這篇文章中我們將學(xué)習(xí)如何使用微軟 DNS 管理器遠(yuǎn)程管理我們的 Samba AD 域控制器的 DNS 服務(wù)器，如何創(chuàng)建 DNS 記錄，如何創(chuàng)建反向查找區(qū)域以及如何通過(guò)組策略管理工具來(lái)創(chuàng)建域策略。

第 1 步：管理 Samba DNS 服務(wù)器

Samba4 AD DC 使用內(nèi)部的 DNS 解析器模塊，該模塊在初始化域提供的過(guò)程中創(chuàng)建(如果 BIND9 DLZ 模塊未指定使用的情況下)。

Samba4 內(nèi)部的 DNS 模塊支持 AD 域控制器所必須的基本功能。有兩種方式來(lái)管理域 DNS 服務(wù)器，直接在命令行下通過(guò) samba-tool 接口來(lái)管理，或者使用已加入域的微軟工作站中的 RSAT DNS 管理器遠(yuǎn)程進(jìn)行管理。

在這篇文章中，我們使用第二種方式來(lái)進(jìn)行管理，因?yàn)檫@種方式很直觀，也不容易出錯(cuò)。

1、要使用 RSAT 工具來(lái)管理域控制器上的 DNS 服務(wù)器，在 Windows 機(jī)器上，打開(kāi)控制面板 -> 系統(tǒng)和安全 -> 管理工具，然后運(yùn)行 DNS 管理器工具。

當(dāng)打開(kāi)這個(gè)工具時(shí)，它會(huì)詢問(wèn)你將要連接到哪臺(tái)正在運(yùn)行的 DNS 服務(wù)器。選擇“使用下面的計(jì)算機(jī)”，輸入域名(IP 地址或 FQDN 地址都可以使用)，勾選“現(xiàn)在連接到指定計(jì)算機(jī)”，然后單擊 OK 按鈕以開(kāi)啟 Samba DNS 服務(wù)。

在 Windows 系統(tǒng)上連接 Samba4 DNS 服務(wù)器

2、為了添加一條 DNS 記錄(比如我們添加一條指向 LAN 網(wǎng)關(guān)的 A 記錄)，打開(kāi) DNS 管理器，找到域正向查找區(qū)，在右側(cè)單擊右鍵選擇新的主機(jī)(A 或 AAAA)。

在 Windows 下添加一條 DNS 記錄

3、在打開(kāi)的新主機(jī)窗口界面，輸入 DNS 服務(wù)器的主機(jī)名和 IP 地址。 DNS 管理器工具會(huì)自動(dòng)填寫(xiě)完成 FQDN 地址。填寫(xiě)完成后，點(diǎn)擊“添加主機(jī)”按鈕，之后會(huì)彈出一個(gè)新的窗口提示你 DNS A 記錄已經(jīng)創(chuàng)建完成。

確保僅為你的網(wǎng)絡(luò)中已配置靜態(tài) IP的資源(設(shè)備)添加 DNS A 記錄。不要為那些從 DHCP 服務(wù)器自動(dòng)獲取 IP 地址或者經(jīng)常變換 IP 地址的主機(jī)添加 DNS A 記錄。

在 Windows 系統(tǒng)下配置 Samba 主機(jī)

要更新一條 DNS 記錄只需要雙擊那條記錄，然后輸入更改即可。要?jiǎng)h除一條記錄時(shí)，只需要在這條記錄上單擊右鍵，選擇從菜單刪除即可。

同樣的方式，你也可以為你的域添加其它類(lèi)型的 DNS 記錄，比如說(shuō) CNAME 記錄(也稱為 DNS 別名記錄)，MX 記錄(在郵件服務(wù)器上非常有用)或者其它類(lèi)型的記錄(SPE、TXT、SRV 等類(lèi)型)。

第 2 步：創(chuàng)建反向查找區(qū)域

默認(rèn)情況下，Samba4 AD DC 不會(huì)自動(dòng)為你的域添加一個(gè)反向查找區(qū)域和 PTR 記錄，因?yàn)檫@些類(lèi)型的記錄對(duì)于域控制器的正常工作來(lái)說(shuō)是無(wú)關(guān)緊要的。

相反，DNS 反向區(qū)和 PTR 記錄在一些重要的網(wǎng)絡(luò)服務(wù)中顯得非常有用，比如郵件服務(wù)，因?yàn)檫@些類(lèi)型的記錄可以用于驗(yàn)證客戶端請(qǐng)求服務(wù)的身份。

實(shí)際上， PTR 記錄的功能與標(biāo)準(zhǔn)的 DNS 記錄功能相反。客戶端知道資源的 IP 地址，然后去查詢 DNS 服務(wù)器來(lái)識(shí)別出已注冊(cè)的 DNS 名字。

4、要?jiǎng)?chuàng)建 Samba AD DC 的反向查找區(qū)域，打開(kāi) DNS 管理器，在左側(cè)反向查找區(qū)域目錄上單擊右鍵，然后選擇菜單中的新區(qū)域。

創(chuàng)建 DNS 反向查找區(qū)域5、下一步，單擊下一步按鈕，然后從區(qū)域類(lèi)型向?qū)е羞x擇主區(qū)域(Primary)。

選擇 DNS 區(qū)域類(lèi)型

6、下一步，在 “AD 區(qū)域復(fù)制范圍”中選擇復(fù)制到該域里運(yùn)行在域控制器上的所有的 DNS 服務(wù)器，選擇 “IPv4 反向查找區(qū)域”然后單擊下一步繼續(xù)。

為 Samba 域控制器選擇 DNS 服務(wù)器

添加反向查找區(qū)域名

7、下一步，在網(wǎng)絡(luò)ID 框中輸入你的 LAN IP 地址，然后單擊下一步繼續(xù)。

在這個(gè)區(qū)域內(nèi)添加的所有資源(設(shè)備)的 PTR 記錄僅能指向 192.168.1.0/24 網(wǎng)絡(luò)段。如果你想要為一個(gè)不在該網(wǎng)段中的服務(wù)器創(chuàng)建一個(gè) PTR 記錄(比如郵件服務(wù)器位于 10.0.0.0/24 這個(gè)網(wǎng)段的時(shí)候)，那么你還得為那個(gè)網(wǎng)段創(chuàng)建一個(gè)新的反向查找區(qū)域。

添加 DNS 反向查找區(qū)域的 IP 地址

8、在下一個(gè)截圖中選擇“僅允許安全的動(dòng)態(tài)更新”，單擊下一步繼續(xù)，***單擊完成按鈕以完成反向查找區(qū)域的創(chuàng)建。

啟用安全動(dòng)態(tài)更新

新 DNS 區(qū)域概覽

9、此時(shí)，你已經(jīng)為你的域環(huán)境創(chuàng)建完成了一個(gè)有效的 DNS 反向查找區(qū)域。為了在這個(gè)區(qū)域中添加一個(gè) PTR 記錄，在右側(cè)右鍵單擊，選擇為網(wǎng)絡(luò)資源創(chuàng)建一個(gè) PTR 記錄。

這個(gè)時(shí)候，我們已經(jīng)為網(wǎng)關(guān)創(chuàng)建了一個(gè)指向。為了測(cè)試這條記錄對(duì)于客戶端是否添加正確和工作正常，打開(kāi)命令行提示符執(zhí)行 nslookup 查詢資源名，再執(zhí)行另外一條命令查詢 IP 地址。

兩個(gè)查詢都應(yīng)該為你的 DNS 資源返回正確的結(jié)果。

nslookup gate.tecmint.lan 
nslookup 192.168.1.1 
ping gate 

添加及查詢 PTR 記錄

第 3 步：管理域控制策略

10、域控制器最重要的作用就是集中控制系統(tǒng)資源及安全。使用域控制器的域組策略功能很容易實(shí)現(xiàn)這些類(lèi)型的任務(wù)。

遺憾的是，在 Samba 域控制器上唯一用來(lái)編輯或管理組策略的方法是通過(guò)微軟的 RSAT GPM 工具。

在下面的實(shí)例中，我們將看到通過(guò)組策略來(lái)實(shí)現(xiàn)在 Samba 域環(huán)境中為域用戶創(chuàng)建一種交互式的登錄提示是多么的簡(jiǎn)單。

要訪問(wèn)組策略控制臺(tái)，打開(kāi)控制面板 -> 系統(tǒng)和安全 -> 管理工具，然后打開(kāi)組策略管理控制臺(tái)。

展開(kāi)你的域下面的目錄，在默認(rèn)組策略上右鍵，選擇菜單中的編輯，將出現(xiàn)一個(gè)新的窗口。

管理 Samba 域組策略

11、在組策略管理編輯器窗口中，進(jìn)入到計(jì)算機(jī)配置 -> 組策略 -> Windows 設(shè)置 -> 安全設(shè)置 -> 本地策略 -> 安全選項(xiàng)，你將在右側(cè)看到一個(gè)新的選項(xiàng)列表。

在右側(cè)查詢并編輯你的定制化設(shè)置，參考下圖中的兩條設(shè)置內(nèi)容。

配置 Samba 域組策略12、這兩個(gè)條目編輯完成后，關(guān)閉所有窗口，打開(kāi) CMD 窗口，執(zhí)行以下命令來(lái)強(qiáng)制應(yīng)用組策略。

gpupdate /force 

更新 Samba 域組策略

13、***，重啟你的電腦，當(dāng)你準(zhǔn)備登錄進(jìn)入系統(tǒng)的時(shí)候，你就會(huì)看到登錄提示生效了。

Samba4 AD 域控制器登錄提示

就寫(xiě)到這里吧!組策略是一個(gè)操作起來(lái)很繁瑣和很謹(jǐn)慎的主題，在管理系統(tǒng)的過(guò)程中你得非常的小心。還有，注意你設(shè)置的組策略不會(huì)以任何方式應(yīng)用到已加入域的 Linux 系統(tǒng)中。