Hallinnoi Samba4 AD -toimialueohjaimen DNS: ää ja ryhmäkäytäntöä Windowsista - Osa 4

Jatkamalla edellistä opetusohjelmaa Samba4: n hallinnasta Windows 10: stä RSAT: n kautta, tässä osassa näemme kuinka hallita Samba AD Domain controller -palvelimen DNS-palvelinta etänä Microsoft DNS Managerista, miten luoda DNS-tietueita, miten luoda käänteinen haku Vyöhyke ja kuinka luoda verkkotunnuskäytäntö ryhmäkäytäntöjen hallinnan työkalun avulla.

1. Luo AD-infrastruktuuri Samba4: n kanssa Ubuntu 16.04 - osa 1
2. Samba4 AD -infrastruktuurin hallinta Linux-komentoriviltä - osa 2
3. Hallinnoi Samba4 Active Directory -infrastruktuuria Windows10: stä RSAT: n kautta - osa 3

Vaihe 1: Hallitse Samba DNS -palvelinta

Samba4 AD DC käyttää sisäistä DNS-resolverimoduulia, joka luodaan ensimmäisen toimialueen luomisen aikana (jos BIND9 DLZ -moduulia ei nimenomaisesti käytetä).

Samba4: n sisäinen DNS-moduuli tukee AD-alueohjaimen tarvittavia perusominaisuuksia. Verkkotunnuksen DNS-palvelinta voidaan hallita kahdella tavalla, suoraan komentoriviltä samba-työkalurajapinnan kautta tai etäyhteyden toimialueeseen kuuluvasta Microsoft-työasemasta RSAT DNS Managerin kautta.

Tässä käsitellään toista menetelmää, koska se on intuitiivisempi eikä ole niin altis virheille.

1. Jos haluat hallita toimialueohjaimesi DNS-palvelua RSAT: n kautta, siirry Windows-koneeseesi, avaa Ohjauspaneeli -> Järjestelmä ja suojaus -> Hallintatyökalut ja suorita DNS Manager -apuohjelma.

Kun työkalu avautuu, se kysyy, mistä DNS-palvelimesta haluat muodostaa yhteyden. Valitse Seuraava tietokone, kirjoita kenttään verkkotunnuksesi (tai myös IP-osoitetta tai FQDN: ää voidaan käyttää), valitse ruutu, jossa lukee ”Yhdistä määritettyyn tietokoneeseen nyt” ja paina OK avataksesi Samba DNS -palvelun.

2. DNS-tietueen lisäämiseksi (lisätään esimerkiksi A -tietue, joka osoittaa LAN-yhdyskäytäväämme), siirry toimialueen Forward Lookup Zone -alueelle, napsauta hiiren kakkospainikkeella oikeaa tasoa ja valitse Uusi isäntä ( A tai AAA ).

3. Kirjoita Uusi isäntä avattu -ikkunaan DNS-resurssin nimi ja IP-osoite. DNS-apuohjelma kirjoittaa FQDN: n automaattisesti sinulle. Kun olet valmis, paina Lisää isäntä -painiketta ja ponnahdusikkuna ilmoittaa, että DNS A -tietueesi on luotu.

Varmista, että lisäät DNS A -tietueet vain verkon resursseille, jotka on määritetty staattisilla IP-osoitteilla. Älä lisää DNS A -tietueita isännille, jotka on määritetty hankkimaan verkkoasetukset DHCP-palvelimelta, tai niiden IP-osoitteet muuttuvat usein.

Voit päivittää DNS-tietueen kaksoisnapsauttamalla sitä ja kirjoittamalla muutokset. Jos haluat poistaa tietueen, napsauta tietuetta hiiren kakkospainikkeella ja valitse Poista valikosta.

Samalla tavalla voit lisätä verkkotunnuksellesi muun tyyppisiä DNS-tietueita, kuten CNAME (tunnetaan myös nimellä DNS alias record) MX-tietueet (erittäin hyödyllinen postipalvelimille) tai muun tyyppiset tietueet (SPF, TXT, SRV jne.).

Vaihe 2: Luo käänteisen haun alue

Oletuksena Samba4 Ad DC ei automaattisesti lisää käänteisen haun vyöhykettä ja PTR-tietueita verkkotunnuksellesi, koska tämäntyyppiset tietueet eivät ole välttämättömiä toimialueen ohjaimen toimimiselle oikein.

Sen sijaan DNS-käänteinen vyöhyke ja sen PTR-tietueet ovat tärkeitä joidenkin tärkeiden verkkopalvelujen, kuten sähköpostipalvelun, toiminnalle, koska tämän tyyppisiä tietueita voidaan käyttää palvelua pyytävien asiakkaiden henkilöllisyyden tarkistamiseen.

Käytännössä PTR-tietueet ovat päinvastoin kuin tavalliset DNS-tietueet. Asiakkaat tietävät resurssin IP-osoitteen ja kysyvät DNS-palvelimelta saadakseen selville rekisteröidyn DNS-nimensä.

4. Jos haluat luoda käänteisen haun vyöhykkeen Samba AD DC: lle, avaa DNS Manager, napsauta hiiren kakkospainikkeella vasemmasta tasosta käänteisen haun vyöhykettä ja valitse valikosta Uusi vyöhyke.

5. Napsauta seuraavaksi Seuraava-painiketta ja valitse Ensisijainen vyöhyke ohjatusta vyöhyketyypistä.

6. Valitse seuraavaksi AD-vyöhykkeen replikointialueelta Kaikille tämän toimialueen toimialueen ohjaimissa toimiville DNS-palvelimille, valitse IPv4-käänteisen haun alue ja jatka napsauttamalla Seuraava.

7. Seuraavaksi kirjoita lähiverkkosi IP-verkko-osoite Verkkotunnus-tiedostoon ja jatka valitsemalla Seuraava.

Kaikki tähän vyöhykkeeseen resursseillesi lisätyt PTR-tietueet viittaavat vain 192.168.1.0/24-verkko-osaan. Jos haluat luoda PTR-tietueen palvelimelle, joka ei asu tässä verkkosegmentissä (esimerkiksi postipalvelin, joka sijaitsee 10.0.0.0/24 verkossa), sinun on luotava uusi käänteisen haun vyöhyke tälle verkon segmentti.

8. Valitse seuraavassa näytössä Salli vain suojatut dynaamiset päivitykset, jatka napsauttamalla vieressä ja lopuksi osoita lopuksi, jotta vyöhyke luodaan loppuun.

9. Tässä vaiheessa verkkotunnuksellesi on määritetty kelvollinen DNS-käänteisen haun vyöhyke. Jos haluat lisätä PTR-tietueen tähän vyöhykkeeseen, napsauta hiiren kakkospainikkeella oikeaa tasoa ja valitse PTR-tietueen luominen verkkoresurssille.

Tässä tapauksessa olemme luoneet osoittimen yhdyskäytävällemme. Jos haluat testata, onko tietue lisätty oikein ja toimiiko se asiakkaan näkökulmasta odotetusti, avaa komentokehote ja lähetä nslookup-kysely resurssin nimelle ja toinen kysely sen IP-osoitteelle.

Molempien kyselyiden pitäisi palauttaa oikea vastaus DNS-resurssillesi.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Vaihe 3: Verkkotunnusryhmäkäytäntöjen hallinta

10. Tärkeä osa toimialueen ohjainta on sen kyky hallita järjestelmän resursseja ja tietoturvaa yhdestä keskitetystä pisteestä. Tämän tyyppinen tehtävä voidaan helposti saavuttaa toimialueen ohjaimessa toimialueen ryhmäkäytännön avulla.

Valitettavasti ainoa tapa muokata tai hallita ryhmäkäytäntöä samba-toimialueen ohjaimessa on Microsoftin tarjoama RSAT GPM -konsoli.

Alla olevassa esimerkissä näemme, kuinka helppoa voi olla manipuloida samba-verkkotunnuksemme ryhmäkäytäntöä interaktiivisen kirjautumisbannerin luomiseksi verkkotunnuksemme käyttäjille.

Pääset ryhmäkäytäntökonsoliin valitsemalla Ohjauspaneeli -> Järjestelmä ja suojaus -> Hallintatyökalut ja avaamalla ryhmäkäytäntöjen hallintakonsoli.

Laajenna verkkotunnuksesi kentät ja napsauta hiiren kakkospainikkeella Toimialueen oletuskäytäntö. Valitse valikosta Muokkaa ja uusien ikkunoiden pitäisi näkyä.

11. Siirry ryhmäkäytäntöjen hallinnan muokkausikkunassa kohtaan Tietokonekokoonpano -> Käytännöt -> Windows-asetukset -> Suojausasetukset -> Paikalliset käytännöt -> Suojausasetukset ja uuden vaihtoehtoluettelon pitäisi näkyä oikealla tasolla.

Oikealla tasolla etsi ja muokkaa mukautetuilla asetuksillasi noudattamalla kahta alla olevassa kuvakaappauksessa olevaa merkintää.

12. Kun olet muokannut kahta merkintää, sulje kaikki ikkunat, avaa korotettu komentokehote ja pakota ryhmäkäytäntö soveltumaan koneellesi antamalla seuraava komento:

gpupdate /force

13. Käynnistä tietokone uudelleen ja näet kirjautumisbannerin toimivan, kun yrität kirjautua sisään.

Siinä kaikki! Ryhmäkäytäntö on hyvin monimutkainen ja arkaluontoinen aihe, jota järjestelmänvalvojien tulisi käsitellä mahdollisimman huolellisesti. Huomaa myös, että ryhmäkäytäntöasetukset eivät sovellu millään tavalla valtakuntaan integroituihin Linux-järjestelmiin.