Stjórna Samba4 AD Domain Controller DNS og hópstefnu frá Windows - Part 4


Áframhaldandi fyrri kennslu um hvernig á að stjórna Samba4 frá Windows 10 í gegnum RSAT, í þessum hluta munum við sjá hvernig á að fjarstýra Samba AD Domain stjórnandi DNS netþjóninum okkar frá Microsoft DNS Manager, hvernig á að búa til DNS færslur, hvernig á að búa til öfuga leit Svæði og hvernig á að búa til lénsstefnu í gegnum hópstefnustjórnunartól.

  1. Búðu til AD innviði með Samba4 á Ubuntu 16.04 – Part 1
  2. Hafa umsjón með Samba4 AD innviðum frá Linux stjórnlínu – Part 2
  3. Hafa umsjón með Samba4 Active Directory innviðum frá Windows10 í gegnum RSAT – Part 3

Skref 1: Stjórna Samba DNS Server

Samba4 AD DC notar innri DNS lausnareiningu sem er búin til við upphaflega úthlutun léns (ef BIND9 DLZ eining er ekki sérstaklega notuð).

Samba4 innri DNS eining styður grunneiginleika sem þarf fyrir AD Domain Controller. Hægt er að stjórna DNS-þjóninum lénsins á tvo vegu, beint frá skipanalínunni í gegnum samba-tool tengi eða fjarstýrt frá Microsoft vinnustöð sem er hluti af léninu í gegnum RSAT DNS Manager.

Hér munum við fjalla um seinni aðferðina vegna þess að hún er leiðandi og ekki svo viðkvæm fyrir villum.

1. Til að stjórna DNS þjónustunni fyrir lénsstýringuna þína í gegnum RSAT, farðu í Windows vélina þína, opnaðu Stjórnborð -> Kerfi og öryggi -> Stjórnunartól og keyrðu DNS Manager tólið.

Þegar tólið opnast mun það spyrja þig á hvaða DNS-netþjóni sem þú vilt tengja. Veldu eftirfarandi tölvu, sláðu inn lénið þitt í reitinn (eða IP tölu eða FQDN er líka hægt að nota), hakaðu í reitinn sem segir 'Tengdu við tilgreinda tölvu núna' og smelltu á OK til að opna Samba DNS þjónustuna þína.

2. Til að bæta við DNS færslu (sem dæmi munum við bæta við A færslu sem mun vísa á staðarnetsgáttina okkar), farðu að lénsframleitarsvæði, hægrismelltu á hægri planið og veldu Nýr gestgjafi (A eða AAA).

3. Í glugganum Nýr gestgjafi opnaður skaltu slá inn nafnið og IP-tölu DNS tilföngsins þíns. FQDN verður sjálfkrafa skrifað fyrir þig af DNS tólinu. Þegar því er lokið skaltu ýta á Bæta við gestgjafa hnappinn og sprettigluggi mun tilkynna þér að DNS A skráin þín hafi verið búin til.

Gakktu úr skugga um að þú bætir aðeins við DNS A færslum fyrir þær auðlindir á netinu þínu sem eru stilltar með kyrrstæðum IP tölum. Ekki bæta við DNS A færslum fyrir gestgjafa sem eru stilltir til að fá netstillingar frá DHCP netþjóni eða IP tölur þeirra breytast oft.

Til að uppfæra DNS-skrá, tvísmelltu bara á hana og skrifaðu breytingarnar þínar. Til að eyða færslunni hægri smelltu á færsluna og veldu eyða í valmyndinni.

Á sama hátt geturðu bætt við öðrum tegundum af DNS færslum fyrir lénið þitt, eins og CNAME (einnig þekkt sem DNS alias record) MX færslur (mjög gagnlegar fyrir póstþjóna) eða annars konar færslur (SPF, TXT, SRV osfrv.).

Skref 2: Búðu til öfugleitarsvæði

Sjálfgefið er að Samba4 Ad DC bætir ekki sjálfkrafa við öfugri uppflettingarsvæði og PTR færslum fyrir lénið þitt vegna þess að þessar tegundir skráa eru ekki mikilvægar til að lénsstýring virki rétt.

Þess í stað skipta DNS-baksvæði og PTR-skrár þess sköpum fyrir virkni sumra mikilvægra netþjónustu, svo sem tölvupóstþjónustu vegna þess að hægt er að nota þessa tegund af færslum til að staðfesta auðkenni viðskiptavina sem biðja um þjónustu.

Nánast eru PTR færslur bara andstæða venjulegra DNS færslur. Viðskiptavinirnir vita IP-tölu auðlindar og spyrja DNS netþjóninn til að finna út skráð DNS nafn þeirra.

4. Til þess að búa til öfugt leitarsvæði fyrir Samba AD DC, opnaðu DNS Manager, hægrismelltu á Reverse Lookup Zone frá vinstri planinu og veldu New Zone í valmyndinni.

5. Næst skaltu ýta á Next hnappinn og velja Aðalsvæði frá Zone Type Wizard.

6. Næst skaltu velja Til allra DNS netþjóna sem keyra á lénsstýringum á þessu léni úr AD Zone Replication Scope, veldu IPv4 Reverse Lookup Zone og ýttu á Next til að halda áfram.

7. Næst skaltu slá inn IP netfangið fyrir staðarnetið þitt í Network ID filed og smelltu á Next til að halda áfram.

Allar PTR færslur sem bætt er við á þessu svæði fyrir auðlindir þínar vísa aðeins aftur á 192.168.1.0/24 nethluta. Ef þú vilt búa til PTR færslu fyrir miðlara sem er ekki í þessum nethluta (til dæmis póstþjónn sem er staðsettur í 10.0.0.0/24 neti), þá þarftu að búa til nýtt öfugt uppflettingarsvæði fyrir það nethluti líka.

8. Á næsta skjá velurðu að Leyfa aðeins öruggar dýnamískar uppfærslur, ýttu á næst til að halda áfram og ýttu loksins á klára til að ljúka við að búa til svæði.

9. Á þessum tímapunkti hefurðu gilt DNS öfugt leitarsvæði stillt fyrir lénið þitt. Til að bæta við PTR færslu á þessu svæði, hægrismelltu á hægri flugvélina og veldu að búa til PTR færslu fyrir nettilföng.

Í þessu tilfelli höfum við búið til bendil fyrir gáttina okkar. Til að prófa hvort skránni hafi verið rétt bætt við og virkar eins og búist var við frá sjónarhóli viðskiptavinarins, opnaðu skipanalínuna og sendu nslookup fyrirspurn gegn nafni tilföngsins og annarri fyrirspurn um IP tölu þess.

Báðar fyrirspurnirnar ættu að skila réttu svari fyrir DNS auðlindina þína.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Skref 3: Stjórnun lénshópstefnu

10. Mikilvægur þáttur lénsstýringar er hæfni hans til að stjórna kerfisauðlindum og öryggi frá einum miðlægum stað. Þessa tegund af verkefnum er auðvelt að ná í lénsstýringu með hjálp lénshópstefnu.

Því miður er eina leiðin til að breyta eða stjórna hópstefnu í samba lénsstýringu í gegnum RSAT GPM stjórnborðið frá Microsoft.

Í dæminu hér að neðan munum við sjá hversu einfalt getur verið að vinna með hópstefnu fyrir samba lénið okkar til að búa til gagnvirkan innskráningarborða fyrir lénsnotendur okkar.

Til að fá aðgang að stjórnborði hópstefnu, farðu í Stjórnborð -> Kerfi og öryggi -> Stjórnunartól og opnaðu stjórnborð hópstefnustjórnunar.

Stækkaðu reitina fyrir lénið þitt og hægrismelltu á Sjálfgefin lénsstefna. Veldu Breyta í valmyndinni og nýr gluggi ætti að birtast.

11. Í Group Policy Management Editor glugganum farðu í Tölvustillingar -> Reglur -> Windows Stillingar -> Öryggisstillingar -> Staðbundnar reglur -> Öryggisvalkostir og nýr valmöguleikalisti ætti að birtast í hægri plani.

Leitaðu og breyttu í hægra flugvélinni með sérsniðnum stillingum þínum eftir tveimur færslum sem sýndar eru á skjámyndinni hér að neðan.

12. Eftir að hafa lokið við að breyta færslunum tveimur skaltu loka öllum gluggum, opna upphækkaða skipanakvaðningu og þvinga hópstefnu til að beita á vélinni þinni með því að gefa út skipunina hér að neðan:

gpupdate /force

13. Að lokum skaltu endurræsa tölvuna þína og þú munt sjá innskráningarborðann í aðgerð þegar þú reynir að framkvæma innskráningu.

Það er allt og sumt! Hópstefna er mjög flókið og viðkvæmt viðfangsefni og ætti að meðhöndla hana af hámarks varkárni af kerfisstjóra. Vertu einnig meðvituð um að hópstefnustillingar munu ekki eiga við á nokkurn hátt fyrir Linux kerfi sem eru samþætt í ríkinu.