Samba 系列（四）：在 Windows 下管理 Samba4 AD 域管制器 DNS 和組策略

要求

1、 在 Ubuntu 16.04 系統上使用 Samba4 軟體來創建活動目錄架構（一）

2、 在 Linux 命令行下管理 Samba4 AD 架構（二）

3、 使用 Windows 10 的 RSAT 工具來管理 Samba4 活動目錄架構 （三）

第 1 步：管理 Samba DNS 伺服器

Samba4 AD DC 使用內部的 DNS 解析器模塊，該模塊在初始化域提供的過程中創建（如果 BIND9 DLZ 模塊未指定使用的情況下）。

Samba4 內部的 DNS 模塊支持 AD 域控制器所必須的基本功能。有兩種方式來管理域 DNS 伺服器，直接在命令行下通過 samba-tool 介面來管理，或者使用已加入域的微軟工作站中的 RSAT DNS 管理器遠程進行管理。

在這篇文章中，我們使用第二種方式來進行管理，因為這種方式很直觀，也不容易出錯。

1、要使用 RSAT 工具來管理域控制器上的 DNS 伺服器，在 Windows 機器上，打開控制面板 -> 系統和安全 -> 管理工具，然後運行 DNS 管理器工具。

當打開這個工具時，它會詢問你將要連接到哪台正在運行的 DNS 伺服器。選擇「使用下面的計算機」，輸入域名（IP 地址或 FQDN 地址都可以使用），勾選「現在連接到指定計算機」，然後單擊 OK 按鈕以開啟 Samba DNS 服務。

在 Windows 系統上連接 Samba4 DNS 伺服器

2、為了添加一條 DNS 記錄（比如我們添加一條指向 LAN 網關的 A 記錄），打開 DNS 管理器，找到域正向查找區，在右側單擊右鍵選擇新的主機（A 或 AAAA）。

在 Windows 下添加一條 DNS 記錄

3、在打開的新主機窗口界面，輸入 DNS 伺服器的主機名和 IP 地址。 DNS 管理器工具會自動填寫完成 FQDN 地址。填寫完成後，點擊「添加主機」按鈕，之後會彈出一個新的窗口提示你 DNS A 記錄已經創建完成。

確保僅為你的網路中已配置靜態 IP的資源（設備）添加 DNS A 記錄。不要為那些從 DHCP 伺服器自動獲取 IP 地址或者經常變換 IP 地址的主機添加 DNS A 記錄。

在 Windows 系統下配置 Samba 主機

要更新一條 DNS 記錄只需要雙擊那條記錄，然後輸入更改即可。要刪除一條記錄時，只需要在這條記錄上單擊右鍵，選擇從菜單刪除即可。

同樣的方式，你也可以為你的域添加其它類型的 DNS 記錄，比如說 CNAME 記錄（也稱為 DNS 別名記錄），MX 記錄（在郵件伺服器上非常有用）或者其它類型的記錄（SPE、TXT、SRV 等類型）。

第 2 步：創建反向查找區域

默認情況下，Samba4 AD DC 不會自動為你的域添加一個反向查找區域和 PTR 記錄，因為這些類型的記錄對於域控制器的正常工作來說是無關緊要的。

相反，DNS 反向區和 PTR 記錄在一些重要的網路服務中顯得非常有用，比如郵件服務，因為這些類型的記錄可以用於驗證客戶端請求服務的身份。

實際上， PTR 記錄的功能與標準的 DNS 記錄功能相反。客戶端知道資源的 IP 地址，然後去查詢 DNS 伺服器來識別出已註冊的 DNS 名字。

4、要創建 Samba AD DC 的反向查找區域，打開 DNS 管理器，在左側反向查找區域目錄上單擊右鍵，然後選擇菜單中的新區域。

創建 DNS 反向查找區域

5、下一步，單擊下一步按鈕，然後從區域類型嚮導中選擇主區域（Primary）。

選擇 DNS 區域類型

6、下一步，在 「AD 區域複製範圍」中選擇複製到該域里運行在域控制器上的所有的 DNS 伺服器，選擇 「IPv4 反向查找區域」然後單擊下一步繼續。

為 Samba 域控制器選擇 DNS 伺服器

添加反向查找區域名

7、下一步，在網路ID 框中輸入你的 LAN IP 地址，然後單擊下一步繼續。

在這個區域內添加的所有資源（設備）的 PTR 記錄僅能指向 192.168.1.0/24 網路段。如果你想要為一個不在該網段中的伺服器創建一個 PTR 記錄（比如郵件伺服器位於 10.0.0.0/24 這個網段的時候），那麼你還得為那個網段創建一個新的反向查找區域。

添加 DNS 反向查找區域的 IP 地址

8、在下一個截圖中選擇「僅允許安全的動態更新」，單擊下一步繼續，最後單擊完成按鈕以完成反向查找區域的創建。

啟用安全動態更新

新 DNS 區域概覽

9、此時，你已經為你的域環境創建完成了一個有效的 DNS 反向查找區域。為了在這個區域中添加一個 PTR 記錄，在右側右鍵單擊，選擇為網路資源創建一個 PTR 記錄。

這個時候，我們已經為網關創建了一個指向。為了測試這條記錄對於客戶端是否添加正確和工作正常，打開命令行提示符執行 nslookup 查詢資源名，再執行另外一條命令查詢 IP 地址。

兩個查詢都應該為你的 DNS 資源返回正確的結果。

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

添加及查詢 PTR 記錄

第 3 步：管理域控制策略

10、域控制器最重要的作用就是集中控制系統資源及安全。使用域控制器的域組策略功能很容易實現這些類型的任務。

遺憾的是，在 Samba 域控制器上唯一用來編輯或管理組策略的方法是通過微軟的 RSAT GPM 工具。

在下面的實例中，我們將看到通過組策略來實現在 Samba 域環境中為域用戶創建一種互動式的登錄提示是多麼的簡單。

要訪問組策略控制台，打開控制面板 -> 系統和安全 -> 管理工具，然後打開組策略管理控制台。

展開你的域下面的目錄，在默認組策略上右鍵，選擇菜單中的編輯，將出現一個新的窗口。

管理 Samba 域組策略

11、在組策略管理編輯器窗口中，進入到計算機配置 -> 組策略 -> Windows 設置 -> 安全設置 -> 本地策略 -> 安全選項，你將在右側看到一個新的選項列表。

在右側查詢並編輯你的定製化設置，參考下圖中的兩條設置內容。

配置 Samba 域組策略

12、這兩個條目編輯完成後，關閉所有窗口，打開 CMD 窗口，執行以下命令來強制應用組策略。

gpupdate /force

更新 Samba 域組策略

13、最後，重啟你的電腦，當你準備登錄進入系統的時候，你就會看到登錄提示生效了。

Samba4 AD 域控制器登錄提示

就寫到這裡吧！組策略是一個操作起來很繁瑣和很謹慎的主題，在管理系統的過程中你得非常的小心。還有，注意你設置的組策略不會以任何方式應用到已加入域的 Linux 系統中。

作者簡介：我是一個電腦迷，開源軟體及 Linux 系統愛好者，有近4年的 Linux 桌面和伺服器系統及 bash 編程經驗。

via: http://www.tecmint.com/manage-samba4-dns-group-policy-from-windows/

作者：Matei Cezar 譯者：rusking 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive