542
Samba 係列(四):在 Windows 下管理 Samba4 AD 域管製器 DNS 和組策略
要求
1、 在 Ubuntu 16.04 係統上使用 Samba4 軟件來創建活動目錄架構(一)
2、 在 Linux 命令行下管理 Samba4 AD 架構(二)
3、 使用 Windows 10 的 RSAT 工具來管理 Samba4 活動目錄架構 (三)
第 1 步:管理 Samba DNS 服務器
Samba4 AD DC 使用內部的 DNS 解析器模塊,該模塊在初始化域提供的過程中創建(如果 BIND9 DLZ 模塊未指定使用的情況下)。
Samba4 內部的 DNS 模塊支持 AD 域控製器所必須的基本功能。有兩種方式來管理域 DNS 服務器,直接在命令行下通過 samba-tool 接口來管理,或者使用已加入域的微軟工作站中的 RSAT DNS 管理器遠程進行管理。
在這篇文章中,我們使用第二種方式來進行管理,因為這種方式很直觀,也不容易出錯。
1、要使用 RSAT 工具來管理域控製器上的 DNS 服務器,在 Windows 機器上,打開控製麵板 -> 係統和安全 -> 管理工具,然後運行 DNS 管理器工具。
當打開這個工具時,它會詢問你將要連接到哪台正在運行的 DNS 服務器。選擇“使用下麵的計算機”,輸入域名(IP 地址或 FQDN 地址都可以使用),勾選“現在連接到指定計算機”,然後單擊 OK 按鈕以開啟 Samba DNS 服務。
在 Windows 係統上連接 Samba4 DNS 服務器
2、為了添加一條 DNS 記錄(比如我們添加一條指向 LAN 網關的 A 記錄),打開 DNS 管理器,找到域正向查找區,在右側單擊右鍵選擇新的主機(A 或 AAAA)。
在 Windows 下添加一條 DNS 記錄
3、在打開的新主機窗口界麵,輸入 DNS 服務器的主機名和 IP 地址。 DNS 管理器工具會自動填寫完成 FQDN 地址。填寫完成後,點擊“添加主機”按鈕,之後會彈出一個新的窗口提示你 DNS A 記錄已經創建完成。
確保僅為你的網絡中已配置靜態 IP的資源(設備)添加 DNS A 記錄。不要為那些從 DHCP 服務器自動獲取 IP 地址或者經常變換 IP 地址的主機添加 DNS A 記錄。
在 Windows 係統下配置 Samba 主機
要更新一條 DNS 記錄隻需要雙擊那條記錄,然後輸入更改即可。要刪除一條記錄時,隻需要在這條記錄上單擊右鍵,選擇從菜單刪除即可。
同樣的方式,你也可以為你的域添加其它類型的 DNS 記錄,比如說 CNAME 記錄(也稱為 DNS 別名記錄),MX 記錄(在郵件服務器上非常有用)或者其它類型的記錄(SPE、TXT、SRV 等類型)。
第 2 步:創建反向查找區域
默認情況下,Samba4 AD DC 不會自動為你的域添加一個反向查找區域和 PTR 記錄,因為這些類型的記錄對於域控製器的正常工作來說是無關緊要的。
相反,DNS 反向區和 PTR 記錄在一些重要的網絡服務中顯得非常有用,比如郵件服務,因為這些類型的記錄可以用於驗證客戶端請求服務的身份。
實際上, PTR 記錄的功能與標準的 DNS 記錄功能相反。客戶端知道資源的 IP 地址,然後去查詢 DNS 服務器來識別出已注冊的 DNS 名字。
4、要創建 Samba AD DC 的反向查找區域,打開 DNS 管理器,在左側反向查找區域目錄上單擊右鍵,然後選擇菜單中的新區域。
創建 DNS 反向查找區域
5、下一步,單擊下一步按鈕,然後從區域類型向導中選擇主區域(Primary)。
選擇 DNS 區域類型
6、下一步,在 “AD 區域複製範圍”中選擇複製到該域裏運行在域控製器上的所有的 DNS 服務器,選擇 “IPv4 反向查找區域”然後單擊下一步繼續。
為 Samba 域控製器選擇 DNS 服務器
添加反向查找區域名
7、下一步,在網絡ID 框中輸入你的 LAN IP 地址,然後單擊下一步繼續。
在這個區域內添加的所有資源(設備)的 PTR 記錄僅能指向 192.168.1.0/24 網絡段。如果你想要為一個不在該網段中的服務器創建一個 PTR 記錄(比如郵件服務器位於 10.0.0.0/24 這個網段的時候),那麼你還得為那個網段創建一個新的反向查找區域。
添加 DNS 反向查找區域的 IP 地址
8、在下一個截圖中選擇“僅允許安全的動態更新”,單擊下一步繼續,最後單擊完成按鈕以完成反向查找區域的創建。
啟用安全動態更新
新 DNS 區域概覽
9、此時,你已經為你的域環境創建完成了一個有效的 DNS 反向查找區域。為了在這個區域中添加一個 PTR 記錄,在右側右鍵單擊,選擇為網絡資源創建一個 PTR 記錄。
這個時候,我們已經為網關創建了一個指向。為了測試這條記錄對於客戶端是否添加正確和工作正常,打開命令行提示符執行 nslookup 查詢資源名,再執行另外一條命令查詢 IP 地址。
兩個查詢都應該為你的 DNS 資源返回正確的結果。
nslookup gate.tecmint.lannslookup 192.168.1.1ping gate
添加及查詢 PTR 記錄
第 3 步:管理域控製策略
10、域控製器最重要的作用就是集中控製係統資源及安全。使用域控製器的域組策略功能很容易實現這些類型的任務。
遺憾的是,在 Samba 域控製器上唯一用來編輯或管理組策略的方法是通過微軟的 RSAT GPM 工具。
在下麵的實例中,我們將看到通過組策略來實現在 Samba 域環境中為域用戶創建一種交互式的登錄提示是多麼的簡單。
要訪問組策略控製台,打開控製麵板 -> 係統和安全 -> 管理工具,然後打開組策略管理控製台。
展開你的域下麵的目錄,在默認組策略上右鍵,選擇菜單中的編輯,將出現一個新的窗口。
管理 Samba 域組策略
11、在組策略管理編輯器窗口中,進入到計算機配置 -> 組策略 -> Windows 設置 -> 安全設置 -> 本地策略 -> 安全選項,你將在右側看到一個新的選項列表。
在右側查詢並編輯你的定製化設置,參考下圖中的兩條設置內容。
配置 Samba 域組策略
12、這兩個條目編輯完成後,關閉所有窗口,打開 CMD 窗口,執行以下命令來強製應用組策略。
gpupdate /force
更新 Samba 域組策略
13、最後,重啟你的電腦,當你準備登錄進入係統的時候,你就會看到登錄提示生效了。
Samba4 AD 域控製器登錄提示
就寫到這裏吧!組策略是一個操作起來很繁瑣和很謹慎的主題,在管理係統的過程中你得非常的小心。還有,注意你設置的組策略不會以任何方式應用到已加入域的 Linux 係統中。
原文發布時間為:2017-03-02
本文來自雲棲社區合作夥伴“Linux中國”
最後更新:2017-05-25 17:02:01