Dnsmasq和Active Directory-中小企業網絡

系列總索引： 中小企業計算機網絡：簡介

你好朋友！。 為了理解和正確地遵循本文 必不可少的 閱讀其前輩：

• CentOS 7.3上的Dnsmasq
• 綁定和ActiveDirectory®

他們解釋了理論和實踐概念，在這一部分中我們將不涉及。 我們將本年度的分配更改為 Debian 8.6“ Jessie” 我們將繼續使用與 綁定和ActiveDirectory®.

• 這篇文章中描述的過程也適用於CentOS7。配置文件/ etc / dnsmasq是相同的。 我聲明它是因為我認為不必為Dnsmasq和Active Directory撰寫單獨的文章®基於CentOS。 幸運的是，與文檔和配置相關的目錄是相同的。
• Dnsmaq是 西蒙·凱利

限制使用Dnsmasq

由於其重要性，我們重複 限度 支持Dnsmasq -run 男人dnsmasq-反映 究竟 下一個：

限度

• 資源限制的默認值通常是保守的，適合在路由器類型的設備上使用。 卡在緩慢的處理器和低內存中。 在硬件上更多  能力，可以增加限制，並支持更多 顧客。 以下內容適用於dnsmasq-2.37：以前的版本不適用 他們爬得很好。
  

• Dnsmasq能夠支持至少一千（1,000）個DNS和DHCP 顧客。 租賃時間不應太短（少於一 時間）。 可以增加–dns-forward-max的值： 相當於客戶數量，如果 DNS。 請注意，DNS性能還取決於服務器 上游DNS。 DNS緩存大小可以增加：限制 必填項是10,000個名稱，默認值（150）非常低。 將SIGUSR1發送到dnsmasq會使bitacore信息 用於微調緩存大小。 有關詳細信息，請參見“注意”部分。

• 內置的TFTP服務器能夠支持多次傳輸 並發文件：絕對限制與進程允許的文件句柄數量以及系統的能力有關tem調用select（）以支持大量的文件句柄。 如果使用–tftp-max將限制設置得太高，它將被縮放，並且實際限制將在啟動時記錄。 請注意，更多轉移 發送相同文件時可能發生什麼ferencia發送其他文件。 可以使用dnsmasq通過以下列表拒絕Web廣告 知名的橫幅服務器，全部解析為127.0.0.1或 / etc / hosts或其他hosts文件中的0.0.0.0。 列表可以 會很長。 Dnsmasq已成功測試了1萬個名稱。 該文件大小需要XNUMXGHz CPU，並且大約60MB RAM.

• Dnsmasq能夠支持至少一千（1,000）個DNS和DHCP 客戶.

讓我們安裝和配置Jessie和Dnsmasq

我們將首先基於服務器全新安裝服務器 Debian 8“ Jessie”。 也就是說，沒有安裝任何圖形界面或其他軟件包的操作系統。 網絡參數將與本文中使用的參數相同 綁定和ActiveDirectory®:

域名mordor.fan LAN網絡10.10.10.0/24 ==================================== ===========================================服務器IP地址用途（具有OS的服務器Windows）================================================== ===============================
sauron.mordor.fan。 10.10.10.3 ActiveDirectory®2008 SR2
mamba.mordor.fan。 10.10.10.4 Windows文件服務器
傑西上的dns.mordor.fan 10.10.10.5 DnsMasq服務器
Darklord.mordor.fan。 10.10.10.6 Kerios troll.mordor.fan上的代理，網關和防火牆。 10.10.10.7的博客基於...不記得shadowftp.mordor.fan。 10.10.10.8 FTP服務器blackelf.mordor.fan。 10.10.10.9完整的電子郵件服務blackspider.mordor.fan。 10.10.10.10萬維網服務palantir.mordor.fan。 10.10.10.11在Windows Real CNAME的Openfire上聊天=============================== sauron ad-dc mamba文件服務器darklord proxyweb巨魔博客shadowftp ftpserver blackelf郵件blackspider www palantir openfire

初始dns.mordor.fan服務器設置

根@ DNS：〜＃納米/等/主機名
DNS

根@ DNS：〜＃納米/等/主機
127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns＃以下行適用於支持IPv6的主機:: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

根@ DNS：〜＃納米/ etc /網絡/接口
＃此文件描述了系統上可用的網絡接口＃以及如何激活它們。 有關更多信息，請參見接口（5）。 source /etc/network/interfaces.d/*＃環回網絡接口auto loiface lo inet loopback＃主網絡接口allow-hotplug eth0 iface eth0 inet靜態地址10.10.10.5 netmask 255.255.255.0網絡10.10.10.0廣播10.10.10.255。 10.10.10.1網關127.0.0.1＃dns- *選項由resolvconf軟件包實現（如果已安裝dns-nameservers XNUMX dns-search mordor.fan）

讓我們安裝Dnsmasq和htop

根@ DNS：〜＃aptitude安裝dnsmasq htop

安裝軟件包後 HTOP 我們可以檢查設備的CPU和內存消耗。 它僅消耗約71 MB的RAM。 如果我們想進一步降低功耗，可以安裝該軟件包 SSMTP -簡單 MTA-反過來清除包裝 進出口4 Debian始終默認安裝，並且根據我們將給此服務器的用途，我們確實不需要：

根@ DNS：〜＃aptitude安裝ssmtp
root @ dns：〜＃清除能力〜c
根@ dns：〜＃能力清潔
根@ DNS：〜＃aptitude自動清理
根@ DNS：〜＃systemctl重新啟動

重新啟動計算機後，消耗量如下：

低吧？ 讓我們繼續。

讓我們指出Dnsmasq也參考了Microsft®DNS

在計算機上測試可能的Dnsmasq配置 魔多變種，我們必須包含一條語句，該語句表明已查詢服務器的Microsoft DNS 魔多魔王。 我們可以做到，包括指令 服務器= / mordor.fan / 10.10.10.3 在檔案中 配置文件 -稍後我們將看到-或添加該行 域名服務器10.10.10.3的 在檔案中 / etc / resolv.conf中。 由於尚未根據需要配置Dnsmasq，因此選擇第二種方法：

根@ DNS：〜＃納米/etc/resolv.conf
域mordor.fan
域名服務器127.0.0.1的
域名服務器10.10.10.3的

現在我們可以解決DNS查詢

使用其主文件提供的Dnsmasq的默認配置 /etc/dnasmq.conf，以及文件中聲明的內容 / etc / resolv.conf中 從服務器本身«DNS«，連接到LAN的任何客戶端-並且已聲明為DNS服務器 魔多變種-您可以以Microsoft®DNS為代價解決DNS查詢 目前…

• 將Dnsmasq顯示為以下狀態時，檢查其響應速度非常重要 貨運代理 僅在您的文件中包含IP 10.10.10.3 / etc / resolv.conf中.

在我的管理工作站和我編寫所用的所有用具的支持下，我運行：

嗡嗡聲@ sysadmin：〜$ cat /etc/resolv.conf 
＃由NetworkManager域mordor.fan域名服務器10.10.10.5生成

嗡嗡聲@ sysadmin：〜$ nslookup
> DNS
服務器：10.10.10.5地址：10.10.10.5＃53名稱：dns.mordor.fan地址：10.10.10.5

> 索倫
服務器：10.10.10.5地址：10.10.10.5＃53

非權威性答案:
名稱：s​​auron.mordor.fan地址：10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
服務器：10.10.10.5地址：10.10.10.5＃53 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan規範名稱= sauron.mordor.fan。 名稱：s​​auron.mordor.fan地址：10.10.10.3

> 10.10.10.3
服務器：127.0.0.1地址：127.0.0.1＃53 3.10.10.10.in-addr.arpa名稱= sauron.mordor.fan。

> 10.10.10.9
服務器：127.0.0.1地址：127.0.0.1＃53 9.10.10.10.in-addr.arpa名稱= blackelf.mordor.fan。

> 10.10.10.5
服務器：127.0.0.1地址：127.0.0.1＃53 5.10.10.10.in-addr.arpa名稱= dns.mordor.fan。

>郵件
服務器：10.10.10.5地址：10.10.10.5＃53非權威性回答：mail.mordor.fan規範名稱= blackelf.mordor.fan。 名稱：blackelf.mordor.fan地址：10.10.10.9>退出

嗡嗡聲@ sysadmin：〜$

讓我們仔細研究以下方面：

• 魔多變種 直接回答可以根據您當前的Dnsmasq設置解決的DNS查詢。 如果您無法解決它們，它的工作原理如下 貨運代理 並詢問IP 10.10.10.3是否可以回答查詢。 當詢問設備的IP«DNS«，他直接回答。 當問到Dnsmasq是誰時，«索倫“，？，使 轉發 到 10.10.10.3 -您尚未註冊，因此無法直接回答-誰會返回正確的非專制答案。
• 當被問到誰是«03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan“？，使 轉發 再次，這一次您收到來自Microsoft®DNS的權威響應。
• Dnsmasq對任何類型的查詢的高響應速度。

它們是使愛情變得美好的小細節；-)。

Dnsmasq和BIND與ActiveDirectory®集成之間的根本區別

讓我們在記錄上運行幾個DNS查詢 SOA的 y NS 域的 範多芬，涉及到的每個名稱服務器：

嗡嗡聲@ sysadmin：〜$ host -t SOA mordor.fan 10.10.10.3
使用域服務器：名稱：10.10.10.3地址：10.10.10.3＃53別名： 
mordor.fan具有SOA記錄sauron.mordor.fan。 hostmaster.mordor.fan。 56

嗡嗡聲@ sysadmin：〜$ host -t SOA mordor.fan 10.10.10.5
使用域服務器：名稱：10.10.10.5地址：10.10.10.5＃53別名： 
mordor.fan具有SOA記錄sauron.mordor.fan。 hostmaster.mordor.fan。 56

嗡嗡聲@ sysadmin：〜$ host -t NS mordor.fan 10.10.10.5
使用域服務器：名稱：10.10.10.5地址：10.10.10.5＃53別名： 
mordor.fan名稱服務器sauron.mordor.fan。

嗡嗡聲@ sysadmin：〜$ host -t NS mordor.fan 10.10.10.3
使用域服務器：名稱：10.10.10.3地址：10.10.10.3＃53別名： 
mordor.fan名稱服務器sauron.mordor.fan。

答案是相同的-這是合乎邏輯的-因為 總是 回應者 魔多魔王。 在有關記錄的DNS查詢之前 SOA的 o NS雖然 看起來像 他回答什麼 魔多變種。 但是，它與文章中看到的有所不同 綁定和活動目錄®，我們已完全刪除了Microsoft®DNS的功能。 在該文章中，有關Domino命名空間的所有DNS查詢 範多芬 BIND回答了他們，因為我們是這樣配置的，並且因為BIND確實回答了查詢 SOA的 y NS 除了允許方案 主從，區域傳輸等，因此它是一個更完整的DNS服務器-複雜。

也許這些是Dnsmasq和BIND的DNS之間的主要區別... 佩羅 BIND-總是可以有一個或多個，但是-沒有將DHCP服務器與DNS服務器無縫集成在一個服務器中的DHCP服務器 達蒙德，並且不需要TSIG密鑰，配置文件，區域數據庫等，就像我們在前面的文章中看到的那樣。

• 我認為，到現在為止，親愛的讀者將會意識到，我不討厭BIND也不喜歡Dnsmasq而不是BIND。 將來關於它的討論完全是浪費時間，因為它與需求，需求，口味，喜好和...有很大關係。。 每個解決方案都有其魅力 ;-)。

• 在類似的情況下，讓每個人都可以安裝和配置自己選擇的軟件，並且他們了解更多。 而且一切都按預期進行.

Dnsmasq + ActiveDirectory®組合的優點

通過這種結合，我們可以獲得對DNS查詢的完整響應，以及為SME LAN租賃IP地址的有效方式。 正如我們稍後將看到的，它在有關計算機是否已連接到Microsoft®ActiveDirectory®域控制器的任何情況下都能正常工作。 此外，我們還有一個DNS和DNS服務器 貨運代理 卓越的性能，再加上非常快速的DHCP服務器。 而且所有資源都很少。 你還要嗎？

Dnsmasq + BIND可能嗎？

絕對可以。 儘管我建議將它們安裝在不同的計算機上，以免由於DNS服務廣受歡迎的端口53而造成衝突。 也許當我們進入基於Samba 4的AD-DC時，我們會看到一些相關信息。

關於Dnamasq的提示

• Dnsmasq在LAN上提供DHCP和DNS服務的基本工作文件是： /etc/dnsmasq.conf, / etc / hosts文件, /var/lib/misc/dnsmasq.leases，而 / etc / resolv.conf中。 文件 dnsmasq.leases 它是在您租用第一個IP地址時創建的。
• 您可以使用的另一個作業文件是 / etc /以太。 如果存在這樣的文件，則指令 讀醚 在配置文件中聲明，告訴Dnsmasq讀取它。 當我們建立聯繫時這非常有用 MAC地址/主機名 用於某些目的。
• 可以使用指令完全禁用DNS服務 端口= 0 在 dnsmasq.conf。
• 可以通過以下指令禁用一個或多個網絡接口的DHCP服務-每條線路一個- no-dhcp-interface = eth0，no-dhcp-interface = eth1， 等等。 當我們在擁有2個或更多網絡接口的團隊中並且希望DHCP服務僅由其中一個提供或不提供時，此功能非常有用。 當然，如果我們為所有接口禁用DHCP服務，我們將僅使DNS服務保持運行狀態。 如果我們同時禁用這兩種服務，那麼為什麼需要Dnsmasq？ 😉
• 向其他DNS域名服務器聲明 沒有 是公共的還是局域網外部的（例如Microsoft DNS），我們通過指令來實現 服務器= /域名/ DNS服務器IP 在檔案中 /etc/dnsmasq.conf。 範例： 服務器= / mordor.fan / 10.10.10.3.
• 告訴Dnsmasq僅從文件中回答有關本地域的查詢 / etc / hosts文件 或通過您的DHCP，我們必須添加指令 本地= / localnet / 在配置的主文件中。 例： 當地= / mordor.fan /.
• 正確配置文件 / etc / resolv.conf中 - 解析器 我們建議您使用以下命令閱讀其手冊 人resolv.conf。 如果您安裝Debian 8.6“ Jessie”，您會發現它的西班牙語寫得很好。
• Dnsmasq不使用區域文件來回答直接或反向查詢。
• 要了解每個字段的含義«特別»在SRV資源記錄的聲明中使用，應諮詢 綁定和ActiveDirectory®。 文件中SRV記錄的語法 /etc/dnsmasq.conf 如下：

  srv-host = ， ， ， ，

想了解更多的讀者，請仔細閱讀原始文件 /etc/dnsmasq.conf 或目錄中的現有文檔 / usr /共享/ doc / dnsmasq-base.

根@ DNS：〜＃ls -l / usr / share / doc / dnsmasq-base /
總計128 -rw-r-r-- 1個根目錄883 5年2015月1日版權-rw-r-r-- 36261個根目錄5 2015年1月11297日changelog.archive.gz -rw-r-r-- 5根root 2015 1年26014月5日changelog.Debian.gz -rw-r-r-- 2015根root 1 2084年5月2015日changelog.gz -rw-r-r-- 1根root 4297 5年2015月2日DBus接口。 gz -rw-r-r-- 4096根root 19 17年52月1日doc.html drwxr-xr-x 9721根root 5 Feb 2015 1:4180示例-rw-r-r-- 5根root 2015 May 1 12019 FAQ.gz -rw-r-r-- 5根root 2015年XNUMX月XNUMX日README.Debian -rw-r-r-- XNUMX根root XNUMX年XNUMX月XNUMX日setup.html

讓我們配置Dnsmasq和Resolver

我們將作為初始指南-更改名稱和其他名稱，當然-文章«中使用的配置文件CentOS 7.3上的Dnsmasq“。

我們不要忘記下一步：

[root @ dns〜]＃mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

固定IP地址

同時需要固定IP的服務器或設備的地址 IPv4 如 IPv6-在文件中聲明 / etc / hosts文件:

[root @ dns〜]＃nano / etc / hosts
127.0.0.1 localhost＃對於支持IPv6的主機，以下幾行是可取的：:: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters＃具有固定IP的服務器和計算機。 10.10.10.1 sysadmin.mordor.fan 10.10.10.3 sauron.mordor.fan 10.10.10.4 mamba.mordor.fan 10.10.10.5 dns.mordor.fan 10.10.10.6 darklord.mordor.fan 10.10.10.7 troll.mordor.fan 10.10.10.8。 10.10.10.9 shadowftp.mordor.fan 10.10.10.10 blackelf.mordor.fan 10.10.10.11 blackspider.mordor.fan XNUMX palantir.mordor.fan

讓我們創建/etc/dnsmasq.conf文件

[root @ dns〜]＃nano /etc/dnsmasq.conf
＃------------------------------------------------- -  -  -  -  -  -  -  -  -  ＃ 常規選項 ＃  -  -  -  -  -  -  -  -  -  -  -  -  -  - --------------------------------------- domain-needed＃不要在沒有域的情況下傳遞名稱part bogus-priv＃不要在未路由的空間中傳遞地址expand-hosts＃自動將域添加到主機接口= eth0＃接口。  小心接口＃except-interface = eth1＃請勿監聽此NIC嚴格命令＃您查閱/etc/resolv.conf文件的順序＃通過文件或通過查找配置包含更多配置選項＃文件目錄中的其他命令＃conf-file = /etc/dnsmasq.more.conf conf-dir = /etc/dnsmasq.d＃與域名相關的域= mordor.fan＃域名＃時間服務器為10.10.10.1。 10.10.10.1 address = / time.windows.com / XNUMX＃發送WPAD值的空選項。  為＃Windos 7及更高版本的客戶端正常運行所必需。  ;-) dhcp-option = 252，“ \ n”＃我們將在其中聲明將被“禁止”的主機的文件addn-hosts = / etc / banner_add_hosts＃如果我們允許，請諮詢Microsoft®DNS服務器“ sauron”運行服務器= / mordor.fan / 10.10.10.3＃關於本地域的查詢將通過＃從/ etc /主機或通過本地DHCP來答复= / mordor.fan /＃關於PTR或反向記錄的查詢將通過服務器得到答复＃ dns”和“ sauron”的順序服務器= / 10.10.10.in-addr.arpa / 10.10.10.5服務器= / 10.10.10.in-addr.arpa / 10.10.10.3＃-------- -------------------------------------------------- ---------＃REGISTROSCNAMEMXTXT＃-------------------------------------- -----------------------------＃此註冊類型需要在/ etc / hosts＃文件中的條目＃，例如：10.10.0.7。 10 troll.mordor.fan troll＃cname = ALIAS，REAL_NAME cname = ad-dc.mordor.fan，sauron.mordor.fan cname = fileserver.mordor.fan，mamba.mordor.fan cname = proxyweb.mordor.fan，darklord .mordor.fan cname = blog.mordor .fan，troll.mordor.fan cname = ftpserver.mordor.fan，shadowftp.mordor.fan cname = mail.mordor.fan，blackelf.mordor.fan cname = www.mordor.fan，blackspider.mordor.fan cname = opendire .mordor.fan，palantir.mordor.fan＃MX RECORDS＃返回名稱為“ mordor.fan”的MX記錄，該MX記錄指向blackelf.mordor.fan團隊，且優先級為10 mx-host = mordor.fan，郵件。 mordor.fan，XNUMX＃使用localmx選項創建的MX記錄的默認目標為：mx-target = mail.mordor.fan＃返回指向所有mx-target的MX記錄＃本地localmx機器＃ TXT記錄。 

dhcp-lease-max = 222＃要租用的最大地址數
                        ＃默認為150
＃IPV6範圍＃dhcp-range = 1234 ::，僅ra＃範圍選項＃選項dhcp-option = 1,255.255.255.0＃NETMASK dhcp-option = 3,10.10.10.253＃ROUTER GATEWAY dhcp-option = 6,10.10.10.5 .15＃DNS服務器dhcp-option = 19,1，mordor.fan＃DNS域名dhcp-option = 28,10.10.10.255＃option ip-forwarding ON dhcp-option = 42,10.10.10.1＃BROADCAST dhcp-option = 40。 41,10.10.10.3＃NTP＃dhcp-option = 44,10.10.10.3，MORDOR＃NIS域名＃dhcp-option = 45,10.10.10.3＃NIS服務器＃dhcp-option = 73,10.10.10.3＃WINS＃dhcp-option = 46,8 ＃NetBIOS數據報＃dhcp-option = XNUMX＃手指服務器＃dhcp-option = XNUMX＃NetBIOS節點dhcp-authoritative＃子網中的權威DHCP＃------------- -------------------------------------------------- ----＃--------------------------------------------- ----------------------＃記錄tail -f / var / log / syslog或journalctl -f＃------------ -------------------------------------------------- -----日誌查詢＃----------------------------------------- -  -  -  -  -  -  -  -  -  -  -  -  -  ＃ 回覆A和SRV記錄對應於Active Directory＃----------------------------------------- --------------------------
＃記錄A
地址= / gc._msdcs.mordor.fan / 10.10.10.3地址= / DomainDnsZones.mordor.fan / 10.10.10.3地址= / ForestDnsZones.mordor.fan / 10.10.10.3

＃Microsoft DNS區域CNAME記錄_msdcs.mordor.fan
cname=03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan,sauron.mordor.fan

＃SRV記錄
# srv-host = ， ， ， ，

＃全球目錄＃ Microsoft DNS區域_msdcs.mordor.fan
srv-host = _ldap._tcp.gc._msdcs.mordor.fan，sauron.mordor.fan，3268,0,0 srv-host = _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor .fan，sauron.mordor.fan，3268,0,0
# Microsoft DNS區域mordor.fan
srv-host = _gc._tcp.mordor.fan，sauron.mordor.fan，3268,0,0 srv-host = _gc._tcp.Default-First-Site-Name._sites.mordor.fan，sauron.mordor.fan .3268,0,0

＃Active Directory的修改後的私有LDAP
＃Microsoft DNS區域_msdcs.mordor.fan
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.dc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.pdc._msdcs.mordor.fan,sauron.mordor.fan,389,0,0
＃Microsoft DNS區域mordor.fan
srv-host=_ldap._tcp.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.DomainDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0
srv-host=_ldap._tcp.ForestDnsZones.mordor.fan,sauron.mordor.fan,389,0,0

#
＃從Active Directory修改並私有的KERBEROS
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kerberos._tcp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._tcp.mordor.fan,sauron.mordor.fan,464,0,0
srv-host=_kerberos._udp.mordor.fan,sauron.mordor.fan,88,0,0
srv-host=_kpasswd._udp.mordor.fan,sauron.mordor.fan,464,0,0

/etc/dnsmasq.conf文件的＃END
＃------------------------------------------------- ------------------

讓我們創建/ etc / banner_add_host文件

[root @ dns〜]＃nano /等/橫幅添加主機
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1。 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns〜]＃dnsmasq-測試
dnsmasq：語法檢查確定。

[root @ dns〜]＃systemctl重新啟動dnsmasq.service 
[root @ dns〜]＃systemctl狀態dnsmasq.service

讓我們修改文件/etc/resolv.conf-解析器

根@ DNS：〜＃納米/etc/resolv.conf 
域mordor.fan搜索mordor.fan

為什麼我們沒有在文件中聲明通常的行 配置文件？ 因為我們在 配置文件 以下指令：

＃如果我們＃讓它運行，請諮詢Microsoft®DNS服務器“ sauron”
服務器= / mordor.fan / 10.10.10.3

＃有關本地域的查詢將由/ etc / hosts或通過DHCP回答＃
當地= / mordor.fan /

＃有關PTR或反向記錄的查詢將由“ dns”和“ sauron”服務器按該順序回答＃
服務器= / 10.10.10.in-addr.arpa / 10.10.10.5服務器= / 10.10.10.in-addr.arpa / 10.10.10.3

來自sysadmin.mordor.fan的查詢

文件 / etc / resolv.conf中 這個團隊的成員是：

嗡嗡聲@ sysadmin：〜$ cat /etc/resolv.conf
＃由NetworkManager搜索mordor.fan nameserver 10.10.10.5生成

嗡嗡聲@ sysadmin：〜$ host -t到spynet4.microsoft.com
spynet4.microsoft.com地址為127.0.0.1

buzz @ sysadmin：〜$ host -t到www.download.windowsupdate.com
www.download.windowsupdate.com地址為127.0.0.1

嗡嗡聲@sysadmin：〜$挖DNS
嗡嗡聲@ sysadmin：〜$挖dns.mordor.fan
;; 問題部分：； dns.mordor.fan。 在一個 ;; 解答部分：dns.mordor.fan。 0在A 10.10.10.5

嗡嗡聲@ sysadmin：〜$ host -t SRV _ldap._tcp.gc._msdcs
嗡嗡聲@ sysadmin：〜$ host -t SRV _ldap._tcp.gc._msdcs.mordor.fan
_ldap._tcp.gc._msdcs.mordor.fan具有SRV記錄0 0 3268 sauron.mordor.fan。

嗡嗡聲@ sysadmin：〜$挖_ldap._tcp.gc._msdcs.mordor.fan
;; 問題部分：； _ ldap._tcp.gc._msdcs.mordor.fan。 在一個 ;; 解答部分：_ldap._tcp.gc._msdcs.mordor.fan。 0在A 10.10.10.3

嗡嗡聲@ sysadmin：〜$挖mordor.fan axfr
嗡嗡聲@ sysadmin：〜$ dig 10.10.10.in-addr.arpa axfr

這樣，我們需要進行多少次諮詢

Dnsmasq + ActiveDirectory®+Microsoft®Windows客戶端

重命名Microsoft®Windows客戶端

七扇 租用IP地址：

根@ DNS：〜＃cat /var/lib/misc/dnsmasq.leases 
1488006009 00:0c:29:d6:14:36 10.10.10.115 seven 01:00:0c:29:d6:14:36

讓我們重命名«七»-哪個未加入Active Directory域-桉樹«。 更改並重新啟動後，我們檢查：

根@ DNS：〜＃cat /var/lib/misc/dnsmasq.leases 
1488006633 00:0c:29:d6:14:36 10.10.10.115 eucaliptus 01:00:0c:29:d6:14:36

更改的歷史記錄可以從“ sysadmin”中看到：

嗡嗡聲@ sysadmin：〜$ host -t A七
seven.mordor.fan地址為10.10.10.115

改名後

嗡嗡聲@ sysadmin：〜$ host -t A七
七個沒有A記錄

嗡嗡聲@ sysadmin：〜$ host -t一個eucaliptus
eucaliptus.mordor.fan地址為10.10.10.115

來自客戶的查詢eucaliptus.mordor.fan

微軟的Windows [版本6.1.7601]
版權所有（c）2009 Microsoft Corporation。 版權所有。

C：\用戶\ buzz> nslookup
默認服務器：dns.mordor.fan地址：10.10.10.5

>索倫
服務器：dns.mordor.fan地址：10.10.10.5名稱：sauron.mordor.fan地址：10.10.10.3

> mordor.fan
服務器：dns.mordor.fan地址：10.10.10.5名稱：mordor.fan地址：10.10.10.3

>桉樹
服務器：dns.mordor.fan地址：10.10.10.5名稱：eucaliptus.mordor.fan地址：10.10.10.115

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan
服務器：dns.mordor.fan地址：10.10.10.5名稱：sauron.mordor.fan地址：10.10.10.3別名：03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

>設置類型= SRV
> _kerberos._udp.mordor.fan
服務器：dns.mordor.fan地址：10.10.10.5 _kerberos._udp.mordor.fan SRV服務位置：優先級= 0重量= 0端口= 88 svr主機名= sauron.mordor.fan sauron.mordor.fan互聯網地址= 10.10.10.3。 XNUMX

> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
服務器：dns.mordor.fan地址：10.10.10.5 _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan SRV服務位置：優先級= 0重量= 0端口= 389 svr主機名= sauron .mordor.fan sauron.mordor.fan互聯網地址= 10.10.10.3

>退出

C：\用戶\ buzz>

Windows客戶端在Microsoft®DNS中的註冊

Windows客戶端未加入ActiveDirectory®域

我們必須檢查由Dnsmasq的不同Windows客戶端租用的IP地址是否在Microsoft®DNS中正確註冊。 它會影響 我們啟用動態更新的方式- 動態更新 在ActiveDirectory®的Microsoft®DNS區域中。 我們從默認的Microsoft DNS配置開始，該默認配置僅允許安全動態更新- 動態更新->僅安全，在其每個區域中。

注意客戶端與當前 FQDN 桉樹.mordor.fan 沒有 附加到Active Directory域（或Samba4 AD-DC），並且是Microsoft規則“只有在“我的域”中註冊的客戶端才能通過“我僅知道”的“我的更新機制”獲得許可，以在“我的DNS”中註冊«。 Samba4 AD-DC教給我們一些好處。

桉樹扇 租用IP 10.10.10.115：

嗡嗡聲@ sysadmin：〜$ host -t一個eucaliptus
eucaliptus.mordor.fan地址為10.10.10.115

讓我們將其名稱更改為«桃花心木«，讓我們重新啟動Windows 7，看看要求輸入名稱時會發生什麼情況«桉樹»ÿ«桃花心木»對於每個DNS，首先對Microsoft DNS，然後對Dnsmasq：

buzz @ sysadmin：〜$ host -t一個eucaliptus.mordor.fan 10.10.10.3
使用域服務器：名稱：10.10.10.3地址：10.10.10.3＃53別名： 

找不到主機eucaliptus.mordor.fan：3（NXDOMAIN）

嗡嗡聲@ sysadmin：〜$ host -t mahogany.mordor.fan 10.10.10.3
使用域服務器：名稱：10.10.10.3地址：10.10.10.3＃53別名： 

找不到主機mahogany.mordor.fan：3（NXDOMAIN)

buzz @ sysadmin：〜$ host -t一個eucaliptus.mordor.fan 10.10.10.5
使用域服務器：名稱：10.10.10.5地址：10.10.10.5＃53別名： 

找不到主機eucaliptus.mordor.fan：3（NXDOMAIN）

嗡嗡聲@ sysadmin：〜$ host -t mahogany.mordor.fan 10.10.10.5
使用域服務器：名稱：10.10.10.5地址：10.10.10.5＃53別名： 

mahogany.mordor.fan地址為10.10.10.115

我們可以更改Windows 7客戶端的名稱， 沒有 附加到域 範多芬 ActiveDirectory®的次數不希望發生，Microsoft®DNS無法發現這些更改或存在這樣的客戶端。 是否可能僅僅是因為我們選擇了該選項  動態更新->僅安全 在Micorosft DNS？的每個區域中。

為了使Microsoft®DNS先生了解更改，我們必須選擇 動態更新->不安全。 親愛的讀者，這個選項意味著任何受尊重的域名服務器（無論是Microsft®還是UNIX®/ Linux）的安全性都存在重大漏洞。 Microsoft®DNS警告該漏洞，因為最終它僅是經過修改和私有化的BIND，可以為我們提供“黑暗安全«。 如果沒有，為什麼您建議保存您的著名產品 註冊 當我們實施ActiveDirectory®？時，Microsoft®DNS的所有DNS設置和記錄。 除了支持對Microsoft®DNS的非安全更新之外，Windows 7客戶端網卡配置中還需要進行以下修改：

讓我們檢查：

嗡嗡聲@ sysadmin：〜$ host -t mahogany.mordor.fan 10.10.10.3
使用域服務器：名稱：10.10.10.3地址：10.10.10.3＃53別名：caoba.mordor.fan的地址為10.10.10.115

buzz @ sysadmin：〜$主機10.10.10.115 10.10.10.3
使用域服務器：名稱：10.10.10.3地址：10.10.10.3＃53別名：115.10.10.10.in-addr.arpa域名指針mahogany.mordor.fan。

嗡嗡聲@ sysadmin：〜$ host -t桃花心木10.10.10.5
使用域服務器：名稱：10.10.10.5地址：10.10.10.5＃53別名：caoba.mordor.fan的地址為10.10.10.115

buzz @ sysadmin：〜$主機10.10.10.115 10.10.10.5
使用域服務器：名稱：10.10.10.5地址：10.10.10.5＃53別名：115.10.10.10.in-addr.arpa域名指針mahogany.mordor.fan。

是現在。 對於未通過任何方式同步的兩個DNS服務器，這是多麼好的同步！

Windows客戶端已加入ActiveDirectory®域

讓我們團結客戶 桃花心木 到域中，但是在消除我們對網卡配置所做的修改之前，如果有任何時候我們進行了此操作以驗證上一章的要旨，則不可以。 同時刪除«的條目桃花心木»在微軟® DNS，然後將動態更新返回到其«僅安全«。 順便說一句，重新啟動Microsoft服務是有效的® DNS.

加入域名後，儘管我們竭盡全力，客戶«桃花心木»未在Microsoft®DNS中註冊。 我們甚至在 配置文件 -temporary-第一個DNS服務器是10.10.10.3。

微軟的Windows [版本6.1.7601]
版權所有（c）2009 Microsoft Corporation。 版權所有。

C：\用戶\ saruman> ipconfig /全部

Windows IP配置主機名。 。 。 。 。 。 。 。 。 。 。 。 ：桃花心木主要Dns後綴。 。 。 。 。 。 。 ：mordor.fan節點類型。 。 。 。 。 。 。 。 。 。 。 。 ：啟用混合IP路由。 。 。 。 。 。 。 。 ：沒有啟用WINS代理。 。 。 。 。 。 。 。 ：沒有DNS後綴搜索列表。 。 。 。 。 。 ：mordor.fan以太網適配器本地連接：特定於連接的DNS後綴。 ：mordor.fan說明。 。 。 。 。 。 。 。 。 。 。 ：英特爾（R）PRO / 1000 MT網絡連接物理地址。 。 。 。 。 。 。 。 。 ：00-0C-29-D6-14-36 DHCP啟用。 。 。 。 。 。 。 。 。 。 ：是啟用自動配置。 。 。 。 ：是鏈接本地IPv6地址。 。 。 。 。 ：fe80 :: 352a：b954：7eba：963e％12（首選）IPv4地址。 。 。 。 。 。 。 。 。 。 。 ：10.10.10.115（首選）子網掩碼。 。 。 。 。 。 。 。 。 。 。 ：255.255.255.0取得租賃。 。 。 。 。 。 。 。 。 。 ：25年2017月8日，星期六，上午19:05:25租賃到期。 。 。 。 。 。 。 。 。 。 ：2017年4月20日，星期六，下午36:10.10.10.253:10.10.10.5默認網關。 。 。 。 。 。 。 。 。 ：6 DHCP服務器。 。 。 。 。 。 。 。 。 。 。 ：251661353 DHCPv6 IAID。 。 。 。 。 。 。 。 。 。 。 ：00 DHCPv01客戶端DUID。 。 。 。 。 。 。 。 ：00-01-20-3-69-81B-00-0-29-6C-14-D36-XNUMX-XNUMX

   DNS服務器。 。 。 。 。 。 。 。 。 。 。 ：10.10.10.3
                                       10.10.10.5
   通過Tcpip的NetBIOS。 。 。 。 。 。 。 。 ：啟用隧道適配器isatap.mordor.fan：媒體狀態。 。 。 。 。 。 。 。 。 。 。 ：媒體斷開連接特定於DNS的後綴。 ：mordor.fan說明。 。 。 。 。 。 。 。 。 。 。 ：Microsoft ISATAP適配器物理地址。 。 。 。 。 。 。 。 。 ：00-00-00-00-00-00-00-E0 DHCP啟用。 。 。 。 。 。 。 。 。 。 ：未啟用自動配置。 。 。 。 ：是隧道適配器本地連接* 9：媒體狀態。 。 。 。 。 。 。 。 。 。 。 ：媒體斷開連接特定於DNS的後綴。 ：說明。 。 。 。 。 。 。 。 。 。 。 ：Microsoft Teredo隧道適配器物理地址。 。 。 。 。 。 。 。 。 ：00-00-00-00-00-00-00-E0 DHCP啟用。 。 。 。 。 。 。 。 。 。 ：未啟用自動配置。 。 。 。 ：這是

C：\用戶\ saruman>

嗡嗡聲@ sysadmin：〜$ host -t mahogany.mordor.fan 10.10.10.3
使用域服務器：名稱：10.10.10.3地址：10.10.10.3＃53別名：找不到主機caoba.mordor.fan：3（NXDOMAIN）

嗡嗡聲@sysadmin：〜$ host -t到mahogany.mordor.fan
mahogany.mordor.fan地址為10.10.10.115

• 客戶註冊的唯一方式«桃花心木»在Microsft®DNS中，正在按照指示修改網卡ó 在上一張圖片中，即明確指出：連接的DNS後綴是mordor.fan，它在DNS中註冊了連接的地址，並且在註冊連接時使用了聲明的DNS後綴.

嗡嗡聲@ sysadmin：〜$ host -t mahogany.mordor.fan 10.10.10.3
使用域服務器：名稱：10.10.10.3地址：10.10.10.3＃53別名：caoba.mordor.fan的地址為10.10.10.115

嗡嗡聲@ sysadmin：〜$ host -t mahogany.mordor.fan
mahogany.mordor.fan地址為10.10.10.115

讓我們將名稱從“桃花心木”更改為“雪松”

嗡嗡聲@ sysadmin：〜$ host -t mahogany.mordor.fan 10.10.10.3
使用域服務器：名稱：10.10.10.3地址：10.10.10.3＃53別名：找不到主機caoba.mordor.fan：3（NXDOMAIN）

buzz @ sysadmin：〜$ host -t到cedar.mordor.fan 10.10.10.3
使用域服務器：名稱：10.10.10.3地址：10.10.10.3＃53別名：cedro.mordor.fan的地址為10.10.10.115

嗡嗡聲@ sysadmin：〜$ host -t mahogany.mordor.fan 10.10.10.5
使用域服務器：名稱：10.10.10.5地址：10.10.10.5＃53別名：找不到主機caoba.mordor.fan：3（NXDOMAIN）

buzz @ sysadmin：〜$ host -t到cedar.mordor.fan 10.10.10.5
使用域服務器：名稱：10.10.10.5地址：10.10.10.5＃53別名：cedro.mordor.fan的地址為10.10.10.115

一切正常，就像Microsoft®客戶端和Microsoft®DNS一樣。

讓我們使用Microsoft®DHCP和Microsoft®DNS

尊敬的讀者，本章不涉及致力於自由軟件的博客。 請參閱Microsoft®幫助。 他們不相信嗎？ 😉

結論

當我們使Microsoft®DNS與Dnsmasq在SME網絡中共存時，可以使用多種方法來使用它。 其中，我們將僅提及以下內容：

• 在運行Microsoft®DNS服務的計算機上完全停止它，指示此服務啟動後被禁用。 取消選中每個Microsoft®客戶端的網卡配置中的選項，以在DNS中註冊連接地址。 從文件中刪除 /etc/dnsmasq.conf 指示 服務器= / mordor.fan / 10.10.10.3. 筆記:
  • 即使對記錄的查詢未得到答复 SOA的 y NS，網絡將正常運行，並且將Microsoft®和Linux®不同客戶端結合到ActiveDirectory®域。
  • 它的優點是，在SME LAN中將只有一個域名服務器-男性-它將是Dnsmasq。 ;-)。 另一方面，消除了Microsoft®DNS中存儲的DNS記錄與通過Dnsmasq可用的DNS記錄之間不一致的可能性。
• 使Microsoft®DNS運行，以便僅回答有關SOA和NS記錄的DNS查詢。 注意s:
  • 修改每個Windows客戶端的網卡配置，取消選中在DNS中註冊連接地址的選項。
  • 我們認為 這種解決方案是浪費資源。
• 配置服務，就像我們在整篇文章中所看到的那樣，它顯示了更多類似於Microsoft®哲學的解決方案-不是FreeBSD / Linux- Ok嗎。

總結

• Microsoft®DNS提案非常封閉。 它不會為不符合其密封原理的其他解決方案留出空間。
• 大自然母親告訴我們，我們存在於一個多元化的宇宙中。 通常的做法是擁有混合的LAN，朝著Free Software過渡，並擁有豐富的生活和多樣性。
• 對於Microsoft®來說，似乎沒有加入“他的哲學”的客戶就是被淘汰者，因此不要理會它們。
• 使用私有軟件有多困難！ 我寧願花一些時間來設置免費軟件，而且要真正做到免費，該死！

“真理的最佳判據是實踐。”