接著前一篇教程寫的關(guān)于使用 Windows 10 的 RSAT 工具來管理 Samba4 活動目錄架構(gòu)匣砖,在這篇文章中我們將學(xué)習(xí)如何使用微軟 DNS 管理器遠(yuǎn)程管理我們的 Samba AD 域控制器的 DNS 服務(wù)器布近,如何創(chuàng)建 DNS 記錄熙参,如何創(chuàng)建反向查找區(qū)域以及如何通過組策略管理工具來創(chuàng)建域策略。
要求
1铃肯、在 Ubuntu 16.04 系統(tǒng)上使用 Samba4 軟件來創(chuàng)建活動目錄架構(gòu)(一)
2塑猖、在 Linux 命令行下管理 Samba4 AD 架構(gòu)(二)
3、使用 Windows 10 的 RSAT 工具來管理 Samba4 活動目錄架構(gòu) (三)
第 1 步:管理 Samba DNS 服務(wù)器
Samba4 AD DC 使用內(nèi)部的 DNS 解析器模塊疆拘,該模塊在初始化域提供的過程中創(chuàng)建(如果 BIND9 DLZ 模塊未指定使用的情況下)。
Samba4 內(nèi)部的 DNS 模塊支持 AD 域控制器所必須的基本功能寂曹。有兩種方式來管理域 DNS 服務(wù)器哎迄,直接在命令行下通過 samba-tool 接口來管理,或者使用已加入域的微軟工作站中的 RSAT DNS 管理器遠(yuǎn)程進行管理隆圆。
在這篇文章中漱挚,我們使用第二種方式來進行管理,因為這種方式很直觀渺氧,也不容易出錯旨涝。
1、要使用 RSAT 工具來管理域控制器上的 DNS 服務(wù)器侣背,在 Windows 機器上白华,打開控制面板 -> 系統(tǒng)和安全 -> 管理工具慨默,然后運行 DNS 管理器工具。
當(dāng)打開這個工具時弧腥,它會詢問你將要連接到哪臺正在運行的 DNS 服務(wù)器厦取。選擇“使用下面的計算機”,輸入域名(IP 地址或 FQDN 地址都可以使用)管搪,勾選“現(xiàn)在連接到指定計算機”虾攻,然后單擊 OK 按鈕以開啟 Samba DNS 服務(wù)。
在 Windows 系統(tǒng)上連接 Samba4 DNS 服務(wù)器
2更鲁、為了添加一條 DNS 記錄(比如我們添加一條指向 LAN 網(wǎng)關(guān)的 A 記錄)霎箍,打開 DNS 管理器,找到域正向查找區(qū)岁经,在右側(cè)單擊右鍵選擇新的主機(A 或 AAAA)朋沮。
在 Windows 下添加一條 DNS 記錄
3、在打開的新主機窗口界面缀壤,輸入 DNS 服務(wù)器的主機名和 IP 地址樊拓。 DNS 管理器工具會自動填寫完成 FQDN 地址。填寫完成后塘慕,點擊“添加主機”按鈕筋夏,之后會彈出一個新的窗口提示你 DNS A 記錄已經(jīng)創(chuàng)建完成。
確保僅為你的網(wǎng)絡(luò)中已配置靜態(tài) IP的資源(設(shè)備)添加 DNS A 記錄图呢。不要為那些從 DHCP 服務(wù)器自動獲取 IP 地址或者經(jīng)常變換 IP 地址的主機添加 DNS A 記錄条篷。
在 Windows 系統(tǒng)下配置 Samba 主機
要更新一條 DNS 記錄只需要雙擊那條記錄,然后輸入更改即可蛤织。要刪除一條記錄時赴叹,只需要在這條記錄上單擊右鍵,選擇從菜單刪除即可指蚜。
同樣的方式乞巧,你也可以為你的域添加其它類型的 DNS 記錄,比如說 CNAME 記錄(也稱為 DNS 別名記錄)摊鸡,MX 記錄(在郵件服務(wù)器上非常有用)或者其它類型的記錄(SPE绽媒、TXT、SRV 等類型)免猾。
第 2 步:創(chuàng)建反向查找區(qū)域
默認(rèn)情況下是辕,Samba4 AD DC 不會自動為你的域添加一個反向查找區(qū)域和 PTR 記錄,因為這些類型的記錄對于域控制器的正常工作來說是無關(guān)緊要的猎提。
相反获三,DNS 反向區(qū)和 PTR 記錄在一些重要的網(wǎng)絡(luò)服務(wù)中顯得非常有用,比如郵件服務(wù),因為這些類型的記錄可以用于驗證客戶端請求服務(wù)的身份石窑。
實際上牌芋, PTR 記錄的功能與標(biāo)準(zhǔn)的 DNS 記錄功能相反∷裳罚客戶端知道資源的 IP 地址躺屁,然后去查詢 DNS 服務(wù)器來識別出已注冊的 DNS 名字。
4经宏、要創(chuàng)建 Samba AD DC 的反向查找區(qū)域犀暑,打開 DNS 管理器,在左側(cè)反向查找區(qū)域目錄上單擊右鍵烁兰,然后選擇菜單中的新區(qū)域耐亏。
創(chuàng)建 DNS 反向查找區(qū)域
5、下一步沪斟,單擊下一步按鈕广辰,然后從區(qū)域類型向?qū)е羞x擇主區(qū)域(Primary)。
選擇 DNS 區(qū)域類型
6主之、下一步择吊,在 “AD 區(qū)域復(fù)制范圍”中選擇復(fù)制到該域里運行在域控制器上的所有的 DNS 服務(wù)器,選擇 “IPv4 反向查找區(qū)域”然后單擊下一步繼續(xù)槽奕。
為 Samba 域控制器選擇 DNS 服務(wù)器
添加反向查找區(qū)域名
7几睛、下一步,在網(wǎng)絡(luò)ID 框中輸入你的 LAN IP 地址粤攒,然后單擊下一步繼續(xù)所森。
在這個區(qū)域內(nèi)添加的所有資源(設(shè)備)的 PTR 記錄僅能指向 192.168.1.0/24
網(wǎng)絡(luò)段。如果你想要為一個不在該網(wǎng)段中的服務(wù)器創(chuàng)建一個 PTR 記錄(比如郵件服務(wù)器位于?10.0.0.0/24
這個網(wǎng)段的時候)夯接,那么你還得為那個網(wǎng)段創(chuàng)建一個新的反向查找區(qū)域焕济。
添加 DNS 反向查找區(qū)域的 IP 地址
8、在下一個截圖中選擇“僅允許安全的動態(tài)更新”盔几,單擊下一步繼續(xù)吼蚁,最后單擊完成按鈕以完成反向查找區(qū)域的創(chuàng)建。
啟用安全動態(tài)更新
新 DNS 區(qū)域概覽
9问欠、此時,你已經(jīng)為你的域環(huán)境創(chuàng)建完成了一個有效的 DNS 反向查找區(qū)域粒蜈。為了在這個區(qū)域中添加一個 PTR 記錄顺献,在右側(cè)右鍵單擊,選擇為網(wǎng)絡(luò)資源創(chuàng)建一個 PTR 記錄枯怖。
這個時候注整,我們已經(jīng)為網(wǎng)關(guān)創(chuàng)建了一個指向。為了測試這條記錄對于客戶端是否添加正確和工作正常,打開命令行提示符執(zhí)行nslookup查詢資源名肿轨,再執(zhí)行另外一條命令查詢 IP 地址寿冕。
兩個查詢都應(yīng)該為你的 DNS 資源返回正確的結(jié)果。
nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate
添加及查詢 PTR 記錄
第 3 步:管理域控制策略
10椒袍、域控制器最重要的作用就是集中控制系統(tǒng)資源及安全驼唱。使用域控制器的域組策略功能很容易實現(xiàn)這些類型的任務(wù)。
遺憾的是驹暑,在 Samba 域控制器上唯一用來編輯或管理組策略的方法是通過微軟的 RSAT GPM 工具玫恳。
在下面的實例中,我們將看到通過組策略來實現(xiàn)在 Samba 域環(huán)境中為域用戶創(chuàng)建一種交互式的登錄提示是多么的簡單优俘。
要訪問組策略控制臺京办,打開控制面板 -> 系統(tǒng)和安全 -> 管理工具,然后打開組策略管理控制臺帆焕。
展開你的域下面的目錄惭婿,在默認(rèn)組策略上右鍵,選擇菜單中的編輯叶雹,將出現(xiàn)一個新的窗口财饥。
管理 Samba 域組策略
11、在組策略管理編輯器窗口中浑娜,進入到計算機配置 -> 組策略 -> Windows 設(shè)置 -> 安全設(shè)置 -> 本地策略 -> 安全選項佑力,你將在右側(cè)看到一個新的選項列表。
在右側(cè)查詢并編輯你的定制化設(shè)置筋遭,參考下圖中的兩條設(shè)置內(nèi)容打颤。
配置 Samba 域組策略
12、這兩個條目編輯完成后漓滔,關(guān)閉所有窗口编饺,打開 CMD 窗口,執(zhí)行以下命令來強制應(yīng)用組策略响驴。
gpupdate /force
更新 Samba 域組策略
13透且、最后,重啟你的電腦豁鲤,當(dāng)你準(zhǔn)備登錄進入系統(tǒng)的時候秽誊,你就會看到登錄提示生效了。
Samba4 AD 域控制器登錄提示
就寫到這里吧琳骡!組策略是一個操作起來很繁瑣和很謹(jǐn)慎的主題锅论,在管理系統(tǒng)的過程中你得非常的小心。還有楣号,注意你設(shè)置的組策略不會以任何方式應(yīng)用到已加入域的 Linux 系統(tǒng)中最易。
作者簡介:我是一個電腦迷怒坯,開源軟件及 Linux 系統(tǒng)愛好者,有近4年的 Linux 桌面和服務(wù)器系統(tǒng)及 bash 編程經(jīng)驗藻懒。
via:http://www.tecmint.com/manage-samba4-dns-group-policy-from-windows/
作者:Matei Cezar譯者:rusking校對:wxy