Samba4 AD Etki Alanı Denetleyicisi DNS'sini ve Grup İlkesini Windows'tan Yönetme - Bölüm 4

Samba4'ün Windows 10'dan RSAT aracılığıyla nasıl yönetileceğine ilişkin önceki eğitime devam ederek, bu bölümde Samba AD Etki Alanı denetleyicisi DNS sunucumuzu Microsoft DNS Yöneticisi'nden uzaktan nasıl yöneteceğimizi, DNS kayıtlarının nasıl oluşturulacağını, Geriye Doğru Aramanın nasıl oluşturulacağını göreceğiz. Bölge ve Grup İlkesi Yönetimi aracı aracılığıyla etki alanı ilkesinin nasıl oluşturulacağı.

Gereksinimler

  1. Ubuntu 16.04'te Samba4 ile AD Altyapısı Oluşturun - Bölüm 1
  2. Samba4 AD Altyapısını Linux Komut Satırından Yönetme – Bölüm 2
  3. Samba4 Active Directory Altyapısını Windows10'dan RSAT aracılığıyla Yönetme - Bölüm 3

1. Adım: Samba DNS Sunucusunu Yönetin

Samba4 AD DC, ilk alan adı hazırlığı sırasında oluşturulan dahili bir DNS çözümleyici modülünü kullanır (eğer BIND9 DLZ modülü özel olarak kullanılmıyorsa).

Samba4 dahili DNS modülü, bir AD Etki Alanı Denetleyicisi için gereken temel özellikleri destekler. Etki alanı DNS sunucusu, samba aracı arayüzü aracılığıyla doğrudan komut satırından veya RSAT DNS Yöneticisi aracılığıyla etki alanının parçası olan bir Microsoft iş istasyonundan uzaktan olmak üzere iki şekilde yönetilebilir.

Burada ikinci yöntemi ele alacağız çünkü daha sezgiseldir ve hatalara pek yatkın değildir.

1. Etki alanı denetleyicinizin DNS hizmetini RSAT aracılığıyla yönetmek için Windows makinenize gidin, Denetim Masası'nı açın ->< Sistem ve Güvenlik -> Yönetim Araçları'na gidin ve DNS Yöneticisi yardımcı programını çalıştırın.

Araç açıldığında, hangi DNS çalıştıran sunucuya bağlanmak istediğinizi soracaktır. Aşağıdaki bilgisayarı seçin, alana alan adınızı yazın (veya IP Adresi veya FQDN de kullanılabilir), aşağıdaki kutuyu işaretleyin 'Belirtilen bilgisayara şimdi bağlanın' der ve Samba DNS hizmetinizi açmak için Tamam'a basın.

2. Bir DNS kaydı eklemek için (örnek olarak, LAN ağ geçidimizi işaret edecek bir A kaydı ekleyeceğiz), İleriye Doğru Arama alanına gidin Zone'da sağ düzleme sağ tıklayın ve Yeni Ana Bilgisayar'ı (A veya AAA) seçin.

3. Yeni ana bilgisayar açıldı penceresinde, DNS kaynağınızın adını ve IP Adresini yazın. FQDN, DNS yardımcı programı tarafından sizin için otomatik olarak yazılacaktır. Bitirdiğinizde, Ana Bilgisayar Ekle düğmesine basın; bir açılır pencere size DNS A kaydınızın başarıyla oluşturulduğunu bildirecektir.

DNS A kayıtlarını yalnızca ağınızdaki statik IP Adresleriyle yapılandırılmış kaynaklar için eklediğinizden emin olun. Ağ yapılandırmalarını bir DHCP sunucusundan alacak şekilde yapılandırılmış veya IP Adresleri sık sık değişen ana bilgisayarlar için DNS A kayıtlarını eklemeyin.

Bir DNS kaydını güncellemek için üzerine çift tıklayın ve değişikliklerinizi yazın. Kaydı silmek için kaydı sağ tıklayın ve menüden sil'i seçin.

Aynı şekilde, alanınız için CNAME (DNS takma adı kaydı olarak da bilinir) gibi diğer DNS kayıt türlerini de ekleyebilirsiniz. MX kayıtları (posta sunucuları için çok kullanışlıdır) veya diğer türdeki kayıtlar (SPF, TXT, SRV vb.).

Adım 2: Geriye Doğru Arama Bölgesi Oluşturun

Varsayılan olarak Samba4 Ad DC, alanınız için otomatik olarak geriye doğru arama bölgesi ve PTR kayıtları eklemez; çünkü bu tür kayıtlar, bir alan adı denetleyicisinin düzgün çalışması için çok önemli değildir.

Bunun yerine, bir DNS ters bölgesi ve onun PTR kayıtları, e-posta hizmeti gibi bazı önemli ağ hizmetlerinin işlevselliği açısından çok önemlidir; çünkü bu tür kayıtlar, bir hizmet talep eden istemcilerin kimliğini doğrulamak için kullanılabilir.

Pratik olarak PTR kayıtları standart DNS kayıtlarının tam tersidir. İstemciler bir kaynağın IP adresini bilir ve kayıtlı DNS adlarını bulmak için DNS sunucusunu sorgular.

4. Samba AD DC için geriye doğru arama bölgesi oluşturmak için DNS Yöneticisi'ni açın, Geriye Arama Bölgesi'ni sağ tıklayın simgesini tıklayın ve menüden Yeni Bölge'yi seçin.

5. Ardından, İleri düğmesine basın ve Bölge Türü Sihirbazı'ndan Birincil bölgeyi seçin.

6. Ardından, AD Bölge Çoğaltma Kapsamı'ndan Bu etki alanındaki etki alanı denetleyicilerinde çalışan tüm DNS sunucularına seçeneğini seçin ve IPv4 Tersine Çevir'i seçin. Arama Bölgesi'ni seçin ve devam etmek için İleri'ye basın.

7. Ardından Ağ Kimliği alanına LAN'ınızın IP ağ adresini yazın ve devam etmek için İleri'ye basın.

Kaynaklarınız için bu bölgeye eklenen tüm PTR kayıtları yalnızca 192.168.1.0/24 ağ kısmına işaret edecektir. Bu ağ segmentinde bulunmayan bir sunucu için (örneğin, 10.0.0.0/24 ağında bulunan posta sunucusu) bir PTR kaydı oluşturmak istiyorsanız, o zaman bir PTR kaydı oluşturmanız gerekir. söz konusu ağ kesimi için de yeni bir geriye doğru arama bölgesi.

8. Bir sonraki ekranda yalnızca dinamik güncellemelerin güvenliğini sağlamak için İzin Ver seçeneğini seçin, devam etmek için ileri tuşuna basın ve son olarak bölge oluşturmayı tamamlamak için bitir tuşuna basın.

9. Bu noktada alanınız için yapılandırılmış geçerli bir DNS geriye doğru arama bölgesine sahipsiniz. Bu bölgeye bir PTR kaydı eklemek için sağdaki düzlemi sağ tıklayın ve bir ağ kaynağı için PTR kaydı oluşturmayı seçin.

Bu durumda ağ geçidimiz için bir işaretçi oluşturduk. Kaydın düzgün şekilde eklenip eklenmediğini ve müşterinin bakış açısından beklendiği gibi çalışıp çalışmadığını test etmek için bir Komut İstemi açın ve kaynağın adına karşı bir nslookup sorgusu çalıştırın ve IP Adresi için başka bir sorgu.

Her iki sorgu da DNS kaynağınız için doğru yanıtı döndürmelidir.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Adım 3: Etki Alanı Grup İlkesi Yönetimi

10. Etki alanı denetleyicisinin önemli bir yönü, sistem kaynaklarını ve güvenliği tek bir merkezi noktadan kontrol edebilme yeteneğidir. Bu tür bir görev, Etki Alanı Grup İlkesi'nin yardımıyla bir etki alanı denetleyicisinde kolayca gerçekleştirilebilir.

Ne yazık ki, bir samba etki alanı denetleyicisinde grup ilkesini düzenlemenin veya yönetmenin tek yolu Microsoft tarafından sağlanan RSAT GPM konsoludur.

Aşağıdaki örnekte, etki alanı kullanıcılarımız için etkileşimli bir oturum açma başlığı oluşturmak amacıyla samba etki alanımız için grup ilkesini değiştirmenin ne kadar basit olabileceğini göreceğiz.

Grup ilkesi konsoluna erişmek için Denetim Masası -> Sistem ve Güvenlik -> 'e gidin. Yönetimsel Araçlar'a gidin ve Grup İlkesi Yönetimi konsolunu açın.

Alan adınız için alanları genişletin ve Varsayılan Alan Adı Politikası'nı sağ tıklayın. Menüden Düzenle'yi seçtiğinizde yeni bir pencere görünmelidir.

11. Grup İlkesi Yönetimi Düzenleyicisi penceresinde Bilgisayar Yapılandırması -> İlkeler'e gidin. -> Windows Ayarları -> Güvenlik ayarları -> Yerel Politikalar -> Güvenlik Seçenekleri ve yeni seçenekler listesi sağ düzlemde görünmelidir.

Sağ düzlemde, aşağıdaki ekran görüntüsünde sunulan iki girişi izleyerek özel ayarlarınızı arayın ve düzenleyin.

12. İki girişi düzenlemeyi bitirdikten sonra, tüm pencereleri kapatın, yükseltilmiş bir Komut istemi açın ve aşağıdaki komutu vererek grup ilkesini makinenize uygulamaya zorlayın:

gpupdate /force

13. Son olarak bilgisayarınızı yeniden başlatın; oturum açmayı denediğinizde oturum açma başlığının çalıştığını göreceksiniz.

Bu kadar! Grup Politikası çok karmaşık ve hassas bir konudur ve sistem yöneticileri tarafından azami dikkatle ele alınmalıdır. Ayrıca, grup ilkesi ayarlarının bölgeye entegre edilmiş Linux sistemlerine hiçbir şekilde uygulanmayacağını unutmayın.