From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.9 required=5.0 tests=BAYES_00 autolearn=ham autolearn_force=no version=3.4.1 MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit Date: Thu, 04 Apr 2019 09:45:30 +0300 From: Alex Moskalenko To: sysadmins@lists.altlinux.org In-Reply-To: References: Message-ID: X-Sender: mav@elserv.msk.su Subject: Re: [Sysadmins] =?utf-8?q?dhcpd_=D0=B8_chroot?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 04 Apr 2019 06:45:34 -0000 Archived-At: List-Archive: Evgeny Sinelnikov писал 03.04.2019 21:37: > ср, 3 апр. 2019 г. в 22:20, Evgeny Sinelnikov : > Вообще, я тут подумал и припомнил вот такой инструмент: > [sin@xpi dhcp]$ net ads dns > Invalid command: net ads dns > Usage: > net ads dns register Add host dns entry to AD > net ads dns unregister Remove host dns entry from AD > net ads dns gethostbyname Look up host > > Обновлять DNS-записи в домене - это не задача dhcp-сервера. Это задача > самого клиента. Клиент обращается со своими учётными данными (точнее > компьютер обращается со своими учётными данными в /etc/krb5.keytab) и > сам обновляет свои DNS-записи. Так оно задумано и все инструменты для > это имеются. Их можно хуками на dhcp-клиенте прописать. Это все очень правильно, но, к сожалению, реализуемо только для клиентов Windows (встроено в DNS-клиент) и UNIX (как Вы написали). В моей сети, помимо компьютеров, есть МФУ, к которым тоже хочется обращаться по имени. Они не являются членами AD и не умеют сами обновлять DNS. Вообще, структура у меня следующая. Сегмент /24, в нем классический NT4 домен. Серверы - linux, клиенты - Windows и Linux, присутствуют принт-серверы и МФУ. Сегмент обслуживается DHCP и DNS-серверами, записи DNS обновляет сервер DHCP. Регистрация DNS-имен на клиентах отключена. Задача - перевести домен NT4 на AD с помощью classicupgrade. Рассматривал 3 варианта. 1. Перенос AD в поддомен основного домена. Прямая DNS-зона для AD будет обслуживаться самбой+BIND_DLZ, клиенты будут динамически в ней регистрироваться штатными средствами. Для обслуживания обратной зоны придется, и отдачи разных доменных имен по DHCP придется городить костыли для dhcpd - машины Windows и Linux в домен AD, остальное в родительский домен. Показалось слишком сложным и непонятным, к тому же возможны проблемы с классификацией клиентов DHCP. 2. Classicupgrade в существующей доменной зоне со штатными средствами для обновления DNS. Требует ручной регистрации в DNS всех МФУ. В дальнейшем потребуется отслеживание актуальности сопоставления имен МФУ адресам, либо фиксация адресов для МФУ в конфигурации dhcpd, либо ручная настройка параметров IP в МФУ. Не понравилась по причине присутствия ручной работы. 3. Classicupgrade в существующей доменной зоне с автоматическим обновлением DNS с сервера DHCP. Требует донастройки dhcpd, но работает гораздо более логично, чем вариант (1) и не имеет возможных проблем с классификацией клиентов по варианту (1). В результате остановился на варианте (3). Возможно, есть более логичные решения, и очень хотелось бы с ними ознакомиться. Пока все происходит в песочнице, и эксперименты приветствуются. :)