Hallitse Samba4 AD Domain Controller DNS:ää ja ryhmäkäytäntöä Windowsista - Osa 4


Jatkamalla edellistä opetusohjelmaa Samba4:n hallinnasta Windows 10:stä RSAT:n kautta, tässä osassa näemme kuinka etähallita Samba AD -toimialueen ohjaimen DNS-palvelinta Microsoft DNS Managerista, kuinka luodaan DNS-tietueita, kuinka luodaan käänteinen haku. Zone ja verkkoalueen käytännön luominen Group Policy Management -työkalun avulla.

Vaatimukset

  1. Luo AD-infrastruktuuri Samba4:llä Ubuntu 16.04:ssä – Osa 1
  2. Hallitse Samba4 AD -infrastruktuuria Linuxin komentoriviltä – Osa 2
  3. Hallitse Samba4 Active Directory -infrastruktuuria Windows10:stä RSAT:n kautta – Osa 3

Vaihe 1: Hallinnoi Samba DNS -palvelinta

Samba4 AD DC käyttää sisäistä DNS-selvitysmoduulia, joka luodaan ensimmäisen toimialueen määrittämisen yhteydessä (jos BIND9 DLZ -moduulia ei käytetä erikseen).

Samba4-sisäinen DNS-moduuli tukee AD Domain Controllerin tarvittavia perusominaisuuksia. Verkkoalueen DNS-palvelinta voidaan hallita kahdella tavalla: suoraan komentoriviltä samba-tool-käyttöliittymän kautta tai etänä toimialueeseen kuuluvasta Microsoft-työasemasta RSAT DNS Managerin kautta.

Tässä käsittelemme toista menetelmää, koska se on intuitiivisempi eikä niin altis virheille.

1. Jos haluat hallita verkkotunnuksesi ohjaimen DNS-palvelua RSAT:n kautta, siirry Windows-tietokoneellesi ja avaa Ohjauspaneeli ->< Järjestelmä ja suojaus -> Hallintatyökalut ja suorita DNS Manager -apuohjelma.

Kun työkalu avautuu, se kysyy, mihin DNS-palvelimeen haluat muodostaa yhteyden. Valitse Seuraava tietokone, kirjoita verkkotunnuksesi kenttään (tai IP-osoite tai FQDN voidaan myös käyttää), valitse valintaruutu sanoo "Yhdistä määritettyyn tietokoneeseen nyt" ja avaa Samba DNS -palvelu painamalla OK.

2. Jos haluat lisätä DNS-tietueen (esimerkiksi lisäämme A-tietueen, joka osoittaa LAN-yhdyskäytäväämme), siirry verkkotunnukseen Forward Lookup Zone, napsauta oikeaa tasoa hiiren kakkospainikkeella ja valitse Uusi isäntä (A tai AAA).

3. Kirjoita Uusi isäntä avattu -ikkunaan DNS-resurssi nimi ja IP-osoite. DNS-apuohjelma kirjoittaa FQDN:n automaattisesti puolestasi. Kun olet valmis, paina Lisää isäntä -painiketta, jolloin ponnahdusikkuna ilmoittaa, että DNS A -tietueesi on luotu onnistuneesti.

Varmista, että lisäät DNS A -tietueet vain niille verkon resursseille, jotka on määritetty staattisilla IP-osoitteilla. Älä lisää DNS A -tietueita isännille, jotka on määritetty hankkimaan verkkomääritykset DHCP-palvelimelta tai niiden IP-osoitteet vaihtuvat usein.

Päivitä DNS-tietue kaksoisnapsauttamalla sitä ja kirjoittamalla muutokset. Voit poistaa tietueen napsauttamalla hiiren kakkospainikkeella tietuetta ja valitsemalla valikosta poista.

Samalla tavalla voit lisätä verkkotunnuksellesi muun tyyppisiä DNS-tietueita, kuten CNAME (tunnetaan myös nimellä DNS-alias-tietue) >MX-tietueet (erittäin hyödyllinen sähköpostipalvelimille) tai muun tyyppiset tietueet (SPF, TXT, SRV jne.).

Vaihe 2: Luo käänteisen haun vyöhyke

Oletusarvoisesti Samba4 Ad DC ei lisää automaattisesti käänteisen haun vyöhykettä ja PTR-tietueita verkkotunnuksellesi, koska tämäntyyppiset tietueet eivät ole tärkeitä verkkotunnuksen ohjaimen toimimiselle.

Sen sijaan DNS-käänteisalue ja sen PTR-tietueet ovat ratkaisevan tärkeitä joidenkin tärkeiden verkkopalvelujen, kuten sähköpostipalvelun, toiminnalle, koska tämän tyyppisten tietueiden avulla voidaan varmistaa palvelua pyytävien asiakkaiden henkilöllisyys.

Käytännössä PTR-tietueet ovat juuri päinvastoin kuin tavalliset DNS-tietueet. Asiakkaat tietävät resurssin IP-osoitteen ja tietävät DNS-palvelimelta rekisteröidyn DNS-nimensä.

4. Jos haluat luoda käänteisen hakuvyöhykkeen Samba AD DC:lle, avaa DNS Manager ja napsauta hiiren kakkospainikkeella Käänteisen haun vyöhykettä. vasemmasta tasosta ja valitse valikosta Uusi vyöhyke.

5. Paina seuraavaksi Seuraava-painiketta ja valitse Ensisijainen vyöhyke Ohjatusta vyöhyketyyppitoiminnosta.

6. Valitse seuraavaksi kaikille DNS-palvelimille, jotka toimivat tämän toimialueen toimialueen ohjaimissa AD Zone Replication Scope -kohdasta, valitse IPv4 Reverse Hae Zone ja jatka valitsemalla Seuraava.

7. Kirjoita seuraavaksi LAN-verkkosi IP-osoite Network ID -kenttään ja jatka valitsemalla Seuraava.

Kaikki tälle vyöhykkeelle lisätyt PTR-tietueet osoittavat takaisin vain verkko-osaan 192.168.1.0/24. Jos haluat luoda PTR-tietueen palvelimelle, joka ei sijaitse tässä verkkosegmentissä (esimerkiksi sähköpostipalvelimelle, joka sijaitsee verkossa 10.0.0.0/24), sinun on luotava uusi käänteisen haun vyöhyke myös kyseiselle verkkosegmentille.

8. Valitse seuraavassa näytössä Salli vain suojatut dynaamiset päivitykset, paina Seuraava jatkaaksesi ja lopuksi paina valmis viimeistelläksesi vyöhykkeen luomisen.

9. Tässä vaiheessa verkkotunnuksellesi on määritetty kelvollinen DNS-käänteisen haun vyöhyke. Jos haluat lisätä PTR-tietueen tälle vyöhykkeelle, napsauta oikeaa tasoa hiiren kakkospainikkeella ja valitse verkkoresurssille PTR-tietueen luominen.

Tässä tapauksessa olemme luoneet osoittimen yhdyskäytävällemme. Voit testata, onko tietue lisätty oikein ja toimiiko se asiakkaan näkökulmasta odotetulla tavalla avaamalla komentokehote ja lähettämällä nslookup-kyselyn resurssin nimen ja toinen kysely sen IP-osoitteesta.

Molempien kyselyiden pitäisi palauttaa DNS-resurssillesi oikea vastaus.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Vaihe 3: Domain Group Policy Management

10. Toimialueen ohjaimen tärkeä osa on sen kyky hallita järjestelmän resursseja ja turvallisuutta yhdestä keskuspisteestä. Tämän tyyppiset tehtävät voidaan suorittaa helposti verkkotunnuksen ohjaimessa Domain Group Policyn avulla.

Valitettavasti ainoa tapa muokata tai hallita ryhmäkäytäntöä samba-toimialueen ohjaimessa on Microsoftin tarjoaman RSAT GPM -konsolin kautta.

Alla olevassa esimerkissä näemme, kuinka helppoa voi olla samba-verkkotunnuksemme ryhmäkäytäntöjen manipulointi interaktiivisen kirjautumisbannerin luomiseksi verkkotunnuksemme käyttäjille.

Pääset ryhmäkäytäntökonsoliin siirtymällä kohtaan Ohjauspaneeli -> Järjestelmä ja suojaus -> Hallintatyökalut ja avaa Ryhmäkäytäntöjen hallinta -konsoli.

Laajenna verkkotunnuksesi kentät ja napsauta hiiren kakkospainikkeella Oletusverkkotunnuskäytäntö. Valitse valikosta Muokkaa, niin uusien ikkunoiden pitäisi ilmestyä.

11. Siirry Group Policy Management Editor -ikkunassa kohtaan Tietokoneen määritykset -> Käytännöt -> Windows-asetukset -> Suojausasetukset -> Paikalliset käytännöt -> Suojausasetukset ja uuden asetusluettelon pitäisi ilmestyä oikealle tasolle.

Etsi ja muokkaa oikealla tasolla mukautetuilla asetuksillasi seuraamalla kahta alla olevassa kuvakaappauksessa esitettyä merkintää.

12. Kun olet lopettanut kahden merkinnän muokkaamisen, sulje kaikki ikkunat, avaa korotettu komentokehote ja pakota ryhmäkäytäntö ottamaan käyttöön koneessasi antamalla alla oleva komento:

gpupdate /force

13. Lopuksi käynnistä tietokoneesi uudelleen ja näet kirjautumisbannerin toiminnassa, kun yrität kirjautua sisään.

Siinä kaikki! Ryhmäkäytäntö on erittäin monimutkainen ja arkaluonteinen aihe, ja järjestelmänvalvojien tulee käsitellä sitä mahdollisimman huolellisesti. Huomaa myös, että ryhmäkäytäntöasetukset eivät koske millään tavalla valtakuntaan integroituja Linux-järjestelmiä.