Управление DNS и групповой политикой контроллера домена Samba4 AD из Windows. Часть 4

Продолжая предыдущее руководство по администрированию Samba4 из Windows 10 через RSAT, в этой части мы увидим, как удаленно управлять DNS-сервером контроллера домена Samba AD из Microsoft DNS Manager, как создавать записи DNS, как создавать обратный просмотр. Zone и как создать политику домена с помощью инструмента управления групповыми политиками.

Требования

1. Создайте инфраструктуру AD с помощью Samba4 в Ubuntu 16.04 — часть 1
2. Управление инфраструктурой Samba4 AD из командной строки Linux – часть 2
3. Управление инфраструктурой Active Directory Samba4 из Windows10 через RSAT – часть 3

Шаг 1. Управление DNS-сервером Samba

Samba4 AD DC использует внутренний модуль преобразователя DNS, который создается во время первоначального предоставления домена (если модуль BIND9 DLZ специально не используется).

Внутренний модуль Samba4 DNS поддерживает основные функции, необходимые для контроллера домена AD. DNS-сервером домена можно управлять двумя способами: напрямую из командной строки через интерфейс samba-tool или удаленно с рабочей станции Microsoft, которая является частью домена, через RSAT DNS Manager.

Здесь мы рассмотрим второй метод, поскольку он более интуитивен и менее подвержен ошибкам.

1. Чтобы администрировать службу DNS для вашего контроллера домена через RSAT, перейдите на свой компьютер с Windows, откройте Панель управления ->< Система и безопасность -> Администрирование и запустите утилиту Диспетчер DNS.

Как только инструмент откроется, он спросит вас, к какому DNS-серверу вы хотите подключиться. Выберите следующий компьютер, введите в поле свое имя домена (также можно использовать IP-адрес или FQDN), установите флажок, говорит «Подключитесь к указанному компьютеру сейчас» и нажмите ОК, чтобы открыть службу Samba DNS.

2. Чтобы добавить запись DNS (в качестве примера мы добавим запись A, которая будет указывать на наш шлюз локальной сети), перейдите к домену Forward Lookup. Zone, щелкните правой кнопкой мыши на правой плоскости и выберите Новый хост (A или AAA).

3. В открывшемся окне «Новый хост» введите имя и IP-адрес вашего DNS-ресурса. FQDN будет автоматически записано для вас утилитой DNS. По завершении нажмите кнопку Добавить хост, и всплывающее окно сообщит вам, что ваша запись DNS A успешно создана.

Обязательно добавляйте записи DNS A только для тех ресурсов в вашей сети, для которых настроены статические IP-адреса. Не добавляйте записи DNS A для хостов, которые настроены на получение сетевых конфигураций с сервера DHCP, или их IP-адреса часто меняются.

Чтобы обновить запись DNS, дважды щелкните ее и запишите свои изменения. Чтобы удалить запись, щелкните правой кнопкой мыши запись и выберите в меню удалить.

Таким же образом вы можете добавить другие типы записей DNS для своего домена, например CNAME (также известную как запись псевдоним DNS) MX записи (очень полезны для почтовых серверов) или другие типы записей (SPF, TXT, SRV и т. д.).

Шаг 2. Создайте зону обратного просмотра

По умолчанию Samba4 Ad DC не добавляет автоматически зону обратного просмотра и записи PTR для вашего домена, поскольку эти типы записей не имеют решающего значения для правильной работы контроллера домена.

Вместо этого обратная зона DNS и ее записи PTR имеют решающее значение для функциональности некоторых важных сетевых служб, таких как служба электронной почты, поскольку записи такого типа могут использоваться для проверки личности клиентов, запрашивающих услугу.

На практике записи PTR представляют собой полную противоположность стандартным записям DNS. Клиенты знают IP-адрес ресурса и запрашивают DNS-сервер, чтобы узнать свое зарегистрированное DNS-имя.

4. Чтобы создать зону обратного просмотра для Samba AD DC, откройте Диспетчер DNS, щелкните правой кнопкой мыши Зона обратного просмотра. в левой плоскости и выберите в меню Новая зона.

5. Затем нажмите кнопку Далее и выберите Основную зону в Мастере типов зон.

6. Далее выберите «Все DNS серверы, работающие на контроллерах домена в этом домене, в Области репликации зоны AD», выберите Обратный IPv4. Зона поиска и нажмите Далее, чтобы продолжить.

7. Затем введите IP-адрес вашей сети LAN в поле Идентификатор сети и нажмите Далее, чтобы продолжить.

Все записи PTR, добавленные в эту зону для ваших ресурсов, будут указывать только на часть сети 192.168.1.0/24. Если вы хотите создать запись PTR для сервера, который не находится в этом сегменте сети (например, почтовый сервер, расположенный в сети 10.0.0.0/24), вам необходимо создать новая зона обратного просмотра для этого сегмента сети.

8. На следующем экране выберите Разрешить только безопасные динамические обновления, нажмите «Далее», чтобы продолжить, и, наконец, нажмите Готово, чтобы завершить создание зоны.

9. На этом этапе у вас есть действующая зона обратного просмотра DNS, настроенная для вашего домена. Чтобы добавить запись PTR в эту зону, щелкните правой кнопкой мыши правую плоскость и выберите создание записи PTR для сетевого ресурса.

В данном случае мы создали указатель на наш шлюз. Чтобы проверить, правильно ли добавлена запись и работает ли она так, как ожидалось с точки зрения клиента, откройте Командную строку и выполните запрос nslookup к имени ресурса и еще один запрос его IP-адреса.

Оба запроса должны вернуть правильный ответ для вашего DNS-ресурса.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Шаг 3. Управление групповой политикой домена

10. Важным аспектом контроллера домена является его способность контролировать системные ресурсы и безопасность из единой центральной точки. Задачу такого типа можно легко решить на контроллере домена с помощью Групповой политики домена.

К сожалению, единственный способ редактировать или управлять групповой политикой на контроллере домена Samba — через консоль RSAT GPM, предоставляемую Microsoft.

В приведенном ниже примере мы увидим, насколько просто можно манипулировать групповой политикой для нашего домена Samba, чтобы создать интерактивный баннер входа в систему для пользователей нашего домена.

Чтобы получить доступ к консоли групповой политики, перейдите в Панель управления -> Система и безопасность -> Инструменты администрирования и откройте консоль Управление групповой политикой.

Разверните поля для своего домена и щелкните правой кнопкой мыши Политика домена по умолчанию. Выберите в меню Изменить, должно появиться новое окно.

11. В окне Редактор управления групповыми политиками перейдите в раздел Конфигурация компьютера -> Политики -> Настройки Windows -> Настройки безопасности -> Локальные политики -> Параметры безопасности, и в правой плоскости должен появиться новый список параметров.

В правой плоскости найдите и отредактируйте свои собственные настройки, следующие две записи, представленные на снимке экрана ниже.

12. После завершения редактирования двух записей закройте все окна, откройте командную строку с повышенными правами и принудительно примените групповую политику на вашем компьютере, введя следующую команду:

gpupdate /force

13. Наконец, перезагрузите компьютер, и вы увидите баннер входа в систему в действии, когда попытаетесь выполнить вход.

Вот и все! Групповая политика — очень сложная и деликатная тема, к которой системные администраторы должны относиться с максимальной осторожностью. Также имейте в виду, что настройки групповой политики никоим образом не будут применяться к системам Linux, интегрированным в эту область.