DNS Сервер резервного контроллера домена Linux — Входим в домен

DNS сервер резервного контроллера домена Linux необходим для тех же целей для чего он служит на главном контроллере домена. Для обслуживания локальной зоны. Аналогичным образом после инициализации, наш новый контроллер домена будет пользоваться своим DNS сервером, а не DNS сервером основного контроллера домена.

DNS Сервер резервного контроллера домена Linux

В данной статье мы работаем только с новым настраиваемым контроллером домена

Устанавливаем BIND9

sudo apt install bind9

Смотрим версию BIND

named -v

Текущая версия bind: 9.11.3

DNS сервер Linux AD-DC — Узнаём где лежат файлы конфигурации

named -V | grep sysco

Смотрим где BIND9 держит кеш

sudo cat /etc/passwd | grep bind

Бэкапим и правим named.conf.options

sudo cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original
sudo nano /etc/bind/named.conf.options

Заменяем содержимое на свои настройки. Во-первых вам необходимо прописать текущую локальную сеть вашего контроллера домена. В моём случае это 192.168.1.0/24. Этот параметр содержится в секциях allow-query и allow-recursion. Во-вторых вам необходимо изменить секцию forwarders. Данная секция содержит IP адреса DNS серверов которые будут резолвить имена узлов, информацией о которых не обладает днс сервер контроллера домена. Данную роль может выполнять локальный шлюз, на котором у вас могут быть всякие доп обработки, а так же любой публичный DNS сервер. Так же стоит помнить что если на вашем форвардере вы создадите DNS запись относящуюся к локальной зоне вашего контроллера домена, то контроллер о такой записи не знает. Он не будет пересылать запрос о ней на вышестоящий форвардер, а вернёт клиенту ответ о том что такой записи нету. Потому что контроллер домена считает (и он прав), что никто ничего не знает и не должен знать о его локальной зоне больше, чем он сам. В теории можно прибегнуть к всяким ухищрениям, но это как минимум будет нарушением логики работы контроллера домена.

# Глобальные настройки
options {
auth-nxdomain yes;
directory "/var/cache/bind"; #Папка с кешем bind
notify no;
empty-zones-enable no;
tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab";
minimal-responses yes;
# IP адреса и подсети от которых будут обрабатываться запросы
allow-query {
127.0.0.1;
192.168.1.0/24; #Текущая локальная сеть ag-dc-2.adminguide.lan
};
# IP адреса и подсети от которых будут обрабатываться рекурсивные запросы
# (Зон не обслуживаемых этим DNS сервером)
allow-recursion {
127.0.0.1;
192.168.1.0/24; #Текущая локальная сеть ag-dc-2.adminguide.lan
};
# Перенаправлять запросы, на которые нет информации в локальной зоне
# на следующие сервера:
forwarders {
192.168.1.1; #IP адрес DNS форвардера
8.8.8.8; #IP адрес DNS форвардера
8.8.4.4; #IP адрес DNS форвардера
};
# Запрет на трансфер зоны
allow-transfer {
none;
};
};

Бэкапим и изменяем содержимое named.conf.default-zones

sudo cp /etc/bind/named.conf.default-zones /etc/bind/named.conf.default-zones.original
sudo nano /etc/bind/named.conf.default-zones

Открыв файл, с помощью Alt+T удаляем всё содержимое от курсора и до конца файла, и вставляем следующий конфиг

# Корневые сервера
# (Необходимы для рекурсивных запросов)
zone "." {
type hint;
file "named.root";
};
# localhost zone
zone "localhost" {
type master;
file "master/localhost.zone";
};
# 127.0.0. zone.
zone "0.0.127.in-addr.arpa" {
type master;
file "master/0.0.127.zone";
};

DNS сервер Linux AD-DC — Настройки Kerberos

Бекапим и редактируем конфиг Kerberos

sudo cp /etc/krb5.conf /etc/krb5.conf.original
sudo nano /etc/krb5.conf

Заменяем содержимое на:

[libdefaults]
dns_lookup_realm = false
dns_lookup_kdc = true
default_realm = ADMINGUIDE.LAN

Сохраняем закрываем

Авторизуемся под админом

Пробуем авторизоваться под учётной записью администратора домена

kinit administrator

Если всё получилось, система проинформирует нас об этом.

DNS Сервер резервного контроллера домена Linux — kinit administrator

Проверяем работоспособность команды klist

klist

В случае успеха появится список действующих тикетов и даты их актуальности

DNS Сервер резервного контроллера домена Linux — klist

Переименовываем файл smb.conf:

sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.original

sudo samba-tool domain join adminguide.lan DC -U"ADMINGUIDEadministrator" --dns-backend=BIND9_DLZ --option='idmap_ldb:use rfc2307 = yes'

В результате будет что-то типа

adminguideru@ag-dc-2:~$ sudo samba-tool domain join adminguide.lan DC -U"ADMINGUIDEadministrator" --dns-backend=BIND9_DLZ --option='idmap_ldb:use rfc2307 = yes'
Finding a writeable DC for domain 'adminguide.lan'
Found DC ag-dc-1.adminguide.lan
Password for [ADMINGUIDEadministrator]:
workgroup is ADMINGUIDE
realm is adminguide.lan
Adding CN=AG-DC-2,OU=Domain Controllers,DC=adminguide,DC=lan
Adding CN=AG-DC-2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adminguide,DC=lan
Adding CN=NTDS Settings,CN=AG-DC-2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adminguide,DC=lan
Adding SPNs to CN=AG-DC-2,OU=Domain Controllers,DC=adminguide,DC=lan
Setting account password for AG-DC-2$
Enabling account
Adding DNS account CN=dns-AG-DC-2,CN=Users,DC=adminguide,DC=lan with dns/ SPN
Setting account password for dns-AG-DC-2
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba AD has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=adminguide,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=adminguide,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=adminguide,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=adminguide,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=adminguide,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=adminguide,DC=lan] objects[402/1616] linked_values[0/1]
Partition[CN=Configuration,DC=adminguide,DC=lan] objects[804/1616] linked_values[0/1]
Partition[CN=Configuration,DC=adminguide,DC=lan] objects[1206/1616] linked_values[0/1]
Partition[CN=Configuration,DC=adminguide,DC=lan] objects[1608/1616] linked_values[0/1]
Partition[CN=Configuration,DC=adminguide,DC=lan] objects[1616/1616] linked_values[32/32]
Replicating critical objects from the base DN of the domain
Partition[DC=adminguide,DC=lan] objects[98/98] linked_values[33/33]
Partition[DC=adminguide,DC=lan] objects[371/273] linked_values[34/34]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=adminguide,DC=lan
Partition[DC=DomainDnsZones,DC=adminguide,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=adminguide,DC=lan
Partition[DC=ForestDnsZones,DC=adminguide,DC=lan] objects[18/18] linked_values[0/0]
Exop on[CN=RID Manager$,CN=System,DC=adminguide,DC=lan] objects[3] linked_values[0]
Committing SAM database
Adding 1 remote DNS records for AG-DC-2.adminguide.lan
Adding DNS A record AG-DC-2.adminguide.lan for IPv4 IP: 192.168.1.101
Adding DNS CNAME record db158efc-29d1-48b4-a312-6944f28b51d9._msdcs.adminguide.lan for AG-DC-2.adminguide.lan
All other DNS records (like _ldap SRV records) will be created samba_dnsupdate on first startup
Replicating new DNS records in DC=DomainDnsZones,DC=adminguide,DC=lan
Partition[DC=DomainDnsZones,DC=adminguide,DC=lan] objects[2/2] linked_values[0/0]
Replicating new DNS records in DC=ForestDnsZones,DC=adminguide,DC=lan
Partition[DC=ForestDnsZones,DC=adminguide,DC=lan] objects[2/2] linked_values[0/0]
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Joined domain ADMINGUIDE (SID S-1-5-21-101149659-1910022795-3680799670) as a DC

Перезагрузите оба контроллера домена.

Поздравляю! Если вы достигли данного результата, можно считать что пока что всё идёт по плану. Теперь можно приступать к до настройке BIND9.

Ещё больше интересного контента в моём блоге в Zen и на моём канале YouTube. Подписывайтесь на канал, ставьте лайки, делайте репосты, это поможет развитию контента проекта AdminGuide.Ru