Вобщем проблема из-за незнания BSD. Хочу чтоб БСД сервер был техническим сервером (DNS, Firewall, Gateway+router), а W2K сервер с Active Directory, ну чтоб разграничивать всех и вся. вот токо проблема тут как тут... чтоб был АД нужно ДНС, чтоб был днс надо перенастраивать сеть, или как... короче запутался... Помогите Христа ради... как лучше, и вообще может это всё хрень несусветная....
Зачем ?
Поднимаешь домен как положено с ДНС и в свойствах ДНС сервера контролера настраиваешь форвардинг на ДНС сервер с BSD и все. У все пользователей в роли ДНС прописываешь адрес контролера домена, а он уже сам будет форвардить запросы касающиеся инета на BSD, а тот далее.
Правильно заданный вопрос - это уже половина ответа.
кстати ДНС служба должна быть полностью прописана, то есть копия днс на БСД но с форвардингом на оную? или может определить только круг из 7 машин которые будут иметь те же днс имена что и до установки 2К сервера. а вообще бы немешало мне почитать чего, а то полуинтуитивно черная кошка в чёрной комнате. может есть где теория по ДНС? (научная, а не как в окошках нащёлкивать)??
и это, АД без ДНС никак, тоесть АД полностью зависит от ДНС чтоль?
попросту - DNS на W2K будет обслуживать локалку (ибо AD без него не может), а все остальные запросы (интернет) он будет пересылать на BSD, а тот уже ими заниматься. Только в DNS на W2K настроить пересылку на BSD.
ты имеешь в виду зону обратного просмотра ?
Ее если ты будешь поднимать домен лучше держать на контролере домена, так как ему она нужна, а вот для шлюза инета нет.
Правильно заданный вопрос - это уже половина ответа.
вот написал небольшой хау-ту или фак. предлагаю где-нить закрепить.
имхо это частые вопросы
"как мне сделать две зоны с одинаковым именем" и
" как мне сделать почтовый периметр"
готов и написать " как мне сделать почтовый периметр" на базе linux'а (trustix или suse + postfix+clamd+spamassasin)
подразумевается что на unix установлен в качестве dns bind 9. для версии 4 и 8 view не работает и тогда надо будет запускать два демона с разными конфигами и привязывать на разные интерфейсы
дано:
домен domain.tld испльзуется как в AD, так и для внешних сервисов - почты сайта.
машина с freebsd имя gate.domain.tld, ip(lan)=192.168.0.3 ip(wan)=23.0.0.1, сервисы: nat,fw,dns,dhcp
машика с win2k имя dc.domain.tld, ip(lan)=172.168.0.1, сервисы: DC+AD,dns,dhcp,wins,exchange,<еще_что_нибудь>
надо:
1.обеспечить корректную поддержку dns(внешний+внутренний),
2.поддержку динамического dhs/dhcp с резервацией на freeвывю
3.обеспечить выход в инет через шлюз на freebsd
4.получать почту на почтовый шлюз, проверять на вирусы+спам и переправлять ее на exchange.
допустим:
- все серверы установлены, поднята AD
- на freebsd поднят кэширующий DNS.
- на freebsd установлен dhcp, но не запущен и не сконфигурен.
решение:
dns:
1. создаем на freebsd две зоны для domain.tld
1.1 вторичную зану с AD
1.2 и первичную с внешними адресами.
2. разрешаем экспорт зоны на контроллере для freebsd
dhcp:
3. настраиваем на freebsd dhcp так, что бы он выдавал ip
из того же диапазона и регистрировал их на контроллере
домена.
почта:
4. почту пока не трогаем.
начинаем делать п.1:
заходим по ssh на freebsd и правим конфиг dhs сервера:
в /etc/namedb/named.conf пишем:
Код
# список доступа для внутренней сети.
acl insiders { 192.168.0.0/24; 127.0.0.1; };
# список доступа для всех остальных
acl external { any; };
# список доступа для вторичных dns провайдеров
# ns1.provider1.ru = 23.111.1.1
# ns2.provider2.ru = 9.9.9.1
#
acl secondaries { 23.111.1.1; 9.9.9.1; };
# ripn тестировал зоны с этих серверов, сейчас это вроде бы, делает nic.ru откуда не знаю :(
acl ripn-tester { 194.85.119.3; 194.85.119.4; };
# определение внутренней зоны
view "int-zones" {
match-clients { "internal"; };
allow-transfer { "local-sec"; "tester"; "dmz-machine"; };
# параметры зоны прямого просмотра
zone "domain.tld" {
type slave;
file "sec/int.domain.tld";
masters { 192.168.0.1; };
allow-query { internal; };
notify no;
}; # end zone domain.tld
# параметры зоны обратного просмотра
zone "0.168.192.in-addr.arpa" IN {
type slave;
file "rev.domain.tld";
masters { 192.168.0.1; };
};
}; # end view internal
[/code]
# создаем зону для внешнего просмотра
# зона "." тоже должна быть тут. у меня так и никто не жаловался # зоны localhost и 0.0.127.in-addr.arpa так тута...
Код
view "ext-zones" {
zone "domain.tld" {
type master;
file "prim/ext.domain.tld";
allow-transfer { "secondaries"; "ripn-tester"; };
notify yes;
}; # end zone alfastrah.ru
}; # end view external
[/code]
создаем файл первичной зоны для domain.tld
vi /etc/namedb/named.conf
и пишем туда:
Код
$ORIGIN domain.tld.
$TTL 86400 ; 1 day
@ IN SOA gate.domain.tld. hostmaster.domain.tld. (
2005031101; serial
28800 ; refresh (8 hours)
7200 ; retry (2 hours)
604800 ; expire (1 week)
86400 ; minimum (1 day)
)
# можно в базе ripn указать вторичные dns провайдеров (stealth dns)
# тогда все изменения в зоне будут делаться Вами исключая переписку с провайдером.
@ NS dns1.provider1.ru.
@ NS dns2.provider2.ru.
@ A 23.0.0.1
# это новомодное требование для антиспамерских проверок.
@ IN TXT "v=spf1 +MX +ip4:23.0.0.1/28 ~all"
# $ORIGIN будет добавлляться после имени, если в конце нету точки.
@ IN MX 100 gate
@ IN MX 200 mail.provider1.ru.
@ IN MX 300 mail.provider2.ru.
gate IN A 23.0.0.1
www IN A 23.0.0.2
# все остальные ip не оставим без имени
$GENERATE 3-254 host-$ A 23.0.0.$
[/code]
вот, теперь фришный dhs отдает правильные ip как для внешних, так и для внутренних запросов.
делаем dhcp:
ищем где лежит dhcpd.conf (у меня в /etc)
и правим его:
Код
# описываем хост с динамическим dns, т.е. контроллер домена
ddns-hostname "dc";
# прописываем доменное имя
ddns-domainname "domain.tld";
# тоже самое для обратной зоны
ddns-rev-domainname "0.168.192.in-addr.arpa";
default-lease-time 604800; # 1W
max-lease-time 10368000;
ddns-update-style ad-hoc;
subnet 192.168.0.0 netmask 255.255.255.0 {
# первые 10 резервируем для серверов.
range 192.168.0.10 192.168.23.254;
# шлюз указывает на freebsd
option routers 192.168.0.3;
# на всякий случай проверка пингом перед выдачей ip
ping-check on;
authoritative;
}
[/code]
тонкость:
isc'овский dhcpd отдает ip начиная со старших адресов, а микрософтовский наоборот.
поэтому можно на всех dhcp серверах указать один диапазон и при количестве машин
меньше 254, выдаваемые ip не будут пересекаться.
дальше разрешаем трансфер зон на контроллере домена и разрешаем не безопасные обновления для зон.
в /etc/resolv.conf указываются dns провайдера, а на dns контроллера домена, указывается форвард на gate. там и будет лежать кэш.
все должно работать как часы.
кстати о часах. Надо ли написать такую же интсрукцию для настройки ntp на фрюниксах?
Lamer-9 » 09 мар 2005, 15:52 
