Wyszukiwanie w witrynie

Zarządzaj DNS i zasadami grupy kontrolera domeny Samba4 AD w systemie Windows — część 4

Kontynuując poprzedni samouczek dotyczący administrowania Sambą4 z Windows 10 za pośrednictwem RSAT, w tej części zobaczymy, jak zdalnie zarządzać naszym serwerem DNS kontrolera domeny Samba AD z Microsoft DNS Manager, jak tworzyć rekordy DNS, jak tworzyć wyszukiwanie wsteczne Zone i jak utworzyć politykę domeny za pomocą narzędzia do zarządzania zasadami grupy.

Wymagania

  1. Utwórz infrastrukturę AD za pomocą Samby4 na Ubuntu 16.04 – część 1
  2. Zarządzaj infrastrukturą AD Samba4 z wiersza poleceń systemu Linux – część 2
  3. Zarządzaj infrastrukturą Active Directory Samba4 z Windows 10 poprzez RSAT – część 3

Krok 1: Zarządzaj serwerem DNS Samby

Samba4 AD DC korzysta z wewnętrznego modułu rozpoznawania nazw DNS, który jest tworzony podczas początkowego udostępniania domeny (jeśli moduł BIND9 DLZ nie jest specjalnie używany).

Wewnętrzny moduł DNS Samba4 obsługuje podstawowe funkcje potrzebne kontrolerowi domeny AD. Serwerem DNS domeny można zarządzać na dwa sposoby, bezpośrednio z wiersza poleceń poprzez interfejs samba-tool lub zdalnie ze stacji roboczej Microsoft będącej częścią domeny za pośrednictwem RSAT DNS Manager.

Tutaj omówimy drugą metodę, ponieważ jest bardziej intuicyjna i mniej podatna na błędy.

1. Aby administrować usługą DNS dla kontrolera domeny poprzez RSAT, przejdź do swojego komputera z systemem Windows, otwórz Panel sterowania ->< System i bezpieczeństwo -> Narzędzia administracyjne i uruchom narzędzie Menedżer DNS.

Po otwarciu narzędzia pojawi się pytanie, z jakim serwerem DNS chcesz się połączyć. Wybierz opcję Następujący komputer, wpisz w polu swoją nazwę domeny (lub można również użyć adresu IP lub FQDN), zaznacz pole, które pojawi się komunikat „Połącz się teraz z określonym komputerem” i naciśnij OK, aby otworzyć usługę Samba DNS.

2. Aby dodać rekord DNS (jako przykład dodamy rekord A, który będzie wskazywał naszą bramę LAN), przejdź do domeny Forward Lookup Zone, kliknij prawym przyciskiem myszy prawą płaszczyznę i wybierz Nowy host (A lub AAA).

3. W otwartym oknie Nowy host wpisz nazwę i adres IP swojego zasobu DNS. FQDN zostanie automatycznie zapisana przez narzędzie DNS. Po zakończeniu naciśnij przycisk Dodaj hosta, a wyskakujące okienko poinformuje Cię, że Twój rekord DNS A został pomyślnie utworzony.

Pamiętaj, aby dodać rekordy DNS A tylko dla zasobów w sieci skonfigurowanych ze statycznymi adresami IP. Nie dodawaj rekordów DNS A dla hostów skonfigurowanych do pobierania konfiguracji sieci z serwera DHCP lub ich adresy IP często się zmieniają.

Aby zaktualizować rekord DNS, kliknij go dwukrotnie i wpisz zmiany. Aby usunąć rekord, kliknij rekord prawym przyciskiem myszy i wybierz z menu opcję usuń.

W ten sam sposób możesz dodać inne typy rekordów DNS dla swojej domeny, takie jak CNAME (znany również jako rekord alias DNS) MX (bardzo przydatne w przypadku serwerów pocztowych) lub rekordy innego typu (SPF, TXT, SRV itp.).

Krok 2: Utwórz strefę wyszukiwania wstecznego

Domyślnie Samba4 Ad DC nie dodaje automatycznie strefy wyszukiwania wstecznego ani rekordów PTR dla Twojej domeny, ponieważ tego typu rekordy nie są niezbędne do prawidłowego działania kontrolera domeny.

Zamiast tego odwrotna strefa DNS i jej rekordy PTR mają kluczowe znaczenie dla funkcjonalności niektórych ważnych usług sieciowych, takich jak usługa poczty elektronicznej, ponieważ tego typu rekordy można wykorzystać do weryfikacji tożsamości klientów żądających usługi.

W praktyce rekordy PTR są przeciwieństwem standardowych rekordów DNS. Klienci znają adres IP zasobu i wysyłają zapytania do serwera DNS, aby znaleźć zarejestrowaną nazwę DNS.

4. Aby utworzyć strefę wyszukiwania wstecznego dla Samba AD DC, otwórz Menedżera DNS, kliknij prawym przyciskiem myszy Strefa wyszukiwania wstecznego z lewej płaszczyzny i wybierz z menu opcję Nowa strefa.

5. Następnie naciśnij przycisk Dalej i wybierz strefę Podstawowa z Kreatora typów stref.

6. Następnie wybierz Do wszystkich serwerów DNS działających na kontrolerach domeny w tej domenie z Zakres replikacji strefy AD, wybierz Odwróć IPv4 Strefa wyszukiwania i kliknij Dalej, aby kontynuować.

7. Następnie wpisz adres sieciowy IP swojej LAN w polu Identyfikator sieci i kliknij Dalej, aby kontynuować.

Wszystkie rekordy PTR dodane w tej strefie dla Twoich zasobów będą wskazywały tylko część sieci 192.168.1.0/24. Jeśli chcesz utworzyć rekord PTR dla serwera, który nie znajduje się w tym segmencie sieci (na przykład serwer pocztowy, który znajduje się w sieci 10.0.0.0/24), musisz utworzyć nową strefę wyszukiwania wstecznego również dla tego segmentu sieci.

8. Na następnym ekranie wybierz Zezwalaj tylko na bezpieczne aktualizacje dynamiczne, kliknij Dalej, aby kontynuować, i na koniec kliknij Zakończ, aby zakończyć tworzenie strefy.

9. W tym momencie masz skonfigurowaną prawidłową strefę wyszukiwania wstecznego DNS dla swojej domeny. Aby dodać rekord PTR w tej strefie, kliknij prawym przyciskiem myszy prawą płaszczyznę i wybierz opcję utworzenia rekordu PTR dla zasobu sieciowego.

W tym przypadku utworzyliśmy wskaźnik do naszej bramy. Aby sprawdzić, czy rekord został poprawnie dodany i działa zgodnie z oczekiwaniami z punktu widzenia klienta, otwórz Wiersz Poleceń i wykonaj zapytanie nslookup o nazwę zasobu i kolejne zapytanie o jego adres IP.

Obydwa zapytania powinny zwrócić poprawną odpowiedź dla Twojego zasobu DNS.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Krok 3: Zarządzanie zasadami grupy domeny

10. Ważnym aspektem kontrolera domeny jest jego zdolność do kontrolowania zasobów systemowych i bezpieczeństwa z jednego centralnego punktu. Tego typu zadanie można łatwo wykonać na kontrolerze domeny za pomocą Zasad grupy domeny.

Niestety, jedynym sposobem edytowania zasad grupy lub zarządzania nimi na kontrolerze domeny Samba jest użycie konsoli RSAT GPM dostarczonej przez firmę Microsoft.

W poniższym przykładzie zobaczymy, jak łatwo można manipulować polityką grupową dla naszej domeny samby, aby utworzyć interaktywny baner logowania dla użytkowników naszej domeny.

Aby uzyskać dostęp do konsoli zasad grupy, przejdź do Panelu sterowania -> System i zabezpieczenia -> Narzędzia administracyjne i otwórz konsolę Zarządzanie zasadami grupy.

Rozwiń pola swojej domeny i kliknij prawym przyciskiem myszy Domyślne zasady domeny. Wybierz z menu opcję Edytuj. Powinno pojawić się nowe okno.

11. W oknie Edytor zarządzania zasadami grupy przejdź do Konfiguracja komputera -> Zasady -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne -> Opcje zabezpieczeń, a nowa lista opcji powinna pojawić się w prawej płaszczyźnie.

W prawej płaszczyźnie wyszukaj i edytuj ustawienia niestandardowe, postępując zgodnie z dwoma wpisami przedstawionymi na poniższym zrzucie ekranu.

12. Po zakończeniu edycji dwóch wpisów zamknij wszystkie okna, otwórz wiersz polecenia z podwyższonym poziomem uprawnień i wymuś zastosowanie zasad grupy na swoim komputerze, wydając poniższe polecenie:

gpupdate /force

13. Na koniec uruchom ponownie komputer, a przy próbie logowania zobaczysz działający baner logowania.

To wszystko! Zasady grupy to bardzo złożony i delikatny temat, dlatego administratorzy systemu powinni traktować go z maksymalną ostrożnością. Należy również pamiętać, że ustawienia zasad grupy nie będą miały żadnego zastosowania do systemów Linux zintegrowanych z dziedziną.