Verwalten Sie die DNS und Gruppenrichtlinie von SAMBA4 AD -Domänen -Controller von Windows - Teil 4

Fortsetzung des vorherigen Tutorials zur Verwaltung von SAMBA4 von Windows 10 über RSAT werden wir in diesem Teil sehen Zone und wie man eine Domänenrichtlinie über das Tool für Gruppenrichtlinien für Richtlinien erstellen.

Anforderungen

1. Erstellen Sie eine Anzeigeninfrastruktur mit SAMBA4 auf Ubuntu 16.04 - Teil 1
2. Verwalten
3. Verwalten Sie die SAMBA4 Active Directory -Infrastruktur von Windows10 über RSAT - Teil 3

Schritt 1: SAMBA DNS -Server verwalten

SAMBA4 AD DC Verwendet ein internes DNS -Resolver -Modul, das während der anfänglichen Domänenbereitstellung erstellt wird (wenn Bind9 dlz Modul wird nicht speziell verwendet).

Samba4 intern DNS Das Modul unterstützt die für eine benötigten Grundfunktionen AD -Domänencontroller. Der Domain-DNS-Server kann auf zwei Arten verwaltet werden, direkt von der Befehlszeile über die Samba-Tool-Schnittstelle oder remote von einer Microsoft-Workstation, die Teil der Domäne ist RSAT DNS Manager.

Hier behandeln wir die zweite Methode, weil sie intuitiver und nicht so anfällig für Fehler ist.

1. So verwalten Sie den DNS -Dienst für Ihren Domänencontroller über Rsat, Gehen Sie zu Ihrem Windows -Computer, öffnen Sie Schalttafel -> System und Sicherheit -> Verwaltungswerkzeuge und Renn DNS -Manager Dienstprogramm.

Sobald das Tool geöffnet ist, werden Sie gefragt, welche DNS -Server Sie herstellen möchten. Wählen Sie den folgenden Computer aus, geben Sie Ihre ein Domain -Name im Feld (oder IP Adresse oder Fqdn kann auch verwendet werden), überprüfen Sie das Kontrollkästchen mit der Aufschrift 'Stellen Sie jetzt jetzt eine Verbindung zum angegebenen Computer her'und schlage OK um deine zu öffnen Samba DNS Service.

Schließen Sie SAMBA4 DNS unter Windows an

2. Um einen DNS -Datensatz hinzuzufügen (als Beispiel werden wir eine hinzufügen A Notieren Sie, die auf unser Lan -Gateway hinweisen, und navigieren Sie zur Domain Vorwärts -Lookup -Zone, Klicken Sie mit der rechten Maustaste auf die rechte Ebene und wählen Sie Neuer Gastgeber (A oder AAA).

Fügen Sie DNS einen Datensatz unter Windows hinzu

3. Geben Sie auf dem neuen Fenster des neuen Hosts das ein Name und das IP Adresse Ihrer DNS -Ressource. Der Fqdn wird automatisch vom DNS -Dienstprogramm für Sie geschrieben. Wenn Sie fertig sind, schlagen Sie die Host hinzufügen Button und ein Popup-Fenster informieren Sie darüber, dass Ihre Dns a Rekord wurde erfolgreich erstellt.

Stellen Sie sicher, dass Sie hinzufügen Dns a Aufzeichnungen nur für diese Ressourcen in Ihrem Netzwerk mit statischen IP -Adressen konfiguriert. Fügen Sie nicht hinzu Dns a Datensätze für Hosts, die so konfiguriert sind, dass sie Netzwerkkonfigurationen von a erwerben DHCP Server oder dere IP -Adressen oft ändern.

Konfigurieren Sie den Samba -Host unter Windows

Zu aktualisieren a DNS Klicken Sie einfach doppelt darauf und schreiben Sie Ihre Modifikationen. So löschen Sie den Datensatz mit der rechten Maustaste auf die aufzeichnen und wähle löschen Aus der Speisekarte.

Ebenso können Sie andere Arten von hinzufügen DNS Aufzeichnungen für Ihre Domain, wie z Cname (auch bekannt als DNS Alias aufzeichnen) Mx Datensätze (sehr nützlich für Mail -Server) oder andere Art von Datensätzen (Spf, TXT, Srv usw).

Schritt 2: Erstellen Sie eine umgekehrte Lookup -Zone

Standardmäßig, SAMBA4 AD DC Fügt keine Reverse -Lookup -Zone und PTR -Datensätze für Ihre Domäne automatisch hinzu, da diese Arten von Datensätzen für einen Domänencontroller nicht von entscheidender Bedeutung sind, um korrekt zu funktionieren.

Stattdessen sind eine DNS-Reverse-Zone und ihre PTR-Datensätze für die Funktionalität einiger wichtiger Netzwerkdienste von entscheidender.

Praktisch sind PTR -Aufzeichnungen genau das Gegenteil von Standard -DNS -Datensätzen. Die Clients kennen die IP -Adresse einer Ressource und fragten den DNS -Server, um den registrierten DNS -Namen herauszufinden.

4. Um eine umgekehrte Lookup -Zone für zu erstellen Samba ad DC, offen DNS -Manager, Klicken Sie mit der rechten Maustaste auf Reverse Lookup Zone aus der linken Ebene und wählen Sie Neue Zone Aus der Speisekarte.

Erstellen Sie die DNS -Zone der Reverse Lookup

5. Als nächstes schlagen Sie Nächste Schaltfläche und wählen Sie Primär Zone von Zonen -Assistent.

Wählen Sie DNS -Zonentyp

6. Wählen Sie als nächstes zu allen DNS Server, die auf Domänencontrollern in dieser Domäne aus dem ausgeführt werden AD -Zonen -Replikationsumfang, gewählt IPv4 Reverse Lookup Zone und schlagen Nächste weitermachen.

Wählen Sie DNS für den SAMBA -Domänencontroller aus Fügen Sie den Namen Reverse Lookup Zone hinzu

7. Geben Sie als Nächstes die IP -Netzwerkadresse für Ihre ein Lan In Netzwerk ID abgelegt und getroffen Nächste weitermachen.

Alle Ptr In dieser Zone für Ihre Ressourcen hinzugefügte Aufzeichnungen werden nur auf 192.168.1.0/24 Netzwerkabschnitt. Wenn Sie einen PTR -Datensatz für einen Server erstellen möchten, der sich nicht in diesem Netzwerksegment befindet (z 10.0.0.0/24 Netzwerk), dann müssen Sie auch eine neue Reverse -Lookup -Zone für dieses Netzwerksegment erstellen.

Fügen Sie die IP -Adresse der Reverse -Lookup -DNS -Zone hinzu

8. Auf dem nächsten Bildschirm wählen Sie zu Erlauben Nur sichere dynamische Updates, als nächst beenden Erstellung der Zone abschließen.

Aktivieren Sie sichere dynamische Updates Neue DNS -Zone -Zusammenfassung

9. Zu diesem Zeitpunkt haben Sie eine gültige DNS -Reverse -Lookup -Zone für Ihre Domäne konfiguriert. Um a hinzuzufügen Ptr Klicken Sie in dieser Zone in dieser Zone mit der rechten Maustaste auf rechts Ebene und entscheiden Sie sich für eine Ptr Aufzeichnung für eine Netzwerkressource.

In diesem Fall haben wir einen Zeiger für unser Gateway erstellt. Um zu testen, ob der Datensatz ordnungsgemäß hinzugefügt wurde und wie erwartet aus Sicht des Kunden funktioniert, öffnen Sie a Eingabeaufforderung und Ausgabe a nslookup Abfragen Sie den Namen der Ressource und eine andere Abfrage für die IP -Adresse.

Beide Abfragen sollten die richtige Antwort auf Ihre DNS -Ressource zurückgeben.

Nslookup -Tor.Tecmint.lan nslookup 192.168.1.1 Ping -Tor 

Fügen Sie DNS -PTR -Datensatz und Abfrage PTR hinzu

Schritt 3: Domain Group Policy Management

10. Ein wichtiger Aspekt eines Domänencontrollers ist die Fähigkeit, Systemressourcen und Sicherheit von einem einzigen zentralen Punkt aus zu steuern. Diese Art von Aufgabe kann in einem Domänencontroller mit Hilfe von leicht erreicht werden Domänengruppenrichtlinie.

Leider ist die einzige Möglichkeit, Gruppenrichtlinien in einem SAMBA -Domänencontroller zu bearbeiten oder zu verwalten RSAT GPM Konsole von Microsoft bereitgestellt.

Im folgenden Beispiel sehen wir, wie einfach sein kann, Gruppenrichtlinien für unsere Samba -Domain zu manipulieren, um ein interaktives Anmeldebanner für unsere Domänenbenutzer zu erstellen.

Um auf Gruppenrichtlinienkonsole zuzugreifen, gehen Sie zu Schalttafel -> System und Sicherheit -> Verwaltungswerkzeuge und offen Gruppenrichtlinienverwaltung Konsole.

Erweitern Sie die Felder für Ihre Domain und klicken Sie mit der rechten Maustaste auf Standarddomänenrichtlinie. Wählen Bearbeiten Aus dem Menü und einem neuen Fenster sollte angezeigt werden.

Verwalten Sie die Richtlinie der Samba Domain Group

11. An Herausgeber des Gruppenrichtlinienmanagements Fenster gehen zu Computerkonfiguration -> Richtlinien -> Windows -Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen und eine neue Optionsliste sollte in der richtigen Ebene angezeigt werden.

In der richtigen Flugzeugsuche und bearbeiten Sie mit Ihren benutzerdefinierten Einstellungen nach zwei auf dem folgenden Screenshot angegebenen Einträgen.

Konfigurieren Sie die SAMBA -Domänengruppenrichtlinie

12. Nach Abschluss der Bearbeitung der beiden Einträge schließen Sie alle Fenster, öffnen Sie eine erhöhte Eingabeaufforderung und erzwingen Sie Gruppenrichtlinien, die Sie auf Ihrem Computer anwenden können, indem Sie den folgenden Befehl ausgeben:

gpupdate /Kraft 

Aktualisieren Sie die Richtlinie der SAMBA -Domänengruppe

13. Starten Sie Ihren Computer schließlich neu und Sie werden das Anmeldebanner in Aktion sehen, wenn Sie versuchen, sich anzumelden.

SAMBA4 AD -Domänen -Controller -Anmeldebanner

Das ist alles! Gruppenrichtlinie ist ein sehr komplexes und empfindliches Thema und sollte mit maximaler Versorgung von Systemadministratoren behandelt werden. Beachten Sie auch, dass die Einstellungen für Gruppenrichtlinien in keiner Weise für Linux -Systeme gelten, die in den Bereich integriert sind.