本篇我们将学习如何使用MicrosoftDNSManager远程管理我们SambaAD域控的DNS服务器,如何创建DNS记录,如何创建反向查找区域以及如何通过组策略管理工具创建域策略。第1步:管理SambaDNS服务器Samba4ADDC使用在初始域配置期间创建的内部DNS解析器模块(如果未指定使用BIND9DLZ模块)。Samba4内部的DNS模块支持AD域控制器所必需的基本功能。有两种方法可以管理域DNS服务器,直接在命令行通过samba工具界面,或在已加入域的Microsoft工作站上远程使用RSATDNS管理器。在本文中,我们采用第二种方法进行管理,因为这种方法比较直观,不易出错。1.要使用RSAT工具管理域控制器上的DNS服务器,在Windows机器上,打开控制面板->系统和安全->管理工具,然后运行DNS管理器工具。当您打开该工具时,它会询问您要连接到哪个正在运行的DNS服务器。选择“使用以下计算机”,输入域名(可以使用IP地址或FQDN地址),勾选“立即连接到指定的计算机”,点击确定按钮,启动SambaDNS服务。连接到Windows系统上的Samba4DNS服务器2.为了添加一条DNS记录(比如我们添加一条指向局域网网关的A记录),打开DNS管理器,找到该域的正向查找区,右击选择新主机(A或AAAA)。Windows下添加DNS记录3、在打开的新主机窗口界面,输入DNS服务器的主机名和IP地址。DNS管理器工具将自动完成FQDN地址。填写完成后,点击“添加主机”按钮,会弹出一个新的窗口,提示DNSA记录已经创建。确保仅为网络中配置了静态IP的资源(设备)添加DNSA记录。不要为自动从DHCP服务器获取IP地址或频繁更改IP地址的主机添加DNSA记录。要在Windows下配置Samba主机,更新DNS记录,只需双击该记录并输入Changes。当你想删除一条记录时,只需要在这条记录上单击鼠标右键,然后从菜单中选择“删除”即可。同样,你也可以为你的域添加其他类型的DNS记录,比如CNAME记录(也称为DNS别名记录)、MX记录(在邮件服务器上很有用)或其他类型的记录(SPE、TXT、SRV等)。第2步:创建反向查找区域默认情况下,Samba4ADDC不会自动为您的域添加反向查找区域和PTR记录,因为这些类型的记录与域控制器的正常运行无关。相比之下,DNS反向区域和PTR记录在一些重要的网络服务中非常有用,例如邮件服务,因为这些类型的记录可以用来验证请求服务的客户端的身份。实际上,PTR记录的功能与标准DNS记录相反。客户端知道资源的IP地址,然后查询DNS服务器以识别注册的DNS名称。4.要为SambaADDC创建反向查找区域,打开DNS管理器,右键单击左侧的反向查找区域目录,然后从菜单中选择新建区域。创建DNS反向查找区域5.接下来,单击下一步按钮并从区域类型向导中选择主要。选择DNS区域类型6、接下来在“AD区域复制范围”中,选择复制到本域内域控制器上运行的所有DNS服务器,选择“IPv4反向查找区域”,点击下一步继续。为Samba域控制器选择DNS服务器添加反向查找区域名称7.接下来,在网络ID框中输入您的LANIP地址,然后单击下一步继续。所有在该区域添加的资源(设备)的PTR记录只能指向192.168.1.0/24网段。如果你想为不在该网段的服务器创建PTR记录(比如当邮件服务器在10.0.0.0/24网段时),那么你必须为该网络创建一个新的反向查找区域部分。添加DNS反向查找区域的IP地址8.在下一个截图中选择“Onlyallowsecuredynamicupdates”,点击Next继续,***点击Finish按钮完成反向查找区域的创建。启用安全动态更新新DNS区域概述9.此时,您已经为您的域环境创建了一个有效的DNS反向查找区域。要将PTR记录添加到此区域,请右键单击右侧并选择为Web资源创建PTR记录。至此,我们已经创建了一个指向网关的指针。为了测试这条记录在客户端是否添加正确并正常工作,打开命令行提示符执行nslookup查询资源名称,再执行一条命令查询IP地址。这两个查询都应该为您的DNS资源返回正确的结果。nslookupgate.tecmint.lannslookup192.168.1.1pinggate添加和查询PTR记录第三步:管理域控制策略10.域控制器最重要的作用是集中控制系统资源和安全。使用域控制器的域组策略功能可以轻松完成这些类型的任务。遗憾的是,在Samba域控制器上编辑或管理组策略的唯一方法是通过Microsoft的RSATGPM工具。在下面的示例中,我们将看到通过组策略为Samba域环境中的域用户创建交互式登录提示是多么容易。要访问组策略控制台,请打开控制面板->系统和安全->管理工具,然后打开组策略管理控制台。展开您域下的目录,右键单击默认组策略,从菜单中选择编辑,将出现一个新窗口。管理Samba域组策略11.在组策略管理编辑器窗口中,转到计算机配置->组策略->Windows设置->安全设置->本地策略->安全选项,您将看到一个新的选项列表。在右侧查询和编辑您的自定义设置,参考下图中的两个设置。配置Samba域组策略12、编辑好这两个条目后,关闭所有窗口,打开CMD窗口,执行以下命令强制应用组策略。gpupdate/forceupdateSamba域组策略13、***,重启电脑,当你准备登录系统时,会看到登录提示生效。这里写Samba4AD域控登录提示!组策略是一个操作起来非常繁琐和谨慎的课题,在管理系统的过程中必须非常小心。另请注意,您设置的组策略不会以任何方式应用于加入域的Linux系统。
