Immaniġġja Samba4 AD Domain Controller DNS u Politika tal-Grupp mill-Windows - Parti 4


Tkompli t-tutorja preċedenti dwar kif tamministra Samba4 minn Windows 10 permezz ta 'RSAT, f'din il-parti se naraw kif timmaniġġja mill-bogħod is-server DNS tagħna tal-kontrollur tad-Dominju Samba AD minn Microsoft DNS Manager, kif toħloq rekords DNS, kif toħloq Reverse Lookup Żona u kif toħloq politika tad-dominju permezz tal-għodda tal-Ġestjoni tal-Politika tal-Grupp.

  1. Oħloq Infrastruttura AD b'Samba4 fuq Ubuntu 16.04 – Parti 1
  2. Immaniġġja l-Infrastruttura Samba4 AD minn Linja ta' Kmand tal-Linux – Parti 2
  3. Immaniġġja l-Infrastruttura ta' Samba4 Active Directory minn Windows10 permezz ta' RSAT – Parti 3

Pass 1: Immaniġġja Samba DNS Server

Samba4 AD DC juża modulu ta' resolver DNS intern li jinħoloq matul il-forniment inizjali tad-dominju (jekk il-modulu BIND9 DLZ ma jintużax speċifikament).

Il-modulu DNS intern Samba4 jappoġġja l-karatteristiċi bażiċi meħtieġa għal Kontrollur tad-Dominju AD. Is-server tad-DNS tad-dominju jista 'jiġi ġestit b'żewġ modi, direttament mil-linja tal-kmand permezz ta' interface tal-għodda samba jew mill-bogħod minn stazzjon tax-xogħol ta 'Microsoft li huwa parti mid-dominju permezz ta' RSAT DNS Manager.

Hawnhekk, se nkopru t-tieni metodu għaliex huwa aktar intuwittiv u mhux daqshekk suxxettibbli għal żbalji.

1. Biex tamministra s-servizz DNS għall-kontrollur tad-dominju tiegħek permezz tal-RSAT, mur fil-magna Windows tiegħek, iftaħ Control Panel -> Sistema u Sigurtà -> Għodda Amministrattiva u ħaddem l-utilità tal-Maniġer DNS.

Ladarba tinfetaħ l-għodda, tistaqsik fuq liema server li jaħdem DNS trid tikkonnettja. Agħżel Il-kompjuter li ġej, ittajpja l-isem tad-dominju tiegħek fil-qasam (jew l-Indirizz tal-IP jew l-FQDN jistgħu jintużaw ukoll), iċċekkja l-kaxxa li tgħid 'Ikkonnettja mal-kompjuter speċifikat issa' u agħfas OK biex tiftaħ is-servizz tiegħek Samba DNS.

2. Sabiex iżżid rekord DNS (bħala eżempju se nżidu rekord A li se jindika l-gateway LAN tagħna), innaviga lejn id-dominju Forward Lookup Zone, ikklikkja dritt fuq il-pjan it-tajjeb u agħżel Ospitanti Ġdid (A jew AAA).

3. Fuq it-tieqa New host opened, ittajpja l-isem u l-Indirizz IP tar-riżors DNS tiegħek. L-FQDN se jinkiteb awtomatikament għalik mill-utilità DNS. Meta tkun lest, agħfas il-buttuna Żid Ospitanti u tieqa pop-up tinfurmak li r-rekord DNS A tiegħek inħoloq b'suċċess.

Kun żgur li żżid rekords DNS A biss għal dawk ir-riżorsi fin-netwerk tiegħek konfigurati b'Indirizzi IP statiċi. Iżżidx rekords DNS A għal hosts li huma kkonfigurati biex jakkwistaw konfigurazzjonijiet tan-netwerk minn server DHCP jew l-Indirizzi IP tagħhom jinbidlu spiss.

Biex taġġorna rekord DNS ikklikkja darbtejn fuqu u ikteb il-modifiki tiegħek. Biex tħassar ir-rekord ikklikkja dritt fuq ir-rekord u agħżel ħassar mill-menu.

Bl-istess mod tista 'żżid tipi oħra ta' rekords DNS għad-dominju tiegħek, bħal CNAME (magħrufa wkoll bħala DNS alias record) rekords MX (utli ħafna għal servers tal-posta) jew tip ieħor ta 'rekords (SPF, TXT, SRV eċċ).

Pass 2: Oħloq Żona ta' Lookup Reverse

B'mod awtomatiku, Samba4 Ad DC ma jżidx awtomatikament żona ta 'tfittxija inversa u rekords PTR għad-dominju tiegħek minħabba li dawn it-tipi ta' rekords mhumiex kruċjali biex kontrollur tad-dominju jiffunzjona b'mod korrett.

Minflok, żona reverse DNS u r-rekords PTR tagħha huma kruċjali għall-funzjonalità ta 'xi servizzi tan-netwerk importanti, bħal servizz tal-posta elettronika għaliex dawn it-tip ta' rekords jistgħu jintużaw biex jivverifikaw l-identità tal-klijenti li jitolbu servizz.

Prattikament, ir-rekords PTR huma biss l-oppost tar-rekords DNS standard. Il-klijenti jafu l-indirizz IP ta 'riżorsa u jistaqsu lis-server DNS biex issir taf l-isem DNS reġistrat tagħhom.

4. Sabiex tinħoloq żona ta 'tfittxija b'lura għal Samba AD DC, iftaħ DNS Manager, ikklikkja bil-lemin fuq Żona ta' Lookup Reverse mill-pjan tax-xellug u agħżel Żona Ġdida mill-menu.

5. Sussegwentement, agħfas il-buttuna Li jmiss u agħżel iż-żona Primarja minn Zone Type Wizard.

6. Sussegwentement, agħżel Lis-servers DNS kollha li qed jaħdmu fuq il-kontrolluri tad-dominju f'dan id-dominju mill-Ambitu ta 'Replikazzjoni taż-Żona AD, għażel Żona ta' Lookup Reverse IPv4 u agħfas Li jmiss biex tkompli.

7. Sussegwentement, ittajpja l-indirizz tan-netwerk IP għal-LAN tiegħek f'Netwerk ID ippreżentat u agħfas Li jmiss biex tkompli.

Ir-rekords PTR kollha miżjuda f'din iż-żona għar-riżorsi tiegħek se jindikaw lura biss lejn il-porzjon tan-netwerk 192.168.1.0/24. Jekk trid toħloq rekord PTR għal server li ma jirrisjedix f'dan is-segment tan-netwerk (pereżempju server tal-posta li jinsab fin-netwerk 10.0.0.0/24), allura jkollok bżonn toħloq żona ġdida ta' tfittxija b'lura għal dak. segment tan-netwerk ukoll.

8. Fuq l-iskrin li jmiss agħżel li Ħalli biss aġġornamenti dinamiċi sikuri, agħfas li jmiss biex tkompli u, finalment agħfas fuq it-tmiem biex tlesti l-ħolqien taż-żona.

9. F'dan il-punt għandek żona valida ta 'tfittxija b'lura DNS konfigurata għad-dominju tiegħek. Sabiex iżżid rekord PTR f'din iż-żona, ikklikkja bil-lemin fuq il-pjan it-tajjeb u agħżel li toħloq rekord PTR għal riżors tan-netwerk.

F'dan il-każ ħloqna pointer għall-portal tagħna. Sabiex tittestja jekk ir-rekord ġiex miżjud sew u jaħdem kif mistenni mill-perspettiva tal-klijent, iftaħ Prompt tal-Kmand u ħarġet mistoqsija nslookup kontra l-isem tar-riżors u mistoqsija oħra għall-Indirizz IP tagħha.

Iż-żewġ mistoqsijiet għandhom jirritornaw it-tweġiba t-tajba għar-riżors DNS tiegħek.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Pass 3: Ġestjoni tal-Politika tal-Grupp tad-Dominju

10. Aspett importanti ta' kontrollur tad-dominju huwa l-abbiltà tiegħu li jikkontrolla r-riżorsi tas-sistema u s-sigurtà minn punt ċentrali wieħed. Dan it-tip ta 'kompitu jista' jinkiseb faċilment f'kontrollur tad-dominju bl-għajnuna tal-Politika tal-Grupp ta 'Dominju.

Sfortunatament, l-uniku mod kif teditja jew timmaniġġja l-politika tal-grupp f'kontrollur tad-dominju samba huwa permezz tal-console RSAT GPM ipprovdut minn Microsoft.

Fl-eżempju t'hawn taħt ser naraw kemm jista' jkun sempliċi li timmanipula l-politika tal-grupp għad-dominju samba tagħna sabiex noħolqu banner tal-logon interattiv għall-utenti tad-dominju tagħna.

Sabiex taċċessa l-console tal-politika tal-grupp, mur Control Panel -> Sistema u Sigurtà -> Għodod Amministrattivi u tiftaħ il-console tal-Ġestjoni tal-Politika tal-Grupp.

Tespandi l-oqsma għad-dominju tiegħek u kklikkja bil-lemin fuq Politika ta 'Dominju Default. Agħżel Editja mill-menu u għandha tidher twieqi ġodda.

11. Fit-tieqa tal-Editur tal-Ġestjoni tal-Politika tal-Grupp mur fil-Konfigurazzjoni tal-Kompjuter -> Policies -> Settings tal-Windows -> Settings tas-Sigurtà -> Politika Lokali -> Għażliet ta 'Sigurtà u lista ta' għażliet ġdida għandha tidher fil-pjan it-tajjeb.

Fl-ajruplan it-tajjeb fittex u editja bis-settings tad-dwana tiegħek wara żewġ entrati ppreżentati fuq il-screenshot hawn taħt.

12. Wara li tispiċċa l-editjar taż-żewġ daħliet, agħlaq it-twieqi kollha, iftaħ pront tal-Kmand elevat u iġiegħel lill-politika tal-grupp tapplika fuq il-magna tiegħek billi toħroġ il-kmand hawn taħt:

gpupdate /force

13. Fl-aħħarnett, reboot il-kompjuter tiegħek u tara l-banner tal-logon fl-azzjoni meta tipprova twettaq il-logon.

Dak kollox! Il-Politika tal-Grupp hija suġġett kumpless ħafna u sensittiv u għandha tiġi ttrattata bl-akbar attenzjoni mill-amministraturi tas-sistema. Ukoll, kun konxju li s-settings tal-politika tal-grupp bl-ebda mod ma japplikaw għal sistemi Linux integrati fl-isfera.