這篇文章中我們將學習如何使用微軟 DNS 管理器遠程管理我們的 Samba AD 域控制器的 DNS 服務器，如何創建 DNS 記錄，如何創建反向查找區域以及如何通過組策略管理工具來創建域策略。 -- Matei Cezar

本文導航

• -第 1 步：管理 Samba DNS 服務器 …… 08%

• -第 2 步：創建反向查找區域 …… 35%

• -第 3 步：管理域控制策略 …… 71%

編譯自： http://www.tecmint.com/manage-samba4-dns-group-policy-from-windows/

作者： Matei Cezar

譯者： rusking

接著前一篇教程寫的關于使用 Windows 10 的 RSAT 工具來管理 Samba4 活動目錄架構[1]，在這篇文章中我們將學習如何使用微軟 DNS 管理器遠程管理我們的 Samba AD 域控制器的 DNS 服務器，如何創建 DNS 記錄，如何創建反向查找區域以及如何通過組策略管理工具來創建域策略。

要求

1、 在 Ubuntu 16.04 系統上使用 Samba4 軟件來創建活動目錄架構（一）[2]

2、 在 Linux 命令行下管理 Samba4 AD 架構（二）[3]

3、 使用 Windows 10 的 RSAT 工具來管理 Samba4 活動目錄架構 （三）[4]

第 1 步：管理 Samba DNS 服務器

Samba4 AD DC 使用內部的 DNS 解析器模塊，該模塊在初始化域提供的過程中創建（如果 BIND9 DLZ 模塊未指定使用的情況下）。

Samba4 內部的 DNS 模塊支持 AD 域控制器所必須的基本功能。有兩種方式來管理域 DNS 服務器，直接在命令行下通過 samba-tool 接口來管理，或者使用已加入域的微軟工作站中的 RSAT DNS 管理器遠程進行管理。

在這篇文章中，我們使用第二種方式來進行管理，因為這種方式很直觀，也不容易出錯。

1、要使用 RSAT 工具來管理域控制器上的 DNS 服務器，在 Windows 機器上，打開控制面板 -> 系統和安全 -> 管理工具，然后運行 DNS 管理器工具。

當打開這個工具時，它會詢問你將要連接到哪臺正在運行的 DNS 服務器。選擇“使用下面的計算機”，輸入域名（IP 地址或 FQDN 地址都可以使用），勾選“現在連接到指定計算機”，然后單擊 OK 按鈕以開啟 Samba DNS 服務。

在 Windows 系統上連接 Samba4 DNS 服務器

2、為了添加一條 DNS 記錄（比如我們添加一條指向 LAN 網關的 A 記錄），打開 DNS 管理器，找到域正向查找區，在右側單擊右鍵選擇新的主機（A 或 AAAA）。

在 Windows 下添加一條 DNS 記錄

3、在打開的新主機窗口界面，輸入 DNS 服務器的主機名和 IP 地址。 DNS 管理器工具會自動填寫完成 FQDN 地址。填寫完成后，點擊“添加主機”按鈕，之后會彈出一個新的窗口提示你 DNS A 記錄已經創建完成。

確保僅為你的網絡中已配置靜態 IP[5]的資源（設備）添加 DNS A 記錄。不要為那些從 DHCP 服務器自動獲取 IP 地址或者經常變換 IP 地址的主機添加 DNS A 記錄。

在 Windows 系統下配置 Samba 主機

要更新一條 DNS 記錄只需要雙擊那條記錄，然后輸入更改即可。要刪除一條記錄時，只需要在這條記錄上單擊右鍵，選擇從菜單刪除即可。

同樣的方式，你也可以為你的域添加其它類型的 DNS 記錄，比如說 CNAME 記錄（也稱為 DNS 別名記錄），MX 記錄（在郵件服務器上非常有用）或者其它類型的記錄（SPE、TXT、SRV 等類型）。

第 2 步：創建反向查找區域

默認情況下，Samba4 AD DC 不會自動為你的域添加一個反向查找區域和 PTR 記錄，因為這些類型的記錄對于域控制器的正常工作來說是無關緊要的。

相反，DNS 反向區和 PTR 記錄在一些重要的網絡服務中顯得非常有用，比如郵件服務，因為這些類型的記錄可以用于驗證客戶端請求服務的身份。

實際上， PTR 記錄的功能與標準的 DNS 記錄功能相反?？蛻舳酥蕾Y源的 IP 地址，然后去查詢 DNS 服務器來識別出已注冊的 DNS 名字。

4、要創建 Samba AD DC 的反向查找區域，打開 DNS 管理器，在左側反向查找區域目錄上單擊右鍵，然后選擇菜單中的新區域。

創建 DNS 反向查找區域

5、下一步，單擊下一步按鈕，然后從區域類型向導中選擇主區域（Primary）。

選擇 DNS 區域類型

6、下一步，在 “AD 區域復制范圍”中選擇復制到該域里運行在域控制器上的所有的 DNS 服務器，選擇 “IPv4 反向查找區域”然后單擊下一步繼續。

為 Samba 域控制器選擇 DNS 服務器

添加反向查找區域名

7、下一步，在網絡ID 框中輸入你的 LAN IP 地址，然后單擊下一步繼續。

在這個區域內添加的所有資源（設備）的 PTR 記錄僅能指向 192.168.1.0/24 網絡段。如果你想要為一個不在該網段中的服務器創建一個 PTR 記錄（比如郵件服務器位于 10.0.0.0/24 這個網段的時候），那么你還得為那個網段創建一個新的反向查找區域。

添加 DNS 反向查找區域的 IP 地址

8、在下一個截圖中選擇“僅允許安全的動態更新”，單擊下一步繼續，最后單擊完成按鈕以完成反向查找區域的創建。

啟用安全動態更新

新 DNS 區域概覽

9、此時，你已經為你的域環境創建完成了一個有效的 DNS 反向查找區域。為了在這個區域中添加一個 PTR 記錄，在右側右鍵單擊，選擇為網絡資源創建一個 PTR 記錄。

這個時候，我們已經為網關創建了一個指向。為了測試這條記錄對于客戶端是否添加正確和工作正常，打開命令行提示符執行 nslookup 查詢資源名，再執行另外一條命令查詢 IP 地址。

兩個查詢都應該為你的 DNS 資源返回正確的結果。

nslookup gate.tecmint.lan

nslookup 192.168.1.1

ping gate

添加及查詢 PTR 記錄

第 3 步：管理域控制策略

10、域控制器最重要的作用就是集中控制系統資源及安全。使用域控制器的域組策略功能很容易實現這些類型的任務。

遺憾的是，在 Samba 域控制器上唯一用來編輯或管理組策略的方法是通過微軟的 RSAT GPM 工具。

在下面的實例中，我們將看到通過組策略來實現在 Samba 域環境中為域用戶創建一種交互式的登錄提示是多么的簡單。

要訪問組策略控制臺，打開控制面板 -> 系統和安全 -> 管理工具，然后打開組策略管理控制臺。

展開你的域下面的目錄，在默認組策略上右鍵，選擇菜單中的編輯，將出現一個新的窗口。

管理 Samba 域組策略

11、在組策略管理編輯器窗口中，進入到計算機配置 -> 組策略 -> Windows 設置 -> 安全設置 -> 本地策略 -> 安全選項，你將在右側看到一個新的選項列表。

在右側查詢并編輯你的定制化設置，參考下圖中的兩條設置內容。

配置 Samba 域組策略

12、這兩個條目編輯完成后，關閉所有窗口，打開 CMD 窗口，執行以下命令來強制應用組策略。

gpupdate /force

更新 Samba 域組策略

13、最后，重啟你的電腦，當你準備登錄進入系統的時候，你就會看到登錄提示生效了。

Samba4 AD 域控制器登錄提示

就寫到這里吧！組策略是一個操作起來很繁瑣和很謹慎的主題，在管理系統的過程中你得非常的小心。還有，注意你設置的組策略不會以任何方式應用到已加入域的 Linux 系統中。

作者簡介：我是一個電腦迷，開源軟件及 Linux 系統愛好者，有近4年的 Linux 桌面和服務器系統及 bash 編程經驗。

via: http://www.tecmint.com/manage-samba4-dns-group-policy-from-windows/

作者：Matei Cezar[6] 譯者：rusking 校對：wxy

本文由 LCTT[7] 原創編譯，Linux中國 榮譽推出

• [1]: 使用 Windows 10 的 RSAT 工具來管理 Samba4 活動目錄架構 - https://linux.cn/article-8097-1.html

• [2]: 在 Ubuntu 16.04 系統上使用 Samba4 軟件來創建活動目錄架構（一） - https://linux.cn/article-8065-1.html

• [3]: 在 Linux 命令行下管理 Samba4 AD 架構（二） - https://linux.cn/article-8070-1.html

• [4]: 使用 Windows 10 的 RSAT 工具來管理 Samba4 活動目錄架構 （三） - https://linux.cn/article-8097-1.html

• [5]: 已配置靜態 IP - http://www.tecmint.com/set-add-static-ip-address-in-linux/

• [6]: Matei Cezar - http://www.tecmint.com/author/cezarmatei/

• [7]: LCTT - https://github.com/LCTT/TranslateProject