Administrer Samba4 AD Domain Controller DNS og gruppepolicy fra Windows - Del 4

Fortsetter den forrige opplæringen om hvordan du administrerer Samba4 fra Windows 10 via RSAT, i denne delen vil vi se hvordan du fjernadministrerer vår Samba AD Domain-kontroller DNS-server fra Microsoft DNS Manager, hvordan du oppretter DNS-poster, hvordan du oppretter et omvendt oppslag Sone og hvordan du oppretter en domenepolicy via Group Policy Management-verktøyet.

  1. Lag en AD-infrastruktur med Samba4 på Ubuntu 16.04 – Del 1
  2. Administrer Samba4 AD-infrastruktur fra Linux-kommandolinjen – del 2
  3. Administrer Samba4 Active Directory Infrastructure fra Windows10 via RSAT – Del 3

Trinn 1: Administrer Samba DNS-server

Samba4 AD DC bruker en intern DNS-oppløsningsmodul som opprettes under den første domenetildelingen (hvis BIND9 DLZ-modulen ikke brukes spesifikt).

Samba4 intern DNS-modul støtter de grunnleggende funksjonene som trengs for en AD-domenekontroller. Domene-DNS-serveren kan administreres på to måter, direkte fra kommandolinjen gjennom samba-tool-grensesnittet eller eksternt fra en Microsoft-arbeidsstasjon som er en del av domenet via RSAT DNS Manager.

Her vil vi dekke den andre metoden fordi den er mer intuitiv og ikke så utsatt for feil.

1. For å administrere DNS-tjenesten for domenekontrolleren din via RSAT, gå til Windows-maskinen, åpne Kontrollpanel -> System og sikkerhet -> Administrative verktøy og kjør DNS Manager-verktøyet.

Når verktøyet åpnes, vil det spørre deg på hvilken DNS-kjørende server du vil koble til. Velg følgende datamaskin, skriv inn domenenavnet ditt i feltet (eller IP-adresse eller FQDN kan også brukes), merk av i boksen som sier 'Koble til den angitte datamaskinen nå' og trykk OK for å åpne Samba DNS-tjenesten.

2. For å legge til en DNS-post (som et eksempel vil vi legge til en A-post som vil peke til LAN-gatewayen vår), naviger til domene Forward Lookup Zone, høyreklikk på høyre plan og velg Ny vert (A eller AAA).

3. I vinduet Ny vert åpnet skriver du inn navnet og IP-adressen til DNS-ressursen. FQDN vil automatisk bli skrevet for deg av DNS-verktøyet. Når du er ferdig, trykker du på Add Host-knappen og et popup-vindu vil informere deg om at DNS A-posten din er opprettet.

Sørg for at du bare legger til DNS A-poster for de ressursene i nettverket ditt som er konfigurert med statiske IP-adresser. Ikke legg til DNS A-poster for verter som er konfigurert til å hente nettverkskonfigurasjoner fra en DHCP-server, eller IP-adressene deres endres ofte.

For å oppdatere en DNS-post er det bare å dobbeltklikke på den og skrive endringene dine. For å slette posten høyreklikk på posten og velg slett fra menyen.

På samme måte kan du legge til andre typer DNS-poster for domenet ditt, for eksempel CNAME (også kjent som DNS-aliaspost) MX-poster (svært nyttig for e-postservere) eller andre typer poster (SPF, TXT, SRV etc).

Trinn 2: Opprett en omvendt oppslagssone

Som standard legger ikke Samba4 Ad DC automatisk til en omvendt oppslagssone og PTR-poster for domenet ditt, fordi disse typene poster ikke er avgjørende for at en domenekontroller skal fungere korrekt.

I stedet er en DNS-omvendt sone og dens PTR-poster avgjørende for funksjonaliteten til noen viktige nettverkstjenester, for eksempel en e-posttjeneste fordi denne typen poster kan brukes til å verifisere identiteten til klienter som ber om en tjeneste.

I praksis er PTR-poster akkurat det motsatte av standard DNS-poster. Klientene kjenner IP-adressen til en ressurs og spør DNS-serveren for å finne ut deres registrerte DNS-navn.

4. For å opprette en omvendt oppslagssone for Samba AD DC, åpne DNS Manager, høyreklikk på Omvendt oppslagssone fra venstre plan og velg Ny sone fra menyen.

5. Deretter trykker du på Neste-knappen og velger Primær sone fra Zone Type Wizard.

6. Velg deretter Til alle DNS-servere som kjører på domenekontrollere i dette domenet fra AD Zone Replication Scope, velg IPv4 Reverse Lookup Zone og trykk Neste for å fortsette.

7. Deretter skriver du inn IP-nettverksadressen for ditt LAN i Nettverks-ID arkivert og trykker på Neste for å fortsette.

Alle PTR-poster som legges til i denne sonen for ressursene dine vil kun peke tilbake til 192.168.1.0/24 nettverksdelen. Hvis du vil opprette en PTR-post for en server som ikke ligger i dette nettverkssegmentet (for eksempel e-postserver som er plassert i 10.0.0.0/24-nettverket), må du opprette en ny omvendt oppslagssone for det. nettverkssegmentet også.

8. På neste skjermbilde, velg å Tillate bare sikre dynamiske oppdateringer, trykk på Neste for å fortsette og til slutt trykk på Fullfør for å fullføre soneopprettingen.

9. På dette tidspunktet har du en gyldig sone for DNS omvendt oppslag konfigurert for domenet ditt. For å legge til en PTR-post i denne sonen, høyreklikk på høyre plan og velg å opprette en PTR-post for en nettverksressurs.

I dette tilfellet har vi laget en peker for gatewayen vår. For å teste om posten ble lagt til på riktig måte og fungerer som forventet fra klientens synspunkt, åpne en ledetekst og send en nslookup-spørring mot navnet på ressursen og en annen spørring for dens IP-adresse.

Begge spørsmålene skal returnere det riktige svaret for DNS-ressursen din.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Trinn 3: Domenegruppepolicybehandling

10. Et viktig aspekt ved en domenekontroller er dens evne til å kontrollere systemressurser og sikkerhet fra et enkelt sentralt punkt. Denne typen oppgave kan enkelt oppnås i en domenekontroller ved hjelp av Domain Group Policy.

Dessverre er den eneste måten å redigere eller administrere gruppepolicy i en samba-domenekontroller gjennom RSAT GPM-konsollen levert av Microsoft.

I eksemplet nedenfor ser vi hvor enkelt det kan være å manipulere gruppepolicy for samba-domenet vårt for å lage et interaktivt påloggingsbanner for våre domenebrukere.

For å få tilgang til gruppepolicykonsollen, gå til Kontrollpanel -> System og sikkerhet -> Administrative verktøy og åpne Group Policy Management-konsollen.

Utvid feltene for domenet ditt og høyreklikk på Standard domenepolicy. Velg Rediger fra menyen og et nytt vindu skal vises.

11. På Group Policy Management Editor-vinduet går du til Datamaskinkonfigurasjon -> Politikker -> Windows-innstillinger -> Sikkerhetsinnstillinger -> Lokale retningslinjer -> Sikkerhetsalternativer, og en ny alternativliste skal vises i høyre plan.

I det høyre flyet, søk og rediger med dine egendefinerte innstillinger etter to oppføringer presentert på skjermbildet nedenfor.

12. Når du er ferdig med å redigere de to oppføringene, lukker du alle vinduer, åpner en forhøyet ledetekst og tvinger gruppepolicyen til å gjelde på maskinen din ved å gi kommandoen nedenfor:

gpupdate /force

13. Til slutt, start datamaskinen på nytt og du vil se påloggingsbanneret i aksjon når du prøver å utføre pålogging.

Det er alt! Gruppepolicy er et veldig komplekst og sensitivt emne og bør behandles med maksimal forsiktighet av systemadministratorer. Vær også oppmerksom på at gruppepolicyinnstillinger ikke vil gjelde på noen måte for Linux-systemer integrert i riket.