ຈັດການ DNS ຂອງຜູ້ຄວບຄຸມໂດເມນ Samba4 AD ແລະນະໂຍບາຍກຸ່ມຈາກ Windows - ພາກທີ 4
ສືບຕໍ່ການສອນຜ່ານມາກ່ຽວກັບວິທີການບໍລິຫານ Samba4 ຈາກ Windows 10 ຜ່ານ RSAT, ໃນພາກນີ້ພວກເຮົາຈະເຫັນວິທີການຈັດການເຊີຟເວີ DNS ຂອງຜູ້ຄວບຄຸມໂດເມນ Samba AD Domain ຈາກຄອມພິວເຕີ້ Microsoft DNS, ວິທີການສ້າງບັນທຶກ DNS, ວິທີການສ້າງການຄົ້ນຫາຍ້ອນກັບ ເຂດແລະວິທີການສ້າງນະໂຍບາຍໂດເມນໂດຍຜ່ານເຄື່ອງມືການຄຸ້ມຄອງນະໂຍບາຍກຸ່ມ.
<
ຂັ້ນຕອນທີ 1: ຈັດການ Server Server DNS Samba
Samba4 AD DC ໃຊ້ໂມດູນ DNS ແກ້ໄຂພາຍໃນເຊິ່ງຖືກສ້າງຂື້ນໃນລະຫວ່າງການສະ ໜອງ ໂດເມນເບື້ອງຕົ້ນ (ຖ້າໂມດູນ BIND9 DLZ ບໍ່ຖືກ ນຳ ໃຊ້ໂດຍສະເພາະ).
ໂມດູນ DNS ພາຍໃນຂອງ Samba4 ສະ ໜັບ ສະ ໜູນ ຄຸນລັກສະນະພື້ນຖານທີ່ ຈຳ ເປັນ ສຳ ລັບຜູ້ຄວບຄຸມໂດເມນ AD. ເຊີຟເວີ DNS ຂອງໂດເມນສາມາດຈັດການໄດ້ສອງທາງ, ໂດຍກົງຈາກເສັ້ນ ຄຳ ສັ່ງຜ່ານອິນເຕີເຟດ samba-tool ຫຼືຫ່າງໄກຈາກບ່ອນເຮັດວຽກຂອງ Microsoft ເຊິ່ງເປັນສ່ວນ ໜຶ່ງ ຂອງໂດເມນຜ່ານ RSAT DNS Manager.
ນີ້, ພວກເຮົາຈະກວມເອົາວິທີການທີສອງເພາະວ່າມັນມີຄວາມລະອຽດແລະບໍ່ຄ່ອຍຈະມີຂໍ້ຜິດພາດ.
1. ເພື່ອຈັດການບໍລິການ DNS ສຳ ລັບຜູ້ຄວບຄຸມໂດເມນຂອງທ່ານຜ່ານ RSAT, ເຂົ້າໄປທີ່ເຄື່ອງ Windows ຂອງທ່ານ, ເປີດແຜງຄວບຄຸມ -> ລະບົບແລະຄວາມປອດໄພ -> ເຄື່ອງມືບໍລິຫານແລະໃຊ້ເຄື່ອງໃຊ້ DNS Manager.
ເມື່ອເຄື່ອງມືເປີດ, ມັນຈະຖາມທ່ານກ່ຽວກັບເຄື່ອງແມ່ຂ່າຍ DNS ທີ່ທ່ານຕ້ອງການເຊື່ອມຕໍ່ຫຍັງ. ເລືອກເຄື່ອງຄອມພິວເຕີຕໍ່ໄປນີ້, ພິມຊື່ໂດເມນຂອງທ່ານໃສ່ບ່ອນຂໍ້ມູນ (ຫຼືທີ່ຢູ່ IP ຫຼື FQDN ສາມາດໃຊ້ໄດ້ເຊັ່ນກັນ), ໝາຍ ໃສ່ຫ້ອງທີ່ບອກວ່າ 'ເຊື່ອມຕໍ່ກັບຄອມພິວເຕີ້ທີ່ລະບຸໃນຕອນນີ້' ແລະກົດ OK ເພື່ອເປີດບໍລິການ DNS Samba ຂອງທ່ານ.
2. ເພື່ອເພີ່ມບັນທຶກ DNS (ເປັນຕົວຢ່າງພວກເຮົາຈະເພີ່ມບັນທຶກ ລະຫັດທີ່ຈະຊີ້ໄປທີ່ປະຕູ LAN ຂອງພວກເຮົາ), ນຳ ທາງໄປທີ່ Domain Forward Lookup Zone, ກົດຂວາໃສ່ຍົນທີ່ຖືກຕ້ອງແລະເລືອກ ເຈົ້າພາບ ໃໝ່ ( A ຫຼື AAA ).
3. ເທິງ ໜ້າ ຕ່າງ ໃໝ່ ທີ່ເປີດຢູ່ແລ້ວ, ໃຫ້ພິມຊື່ແລະທີ່ຢູ່ IP ຂອງຊັບພະຍາກອນ DNS ຂອງທ່ານ. FQDN ຈະຖືກຂຽນໂດຍອັດຕະໂນມັດ ສຳ ລັບທ່ານໂດຍເຄື່ອງໃຊ້ DNS. ເມື່ອເຮັດ ສຳ ເລັດແລ້ວ, ກົດປຸ່ມ Add Host ແລະປ່ອງຢ້ຽມທີ່ລຸກຂຶ້ນຈະແຈ້ງໃຫ້ທ່ານຮູ້ວ່າບັນທຶກ DNS ຂອງທ່ານໄດ້ຖືກສ້າງຂື້ນແລ້ວ.
ໃຫ້ແນ່ໃຈວ່າທ່ານເພີ່ມບັນທຶກ DNS A ພຽງແຕ່ ສຳ ລັບຊັບພະຍາກອນເຫລົ່ານັ້ນໃນເຄືອຂ່າຍຂອງທ່ານທີ່ຖືກຕັ້ງຄ່າດ້ວຍ IP Addresses. ຢ່າເພີ່ມບັນທຶກ DNS A ສຳ ລັບເຈົ້າພາບທີ່ຖືກຕັ້ງຄ່າເພື່ອຮັບການຕັ້ງຄ່າເຄືອຂ່າຍຈາກ DHCP server ຫຼືທີ່ຢູ່ IP ຂອງພວກມັນປ່ຽນເລື້ອຍໆ.
ເພື່ອປັບປຸງບັນທຶກ DNS ພຽງແຕ່ກົດສອງຄັ້ງແລະຂຽນການດັດແປງຂອງທ່ານ. ເພື່ອລຶບການບັນທຶກໃຫ້ຄລິກຂວາໃສ່ບັນທຶກແລະເລືອກລຶບອອກຈາກລາຍການ.
ໃນລັກສະນະດຽວກັນທ່ານສາມາດເພີ່ມບັນທຶກ DNS ປະເພດອື່ນໆ ສຳ ລັບໂດເມນຂອງທ່ານເຊັ່ນ: CNAME (ທີ່ເອີ້ນວ່າການບັນທຶກນາມແຝງ DNS) ບັນທຶກ MX (ມີປະໂຫຍດຫຼາຍ ສຳ ລັບເຄື່ອງແມ່ຂ່າຍເມລ) ຫຼືປະເພດອື່ນໆຂອງບັນທຶກ (SPF, TXT, SRV ແລະອື່ນໆ).
ຂັ້ນຕອນທີ 2: ສ້າງເຂດຊອກຫາດ້ານຫຼັງ
ໂດຍຄ່າເລີ່ມຕົ້ນ, Samba4 Ad DC ຈະບໍ່ເພີ່ມເຂດຊອກຫາແບບອັດຕະໂນມັດແລະບັນທຶກ PTR ສຳ ລັບໂດເມນຂອງທ່ານເພາະວ່າບັນທຶກປະເພດເຫຼົ່ານີ້ບໍ່ ສຳ ຄັນ ສຳ ລັບຜູ້ຄວບຄຸມໂດເມນທີ່ຈະເຮັດວຽກຢ່າງຖືກຕ້ອງ.
ແທນທີ່ຈະ, ເຂດປ່ຽນ ໃໝ່ ຂອງ DNS ແລະບັນທຶກ PTR ຂອງມັນແມ່ນສິ່ງທີ່ ສຳ ຄັນ ສຳ ລັບການເຮັດວຽກຂອງບາງການບໍລິການເຄືອຂ່າຍທີ່ ສຳ ຄັນເຊັ່ນ: ການບໍລິການທາງອີເມວເພາະວ່າບັນທຶກປະເພດນີ້ສາມາດໃຊ້ເພື່ອກວດສອບຕົວຕົນຂອງລູກຄ້າທີ່ຮ້ອງຂໍການບໍລິການ.
ການປະຕິບັດ, ການບັນທຶກ PTR ແມ່ນພຽງແຕ່ກົງກັນຂ້າມກັບບັນທຶກ DNS ມາດຕະຖານ. ລູກຄ້າຮູ້ທີ່ຢູ່ IP ຂອງຊັບພະຍາກອນແລະສອບຖາມ DNS server ເພື່ອຊອກຫາຊື່ DNS ທີ່ລົງທະບຽນຂອງພວກເຂົາ.
4. ເພື່ອທີ່ຈະສ້າງເຂດຊອກຫາແບບລ້ຽວຫຼັງ ສຳ ລັບ Samba AD DC, ເປີດຜູ້ຈັດການ DNS, ກົດຂວາໃສ່ Reverse Lookup Zone ຈາກຍົນຊ້າຍແລະເລືອກ New Zone ຈາກເມນູ.
5. ຖັດໄປ, ກົດປຸ່ມ Next ແລະເລືອກເຂດ Primary ຈາກຕົວຊ່ວຍສ້າງ Type Type.
6. ຕໍ່ໄປ, ໃຫ້ເລືອກໄປທີ່ເຄື່ອງແມ່ຂ່າຍ DNS ທັງ ໝົດ ທີ່ເຮັດວຽກຄວບຄຸມໂດເມນໃນໂດເມນນີ້ຈາກ AD Zone Replication Scope, ເລືອກ IPv4 Reverse Lookup Zone ແລະກົດ Next ເພື່ອສືບຕໍ່.
7. ຕໍ່ໄປ, ພິມທີ່ຢູ່ IP ເຄືອຂ່າຍ ສຳ ລັບ LAN ຂອງທ່ານໃນ Network ID ທີ່ຖືກຍື່ນແລ້ວກົດ Next ເພື່ອສືບຕໍ່.
ບັນທຶກ PTR ທັງ ໝົດ ທີ່ເພີ່ມເຂົ້າໃນເຂດນີ້ ສຳ ລັບຊັບພະຍາກອນຂອງທ່ານຈະຊີ້ໃຫ້ເຫັນພຽງແຕ່ສ່ວນ 192 ຂອງເຄືອຂ່າຍ 192.168.1.0/24 ເທົ່ານັ້ນ. ຖ້າທ່ານຕ້ອງການສ້າງບັນທຶກ PTR ສຳ ລັບເຊີຟເວີທີ່ບໍ່ອາໃສຢູ່ໃນສ່ວນເຄືອຂ່າຍນີ້ (ຕົວຢ່າງ server ທີ່ຕັ້ງຢູ່ໃນເຄືອຂ່າຍ 10.0.0.0/24), ຫຼັງຈາກນັ້ນທ່ານຈະຕ້ອງສ້າງເຂດຊອກຫາແບບ ໃໝ່ ສຳ ລັບສິ່ງນັ້ນ ສ່ວນເຄືອຂ່າຍເຊັ່ນກັນ.
8. ໃນ ໜ້າ ຈໍຕໍ່ໄປເລືອກທີ່ຈະອະນຸຍາດໃຫ້ມີການປັບປຸງແບບເຄື່ອນໄຫວທີ່ປອດໄພເທົ່ານັ້ນ, ກົດປຸ່ມຕໍ່ໄປເພື່ອສືບຕໍ່ແລະສຸດທ້າຍກົດປຸ່ມເພື່ອເຮັດການສ້າງເຂດ.
9. ໃນຈຸດນີ້ທ່ານມີເຂດຊອກຫາດ້ານ DNS ທີ່ຖືກຕ້ອງທີ່ຖືກຕັ້ງຄ່າ ສຳ ລັບໂດເມນຂອງທ່ານ. ເພື່ອເພີ່ມບັນທຶກ PTR ໃນເຂດນີ້, ໃຫ້ກົດປຸ່ມຂວາໃສ່ຍົນທີ່ຖືກຕ້ອງແລະເລືອກທີ່ຈະສ້າງບັນທຶກ PTR ສຳ ລັບຊັບພະຍາກອນເຄືອຂ່າຍ.
ໃນກໍລະນີນີ້ພວກເຮົາໄດ້ສ້າງຕົວຊີ້ ສຳ ລັບປະຕູຂອງພວກເຮົາ. ເພື່ອທົດສອບຖ້າບັນທຶກຖືກເພີ່ມແລະເຮັດວຽກຕາມທີ່ຄາດຫວັງຈາກມຸມມອງຂອງລູກຄ້າ, ໃຫ້ເປີດ Command Prompt ແລະອອກ ຄຳ ຖາມທີ່ບໍ່ໄດ້ຮັບການກວດສອບຕໍ່ຊື່ຂອງຊັບພະຍາກອນແລະການສອບຖາມອື່ນ ສຳ ລັບທີ່ຢູ່ IP ຂອງມັນ.
ການສອບຖາມທັງສອງຄວນສົ່ງ ຄຳ ຕອບທີ່ຖືກຕ້ອງ ສຳ ລັບຊັບພະຍາກອນ DNS ຂອງທ່ານ.
nslookup gate.tecmint.lan nslookup 192.168.1.1 ping gate
ຂັ້ນຕອນທີ 3: ການຄຸ້ມຄອງນະໂຍບາຍກຸ່ມໂດເມນ
10. ລັກສະນະທີ່ ສຳ ຄັນຂອງຜູ້ຄວບຄຸມໂດເມນແມ່ນຄວາມສາມາດໃນການຄວບຄຸມຊັບພະຍາກອນຂອງລະບົບແລະຄວາມປອດໄພຈາກຈຸດໃຈກາງດຽວ. ວຽກປະເພດນີ້ສາມາດປະສົບຜົນ ສຳ ເລັດໄດ້ງ່າຍໃນຜູ້ຄວບຄຸມໂດເມນໂດຍການຊ່ວຍເຫຼືອຂອງ Domain Group Policy.
ແຕ່ໂຊກບໍ່ດີ, ວິທີດຽວທີ່ຈະແກ້ໄຂຫລືຈັດການນະໂຍບາຍກຸ່ມໃນຕົວຄວບຄຸມໂດເມນ samba ແມ່ນຜ່ານ RSAT GPM console ທີ່ສະ ໜອງ ໂດຍ Microsoft.
ໃນຕົວຢ່າງຂ້າງລຸ່ມນີ້ພວກເຮົາຈະເຫັນວິທີງ່າຍໆທີ່ສາມາດຈັດການນະໂຍບາຍກຸ່ມ ສຳ ລັບໂດເມນ samba ຂອງພວກເຮົາເພື່ອສ້າງປ້າຍໂຄສະນາ ສຳ ລັບຜູ້ໃຊ້ໂດເມນຂອງພວກເຮົາ.
ເພື່ອເຂົ້າຫາເຄື່ອງມືນະໂຍບາຍກຸ່ມ, ເຂົ້າໄປທີ່ກະດານຄວບຄຸມ -> ລະບົບແລະຄວາມປອດໄພ -> ເຄື່ອງມືດ້ານການບໍລິຫານແລະເປີດເຄື່ອງມືຄຸ້ມຄອງນະໂຍບາຍກຸ່ມ.
ຂະຫຍາຍທົ່ງນາ ສຳ ລັບໂດເມນຂອງທ່ານແລະກົດຂວາໃສ່ນະໂຍບາຍໂດເມນ Default. ເລືອກການແກ້ໄຂຈາກເມນູແລະປ່ອງຢ້ຽມໃຫມ່ຄວນຈະປາກົດຂຶ້ນ.
11. ໃນ ໜ້າ ຕ່າງບັນນາທິການຄຸ້ມຄອງນະໂຍບາຍກຸ່ມໄປທີ່ການຕັ້ງຄ່າຄອມພິວເຕີ້ -> ນະໂຍບາຍ -> ການຕັ້ງຄ່າ Windows -> ການຕັ້ງຄ່າຄວາມປອດໄພ -> ນະໂຍບາຍທ້ອງຖິ່ນ -> ຕົວເລືອກຄວາມປອດໄພແລະລາຍຊື່ຕົວເລືອກ ໃໝ່ ຄວນຈະປາກົດຢູ່ໃນຍົນທີ່ຖືກຕ້ອງ.
ໃນການຄົ້ນຫາຍົນທີ່ຖືກຕ້ອງແລະດັດແກ້ດ້ວຍການຕັ້ງຄ່າທີ່ ກຳ ຫນົດເອງຕາມສອງລາຍການທີ່ ນຳ ສະ ເໜີ ໃນ ໜ້າ ຈໍຂ້າງລຸ່ມນີ້.
12. ຫຼັງຈາກແກ້ໄຂສອງລາຍການ, ປິດປ່ອງຢ້ຽມທັງ ໝົດ, ເປີດ ຄຳ ສັ່ງ Command ສູງແລະບັງຄັບໃຊ້ນະໂຍບາຍກຸ່ມເພື່ອ ນຳ ໃຊ້ໃນເຄື່ອງຂອງທ່ານໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້:
gpupdate /force
13. ສຸດທ້າຍ, ເລີ່ມຕົ້ນຄອມພິວເຕີຂອງທ່ານຄືນ ໃໝ່ ແລະທ່ານຈະເຫັນປ້າຍໂຄສະນາ logon ໃນເວລາທີ່ທ່ານພະຍາຍາມເຮັດ logon.
ຫມົດເທົ່ານີ້! ນະໂຍບາຍຂອງກຸ່ມແມ່ນຫົວຂໍ້ທີ່ສັບສົນຫຼາຍແລະມີຄວາມລະອຽດອ່ອນແລະຄວນໄດ້ຮັບການຮັກສາດ້ວຍຄວາມລະມັດລະວັງສູງສຸດຈາກຜູ້ມີລະບົບ. ນອກຈາກນີ້, ຈົ່ງຮູ້ວ່າການຕັ້ງຄ່ານະໂຍບາຍຂອງກຸ່ມຈະບໍ່ຖືກ ນຳ ໃຊ້ໃນທຸກລະບົບກັບລະບົບ Linux ທີ່ປະສົມປະສານເຂົ້າໃນຂົງເຂດ.