ค้นหาเว็บไซต์

จัดการ DNS ตัวควบคุมโดเมน Samba4 AD และนโยบายกลุ่มจาก Windows - ส่วนที่ 4


ดำเนินการต่อจากบทช่วยสอนก่อนหน้านี้เกี่ยวกับวิธีจัดการ Samba4 จาก Windows 10 ผ่าน RSAT ในส่วนนี้เราจะดูวิธีจัดการเซิร์ฟเวอร์ DNS ตัวควบคุมโดเมน Samba AD ของเราจากระยะไกลจาก Microsoft DNS Manager วิธีสร้างบันทึก DNS วิธีสร้างการค้นหาแบบย้อนกลับ โซนและวิธีสร้างนโยบายโดเมนผ่านเครื่องมือการจัดการนโยบายกลุ่ม

ความต้องการ

  1. สร้างโครงสร้างพื้นฐาน AD ด้วย Samba4 บน Ubuntu 16.04 – ตอนที่ 1
  2. จัดการโครงสร้างพื้นฐาน Samba4 AD จาก Linux Command Line – ตอนที่ 2
  3. จัดการโครงสร้างพื้นฐาน Samba4 Active Directory จาก Windows10 ผ่าน RSAT – ตอนที่ 3

ขั้นตอนที่ 1: จัดการเซิร์ฟเวอร์ Samba DNS

Samba4 AD DC ใช้โมดูลตัวแก้ไข DNS ภายในซึ่งสร้างขึ้นในระหว่างการจัดเตรียมโดเมนเริ่มต้น (หากไม่ได้ใช้โมดูล BIND9 DLZ โดยเฉพาะ)

โมดูล DNS ภายในของ Samba4 รองรับคุณสมบัติพื้นฐานที่จำเป็นสำหรับ AD Domain Controller เซิร์ฟเวอร์ DNS ของโดเมนสามารถจัดการได้สองวิธี โดยตรงจากบรรทัดคำสั่งผ่านอินเทอร์เฟซ samba-tool หรือจากระยะไกลจากเวิร์กสเตชัน Microsoft ซึ่งเป็นส่วนหนึ่งของโดเมนผ่าน RSAT DNS Manager

ในที่นี้ เราจะกล่าวถึงวิธีที่สองเนื่องจากใช้งานง่ายกว่าและไม่เสี่ยงต่อข้อผิดพลาด

1. หากต้องการดูแลบริการ DNS สำหรับตัวควบคุมโดเมนของคุณผ่าน RSAT ให้ไปที่เครื่อง Windows ของคุณ เปิด แผงควบคุม ->< ระบบและความปลอดภัย -> เครื่องมือการดูแลระบบ และเรียกใช้ยูทิลิตี้ DNS Manager

เมื่อเครื่องมือเปิดขึ้นมา เครื่องมือจะถามคุณว่าคุณต้องการเชื่อมต่อเซิร์ฟเวอร์ DNS ใด เลือกคอมพิวเตอร์ต่อไปนี้ พิมพ์ ชื่อโดเมน ของคุณในฟิลด์ (หรือสามารถใช้ ที่อยู่ IP หรือ FQDN ได้เช่นกัน) ทำเครื่องหมายในช่องที่ ระบุว่า 'เชื่อมต่อกับคอมพิวเตอร์ที่ระบุทันที' และกด ตกลง เพื่อเปิดบริการ Samba DNS ของคุณ

2. ในการเพิ่มบันทึก DNS (ตามตัวอย่าง เราจะเพิ่มบันทึก A ที่จะชี้ไปที่เกตเวย์ LAN ของเรา) ให้นำทางไปยังโดเมน การค้นหาล่วงหน้า โซน คลิกขวาที่ระนาบด้านขวาแล้วเลือก โฮสต์ใหม่ (A หรือ AAA)

3. ในหน้าต่างเปิดโฮสต์ใหม่ ให้พิมพ์ ชื่อ และ ที่อยู่ IP ของทรัพยากร DNS ของคุณ FQDN จะถูกเขียนให้คุณโดยอัตโนมัติโดยยูทิลิตี้ DNS เมื่อเสร็จแล้ว ให้กดปุ่ม เพิ่มโฮสต์ และหน้าต่างป๊อปอัปจะแจ้งให้คุณทราบว่าบันทึก DNS A ของคุณถูกสร้างขึ้นเรียบร้อยแล้ว

ตรวจสอบให้แน่ใจว่าคุณเพิ่มระเบียน DNS A สำหรับทรัพยากรเหล่านั้นในเครือข่ายของคุณที่กำหนดค่าด้วยที่อยู่ IP แบบคงที่เท่านั้น อย่าเพิ่มระเบียน DNS A สำหรับโฮสต์ที่ได้รับการกำหนดค่าให้รับการกำหนดค่าเครือข่ายจากเซิร์ฟเวอร์ DHCP หรือ ที่อยู่ IP มีการเปลี่ยนแปลงบ่อยครั้ง

หากต้องการอัปเดตระเบียน DNS เพียงดับเบิลคลิกที่บันทึกและเขียนการแก้ไขของคุณ หากต้องการลบบันทึก ให้คลิกขวาที่ บันทึก และเลือก ลบ จากเมนู

ในทำนองเดียวกัน คุณสามารถเพิ่มระเบียน DNS ประเภทอื่นๆ สำหรับโดเมนของคุณได้ เช่น CNAME (หรือที่เรียกว่าระเบียน DNS alias) ระเบียน MX (มีประโยชน์มากสำหรับเซิร์ฟเวอร์อีเมล) หรือระเบียนประเภทอื่นๆ (SPF, TXT, SRV ฯลฯ)

ขั้นตอนที่ 2: สร้างโซนการค้นหาแบบย้อนกลับ

ตามค่าเริ่มต้น Samba4 Ad DC จะไม่เพิ่มโซนการค้นหาแบบย้อนกลับและบันทึก PTR สำหรับโดเมนของคุณโดยอัตโนมัติ เนื่องจากบันทึกประเภทเหล่านี้ไม่สำคัญสำหรับตัวควบคุมโดเมนในการทำงานอย่างถูกต้อง

แต่โซนย้อนกลับ DNS และบันทึก PTR นั้นมีความสำคัญต่อการทำงานของบริการเครือข่ายที่สำคัญบางอย่าง เช่น บริการอีเมล เนื่องจากบันทึกประเภทนี้สามารถใช้เพื่อตรวจสอบตัวตนของลูกค้าที่ร้องขอบริการได้

ในทางปฏิบัติแล้ว บันทึก PTR นั้นตรงกันข้ามกับบันทึก DNS มาตรฐาน ลูกค้าทราบที่อยู่ IP ของทรัพยากรและสอบถามเซิร์ฟเวอร์ DNS เพื่อค้นหาชื่อ DNS ที่ลงทะเบียนไว้

4. ในการสร้างโซนการค้นหาแบบย้อนกลับสำหรับ Samba AD DC ให้เปิด DNS Manager คลิกขวาที่ Reverse Lookup Zone จากระนาบด้านซ้าย และเลือก โซนใหม่ จากเมนู

5. ถัดไป กดปุ่ม ถัดไป และเลือกโซน หลัก จาก ตัวช่วยสร้างประเภทโซน

6. ถัดไป เลือกไปยังเซิร์ฟเวอร์ DNS ทั้งหมดที่ทำงานบนตัวควบคุมโดเมนในโดเมนนี้จาก ขอบเขตการจำลองโซนโฆษณา เลือก IPv4 Reverse ค้นหาโซน และกด ถัดไป เพื่อดำเนินการต่อ

7. จากนั้น พิมพ์ที่อยู่เครือข่าย IP สำหรับ LAN ของคุณใน รหัสเครือข่าย ที่ยื่นไว้ และกด ถัดไป เพื่อดำเนินการต่อ

ระเบียน PTR ทั้งหมดที่เพิ่มในโซนนี้สำหรับทรัพยากรของคุณจะชี้กลับไปยังส่วนเครือข่าย 192.168.1.0/24 เท่านั้น หากคุณต้องการสร้างบันทึก PTR สำหรับเซิร์ฟเวอร์ที่ไม่ได้อยู่ในส่วนเครือข่ายนี้ (เช่น เซิร์ฟเวอร์อีเมลที่อยู่ในเครือข่าย 10.0.0.0/24) คุณจะต้องสร้าง โซนการค้นหาแบบย้อนกลับใหม่สำหรับส่วนเครือข่ายนั้นเช่นกัน

8. ในหน้าจอถัดไป ให้เลือก อนุญาต เฉพาะการอัปเดตแบบไดนามิกที่ปลอดภัย คลิกถัดไปเพื่อดำเนินการต่อ และสุดท้ายกด เสร็จสิ้น เพื่อสร้างโซนให้เสร็จสมบูรณ์

9. ณ จุดนี้ คุณมีโซนการค้นหา DNS แบบย้อนกลับที่ถูกต้องซึ่งกำหนดค่าไว้สำหรับโดเมนของคุณ ในการเพิ่มระเบียน PTR ในโซนนี้ ให้คลิกขวาที่ ระนาบ ด้านขวา และเลือกสร้างระเบียน PTR สำหรับทรัพยากรเครือข่าย

ในกรณีนี้เราได้สร้างตัวชี้สำหรับเกตเวย์ของเรา เพื่อทดสอบว่าบันทึกถูกเพิ่มอย่างถูกต้องและทำงานตามที่คาดหวังจากมุมมองของลูกค้าหรือไม่ ให้เปิด พร้อมรับคำสั่ง และออกแบบสอบถาม nslookup กับชื่อของทรัพยากรและ แบบสอบถามอื่นสำหรับที่อยู่ IP

แบบสอบถามทั้งสองควรส่งคืนคำตอบที่ถูกต้องสำหรับทรัพยากร DNS ของคุณ

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

ขั้นตอนที่ 3: การจัดการนโยบายกลุ่มโดเมน

10. ลักษณะสำคัญของตัวควบคุมโดเมนคือความสามารถในการควบคุมทรัพยากรระบบและการรักษาความปลอดภัยจากจุดศูนย์กลางจุดเดียว งานประเภทนี้สามารถบรรลุผลได้อย่างง่ายดายในตัวควบคุมโดเมนด้วยความช่วยเหลือของ Domain Group Policy

ขออภัย วิธีเดียวที่จะแก้ไขหรือจัดการนโยบายกลุ่มในตัวควบคุมโดเมน samba คือผ่านคอนโซล RSAT GPM ที่ Microsoft มอบให้

ในตัวอย่างด้านล่าง เราจะดูว่าการจัดการนโยบายกลุ่มสำหรับโดเมน samba ของเรานั้นง่ายดายเพียงใด เพื่อสร้างแบนเนอร์การเข้าสู่ระบบแบบโต้ตอบสำหรับผู้ใช้โดเมนของเรา

ในการเข้าถึงคอนโซลนโยบายกลุ่ม ให้ไปที่ แผงควบคุม -> ระบบและความปลอดภัย -> เครื่องมือการดูแลระบบ และเปิดคอนโซล การจัดการนโยบายกลุ่ม

ขยายฟิลด์สำหรับโดเมนของคุณและคลิกขวาที่ นโยบายโดเมนเริ่มต้น เลือก แก้ไข จากเมนู จากนั้นหน้าต่างใหม่จะปรากฏขึ้น

11. ในหน้าต่าง Group Policy Management Editor ให้ไปที่ การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายท้องถิ่น -> ตัวเลือกความปลอดภัย และรายการตัวเลือกใหม่ควรปรากฏในระนาบด้านขวา

ในระนาบที่ถูกต้อง ให้ค้นหาและแก้ไขด้วยการตั้งค่าที่คุณกำหนดเองตามสองรายการที่แสดงในภาพหน้าจอด้านล่าง

12. หลังจากแก้ไขทั้งสองรายการเสร็จแล้ว ให้ปิดหน้าต่างทั้งหมด เปิด Command prompt ที่ยกระดับขึ้น และบังคับใช้นโยบายกลุ่มเพื่อนำไปใช้กับเครื่องของคุณโดยออกคำสั่งด้านล่าง:

gpupdate /force

13. สุดท้าย รีบูทคอมพิวเตอร์ของคุณ แล้วคุณจะเห็นแบนเนอร์การเข้าสู่ระบบทำงานเมื่อคุณพยายามเข้าสู่ระบบ

นั่นคือทั้งหมด! นโยบายกลุ่มเป็นเรื่องที่ซับซ้อนและละเอียดอ่อนมากและผู้ดูแลระบบควรได้รับการดูแลอย่างดีที่สุด นอกจากนี้ โปรดทราบว่าการตั้งค่านโยบายกลุ่มจะไม่มีผลกับระบบ Linux ที่รวมอยู่ในขอบเขตในทางใดทางหนึ่ง