Pagdumala sa Samba4 AD Domain Controller DNS ug Group Policy gikan sa Windows - Bahin 4
Pagpadayon sa miaging panudlo kung giunsa pagdumala ang Samba4 gikan sa Windows 10 pinaagi sa RSAT, sa kini nga bahin atong makita kung giunsa pagdumala ang among Samba AD Domain controller DNS server gikan sa Microsoft DNS Manager, kung giunsa paghimo ang mga rekord sa DNS, kung giunsa paghimo ang usa ka Reverse Lookup Zone ug kung giunsa paghimo ang usa ka palisiya sa domain pinaagi sa tool sa Pagdumala sa Polisiya sa Grupo.
- Paghimo usa ka AD Infrastructure gamit ang Samba4 sa Ubuntu 16.04 - Bahin 1
- Pagdumala sa Samba4 AD Infrastructure gikan sa Linux Command Line – Bahin 2
- Pagdumala sa Samba4 Active Directory Infrastructure gikan sa Windows10 pinaagi sa RSAT – Bahin 3
Lakang 1: Pagdumala sa Samba DNS Server
Ang Samba4 AD DC naggamit ug internal nga DNS resolver module nga gimugna atol sa inisyal nga probisyon sa domain (kung ang BIND9 DLZ module dili espesipikong gigamit).
Ang Samba4 internal DNS module nagsuporta sa mga batakang bahin nga gikinahanglan alang sa AD Domain Controller. Ang domain DNS server mahimong madumala sa duha ka paagi, direkta gikan sa command line pinaagi sa samba-tool interface o layo gikan sa usa ka Microsoft workstation nga kabahin sa domain pinaagi sa RSAT DNS Manager.
Dinhi, atong tabonan ang ikaduha nga pamaagi tungod kay kini mas intuitive ug dili kaayo dali sa mga sayup.
1. Aron madumala ang serbisyo sa DNS para sa imong domain controller pinaagi sa RSAT, adto sa imong Windows machine, ablihi ang Control Panel -> System and Security -> Administrative Tools ug padagana ang DNS Manager utility.
Kung maablihan na ang himan, pangutan-on ka kung unsa nga DNS running server ang gusto nimong ikonektar. Pilia Ang mosunod nga kompyuter, i-type ang imong domain name sa field (o IP Address o FQDN mahimong gamiton usab), susiha ang kahon nga nag-ingon 'Konnekta sa espesipikong kompyuter karon' ug i-hit OK aron maablihan ang imong Samba DNS nga serbisyo.
2. Aron makadugang ug DNS record (isip pananglitan magdugang mi ug A record nga magtudlo sa among LAN gateway), navigate sa domain Forward Lookup Zone, right click sa right plane ug pilia Bag-ong Host (A o AAA).
3. Sa Bag-ong host nga giablihan nga bintana, i-type ang ngalan ug ang IP Address sa imong DNS nga kapanguhaan. Ang FQDN awtomatik nga isulat alang kanimo pinaagi sa DNS utility. Kung nahuman na, i-hit ang Add Host button ug usa ka pop-up window ang magpahibalo kanimo nga ang imong DNS A record malampuson nga nahimo.
Siguruha nga imong idugang ang DNS A nga mga rekord alang lamang sa mga kapanguhaan sa imong network nga gi-configure nga adunay mga static nga IP Address. Ayaw idugang ang DNS A nga mga rekord alang sa mga host nga gi-configure aron makakuha mga configuration sa network gikan sa usa ka DHCP server o ang ilang mga IP Address kanunay mag-usab.
Aron ma-update ang usa ka rekord sa DNS doble nga pag-klik niini ug isulat ang imong mga pagbag-o. Aron mapapas ang rekord i-right click sa rekord ug pilia ang delete gikan sa menu.
Sa samang paagi mahimo nimong idugang ang ubang mga matang sa DNS records para sa imong domain, sama sa CNAME (nailhan usab nga DNS alias record) MX records (mapuslanon kaayo alang sa mail servers) o uban pang matang sa records (SPF, TXT, SRV etc).
Lakang 2: Paghimo og Reverse Lookup Zone
Sa default, ang Samba4 Ad DC dili awtomatik nga magdugang ug reverse lookup zone ug PTR records para sa imong domain tungod kay kini nga mga matang sa mga record dili importante para sa usa ka domain controller nga molihok sa husto.
Hinunoa, ang DNS reverse zone ug ang mga rekord sa PTR niini mahinungdanon alang sa pagpaandar sa pipila ka importanteng serbisyo sa network, sama sa serbisyo sa e-mail tungod kay kini nga matang sa mga rekord mahimong gamiton sa pagmatuod sa pagkatawo sa mga kliyente nga nangayo og serbisyo.
Sa praktikal nga paagi, ang mga rekord sa PTR sukwahi ra sa naandan nga mga rekord sa DNS. Nahibal-an sa mga kliyente ang IP address sa usa ka kapanguhaan ug gipangutana ang DNS server aron mahibal-an ang ilang narehistro nga ngalan sa DNS.
4. Aron sa paghimo og reverse lookup zone para sa Samba AD DC, ablihi ang DNS Manager, right click on Reverse Lookup Zone gikan sa wala nga eroplano ug pilia ang New Zone gikan sa menu.
5. Sunod, i-hit ang Next button ug pilia ang Primary zone gikan sa Zone Type Wizard.
6. Sunod, pilia ang To all DNS servers nga nagdagan sa domain controllers niini nga domain gikan sa AD Zone Replication Scope, pilia ang IPv4 Reverse Lookup Zone ug i-hit ang Next para magpadayon.
7. Sunod, i-type ang IP network address alang sa imong LAN sa Network ID nga gi-file ug i-hit ang Next aron magpadayon.
Ang tanan nga mga rekord sa PTR nga gidugang niini nga sona para sa imong mga kahinguhaan mopunting lamang sa 192.168.1.0/24 nga bahin sa network. Kung gusto nimo maghimo usa ka rekord sa PTR alang sa usa ka server nga wala magpuyo sa kini nga bahin sa network (pananglitan mail server nga nahimutang sa 10.0.0.0/24 network), nan kinahanglan nimo nga maghimo usa ka bag-ong reverse lookup zone alang niana. network segment usab.
8. Sa sunod nga screen pilia ang Tugoti lamang ang luwas nga dinamikong mga update, pag-hit sunod aron magpadayon ug, sa katapusan naigo sa finish aron makompleto ang paghimo sa sona.
9. Niini nga punto aduna kay balido nga DNS reverse lookup zone nga gi-configure para sa imong domain. Aron makadugang ug PTR record niini nga zone, i-right click sa tuo nga eroplano ug pilia ang paghimo ug PTR record para sa network resource.
Sa kini nga kaso naghimo kami usa ka pointer alang sa among ganghaan. Aron masulayan kung ang rekord husto nga gidugang ug nagtrabaho sama sa gipaabut gikan sa punto sa panglantaw sa kliyente, pag-abli sa Command Prompt ug pag-isyu og nslookup nga pangutana batok sa ngalan sa kapanguhaan ug laing pangutana alang sa IP Address niini.
Ang duha nga mga pangutana kinahanglan nga ibalik ang husto nga tubag alang sa imong kapanguhaan sa DNS.
nslookup gate.tecmint.lan nslookup 192.168.1.1 ping gate
Lakang 3: Pagdumala sa Polisiya sa Grupo sa Domain
10. Usa ka importante nga aspeto sa usa ka domain controller mao ang iyang abilidad sa pagkontrolar sa mga kapanguhaan sa sistema ug seguridad gikan sa usa ka sentral nga punto. Kini nga matang sa buluhaton dali nga makab-ot sa usa ka domain controller sa tabang sa Domain Group Policy.
Ikasubo, ang bugtong paagi sa pag-edit o pagdumala sa polisiya sa grupo sa usa ka samba domain controller mao ang pinaagi sa RSAT GPM console nga gihatag sa Microsoft.
Sa ubos nga pananglitan atong makita kung unsa ka sayon ang pagmaniobra sa polisiya sa grupo para sa atong samba domain aron makahimo ug interactive nga logon banner para sa atong domain users.
Aron ma-access ang console sa polisiya sa grupo, adto sa Control Panel -> System and Security -> Administrative Tools ug ablihi ang Group Policy Management console.
Pagpalapad sa mga natad alang sa imong domain ug pag-right click sa Default Domain Policy. Pilia ang Edit gikan sa menu ug usa ka bag-ong bintana ang kinahanglan nga makita.
11. Sa Group Policy Management Editor window adto sa Computer Configuration -> Policies -> Windows Settings -> Security settings -> Local Policies -> Security Options ug usa ka bag-ong lista sa mga opsyon kinahanglan nga makita sa husto nga eroplano.
Sa husto nga pagpangita ug pag-edit sa eroplano gamit ang imong naandan nga mga setting pagkahuman sa duha ka mga entry nga gipresentar sa screenshot sa ubos.
12. Human mahuman ang pag-edit sa duha ka entries, isira ang tanang bintana, ablihi ang gipataas nga Command prompt ug pugsa ang polisiya sa grupo nga i-apply sa imong makina pinaagi sa pag-isyu sa ubos nga sugo:
gpupdate /force
13. Sa katapusan, i-reboot ang imong computer ug imong makita ang logon banner nga naglihok kung imong sulayan ang paghimo og logon.
Kana lang! Ang Polisiya sa Grupo usa ka komplikado ug sensitibo nga hilisgutan ug kinahanglan nga tagdon uban ang labing kaayo nga pag-atiman sa mga admin sa sistema. Usab, hibal-i nga ang mga setting sa palisiya sa grupo dili magamit sa bisan unsang paagi sa mga sistema sa Linux nga gisagol sa gingharian.