Verwalte Samba4 AD Domain Controller DNS a Gruppepolitik vu Windows - Deel 4

Fortsetzung vum viregten Tutorial iwwer wéi Dir Samba4 vu Windows 10 iwwer RSAT administréiert, an dësem Deel wäerte mir kucken wéi Dir eise Samba AD Domain Controller DNS Server vu Microsoft DNS Manager op afstand verwalten, wéi Dir DNS records erstellt, wéi Dir e Reverse Lookup erstellt Zone a wéi Dir eng Domain Politik iwwer Group Policy Management Tool erstellt.

  1. Erstellt eng AD Infrastruktur mat Samba4 op Ubuntu 16.04 - Deel 1
  2. Manage Samba4 AD Infrastructure from Linux Command Line - Part 2
  3. Manage Samba4 Active Directory Infrastructure from Windows10 via RSAT - Part 3

Schrëtt 1: Managen Samba DNS Server

Samba4 AD DC benotzt en internen DNS Resolver Modul deen während der initialer Domain Dispositioun erstallt gëtt (wann de BIND9 DLZ Modul net speziell benotzt gëtt).

Samba4 internen DNS Modul ënnerstëtzt d'Basisfeatures déi néideg sinn fir en AD Domain Controller. Den Domain-DNS-Server kann op zwou Manéiere geréiert ginn, direkt vun der Kommandozeil duerch d'Samba-Tool-Interface oder op afstand vun enger Microsoft Workstation, déi en Deel vum Domain iwwer RSAT DNS Manager ass.

Hei wäerte mir déi zweet Method ofdecken well se méi intuitiv ass an net sou ufälleg fir Feeler.

1. Fir den DNS-Service fir Ären Domain Controller iwwer RSAT ze verwalten, gitt op Är Windows-Maschinn, oppen Kontrollpanel -> System a Sécherheet -> Administrativ Tools a lafen DNS Manager Utility.

Wann d'Tool opgemaach ass, freet et Iech op wéi engem DNS-Lafen Server Dir wëllt verbannen. Wielt de folgende Computer, gitt Ären Domain Numm am Feld (oder IP Adress oder FQDN kann och benotzt ginn), kontrolléiert d'Këscht déi seet Connect to the specific Computer now a klickt OK fir Äre Samba DNS Service opzemaachen.

2. Fir en DNS-Rekord ze addéieren (als Beispill addéiere mer en A-Rekord deen op eise LAN-Paart weist), navigéiert op Domain Forward Lookup Zone, klickt op de richtege Fliger a wielt Neie Host (A oder AAA).

3. Op der Neie Host opgemaach Fënster, gitt den Numm an d'IP Adress vun Ärer DNS Ressource. De FQDN gëtt automatesch fir Iech vum DNS Utility geschriwwe ginn. Wann Dir fäerdeg sidd, dréckt op den Add Host Knäppchen an eng Pop-up Fënster informéiert Iech datt Ären DNS A Rekord erfollegräich erstallt gouf.

Vergewëssert Iech datt Dir DNS A records nëmme fir dës Ressourcen an Ärem Netzwierk mat statesche IP Adressen konfiguréiert hutt. Füügt keng DNS A records fir Hosten derbäi, déi konfiguréiert sinn fir Netzwierkkonfiguratiounen vun engem DHCP Server ze kréien oder hir IP Adressen änneren dacks.

Fir en DNS-Rekord ze aktualiséieren just duebelklickt drop a schreift Är Ännerungen. Fir de Rekord ze läschen, klickt riets op de Rekord a wielt Läschen aus dem Menü.

Am selwechte Wee kënnt Dir aner Zorte vun DNS records fir Är Domain derbäi, wéi CNAME (och bekannt als DNS Alias Record) MX records (ganz nëtzlech fir Mail Serveren) oder aner Zort records (SPF, TXT, SRV etc).

Schrëtt 2: Erstellt eng Reverse Lookup Zone

Par défaut füügt Samba4 Ad DC net automatesch eng ëmgedréint Lookup Zone a PTR-Records fir Ären Domain bäi, well dës Aarte vu Rekorder net entscheedend sinn fir datt en Domain Controller korrekt funktionnéiert.

Amplaz ass eng DNS ëmgedréint Zone a seng PTR-Records entscheedend fir d'Funktionalitéit vun e puer wichtegen Netzwierkservicer, sou wéi en E-Mail-Service, well dës Zort records kënne benotzt ginn fir d'Identitéit vu Clienten ze verifizéieren, déi e Service ufroen.

Praktesch sinn PTR records just de Géigendeel vu Standard DNS records. D'Clientë wëssen d'IP Adress vun enger Ressource a froen den DNS Server fir hiren registréierten DNS Numm erauszefannen.

4. Fir eng schafen eng ëmgedréint Bléck Zone fir Samba AD DC, oppen DNS Manager, Recht klickt op ëmgedréint Bléck Zone vun der lénkser Fliger a wielt New Zone aus dem Menü.

5. Nächst, Hit Next Knäppchen a wielt Primärschoul Zone aus Zone Typ Wizard.

6. Als nächst, wielt Fir all DNS-Server, déi op Domain Controller an dësem Domain aus dem AD Zone Replikatiouns Scope lafen, wielt IPv4 Reverse Lookup Zone a klickt Next fir weiderzemaachen.

7. Als nächst gitt d'IP-Netzwierkadress fir Äert LAN an Network ID ofgeschloss a dréckt Next fir weiderzemaachen.

All PTR records dobäi an dëser Zone fir Är Ressourcen wäert weisen zréck nëmmen op 192.168.1.0/24 Reseau Deel. Wann Dir e PTR-Rekord fir e Server wëllt erstellen deen net an dësem Netzwierksegment wunnt (zum Beispill Mailserver deen am 10.0.0.0/24 Netzwierk läit), da musst Dir eng nei Reverse Lookup Zone fir dat erstellen Netz Segment och.

8. Op den nächsten Écran wielt Erlaabt nëmmen dynamesch Aktualiséierungen ze erlaaben, dréckt nächst fir weiderzemaachen an, schliisslech op d'Enn ze schloen fir d'Zonekreatioun ze kompletéieren.

9. Zu dësem Zäitpunkt hutt Dir eng valabel DNS Reverse Lookup Zone fir Är Domain konfiguréiert. Fir e PTR-Rekord an dëser Zone ze addéieren, klickt riets op de richtege Fliger a wielt e PTR-Rekord fir eng Netzwierkressource ze kreéieren.

An dësem Fall hu mir e Pointer fir eise Paart erstallt. Fir ze testen ob de Rekord richteg bäigefüügt gouf a funktionnéiert wéi erwaart aus der Siicht vum Client, öffnen eng Command Prompt a gitt eng nslookup Ufro géint den Numm vun der Ressource an eng aner Ufro fir seng IP Adress.

Béid Ufroe sollten déi richteg Äntwert fir Är DNS Ressource zréckginn.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Schrëtt 3: Domain Group Policy Management

10. E wichtegen Aspekt vun engem Domain Controller ass seng Fäegkeet fir Systemressourcen a Sécherheet vun engem eenzegen Zentralpunkt ze kontrolléieren. Dës Zort vun Aufgab kann einfach an engem Domain Controller mat der Hëllef vun Domain Group Policy erreecht ginn.

Leider ass deen eenzege Wee fir d'Gruppepolitik an engem Samba Domain Controller z'änneren oder ze managen ass duerch RSAT GPM Konsole vun Microsoft geliwwert.

Am Beispill hei ënnen wäerte mir gesinn wéi einfach ka sinn d'Gruppspolitik fir eis Samba Domain ze manipuléieren fir en interaktiven Logon Banner fir eis Domain Benotzer ze kreéieren.

Fir Zougang zu der Gruppepolitikkonsole ze kréien, gitt op d'Kontrollpanel -> System a Sécherheet -> Administrativ Tools an oppen d'Gruppepolitik Management Konsole.

Erweidert d'Felder fir Är Domain a klickt op Default Domain Policy. Wielt Änneren aus dem Menü an eng nei Fënster soll erschéngen.

11. Op Group Policy Management Editor Fënster gitt op Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options an eng nei Optiounslëscht soll am richtege Fliger schéngen.

An der rietser Fliger Sich an Ännerung mat Äre personaliséiert Astellungen no zwee Entréen presentéiert op der ënnendrënner Screenshot.

12. Nodeems Dir déi zwee Entréen ofgeschloss hutt, all Fënsteren zoumaachen, eng erhiewte Kommando-Prompt opmaachen an d'Gruppepolitik forcéiere fir op Ärer Maschinn ze gëllen andeems Dir de folgende Kommando ausgitt:

gpupdate /force

13. Endlech, Restart Äre Computer an Dir gesitt de Logon Banner an Aktioun wann Dir probéiert de Logon ze maachen.

Dat ass alles! Gruppepolitik ass e ganz komplext a sensibelt Thema a soll mat maximaler Suergfalt vu Systemadministrateuren behandelt ginn. Och bewosst datt d'Gruppepolitik Astellungen op kee Fall op Linux Systemer an d'Räich integréiert sinn.