网站搜索

从 Windows 管理 Samba4 AD 域控制器 DNS 和组策略 - 第 4 部分

继续上一篇关于如何通过 RSAT 从 Windows 10 管理 Samba4 的教程,在这一部分中,我们将了解如何从 Microsoft DNS 管理器远程管理我们的 Samba AD 域控制器 DNS 服务器、如何创建 DNS 记录、如何创建反向查找区域以及如何通过组策略管理工具创建域策略。

要求

  1. 在 Ubuntu 16.04 上使用 Samba4 创建 AD 基础设施 – 第 1 部分
  2. 从 Linux 命令行管理 Samba4 AD 基础设施 – 第 2 部分
  3. 通过 RSAT 从 Windows10 管理 Samba4 Active Directory 基础设施 – 第 3 部分

第 1 步:管理 Samba DNS 服务器

Samba4 AD DC 使用在初始域配置期间创建的内部 DNS 解析器模块(如果未专门使用 BIND9 DLZ 模块)。

Samba4内部DNS模块支持AD域控制器所需的基本功能。域 DNS 服务器可以通过两种方式进行管理,通过 samba 工具界面直接从命令行进行管理,或者通过 RSAT DNS Manager 从属于域的 Microsoft 工作站进行远程管理。

在这里,我们将介绍第二种方法,因为它更直观并且不太容易出错。

1. 要通过 RSAT 管理域控制器的 DNS 服务,请转到您的 Windows 计算机,打开控制面板 ->< 系统和安全 -> 管理工具并运行DNS管理器实用程序。

该工具打开后,它会询问您要连接哪个 DNS 运行服务器。选择以下计算机,在字段中输入您的域名(也可以使用IP 地址FQDN),选中该复选框显示“立即连接到指定的计算机”,然后点击确定打开您的Samba DNS服务。

2. 为了添加 DNS 记录(例如,我们将添加指向 LAN 网关的 A 记录),导航到域正向查找区域,右键单击右侧平面并选择新主机AAAA)。

3. 在打开的新主机窗口中,键入 DNS 资源的名称IP 地址。 DNS 实用程序将自动为您写入 FQDN。完成后,点击添加主机按钮,弹出窗口将通知您DNS A记录已成功创建。

确保仅为网络中配置有静态 IP 地址的资源添加 DNS A 记录。不要为配置为从 DHCP 服务器获取网络配置或其IP 地址经常更改的主机添加 DNS A 记录。

要更新 DNS 记录,只需双击它并写入您的修改即可。要删除记录,请右键单击记录,然后从菜单中选择删除

以同样的方式,您可以为您的域添加其他类型的 DNS 记录,例如 CNAME(也称为 DNS 别名 记录)MX 记录(对于邮件服务器非常有用)或其他类型的记录(SPFTXTSRV 等)。

第 2 步:创建反向查找区域

默认情况下,Samba4 Ad DC 不会自动为您的域添加反向查找区域和 PTR 记录,因为这些类型的记录对于域控制器的正常运行并不重要。

相反,DNS 反向区域及其 PTR 记录对于某些重要网络服务(例如电子邮件服务)的功能至关重要,因为这些类型的记录可用于验证请求服务的客户端的身份。

实际上,PTR 记录与标准 DNS 记录正好相反。客户端知道资源的 IP 地址并查询 DNS 服务器以查找其注册的 DNS 名称。

4.要为Samba AD DC创建反向查找区域,请打开DNS Manager,右键单击反向查找区域 从左侧平面中选择新区域,然后从菜单中选择。

5. 接下来,点击下一步按钮并从区域类型向导中选择主要区域。

6. 接下来,从 AD 区域复制范围中选择到此域中的域控制器上运行的所有 DNS 服务器,选择 IPv4 反向查找区域并点击下一步继续。

7. 接下来,在网络 ID 字段中输入您的 LAN 的 IP 网络地址,然后点击下一步继续。

在此区域中为您的资源添加的所有 PTR 记录将仅指向 192.168.1.0/24 网络部分。如果您要为不在该网段中的服务器(例如位于 10.0.0.0/24 网络中的邮件服务器)创建 PTR 记录,则需要创建该网段还有一个新的反向查找区域。

8. 在下一个屏幕上,选择仅允许安全动态更新,点击下一步继续,最后点击完成完成区域创建。

9. 此时,您已为您的域配置了有效的 DNS 反向查找区域。要在此区域中添加PTR记录,请右键单击右侧平面并选择为网络资源创建PTR记录。

在本例中,我们为网关创建了一个指针。为了测试记录是否已正确添加并从客户端的角度按预期工作,请打开命令提示符并针对资源名称发出nslookup查询,另一个查询其 IP 地址。

这两个查询都应该返回您的 DNS 资源的正确答案。

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

步骤3:域组策略管理

10. 域控制器的一个重要方面是它能够从单个中心点控制系统资源和安全性。借助域组策略,可以在域控制器中轻松完成此类任务。

不幸的是,在 samba 域控制器中编辑或管理组策略的唯一方法是通过 Microsoft 提供的 RSAT GPM 控制台。

在下面的示例中,我们将看到操作 samba 域的组策略以便为域用户创建交互式登录横幅是多么简单。

要访问组策略控制台,请转至控制面板 -> 系统和安全 -> 管理工具并打开组策略管理控制台。

展开您的域的字段,然后右键单击默认域策略。从菜单中选择编辑,然后会出现一个新窗口。

11.组策略管理编辑器窗口中,转到计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项和新的选项列表应出现在右侧平面中。

在右侧平面中,按照下面屏幕截图中显示的两个条目,使用您的自定义设置进行搜索和编辑。

12.编辑完这两个条目后,关闭所有窗口,打开提升的命令提示符,并通过发出以下命令强制在您的计算机上应用组策略:

gpupdate /force

13.最后,重新启动计算机,当您尝试执行登录时,您将看到正在运行的登录横幅。

就这样! 组策略是一个非常复杂且敏感的主题,系统管理员应谨慎对待。另外,请注意,组策略设置不会以任何方式应用于集成到该领域的 Linux 系统。