<a target="_blank"></a>
samba4 ad dc 使用内部的 dns 解析器子產品,該子產品在初始化域提供的過程中建立(如果 bind9 dlz 子產品未指定使用的情況下)。
samba4 内部的 dns 子產品支援 ad 域控制器所必須的基本功能。有兩種方式來管理域 dns 伺服器,直接在指令行下通過 samba-tool 接口來管理,或者使用已加入域的微軟工作站中的 rsat dns 管理器遠端進行管理。
在這篇文章中,我們使用第二種方式來進行管理,因為這種方式很直覺,也不容易出錯。
1、要使用 rsat 工具來管理域控制器上的 dns 伺服器,在 windows 機器上,打開控制台 -> 系統和安全 -> 管理工具,然後運作 dns 管理器工具。
當打開這個工具時,它會詢問你将要連接配接到哪台正在運作的 dns 伺服器。選擇“使用下面的計算機”,輸入域名(ip 位址或 fqdn 位址都可以使用),勾選“現在連接配接到指定計算機”,然後單擊 ok 按鈕以開啟 samba dns 服務。
在 windows 系統上連接配接 samba4 dns 伺服器
2、為了添加一條 dns 記錄(比如我們添加一條指向 lan 網關的 a 記錄),打開 dns 管理器,找到域正向查找區,在右側單擊右鍵選擇新的主機(a 或 aaaa)。
在 windows 下添加一條 dns 記錄
3、在打開的新主機視窗界面,輸入 dns 伺服器的主機名和 ip 位址。 dns 管理器工具會自動填寫完成 fqdn 位址。填寫完成後,點選“添加主機”按鈕,之後會彈出一個新的視窗提示你 dns a 記錄已經建立完成。
在 windows 系統下配置 samba 主機
要更新一條 dns 記錄隻需要輕按兩下那條記錄,然後輸入更改即可。要删除一條記錄時,隻需要在這條記錄上單擊右鍵,選擇從菜單删除即可。
同樣的方式,你也可以為你的域添加其它類型的 dns 記錄,比如說 cname 記錄(也稱為 dns 别名記錄),mx 記錄(在郵件伺服器上非常有用)或者其它類型的記錄(spe、txt、srv 等類型)。
預設情況下,samba4 ad dc 不會自動為你的域添加一個反向查找區域和 ptr 記錄,因為這些類型的記錄對于域控制器的正常工作來說是無關緊要的。
相反,dns 反向區和 ptr 記錄在一些重要的網絡服務中顯得非常有用,比如郵件服務,因為這些類型的記錄可以用于驗證用戶端請求服務的身份。
實際上, ptr 記錄的功能與标準的 dns 記錄功能相反。用戶端知道資源的 ip 位址,然後去查詢 dns 伺服器來識别出已注冊的 dns 名字。
4、要建立 samba ad dc 的反向查找區域,打開 dns 管理器,在左側反向查找區域目錄上單擊右鍵,然後選擇菜單中的新區域。
建立 dns 反向查找區域
5、下一步,單擊下一步按鈕,然後從區域類型向導中選擇主區域(primary)。
選擇 dns 區域類型
6、下一步,在 “ad 區域複制範圍”中選擇複制到該域裡運作在域控制器上的所有的 dns 伺服器,選擇 “ipv4 反向查找區域”然後單擊下一步繼續。
為 samba 域控制器選擇 dns 伺服器
添加反向查找區域名
7、下一步,在網絡id 框中輸入你的 lan ip 位址,然後單擊下一步繼續。
在這個區域内添加的所有資源(裝置)的 ptr 記錄僅能指向 192.168.1.0/24 網絡段。如果你想要為一個不在該網段中的伺服器建立一個 ptr 記錄(比如郵件伺服器位于 10.0.0.0/24 這個網段的時候),那麼你還得為那個網段建立一個新的反向查找區域。
添加 dns 反向查找區域的 ip 位址
8、在下一個截圖中選擇“僅允許安全的動态更新”,單擊下一步繼續,最後單擊完成按鈕以完成反向查找區域的建立。
啟用安全動态更新
新 dns 區域概覽
9、此時,你已經為你的域環境建立完成了一個有效的 dns 反向查找區域。為了在這個區域中添加一個 ptr 記錄,在右側右鍵單擊,選擇為網絡資源建立一個 ptr 記錄。
這個時候,我們已經為網關建立了一個指向。為了測試這條記錄對于用戶端是否添加正确和工作正常,打開指令行提示符執行 <code>nslookup</code> 查詢資源名,再執行另外一條指令查詢 ip 位址。
兩個查詢都應該為你的 dns 資源傳回正确的結果。
<code>nslookup gate.tecmint.lan</code>
<code>nslookup 192.168.1.1</code>
<code>ping gate</code>
添加及查詢 ptr 記錄
10、域控制器最重要的作用就是集中控制系統資源及安全。使用域控制器的域組政策功能很容易實作這些類型的任務。
遺憾的是,在 samba 域控制器上唯一用來編輯或管理組政策的方法是通過微軟的 rsat gpm 工具。
在下面的執行個體中,我們将看到通過組政策來實作在 samba 域環境中為域使用者建立一種互動式的登入提示是多麼的簡單。
要通路組政策控制台,打開控制台 -> 系統和安全 -> 管理工具,然後打開組政策管理控制台。
展開你的域下面的目錄,在預設組政策上右鍵,選擇菜單中的編輯,将出現一個新的視窗。
管理 samba 域組政策
11、在組政策管理編輯器視窗中,進入到計算機配置 -> 組政策 -> windows 設定 -> 安全設定 -> 本地政策 -> 安全選項,你将在右側看到一個新的選項清單。
在右側查詢并編輯你的定制化設定,參考下圖中的兩條設定内容。
配置 samba 域組政策
12、這兩個條目編輯完成後,關閉所有視窗,打開 cmd 視窗,執行以下指令來強制應用組政策。
<code>gpupdate /force</code>
更新 samba 域組政策
13、最後,重新開機你的電腦,當你準備登入進入系統的時候,你就會看到登入提示生效了。
samba4 ad 域控制器登入提示
就寫到這裡吧!組政策是一個操作起來很繁瑣和很謹慎的主題,在管理系統的過程中你得非常的小心。還有,注意你設定的組政策不會以任何方式應用到已加入域的 linux 系統中。
原文釋出時間為:2017-03-02
本文來自雲栖社群合作夥伴“linux中國”