Dnsmasq和Active Directory-中小企业网络

系列总索引: 中小企业计算机网络:简介

你好朋友!。 为了理解和正确地遵循本文 必要 阅读其前辈:

他们解释了理论和实践概念,在这一部分中我们将不涉及。 我们将本年度的分配更改为 Debian 8.6“杰西” 我们将继续使用与 绑定和ActiveDirectory®.

  • 这篇文章中描述的过程也适用于CentOS7。配置文件/ etc / dnsmasq是相同的。 我声明它是因为我认为不必为Dnsmasq和Active Directory撰写单独的文章®基于CentOS。 幸运的是,与文档和配置相关的目录是相同的
  • Dnsmaq是 西蒙·凯利

限制使用Dnsmasq

由于其重要性,我们重复 限度 支持Dnsmasq -run 男人dnsmasq-反映 究竟 以下内容:

限度

  • 资源限制的默认值通常是保守的,适合在路由器类型的设备上使用。 卡在缓慢的处理器和低内存中。 在硬件上更多  能力,可以增加限制,并支持许多 顾客。 以下内容适用于dnsmasq-2.37:以前的版本不适用 他们爬得很好。
  • Dnsmasq能够支持至少一千(1,000)个DNS和DHCP 顾客。 租赁时间不应太短(少于一 时间)。 可以增加–dns-forward-max的值: 相当于客户数量,如果 DNS。 请注意,DNS性能还取决于服务器 上游DNS。 DNS缓存大小可以增加:限制 必填项是10,000个名称,默认值(150)非常低。 将SIGUSR1发送到dnsmasq会使bitacore信息 用于微调缓存大小。 有关详细信息,请参见“注意”部分。
  • 内置的TFTP服务器能够支持多次传输 并发文件:绝对限制与进程允许的文件句柄数量以及系统的能力有关tem调用select()以支持大量的文件句柄。 如果使用–tftp-max将限制设置得太高,它将被缩放,并且实际限制将在启动时计时。 请注意,更多转移 发送相同文件时可能发生什么ferencia发送其他文件。 可以使用dnsmasq通过以下列表拒绝Web广告 知名的横幅服务器,全部解析为127.0.0.1或 / etc / hosts或其他hosts文件中的0.0.0.0。 列表可以 会很长。 Dnsmasq已成功通过百万个名称的测试。 该文件大小需要1GHz CPU,并且大约60MB RAM.
  • Dnsmasq能够支持至少一千(1,000)个DNS和DHCP 客户.

让我们安装和配置Jessie和Dnsmasq

我们将首先基于服务器全新安装服务器 Debian 8“杰西”。 也就是说,没有安装任何图形界面或其他软件包的操作系统。 网络参数将与本文中使用的参数相同 绑定和ActiveDirectory®:

域名mordor.fan LAN网络10.10.10.0/24 ====================================== =========================================服务器IP地址用途(装有Windows操作系统的服务器) )================================================= =============================
sauron.mordor.fan。 10.10.10.3 ActiveDirectory®2008 SR2
mamba.mordor.fan。 10.10.10.4 Windows文件服务器
杰西上的dns.mordor.fan 10.10.10.5 DnsMasq服务器
Darklord.mordor.fan。 10.10.10.6 Kerios troll.mordor.fan上的代理,网关和防火墙。 10.10.10.7的博客基于...不记得shadowftp.mordor.fan。 10.10.10.8 FTP服务器blackelf.mordor.fan。 10.10.10.9完整的电子邮件服务blackspider.mordor.fan。 10.10.10.10万维网服务palantir.mordor.fan。 10.10.10.11在Windows版Real Real CNAME的Openfire上聊天shadowftp ftpserver blackelf邮件blackspider www palantir openfire

初始dns.mordor.fan服务器设置

根@ DNS:〜#纳米/等/主机名
DNS

根@ DNS:〜#纳米/等/主机
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns#以下行适用于支持IPv6的主机:: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

根@ DNS:〜#纳米/ etc /网络/接口
#此文件描述了系统上可用的网络接口#以及如何激活它们。 有关更多信息,请参见接口(5)。 source /etc/network/interfaces.d/*#环回网络接口auto loiface lo inet loopback#主网络接口allow-hotplug eth0 iface eth0 inet静态地址10.10.10.5 netmask 255.255.255.0网络10.10.10.0广播10.10.10.255。 10.10.10.1网关127.0.0.1#dns- *选项由resolvconf软件包实现(如果已安装dns-nameservers XNUMX dns-search mordor.fan)

让我们安装Dnsmasq和htop

根@ DNS:〜#aptitude安装dnsmasq htop

安装软件包后 HTOP 我们可以检查设备的CPU和内存消耗。 它仅消耗约71 MB的RAM。 如果我们想进一步降低能耗,可以安装该包装 SSMTP -简单 MTA-反过来清除包装 进出口4 Debian始终默认安装,并且根据我们将给此服务器的用途,我们确实不需要:

根@ DNS:〜#aptitude安装ssmtp
root @ dns:〜#清除能力〜c
根@ dns:〜#能力清洁
根@ DNS:〜#aptitude自动清理
根@ DNS:〜#systemctl重新启动

重新启动计算机后,消耗量如下: Dnsmasq和Active Directory

 

低吧? 让我们继续。

让我们指出Dnsmasq也参考了Microsft®DNS

在计算机上测试可能的Dnsmasq配置 魔多变种,我们必须包含一条语句,该语句表明已查询服务器的Microsoft DNS 魔多魔王。 我们可以做到,包括指令 服务器= / mordor.fan / 10.10.10.3 在档案中 配置文件 -稍后我们将看到-或添加该行 域名服务器10.10.10.3的 在档案中 / etc / resolv.conf中。 由于尚未根据需要配置Dnsmasq,因此选择第二种方法:

根@ DNS:〜#纳米/etc/resolv.conf
域mordor.fan
域名服务器127.0.0.1的
域名服务器10.10.10.3的

现在我们可以解决DNS查询

使用其主文件提供的Dnsmasq的默认配置 /etc/dnasmq.conf,以及文件中声明的内容 / etc / resolv.conf中 从服务器本身«DNS«,连接到LAN的任何客户端-并且已声明为DNS服务器 魔多变种-您可以以Microsoft®DNS为代价解决DNS查询 目前…

  • 将Dnsmasq显示为以下状态时,检查其响应速度非常重要 货代 仅在您的文件中包含IP 10.10.10.3 / etc / resolv.conf中.

在我的管理工作站和我编写所用的所有用具的支持下,我运行:

嗡嗡声@ sysadmin:〜$ cat /etc/resolv.conf 
#由NetworkManager域mordor.fan域名服务器10.10.10.5生成

嗡嗡声@ sysadmin:〜$ nslookup
> DNS
服务器:10.10.10.5地址:10.10.10.5#53名称:dns.mordor.fan地址:10.10.10.5

> 索伦
服务器:10.10.10.5地址:10.10.10.5#53

非权威性答案:
名称:sauron.mordor.fan地址:10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
服务器:10.10.10.5地址:10.10.10.5#53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan规范名称= sauron.mordor.fan。 名称:sauron.mordor.fan地址:10.10.10.3

> 10.10.10.3
服务器:127.0.0.1地址:127.0.0.1#53 3.10.10.10.in-addr.arpa名称= sauron.mordor.fan。

> 10.10.10.9
服务器:127.0.0.1地址:127.0.0.1#53 9.10.10.10.in-addr.arpa名称= blackelf.mordor.fan。

> 10.10.10.5
服务器:127.0.0.1地址:127.0.0.1#53 5.10.10.10.in-addr.arpa名称= dns.mordor.fan。

>邮件
服务器:10.10.10.5地址:10.10.10.5#53非权威性回答:mail.mordor.fan规范名称= blackelf.mordor.fan。 名称:blackelf.mordor.fan地址:10.10.10.9>退出

嗡嗡声@ sysadmin:〜$

让我们仔细研究以下方面:

  • 魔多变种 直接回答可以根据您当前的Dnsmasq设置解决的DNS查询。 如果您无法解决它们,它的工作原理如下 货代 并询问IP 10.10.10.3是否可以回答查询。 当询问设备的IP«DNS«,他直接回答。 当问到Dnsmasq是谁时,«索伦“,?,使 转发10.10.10.3 -您尚未注册,因此无法直接回答-谁会返回正确的非专制答案。
  • 当被问到谁是«03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan“?,使 转发 再次,这一次您收到来自Microsoft®DNS的权威响应。
  • Dnsmasq对任何类型的查询的高响应速度。

它们是使爱情变得美好的小细节;-)。

Dnsmasq和BIND与ActiveDirectory®集成之间的根本区别

让我们在记录上运行几个DNS查询 SOA的 y NS 域的 范多芬,涉及到的每个名称服务器:

嗡嗡声@ sysadmin:〜$ host -t SOA mordor.fan 10.10.10.3
使用域服务器:名称:10.10.10.3地址:10.10.10.3#53别名: 
mordor.fan具有SOA记录sauron.mordor.fan。 hostmaster.mordor.fan。 56

嗡嗡声@ sysadmin:〜$ host -t SOA mordor.fan 10.10.10.5
使用域服务器:名称:10.10.10.5地址:10.10.10.5#53别名: 
mordor.fan具有SOA记录sauron.mordor.fan。 hostmaster.mordor.fan。 56

嗡嗡声@ sysadmin:〜$ host -t NS mordor.fan 10.10.10.5
使用域服务器:名称:10.10.10.5地址:10.10.10.5#53别名: 
mordor.fan名称服务器sauron.mordor.fan。

嗡嗡声@ sysadmin:〜$ host -t NS mordor.fan 10.10.10.3
使用域服务器:名称:10.10.10.3地址:10.10.10.3#53别名: 
mordor.fan名称服务器sauron.mordor.fan。

答案是相同的-这是合乎逻辑的-因为 SIEMPRE 回应者 魔多魔王。 在有关记录的DNS查询之前 SOA的 o NS虽然 似乎 他回答什么 魔多变种。 但是,它与文章中看到的有所不同 绑定和活动目录®,我们已完全删除了Microsoft®DNS的功能。 在该文章中,有关Domino命名空间的所有DNS查询 范多芬 BIND回答了他们,因为我们是这样配置的,并且因为BIND确实回答了查询 SOA的 y NS 除了允许方案 主从,区域传输等,因此它是一个更完整的DNS服务器-复杂。

也许这些是Dnsmasq和BIND的DNS之间的主要区别... BIND-总是有一个或多个,但是-没有将DHCP服务器与DNS服务器无缝集成在一个服务器中的DHCP服务器 达蒙德,并且不需要TSIG密钥,配置文件,区域数据库等,就像我们在前面的文章中看到的那样。

  • 我认为,到现在为止,亲爱的读者将会意识到,我不讨厌BIND也不喜欢Dnsmasq而不是BIND。 将来关于它的讨论完全是浪费时间,因为它与需求,需求,口味,喜好和...有很大关系。。 每个解决方案都有其魅力 ;-)。
  • 在类似的情况下,让每个人都可以安装和配置自己选择的软件,并且他们了解更多。 而且一切都按预期进行.

Dnsmasq + ActiveDirectory®组合的优点

通过这种结合,我们可以获得对DNS查询的完整响应,以及为SME LAN租赁IP地址的有效方式。 正如我们稍后将看到的,它在有关计算机是否已连接到Microsoft®ActiveDirectory®域控制器的任何情况下都能正常工作。 此外,我们还有一个DNS和DNS服务器 货代 卓越的性能,再加上非常快速的DHCP服务器。 而且所有资源都很少。 你还要吗?

Dnsmasq + BIND可能吗?

绝对可以。 尽管我建议将它们安装在不同的计算机上,以免由于DNS服务广受欢迎的端口53而造成冲突。 到达基于Samba 4的AD-DC时,也许会看到一些有关它的信息。

关于Dnamasq的提示

  • Dnsmasq在LAN上提供DHCP和DNS服务的基本工作文件是: /etc/dnsmasq.conf, / etc / hosts文件, /var/lib/misc/dnsmasq.leases,而 / etc / resolv.conf中。 文件 dnsmasq.leases 它是在您租用第一个IP地址时创建的。
  • 您可以使用的另一个作业文件是 / etc /以太。 如果存在这样的文件,则指令 读醚 在配置文件中声明,告诉Dnsmasq读取它。 当我们建立联系时这非常有用 MAC地址/主机名 用于某些目的。
  • 可以使用指令完全禁用DNS服务 端口= 0dnsmasq.conf。
  • 可以通过以下指令禁用一个或多个网络接口的DHCP服务-每条线路一个- no-dhcp-interface = eth0,no-dhcp-interface = eth1, 等等。 当我们在拥有2个或更多网络接口的团队中并且希望DHCP服务仅由其中一个提供或不提供时,此功能非常有用。 当然,如果我们禁用所有接口的DHCP服务,则只会使DNS服务保持运行状态。 如果我们同时禁用这两种服务,那么为什么需要Dnsmasq? 😉
  • 向其他DNS域名服务器声明 没有 是公共的还是局域网外部的(例如Microsoft DNS),我们通过指令来实现 服务器= /域名/ DNS服务器IP 在档案中 /etc/dnsmasq.conf。 范例: 服务器= / mordor.fan / 10.10.10.3.
  • 告诉Dnsmasq仅从文件中回答有关本地域的查询 / etc / hosts文件 或通过您的DHCP,我们必须添加指令 本地= / localnet / 在配置的主文件中。 例: 当地= / mordor.fan /.
  • 正确配置文件 / etc / resolv.conf中分解器 我们建议您使用以下命令阅读其手册 人resolv.conf。 如果您安装Debian 8.6“ Jessie”,您会发现它的西班牙语写得很好。
  • Dnsmasq不使用区域文件来回答直接或反向查询。
  • 要了解每个字段的含义«特别»在SRV资源记录的声明中使用,应咨询 绑定和ActiveDirectory®。 文件中SRV记录的语法 /etc/dnsmasq.conf 如下:
    srv-host = , , , ,

想了解更多的读者,请仔细阅读原始文件 /etc/dnsmasq.conf 或目录中的现有文档 / usr /共享/ doc / dnsmasq-base.

根@ DNS:〜#ls -l / usr / share / doc / dnsmasq-base /
总计128 -rw-r-r-- 1个根root 883 5年2015月1日版权所有-rw-r-r-- 36261个根root 5 2015年1月11297日changelog.archive.gz -rw-r-r-- 5个根root 2015 1年26014月5日changelog.Debian.gz -rw-r-r-- 2015个根根1 2084年5月2015日changelog.gz -rw-r-r-- 1个根4297年5月2015日DBus-interface.gz -rw- r-r-- 2根目录4096 19年17月52日doc.html drwxr-xr-x 1根目录9721 5月2015日1:4180示例-rw-r-r-- 5根目录2015 1年12019月5日FAQ.gz -rw -r-r-- 2015根目录XNUMX XNUMX年XNUMX月XNUMX日README.Debian -rw-r-r-- XNUMX根目录XNUMX年XNUMX月XNUMX日setup.html

让我们配置Dnsmasq和Resolver

我们将作为初始指南-更改名称和其他名称,当然-文章«中使用的配置文件CentOS 7.3上的Dnsmasq«。

我们不要忘记下一步:

[root @ dns〜]#mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

固定IP地址

同时需要固定IP的服务器或设备的地址 IPv4IPv6-在文件中声明 / etc / hosts文件:

[root @ dns〜]#nano / etc / hosts
127.0.0.1 localhost#对于支持IPv6的主机,以下几行是可取的::: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters#具有固定IP的服务器和计算机。 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8。 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

让我们创建/etc/dnsmasq.conf文件

[root @ dns〜]#nano /etc/dnsmasq.conf
#------------------------------------------------- -  -  -  -  -  -  -  -  -  # 常规选项 #  -  -  -  -  -  -  -  -  -  -  -  -  -  - --------------------------------------- domain-needed#不要在没有域的情况下传递名称part bogus-priv#不要在未路由的空间中传递地址expand-hosts#自动将域添加到主机接口= eth0#接口。  小心接口#except-interface = eth1#请勿监听此NIC严格命令#您查阅/etc/resolv.conf文件的顺序#包含更多配置选项#通过文件或通过查找配置#目录中的其他文件#conf-file = /etc/dnsmasq.more.conf conf-dir = /etc/dnsmasq.d#与域名相关的域= mordor.fan#域名#时间服务器为10.10.10.1地址= / time.windows.com / 10.10.10.1#发送WPAD值的空选项。  为#Windos 7及更高版本的客户端正常运行所必需。  ;-) dhcp-option = 252,“ \ n”#我们将在其中声明将被“禁止”的主机的文件addn-hosts = / etc / banner_add_hosts#如果我们允许,请咨询Microsoft®DNS服务器“ sauron”运行服务器= / mordor.fan / 10.10.10.3#关于本地域的查询将通过#从/ etc /主机或通过本地DHCP来答复= / mordor.fan /#关于PTR或反向记录的查询将通过服务器得到答复# dns”和“ sauron”的顺序服务器= / 10.10.10.in-addr.arpa / 10.10.10.5服务器= / 10.10.10.in-addr.arpa / 10.10.10.3#-------- -------------------------------------------------- ---------#REGISTROSCNAMEMXTXT#-------------------------------------- -----------------------------#此注册类型需要在/ etc / hosts#文件中的条目#,例如:10.10.0.7。 10 troll.mordor.fan troll#cname = ALIAS,REAL_NAME cname = ad-dc.mordor.fan,sauron.mordor.fan cname = fileserver.mordor.fan,mamba.mordor.fan cname = proxyweb.mordor.fan,darklord .mordor.fan cname = blog.mordor .fan,troll.mordor.fan cname = ftpserver.mordor.fan,shadowftp.mordor.fan cname = mail.mordor.fan,blackelf.mordor.fan cname = www.mordor.fan,blackspider.mordor.fan cname = opendire .mordor.fan,palantir.mordor.fan#MX RECORDS#返回发往blackelf.mordor.fan小组的名称为“ mordor.fan”的MX记录,优先级10 mx-host = mordor.fan,邮件。 mordor.fan,XNUMX#使用localmx选项创建的MX记录的默认目标为:mx-target = mail.mordor.fan#返回指向所有mx-target的MX记录#本地localmx机器# TXT记录。 

dhcp-lease-max = 222#要租用的最大地址数
                        #默认为150
#IPV6范围#dhcp-range = 1234 ::,仅ra#范围选项#选项dhcp-option = 1,255.255.255.0#NETMASK dhcp-option = 3,10.10.10.253#ROUTER GATEWAY dhcp-option = 6,10.10.10.5。 15#DNS服务器dhcp-option = 19,1,mordor.fan#DNS域名dhcp-option = 28,10.10.10.255#Option ip-forwarding ON dhcp-option = 42,10.10.10.1#BROADCAST dhcp-option = 40。41,10.10.10.3 #NTP#dhcp-option = 44,10.10.10.3,MORDOR#NIS域名#dhcp-option = 45,10.10.10.3#NIS服务器#dhcp-option = 73,10.10.10.3#WINS#dhcp-option = 46,8# NetBIOS数据报#dhcp-option = XNUMX#手指服务器#dhcp-option = XNUMX#NetBIOS节点dhcp-authoritative#子网中的权威DHCP#-------------- -------------------------------------------------- ---#---------------------------------------------- ---------------------#LOGGING tail -f / var / log / syslog或journalctl -f#------------- -------------------------------------------------- ----日志查询#------------------------------------------ -  -  -  -  -  -  -  -  -  -  -  - - # 回覆A和SRV记录对应于Active Directory#----------------------------------------- --------------------------
#记录A
地址= / gc._msdcs.mordor.fan / 10.10.10.3地址= / DomainDnsZones.mordor.fan / 10.10.10.3地址= / ForestDnsZones.mordor.fan / 10.10.10.3

#Microsoft DNS区域CNAME记录_msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

#SRV记录
# srv-host = , , , ,

#全球目录# Microsoft DNS区域_msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan,sauron.mordor.fan,3268,0,0 srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan,sauron.mordor.fan,3268,0,0
# Microsoft DNS区域mordor.fan
srv-host = _gc._tcp.mordor.fan,sauron.mordor.fan,3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan .3268,0,0

#Active Directory的修改后的私有LDAP
#Microsoft DNS区域_msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
#Microsoft DNS区域mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
#从Active Directory修改并私有的KERBEROS
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

/etc/dnsmasq.conf文件的#END
#------------------------------------------------- ------------------

让我们创建/ etc / banner_add_host文件

[root @ dns〜]#nano /等/横幅添加主机
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1。 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns〜]#dnsmasq-测试
dnsmasq:语法检查确定。

[root @ dns〜]#systemctl重新启动dnsmasq.service 
[root @ dns〜]#systemctl状态dnsmasq.service

让我们修改文件/etc/resolv.conf-解析器

根@ DNS:〜#纳米/etc/resolv.conf 
域mordor.fan搜索mordor.fan

为什么我们没有在文件中声明通常的行 配置文件? 因为我们在 配置文件 以下指令:

#如果我们#让它运行,请咨询Microsoft®DNS服务器“ sauron”
服务器= / mordor.fan / 10.10.10.3

#有关本地域的查询将由/ etc / hosts或通过DHCP回答#
当地= / mordor.fan /

#有关PTR或反向记录的查询将由服务器“ dns”和“ sauron”依次回答#
服务器= / 10.10.10.in-addr.arpa / 10.10.10.5服务器= / 10.10.10.in-addr.arpa / 10.10.10.3

来自sysadmin.mordor.fan的查询

文件 / etc / resolv.conf中 这个团队的成员是:

嗡嗡声@ sysadmin:〜$ cat /etc/resolv.conf
#由NetworkManager搜索mordor.fan域名服务器10.10.10.5生成
嗡嗡声@ sysadmin:〜$ host -t到spynet4.microsoft.com
spynet4.microsoft.com地址为127.0.0.1

buzz @ sysadmin:〜$ host -t到www.download.windowsupdate.com
www.download.windowsupdate.com地址为127.0.0.1

嗡嗡声@sysadmin:〜$挖DNS
嗡嗡声@ sysadmin:〜$挖dns.mordor.fan
;; 问题部分:; dns.mordor.fan。 在一个 ;; 解答部分:dns.mordor.fan。 0在A 10.10.10.5

嗡嗡声@ sysadmin:〜$ host -t SRV _ldap._tcp.gc._msdcs
嗡嗡声@ sysadmin:〜$ host -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fan具有SRV记录0 0 3268 sauron.mordor.fan。

嗡嗡声@ sysadmin:〜$挖_ldap._tcp.gc._msdcs.mordor.fan
;; 问题部分:; _ ldap._tcp.gc._msdcs.mordor.fan。 在一个 ;; 解答部分:_ldap._tcp.gc._msdcs.mordor.fan。 0在A 10.10.10.3

嗡嗡声@ sysadmin:〜$挖mordor.fan axfr
嗡嗡声@ sysadmin:〜$ dig 10.10.10.in-addr.arpa axfr

这样,我们需要进行多少次咨询

Dnsmasq + ActiveDirectory®+Microsoft®Windows客户端

重命名Microsoft®Windows客户端

七扇 租用IP地址:

根@ DNS:〜#cat /var/lib/misc/dnsmasq.leases 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

让我们重命名«XNUMX所»-哪个未加入Active Directory域-桉树«。 更改并重新启动后,我们检查:

根@ DNS:〜#cat /var/lib/misc/dnsmasq.leases 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

更改的历史记录可以从“ sysadmin”中看到:

嗡嗡声@ sysadmin:〜$ host -t A七
seven.mordor.fan地址为10.10.10.115

改名后

嗡嗡声@ sysadmin:〜$ host -t A七
七个没有A记录

嗡嗡声@ sysadmin:〜$ host -t一个eucaliptus
eucaliptus.mordor.fan地址为10.10.10.115

来自客户的查询eucaliptus.mordor.fan

微软的Windows [版本6.1.7601]
版权所有(c)2009 Microsoft Corporation。 版权所有。

C:\用户\ buzz> nslookup
默认服务器:dns.mordor.fan地址:10.10.10.5

>索伦
服务器:dns.mordor.fan地址:10.10.10.5名称:sauron.mordor.fan地址:10.10.10.3

> mordor.fan
服务器:dns.mordor.fan地址:10.10.10.5名称:mordor.fan地址:10.10.10.3

>桉树
服务器:dns.mordor.fan地址:10.10.10.5名称:eucaliptus.mordor.fan地址:10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
服务器:dns.mordor.fan地址:10.10.10.5名称:sauron.mordor.fan地址:10.10.10.3别名:03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

>设置类型= SRV
> _kerberos._udp.mordor.fan
服务器:dns.mordor.fan地址:10.10.10.5 _kerberos._udp.mordor.fan SRV服务位置:优先级= 0重量= 0端口= 88 svr主机名= sauron.mordor.fan sauron.mordor.fan互联网地址= 10.10.10.3。 XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
服务器:dns.mordor.fan地址:10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV服务位置:优先级= 0权重= 0端口= 389 svr主机名= sauron .mordor.fan sauron.mordor.fan互联网地址= 10.10.10.3

>退出

C:\用户\ buzz>

Windows客户端在Microsoft®DNS中的注册

Windows客户端未加入ActiveDirectory®域

我们必须检查由Dnsmasq的不同Windows客户端租用的IP地址是否在Microsoft®DNS中正确注册。 它会影响 我们启用动态更新的方式- 动态更新 在ActiveDirectory®的Microsoft®DNS区域中。 我们从默认的Microsoft DNS配置开始,该默认配置仅允许安全动态更新- 动态更新->仅安全,在其每个区域中。

注意客户端与当前 FQDN 桉树.mordor.fan 没有 附加到Active Directory域(或Samba4 AD-DC),并且是Microsoft规则中的一个例外,即“只有在“我的域”中注册的客户端才能通过“我仅知道”的“我的更新机制”获得许可,以在“我的DNS”中注册«。 Samba4 AD-DC教给我们一些好处。

桉树扇 租用IP 10.10.10.115:

嗡嗡声@ sysadmin:〜$ host -t一个eucaliptus
eucaliptus.mordor.fan地址为10.10.10.115

让我们将其名称更改为«桃花心木«,让我们重新启动Windows 7,看看当我们要求输入名称时会发生什么«桉树“和”桃花心木»对于每个DNS,首先对Microsoft DNS,然后对Dnsmasq:

buzz @ sysadmin:〜$ host -t一个eucaliptus.mordor.fan 10.10.10.3
使用域服务器:名称:10.10.10.3地址:10.10.10.3#53别名: 

找不到主机eucaliptus.mordor.fan:3(NXDOMAIN)

嗡嗡声@ sysadmin:〜$ host -t mahogany.mordor.fan 10.10.10.3
使用域服务器:名称:10.10.10.3地址:10.10.10.3#53别名: 

找不到主机mahogany.mordor.fan:3(NXDOMAIN)

buzz @ sysadmin:〜$ host -t一个eucaliptus.mordor.fan 10.10.10.5
使用域服务器:名称:10.10.10.5地址:10.10.10.5#53别名: 

找不到主机eucaliptus.mordor.fan:3(NXDOMAIN)

嗡嗡声@ sysadmin:〜$ host -t mahogany.mordor.fan 10.10.10.5
使用域服务器:名称:10.10.10.5地址:10.10.10.5#53别名: 

mahogany.mordor.fan地址为10.10.10.115

我们可以更改Windows 7客户端的名称, 没有 附加到域 范多芬 ActiveDirectory®的次数不希望发生,Microsoft®DNS无法发现这些更改或存在这样的客户端。 是否可能仅仅是因为我们选择了该选项  动态更新->仅安全 在Micorosft DNS?的每个区域中。

为了使Microsoft®DNS先生了解更改,我们必须选择 动态更新->不安全。 亲爱的读者,这个选项意味着任何受尊重的域名服务器(无论是Microsft®还是UNIX®/ Linux)的安全性都存在重大漏洞。 Microsoft®DNS警告该漏洞,因为最终它仅是经过修改和私有化的BIND,可以为我们提供“黑暗安全«。 如果没有,为什么您建议保存您的著名产品 注册 当我们实施ActiveDirectory®?时,Microsoft®DNS的所有DNS设置和记录。 除了支持对Microsoft®DNS的非安全更新之外,Windows 7客户端网卡配置中还需要进行以下修改:

 

让我们检查:

嗡嗡声@ sysadmin:〜$ host -t mahogany.mordor.fan 10.10.10.3
使用域服务器:名称:10.10.10.3地址:10.10.10.3#53别名:caoba.mordor.fan的地址为10.10.10.115

buzz @ sysadmin:〜$主机10.10.10.115 10.10.10.3
使用域服务器:名称:10.10.10.3地址:10.10.10.3#53别名:115.10.10.10.in-addr.arpa域名指针mahogany.mordor.fan。

嗡嗡声@ sysadmin:〜$ host -t桃花心木10.10.10.5
使用域服务器:名称:10.10.10.5地址:10.10.10.5#53别名:caoba.mordor.fan的地址为10.10.10.115

buzz @ sysadmin:〜$主机10.10.10.115 10.10.10.5
使用域服务器:名称:10.10.10.5地址:10.10.10.5#53别名:115.10.10.10.in-addr.arpa域名指针mahogany.mordor.fan。

是现在。 对于未通过任何方式同步的两个DNS服务器,如何实现良好的同步,对吗?

Windows客户端已加入ActiveDirectory®域

让我们团结客户 桃花心木 到域中,但是在消除我们对网卡配置所做的修改之前,如果有必要,我们在任何时候都没有做任何更改来验证上一章的要点。 同时删除«的条目桃花心木»在微软® DNS,然后将动态更新返回到其«仅安全«。 顺便说一句,重新启动Microsoft服务是有效的® DNS.

加入域名后,尽管我们竭尽全力,客户«桃花心木»未在Microsoft®DNS中注册。 我们甚至在 配置文件 -temporary-第一个DNS服务器是10.10.10.3。

微软的Windows [版本6.1.7601]
版权所有(c)2009 Microsoft Corporation。 版权所有。

C:\用户\ saruman> ipconfig /全部

Windows IP配置主机名。 。 。 。 。 。 。 。 。 。 。 。 :桃花心木主要Dns后缀。 。 。 。 。 。 。 :mordor.fan节点类型。 。 。 。 。 。 。 。 。 。 。 。 :启用混合IP路由。 。 。 。 。 。 。 。 :没有启用WINS代理。 。 。 。 。 。 。 。 :没有DNS后缀搜索列表。 。 。 。 。 。 :mordor.fan以太网适配器本地连接:特定于连接的DNS后缀。 :mordor.fan说明。 。 。 。 。 。 。 。 。 。 。 :英特尔(R)PRO / 1000 MT网络连接物理地址。 。 。 。 。 。 。 。 。 :00-0C-29-D6-14-36 DHCP已启用。 。 。 。 。 。 。 。 。 。 。 :是启用自动配置。 。 。 。 :是链接本地IPv6地址。 。 。 。 。 :fe80 :: 352a:b954:7eba:963e%12(首选)IPv4地址。 。 。 。 。 。 。 。 。 。 。 :10.10.10.115(首选)子网掩码。 。 。 。 。 。 。 。 。 。 。 :255.255.255.0取得租赁。 。 。 。 。 。 。 。 。 。 :25年2017月8日,星期六,上午19:05:25租赁到期。 。 。 。 。 。 。 。 。 。 :2017年4月20日,星期六,下午36:10.10.10.253:10.10.10.5默认网关。 。 。 。 。 。 。 。 。 :6 DHCP服务器。 。 。 。 。 。 。 。 。 。 。 :251661353 DHCPv6 IAID。 。 。 。 。 。 。 。 。 。 。 :00 DHCPv01客户端DUID。 。 。 。 。 。 。 。 :00-01-20-3-69-81B-00-0-29-6C-14-D36-XNUMX-XNUMX

   DNS服务器。 。 。 。 。 。 。 。 。 。 。 :10.10.10.3
                                       10.10.10.5
   通过Tcpip的NetBIOS。 。 。 。 。 。 。 。 :启用隧道适配器isatap.mordor.fan:媒体状态。 。 。 。 。 。 。 。 。 。 。 :媒体断开连接特定于DNS的后缀。 :mordor.fan说明。 。 。 。 。 。 。 。 。 。 。 :Microsoft ISATAP适配器物理地址。 。 。 。 。 。 。 。 。 :00-00-00-00-00-00-00-E0 DHCP启用。 。 。 。 。 。 。 。 。 。 :未启用自动配置。 。 。 。 :是隧道适配器本地连接* 9:媒体状态。 。 。 。 。 。 。 。 。 。 。 :媒体断开连接特定于DNS的后缀。 :说明。 。 。 。 。 。 。 。 。 。 。 :Microsoft Teredo隧道适配器物理地址。 。 。 。 。 。 。 。 。 :00-00-00-00-00-00-00-E0 DHCP启用。 。 。 。 。 。 。 。 。 。 :未启用自动配置。 。 。 。 :这是

C:\用户\ saruman>

嗡嗡声@ sysadmin:〜$ host -t mahogany.mordor.fan 10.10.10.3
使用域服务器:名称:10.10.10.3地址:10.10.10.3#53别名:找不到主机caoba.mordor.fan:3(NXDOMAIN)

嗡嗡声@sysadmin:〜$ host -t到mahogany.mordor.fan
mahogany.mordor.fan地址为10.10.10.115
  • 客户注册的唯一方式«桃花心木»在Microsft®DNS中,正在按照指示修改网卡ó 在上一张图片中,即明确指出:连接的DNS后缀是mordor.fan,它在DNS中注册了连接的地址,并且在注册连接时使用了声明的DNS后缀.
嗡嗡声@ sysadmin:〜$ host -t mahogany.mordor.fan 10.10.10.3
使用域服务器:名称:10.10.10.3地址:10.10.10.3#53别名:caoba.mordor.fan的地址为10.10.10.115

嗡嗡声@ sysadmin:〜$ host -t mahogany.mordor.fan
mahogany.mordor.fan地址为10.10.10.115
让我们将名称从“桃花心木”更改为“雪松”
嗡嗡声@ sysadmin:〜$ host -t mahogany.mordor.fan 10.10.10.3
使用域服务器:名称:10.10.10.3地址:10.10.10.3#53别名:找不到主机caoba.mordor.fan:3(NXDOMAIN)

buzz @ sysadmin:〜$ host -t到cedar.mordor.fan 10.10.10.3
使用域服务器:名称:10.10.10.3地址:10.10.10.3#53别名:cedro.mordor.fan的地址为10.10.10.115

嗡嗡声@ sysadmin:〜$ host -t mahogany.mordor.fan 10.10.10.5
使用域服务器:名称:10.10.10.5地址:10.10.10.5#53别名:找不到主机caoba.mordor.fan:3(NXDOMAIN)

buzz @ sysadmin:〜$ host -t到cedar.mordor.fan 10.10.10.5
使用域服务器:名称:10.10.10.5地址:10.10.10.5#53别名:cedro.mordor.fan的地址为10.10.10.115

一切正常,就像Microsoft®客户端和Microsoft®DNS一样。

让我们使用Microsoft®DHCP和Microsoft®DNS

尊敬的读者,本章不涉及致力于自由软件的博客。 请参阅Microsoft®帮助。 他们不相信吗? 😉

结论

当我们使Microsoft®DNS与Dnsmasq在SME网络中共存时,有几种工作方式。 其中,我们将仅提及以下内容:

  • 在运行它的计算机上完全停止Microsoft®DNS服务,然后指示该服务启动被禁用。 取消选中每个Microsoft®客户端的网卡配置中的选项,以在DNS中注册连接地址。 从文件中删除 /etc/dnsmasq.conf 指示 服务器= / mordor.fan / 10.10.10.3. 笔记:
    • 即使对记录的查询未得到答复 SOA的 y NS,网络将正常运行,并且将不同的客户端(Microsoft®和Linux)结合到ActiveDirectory®域。
    • 这样做的好处是,在SME LAN中将只有一个域名服务器-男性-它将是Dnsmasq。 ;-)。 另一方面,消除了Microsoft®DNS中存储的DNS记录与通过Dnsmasq可用的DNS记录之间不一致的可能性。
  • 使Microsoft®DNS运行,以便仅回答有关SOA和NS记录的DNS查询。 注意s:
    • 修改每个Windows客户端的网卡配置,取消选中在DNS中注册连接地址的选项。
    • 我们认为 这种解决方案是浪费资源。
  • 配置服务,就像我们在整篇文章中所看到的那样,它显示了更多类似于Microsoft®哲学的解决方案-不是FreeBSD / Linux- Ok吗。

总结

  • Microsoft®DNS提案非常封闭。 它不会为不符合其密封原理的其他解决方案留出空间。
  • 大自然母亲告诉我们,我们存在于一个多元化的宇宙中。 通常的做法是拥有混合的LAN,朝着Free Software过渡,并拥有丰富的生活和多样性。
  • 对于Microsoft®来说,似乎没有加入“他的哲学”的客户就是被淘汰者,因此不要理会它们。
  • 使用私有软件有多困难! 我宁愿花一些时间来设置免费软件,而且要真正做到免费,该死!

“真理的最佳判据是实践。”


本文内容遵循我们的原则 编辑伦理。 要报告错误,请单击 信息.

11条评论,留下您的评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责数据:MiguelÁngelGatón
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。

  1.   黄道十二宫

    您撰写的精彩文章,Federico!

  2.   朱利奥·莱昂

    亲爱的,巨大的文章。 总结是最好的XD
    斯多斯;

  3.   蜥蜴

    我认为我没有在互联网上(西班牙语)看到关于sysadmin的更完整和详细的指南,您在中小企业网络中正在从事的工作尚需框架。

    尽管工作很辛苦,但要达到如此详细的水平需要花费许多小时,但我相信您正在创建一个参考点,因为该参考点将为大量SysAdmin所熟悉,这些参考点已在您的文章中找到了她每天都会面对的许多活动的老师。

    至于dnsmasq和活动目录,我想我从未有过使用这两者的机会,但是在我的实验室中,由于没有Windows客户端,一切似乎都还不错,而逐步实现这一出色也就不足为奇了。

    拯救您的短语“使用私有软件有多难!!。 我宁愿花一些时间来配置免费软件,然后真正做到免费,该死!»…让我们去花费一点时间来配置免费软件会随着时间的流逝而跳过,主要是针对您和您的文档许多其他人,如何也随着自由软件的不断人性化。

    恭喜FIco…我们继续前进。

  4.   费德里科

    黄道带:您的话语会激励您继续写作。 不要犹豫,很多好时光-写这样的谦虚文章是必要的。

    朱利奥·莱昂:亲爱的朱利奥,也向您问好。 希望您能继续与我们一起,进一步了解自由软件。

    Lagarto:当我阅读这篇文章中的评论时,花费的时间和时间是值得的。 他们是我们工作的最好奖励。 我将文章的链接传递给了西蒙·凯利本人,他很客气地回复了我。

    我想利用这个空间来说,在DNS和DHCP问题中,我们从策略开始,从复杂到简单。 Dnsmasq是针对SME Networks的非常有效的解决方案,它的实现比BIND + Isc-Dhcp-Server duo容易得多。 对于许多读者而言,该主题似乎有些技术性。 随着时间和实践的发展,他们将意识到事实并非如此。 值得一读的是基础结构服务器的原理,该标题将涵盖有关DNS和DHCP服务的6篇文章,并且不会忘记NTP。

    祝贺大家……我们继续前进!

  5.   国际劳工组织

    感谢Federico撰写的另一篇很棒的文章,其中包含有关Dnsmasq的大量细节和广泛的理论,我们已经看到该工具对sysadmins极为有用。

    通过使用服务的_gc,_ldap,_kerberos和_kpasswd,通过其SRV记录将与Microsoft DNS区域“ _msdcs.mordor.fan”插入到/etc/dnsmasq.conf配置文件有关的一切目标是除了Dnsmasq(“ local = / mordor.fan /”语句)之外,还使用Microsoft DNS(“ server = / mordor.fan / 10.10.10.3”语句)来解析DNS查询。

    GREAT也是开发的示例,Microsoft DNS在LAN上使用IP更改注册Windows客户端时,必须在DNS配置中选择“动态更新”为“不安全”,这意味着受到尊重的任何域名服务器(Microsoft或UNIX / Linux)的安全性漏洞。 除了必须修改Windows客户端网卡的配置。
    每次发布新帖子,您都别无所求! 急切地等待下一篇文章!

    1.    费德里科

      非常感谢您的评价和评论,IWO。 在我发表的每篇文章中,我都会一直等待您的意见,因为它受到您的职业,知识和实践的支持。 恭喜IWO。 我们将在下一篇文章中见

  6.   猎人

    很好,因为总是将这些gem发布给sysadmins。 谢谢一千!

  7.   Crespo88

    给微软的DNS一个机会,您甚至没有让它展示出来。 我们不知道他是否还活着,甚至还没有丢脸。 优秀的文章。

  8.   HO2Gi

    一颗与众不同的珠宝,已保存在收藏夹中以进行咨询。 优秀的文章。

  9.   费德里科

    感谢HO2Gi的评估。 我建议您-而且一般来说,推荐给所有人-访问 https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/。 再次对其进行了编辑,并列出了所有已发布帖子和要讨论的主题的索引。 问候并继续与我们合作。

  10.   巴勃罗·安德烈斯·弗莱默

    出色的文档,例如在 https://blog.desdelinux.net/bind-active-directory/
    我只想提出一条建议,请把它当作建设性的批评。 为了举例说明配置,如果不是使用10.10.10.0/24网络,而是使用每个块具有不同编号的网络(例如192.168.1.0/24网络),那会更好。
    这样可以弄清楚网络地址反向的点,例如当您必须添加类型为“ .in-addr.arpa”的值时
    感谢您分享这么多优质的知识。
    最好的问候。