DNS сервер резервного контроллера домена Linux необходим для тех же целей для чего он служит на главном контроллере домена. Для обслуживания локальной зоны. Аналогичным образом после инициализации, наш новый контроллер домена будет пользоваться своим DNS сервером, а не DNS сервером основного контроллера домена.
DNS Сервер резервного контроллера домена Linux
В данной статье мы работаем только с новым настраиваемым контроллером домена
Устанавливаем BIND9
sudo apt install bind9
Смотрим версию BIND
named -v
Текущая версия bind: 9.11.3
DNS сервер Linux AD-DC – Узнаём где лежат файлы конфигурации
named -V | grep sysco
Смотрим где BIND9 держит кеш
sudo cat /etc/passwd | grep bind
Бэкапим и правим named.conf.options
sudo cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original
sudo nano /etc/bind/named.conf.options
Заменяем содержимое на свои настройки. Во-первых вам необходимо прописать текущую локальную сеть вашего контроллера домена. В моём случае это 192.168.1.0/24. Этот параметр содержится в секциях allow-query и allow-recursion. Во-вторых вам необходимо изменить секцию forwarders. Данная секция содержит IP адреса DNS серверов которые будут резолвить имена узлов, информацией о которых не обладает днс сервер контроллера домена. Данную роль может выполнять локальный шлюз, на котором у вас могут быть всякие доп обработки, а так же любой публичный DNS сервер. Так же стоит помнить что если на вашем форвардере вы создадите DNS запись относящуюся к локальной зоне вашего контроллера домена, то контроллер о такой записи не знает. Он не будет пересылать запрос о ней на вышестоящий форвардер, а вернёт клиенту ответ о том что такой записи нету. Потому что контроллер домена считает (и он прав), что никто ничего не знает и не должен знать о его локальной зоне больше, чем он сам. В теории можно прибегнуть к всяким ухищрениям, но это как минимум будет нарушением логики работы контроллера домена.
DNS сервер Linux AD-DC – Бэкапим и изменяем содержимое named.conf.default-zones
sudo cp /etc/bind/named.conf.default-zones /etc/bind/named.conf.default-zones.original
sudo nano /etc/bind/named.conf.default-zones
Открыв файл, с помощью Alt+T удаляем всё содержимое от курсора и до конца файла, и вставляем следующий конфиг
DNS сервер Linux AD-DC – Настройки Kerberos
Бекапим и редактируем конфиг Kerberos
sudo cp /etc/krb5.conf /etc/krb5.conf.original
sudo nano /etc/krb5.conf
Заменяем содержимое на:
[libdefaults]
dns_lookup_realm = false
dns_lookup_kdc = true
default_realm = ADMINGUIDE.LAN
Сохраняем закрываем
Авторизуемся под админом
Пробуем авторизоваться под учётной записью администратора домена
kinit administrator
Если всё получилось, система проинформирует нас об этом.
DNS сервер Linux AD-DC – Проверяем работоспособность команды klist
klist
В случае успеха появится список действующих тикетов и даты их актуальности
Переименовываем файл smb.conf:
sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.original
Входим в домен
sudo samba-tool domain join adminguide.lan DC -U"ADMINGUIDE\administrator" --dns-backend=BIND9_DLZ --option='idmap_ldb:use rfc2307 = yes'
В результате будет длинная портянка текста. К несчастью без вменяемого тега <code> вставлять её сюда бесполезно, но вы поймёте если что-то пойдёт не так.
Перезагрузите оба контроллера домена.
Поздравляю! Если вы достигли данного результата, можно считать что пока что всё идёт по плану. Теперь можно приступать к до настройке BIND9.
Ещё больше интересного контента в моём блоге в Zen и на моём канале YouTube. Подписывайтесь на канал, ставьте лайки, делайте репосты, это поможет развитию контента проекта AdminGuide.Ru
