28 марта 2024, 14:00

Цитата дня:

Единственный способ установить границы возможного - это выйти за них в невозможное.  Закон Кларка


BIND9 Master-Slave, DHCP, разные подсети.

Автор Призрак, 15 января 2020, 07:36

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

Призрак

Всё же мне нужна помощь, по BIND9, не в плане настройки, тут я разберусь, а в плане организации этих серверов, как и что сделать правильно, как организовать цепочку этих серверов. Заметьте, я не требую мне показать, как это всё настраивать, вопрос лишь по организации!

1. Допустим, я сделаю Master-Slave серверы в одной подсети, зоны будут обновляться динамически. Как на примере, у нас есть два DNS сервера на Windows Server 2008 R2, 192.168.10.12 и 192.168.10.13. Тут есть серьёзный вопрос - как организовать подключение в остальных подсетях? 192.168.20.0, 192.168.30.0? Master сервер сделать в подсети 192.168.10.0, остальные все Slave? По два, так же? Или Master и Slave каждые, в разных подсетях отдельные? Но тогда, я думаю, нужно будет везде указывать все DNS сервера, которые есть, потому - что если я обращусь к машине 192.168.10.x с машины 192.168.20.x, то имя ведь не будет разрешено.

2. Если я сделаю таким образом, что с помощью isc-dhcp-server будут обновляться имена машин автоматически (для этого я знаю, что надо сгенерировать ключ, настроить всё соответствующим образом, затем в каталоге, где находятся зоны, должны появляться файлы "имя_зоны.jnl"). Я делал так, у меня это реально работало. Но ведь лишь на одном сервере. Это всё нужно настроить на Master сервере, на Slave всё будет автоматически?

3. Для внутренних DNS серверов можно настраивать разные доменные имена, или же одно на всех? Например, для тестов я использую имя corp.loc. Использовать его во всех подсетях, или же можно по разному? Например, для административного корпуса ns1.adm.loc, для теоретического ns1.teor.loc? Тем более, в примере, который я дал во вложении, corp.loc соответствует именно внутреннему адресу 192.168.5.2. Если я укажу то же самое на другом сервере, только уже для другого адреса (192.168.6.2), не будет конфликтов?

4. Если я хочу организовать для учебного заведения свой собственный DNS сервер, я ведь должен сделать так - взять доменное имя, разместить его в зоне, с соответствующим адресом белым (или за NAT, для безопасности), настроить её, указав там белые адреса, должно работать? На хостинге, естественно, указать свои DNS сервера, для работы). Как я уже говорил, денег нету, купить со стороны DNS мы не можем. Зато долги прощаем, другим странам.


Уваров А.С.

1-3. Вопрос один, что вы хотите получить на выходе? Замену MS DNS для AD? Зачем самому себе придумывать сложности?
4. Для размещения DNS-зоны вам потребуется не менее двух серверов в разных подсетях (требования стандарта), на край - один сервер с двумя IP из разных подсетей. А дальше думайте, что дешевле, два IP-адреса из разных подсетей или покупка DNS-хостинга.

Призрак

#2
15 января 2020, 16:24 Последнее редактирование: 15 января 2020, 16:41 от Призрак
Не хочу я ничего менять, я хочу проверить, как оно работает. Вдруг пригодится, где нибудь настроить. Да и чинуши с тупорылыми законами не оставляют выбора. Операционные системы майкрософт в государственных предприятиях не закупить. Шакалов стая, какие же они всё - таки тупые и жадные. Если вы знаете, как это сделать, с радостью выслушаю предложения. Очень хочу новые версии именно серверной Windows.

Вот вы же про зимбру пишете, про линукс и прочие вещи. Значит вас тоже коснулось. Вот для чего мне изучать линукс. Если бы не тупорылое законодательство, сидел бы на Windows дальше.

Я был бы очень рад, если бы разработали российскую операционную систему с нуля, если бы она была лучше, чем Windows. Но такого, увы, никогда не будет, растащить гораздо проще. Своровав зарубежное ядро, российские законодатели клепают реестры с программным обеспечением, совершенно не задумываясь о том, что ядро то не российское. В связи с этим грядут огромные трудности, я должен быть к ним готов, во что бы то ни стало. А как ещё прикажете обновляться нам?

https://habr.com/ru/company/croc/blog/424315/

Уваров А.С.

Я еще раз задам вопрос - зачем? BIND - это проверенное, рабочее решение, но для AD он не подходит. Хостить у себя внешнюю зону - нужно два IP из разных подсетей, а еще лучше реально разнести NS-сервера в разные подсети, у разных провайдеров и, желательно, географически разнесенные, иначе в один не очень приятный момент из-за аварии на канале вся ваша инфраструктура станет в один момент недоступна.

Для того, что вы озвучили в первом сообщении я не вижу никакого реального практического применения, разве что вы всю инфраструктуру будете переводить на Linux.

Samba 4 как контроллер домена - это где-то на уровне между Windows Server 2000 и 2003. Как общая точка аутентификации еще пойдет, с остальным там все довольно грустно. Хотя может что и подкрутили в последние годы, но это опять таки будет догоняющий, если сравнивать с оригинальным AD.

Призрак

#4
15 января 2020, 21:59 Последнее редактирование: 15 января 2020, 22:07 от Призрак
Я устал односложно отвечать на одни и те же вопросы. Я говорю, что не собираюсь менять AD на BIND9, но, может быть, при внедрении где - то новой инфраструктуры мне придётся это сделать. Насчёт хостинга DNS - денег нет, наверное, надо мне добавить подпись, чтобы меня поняли. Сейчас всё упирается в деньги, никак иначе.

Кроме того, вы сказали про DNS, если это много сайтов, например, сотня. У нас же всего четыре сайта - сайт академии, дистанционного обучения, магеллан, электронный каталог библиотеки. Будет ещё один, в ближайшее время. Нам DNS свой не особенно критичный, можно установить и обслужить. Только вместо ответов вопрос зачем? Вот зачем. Если можно, я хотел бы получить ответы, по пунктам. Это всё, что мне нужно, по этой теме. Я обещаю, что AD я заменять не буду, буду пока мучить машины. На основе ваших ответов я постараюсь создать внешний DNS, чтобы он не грузил всё остальное.

Далее, чтобы не возникало вопросов по моим сомнениям, публикую ниже ссылку. Я не злобный буратино, сам себе, чтобы разрушать столь тщательно мною оберегаемую инфраструктуру. Но тупые законы не могут оставить мне выбора. Если бы можно было бы как то обойти закон, в части серверного ПО, только серверного, я был бы доволен! И хрен с ним, если бы мне пришлось устанавливать рабочие станции на линуксе, поверьте мне! Ещё бы обновить Exchange, вообще было бы шикарно!

Вы почитайте реестр отечественного ПО. Какой - то, извините, мудак, решил, что linux server будет полноценной заменой. Просто ужас.

https://support.microsoft.com/ru-ru/help/4456235/end-of-support-for-windows-server-2008-and-windows-server-2008-r2

Такая система у нас установлена и используется везде, на серверах. Окончание её поддержки означает неминуемые проблемы с безопасностью, а это уже фатально.

Уваров А.С.

Кроме того, вы сказали про DNS, если это много сайтов, например, сотня.
Нет, вы не сможете делегировать к себе домен от регистратора если у вас будет один DNS или два в одной подсети. Самый бюджетный вариант - два IP из разных подсетей на одном сервере.

Но, как я уже говорил, в случае недоступности вашего DNS ляжет вся ваша инфраструктура. Скажем если лег интернет, но доступен DNS, то отправители почты поместят сообщение в очередь и будут продолжать пытаться его доставить. Если DNS лег, то письмо тут же вернут отправителю с пометкой "получатель не существует".

Если нет денег - используйте бесплатный ЯндексДНС.

Призрак

А где вы в яндекс днс увидели возможность прописывать доменные имена, на соответствие конкретному адресу? Это просто игрушка, баловство для школьников, не более. Если бы там можно было прописывать адреса, это да, рассмотрел бы и принял бы к сведению.

Где это вы увидели, что я говорил про почту? У нас есть проблема - в другой сети находится сайт дистанционного обучения. Он привязан к конкретному каналу, который находится только в общежитии. DNS, соответственно, там другой, его по какой - то причине не хотят менять. Я хочу давно перенести этот сайт на машину, в административном корпусе, всё уже для этого готово, но не могу. Насчёт белых адресов не беспокойтесь, у нас есть приличный пул. Так что из разных подсетей, внешний, я думаю, получится. Только вот ещё мысль, спрятать всё это за NAT, чтобы голым задом не светить, или же выставить наружу, но тогда потребуется серьёзная защита.

И зачем вы понижаете мою самооценку, которая и так уже ниже некуда? Не получится, не пойдёт, не прокатит. Только негатив. Вас ведь не будут склонять, если что-то не получится, меня будут склонять. Вы упорно игнорируете мою просьбу, в части закупки серверного программного обеспечения, при этом говорите, что на линуксе у меня ничего не получится.

Тем более, вопросы, что я задал в самом начале, не решены, просто проигнорированы. Наверное, опять придётся читать мануалы и мучить виртуальные машины, другого выхода не остаётся.

Уваров А.С.

А где вы в яндекс днс увидели возможность прописывать доменные имена, на соответствие конкретному адресу? Это просто игрушка, баловство для школьников, не более. Если бы там можно было прописывать адреса, это да, рассмотрел бы и принял бы к сведению.
https://connect.yandex.ru - полноценный DNS-хостинг, наши домены обслуживаются именно там.

Где это вы увидели, что я говорил про почту? У нас есть проблема - в другой сети находится сайт дистанционного обучения. Он привязан к конкретному каналу, который находится только в общежитии. DNS, соответственно, там другой, его по какой - то причине не хотят менять.
Почта приведена сугубо для примера. И как связан сайт (внешний ресурс) с внутренним DNS?

И зачем вы понижаете мою самооценку, которая и так уже ниже некуда? Не получится, не пойдёт, не прокатит. Только негатив. Вас ведь не будут склонять, если что-то не получится, меня будут склонять. Вы упорно игнорируете мою просьбу, в части закупки серверного программного обеспечения, при этом говорите, что на линуксе у меня ничего не получится.
Потому что вы упорно пытаетесь заниматься какой-то ерундой. Ваша текущая инфраструктура завязана на AD и Windows, вы же зачем-то упарываетесь на DNS BIND. DNS - это ключевая служба AD, но BIND + DHCP - это не замена AD даже близко. О чем-то близком можно говорить в лице Samba 4, но там хватает своих ограничений и костылей. Если нет уверенного понимания как работает домен в части Kerberos, репликации и GPO - то к Samba лучше не подходить, потому как многое из того, что Windows делает самостоятельно там нужно настраивать руками.

Тем более, вопросы, что я задал в самом начале, не решены, просто проигнорированы.
Потому что вы так и не можете пояснить с какой целью вы собираетесь это сделать. Ну развернем мы в сети BIND, дальше что?


Призрак

Я давал ответ, в теме, опять его проигнорировали. Потому - что я боюсь, что меня погонят заменять Active Directory "российским" программным обеспечением. Что мне в таком случае делать? Я же просил не плодить бессмысленные диалоги. Это, кстати, оффтопик уже, вы по правилам должны меня уже наказать. А вы не только не наказываете, ещё и сами пишете.

Вы говорите, что я занимаюсь ерундой. Меня сильно задевает это слово. Значит моя профессия это тоже ерунда, жизнь тоже ерунда, подумаешь, живёт человек, какого - то фига, занимается не тем, чем надо, а не метёт улицы, как положено. Ни в чём я не упарываюсь, я стараюсь изучить что-то новое, полезное, чтобы было ещё лучше, внедрить что-нибудь. Ведь пришлось мне быстро изучать Hyper-V, когда пришли новые серверы. Пришлось изучать VMWare VSphere. Ведь всё работает теперь, даже гипервизоры освоил. А где уверенность, что далее не пригодится что-то новое.

Тогда я сколько возился с почтой, чтобы её делать. Тоже нелегко было, но ведь сделал, не без помощи, кстати, форума. Сколько я пытался сделать DHCP Relay, потом вы же сами признали, что не получится из-за mac адреса на Debian. Написал я вам там больше чем даже две страницы, и то меня стыдили, что я не знаю протокол DHCP. Даже, кажется, на личности перешли. А в итоге то кто прав оказался?

В реестре программного обеспечения я не нашёл службы каталогов. Значит, что шанс ещё есть. Маленький, но есть. Я обещаю, что не буду разворачивать никакого бинда, если удастся сохранить инфраструктуру. Даже если не Exchange, аналог в реестре этой программе есть, я думаю, смогу сделать миграцию. Но только не Active Directory, это для меня больная тема. На шлюзах буду использовать pfSense, могу, кстати, черкнуть статейку, это шикарная штука, я там уже VPN настроил и редирект, NAT, очень удобно.

С вами очень тяжело общаться. Давайте так - если вы признаёте, что проблема актуальна, то продолжаем конструктивный диалог. Если же нет, то вы просто закрываете тему, и, на ваше усмотрение, удаляете мой профиль с форума. Это слово уже как молитва, read this fuc**ing manual. Я часто так работаю. Говорят, что в моей профессии важно общение, обмен опытом. Но в моём случае этого нет. Как был один, так и буду.

Уваров А.С.

Проблема чего актуальна? Постановки телеги впереди лошади? Я вам уже написал, что на текущий момент более-менее вменяемым аналогом AD является Samba, но тот же Exchange с ней работать не будет, насколько я помню.

С нашим любимым государством следует действовать по принципу "упремся - разберемся" и решать проблемы по мере их поступления. Пытаться сейчас что-то городить, когда чиновники еще сами не знают что - это как раз заниматься ерундой, потому что мне кажется, что у вас найдутся более полезные занятия.

Почему у нас нет статей по Samba как контроллер домена? Потому что я не вижу этому реального применения. Ну разве что в конторе на 10 ПК, где с деньгами туго. Да и то, для таких есть Windows Server Essentials по вполне гуманной цене. А городить Samba в крупных сетях... В чем смысл? Сэкономить 10 копеек?

Что касается остального, то если я вижу, что человек собирается заниматься ерундой, то я ему так и пишу. То, что вы хотите делать не пригодится вам в ближайшем (да и не ближайшем) будущем с достаточно большой долей вероятности. Буквально вот "на днях", в конце прошлого года, Скорая помощь у нас спокойно закупила лицензии на Windows Server 2019, несмотря на все эти реестры и импортозамещения. Требуется только обосновать необходимость.

Призрак

Честно говоря, я удивлён. Очень. Впервые в жизни я встречаю человека, который за меня решил, что мне не понадобится. Да, дела. Может кто мне в личной жизни что посоветует ещё?

Вот этот ваш пост, по моему мнению, самый мудрый, потому - что вы в нём наконец - то раскрыли карты, что вам не нравится. Про государство это отдельная история. Делают, совершенно не подумав. А знаете в чём тут секрет? Да и нет вовсе никакого секрета. Нажива, вот современный "двигатель прогресса". Всё развалено и растащено, даже ядро украли и делают свои продукты. Вы программист, написали программу. Например, я её у вас украл, исходники, подправил и сделал свою, при этом вопя на весь рунет "она моя, я её написал!". Вот и они так же - для сертифицированной ФСТЭК операционной системы исходники не выкладываются, она продаётся за деньги, что является грубейшим нарушением лицензионного соглашения GNU GPL!

Вот вы говорили мне про онлайн кассы. Вы сами не мучились с ними? Тем более, речь зашла о стандартизации и маркировке лекарств. И здесь бардак, самый настоящий. Почитал я, для интереса, что это такое. Ужас просто. Я бы вам много ещё чего перечислил, да зачем вам рассказывать то, что вы сами и так знаете?

Вот как раз я займусь на работе внедрением шлюзов, на pfSense. Ну понравился мне он и всё, очень хорошая вещь. Из Интернета закрыт наглухо, если что нужно, писать можно правила и работать. NAT там просто убойная вещь, стоит пару белых виртуальных адресов туда скинуть, написать соответствующие правила, всё работает. WEB интерфейс удобный, всё там видно. OpenVPN реализован очень хорошо и понятно, возможен экспорт ключей, с целым дистрибутивом, импорт существующих сертификатов, при этом всё работает, установка пакетов, форвардер, резолвер DNS, DHCP, многое другое. Комбайн, ни в чём не уступающий микротику, а иногда даже и превосходящий его. Я даже, пожалуй, могу попробовать написать статью про него.

Ещё я вас прошу, отдельно. Раз вы за меня думаете, что мне не понадобится, пожалуйста, помогите мне составить обоснование. Как вообще это делается? Мой начальник не верит, а я хочу обновить, очень, программное обеспечение. Можете привести пример? Это бы мне помогло, очень. Скоро заканчивается поддержка. неизвестно, что будет дальше. Я бы провёл планомерное обновление инфраструктуры. Повторюсь, нам нужны будут только на AD, DNS, DHCP, файловые сервера, больше ни на что. Если вы мне поможете, я не буду проводить больше бездумных экспериментов.

Призрак

А вообще, лицензии от Windows Server 2008 R2 подойдут к Windows Server 2019?

Уваров А.С.

Ещё я вас прошу, отдельно. Раз вы за меня думаете, что мне не понадобится, пожалуйста, помогите мне составить обоснование. Как вообще это делается?
Это вообще не ваша работа, а юристов, там довольно много тонкостей, но вникать все равно придется. Начните отсюда: https://zakupki.kontur.ru/site/articles/1098-importozameschenie-po

Очень. Впервые в жизни я встречаю человека, который за меня решил, что мне не понадобится.
Да Боже упаси, я ничего ни за кого не решаю. Могу просто посоветовать. Хотя у каждого свои развлечения: кто-то марки собирает, кто-то бабочек. Просто я не вижу практического применения тем навыкам и умениям, которые вы хотите получить.

А знаете в чём тут секрет? Да и нет вовсе никакого секрета. Нажива, вот современный "двигатель прогресса".
Так или иначе основа нашей жизни - это товарно-денежные отношения, хлеб с колбасой бесплатно в магазине не отпускают. Поэтому тратя свое время на приобретения каких-либо навыков нужно всегда смотреть на них через призму последующей монетизации. Вы можете стать отличным специалистом по технологии А, но что толку, если она не востребована и чтобы снискать хлеб насущный вам придется пойти подметать улицы?

Кстати, что-то подобное мы уже проходили в 90-х, когда на улице оказались многие, чьи навыки и знания оказались невостребованы рынком.

В целом ничего плохого в этом нет, до тех пор пока свободный рынок не подменяется коррупционным. Поэтому хороший специалист должен владеть востребованными навыками, что позволит ему обеспечивать себя и свою семью. Нет ничего зазорного в том, чтобы продавать свои знания и умения за деньги, иногда - большие деньги.

Из того, что вы изучили - pfSense - хороший актив, который можно отлично монетизировать. Если вам нравятся подобного рода системы - смотрите еще на FreeNAS. Также сейчас в тренде виртуализация, Hyper-V вы уже немного изучили, из открытых неплох Proxmox.

Как почтовый фильтр очень хорош PMG, как почтовый сервер Zimbra. Это востребованные направления, куда можно приложить свои усилия с прицелом на финансовый результат.

Вот и они так же - для сертифицированной ФСТЭК операционной системы исходники не выкладываются, она продаётся за деньги, что является грубейшим нарушением лицензионного соглашения GNU GPL!
Никакого нарушения нет, GPL не запрещает продавать продукт за деньги. Исходные коды также могут поставляться только тем, кто купил продукт, чаще всего по запросу.

При этом ядро Linux украсть нельзя, оно и так является общественным достоянием. Его может брать любой и делать с ним все, что хочет. GPL запрещает закрывать код, но этого никто и не делает. Продавать она не запрещает.

В принципе тем же самым занимается компания RedHat. RHEL в бинарном виде в открытом доступе отсутствует, только за деньги. Но если вы купили его, то имеете полное право получить исходные коды, с которыми можете делать все, что угодно. Собственно так и возник CentOS - взяли исходные коды RHEL, поправили копирайты и пересобрали.

И никаких претензий к ним нет, хотя тут чистой воды "я её у вас украл, исходники, подправил и сделал свою".

Призрак

#13
03 февраля 2020, 22:30 Последнее редактирование: 03 февраля 2020, 22:32 от Призрак
Вопрос про BIND9 остаётся актуальным. Я не хочу в будущем разгребать последствия, если нас погонят с тех серверов, также я хочу научиться работать с BIND9. особенно дело касается защиты сервера. DHCP тут не нужен будет, чисто ручная правка мастер зоны.

Есть возможность развернуть сервер территориально в другой точке города. Белые адреса для развёртывания есть.

1. Белым наружу или всё же через NAT?

2. Я могу назвать сервер как ns1.xxx.ru, соответственно, ввести в зону запись SOA соответствующую?

3. В одном местоположении делать, соответственно, по два сервера (основной и подчинённый) или территориально в разных сетях (основной-подчинённый или основной-основной)?

4. Самое главное защита. Это самое основное. Как не наломать дров и не допустить ошибок?

Сторонние хостинги прошу не предлагать. Данные серверы будут аварийными, на случай, если всё - таки откажется от нас политех. Тем более, я уже говорил, что в другой подсети находится сервер дистанционного обучения, перенести его нам мешает тот же капризный политех.

Пароль к админке центра у нас есть, где купленные домены. Адреса есть там возможность добавить.

Прошу не вступать в посторонние дискуссии, а рассмотреть вопрос по существу, по пунктам. Если я здесь не найду ответа, придётся искать его в другом месте, а хотелось бы у опытного человека спросить, который этим занимался.

Во вложении пример работающего сервера, с зонами, там не проблема переписать зоны. Там есть и динамическое обновление записей с DHCP, но, повторюсь, мне это не нужно. Всё будет правиться вручную.

 

Уваров А.С.

1. За NAT, чем меньше у вас выставлено наружу - тем уже возможный периметр атаки.

2. Можете назвать как угодно, но есть общепринятые соглашения, согласно которым сервера имен называются как ns.example.com или dns.example.com

3. Для того, чтобы делегировать домен вам нужно минимум два сервера в разных подсетях, как вы это обеспечите - никому не интересно. Но в целях отказоустойчивости лучше разнести их территориально.

4. Там категорически трудно накосячить, особенно если убрать его за брандмауэр.

Вверх