BIND кэширующий ДЛЯ домена WINDOWS

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
P-Bereza
рядовой
Сообщения: 27
Зарегистрирован: 2010-10-13 7:15:19

BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение P-Bereza » 2010-10-13 8:29:50

Доброго дня всем! Не могу найти ответа на свой вопрос. А именно - BIND, как кэширующий сервер в сети Active Directory.
Есть АД WINDOWS с мастер DNS (192.168.0.1), который разрешает имена во внутренней сети. А в случае не обнаружения имени хоста пересылает запрос на кэширующий сервер DNS (192.168.0.2 он же ISA сервер), который в свою очередь форвардит запросы на DNS провайдера. Решили отказаться от сервера ISA и перевести защиту и контроль на FREEBSD. Поставил и настроил SQUID в связке с AD, настроил PF. Осталось разобраться с BIND, чего у меня и не получается. Подскажите, плиз, как настроить кэширующий DNS, который сможет отвечать на запросы с мастер DNS сервера AD, форвардить запросы на DNS провайдера, сохранять в кэш результаты, возвращать их мастер DNS и в тоже время за именами хостов локальной сети обращаться к мастер DNS домена windows. Т.е. делать тоже, что делал ранее сервер 192.168.0.2.
Заранее благодарю!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение Burner » 2010-10-13 8:33:45

зачем, зачем вы это делаете?

P-Bereza
рядовой
Сообщения: 27
Зарегистрирован: 2010-10-13 7:15:19

Re: BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение P-Bereza » 2010-10-13 8:42:29

Даже не знаю, как Вам ответить. Можно более развернутый вопрос? Или просто совет дать

P-Bereza
рядовой
Сообщения: 27
Зарегистрирован: 2010-10-13 7:15:19

Re: BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение P-Bereza » 2010-10-13 11:10:56

Burner писал(а):зачем, зачем вы это делаете?
Подскажите тогда, какая схема самая верная для данного случая? Буду признателен

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение BlackCat » 2010-10-14 18:43:35

P-Bereza, BIND будет кешировать собранные данные, особой настройки тут не требуется. Вам останется только прописать какие домены (зоны) через какие DNS-сервера разрешать. Т.е. указать, что зона для внутренней сети обслуживается AD DNS-сервером, а для всех остальных запросов указать DNS-сервера провайдера.
Если захочется конфиденциальности, то можно, но не обязательно, ограничить доступ к BIND'у с помощью ACL.

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение snorlov » 2010-10-14 20:39:27

P-Bereza писал(а):Даже не знаю, как Вам ответить. Можно более развернутый вопрос? Или просто совет дать
В принципе все равно как строить, я имею в виду он сам будет ходить к корневым доменам или же вы его настроите как форвард на днс провайдера, трафик будет в любом случае почти минимален, кроме того, ваш виндовый сервер dns является кэширующим, единственно, что надо будет делать так это внутренние зоны, которые забирайте с винды, не забудьте надо брать и прямую и обратную зону...

P-Bereza
рядовой
Сообщения: 27
Зарегистрирован: 2010-10-13 7:15:19

Re: BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение P-Bereza » 2010-10-20 7:07:53

BlackCat писал(а):P-Bereza, Т.е. указать, что зона для внутренней сети обслуживается AD DNS-сервером, а для всех остальных запросов указать DNS-сервера провайдера.
Вот именно это я и не могу разобрать, как правильно написать в конфиге.
Но все равно благодарю за ответы!

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение snorlov » 2010-10-20 8:29:07

P-Bereza писал(а):
BlackCat писал(а):P-Bereza, Т.е. указать, что зона для внутренней сети обслуживается AD DNS-сервером, а для всех остальных запросов указать DNS-сервера провайдера.
Вот именно это я и не могу разобрать, как правильно написать в конфиге.
Но все равно благодарю за ответы!
А чего прописывать?
forwarders { ip провайдера};
и 2-е зоны + в cron задание на забор зон

Код: Выделить всё

#!/bin/sh
rndc retransfer <имя прямой зоны>
rndc retransfer <имя обратной зоны>
В свойствах сливаемых зон на w2k3 указать ip фри, закладка ZONE Transfers

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение BlackCat » 2010-10-20 9:15:18

P-Bereza писал(а):Вот именно это я и не могу разобрать, как правильно написать в конфиге.
ISC выпускает отличный документ "BIND9 Administrator Reference Manual" (https://www.isc.org/files/Bv9.4ARM.pdf). Так-же посмотрите статьи на сайте, что бы "привыкнуть" к общему виду конфигурационного файла и расположения опций в нём. Уже упомянутая опция forwarders применяется вот в этой статье: http://www.lissyara.su/articles/freebsd/programms/bind/ (только в качестве примера написания конфигурационного файла).
=====
P-Bereza, наводящий вопрос, вы уверены, что ваш DNS-сервер должен разрешать имена во внутренней сети? И как это должно выглядеть: перенаправление запросов на DNS-сервер AD или вы хотите поднять вторичный DNS-сервер для AD на базе BIND'а?

P-Bereza
рядовой
Сообщения: 27
Зарегистрирован: 2010-10-13 7:15:19

Re: BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение P-Bereza » 2010-10-20 9:36:48

BlackCat писал(а):
P-Bereza писал(а):наводящий вопрос, вы уверены, что ваш DNS-сервер должен разрешать имена во внутренней сети? И как это должно выглядеть: перенаправление запросов на DNS-сервер AD или вы хотите поднять вторичный DNS-сервер для AD на базе BIND'а?
Хосты внутренней сети именно перенаправлением запросов на днс сервер АД. Вторичный мне не нужен

P-Bereza
рядовой
Сообщения: 27
Зарегистрирован: 2010-10-13 7:15:19

Re: BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение P-Bereza » 2010-10-20 9:54:02

сейчас мой мастер ДНС (который в АД и держит и соответственно разрешает прямую и обратную зону) спрашивает у DNS сервера который стоит на brandmauer-e ISA где находится, например "яндекс". Тот в свою очередь смотрит у себя в кэшэ и если не находит задает этот же вопрос ДНС серверу провайдера. Можно конечно сделать так чтобы сервер ДНС АД сам разрешал имена в интернете по корневым серверам или через провайдера. Но на мелкософте так вроде не рекомендуют делать. Что то я совсем запутался - в теории все понимаю, а как это руками написать -нифига. Пойду курить маны! А мож на... эти рекомендации? Что скажете ГУРУ фри?

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение BlackCat » 2010-10-20 10:21:56

P-Bereza писал(а):Хосты внутренней сети именно перенаправлением запросов на днс сервер АД. Вторичный мне не нужен
Зачем вам вообще перенаправлять запросы, относящиеся к узлам внутренней сети? Или так: кто будет обращаться к BIND'у с запросами, относящимися к узлам внутренней сети?
=====
Попробуйте запустить BIND с конфигурацией по-умолчанию. Когда всё начнёт работать, тогда и начинайте что-то менять, добиваясь более точного выполнения поставленной задачи (например, добавить подержку DNS-серверов провайдера или настроить списки контроля доступа).

P-Bereza
рядовой
Сообщения: 27
Зарегистрирован: 2010-10-13 7:15:19

Re: BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение P-Bereza » 2010-10-20 10:42:11

BlackCat писал(а):кто будет обращаться к BIND'у с запросами, относящимися к узлам внутренней сети?
К Bindy никто обращаться за разрешением имен внутренней сети не будет. Все клиенты настроены на мастер ДНС в АД. А вот сама фряха, на которой и стоит БИНД, должна же за разрешением имени внутренней сети обратиться к мастер ДНС. Например для некоторых правил в PF

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение snorlov » 2010-10-20 10:52:04

P-Bereza писал(а):сейчас мой мастер ДНС (который в АД и держит и соответственно разрешает прямую и обратную зону) спрашивает у DNS сервера который стоит на brandmauer-e ISA где находится, например "яндекс". Тот в свою очередь смотрит у себя в кэшэ и если не находит задает этот же вопрос ДНС серверу провайдера. Можно конечно сделать так чтобы сервер ДНС АД сам разрешал имена в интернете по корневым серверам или через провайдера. Но на мелкософте так вроде не рекомендуют делать. Что то я совсем запутался - в теории все понимаю, а как это руками написать -нифига. Пойду курить маны! А мож на... эти рекомендации? Что скажете ГУРУ фри?
Да все у тебя нормально настроено... Тут один ключевой момент, куда будет ходить твой dns на AD к провайдеру или же к корневым серверам, при этом к провайдеру я понимаю как запрос на ISA или же на фрю или же напрямую к dns провайдеру. Из моего опыта практически без разницы, поскольку
1. если у кого нет в кеше он все равно полезет к корневикам и совершит рекурсию запроса,
2. dns на w2k3 является сам кэширующим...

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение snorlov » 2010-10-20 10:55:58

P-Bereza писал(а):
BlackCat писал(а):кто будет обращаться к BIND'у с запросами, относящимися к узлам внутренней сети?
К Bindy никто обращаться за разрешением имен внутренней сети не будет. Все клиенты настроены на мастер ДНС в АД. А вот сама фряха, на которой и стоит БИНД, должна же за разрешением имени внутренней сети обратиться к мастер ДНС. Например для некоторых правил в PF
Ну так и скажи ей, что dns у нее это dns AD, и пропусти 53 порт от контроллера AD в интернет... И тогда не надо на ней bind строить...

P-Bereza
рядовой
Сообщения: 27
Зарегистрирован: 2010-10-13 7:15:19

Re: BIND кэширующий ДЛЯ домена WINDOWS

Непрочитанное сообщение P-Bereza » 2010-10-20 12:23:34

snorlov писал(а):
P-Bereza писал(а):
BlackCat писал(а):кто будет обращаться к BIND'у с запросами, относящимися к узлам внутренней сети?
К Bindy никто обращаться за разрешением имен внутренней сети не будет. Все клиенты настроены на мастер ДНС в АД. А вот сама фряха, на которой и стоит БИНД, должна же за разрешением имени внутренней сети обратиться к мастер ДНС. Например для некоторых правил в PF
Ну так и скажи ей, что dns у нее это dns AD, и пропусти 53 порт от контроллера AD в интернет... И тогда не надо на ней bind строить...
Наверное это самое верное решение. Благодарю всех за помощь! :smile: