Upravljajte DNS nadzornika domene Samba4 AD in pravilnike skupine iz sistema Windows - 4. del


V nadaljevanju prejšnje vadnice o upravljanju Samba4 iz sistema Windows 10 prek RSAT bomo v tem delu videli, kako lahko na daljavo upravljamo strežnik DNS krmilnika domene Samba AD iz Microsoftovega upravitelja DNS, kako ustvariti zapise DNS in kako ustvariti povratno iskanje Cona in kako ustvariti domensko politiko z orodjem za upravljanje politik skupine.

  1. Ustvarite AD infrastrukturo s Samba4 v Ubuntu 16.04 - 1. del
  2. Upravljanje infrastrukture Samba4 AD iz ukazne vrstice Linux - 2. del
  3. Upravljajte infrastrukturo Samba4 Active Directory iz sistema Windows10 prek RSAT - 3. del

1. korak: Upravljanje strežnika DNS Samba

Samba4 AD DC uporablja notranji modul za razreševalnik DNS, ki se ustvari med začetnim zagotavljanjem domene (če modul BIND9 DLZ ni posebej uporabljen).

Notranji DNS modul Samba4 podpira osnovne funkcije, potrebne za krmilnik domene AD. DNS strežnik domene je mogoče upravljati na dva načina, neposredno iz ukazne vrstice prek vmesnika orodja samba ali na daljavo z Microsoftove delovne postaje, ki je del domene prek upravljalnika DNS RSAT.

Tu bomo obravnavali drugo metodo, ker je bolj intuitivna in ni tako nagnjena k napakam.

1. Če želite upravljati storitev DNS za krmilnik domene prek RSAT, pojdite na računalnik z operacijskim sistemom Windows, odprite Nadzorno ploščo -> Sistem in varnost -> Skrbniška orodja in zaženite pripomoček DNS Manager.

Ko se orodje odpre, vas bo vprašalo, s katerim strežnikom DNS, ki ga želite povezati. Izberite Naslednji računalnik, v polje vnesite svoje ime domene (ali lahko uporabite tudi naslov IP ali FQDN), potrdite polje »Poveži se z določenim računalnikom zdaj« in pritisnite V redu, da odprete svojo storitev DNS Samba.

2. Če želite dodati zapis DNS (kot primer bomo dodali zapis A , ki bo usmerjen na naš prehod LAN), se pomaknite do domene Forward Lookup Zone, z desno miškino tipko kliknite desno ravnino in izberite Nov gostitelj ( A ali AAA ).

3. V okno Nov gostitelj, ki se odpre, vnesite ime in naslov IP vira DNS. FQDN vam bo samodejno napisal pripomoček DNS. Ko končate, pritisnite gumb Dodaj gostitelja in pojavno okno vas bo obvestilo, da je bil vaš zapis DNS A uspešno ustvarjen.

Poskrbite, da dodate zapise DNS A samo za tiste vire v vašem omrežju, ki so konfigurirani s statičnimi naslovi IP. Ne dodajajte zapisov DNS A za gostitelje, ki so konfigurirani za pridobivanje omrežnih konfiguracij s strežnika DHCP ali pa se njihovi naslovi IP pogosto spreminjajo.

Če želite posodobiti zapis DNS, ga dvokliknite in napišite spremembe. Če želite izbrisati zapis, z desno miškino tipko kliknite zapis in v meniju izberite brisanje.

Na enak način lahko za svojo domeno dodate druge vrste zapisov DNS, na primer zapis CNAME (znan tudi kot zapis vzdevka DNS) zapise MX (zelo uporabno za poštne strežnike) ali druge vrste zapisov (SPF, TXT, SRV itd.).

2. korak: Ustvarite območje povratnega iskanja

Samba4 Ad DC privzeto ne doda samodejno območja povratnega iskanja in zapisov PTR za vašo domeno, ker te vrste zapisov niso ključne za pravilno delovanje krmilnika domene.

Namesto tega je povratno območje DNS in njegovi zapisi PTR ključnega pomena za delovanje nekaterih pomembnih omrežnih storitev, na primer e-poštne storitve, ker je s to vrsto zapisov mogoče preveriti identiteto strank, ki zahtevajo storitev.

Zapisi PTR so v resnici ravno nasprotni standardnim zapisom DNS. Odjemalci poznajo naslov IP vira in poizvedo po strežniku DNS, da bi ugotovili njihovo registrirano ime DNS.

4. Če želite ustvariti območje povratnega iskanja za Samba AD DC, odprite DNS Manager, z desno miškino tipko kliknite Reverse Lookup Zone na levi ravnini in v meniju izberite New Zone.

5. Nato pritisnite gumb Naprej in v čarovniku za vrsto cone izberite Primarno območje.

6. Nato v obsegu replikacije cone AD izberite možnost Za vse strežnike DNS, ki se izvajajo na krmilnikih domene v tej domeni, izberite območje povratnega iskanja IPv4 in za nadaljevanje pritisnite Naprej.

7. Nato v polje Network ID vnesite naslov omrežja IP za svoj LAN in pritisnite Next za nadaljevanje.

Vsi zapisi PTR, dodani v tem območju za vaše vire, bodo usmerjeni le na omrežni del 192.168.1.0/24. Če želite ustvariti zapis PTR za strežnik, ki ne prebiva v tem segmentu omrežja (na primer poštni strežnik, ki se nahaja v omrežju 10.0.0.0/24), boste morali za to ustvariti novo območje povratnega iskanja tudi segment omrežja.

8. Na naslednjem zaslonu izberite Dovoli samo varne dinamične posodobitve, pritisnite gumb za nadaljevanje in na koncu pritisnite na cilj, da dokončate ustvarjanje cone.

9. Na tej točki imate za svojo domeno konfigurirano veljavno območje povratnega iskanja DNS. Če želite dodati zapis PTR v to območje, z desno miškino tipko kliknite desno ravnino in izberite ustvariti zapis PTR za omrežni vir.

V tem primeru smo ustvarili kazalec za naš prehod. Če želite preizkusiti, ali je bil zapis pravilno dodan in deluje po pričakovanjih z vidika stranke, odprite ukazni poziv in izdajte poizvedbo nslookup za ime vira in drugo poizvedbo za njegov naslov IP.

Obe poizvedbi bi morali vrniti pravilen odgovor za vaš vir DNS.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

3. korak: Upravljanje pravilnika skupin domen

10. Pomemben vidik krmilnika domene je njegova sposobnost nadzora sistemskih virov in varnosti z ene same osrednje točke. To vrsto naloge je mogoče enostavno doseči v krmilniku domene s pomočjo pravilnika o domeni.

Na žalost je edini način za urejanje ali upravljanje pravilnika skupine v krmilniku domene samba prek konzole RSAT GPM, ki jo zagotavlja Microsoft.

V spodnjem primeru bomo videli, kako enostavno je lahko manipulirati s pravilnikom skupine za našo domeno samba, da bi ustvarili interaktivno pasico za prijavo za uporabnike naše domene.

Če želite dostopati do konzole pravilnika skupine, pojdite na Nadzorno ploščo -> Sistem in varnost -> Skrbniška orodja in odprite konzolo Upravljanje pravilnika skupine.

Razširite polja za svojo domeno in z desno miškino tipko kliknite Privzeti pravilnik o domeni. V meniju izberite Uredi in pojavilo se bo novo okno.

11. V oknu Urejevalnik upravljanja politik skupine pojdite na Konfiguracija računalnika -> Pravilniki -> Nastavitve sistema Windows -> Varnostne nastavitve -> Lokalni pravilniki -> Varnostne možnosti in na desni ravnini naj se prikaže nov seznam možnosti.

V desni ravnini poiščite in uredite s svojimi nastavitvami po meri po dveh vnosih, predstavljenih na spodnjem posnetku zaslona.

12. Po končanem urejanju obeh vnosov zaprite vsa okna, odprite povišan ukazni poziv in prisilite uporabo pravilnika skupine na vaši napravi z izdajo spodnjega ukaza:

gpupdate /force

13. Na koncu znova zaženite računalnik in pri poskusu prijave se bo pojavila pasica za prijavo.

To je vse! Politika skupine je zelo zapletena in občutljiva tema, zato bi jo morali skrbniki sistema obravnavati maksimalno previdno. Upoštevajte tudi, da nastavitve pravilnika skupine na noben način ne bodo veljale za sisteme Linux, integrirane v področje.