![So installieren Sie das EPEL-Repository auf RHEL 8](/f/ea075959e8970bd54ed1532abf9799f0.png?width=100&height=100)
Fortsetzung des vorherigen Tutorials auf So administrieren Sie Samba4 von Windows 10 über RSAT, in diesem Teil sehen wir, wie Sie unseren Samba AD Domain Controller DNS-Server über den Microsoft DNS Manager remote verwalten können, wie DNS-Einträge erstellen, eine Reverse-Lookupzone erstellen und eine Domänenrichtlinie über die Gruppenrichtlinienverwaltung erstellen Werkzeug.
Samba4 AD DC verwendet ein internes DNS-Resolver-Modul, das während der anfänglichen Domainbereitstellung erstellt wird (wenn BIND9 DLZ Modul wird nicht speziell verwendet).
Samba4 intern DNS Modul unterstützt die grundlegenden Funktionen, die für eine AD-Domänencontroller. Der Domänen-DNS-Server kann auf zwei Arten verwaltet werden, direkt von der Befehlszeile über die Samba-Tool-Schnittstelle oder aus der Ferne von einer Microsoft-Workstation, die Teil der Domäne ist, über
RSAT-DNS-Manager.Hier behandeln wir die zweite Methode, da sie intuitiver und nicht so fehleranfällig ist.
1. So verwalten Sie den DNS-Dienst für Ihren Domänencontroller über RSAT, gehen Sie zu Ihrem Windows-Rechner, öffnen Sie Schalttafel->System und Sicherheit -> Verwaltungswerkzeuge und Renn DNS-Manager Nützlichkeit.
Sobald das Tool geöffnet wird, werden Sie gefragt, mit welchem DNS-Laufserver Sie eine Verbindung herstellen möchten. Wählen Sie den folgenden Computer, geben Sie Ihr. ein Domainname im Feld (oder IP Adresse oder FQDN kann auch verwendet werden), aktivieren Sie das Kontrollkästchen "Jetzt mit dem angegebenen Computer verbinden“ und schlage OK um deine zu öffnen Samba-DNS Service.
2. Um einen DNS-Eintrag hinzuzufügen (als Beispiel fügen wir einen EIN
Datensatz, der auf unser LAN-Gateway verweist), navigieren Sie zur Domäne Forward-Lookup-Zone, klicke mit der rechten Maustaste auf das rechte Flugzeug und wähle Neuer Gastgeber (EIN
oder AAA
).
3. Geben Sie im Fenster Neuer Host geöffnet das Name und das IP Adresse Ihrer DNS-Ressource. Das FQDN wird automatisch vom DNS-Dienstprogramm für Sie geschrieben. Wenn Sie fertig sind, drücken Sie die Host hinzufügen Schaltfläche und ein Pop-up-Fenster informiert Sie, dass Ihre DNS-A Datensatz wurde erfolgreich erstellt.
Stellen Sie sicher, dass Sie hinzufügen DNS-A Datensätze nur für diese Ressourcen in Ihrem Netzwerk mit statischen IP-Adressen konfiguriert. Nicht hinzufügen DNS-A Datensätze für Hosts, die so konfiguriert sind, dass sie Netzwerkkonfigurationen von einem DHCP Server oder deren IP-Adressen oft wechseln.
Aktualisieren DNS aufnehmen, doppelklicken Sie darauf und schreiben Sie Ihre Änderungen. Um den Datensatz zu löschen, klicken Sie mit der rechten Maustaste auf das aufzeichnen und wähle löschen aus dem Menü.
Auf die gleiche Weise können Sie andere Arten von hinzufügen DNS Datensätze für Ihre Domain, z. B. CNAME (auch bekannt als DNS-Alias aufzeichnen) MX Datensätze (sehr nützlich für Mailserver) oder andere Arten von Datensätzen (SPF, TXT, SRV etc).
Standardmäßig, Samba4-Anzeigen-DC fügt nicht automatisch eine Reverse-Lookupzone und PTR-Einträge für Ihre Domäne hinzu, da diese Arten von Einträgen für die ordnungsgemäße Funktion eines Domänencontrollers nicht entscheidend sind.
Stattdessen sind eine DNS-Reverse-Zone und ihre PTR-Einträge entscheidend für die Funktionalität einiger wichtiger Netzwerkdienste. wie ein E-Mail-Dienst, da diese Art von Aufzeichnungen verwendet werden können, um die Identität von Kunden zu überprüfen, die eine Anfrage stellen Service.
Praktisch sind PTR-Einträge genau das Gegenteil von Standard-DNS-Einträgen. Die Clients kennen die IP-Adresse einer Ressource und fragen den DNS-Server nach ihrem registrierten DNS-Namen.
4. Um eine Reverse-Lookup-Zone zu erstellen für Samba AD DC, offen DNS-Manager, Rechtsklick auf Reverse-Lookup-Zone aus der linken Ebene und wählen Sie Neue Zone aus dem Menü.
5. Als nächstes drücke Nächste Knopf und wählen Sie Primär Zone von Zonentyp-Assistent.
6. Wählen Sie als Nächstes An alle DNS Server, die auf Domänencontrollern in dieser Domäne ausgeführt werden, vom AD-Zonen-Replikationsbereich, wählte IPv4-Reverse-Lookup-Zone und schlagen Nächste weitermachen.
7. Geben Sie als Nächstes die IP-Netzwerkadresse für Ihr LAN In Netzwerk ID abgelegt und getroffen Nächste weitermachen.
Alle PTR Datensätze, die in dieser Zone für Ihre Ressourcen hinzugefügt wurden, verweisen nur auf 192.168.1.0/24 Netzwerkanteil. Wenn Sie einen PTR-Eintrag für einen Server erstellen möchten, der sich nicht in diesem Netzwerksegment befindet (z 10.0.0.0/24 Netzwerk), müssen Sie auch für dieses Netzwerksegment eine neue Reverse-Lookup-Zone erstellen.
8. Wählen Sie auf dem nächsten Bildschirm zu Erlauben nur dynamische Updates sichern, weiter klicken, um fortzufahren und schließlich auf Fertig um die Zonenerstellung abzuschließen.
9. Zu diesem Zeitpunkt haben Sie eine gültige DNS-Reverse-Lookupzone für Ihre Domäne konfiguriert. Um a. hinzuzufügen PTR in dieser Zone aufnehmen, Rechtsklick rechts Flugzeug und wähle a. erstellen PTR Datensatz für eine Netzwerkressource.
In diesem Fall haben wir einen Zeiger für unser Gateway erstellt. Um zu testen, ob der Datensatz richtig hinzugefügt wurde und aus Sicht des Kunden wie erwartet funktioniert, öffnen Sie a Eingabeaufforderung und Ausgabe a nslookup Abfrage des Namens der Ressource und eine weitere Abfrage ihrer IP-Adresse.
Beide Abfragen sollten die richtige Antwort für Ihre DNS-Ressource zurückgeben.
nslookup gate.tecmint.lan. nslookup 192.168.1.1. Ping-Tor.
10. Ein wichtiger Aspekt eines Domänencontrollers ist seine Fähigkeit, Systemressourcen und Sicherheit von einem einzigen zentralen Punkt aus zu steuern. Diese Aufgaben lassen sich in einem Domänencontroller einfach mit Hilfe von Domänengruppenrichtlinie.
Leider ist die einzige Möglichkeit, Gruppenrichtlinien in einem Samba-Domänencontroller zu bearbeiten oder zu verwalten, durch RSAT-GPM Konsole von Microsoft bereitgestellt.
Im folgenden Beispiel sehen wir, wie einfach es sein kann, Gruppenrichtlinien für unsere Samba-Domain zu manipulieren, um ein interaktives Logon-Banner für unsere Domain-Benutzer zu erstellen.
Um auf die Gruppenrichtlinienkonsole zuzugreifen, gehen Sie zu Schalttafel->System und Sicherheit->Verwaltungswerkzeuge und öffnen Gruppenrichtlinienverwaltung Konsole.
Erweitern Sie die Felder für Ihre Domain und klicken Sie mit der rechten Maustaste auf Standarddomänenrichtlinie. Wählen Bearbeiten aus dem Menü und ein neues Fenster sollte erscheinen.
11. Auf Gruppenrichtlinienverwaltungs-Editor Fenster gehe zu Computerkonfiguration->Richtlinien->Windows-Einstellungen->Sicherheitseinstellungen->Lokale Richtlinien -> Sicherheitsoptionen und eine neue Optionsliste sollte in der rechten Ebene erscheinen.
Suchen und bearbeiten Sie in der rechten Ebene mit Ihren benutzerdefinierten Einstellungen die folgenden zwei Einträge, die auf dem folgenden Screenshot dargestellt sind.
12. Nachdem Sie die Bearbeitung der beiden Einträge abgeschlossen haben, schließen Sie alle Fenster, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten und erzwingen Sie die Anwendung der Gruppenrichtlinie auf Ihrem Computer, indem Sie den folgenden Befehl ausführen:
gpupdate /force.
13. Starten Sie schließlich Ihren Computer neu und Sie sehen das Anmeldebanner in Aktion, wenn Sie versuchen, sich anzumelden.
Das ist alles! Gruppenrichtlinie ist ein sehr komplexes und sensibles Thema und sollte von Systemadministratoren mit größter Sorgfalt behandelt werden. Beachten Sie auch, dass Gruppenrichtlinieneinstellungen in keiner Weise auf Linux-Systeme angewendet werden, die in den Bereich integriert sind.