Gestionați DNS și politica de grup a controlerului de domeniu Samba4 AD din Windows - Partea 4

Continuând tutorialul anterior despre cum să administrați Samba4 din Windows 10 prin RSAT, în această parte vom vedea cum să gestionăm de la distanță serverul DNS al controlerului de domeniu Samba AD din Microsoft DNS Manager, cum să creați înregistrări DNS, cum să creați o căutare inversă Zona și cum să creați o politică de domeniu prin instrumentul de management al politicii de grup.

Cerințe

  1. Creați o infrastructură AD cu Samba4 pe Ubuntu 16.04 – Partea 1
  2. Gestionați infrastructura Samba4 AD din linia de comandă Linux – Partea 2
  3. Gestionați infrastructura Samba4 Active Directory din Windows10 prin RSAT – Partea 3

Pasul 1: Gestionați serverul DNS Samba

Samba4 AD DC folosește un modul intern de rezoluție DNS care este creat în timpul furnizării inițiale a domeniului (dacă modulul BIND9 DLZ nu este utilizat în mod specific).

Modulul DNS intern Samba4 acceptă caracteristicile de bază necesare pentru un controller de domeniu AD. Serverul DNS de domeniu poate fi gestionat în două moduri, direct din linia de comandă prin interfața samba-tool sau de la distanță de la o stație de lucru Microsoft care face parte din domeniu prin RSAT DNS Manager.

Aici, vom acoperi a doua metodă, deoarece este mai intuitivă și nu atât de predispusă la erori.

1. Pentru a administra serviciul DNS pentru controlerul dvs. de domeniu prin RSAT, accesați computerul Windows, deschideți Panou de control ->< Sistem și securitate -> Instrumente administrative și rulați utilitarul DNS Manager.

Odată ce instrumentul se deschide, vă va întreba pe ce server de rulare DNS doriți să vă conectați. Alegeți Următorul computer, introduceți numele domeniului în câmp (sau se poate utiliza și Adresa IP sau FQDN), bifați caseta care spune „Conectează-te acum la computerul specificat” și apasă pe OK pentru a deschide serviciul tău Samba DNS.

2. Pentru a adăuga o înregistrare DNS (de exemplu vom adăuga o înregistrare A care va indica gateway-ul nostru LAN), navigați la domeniul Forward Lookup Zone, faceți clic dreapta pe planul din dreapta și alegeți New Host (A sau AAA).

3. În fereastra Gazdă nouă deschisă, tastați numele și Adresa IP ale resursei DNS. FQDN-ul va fi scris automat pentru dvs. de utilitarul DNS. Când ați terminat, apăsați butonul Adăugați gazdă și o fereastră pop-up vă va informa că înregistrarea dvs. DNS A a fost creată cu succes.

Asigurați-vă că adăugați înregistrări DNS A numai pentru acele resurse din rețeaua dvs. configurate cu adrese IP statice. Nu adăugați înregistrări DNS A pentru gazdele care sunt configurate să obțină configurații de rețea de la un server DHCP sau Adresele IP ale acestora se schimbă des.

Pentru a actualiza o înregistrare DNS, faceți dublu clic pe ea și scrieți modificările. Pentru a șterge înregistrarea, faceți clic dreapta pe înregistrarea și alegeți Ștergeți din meniu.

În același mod, puteți adăuga alte tipuri de înregistrări DNS pentru domeniul dvs., cum ar fi CNAME (cunoscut și ca înregistrare DNS alias) MX (foarte utile pentru serverele de e-mail) sau alt tip de înregistrări (SPF, TXT, SRV etc).

Pasul 2: Creați o zonă de căutare inversă

În mod implicit, Samba4 Ad DC nu adaugă automat o zonă de căutare inversă și înregistrări PTR pentru domeniul dvs., deoarece aceste tipuri de înregistrări nu sunt esențiale pentru ca un controler de domeniu să funcționeze corect.

În schimb, o zonă inversă DNS și înregistrările sale PTR sunt cruciale pentru funcționalitatea unor servicii importante de rețea, cum ar fi un serviciu de e-mail, deoarece acest tip de înregistrări pot fi folosite pentru a verifica identitatea clienților care solicită un serviciu.

Practic, înregistrările PTR sunt exact opusul înregistrărilor DNS standard. Clienții cunosc adresa IP a unei resurse și interogează serverul DNS pentru a afla numele lor DNS înregistrat.

4. Pentru a crea o zonă de căutare inversă pentru Samba AD DC, deschideți Manager DNS, faceți clic dreapta pe Zonă de căutare inversă din planul din stânga și alegeți Zonă nouă din meniu.

5. Apoi, apăsați butonul Înainte și alegeți Zonă principală din Asistent tip zonă.

6. Apoi, alegeți Către toate serverele DNS care rulează pe controlerele de domeniu din acest domeniu din Scopul de replicare a zonei AD, alegeți IPv4 Reverse Zona de căutare și apăsați pe Înainte pentru a continua.

7. Apoi, introduceți adresa de rețea IP pentru LAN în ID de rețea înregistrat și apăsați pe Înainte pentru a continua.

Toate înregistrările PTR adăugate în această zonă pentru resursele dvs. vor trimite înapoi numai către porțiunea de rețea 192.168.1.0/24. Dacă doriți să creați o înregistrare PTR pentru un server care nu rezidă în acest segment de rețea (de exemplu, un server de e-mail care se află în rețeaua 10.0.0.0/24), atunci va trebui să creați o nouă zonă de căutare inversă și pentru acel segment de rețea.

8. Pe următorul ecran, alegeți să Permiteți numai actualizările dinamice securizate, apăsați lângă pentru a continua și, în sfârșit, apăsați pe Terminare pentru a finaliza crearea zonei.

9. În acest moment, aveți o zonă de căutare inversă DNS validă configurată pentru domeniul dvs. Pentru a adăuga o înregistrare PTR în această zonă, faceți clic dreapta pe planul din dreapta și alegeți să creați o înregistrare PTR pentru o resursă de rețea.

În acest caz, am creat un pointer pentru gateway-ul nostru. Pentru a testa dacă înregistrarea a fost adăugată corect și funcționează conform așteptărilor din punctul de vedere al clientului, deschideți un Prompt de comandă și lansați o interogare nslookup cu numele resursei și altă interogare pentru adresa sa IP.

Ambele interogări ar trebui să returneze răspunsul corect pentru resursa DNS.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Pasul 3: Managementul politicii de grup de domeniu

10. Un aspect important al unui controler de domeniu este capacitatea sa de a controla resursele sistemului și securitatea dintr-un singur punct central. Acest tip de sarcină poate fi realizat cu ușurință într-un controler de domeniu cu ajutorul Politicii de grup de domeniu.

Din păcate, singura modalitate de a edita sau gestiona politica de grup într-un controler de domeniu samba este prin intermediul RSAT GPM consola furnizată de Microsoft.

În exemplul de mai jos, vom vedea cât de simplu poate fi manipularea politicii de grup pentru domeniul nostru samba pentru a crea un banner interactiv de conectare pentru utilizatorii domeniului nostru.

Pentru a accesa consola de politici de grup, accesați Panou de control -> Sistem și securitate -> Instrumente administrative și deschideți consola Gestionarea politicilor de grup.

Extindeți câmpurile pentru domeniul dvs. și faceți clic dreapta pe Politica de domeniu implicită. Alegeți Editați din meniu și ar trebui să apară o fereastră nouă.

11. În fereastra Editor de gestionare a politicilor de grup, accesați Configurația computerului -> Politici -> Setări Windows -> Setări de securitate -> Politicile locale -> Opțiuni de securitate și o nouă listă de opțiuni ar trebui să apară în planul din dreapta.

În planul din dreapta, căutați și editați cu setările dvs. personalizate, după două intrări prezentate în captura de ecran de mai jos.

12. După ce ați terminat de editat cele două intrări, închideți toate ferestrele, deschideți un prompt de comandă ridicat și forțați politica de grup să se aplice pe computer, lansând comanda de mai jos:

gpupdate /force

13. În cele din urmă, reporniți computerul și veți vedea bannerul de conectare în acțiune când veți încerca să efectuați conectarea.

Asta e tot! Politica de grup este un subiect foarte complex și sensibil și trebuie tratat cu maximă atenție de către administratorii de sistem. De asemenea, rețineți că setările politicii de grup nu se vor aplica în niciun fel sistemelor Linux integrate în domeniu.