Gérer le contrôleur de domaine AD Samba4 DNS et la politique de groupe à partir de Windows - partie 4

Poursuivant le didacticiel précédent sur la façon d'administrer Samba4 à partir de Windows 10 via RSAT, dans cette partie, nous verrons comment gérer à distance notre serveur DNS de contrôleur de domaine AD Samba à partir de Microsoft DNS Manager, comment créer des enregistrements DNS, comment créer une recherche inverse Zone et comment créer une politique de domaine via l'outil de gestion des politiques de groupe.

Exigences

1. Créez une infrastructure AD avec Samba4 sur Ubuntu 16.04 - Partie 1
2. Gérer l'infrastructure AD Samba4 à partir de la ligne de commande Linux - Partie 2
3. Gérer l'infrastructure Samba4 Active Directory à partir de Windows10 via RSAT - Partie 3

Étape 1: Gérer le serveur Samba DNS

Samba4 ad dc utilise un module RaSolver DNS interne qui est créé lors de la fourniture initiale du domaine (si Bind9 dlz Le module n'est pas spécifiquement utilisé).

Samba4 interne DNS Le module prend en charge les fonctionnalités de base nécessaires à un Contrôleur de domaine AD. Le serveur DNS de domaine peut être géré de deux manières, directement à partir de la ligne de commande via l'interface Samba-Tool ou à distance à partir d'une station de travail Microsoft qui fait partie du domaine via RSAT DNS Manager.

Ici, nous couvrirons la deuxième méthode car elle est plus intuitive et pas si sujette aux erreurs.

1. Pour administrer le service DNS pour votre contrôleur de domaine via RSAT, Accédez à votre machine Windows, ouvrez Panneau de commande -> Système et sécurité -> Outils administratifs et courir DNS Manager utilitaire.

Une fois l'outil ouvert, il vous demandera sur le serveur exécutif DNS que vous souhaitez connecter. Choisissez l'ordinateur suivant, tapez votre nom de domaine sur le terrain (ou Adresse IP ou Fqdn peut également être utilisé), cochez la case qui dit 'Connectez-vous maintenant à l'ordinateur spécifié'Et frappé D'ACCORD pour ouvrir votre Samba dns service.

Connectez Samba4 DNS sur Windows

2. Afin d'ajouter un enregistrement DNS (par exemple, nous ajouterons un UN Enregistrement qui pointera vers notre passerelle LAN), accédez au domaine Zone de recherche vers l'avant, Faites un clic droit sur le bon avion et choisissez Nouvel hôte (UN ou Aaa).

Ajouter DNS un enregistrement sur Windows

3. Sur la nouvelle fenêtre ouverte de l'hôte, tapez le nom et le Adresse IP de votre ressource DNS. Le Fqdn sera automatiquement écrit pour vous par l'utilitaire DNS. Une fois terminé, frappez le Ajouter l'hôte Le bouton et une fenêtre contextuelle vous informeront que votre DNS A Le disque a été créé avec succès.

Assurez-vous d'ajouter DNS A Enregistre uniquement pour les ressources de votre réseau configurées avec des adresses IP statiques. N'ajoutez pas DNS A Enregistrements pour les hôtes qui sont configurés pour acquérir des configurations réseau à partir d'un Dhcp serveur ou leur Adresses IP Change souvent.

Configurer l'hôte Samba sur Windows

Pour mettre à jour un DNS Enregistrez simplement double-cliquez dessus et écrivez vos modifications. Pour supprimer l'enregistrement, cliquez avec le bouton droit sur le enregistrer et choisir supprimer à partir du menu.

De la même manière que vous pouvez ajouter d'autres types de DNS enregistre pour votre domaine, comme Cname (aussi connu sous le nom Alias ​​DNS enregistrer) Mx enregistrements (très utiles pour les serveurs de messagerie) ou tout autre type d'enregistrements (FPS, SMS, SRV etc).

Étape 2: Créez une zone de recherche inverse

Par défaut, Samba4 ad dc N'ajoute pas automatiquement une zone de recherche inverse et des enregistrements PTR pour votre domaine car ces types d'enregistrements ne sont pas cruciaux pour qu'un contrôleur de domaine fonctionne correctement.

Au lieu de cela, une zone inversée DNS et ses enregistrements PTR sont cruciaux pour la fonctionnalité de certains services de réseau importants, tels qu'un service de messagerie car ce type d'enregistrements peut être utilisé pour vérifier l'identité des clients demandant un service.

Pratiquement, les enregistrements PTR sont exactement l'opposé des enregistrements DNS standard. Les clients connaissent l'adresse IP d'une ressource et interrogent le serveur DNS pour découvrir leur nom DNS enregistré.

4. Afin de créer une zone de recherche inverse pour Samba AD DC, ouvrir DNS Manager, Faites un clic droit sur Zone de recherche inversée à partir du plan gauche et choisissez Nouvelle zone à partir du menu.

Créer la zone DNS de recherche inverse

5. Ensuite, frappez Suivant bouton et choisissez Primaire se dérober Assistant de type de zone.

Sélectionnez le type de zone DNS

6. Ensuite, choisissez tous DNS serveurs fonctionnant sur des contrôleurs de domaine dans ce domaine à partir du Portée de réplication de la zone publicitaire, choisi Zone de recherche inversée IPv4 et frapper Suivant continuer.

Sélectionnez DNS pour le contrôleur de domaine Samba Ajouter le nom de la zone de recherche inverse

7. Ensuite, saisissez l'adresse du réseau IP pour votre Lan dans ID de réseau Classé et frappé Suivant continuer.

Tous Ptr Les enregistrements ajoutés dans cette zone pour vos ressources ne seront pas en arrière uniquement pour 192.168.1.0/24 portion de réseau. Si vous souhaitez créer un enregistrement PTR pour un serveur qui ne réside pas dans ce segment réseau (par exemple le serveur de messagerie qui se trouve dans dix.0.0.0/24 réseau), alors vous devrez également créer une nouvelle zone de recherche inversée pour ce segment de réseau.

Ajouter l'adresse IP de la zone DNS de recherche inversée

8. Sur l'écran suivant, choisissez de Permettre Sercer des mises à jour dynamiques, frappez ensuite pour continuer et, enfin frapper finir Pour compléter la création de zone.

Activer les mises à jour dynamiques sécurisées Nouveau résumé de la zone DNS

9. À ce stade, vous avez une zone de recherche inversée DNS valide configurée pour votre domaine. Afin d'ajouter un Ptr Enregistrer dans cette zone, cliquez avec le bouton droit sur la droite avion et choisissez de créer un Ptr Enregistrer pour une ressource réseau.

Dans ce cas, nous avons créé un pointeur pour notre passerelle. Afin de tester si l'enregistrement a été correctement ajouté et fonctionne comme prévu du point de vue du client, ouvrez un Invite de commande et émettre un nslookup Interroger contre le nom de la ressource et une autre requête pour son adresse IP.

Les deux requêtes doivent renvoyer la bonne réponse pour votre ressource DNS.

porte nslookup.Tecmint.lan nslookup 192.168.1.1 porte de ping 

Ajouter un enregistrement DNS PTR et une requête PTR

Étape 3: Gestion des politiques de groupe de domaine

dix. Un aspect important d'un contrôleur de domaine est sa capacité à contrôler les ressources et la sécurité du système à partir d'un seul point central. Ce type de tâche peut être facilement réalisé dans un contrôleur de domaine avec l'aide de Politique de groupe de domaine.

Malheureusement, le seul moyen de modifier ou de gérer la politique de groupe dans un contrôleur de domaine Samba est via RSAT GPM console fournie par Microsoft.

Dans l'exemple ci-dessous, nous verrons à quel point il est simple de manipuler la politique de groupe pour notre domaine Samba afin de créer une bannière de connexion interactive pour nos utilisateurs de domaine.

Afin d'accéder à la console de politique de groupe, allez à Panneau de commande -> Système et sécurité -> Outils administratifs et ouvert Gestion des politiques de groupe console.

Développez les champs de votre domaine et cliquez avec le bouton droit sur Politique de domaine par défaut. Choisir Modifier dans le menu et une nouvelle fenêtre devrait apparaître.

Gérer la politique du groupe de domaine Samba

11. Sur Éditeur de gestion des politiques de groupe fenêtre aller à La configuration d'un ordinateur -> Stratégies -> Paramètres Windows -> Les paramètres de sécurité -> Politiques locales -> Options de sécurité Et une nouvelle liste d'options devrait apparaître dans le bon plan.

Dans la recherche en avion à droite et modifier avec vos paramètres personnalisés après deux entrées présentées sur la capture d'écran ci-dessous.

Configurer la stratégie de groupe de domaine Samba

12. Après avoir terminé la modification des deux entrées, fermez toutes les fenêtres, ouvrez une invite de commande élevée et forcer la politique de groupe pour s'appliquer sur votre machine en émettant la commande ci-dessous:

gpupdate / force 

Mettre à jour la politique du groupe de domaine Samba

13. Enfin, redémarrez votre ordinateur et vous verrez la bannière de connexion en action lorsque vous essaierez d'effectuer une connexion.

Bannière de contrôleur de domaine Samba4 AD

C'est tout! Stratégie de groupe est un sujet très complexe et sensible et doit être traité avec un maximum de soins par les administrateurs du système. Sachez également que les paramètres de stratégie de groupe ne s'appliquent en aucune façon aux systèmes Linux intégrés dans le domaine.