从Windows管理Samba4 AD域控制器DNS和组策略 - 第4部分

继续在以前的教程 如何从Windows 10通过RSAT管理Samba4 ,在这一部分,我们将看到如何远离微软DNS管理器来管理我们的SambaAD域控制器的DNS服务器,如何创建DNS记录,如何创建一个反向搜索区域以及如何通过组策略管理工具创建域策略。

要求

  1. 在Ubuntu 16.04上创建一个使用Samba4的AD基础架构 - 第1部分
  2. 从Linux命令行管理Samba4 AD基础架构 - 第2部分
  3. 通过RSAT从Windows10管理Samba4 Active Directory基础架构 - 第3部分

第1步:管理Samba DNS服务器

Samba4 AD DC使用其初始域准备过程中创建的(如果 BIND9 DLZ模块没有明确使用)的内部DNS解析器模块。 Samba4内部 DNS模块支持需要一个 AD域控制器的基本特征。 该域名的DNS服务器可以通过两种方式进行管理,直接在命令行通过Samba-工具界面或远程从微软的工作站,它可通过 RSAT DNS管理器中域的一部分。 在这里,我们将介绍第二种方法,因为它更直观,不容易出错。 1.要通过 RSAT为您的域控制器管理DNS服务,去你的Windows机器,打开 控制面板 - > 系统和安全 - > 管理工具和运行 DNS管理器工具。 工具打开后,它会询问您要连接哪个DNS运行的服务器。选择以下的电脑,在现场(或 IP地址FQDN可以作为很好)输入你的 域名 ,检查说' 连接到指定的计算机现在 “并点击 确定 ,打开 SambaDNS服务的框。

在Windows上连接Samba4 DNS

2.为了添加DNS记录(我们将添加一个例子 A ,将指向我们的局域网网关记录),导航到域 正向搜索区域 ,用鼠标右键单击右侧面,并选择 新建主机AAAA ) 。

在Windows上添加DNS A记录

3.在新主机打开的窗口中,键入 名称和您的DNS资源的 IP地址 。 该 FQDN将是您的DNS工具自动写入。 完成后,点击 添加主机按钮和一个弹出窗口会通知您,您 的DNS A记录已成功创建。 请确保你只为你的网络中的资源添加 DNS A记录 静态IP地址配置 。 不要为这些配置以获取从 DHCP服务器的网络配置或它们的 IP地址经常更换主机添加 DNS A记录。

在Windows上配置Samba主机

要更新 DNS记录只需双击它,写您的修改。 要删除记录右键单击 记录 ,然后从菜单中 删除 。 以同样的方式,你可以添加其他类型的为您的域 DNS记录,如 CNAME(也称为 DNS别名记录 )MX记录(邮件服务器非常有用)或其他类型的记录 (SPF,TXT,SRV等)。

第2步:创建反向查找区域

默认情况下 ,Samba4广告DC不会自动添加一个反向查找区域和PTR记录你的领域,因为这些类型的记录不是至关重要的域控制器正常工作。 相反,DNS反向区域及其PTR记录对于某些重要网络服务(例如电子邮件服务)的功能至关重要,因为这些类型的记录可用于验证请求服务的客户端的身份。 实际上,PTR记录正好与标准DNS记录相反。客户端知道资源的IP地址,并查询DNS服务器以找出其注册的DNS名称。 4.为了创建一个为 Samba AD DC,打开 DNS管理反向查找区域,直接从左侧面点击 反向搜索区域 ,然后从菜单中选择 新建区域

创建反向查找DNS区域

5.接下来,点击 下一步按钮,选择 区域类型向导 主要区域。

选择DNS区域类型

6.接下来,选择在从 AD区域复制范围本域的域控制器上运行的所有 DNS服务器,选择 的IPv4反向查找区域 ,点击 Next继续。

为Samba域控制器选择DNS

添加反向查找区域名称

7.接下来,输入IP网络地址为 LAN 网络ID提交,并点击 Next继续。 所有的 PTR记录在该区域增加了您的资源将指向回来才 192.168.1.0/24网络部分。 如果你想创建一个不存在于这个网段(为其位于 10.0.0.0/24网络例如邮件服务器)服务器的PTR记录,那么你需要创建一个新的反向查找区域网段。

添加反向查找DNS区域的IP地址

8.在下一屏幕上选择仅 允许安全动态更新,点击Next继续,并最终打在 Finish完成创建安全区。

启用安全动态更新

新DNS区域摘要

9.此时,您已配置为您的域名的有效DNS反向查找区域。 为了在这个区域中添加 PTR记录,请右键单击右侧 ,并选择创建网络资源的 PTR记录。 在这种情况下,我们为网关创建了一个指针。为了测试是否被正确地添加了记录,并作为但从客户的角度预期工作,打开 命令提示符并发出对资源的名称,另一个查询其IP地址的 NSLOOKUP查询。 这两个查询都应该返回您的DNS资源的正确答案。
nslookup gate.youcl.lan
nslookup 192.168.1.1
ping gate

添加DNS PTR记录和查询PTR

第3步:域组策略管理

10.一种域控制器的一个重要方面是它能够从一个单一的中央点控制系统资源和安全的能力。 这种类型的任务可以与 域组策略的帮助下的域控制器来容易地实现。 不幸的是,在Samba域控制器进行编辑或管理组策略的唯一方法是通过微软提供的 RSAT GPM控制台。 在下面的示例中,我们将看到为我们的samba域操作组策略是多么简单,以便为我们的域用户创建一个交互式登录横幅。 为了访问组策略控制台,进入 控制面板 - > 系统和安全 - > 管理工具,然后打开 组策略管理控制台。 展开域为您的域名,并用鼠标右键单击 默认域策略 。 从菜单中选择 编辑和一个新的窗口应该会出现。

管理Samba域组策略

11.组策略管理编辑器窗口去 计算机配置 - > 策略 - > Windows设置 - > 安全设置 - > 本地策略 - > 安全选项和一个新的列表选项应该出现在正确的平面。 在右平面搜索和编辑与您的自定义设置以下两个条目介绍在下面的屏幕截图。

配置Samba域组策略

12.编辑完的两个条目后,关闭所有窗口,打开提升的命令提示符,力组策略来通过发出以下命令你的机器上应用:
gpupdate /force

更新Samba域组策略

13.最后,重新启动计算机,你会看到在行动登录横幅的时候,你会尝试进行登录。

Samba4 AD域控制器登录横幅

就这样! 组策略是一个非常复杂和敏感的问题,应以最大的关怀由系统管理员进行处理。此外,请注意,组策略设置不会以任何方式应用于集成到领域的Linux系统。
赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏