Zarządzaj kontrolerem domeny AD Samba4 DNS i zasadami grupy z systemu Windows - Część 4
- 4972
- 1394
- Ignacy Modzelewski
Kontynuując poprzedni samouczek, jak administrować Samba4 z systemu Windows 10 za pośrednictwem RSAT, w tej części zobaczymy, jak zdalnie zarządzać naszym serwerem kontrolera DNS DNS DNS z Microsoft DNS, jak tworzyć rekordy DNS, jak utworzyć odwrotne wyszukiwanie Strefa i sposób tworzenia zasady domeny za pośrednictwem narzędzia do zarządzania zasadami grupy.
Wymagania
- Utwórz infrastrukturę ADBA4 na Ubuntu 16.04 - Część 1
- Zarządzaj infrastrukturą ADBA4 z linii poleceń Linux - Część 2
- Zarządzaj infrastrukturą Active Directory Samba4 z systemu Windows10 przez RSAT - Część 3
Krok 1: Zarządzaj serwerem Samba DNS
Samba4 AD DC używa wewnętrznego modułu rozdzielonego DNS, który jest tworzony podczas początkowego udostępniania domeny (jeśli BIND9 DLZ moduł nie jest specjalnie używany).
Samba4 wewnętrzny DNS moduł obsługuje podstawowe funkcje potrzebne do Kontroler domeny AD. Serwer domeny DNS może być zarządzany na dwa sposoby, bezpośrednio z wiersza poleceń przez interfejs Samba-Naol lub zdalnie z Microsoft Workstation, która jest częścią domeny za pośrednictwem RSAT DNS Manager.
Tutaj omówimy drugą metodę, ponieważ jest bardziej intuicyjna i nie jest tak podatna na błędy.
1. Aby administrować usługą DNS dla kontrolera domeny za pośrednictwem RSAT, Przejdź do komputera z systemem Windows, otwórz Panel sterowania -> System i bezpieczeństwo -> Narzędzia administracyjne i biegnij Menedżer DNS pożytek.
Po otwarciu narzędzia zapyta Cię o to, jaki serwer działający DNS chcesz połączyć. Wybierz następujący komputer, wpisz swój Nazwa domeny na polu (lub Adres IP Lub Fqdn może być również używane), zaznacz pole, które mówiPodłącz teraz do określonego komputera'i uderz OK otworzyć Samba DNS praca.
Podłącz DNSAMBA4 DNS w systemie Windows2. Aby dodać rekord DNS (jako przykład dodamy A
zapis, który wskazuje na naszą bramę LAN), przejdź do domeny Strefa wyszukiwania do przodu, Kliknij prawym prawym przyciskiem myszy prawą samolot i wybierz Nowy gospodarz (A
Lub Aaa
).
3. W otwartym oknie nowego hosta wpisz nazwa i Adres IP Twojego zasobu DNS. Fqdn zostanie automatycznie napisany przez DNS Utility. Po zakończeniu uderz Dodaj hosta przycisk i okno wyskakujące poinformują Cię, że twój Dns a zapis został pomyślnie utworzony.
Upewnij się, że dodasz Dns a rejestruje tylko dla tych zasobów w sieci skonfigurowanych ze statycznymi adresami IP. Nie dodawaj Dns a rekordy dla hostów, które są skonfigurowane do pozyskiwania konfiguracji sieci z DHCP serwer lub ich Adresy IP często się zmieniać.
Skonfiguruj host samba w systemie WindowsAby zaktualizować DNS nagraj po prostu kliknij dwukrotnie i napisz swoje modyfikacje. Aby usunąć rekord Kliknij prawym przyciskiem myszy nagrywać i wybierz usuwać Z menu.
W ten sam sposób możesz dodać inne typy DNS rekordy dla Twojej domeny, takie jak Cname (znany również jako DNS Alias nagrywać) MX rekordy (bardzo przydatne dla serwerów pocztowych) lub innych rodzajów rekordów (SPF, tekst, SRV itp).
Krok 2: Utwórz strefę wyszukiwania odwrotnego
Domyślnie, Samba4 AD DC Nie dodaje automatycznie strefy wyszukiwania odwrotnego i rekordów PTR dla Twojej domeny, ponieważ tego rodzaju rekordy nie są kluczowe dla kontrolera domeny, aby funkcjonować prawidłowo.
Zamiast tego strefa odwrotna DNS i jej rekordy PTR mają kluczowe znaczenie dla funkcjonalności niektórych ważnych usług sieci.
Praktycznie zapisy PTR są przeciwieństwem standardowych rekordów DNS. Klienci znają adres IP zasobu i pyta serwer DNS, aby znaleźć ich zarejestrowaną nazwę DNS.
4. Aby utworzyć strefę wyszukiwania odwrotnego Samba ad DC, otwarty Menedżer DNS, Kliknij prawym przyciskiem myszy Odwrotna strefa wyszukiwania z lewej płaszczyzny i wybierz Nowa strefa Z menu.
Utwórz strefę odwrotnego wyszukiwania DNS5. Następnie uderz Następny przycisk i wybierz Podstawowy strefa z Kreator typu strefy.
Wybierz typ stref DNS6. Następnie wybierz wszystkie DNS serwery działające na kontrolerach domeny w tej domenie z Zakres replikacji strefy reklamowej, wybrał Odwrotna strefa wyszukiwania IPv4 i uderz Następny kontynuować.
Wybierz DNS dla kontrolera domeny samby Dodaj nazwę strefy odwrotnej wyszukiwania7. Następnie wpisz adres sieci IP dla swojego Lan W Adres identyfikacyjny sieci złożył i uderzył Następny kontynuować.
Wszystko Ptr rekordy dodane w tej strefie dla twoich zasobów wskazują tylko do 192.168.1.0/24 część sieci. Jeśli chcesz utworzyć rekord PTR dla serwera, który nie znajduje się w tym segmencie sieci (na przykład serwer poczty, który znajduje się w 10.0.0.0/24 Sieć), a następnie musisz utworzyć nową strefę wyszukiwania odwrotnego dla tego segmentu sieci.
Dodaj adres IP strefy odwrotnego wyszukiwania DNS8. Na następnym ekranie wybierz Umożliwić Tylko bezpieczne dynamiczne aktualizacje, uderzaj obok kontynuacji i na koniec uderzył skończyć Aby ukończyć strefę.
Włącz bezpieczne aktualizacje dynamiczne Nowe podsumowanie strefy DNS9. W tym momencie masz prawidłową strefę wyszukiwania odwrotnego DNS skonfigurowaną dla Twojej domeny. Aby dodać Ptr nagraj w tej strefie, kliknij prawym przyciskiem myszy po prawej stronie samolot i wybierz utworzenie Ptr Zapisz zasob sieciowy.
W tym przypadku stworzyliśmy wskaźnik naszej bramy. Aby sprawdzić, czy rekord został odpowiednio dodany i działa zgodnie z oczekiwaniami z punktu widzenia klienta, otwórz Wiersz polecenia i wydasz nslookup Zapytanie o nazwę zasobu i kolejne zapytanie dla jego adresu IP.
Oba zapytania powinny zwrócić poprawną odpowiedź dla zasobu DNS.
brama nslookup.Tecmint.Lan Nslookup 192.168.1.1 brama pingDodaj rekord dns ptr i zapytanie ptr
Krok 3: Zarządzanie polityką grupy domeny
10. Ważnym aspektem kontrolera domeny jest jego zdolność do kontrolowania zasobów systemowych i bezpieczeństwa z jednego punktu centralnego. Ten rodzaj zadania można łatwo osiągnąć w kontrolerze domeny za pomocą pomocy Polityka grupy domeny.
Niestety, jedynym sposobem na edytowanie lub zarządzanie zasadami grupy w kontrolerze domeny samby RSAT GPM konsola dostarczona przez Microsoft.
W poniższym przykładzie zobaczymy, jak proste może być manipulowanie zasadami grupy dla naszej domeny samby w celu utworzenia interaktywnego banera logowania dla naszych użytkowników domeny.
Aby uzyskać dostęp do konsoli zasad grupy, przejdź do Panel sterowania -> System i bezpieczeństwo -> Narzędzia administracyjne i otwarte Zarządzanie polityką grupy konsola.
Rozwiń pola dla swojej domeny i kliknij prawym przyciskiem myszy Domyślna polityka domeny. Wybierać Edytować Z menu i pojawiania się nowych okien.
Zarządzaj polityką grupy domeny samby11. NA Redaktor zarządzania polityką grupy okno przejdź do konfiguracja komputera -> Zasady -> Ustawienia systemu Windows -> Ustawienia bezpieczeństwa -> Lokalne zasady -> Opcje ochrony a nowa lista opcji powinna pojawić się w odpowiedniej płaszczyźnie.
W odpowiednim samolocie wyszukiwanie i edytuj za pomocą niestandardowych ustawień po dwóch wpisach przedstawionych na poniższym zrzucie ekranu.
Skonfiguruj zasady grupy domeny samby12. Po ukończeniu edycji dwóch wpisów zamknij wszystkie okna, otwórz podwyższoną monit polecenia i wymuszaj zasady grupy, aby złożyć na komputerze, wydając poniższe polecenie:
GPupdate /ForceZaktualizuj zasady grupy domeny samby
13. Wreszcie, ponownie uruchom komputer, a zobaczysz baner logowania w akcji, gdy spróbujesz wykonać logowanie.
Banner logowania kontrolera domeny AD Samba4To wszystko! Zasady grupy jest bardzo złożonym i wrażliwym przedmiotem i powinien być traktowany maksymalną opieką przez administratorów systemu. Należy również pamiętać, że ustawienia zasad grupy nie mają zastosowania w żaden sposób do systemów Linux zintegrowanych z dziedziną.
- « Jak włączyć tryb debugowania skryptu Shell w Linux
- Jak zarządzać infrastrukturą ADBA4 z linii poleceń Linux - część 2 »