BIND кэширующий ДЛЯ домена WINDOWS
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 27
- Зарегистрирован: 2010-10-13 7:15:19
BIND кэширующий ДЛЯ домена WINDOWS
Доброго дня всем! Не могу найти ответа на свой вопрос. А именно - BIND, как кэширующий сервер в сети Active Directory.
Есть АД WINDOWS с мастер DNS (192.168.0.1), который разрешает имена во внутренней сети. А в случае не обнаружения имени хоста пересылает запрос на кэширующий сервер DNS (192.168.0.2 он же ISA сервер), который в свою очередь форвардит запросы на DNS провайдера. Решили отказаться от сервера ISA и перевести защиту и контроль на FREEBSD. Поставил и настроил SQUID в связке с AD, настроил PF. Осталось разобраться с BIND, чего у меня и не получается. Подскажите, плиз, как настроить кэширующий DNS, который сможет отвечать на запросы с мастер DNS сервера AD, форвардить запросы на DNS провайдера, сохранять в кэш результаты, возвращать их мастер DNS и в тоже время за именами хостов локальной сети обращаться к мастер DNS домена windows. Т.е. делать тоже, что делал ранее сервер 192.168.0.2.
Заранее благодарю!
Есть АД WINDOWS с мастер DNS (192.168.0.1), который разрешает имена во внутренней сети. А в случае не обнаружения имени хоста пересылает запрос на кэширующий сервер DNS (192.168.0.2 он же ISA сервер), который в свою очередь форвардит запросы на DNS провайдера. Решили отказаться от сервера ISA и перевести защиту и контроль на FREEBSD. Поставил и настроил SQUID в связке с AD, настроил PF. Осталось разобраться с BIND, чего у меня и не получается. Подскажите, плиз, как настроить кэширующий DNS, который сможет отвечать на запросы с мастер DNS сервера AD, форвардить запросы на DNS провайдера, сохранять в кэш результаты, возвращать их мастер DNS и в тоже время за именами хостов локальной сети обращаться к мастер DNS домена windows. Т.е. делать тоже, что делал ранее сервер 192.168.0.2.
Заранее благодарю!
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2009-06-14 7:02:26
Re: BIND кэширующий ДЛЯ домена WINDOWS
зачем, зачем вы это делаете?
-
- рядовой
- Сообщения: 27
- Зарегистрирован: 2010-10-13 7:15:19
Re: BIND кэширующий ДЛЯ домена WINDOWS
Даже не знаю, как Вам ответить. Можно более развернутый вопрос? Или просто совет дать
-
- рядовой
- Сообщения: 27
- Зарегистрирован: 2010-10-13 7:15:19
Re: BIND кэширующий ДЛЯ домена WINDOWS
Подскажите тогда, какая схема самая верная для данного случая? Буду признателенBurner писал(а):зачем, зачем вы это делаете?
- BlackCat
- прапорщик
- Сообщения: 469
- Зарегистрирован: 2007-10-16 22:40:42
Re: BIND кэширующий ДЛЯ домена WINDOWS
P-Bereza, BIND будет кешировать собранные данные, особой настройки тут не требуется. Вам останется только прописать какие домены (зоны) через какие DNS-сервера разрешать. Т.е. указать, что зона для внутренней сети обслуживается AD DNS-сервером, а для всех остальных запросов указать DNS-сервера провайдера.
Если захочется конфиденциальности, то можно, но не обязательно, ограничить доступ к BIND'у с помощью ACL.
Если захочется конфиденциальности, то можно, но не обязательно, ограничить доступ к BIND'у с помощью ACL.
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: BIND кэширующий ДЛЯ домена WINDOWS
В принципе все равно как строить, я имею в виду он сам будет ходить к корневым доменам или же вы его настроите как форвард на днс провайдера, трафик будет в любом случае почти минимален, кроме того, ваш виндовый сервер dns является кэширующим, единственно, что надо будет делать так это внутренние зоны, которые забирайте с винды, не забудьте надо брать и прямую и обратную зону...P-Bereza писал(а):Даже не знаю, как Вам ответить. Можно более развернутый вопрос? Или просто совет дать
-
- рядовой
- Сообщения: 27
- Зарегистрирован: 2010-10-13 7:15:19
Re: BIND кэширующий ДЛЯ домена WINDOWS
Вот именно это я и не могу разобрать, как правильно написать в конфиге.BlackCat писал(а):P-Bereza, Т.е. указать, что зона для внутренней сети обслуживается AD DNS-сервером, а для всех остальных запросов указать DNS-сервера провайдера.
Но все равно благодарю за ответы!
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: BIND кэширующий ДЛЯ домена WINDOWS
А чего прописывать?P-Bereza писал(а):Вот именно это я и не могу разобрать, как правильно написать в конфиге.BlackCat писал(а):P-Bereza, Т.е. указать, что зона для внутренней сети обслуживается AD DNS-сервером, а для всех остальных запросов указать DNS-сервера провайдера.
Но все равно благодарю за ответы!
forwarders { ip провайдера};
и 2-е зоны + в cron задание на забор зон
Код: Выделить всё
#!/bin/sh
rndc retransfer <имя прямой зоны>
rndc retransfer <имя обратной зоны>
- BlackCat
- прапорщик
- Сообщения: 469
- Зарегистрирован: 2007-10-16 22:40:42
Re: BIND кэширующий ДЛЯ домена WINDOWS
ISC выпускает отличный документ "BIND9 Administrator Reference Manual" (https://www.isc.org/files/Bv9.4ARM.pdf). Так-же посмотрите статьи на сайте, что бы "привыкнуть" к общему виду конфигурационного файла и расположения опций в нём. Уже упомянутая опция forwarders применяется вот в этой статье: http://www.lissyara.su/articles/freebsd/programms/bind/ (только в качестве примера написания конфигурационного файла).P-Bereza писал(а):Вот именно это я и не могу разобрать, как правильно написать в конфиге.
=====
P-Bereza, наводящий вопрос, вы уверены, что ваш DNS-сервер должен разрешать имена во внутренней сети? И как это должно выглядеть: перенаправление запросов на DNS-сервер AD или вы хотите поднять вторичный DNS-сервер для AD на базе BIND'а?
-
- рядовой
- Сообщения: 27
- Зарегистрирован: 2010-10-13 7:15:19
Re: BIND кэширующий ДЛЯ домена WINDOWS
Хосты внутренней сети именно перенаправлением запросов на днс сервер АД. Вторичный мне не нуженBlackCat писал(а):P-Bereza писал(а):наводящий вопрос, вы уверены, что ваш DNS-сервер должен разрешать имена во внутренней сети? И как это должно выглядеть: перенаправление запросов на DNS-сервер AD или вы хотите поднять вторичный DNS-сервер для AD на базе BIND'а?
-
- рядовой
- Сообщения: 27
- Зарегистрирован: 2010-10-13 7:15:19
Re: BIND кэширующий ДЛЯ домена WINDOWS
сейчас мой мастер ДНС (который в АД и держит и соответственно разрешает прямую и обратную зону) спрашивает у DNS сервера который стоит на brandmauer-e ISA где находится, например "яндекс". Тот в свою очередь смотрит у себя в кэшэ и если не находит задает этот же вопрос ДНС серверу провайдера. Можно конечно сделать так чтобы сервер ДНС АД сам разрешал имена в интернете по корневым серверам или через провайдера. Но на мелкософте так вроде не рекомендуют делать. Что то я совсем запутался - в теории все понимаю, а как это руками написать -нифига. Пойду курить маны! А мож на... эти рекомендации? Что скажете ГУРУ фри?
- BlackCat
- прапорщик
- Сообщения: 469
- Зарегистрирован: 2007-10-16 22:40:42
Re: BIND кэширующий ДЛЯ домена WINDOWS
Зачем вам вообще перенаправлять запросы, относящиеся к узлам внутренней сети? Или так: кто будет обращаться к BIND'у с запросами, относящимися к узлам внутренней сети?P-Bereza писал(а):Хосты внутренней сети именно перенаправлением запросов на днс сервер АД. Вторичный мне не нужен
=====
Попробуйте запустить BIND с конфигурацией по-умолчанию. Когда всё начнёт работать, тогда и начинайте что-то менять, добиваясь более точного выполнения поставленной задачи (например, добавить подержку DNS-серверов провайдера или настроить списки контроля доступа).
-
- рядовой
- Сообщения: 27
- Зарегистрирован: 2010-10-13 7:15:19
Re: BIND кэширующий ДЛЯ домена WINDOWS
К Bindy никто обращаться за разрешением имен внутренней сети не будет. Все клиенты настроены на мастер ДНС в АД. А вот сама фряха, на которой и стоит БИНД, должна же за разрешением имени внутренней сети обратиться к мастер ДНС. Например для некоторых правил в PFBlackCat писал(а):кто будет обращаться к BIND'у с запросами, относящимися к узлам внутренней сети?
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: BIND кэширующий ДЛЯ домена WINDOWS
Да все у тебя нормально настроено... Тут один ключевой момент, куда будет ходить твой dns на AD к провайдеру или же к корневым серверам, при этом к провайдеру я понимаю как запрос на ISA или же на фрю или же напрямую к dns провайдеру. Из моего опыта практически без разницы, посколькуP-Bereza писал(а):сейчас мой мастер ДНС (который в АД и держит и соответственно разрешает прямую и обратную зону) спрашивает у DNS сервера который стоит на brandmauer-e ISA где находится, например "яндекс". Тот в свою очередь смотрит у себя в кэшэ и если не находит задает этот же вопрос ДНС серверу провайдера. Можно конечно сделать так чтобы сервер ДНС АД сам разрешал имена в интернете по корневым серверам или через провайдера. Но на мелкософте так вроде не рекомендуют делать. Что то я совсем запутался - в теории все понимаю, а как это руками написать -нифига. Пойду курить маны! А мож на... эти рекомендации? Что скажете ГУРУ фри?
1. если у кого нет в кеше он все равно полезет к корневикам и совершит рекурсию запроса,
2. dns на w2k3 является сам кэширующим...
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: BIND кэширующий ДЛЯ домена WINDOWS
Ну так и скажи ей, что dns у нее это dns AD, и пропусти 53 порт от контроллера AD в интернет... И тогда не надо на ней bind строить...P-Bereza писал(а):К Bindy никто обращаться за разрешением имен внутренней сети не будет. Все клиенты настроены на мастер ДНС в АД. А вот сама фряха, на которой и стоит БИНД, должна же за разрешением имени внутренней сети обратиться к мастер ДНС. Например для некоторых правил в PFBlackCat писал(а):кто будет обращаться к BIND'у с запросами, относящимися к узлам внутренней сети?
-
- рядовой
- Сообщения: 27
- Зарегистрирован: 2010-10-13 7:15:19
Re: BIND кэширующий ДЛЯ домена WINDOWS
Наверное это самое верное решение. Благодарю всех за помощь!snorlov писал(а):Ну так и скажи ей, что dns у нее это dns AD, и пропусти 53 порт от контроллера AD в интернет... И тогда не надо на ней bind строить...P-Bereza писал(а):К Bindy никто обращаться за разрешением имен внутренней сети не будет. Все клиенты настроены на мастер ДНС в АД. А вот сама фряха, на которой и стоит БИНД, должна же за разрешением имени внутренней сети обратиться к мастер ДНС. Например для некоторых правил в PFBlackCat писал(а):кто будет обращаться к BIND'у с запросами, относящимися к узлам внутренней сети?