Administrer DNS og gruppepolitik fra Samba4 AD Domain Controller fra Windows - del 4

Fortsættelse af den foregående vejledning om, hvordan du administrerer Samba4 fra Windows 10 via RSAT, i denne del vil vi se, hvordan vi fjernadministrerer vores Samba AD Domain-controller DNS-server fra Microsoft DNS Manager, hvordan man opretter DNS-poster, hvordan man opretter en Reverse Lookup Zone og hvordan man opretter en domænepolitik via værktøjet Group Policy Management.

  1. Opret en AD-infrastruktur med Samba4 på Ubuntu 16.04 - del 1
  2. Administrer Samba4 AD-infrastruktur fra Linux Command Line - Del 2
  3. Administrer Samba4 Active Directory-infrastruktur fra Windows10 via RSAT - del 3

Trin 1: Administrer Samba DNS-server

Samba4 AD DC bruger et internt DNS-resolvermodul, der oprettes under den oprindelige domænetilførsel (hvis BIND9 DLZ-modul ikke specifikt bruges).

Samba4 interne DNS-modul understøtter de grundlæggende funktioner, der er nødvendige for en AD Domain Controller. Domænet DNS-server kan styres på to måder, direkte fra kommandolinjen via samba-værktøjsgrænsefladen eller eksternt fra en Microsoft-arbejdsstation, der er en del af domænet via RSAT DNS Manager.

Her dækker vi den anden metode, fordi den er mere intuitiv og ikke så tilbøjelig til fejl.

1. For at administrere DNS-tjenesten til din domænecontroller via RSAT skal du gå til din Windows-maskine, åbne Kontrolpanel -> System og sikkerhed -> Administrationsværktøjer og køre hjælpeprogrammet DNS Manager.

Når værktøjet åbnes, vil det bede dig om, hvilken DNS-kørende server du vil oprette forbindelse. Vælg følgende computer, skriv dit domænenavn i feltet (eller IP-adresse eller FQDN kan også bruges), marker afkrydsningsfeltet, der siger 'Opret forbindelse til den angivne computer nu', og tryk OK for at åbne din Samba DNS-tjeneste.

2. For at tilføje en DNS-post (som et eksempel tilføjer vi en A -post, der peger på vores LAN-gateway), naviger til Domain Forward Lookup Zone, højreklik på det rigtige plan og vælg Ny vært ( A eller AAA ).

3. I vinduet Åbn den nye vært skal du indtaste navnet og IP-adressen på din DNS-ressource. FQDN vil automatisk blive skrevet til dig af DNS-værktøjet. Når du er færdig, skal du trykke på knappen Tilføj vært og et pop op-vindue informerer dig om, at din DNS A-post er oprettet.

Sørg for, at du kun tilføjer DNS A-poster for disse ressourcer i dit netværk konfigureret med statiske IP-adresser. Tilføj ikke DNS A-poster for værter, der er konfigureret til at erhverve netværkskonfigurationer fra en DHCP-server, eller deres IP-adresser ændres ofte.

For at opdatere en DNS-post skal du blot dobbeltklikke på den og skrive dine ændringer. For at slette posten skal du højreklikke på posten og vælge slet i menuen.

På samme måde kan du tilføje andre typer DNS-poster til dit domæne, såsom CNAME (også kendt som DNS-alias-record) MX-poster (meget nyttigt for mailservere) eller andre typer poster (SPF, TXT, SRV osv.).

Trin 2: Opret en omvendt opslagszone

Som standard tilføjer Samba4 Ad DC ikke automatisk en omvendt opslagszone og PTR-poster for dit domæne, fordi disse typer poster ikke er afgørende for, at en domænecontroller fungerer korrekt.

I stedet er en DNS-omvendt zone og dens PTR-poster afgørende for funktionaliteten af nogle vigtige netværkstjenester, såsom en e-mail-tjeneste, fordi denne type poster kan bruges til at kontrollere identiteten af klienter, der anmoder om en tjeneste.

Praktisk set er PTR-poster lige det modsatte af standard DNS-poster. Klienterne kender IP-adressen på en ressource og spørger DNS-serveren for at finde ud af deres registrerede DNS-navn.

4. For at oprette en omvendt opslagszone til Samba AD DC skal du åbne DNS Manager, højreklikke på Omvendt opslagszone fra venstre plan og vælge Ny zone i menuen.

5. Klik derefter på knappen Næste, og vælg Primær zone fra Zone Type Wizard.

6. Vælg derefter Til alle DNS-servere, der kører på domænecontrollere i dette domæne fra AD Zone Replication Scope, vælg IPv4 Reverse Lookup Zone, og tryk på Next for at fortsætte.

7. Skriv derefter IP-netværksadressen til dit LAN i det arkiverede netværks-id, og tryk på Næste for at fortsætte.

Alle PTR-poster tilføjet i denne zone til dine ressourcer peger kun tilbage til 192.168.1.0/24 netværksdel. Hvis du vil oprette en PTR-post for en server, der ikke findes i dette netværkssegment (for eksempel mailserver, der er placeret i 10.0.0.0/24 netværk), skal du oprette en ny omvendt opslagszone til det netværkssegment også.

8. På det næste skærmbillede skal du vælge kun at tillade sikre dynamiske opdateringer, trykke på næste for at fortsætte og endelig trykke på finish for at fuldføre zoneoprettelsen.

9. På dette tidspunkt har du en gyldig DNS-omvendt opslagszone konfigureret til dit domæne. For at tilføje en PTR-post i denne zone skal du højreklikke på det rigtige plan og vælge at oprette en PTR-post til en netværksressource.

I dette tilfælde har vi oprettet en markør til vores gateway. For at teste, om posten blev tilføjet korrekt og fungerer som forventet fra klientens synspunkt, skal du åbne en kommandoprompt og udstede en nslookup-forespørgsel mod navnet på ressourcen og en anden forespørgsel til dens IP-adresse.

Begge forespørgsler skal returnere det korrekte svar til din DNS-ressource.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Trin 3: Management af domænegruppepolitik

10. Et vigtigt aspekt af en domænecontroller er dens evne til at kontrollere systemressourcer og sikkerhed fra et enkelt centralt punkt. Denne type opgaver kan let opnås i en domænecontroller ved hjælp af domænegruppepolitik.

Desværre er den eneste måde at redigere eller administrere gruppepolitik i en samba-domænecontroller på via RSAT GPM-konsol leveret af Microsoft.

I nedenstående eksempel ser vi, hvor simpelt det kan være at manipulere gruppepolitikken for vores samba-domæne for at oprette et interaktivt logonbanner til vores domæne brugere.

For at få adgang til gruppepolitikkonsol skal du gå til Kontrolpanel -> System og sikkerhed -> Administrationsværktøjer og åbne konsol for gruppepolitikadministration.

Udvid felterne for dit domæne og højreklik på Standarddomæne-politik. Vælg Rediger i menuen, så vises et nyt vindue.

11. I vinduet Group Policy Management Editor skal du gå til Computerkonfiguration -> Politikker -> Windows-indstillinger -> Sikkerhedsindstillinger -> Lokale politikker -> Sikkerhedsindstillinger, og en ny valgliste skal vises i det rigtige plan.

I højre plan søg og rediger med dine brugerdefinerede indstillinger efter to poster præsenteret på nedenstående skærmbillede.

12. Når du er færdig med at redigere de to poster, skal du lukke alle vinduer, åbne en forhøjet kommandoprompt og tvinge gruppepolitik til at gælde på din maskine ved at udstede nedenstående kommando:

gpupdate /force

13. Til sidst skal du genstarte din computer, så ser du logonbanneret i aktion, når du prøver at udføre logon.

Det er alt! Gruppepolitik er et meget komplekst og følsomt emne og bør behandles med maksimal omhu af systemadministratorer. Vær også opmærksom på, at gruppepolitiske indstillinger ikke på nogen måde gælder for Linux-systemer, der er integreret i verden.