服务器= dnslinux.mordor.fan sauron.mordor.fan互联网地址= 10.10.10.3 dnslinux.mordor.fan互联网地址= 10.10.10.5
> 出口

C：\用户\ buzz>

客户端进行的DNS查询«win7»也令人满意。

在Active Directory中，我们创建用户«萨鲁曼«，旨在在加入客户时使用它 win7 到域 范多芬。，使用方法«网络ID«，使用用户名 saruman@mordor.fan y 管理员@ mordor.fan。 加入成功，并通过以下屏幕截图证明：

关于Microsoft®DNS和BIND中的动态更新

由于我们已在ActiveDirectory®中停止了DNS服务，因此客户端«win7»在该DNS中注册您的名称和IP地址。 少得多 dnslinux.魔多变种fan 因为我们没有发表任何声明 允许更新 对于任何涉及的领域。

这就是与我的朋友形成良好战斗的地方 福建人。 在关于这方面的第一封电子邮件中，我评论了：

• 在Microsoft有关使用BIND和ActiveDirectory®的文章中，他们建议允许尤其是直接区域进行更新-佩内特拉达-直接 由已加入Active Directory域的Windows客户端创建.
• 这就是为什么默认情况下在ActiveDirectory®安全动态更新的DNS区域中允许的原因。 Windows客户端已加入Active Directory域。 如果他们不团结，他们将避免后果。
• Active Directory的DNS支持动态更新“仅安全”，“不安全”和“无”，这与说“无更新”或“无”相同.
• 对真的 Microsoft哲学不同意其客户将不会更新其DNS中的数据，也不会保留禁用DNS中动态更新的可能性，除非该选项留作更多隐藏用途.
• 微软提供“安全性”以换取“黑暗”， 一位通过Microsft®证书课程的同事和朋友告诉我。 真正。 此外，埃尔·菲吉诺（El Fueguino）向我证实了这一点。
• 例如，通过安装在UNIX®/ Linux计算机上的DHCP通过IP获取IP地址的客户端将无法解析其自身名称的IP地址。 直到您加入Active Directory域，只要Microsoft®或BIND用作DNS，而没有DHCP动态更新。
• 如果我在ActiveDirectory®本身中安装了DHCP，则必须声明Microsoft®DHCP更新了这些区域。
• 如果我们打算将BIND用作Windows网络的DNS，那么逻辑上和建议的做法是，我们安装BIND-DHCP对，后者对BIND进行动态更新，从而得出结论。
• 在UNIX®/ Linux上的LAN网络世界中，由于BIND发明了动态更新，因此仅允许DHCP先生«et»致BIND夫人，并提供她的最新消息。 请订购的放松。
• 当我在区域中声明时 范多芬 例如： allow-update {10.10.10.0/24; };，BIND本身会在启动或重新启动时通知我：

  • 区域“ mordor.fan”允许通过IP地址进行更新，这是不安全的

• 在神圣的UNIX®/ Linux世界中，DNS的这种精明根本是不可接受的.

您可以想象与我朋友的其余交流 福建人 通过 电子邮件, 电报聊天，由他付费的电话（当然，伙计，我没有钱），甚至还有二十一世纪通过信鸽传递的信息！

他甚至扬言不要给我寄养他的宠物儿子鬣蜥，佩特拉他已经答应我作为付款的一部分。 我真的很害怕。 所以我又重新开始了，但是从另一个角度。

• 无论是使用我们的内部DNS还是编译为支持DLZ区域的BIND，使用Samba 4都能实现的“几乎” Active Directory可以很好地解决此方面的问题- Dinamyc加载区，或动态加载的区域。
• 它继续遭受相同的折磨：当客户端通过安装在其中的DHCP获取IP地址时 其他 在UNIX®/ Linux计算机上，您将无法解析自己名称的IP地址 直到加入Samba 4 AD-DC的域.
• 将BIND-DLZ和DHCP duo集成在同一台计算机上， AD-DC桑巴舞4 对于真正的专家来说，这是一项工作。

福建人 他叫我上章，对我大喊：我们不是在谈论 AD-DC桑巴舞4，但Microsoft®ActiveDirectory®！。 我谦虚地回答说，我对接下来要写的部分文章感到满意。

从那时起，我告诉他，关于网络上客户端计算机的动态更新的最终决定权由他自由决定。 我只会给他 类型 之前写过 allow-update {10.10.10.0/24; };，什么也没有。 我不对网络中每个Windows客户端（或Linux）的滥交所造成的后果负责«会渗透»对BIND不受惩罚。

我的朋友，读者读者，如果您知道那是争吵的终点，那么您将不会相信。 我的朋友 福建人 他接受了解决方案-他会向我发送鬣蜥«皮特«-现在我与您分享。

我们安装并配置DHCP

有关更多详细信息，请阅读 Debian 8“ Jessie”中的DNS和DHCP.

根@ dnslinux：〜＃aptitude安装isc-dhcp-server

root @ dnslinux：〜＃nano / etc / default / isc-dhcp-server ....＃DHCP服务器（dhcpd）应该在哪些接口上服务DHCP请求？ ＃用空格分隔多个接口，例如“ eth0 eth1”。 接口=“ eth0”根@ dnslinux：〜＃dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n用户dhcp-key
Kdhcp键+157 + 29836

根@ dnslinux：〜＃cat Kdhcp-key。+ 157 + 29836.private
私钥格式：v1.3算法：157（HMAC_MD5）密钥：3HT / bg / 6YwezUShKYofj5g ==位：AAA =创建：20170212205030发布：20170212205030激活：20170212205030

根@ dnslinux：〜＃nano dhcp.key
密钥dhcp-key {算法hmac-md5; 秘密“ 3HT / bg / 6YwezUShKYofj5g ==”; };

根@ dnslinux：〜＃安装-o根-g绑定-m 0640 dhcp.key /etc/bind/dhcp.key
根@ dnslinux：〜＃安装-o根-g根-m 0640 dhcp.key /etc/dhcp/dhcp.key

根@ dnslinux：〜＃纳米/etc/bind/named.conf.local
// //在这里进行任何本地配置// //如果您的组织中未使用1918区域，请考虑在此处添加1918区域，包括“ /etc/bind/zones.rfcXNUMX”; 包括“ /etc/bind/zones.rfcFreeBSD”；
//别忘了...我忘了并付出了错误。 ;-)
包括“ /etc/bind/dhcp.key”；


区域“ mordor.fan” {类型主控；
        允许更新{10.10.10.3; 密钥dhcp-key; };
        文件“ /var/lib/bind/db.mordor.fan”； }; 区域“ 10.10.10.in-addr.arpa” {type master;
        允许更新{10.10.10.3; 密钥dhcp-key; };
        文件“ /var/lib/bind/db.10.10.10.in-addr.arpa”； }; 区域“ _msdcs.mordor.fan” {类型主； 检查名称忽略； 文件“ /etc/bind/db._msdcs.mordor.fan”； };

根@ dnslinux：〜＃named-checkconf 
根@ dnslinux：〜＃

根@ dnslinux：〜＃纳米/etc/dhcp/dhcpd.conf
ddns-update-style临时； ddns-更新； ddns域名“ mordor.fan”。 ddns-rev域名“ in-addr.arpa”。 忽略客户端更新； 权威性; ip转发的选项； 选项域名“ mordor.fan”； 包括“ /etc/dhcp/dhcp.key”； 区域dordor.fan。 {primary 127.0.0.1; 密钥dhcp-key; } 10.10.10.in-addr.arpa区。 {primary 127.0.0.1; 密钥dhcp-key; }共享网络redlocal {子网10.10.10.0网络掩码255.255.255.0 {选项路由器10.10.10.1; 选项子网掩码255.255.255.0; 选项广播地址10.10.10.255; 选项域名服务器10.10.10.5; 选项netbios-name-servers 10.10.10.5; 范围10.10.10.30 10.10.10.250; }}＃结束dhcpd.conf

根@ dnslinux：〜＃dhcpd -t
互联网系统联盟DHCP服务器4.3.1版权所有2004-2014互联网系统联盟。 版权所有。 有关信息，请访问https://www.isc.org/software/dhcp/配置文件：/etc/dhcp/dhcpd.conf数据库文件：/var/lib/dh​​cp/dhcpd.leases PID文件：/ var / run /dhcpd.pid

根@ dnslinux：〜＃systemctl重新启动bind9.service 
根@ dnslinux：〜＃systemctl状态bind9.service 

根@ dnslinux：〜＃systemctl启动isc-dhcp-server.service
根@ dnslinux：〜＃systemctl状态为isc-dhcp-server.service

有什么关系 与客户核对和 手动修改区域文件，我们将其留给您（读者朋友）直接从中阅读 Debian 8“ Jessie”中的DNS和DHCP，并将其应用于您的实际情况。 我们确实进行了所有必要的检查，并获得了满意的结果。 当然，我们会将所有副本发送给 福建人。 再也没有了！

提示

一般

• 开始之前要有足够的耐心.
  
• 首先安装并配置BIND。 检查所有内容，并查看在Active Directory和Linux上的DNS服务器本身中的三个或更多区域的每个文件中声明的所有记录。 如果可能，请从未加入域的Linux机器向BIND进行必要的DNS查询。
  
• 将具有固定IP地址的Windows客户端加入现有域，然后从Windows客户端重新检查所有BIND设置。
• 毫无疑问，在确保全新BIND的配置完全正确之后，请冒险安装，配置和启动DHCP服务。
• 如果出现错误，请从零开始重复整个过程。
• 注意复制和粘贴！ 以及named.conf.xxxx文件每一行中的剩余空格
  
• 之后，他没有抱怨-没有向我的朋友Fuegian抱怨-没有正确建议他.

其他提示

• 分而治之.
• 在SME网络中，为不会重复出现在任何根服务器上的内部LAN区域安装权威BIND更安全，更有益： 递归编号；.
• 在Internet访问提供商下方的SME网络中- ISP，也许是服务 代理 y SMTP 他们需要在Internet上解析域名。 他 乌贼 您可以选择在基于 后缀 o MDaemon® 我们还可以声明将在该服务中使用的DNS服务器。 在这种情况下，即不向Internet提供服务且属于 互联网服务提供商，您可以使用 代理 指向DNS ISP，并在需要解决对LAN的外部查询的服务器中将其声明为辅助DNS，否则可以通过它们自己的配置文件声明它们。
• 如果您全权负责委派区域然后是另一只公鸡乌鸦：
  • 安装基于 NSD，根据定义，它是权威的DNS服务器，用于响应Internet上计算机的查询。 有关一些信息 资质显示nsd。 请根据需要尽可能多地防火墙来保护它。 硬件和软件均如此。 这将是Internet的DNS，并且«沙皇»我们绝对不能穿低腰裤。 😉
  • 由于我从未遇到过这样的情况（即委派区域负责人），因此我将不得不很好地考虑为解决需要它的LAN外部域名建议的建议。 SME Network客户并不真正需要它。 请咨询专业文献或这些主题的专家，因为我远非其中之一。 认真地.
  • 递归在威权服务器上不存在。 好的？。 万一有人碰巧用BIND来做。
• 尽管我们在文件中明确指定 /etc/dhcp/dhcpd.conf 宣言 忽略客户端更新；，如果我们在计算机控制台上运行 dnslinux.魔多变种fan 订单 日志ctl -f，我们将在启动客户端时看到 win7.魔多.fan 我们收到以下错误消息：

  • 12月16日55:41:900 dnslinux名为[10.10.10.30]：客户端58762＃XNUMX：更新'mordor.fan/IN'被拒绝
    12月16日55:42:900 dnslinux名为[10.10.10.30]：客户端49763＃XNUMX：更新'mordor.fan/IN'被拒绝
    12月16日56:23:900 dnslinux名为[10.10.10.30]：客户端63161＃XNUMX：更新'mordor.fan/IN'被拒绝
    

  • 要消除这些消息，我们必须转到网卡配置的高级选项，然后取消选中选项«在DNS中注册此连接的地址«。 这样可以防止客户端永久尝试在Linux DNS中进行自注册，从而避免问题的解决。 抱歉，我没有西班牙语的Windows 7副本。 😉
• 要了解Windows 7客户端发出的所有严重且疯狂的查询，请查看 记录querys.log 对于某些东西，我们在BIND配置中声明它。 顺序为：

  • 根@ dnslinux：〜＃尾-f /var/log/named/queries.log

• 如果不允许您的客户端计算机直接连接到Internet，那么为什么需要根DNS服务器？ 这将大大减少命令的输出 日志ctl -f 以及从上一版本开始，如果内部区域的威权DNS服务器没有直接连接到Internet，从安全角度出发，强烈建议这样做。

  root @ dnslinux：〜＃cp /etc/bind/db.root /etc/bind/db.root.original
  根@ dnslinux：〜＃cp / dev / null /etc/bind/db.root

• 如果您不需要声明根服务器，那么为什么需要递归- 递归?

  根@ dnslinux：〜＃纳米/etc/bind/named.conf.options
  选项{
   ....
   递归编号；
   ....
  };

具体建议我还是不太清楚

El 男士dhcpd.conf 在许多其他方面告诉我们以下内容：

        更新优化语句

            更新优化标志；

            如果给定客户端的update-optimization参数为false，则每次客户端更新其租约时，服务器都会尝试对该客户端进行DNS更新，而不是仅在有必要时才尝试进行更新。 这将使DNS可以更轻松地解决数据库不一致的问题，但是代价是DHCP服务器必须执行更多的DNS更新。 我们建议您启用此选项，这是默认设置。 此选项仅影响临时DNS更新方案的行为，而对即席DNS更新方案没有影响。 如果未指定此参数，或者为true，则DHCP服务器仅在客户端信息更改，客户端获得其他租约或客户端的租约到期时更新。

亲爱的读者，或多或少的精确翻译或解释留给您。

就我个人而言，这已经发生在我（在撰写本文期间），当我将BIND链接到ActiveDirectory®时，它是来自Microsft®或Samba 4，如果我更改在此注册的客户端计算机的名称， ActiveDirectory®域或以下域 直流-直流 在Samba 4中，它将旧名称和IP地址保留在“直接区域”中，而不是将其保留在“直接区域”中，并使用新名称正确地对其进行了更新。 换句话说，旧名称和新名称在“直接区域”中映射到相同的IP地址，相反，只有新名称出现。 要很好地理解我，您必须自己尝试。

我认为这是对 福建人 -不是我的，请-尝试将您的服务迁移到Linux。

当然，当旧名称消失时， TTL 3600，或我们在DHCP配置中声明的时间。 但是我们希望它在BIND + DHCP中立即消失 没有通过Active Directory.

我通过插入语句找到了这种情况的解决方案 更新优化错误； 在文件顶部的末尾 /etc/dhcp/dhcpd.conf:

ddns-update-style临时； ddns-更新； ddns域名“ mordor.fan”。 ddns-rev域名“ in-addr.arpa”。 忽略客户端更新；
更新优化错误；

如果有任何读者对此有更多了解，请赐教。 我会很感激。

总结

我们在这个主题上玩得很开心，对吧？ 不用担心，因为我们有一个BIND在Microsoft®网络中充当DNS服务器，提供所有SRV记录并适当地响应对它们的DNS查询。 另一方面，我们有一个DHCP服务器，它授予IP地址并正确地动态更新BIND区域。

但是我们暂时不能问。

我希望我的朋友 福建人 对您迁移到Linux的第一步感到高兴和满意，以使Microsft®技术支持的费用难以承受。

重要提示

字符“福建人»完全是虚构的，是我的想象力的产物。 与真实人的任何相似之处或巧合都是同一回事：我个人是纯粹的非自愿巧合。 我创建它的目的只是为了使本文的写作和阅读变得愉快。 现在，如果您能告诉我DNS问题是黑暗的，