Samba4 AD domeenikontrolleri DNS-i ja rühmapoliitika haldamine Windowsist - 4. osa

Jätkates eelmist õpetust selle kohta, kuidas Samba4 administreerida Windows 10-st RSAT-i kaudu, näeme selles osas, kuidas hallata meie Samba AD domeenikontrolleri DNS-serveri kaugjuhtimist Microsofti DNS-i haldurist, kuidas luua DNS-kirjeid, kuidas luua pöördotsing Tsoon ja domeenipoliitika loomine grupipoliitika haldamise tööriista kaudu.

  1. Looge Ubuntu 16.04 - 1. osa Samba4-ga AD-infrastruktuur
  2. Samba4 AD-taristu haldamine Linuxi käsurealt - 2. osa
  3. Samba4 Active Directory infrastruktuuri haldamine Windows10-st RSAT-i kaudu - 3. osa

1. samm: hallake Samba DNS-serverit

Samba4 AD DC kasutab sisemist DNS-i lahendajamoodulit, mis luuakse algse domeeni pakkumise ajal (kui BIND9 DLZ-moodulit pole spetsiaalselt kasutatud).

Samba4 sisemine DNS-moodul toetab AD-domeenikontrolleri jaoks vajalikke põhifunktsioone. Domeeni DNS-serverit saab hallata kahel viisil, otse käsurealt samba-tööriistaliidese kaudu või kaugühenduse kaudu Microsofti tööjaamast, mis on osa domeenist RSAT DNS-i halduri kaudu.

Siinkohal käsitleme teist meetodit, kuna see on intuitiivsem ja pole nii altid vigadele.

1. Oma domeenikontrolleri DNS-teenuse haldamiseks RSAT-i kaudu minge oma Windowsi masinasse, avage Juhtpaneel -> Süsteem ja turvalisus -> Haldustööriistad ja käivitage DNS-i halduri utiliit.

Kui tööriist avaneb, küsib see teilt, millises DNS-i töötavas serveris soovite ühenduse luua. Valige Järgmine arvuti, tippige väljale oma domeeninimi (või saab kasutada ka IP-aadressi või FQDN-i), märkige ruut „Ühenda määratud arvutiga nüüd” ja vajutage OK, et oma Samba DNS-teenus avada.

2. DNS-kirje lisamiseks (lisame näitena A -kirje, mis osutab meie LAN-i lüüsile), navigeerige domeeni Forward Lookup Zone juurde, paremklõpsake paremal tasapinnal ja valige Uus host ( A või AAA ).

3. Tippige aknas Uus hosti avatud oma DNS-ressursi nimi ja IP-aadress. DNS-utiliit kirjutab teie jaoks FQDN-i automaatselt. Kui olete lõpetanud, vajutage nuppu Lisa host ja hüpikaken teavitab teid, et teie DNS A kirje on edukalt loodud.

Lisage DNS-A kirjed ainult nende võrgu ressursside jaoks, mis on konfigureeritud staatiliste IP-aadressidega. Ärge lisage DNS A kirjeid hostide jaoks, mis on konfigureeritud hankima DHCP-serverilt võrgukonfiguratsioone või nende IP-aadressid muutuvad sageli.

DNS-kirje värskendamiseks tehke sellel topeltklõps ja kirjutage oma muudatused. Kirje kustutamiseks paremklõpsake kirjel ja valige menüüst Kustuta.

Samamoodi saate oma domeeni jaoks lisada muud tüüpi DNS-kirjed, näiteks CNAME (tuntud ka kui DNS-i aliaskirje) MX-kirjed (väga kasulikud postiserverite jaoks) või muud tüüpi kirjed (SPF, TXT, SRV jne).

2. samm: looge pöördotsingu tsoon

Vaikimisi ei lisa Samba4 Ad DC teie domeenile automaatselt pöördotsingu tsooni ja PTR-kirjeid, kuna seda tüüpi kirjed pole domeenikontrolleri korrektseks toimimiseks üliolulised.

Selle asemel on DNS-i vastupidine tsoon ja selle PTR-kirjed mõne olulise võrguteenuse, näiteks e-posti teenuse funktsionaalsuse jaoks üliolulised, kuna seda tüüpi kirjeid saab kasutada teenust taotlevate klientide identiteedi kontrollimiseks.

Praktiliselt on PTR-kirjed vastupidised standardsetele DNS-kirjetele. Kliendid teavad ressursi IP-aadressi ja pärivad DNS-serverilt nende registreeritud DNS-nime.

4. Samba AD DC-le pöördotsingu tsooni loomiseks avage DNS-i haldur, paremklõpsake vasakul tasapinnal pöördotsingu tsooni ja valige menüüst Uus tsoon.

5. Järgmisena vajutage nuppu Edasi ja valige tsooni tüübi viisardist Peamine tsoon.

6. Järgmisena valige AD-tsooni replikatsiooni ulatusest Kõigile selle domeeni domeenikontrollerites töötavatele DNS-serveritele, valige IPv4 pöördotsingu tsoon ja jätkamiseks klõpsake nuppu Edasi.

7. Järgmisena tippige oma kohtvõrgu IP-võrguaadress jaotisesse Võrgu ID esitatud ja vajutage jätkamiseks nuppu Edasi.

Kõik selles tsoonis teie ressursside jaoks lisatud PTR-kirjed osutavad tagasi ainult võrgu osale 192.168.1.0/24. Kui soovite luua PTR-kirje serverile, mis ei asu selles võrgusegmendis (näiteks postiserver, mis asub võrgus 10.0.0.0/24), peate selle jaoks looma uue pöördotsingu tsooni võrgusegment samuti.

8. Järgmisel ekraanil valige Luba ainult turvalised dünaamilised värskendused, vajutage jätkamiseks järgmise nuppu ja lõpuks vajutage tsooni loomise lõpuleviimiseks lõpule.

9. Sel hetkel on teie domeenile konfigureeritud kehtiv DNS-i pöördotsingu tsoon. Selles tsoonis PTR-kirje lisamiseks paremklõpsake paremal tasapinnal ja valige võrguressursi jaoks PTR-kirje loomine.

Sel juhul oleme loonud oma lüüsi kursori. Selleks, et kontrollida, kas kirje on korralikult lisatud ja töötab kliendi vaatepunktist ootuspäraselt, avage käsuviip ja väljastage ressursi nime ja teise IP-aadressi päring nslookup-päringuga.

Mõlemad päringud peaksid tagastama teie DNS-ressursi õige vastuse.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

3. samm: domeenigrupipoliitika haldamine

10. Domeenikontrolleri oluline aspekt on võime kontrollida süsteemi ressursse ja turvalisust ühest keskpunktist. Seda tüüpi ülesandeid saab domeenikontrolleris hõlpsasti saavutada domeenigrupipoliitika abil.

Kahjuks on samba domeenikontrolleris ainus viis rühmapoliitika muutmiseks või haldamiseks läbi Microsofti pakutava RSAT GPM-i konsooli.

Allpool toodud näites näeme, kui lihtne võib olla samba domeeni rühmapoliitika manipuleerimine interaktiivse sisselogimisbänneri loomiseks meie domeeni kasutajatele.

Rühmapoliitika konsoolile juurdepääsemiseks minge jaotisse Juhtpaneel -> Süsteem ja turvalisus -> Haldustööriistad ja avage rühmapoliitika haldamise konsool.

Laiendage oma domeeni väljad ja paremklõpsake domeeni vaikepoliitikat. Valige menüüst Muuda ja peaksid ilmuma uued aknad.

11. Minge grupipoliitika haldamise redaktori aknas jaotisse Arvuti konfiguratsioon -> Poliitikad -> Windowsi seaded -> Turvasätted -> Kohalikud reeglid -> Turvasuvandid ja paremale tasapinnale peaks ilmuma uus suvandite loend.

Paremal tasapinnal otsige ja redigeerige oma kohandatud sätetega, järgides kahte alloleval ekraanipildil esitatud kirjet.

12. Pärast kahe kirje redigeerimise lõpetamist sulgege kõik aknad, avage kõrgendatud käsuviip ja sundige rühmapoliitikat teie arvutis rakendama, väljastades järgmise käsu:

gpupdate /force

13. Lõpuks taaskäivitage arvuti ja sisselogimise proovimisel näete sisselogimisbännerit toimimas.

See on kõik! Grupipoliitika on väga keeruline ja tundlik teema ning süsteemiadministraatorid peaksid sellesse suhtuma võimalikult hoolikalt. Pange tähele ka seda, et grupipoliitika sätted ei kehti mingil viisil sfääri integreeritud Linuxi süsteemide kohta.