Tvarkykite „Samba4 AD“ domeno valdiklio DNS ir grupės strategiją iš „Windows“ – 4 dalis


Tęsdami ankstesnę pamoką, kaip administruoti Samba4 iš Windows 10 per RSAT, šioje dalyje pamatysime, kaip nuotoliniu būdu valdyti mūsų Samba AD domeno valdiklio DNS serverį iš Microsoft DNS Manager, kaip sukurti DNS įrašus, kaip sukurti atvirkštinę peržiūrą. Zona ir kaip sukurti domeno politiką naudojant grupės strategijos valdymo įrankį.

Reikalavimai

  1. Sukurkite AD infrastruktūrą naudodami Samba4 Ubuntu 16.04 – 1 dalis
  2. Tvarkykite Samba4 AD infrastruktūrą iš Linux komandinės eilutės – 2 dalis
  3. Tvarkykite Samba4 Active Directory infrastruktūrą iš Windows10 per RSAT – 3 dalis

1 veiksmas: valdykite Samba DNS serverį

Samba4 AD DC naudoja vidinį DNS nustatymo modulį, kuris sukuriamas pradinio domeno suteikimo metu (jei BIND9 DLZ modulis nėra specialiai naudojamas).

Samba4 vidinis DNS modulis palaiko pagrindines funkcijas, reikalingas AD domeno valdikliui. Domeno DNS serverį galima valdyti dviem būdais: tiesiai iš komandinės eilutės naudojant samba-tool sąsają arba nuotoliniu būdu iš Microsoft darbo stoties, kuri yra domeno dalis, naudojant RSAT DNS tvarkyklę.

Čia apžvelgsime antrąjį metodą, nes jis yra intuityvesnis ir ne toks linkęs į klaidas.

1. Norėdami administruoti savo domeno valdiklio DNS paslaugą per RSAT, eikite į „Windows“ įrenginį, atidarykite Control Panel ->< Sistema ir sauga -> Administravimo įrankiai ir paleiskite DNS tvarkyklės įrankį.

Kai įrankis atsidarys, jis paklaus, prie kurio DNS veikiančio serverio norite prisijungti. Pasirinkite šį kompiuterį, lauke įveskite domeno pavadinimą (arba IP adresas arba FQDN taip pat galite naudoti), pažymėkite laukelį sako „Prisijunkite prie nurodyto kompiuterio dabar“ ir paspauskite Gerai, kad atidarytumėte Samba DNS paslaugą.

2. Norėdami pridėti DNS įrašą (kaip pavyzdį pridėsime A įrašą, kuris nurodys mūsų LAN šliuzą), eikite į domeną Persiųsti Zone, dešiniuoju pelės mygtuku spustelėkite dešinę plokštumą ir pasirinkite Naujas pagrindinis kompiuteris (A arba AAA).

3. Atsidariusiame lange Naujas pagrindinis kompiuteris įveskite savo DNS šaltinio pavadinimą ir IP adresą. FQDN bus automatiškai parašytas DNS paslaugų programos. Baigę paspauskite mygtuką Pridėti prieglobą ir iššokančiajame lange bus pranešta, kad DNS A įrašas buvo sėkmingai sukurtas.

Įsitikinkite, kad įtraukėte DNS A įrašus tik tiems tinklo ištekliams, kurie sukonfigūruoti naudojant statinius IP adresus. Nepridėkite DNS A įrašų prie pagrindinių kompiuterių, kurie sukonfigūruoti gauti tinklo konfigūracijas iš DHCP serverio arba dažnai keičiasi jų IP adresai.

Norėdami atnaujinti DNS įrašą, tiesiog dukart spustelėkite jį ir parašykite pakeitimus. Norėdami ištrinti įrašą, dešiniuoju pelės mygtuku spustelėkite įrašą ir meniu pasirinkite Ištrinti.

Taip pat galite pridėti kitų tipų savo domeno DNS įrašų, pvz., CNAME (taip pat žinomų kaip DNS slapyvardžio įrašas) >MX įrašai (labai naudingi pašto serveriams) arba kitokio tipo įrašai (SPF, TXT, SRV ir kt.).

2 veiksmas: sukurkite atvirkštinės paieškos zoną

Pagal numatytuosius nustatymus Samba4 Ad DC automatiškai neprideda jūsų domeno atvirkštinės paieškos zonos ir PTR įrašų, nes šie įrašų tipai nėra labai svarbūs, kad domeno valdiklis veiktų tinkamai.

Vietoj to, DNS atvirkštinė zona ir jos PTR įrašai yra labai svarbūs kai kurių svarbių tinklo paslaugų, tokių kaip el. pašto paslauga, funkcionalumui, nes tokio tipo įrašai gali būti naudojami paslaugų prašančių klientų tapatybei patikrinti.

Praktiškai PTR įrašai yra kaip tik priešingi standartiniams DNS įrašams. Klientai žino ištekliaus IP adresą ir užklausia DNS serverio, kad sužinotų savo registruotą DNS pavadinimą.

4. Norėdami sukurti Samba AD DC atvirkštinės paieškos zoną, atidarykite DNS tvarkyklę, dešiniuoju pelės mygtuku spustelėkite Atvirkštinės paieškos zona iš kairės plokštumos ir meniu pasirinkite Nauja zona.

5. Tada paspauskite mygtuką Kitas ir pasirinkite Pagrindinė zoną iš Zonos tipo vedlio.

6. Tada iš AD zonos replikacijos srities pasirinkite Visiems DNS serveriams, veikiantiems šio domeno valdikliuose, pasirinkite IPv4 atvirkštinis Ieškokite zonos ir paspauskite Kitas, kad tęstumėte.

7. Tada įveskite LAN IP tinklo adresą laukelyje Tinklo ID ir spustelėkite Kitas, kad tęstumėte.

Visi PTR įrašai, pridėti šioje zonoje jūsų ištekliams, nukreips tik į 192.168.1.0/24 tinklo dalį. Jei norite sukurti PTR įrašą serveriui, kuris nėra šiame tinklo segmente (pvz., pašto serverio, kuris yra 10.0.0.0/24 tinkle), turėsite sukurti nauja atvirkštinės paieškos zona, skirta tam tinklo segmentui.

8. Kitame ekrane pasirinkite Leisti tik saugius dinaminius naujinimus, spustelėkite Kitas, kad tęstumėte, ir galiausiai spustelėkite baigti, kad užbaigtumėte zonos kūrimą.

9. Šiuo metu jūsų domenui sukonfigūruota galiojanti DNS atvirkštinės paieškos zona. Norėdami pridėti PTR įrašą šioje zonoje, dešiniuoju pelės mygtuku spustelėkite dešinę plokštumą ir pasirinkite sukurti tinklo išteklių PTR įrašą.

Šiuo atveju sukūrėme vartų rodyklę. Norėdami patikrinti, ar įrašas buvo tinkamai pridėtas ir veikia taip, kaip tikėtasi kliento požiūriu, atidarykite komandų eilutę ir pateikite nslookup užklausą pagal šaltinio pavadinimą ir dar viena jo IP adreso užklausa.

Abi užklausos turėtų pateikti teisingą atsakymą į jūsų DNS šaltinį.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

3 veiksmas: domenų grupės strategijos valdymas

10. Svarbus domeno valdiklio aspektas yra jo galimybė valdyti sistemos išteklius ir saugumą iš vieno centrinio taško. Tokio tipo užduotį galima lengvai atlikti domeno valdiklyje, naudojant domeno grupės politiką.

Deja, vienintelis būdas redaguoti arba valdyti grupės politiką „Samba“ domeno valdiklyje yra „Microsoft“ teikiama RSAT GPM konsolė.

Toliau pateiktame pavyzdyje pamatysime, kaip paprasta gali būti manipuliuoti mūsų samba domeno grupės politika, kad būtų sukurta interaktyvi prisijungimo reklamjuostė mūsų domeno vartotojams.

Norėdami pasiekti grupės strategijos konsolę, eikite į Valdymo skydas -> Sistema ir sauga -> Administravimo įrankiai ir atidarykite Grupės politikos valdymo konsolę.

Išplėskite domeno laukus ir dešiniuoju pelės mygtuku spustelėkite Numatytoji domeno politika. Meniu pasirinkite Redaguoti ir turėtų pasirodyti nauji langai.

11. Lange Grupės politikos valdymo redaktorius eikite į Kompiuterio konfigūracija -> Politika -> Windows nustatymai -> Saugos nustatymai -> Vietinė politika -> Saugos parinktys ir naujas parinkčių sąrašas turėtų būti rodomas dešinėje plokštumoje.

Dešinėje plokštumoje ieškokite ir redaguokite naudodami tinkintus nustatymus, vadovaudamiesi dviem toliau pateiktoje ekrano kopijoje pateiktais įrašais.

12. Baigę redaguoti du įrašus, uždarykite visus langus, atidarykite padidintą komandų eilutę ir priverskite grupės politiką taikyti jūsų įrenginyje, išduodami toliau nurodytą komandą:

gpupdate /force

13. Galiausiai iš naujo paleiskite kompiuterį ir pamatysite veikiančią prisijungimo reklamjuostę, kai bandysite prisijungti.

Tai viskas! Grupės politika yra labai sudėtinga ir jautri tema, todėl sistemos administratoriai turėtų ją vertinti labai atsargiai. Be to, atminkite, kad grupės politikos nustatymai jokiu būdu nebus taikomi Linux sistemoms, integruotoms į sritį.