Verwalten Sie die DNS- und Gruppenrichtlinien des Samba4 AD-Domänencontrollers unter Windows – Teil 4

In Fortsetzung des vorherigen Tutorials zur Verwaltung von Samba4 unter Windows 10 über RSAT erfahren Sie in diesem Teil, wie Sie den DNS-Server unseres Samba AD-Domänencontrollers über den Microsoft DNS Manager aus der Ferne verwalten, wie Sie DNS-Einträge erstellen und wie Sie einen Reverse Lookup erstellen Zone und wie man eine Domänenrichtlinie über das Gruppenrichtlinienverwaltungstool erstellt.

Anforderungen

1. Erstellen Sie eine AD-Infrastruktur mit Samba4 unter Ubuntu 16.04 – Teil 1
2. Verwalten Sie die Samba4 AD-Infrastruktur über die Linux-Befehlszeile – Teil 2
3. Verwalten Sie die Samba4 Active Directory-Infrastruktur von Windows 10 über RSAT – Teil 3

Schritt 1: Samba-DNS-Server verwalten

Samba4 AD DC verwendet ein internes DNS-Resolver-Modul, das während der ersten Domänenbereitstellung erstellt wird (sofern das BIND9 DLZ-Modul nicht speziell verwendet wird).

Das Samba4 interne DNS-Modul unterstützt die grundlegenden Funktionen, die für einen AD Domain Controller erforderlich sind. Der Domänen-DNS-Server kann auf zwei Arten verwaltet werden: direkt über die Befehlszeile über die Samba-Tool-Schnittstelle oder remote von einer Microsoft-Workstation, die Teil der Domäne ist, über RSAT DNS Manager.

Hier behandeln wir die zweite Methode, da sie intuitiver und weniger fehleranfällig ist.

1. Um den DNS-Dienst für Ihren Domänencontroller über RSAT zu verwalten, gehen Sie zu Ihrem Windows-Computer und öffnen Sie die Systemsteuerung ->< System und Sicherheit -> Verwaltungstools und führen Sie das Dienstprogramm DNS-Manager aus.

Sobald das Tool geöffnet ist, werden Sie gefragt, mit welchem DNS-Server Sie eine Verbindung herstellen möchten. Wählen Sie „Der folgende Computer“, geben Sie Ihren Domänennamen in das Feld ein (oder IP-Adresse oder FQDN können ebenfalls verwendet werden) und aktivieren Sie das Kontrollkästchen sagt „Jetzt mit dem angegebenen Computer verbinden“ und klicke auf OK, um deinen Samba DNS-Dienst zu öffnen.

2. Um einen DNS-Eintrag hinzuzufügen (als Beispiel fügen wir einen A-Eintrag hinzu, der auf unser LAN-Gateway verweist), navigieren Sie zu Domain Forward Lookup Zone, klicken Sie mit der rechten Maustaste auf die rechte Ebene und wählen Sie Neuer Host (A oder AAA).

3. Geben Sie im Fenster „Neuer Host geöffnet“ den Namen und die IP-Adresse Ihrer DNS-Ressource ein. Der FQDN wird vom DNS-Dienstprogramm automatisch für Sie geschrieben. Wenn Sie fertig sind, klicken Sie auf die Schaltfläche Host hinzufügen. Ein Popup-Fenster informiert Sie darüber, dass Ihr DNS A-Eintrag erfolgreich erstellt wurde.

Stellen Sie sicher, dass Sie DNS A-Einträge nur für die Ressourcen in Ihrem Netzwerk hinzufügen, die mit statischen IP-Adressen konfiguriert sind. Fügen Sie keine DNS A-Einträge für Hosts hinzu, die so konfiguriert sind, dass sie Netzwerkkonfigurationen von einem DHCP-Server beziehen, da sich sonst ihre IP-Adressen häufig ändern.

Um einen DNS-Eintrag zu aktualisieren, doppelklicken Sie einfach darauf und schreiben Sie Ihre Änderungen. Um den Datensatz zu löschen, klicken Sie mit der rechten Maustaste auf den Datensatz und wählen Sie im Menü Löschen.

Auf die gleiche Weise können Sie andere Arten von DNS-Einträgen für Ihre Domain hinzufügen, z. B. CNAME (auch bekannt als DNS-Alias-Eintrag) MX-Einträge (sehr nützlich für Mailserver) oder andere Arten von Einträgen (SPF, TXT, SRV usw.).

Schritt 2: Erstellen Sie eine Reverse Lookup Zone

Standardmäßig fügt Samba4 Ad DC nicht automatisch eine Reverse-Lookup-Zone und PTR-Einträge für Ihre Domain hinzu, da diese Arten von Datensätzen für die ordnungsgemäße Funktion eines Domain-Controllers nicht entscheidend sind.

Stattdessen sind eine DNS-Reverse-Zone und ihre PTR-Einträge für die Funktionalität einiger wichtiger Netzwerkdienste, beispielsweise eines E-Mail-Dienstes, von entscheidender Bedeutung, da diese Art von Einträgen zur Überprüfung der Identität von Clients verwendet werden können, die einen Dienst anfordern.

Praktisch gesehen sind PTR-Einträge genau das Gegenteil von Standard-DNS-Einträgen. Die Clients kennen die IP-Adresse einer Ressource und fragen den DNS-Server nach ihrem registrierten DNS-Namen.

4. Um eine Reverse-Lookup-Zone für Samba AD DC zu erstellen, öffnen Sie den DNS-Manager und klicken Sie mit der rechten Maustaste auf Reverse-Lookup-Zone aus der linken Ebene und wählen Sie Neue Zone aus dem Menü.

5. Klicken Sie anschließend auf die Schaltfläche Weiter und wählen Sie im Zonentyp-Assistenten die Zone Primär aus.

6. Als nächstes wählen Sie „An alle DNS-Server, die auf Domänencontrollern in dieser Domäne aus dem AD-Zonen-Replikationsbereich ausgeführt werden, und wählen Sie IPv4 Reverse“. Suchzone und klicken Sie auf Weiter, um fortzufahren.

7. Geben Sie als Nächstes die IP-Netzwerkadresse für Ihr LAN in das Feld Netzwerk-ID ein und klicken Sie auf Weiter, um fortzufahren.

Alle in dieser Zone für Ihre Ressourcen hinzugefügten PTR-Einträge verweisen nur auf den Netzwerkteil 192.168.1.0/24. Wenn Sie einen PTR-Eintrag für einen Server erstellen möchten, der sich nicht in diesem Netzwerksegment befindet (z. B. einen Mailserver, der sich im Netzwerk 10.0.0.0/24 befindet), müssen Sie einen PTR-Eintrag erstellen eine neue Reverse-Lookup-Zone auch für dieses Netzwerksegment.

8. Wählen Sie im nächsten Bildschirm die Option Nur sichere dynamische Updates zulassen, klicken Sie auf „Weiter“, um fortzufahren, und klicken Sie schließlich auf „Fertig stellen“, um die Zonenerstellung abzuschließen.

9. Zu diesem Zeitpunkt haben Sie eine gültige DNS-Reverse-Lookup-Zone für Ihre Domain konfiguriert. Um einen PTR-Eintrag in dieser Zone hinzuzufügen, klicken Sie mit der rechten Maustaste auf die rechte Ebene und wählen Sie die Option zum Erstellen eines PTR-Eintrags für eine Netzwerkressource.

In diesem Fall haben wir einen Zeiger für unser Gateway erstellt. Um zu testen, ob der Datensatz ordnungsgemäß hinzugefügt wurde und aus Sicht des Kunden wie erwartet funktioniert, öffnen Sie eine Eingabeaufforderung und führen Sie eine nslookup-Abfrage für den Namen der Ressource aus eine weitere Abfrage nach seiner IP-Adresse.

Beide Abfragen sollten die richtige Antwort für Ihre DNS-Ressource zurückgeben.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Schritt 3: Domänengruppenrichtlinienverwaltung

10. Ein wichtiger Aspekt eines Domänencontrollers ist seine Fähigkeit, Systemressourcen und Sicherheit von einem einzigen zentralen Punkt aus zu steuern. Diese Art von Aufgabe kann in einem Domänencontroller mithilfe der Domänengruppenrichtlinie problemlos gelöst werden.

Leider ist die einzige Möglichkeit, Gruppenrichtlinien in einem Samba-Domänencontroller zu bearbeiten oder zu verwalten, die von Microsoft bereitgestellte RSAT GPM-Konsole.

Im folgenden Beispiel sehen wir, wie einfach es sein kann, Gruppenrichtlinien für unsere Samba-Domäne zu manipulieren, um ein interaktives Anmeldebanner für unsere Domänenbenutzer zu erstellen.

Um auf die Gruppenrichtlinienkonsole zuzugreifen, gehen Sie zu Systemsteuerung -> System und Sicherheit -> Verwaltungstools und öffnen Sie die Gruppenrichtlinienverwaltung-Konsole.

Erweitern Sie die Felder für Ihre Domain und klicken Sie mit der rechten Maustaste auf Standard-Domainrichtlinie. Wählen Sie Bearbeiten aus dem Menü und ein neues Fenster sollte erscheinen.

11. Gehen Sie im Fenster Gruppenrichtlinienverwaltung zu Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen und eine neue Optionsliste sollten auf der rechten Ebene erscheinen.

Suchen und bearbeiten Sie in der rechten Ebene mit Ihren benutzerdefinierten Einstellungen die beiden Einträge, die im folgenden Screenshot dargestellt sind.

12. Schließen Sie nach Abschluss der Bearbeitung der beiden Einträge alle Fenster, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten und erzwingen Sie die Anwendung der Gruppenrichtlinie auf Ihrem Computer, indem Sie den folgenden Befehl ausführen:

gpupdate /force

13. Starten Sie abschließend Ihren Computer neu und Sie sehen das Anmeldebanner in Aktion, wenn Sie versuchen, sich anzumelden.

Das ist alles! Gruppenrichtlinien sind ein sehr komplexes und sensibles Thema und sollten von Systemadministratoren mit größter Sorgfalt behandelt werden. Beachten Sie außerdem, dass Gruppenrichtlinieneinstellungen in keiner Weise für in den Bereich integrierte Linux-Systeme gelten.