Gerencie o Samba4 AD Domin Controller DNS e a política de grupo do Windows - Parte 4

Continuando o tutorial anterior sobre como administrar o Samba4 do Windows 10 via RSAT, nesta parte, veremos como gerenciar remotamente nosso Samba Ad Domain Controller DNS Server do Microsoft DNS Manager, Como criar registros DNS, como criar uma pesquisa reversa Zona e como criar uma política de domínio por meio da ferramenta de gerenciamento de políticas de grupo.

Requisitos

1. Crie uma infraestrutura de anúncios com Samba4 no Ubuntu 16.04 - Parte 1
2. Gerenciar infraestrutura de anúncios Samba4 da linha de comando Linux - Parte 2
3. Gerenciar infraestrutura do Samba4 Active Directory do Windows10 via RSAT - Parte 3

Etapa 1: Gerencie o servidor Samba DNS

Samba4 anúncio dc usa um módulo interno de resolver DNS que é criado durante a provisão inicial de domínio (se Bind9 dlz O módulo não é usado especificamente).

Samba4 interno Dns O módulo suporta os recursos básicos necessários para um Controlador de domínio do anúncio. O servidor DNS de domínio pode ser gerenciado de duas maneiras, diretamente da linha de comando através da interface samba-tool ou remotamente de uma estação de trabalho da Microsoft, que faz parte do domínio via RSAT DNS Manager.

Aqui, abordaremos o segundo método porque é mais intuitivo e não tão propenso a erros.

1. Para administrar o serviço DNS para o seu controlador de domínio via Rsat, Vá para sua máquina Windows, abra Painel de controle -> Sistema e Segurança -> Ferramentas administrativas e corra Gerente de DNS Utilitário.

Depois que a ferramenta abrir, ela perguntará sobre o que o DNS está executando o servidor que você deseja conectar. Escolha o seguinte computador, digite seu nome do domínio no campo (ou Endereço de IP ou Fqdn pode ser usado também), verifique a caixa que diz 'Conecte -se ao computador especificado agora'E acertar OK Para abrir o seu Samba dns serviço.

Conecte o Samba4 DNS no Windows

2. Para adicionar um registro DNS (como exemplo, adicionaremos um A registro que apontará para o nosso gateway LAN), navegue para o domínio Zona de pesquisa avançada, Clique com o botão direito no plano certo e escolha Novo host (A ou Aaa).

Adicione o DNS um registro no Windows

3. No novo host abriu a janela, digite o nome e a Endereço de IP do seu recurso DNS. O Fqdn será escrito automaticamente para você pelo utilitário DNS. Quando terminar, acerte o Adicione host botão e uma janela pop-up informarão que seu Dns a O registro foi criado com sucesso.

Certifique -se de adicionar Dns a Registros apenas para esses recursos em sua rede configurados com endereços IP estáticos. Não adicione Dns a registros para hosts configurados para adquirir configurações de rede de um DHCP servidor ou deles Endereços IP mudar frequentemente.

Configure o host samba no Windows

Para atualizar a Dns Registre basta clicar duas vezes nele e escrever suas modificações. Para excluir o registro, clique com o botão direito do mouse registro e escolha excluir Do menu.

Da mesma maneira que você pode adicionar outros tipos de Dns registros para o seu domínio, como Cname (também conhecido como DNS Alias registro) Mx registros (muito úteis para servidores de correio) ou outro tipo de registro (SPF, TXT, Srv etc).

Etapa 2: Crie uma zona de pesquisa reversa

Por padrão, Samba4 anúncio dc Não adiciona automaticamente uma zona de pesquisa reversa e registros de PTR para o seu domínio, porque esses tipos de registros não são cruciais para um controlador de domínio funcionar corretamente.

Em vez disso, uma zona reversa do DNS e seus registros de PTR são cruciais para a funcionalidade de alguns serviços importantes de rede, como um serviço de e-mail, porque esse tipo de registro pode ser usado para verificar a identidade dos clientes que solicitam um serviço.

Praticamente, os registros da PTR são exatamente o oposto dos registros DNS padrão. Os clientes conhecem o endereço IP de um recurso e consulta o servidor DNS para descobrir o nome do DNS registrado.

4. Para criar uma zona de pesquisa reversa para Samba ad dc, abrir Gerente de DNS, Clique com o botão direito do mouse Zona de pesquisa reversa do avião esquerdo e escolha Nova zona Do menu.

Crie zona DNS de pesquisa reversa

5. Em seguida, acerte Próximo botão e escolha Primário zona de Assistente do tipo de zona.

Selecione o tipo de zona DNS

6. Em seguida, escolha a todos Dns servidores em execução em controladores de domínio neste domínio do Escopo de replicação da zona de anúncios, escolheu Zona de pesquisa reversa ipv4 e acertar Próximo continuar.

Selecione DNS para controlador de domínio Samba Adicionar nome de zona de pesquisa reversa

7. Em seguida, digite o endereço de rede IP para o seu LAN em ID de rede arquivou e atingiu Próximo continuar.

Todos Ptr registros adicionados nesta zona para seus recursos apontarão apenas para 192.168.1.0/24 parte de rede. Se você deseja criar um registro PTR para um servidor que não reside neste segmento de rede (por exemplo, servidor de correio, localizado em 10.0.0.0/24 rede), então você precisará criar uma nova zona de pesquisa reversa para esse segmento de rede também.

Adicione o endereço IP da zona DNS de pesquisa reversa

8. Na próxima tela, escolha Permitir Apenas atualizações dinâmicas seguras, pressionem a seguir para continuar e, finalmente, acertar terminar Para completar a criação de zona.

Ativar atualizações dinâmicas seguras Resumo da zona DNS nova

9. Neste ponto, você tem uma zona de pesquisa reversa DNS válida configurada para seu domínio. Para adicionar um Ptr gravar nesta zona, clique com o botão direito do mouse à direita avião e opte por criar um Ptr registro para um recurso de rede.

Nesse caso, criamos um ponteiro para o nosso gateway. Para testar se o registro foi adicionado corretamente e funciona conforme o esperado do ponto de vista do cliente, abra um Prompt de comando e edição a nslookup Consulta contra o nome do recurso e outra consulta para seu endereço IP.

Ambas as consultas devem retornar a resposta correta para o seu recurso DNS.

NSLOOKUP GATE.Tecmint.LAN NSLOOKUP 192.168.1.1 portão de ping 

Adicione o registro DNS PTR e consulte PTR

Etapa 3: Gerenciamento de políticas de grupo de domínio

10. Um aspecto importante de um controlador de domínio é sua capacidade de controlar os recursos e a segurança do sistema de um único ponto central. Esse tipo de tarefa pode ser facilmente alcançado em um controlador de domínio com a ajuda de Política de grupo de domínio.

Infelizmente, a única maneira de editar ou gerenciar a política de grupo em um controlador de domínio Samba é através RSAT GPM Console fornecido pela Microsoft.

No exemplo abaixo, veremos como pode ser simples manipular a política de grupo para o nosso domínio Samba, a fim de criar um banner de logon interativo para nossos usuários de domínio.

Para acessar o console de políticas de grupo, vá para Painel de controle -> Sistema e Segurança -> Ferramentas administrativas e aberto Gerenciamento de políticas de grupo console.

Expanda os campos para o seu domínio e clique com o botão direito Política de domínio padrão. Escolher Editar No menu e uma nova janela deve aparecer.

Gerenciar a política do grupo de domínio samba

11. Sobre Editor de gerenciamento de políticas de grupo janela vá para Configuração do computador -> Políticas -> Configurações do Windows -> Configurações de segurança -> Políticas locais -> Opções de segurança e uma nova lista de opções deve aparecer no plano certo.

Na pesquisa de plano correto e editar com suas configurações personalizadas seguindo duas entradas apresentadas na captura de tela abaixo.

Configurar política de grupo de domínio samba

12. Depois de terminar a edição das duas entradas, feche todas as janelas, abra um prompt de comando elevado e a política do grupo de força para aplicar em sua máquina, emitindo o comando abaixo:

gpupdate /force 

Atualizar política de grupo de domínio samba

13. Por fim, reinicie seu computador e você verá o banner de logon em ação quando tentará executar o logon.

Samba4 AD Domínio Controller Logon Banner

Isso é tudo! Política de grupo é um assunto muito complexo e sensível e deve ser tratado com o máximo cuidado por administradores do sistema. Além disso, esteja ciente de que as configurações de política de grupo não se aplicarão de forma alguma aos sistemas Linux integrados ao reino.