Pārvaldiet Samba4 AD domēna kontrollera DNS un grupas politiku no Windows - 4. daļa

Turpinot iepriekšējo apmācību par Samba4 administrēšanu no Windows 10, izmantojot RSAT, šajā daļā mēs redzēsim, kā attālināti pārvaldīt mūsu Samba AD domēna kontrollera DNS serveri no Microsoft DNS pārvaldnieka, kā izveidot DNS ierakstus, kā izveidot apgriezto meklēšanu. Zona un kā izveidot domēna politiku, izmantojot grupas politikas pārvaldības rīku.

1. Izveidojiet AD infrastruktūru ar Samba4 operētājsistēmā Ubuntu 16.04 - 1. daļa
2. Pārvaldiet Samba4 AD infrastruktūru no Linux komandrindas - 2. daļa
3. Pārvaldiet Samba4 Active Directory infrastruktūru no Windows10, izmantojot RSAT - 3. daļa

1. darbība: pārvaldiet Samba DNS serveri

Samba4 AD DC izmanto iekšējo DNS izšķiršanas moduli, kas tiek izveidots sākotnējā domēna nodrošināšanas laikā (ja BIND9 DLZ modulis netiek īpaši izmantots).

Samba4 iekšējais DNS modulis atbalsta AD domēna kontrollerim nepieciešamās pamatfunkcijas. Domēna DNS serveri var pārvaldīt divējādi, tieši no komandrindas, izmantojot samba rīku saskarni, vai attālināti no Microsoft darbstacijas, kas ir domēna sastāvdaļa, izmantojot RSAT DNS pārvaldnieku.

Šeit mēs aplūkosim otro metodi, jo tā ir intuitīvāka un nav tik pakļauta kļūdām.

1. Lai administrētu sava domēna kontrollera DNS pakalpojumu, izmantojot RSAT, dodieties uz savu Windows datoru, atveriet Vadības panelis -> Sistēma un drošība -> Administratīvie rīki un palaidiet utilītu DNS pārvaldnieks.

Kad rīks tiks atvērts, tas jums jautās, kurā DNS darbojošajā serverī vēlaties izveidot savienojumu. Izvēlieties šo datoru, ierakstiet laukā savu domēna vārdu (vai arī IP adresi vai FQDN var izmantot), atzīmējiet izvēles rūtiņu “Savienot ar norādīto datoru tūlīt” un nospiediet Labi, lai atvērtu savu Samba DNS pakalpojumu.

2. Lai pievienotu DNS ierakstu (kā piemēru pievienosim ierakstu A , kas norādīs uz mūsu LAN vārteju), dodieties uz domēna Forward Lookup Zone, ar peles labo pogu noklikšķiniet uz labās plaknes un izvēlieties Jauns resursdators ( A vai AAA ).

3. Logā Jauns resursdators atvērts ievadiet DNS resursa nosaukumu un IP adresi. DNS lietderība jums automātiski rakstīs FQDN. Kad esat pabeidzis, nospiediet pogu Pievienot resursdatoru un uznirstošais logs informēs jūs, ka jūsu DNS A ieraksts ir veiksmīgi izveidots.

Noteikti pievienojiet DNS A ierakstus tikai tiem tīkla resursiem, kas konfigurēti ar statiskām IP adresēm. Nepievienojiet DNS A ierakstus saimniekiem, kuri ir konfigurēti tīkla konfigurāciju iegūšanai no DHCP servera, vai to IP adreses bieži mainās.

Lai atjauninātu DNS ierakstu, vienkārši veiciet dubultklikšķi uz tā un uzrakstiet izmaiņas. Lai izdzēstu ierakstu, ar peles labo pogu noklikšķiniet uz ieraksta un izvēlnē izvēlieties dzēst.

Tādā pašā veidā savam domēnam varat pievienot cita veida DNS ierakstus, piemēram, CNAME (pazīstams arī kā DNS aizstājvārda ieraksts) MX ierakstus (ļoti noderīgi pasta serveriem) vai cita veida ierakstus (SPF, TXT, SRV utt.).

2. darbība: izveidojiet reversās meklēšanas zonu

Pēc noklusējuma Samba4 Ad DC jūsu domēnam automātiski nepievieno reversās meklēšanas zonu un PTR ierakstus, jo šāda veida ierakstiem nav izšķiroša nozīme, lai domēna kontrolleris darbotos pareizi.

Tā vietā DNS apgrieztā zona un tās PTR ieraksti ir izšķiroši dažu svarīgu tīkla pakalpojumu, piemēram, e-pasta pakalpojuma, funkcionalitātei, jo šāda veida ierakstus var izmantot, lai pārbaudītu klientu identitāti, kuri pieprasa pakalpojumu.

Praktiski PTR ieraksti ir tieši pretēji standarta DNS ierakstiem. Klienti zina resursa IP adresi un pieprasa DNS serveri, lai uzzinātu viņu reģistrēto DNS vārdu.

4. Lai izveidotu Samba AD DC reversās meklēšanas zonu, atveriet DNS pārvaldnieku, ar peles labo pogu noklikšķiniet uz Reverse Lookup Zone no kreisās plaknes un izvēlnē izvēlieties New Zone.

5. Pēc tam nospiediet pogu Tālāk un izvēlieties Zona tipa vednis Galvenā zona.

6. Pēc tam AD zonu replikācijas tvērumā izvēlieties Visiem DNS serveriem, kas darbojas domēna kontrolleros šajā domēnā, izvēlieties IPv4 reversās meklēšanas zonu un nospiediet Tālāk, lai turpinātu.

7. Pēc tam ierakstiet sava tīkla IP tīkla adresi mapē Network ID filed un nospiediet Next, lai turpinātu.

Visi šajā zonā jūsu resursiem pievienotie PTR ieraksti norāda tikai uz tīkla 192.168.1.0/24 daļu. Ja vēlaties izveidot PTR ierakstu serverim, kas neatrodas šajā tīkla segmentā (piemēram, pasta serveris, kas atrodas tīklā 10.0.0.0/24), tam būs jāizveido jauna reversās meklēšanas zona tīkla segmentā.

8. Nākamajā ekrānā izvēlieties Atļaut tikai drošus dinamiskos atjauninājumus, nospiediet blakus, lai turpinātu, un, visbeidzot, nospiediet finišu, lai pabeigtu zonas izveidi.

9. Šajā brīdī jūsu domēnam ir konfigurēta derīga DNS reversās meklēšanas zona. Lai šai zonai pievienotu PTR ierakstu, ar peles labo pogu noklikšķiniet uz labās plaknes un izvēlieties izveidot PTR ierakstu tīkla resursam.

Šajā gadījumā mēs esam izveidojuši rādītāju savai vārtejai. Lai pārbaudītu, vai ieraksts ir pareizi pievienots un darbojas, kā paredzēts no klienta viedokļa, atveriet komandu uzvedni un izsniedziet nslookup vaicājumu pret resursa nosaukumu un citu vaicājumu tā IP adresei.

Abiem vaicājumiem ir jāatgriež pareizā atbilde uz jūsu DNS resursu.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

3. darbība: domēna grupas politikas pārvaldība

10. Svarīgs domēna kontrollera aspekts ir tā spēja kontrolēt sistēmas resursus un drošību no viena centrālā punkta. Šāda veida uzdevumus var viegli sasniegt domēna kontrollerī, izmantojot domēna grupas politiku.

Diemžēl vienīgais veids, kā rediģēt vai pārvaldīt grupas politiku samba domēna kontrollerī, ir RSAT GPM konsole, ko nodrošina Microsoft.

Zemāk redzamajā piemērā mēs redzēsim, cik vienkārši var būt manipulēt ar grupas politiku mūsu samba domēnam, lai mūsu domēna lietotājiem izveidotu interaktīvu pieteikšanās reklāmkarogu.

Lai piekļūtu grupas politikas konsolei, dodieties uz Vadības panelis -> Sistēma un drošība -> Administratīvie rīki un atveriet Grupas politikas pārvaldības konsoli.

Izvērsiet sava domēna laukus un ar peles labo pogu noklikšķiniet uz Noklusējuma domēna politika. Izvēlnē izvēlieties Rediģēt, un vajadzētu parādīties jauniem logiem.

11. Grupas politikas pārvaldības redaktora logā dodieties uz Datora konfigurācija -> Politikas -> Windows iestatījumi -> Drošības iestatījumi -> Vietējās politikas -> Drošības opcijas un pareizajā plaknē vajadzētu parādīties jaunam opciju sarakstam.

Labajā plaknē meklējiet un rediģējiet, izmantojot pielāgotos iestatījumus, izpildot divus ierakstus, kas parādīti zemāk esošajā ekrānuzņēmumā.

12. Pabeidzot abu ierakstu rediģēšanu, aizveriet visus logus, atveriet paaugstinātu komandu uzvedni un piespiediet grupas politiku piemērot jūsu datorā, izsniedzot šādu komandu:

gpupdate /force

13. Visbeidzot, restartējiet datoru un, mēģinot veikt pieteikšanos, redzēsit pieteikšanās reklāmkarogu darbībā.

Tas ir viss! Grupas politika ir ļoti sarežģīta un jutīga tēma, un ar to sistēmas administratoriem vajadzētu izturēties pēc iespējas rūpīgāk. Turklāt ņemiet vērā, ka grupas politikas iestatījumi nekādā veidā neattieksies uz sfērā integrētajām Linux sistēmām.