Zoeken op website

Beheer Samba4 AD Domain Controller DNS en groepsbeleid vanuit Windows - Deel 4

Voortbordurend op de vorige tutorial over het beheren van Samba4 vanuit Windows 10 via RSAT, zullen we in dit deel zien hoe u onze Samba AD Domain controller DNS-server op afstand kunt beheren vanuit Microsoft DNS Manager, hoe u DNS-records kunt maken en hoe u een Reverse Lookup kunt maken Zone en hoe u een domeinbeleid maakt via de tool Groepsbeleidsbeheer.

Vereisten

  1. Creëer een AD-infrastructuur met Samba4 op Ubuntu 16.04 – Deel 1
  2. Beheer de Samba4 AD-infrastructuur vanaf de Linux-opdrachtregel – Deel 2
  3. Beheer Samba4 Active Directory-infrastructuur vanuit Windows10 via RSAT – Deel 3

Stap 1: Beheer Samba DNS-server

Samba4 AD DC gebruikt een interne DNS-resolvermodule die wordt aangemaakt tijdens de initiële domeininrichting (als de BIND9 DLZ-module niet specifiek wordt gebruikt).

De interne DNS-module van Samba4 ondersteunt de basisfuncties die nodig zijn voor een AD-domeincontroller. De domein-DNS-server kan op twee manieren worden beheerd: rechtstreeks vanaf de opdrachtregel via de samba-toolinterface of op afstand vanaf een Microsoft-werkstation dat deel uitmaakt van het domein via RSAT DNS Manager.

Hier behandelen we de tweede methode, omdat deze intuïtiever is en niet zo gevoelig voor fouten.

1. Om de DNS-service voor uw domeincontroller via RSAT te beheren, gaat u naar uw Windows-computer en opent u Configuratiescherm ->< Systeem en beveiliging -> Beheerprogramma's en voer het hulpprogramma DNS Manager uit.

Zodra de tool wordt geopend, wordt u gevraagd op welke DNS-server u verbinding wilt maken. Kies De volgende computer, typ uw domeinnaam in het veld (of IP-adres of FQDN kunnen ook worden gebruikt), vink het vakje aan zegt 'Maak nu verbinding met de opgegeven computer' en druk op OK om uw Samba DNS-service te openen.

2. Om een DNS-record toe te voegen (als voorbeeld voegen we een A-record toe dat naar onze LAN-gateway verwijst), navigeert u naar domein Forward Lookup Zone, klik met de rechtermuisknop op het rechtervlak en kies Nieuwe host (A of AAA).

3. Typ in het venster Nieuwe host geopend de naam en het IP-adres van uw DNS-bron. De FQDN wordt automatisch voor u geschreven door het DNS-hulpprogramma. Wanneer u klaar bent, klikt u op de knop Host toevoegen. Een pop-upvenster informeert u dat uw DNS A-record met succes is aangemaakt.

Zorg ervoor dat u alleen DNS A-records toevoegt voor de bronnen in uw netwerk die zijn geconfigureerd met statische IP-adressen. Voeg geen DNS A-records toe voor hosts die zijn geconfigureerd om netwerkconfiguraties van een DHCP-server te verkrijgen, anders veranderen hun IP-adressen vaak.

Om een DNS-record bij te werken, dubbelklikt u erop en schrijft u uw wijzigingen. Om de record te verwijderen, klikt u met de rechtermuisknop op de record en kiest u verwijderen in het menu.

Op dezelfde manier kunt u andere typen DNS-records voor uw domein toevoegen, zoals CNAME (ook bekend als DNS-alias-record) MX records (erg handig voor mailservers) of andere soorten records (SPF, TXT, SRV enz.).

Stap 2: Maak een Reverse Lookup-zone

Standaard voegt Samba4 Ad DC niet automatisch een reverse lookup-zone en PTR-records toe voor uw domein, omdat dit soort records niet cruciaal zijn voor het correct functioneren van een domeincontroller.

In plaats daarvan zijn een DNS-reversezone en de bijbehorende PTR-records cruciaal voor de functionaliteit van enkele belangrijke netwerkdiensten, zoals een e-maildienst, omdat dit soort records kunnen worden gebruikt om de identiteit te verifiëren van klanten die om een dienst verzoeken.

In de praktijk zijn PTR-records precies het tegenovergestelde van standaard DNS-records. De clients kennen het IP-adres van een bron en vragen de DNS-server om hun geregistreerde DNS-naam te achterhalen.

4. Om een reverse lookup-zone te maken voor Samba AD DC, opent u DNS Manager en klikt u met de rechtermuisknop op Reverse Lookup Zone in het linkervlak en kies Nieuwe zone in het menu.

5. Druk vervolgens op de knop Volgende en kies Primaire zone uit de Wizard Zonetype.

6. Kies vervolgens Naar alle DNS-servers die draaien op domeincontrollers in dit domein vanuit de AD Zone Replication Scope en kies IPv4 Reverse Zoekzone en klik op Volgende om door te gaan.

7. Typ vervolgens het IP-netwerkadres voor uw LAN in het Netwerk-ID veld en klik op Volgende om door te gaan.

Alle PTR-records die in deze zone voor uw bronnen zijn toegevoegd, verwijzen alleen terug naar het 192.168.1.0/24 netwerkgedeelte. Als u een PTR-record wilt maken voor een server die zich niet in dit netwerksegment bevindt (bijvoorbeeld een mailserver die zich in het 10.0.0.0/24 netwerk bevindt), dan moet u een ook een nieuwe reverse lookup-zone voor dat netwerksegment.

8. Op het volgende scherm kiest u ervoor om alleen beveiligde dynamische updates te Toestaan. Klik op Volgende om door te gaan en klik ten slotte op Voltooien om het maken van zones te voltooien.

9. Op dit moment heeft u een geldige DNS reverse lookup-zone geconfigureerd voor uw domein. Om een PTR record in deze zone toe te voegen, klikt u met de rechtermuisknop op het rechter vlak en kiest u ervoor om een PTR record voor een netwerkbron te maken.

In dit geval hebben we een pointer voor onze gateway gemaakt. Om te testen of de record correct is toegevoegd en werkt zoals verwacht vanuit het perspectief van de klant, opent u een Opdrachtprompt en voert u een nslookup-query uit op de naam van de bron en nog een vraag naar het IP-adres.

Beide zoekopdrachten zouden het juiste antwoord voor uw DNS-bron moeten retourneren.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Stap 3: Beheer van domeingroepsbeleid

10. Een belangrijk aspect van een domeincontroller is de mogelijkheid om systeembronnen en beveiliging vanuit één centraal punt te beheren. Dit type taak kan eenvoudig worden uitgevoerd in een domeincontroller met behulp van Domain Group Policy.

Helaas is de enige manier om groepsbeleid in een samba-domeincontroller te bewerken of te beheren via de RSAT GPM-console van Microsoft.

In het onderstaande voorbeeld zullen we zien hoe eenvoudig het kan zijn om groepsbeleid voor ons samba-domein te manipuleren om een interactieve aanmeldingsbanner voor onze domeingebruikers te maken.

Om toegang te krijgen tot de groepsbeleidsconsole, gaat u naar Configuratiescherm -> Systeem en beveiliging -> Systeembeheer en open de console Groepsbeleidsbeheer.

Vouw de velden voor uw domein uit en klik met de rechtermuisknop op Standaarddomeinbeleid. Kies Bewerken in het menu en er zou een nieuw venster moeten verschijnen.

11. Ga in het venster Groepsbeleidsbeheer-editor naar Computerconfiguratie -> Beleid -> Windows-instellingen -> Beveiligingsinstellingen -> Lokaal beleid -> Beveiligingsopties en een nieuwe optielijst zouden in het rechtervlak moeten verschijnen.

Zoek en bewerk in het rechtervlak met uw aangepaste instellingen volgens de twee vermeldingen die in de onderstaande schermafbeelding worden weergegeven.

12. Nadat u klaar bent met het bewerken van de twee vermeldingen, sluit u alle vensters, opent u een opdrachtprompt met verhoogde bevoegdheden en dwingt u het groepsbeleid af om op uw computer toe te passen door de onderstaande opdracht te geven:

gpupdate /force

13. Start ten slotte uw computer opnieuw op en u ziet de aanmeldingsbanner in actie wanneer u probeert in te loggen.

Dat is alles! Groepsbeleid is een zeer complex en gevoelig onderwerp en moet door systeembeheerders met de grootste zorg worden behandeld. Houd er ook rekening mee dat instellingen voor groepsbeleid op geen enkele manier van toepassing zijn op Linux-systemen die in het domein zijn geïntegreerd.