Weboldal keresés

A Samba4 AD tartományvezérlő DNS és csoportházirend kezelése a Windows rendszerből – 4. rész


Folytatva az előző oktatóanyagot a Samba4 Windows 10 rendszerről RSAT-on keresztüli adminisztrálásával kapcsolatban, ebben a részben megtudjuk, hogyan kezelhetjük távolról Samba AD tartományvezérlő DNS-kiszolgálónkat a Microsoft DNS Managerből, hogyan hozhatunk létre DNS-rekordokat, hogyan hozhatunk létre fordított keresést. Zóna és tartományházirend létrehozása a Csoportházirend-kezelő eszközzel.

Követelmények

  1. Hozzon létre egy AD-infrastruktúrát a Samba4 segítségével az Ubuntu 16.04-en – 1. rész
  2. A Samba4 AD infrastruktúra kezelése Linux parancssorból – 2. rész
  3. A Samba4 Active Directory infrastruktúra kezelése Windows10-ből RSAT-on keresztül – 3. rész

1. lépés: A Samba DNS-kiszolgáló kezelése

A Samba4 AD DC belső DNS-feloldó modult használ, amely a kezdeti tartománykiépítés során jön létre (ha a BIND9 DLZ modul nincs kifejezetten használva).

A Samba4 belső DNS modul támogatja az AD Domain Controller-hez szükséges alapvető funkciókat. A tartomány DNS-kiszolgálója kétféleképpen kezelhető: közvetlenül a parancssorból a samba-tool felületen keresztül, vagy távolról a tartomány részét képező Microsoft-munkaállomásról az RSAT DNS-kezelőn keresztül.

Itt a második módszerrel foglalkozunk, mert intuitívabb, és nem olyan hajlamos a hibákra.

1. A tartományvezérlő DNS-szolgáltatásának RSAT-on keresztül történő adminisztrálásához lépjen a Windows rendszerű számítógépére, nyissa meg a Vezérlőpult ->< Rendszer és biztonság -> Felügyeleti eszközök, és futtassa a DNS Manager segédprogramot.

Amint az eszköz megnyílik, megkérdezi, hogy melyik DNS-kiszolgálón szeretne csatlakozni. Válassza A következő számítógépet, írja be a domain nevét a mezőbe (vagy az IP-cím vagy az FQDN is használható), jelölje be a négyzetet, azt mondja: „Csatlakozás a megadott számítógéphez most”, majd nyomja meg az OK gombot a Samba DNS szolgáltatás megnyitásához.

2. DNS-rekord hozzáadásához (példaként egy A rekordot adunk hozzá, amely a LAN-átjárónkra mutat), lépjen a További keresés tartományba. Zóna, kattintson jobb gombbal a megfelelő síkra, és válassza az Új gazdagép lehetőséget (A vagy AAA).

3. Az Új gazdagép megnyitott ablakban írja be a DNS-erőforrás nevét és IP-címét. Az FQDN-t a DNS-segédprogram automatikusan megírja Önnek. Ha végzett, nyomja meg a Host hozzáadása gombot, és egy felugró ablak tájékoztatja Önt, hogy a DNS A rekord sikeresen létrejött.

Győződjön meg arról, hogy a DNS A rekordokat csak a hálózat statikus IP-címekkel konfigurált erőforrásaihoz adja hozzá. Ne adjon hozzá DNS A rekordokat olyan gazdagépekhez, amelyek úgy vannak beállítva, hogy hálózati konfigurációkat szerezzenek be DHCP szerverről, vagy amelyek IP-címei gyakran változnak.

Egy DNS rekord frissítéséhez kattintson duplán rá, és írja be a módosításokat. A rekord törléséhez kattintson a jobb gombbal a rekordra, és válassza a menü törlés parancsát.

Ugyanígy hozzáadhat más típusú DNS rekordokat is a domainhez, például CNAME (más néven DNS alias rekord) >MX rekordok (nagyon hasznos levelezőszervereknél) vagy más típusú rekordok (SPF, TXT, SRV stb.).

2. lépés: Hozzon létre egy Névlekérdezési zónát

Alapértelmezés szerint a Samba4 Ad DC nem ad hozzá automatikusan fordított keresési zónát és PTR-rekordokat a domainhez, mivel az ilyen típusú rekordok nem elengedhetetlenek a tartományvezérlők megfelelő működéséhez.

Ehelyett a DNS fordított zóna és a hozzá tartozó PTR rekordok kulcsfontosságúak néhány fontos hálózati szolgáltatás, például egy e-mail szolgáltatás működéséhez, mivel az ilyen típusú rekordok felhasználhatók a szolgáltatást kérő ügyfelek azonosságának ellenőrzésére.

Gyakorlatilag a PTR rekordok éppen az ellenkezője a szabványos DNS rekordoknak. Az ügyfelek ismerik egy erőforrás IP-címét, és lekérdezik a DNS-kiszolgálót, hogy megtudják a regisztrált DNS-nevüket.

4. Fordított keresési zóna létrehozásához a Samba AD DC számára, nyissa meg a DNS-kezelőt, majd kattintson a jobb gombbal a Reverse Lookup Zone elemre. a bal oldali síkon, és válassza az Új zóna lehetőséget a menüből.

5. Ezután nyomja meg a Tovább gombot, és válassza az Elsődleges zónát a Zónatípus varázslóból.

6. Ezután válassza az összes DNS szerverhez, amely tartományvezérlőkön fut ebben a tartományban az AD Zone Replikációs hatókörből, majd válassza az IPv4 fordított lehetőséget. Keresse meg a zónát, és a folytatáshoz nyomja meg a Next gombot.

7. Ezután írja be a LAN IP-címét a Hálózati azonosító mezőbe, majd nyomja meg a Tovább gombot a folytatáshoz.

Az ebbe a zónába az erőforrásokhoz hozzáadott összes PTR rekord csak a 192.168.1.0/24 hálózati részre mutat vissza. Ha PTR rekordot szeretne létrehozni egy olyan szerverhez, amely nem ebben a hálózati szegmensben található (például egy levelezőszerverhez, amely a 10.0.0.0/24 hálózaton található), akkor létre kell hoznia egy új fordított keresési zóna ehhez a hálózati szegmenshez is.

8. A következő képernyőn válassza a Csak a dinamikus frissítések engedélyezése lehetőséget, nyomja meg a Tovább gombot a folytatáshoz, végül pedig a befejezés gombot a zóna létrehozásának befejezéséhez.

9. Ezen a ponton érvényes DNS fordított keresési zóna van beállítva a domainhez. Ha hozzá szeretne adni egy PTR rekordot ehhez a zónához, kattintson jobb gombbal a jobb oldali síkra, és válassza ki a PTR rekord létrehozását egy hálózati erőforráshoz.

Ebben az esetben létrehoztunk egy mutatót az átjárónk számára. Annak teszteléséhez, hogy a rekord megfelelően lett-e hozzáadva, és az ügyfél szempontjából az elvárásoknak megfelelően működik-e, nyissa meg a Parancssort, és adjon ki egy nslookup lekérdezést az erőforrás nevére, és egy másik lekérdezés az IP-címére vonatkozóan.

Mindkét lekérdezésnek a DNS-erőforrásra vonatkozó helyes választ kell visszaadnia.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

3. lépés: Tartománycsoport-házirend kezelése

10. A tartományvezérlők egyik fontos jellemzője, hogy képes egyetlen központi pontról irányítani a rendszererőforrásokat és a biztonságot. Ez a fajta feladat könnyen elvégezhető egy tartományvezérlőben a Domain Group Policy segítségével.

Sajnos a csoportházirend szerkesztésének vagy kezelésének egyetlen módja a samba tartományvezérlőben a Microsoft által biztosított RSAT GPM konzolon keresztül.

Az alábbi példában látni fogjuk, milyen egyszerű lehet a samba domain csoportházirendjének manipulálása annak érdekében, hogy interaktív bejelentkezési szalaghirdetést hozzunk létre a domain felhasználói számára.

A csoportházirend-konzol eléréséhez lépjen a Vezérlőpult -> Rendszer és biztonság -> oldalra. Felügyeleti eszközök és nyissa meg a Csoportházirend-kezelés konzolt.

Bontsa ki a domain mezőit, és kattintson jobb gombbal az Alapértelmezett domainházirend elemre. Válassza a Szerkesztés lehetőséget a menüből, és egy új ablak jelenik meg.

11. A Csoportházirend-kezelési szerkesztő ablakban lépjen a Számítógép-konfiguráció -> Irányelvek elemre. -> Windows-beállítások -> Biztonsági beállítások -> Helyi házirendek -> Biztonsági beállítások és egy új beállítási lista jelenik meg a jobb síkban.

A jobb síkban keressen és szerkesszen az egyéni beállításokkal az alábbi képernyőképen látható két bejegyzést követően.

12. A két bejegyzés szerkesztésének befejezése után zárjon be minden ablakot, nyisson meg egy emelt szintű parancssort, és kényszerítse a csoportházirend alkalmazását a számítógépére az alábbi parancs kiadásával:

gpupdate /force

13. Végül indítsa újra a számítógépet, és látni fogja a bejelentkezési szalagot működés közben, amikor megpróbálja végrehajtani a bejelentkezést.

Ez minden! A Csoportszabályzat nagyon összetett és érzékeny téma, és a rendszergazdáknak a lehető legnagyobb gondossággal kell kezelniük. Ne feledje továbbá, hogy a csoportházirend-beállítások semmilyen módon nem vonatkoznak a tartományba integrált Linux rendszerekre.