ウェブサイト検索

Windows から Samba4 AD ドメイン コントローラーの DNS とグループ ポリシーを管理する - パート 4


Windows 10 から RSAT 経由で Samba4 を管理する方法に関する前のチュートリアルに引き続き、このパートでは、Microsoft DNS Manager から Samba AD ドメイン コントローラー DNS サーバーをリモートで管理する方法、DNS レコードの作成方法、逆引き参照の作成方法について説明します。ゾーンと、グループ ポリシー管理ツールを使用してドメイン ポリシーを作成する方法。

要件

  1. Ubuntu 16.04 で Samba4 を使用して AD インフラストラクチャを作成する – パート 1
  2. Linux コマンドラインから Samba4 AD インフラストラクチャを管理する – パート 2
  3. Windows10 から RSAT 経由で Samba4 Active Directory インフラストラクチャを管理する – パート 3

ステップ 1: Samba DNS サーバーを管理する

Samba4 AD DC は、最初のドメイン プロビジョニング中に作成される内部 DNS リゾルバー モジュールを使用します (BIND9 DLZ モジュールが特に使用されない場合)。

Samba4 の内部 DNS モジュールは、AD ドメイン コントローラに必要な基本機能をサポートします。ドメイン DNS サーバーは、samba ツール インターフェイスを介してコマンド ラインから直接管理する方法と、RSAT DNS マネージャー を介してドメインの一部である Microsoft ワークステーションからリモートで管理する 2 つの方法で管理できます。

ここでは、より直観的でエラーが発生しにくい 2 番目の方法について説明します。

1. RSAT 経由でドメイン コントローラの DNS サービスを管理するには、Windows マシンに移動し、コントロール パネル を開きます ->< システムとセキュリティ -> 管理ツール を選択し、DNS マネージャーユーティリティを実行します。

ツールが開くと、どの DNS 実行サーバーに接続するかを尋ねられます。 [次のコンピュータ] を選択し、 フィールドにドメイン名を入力し (またはIP アドレスまたはFQDNも使用できます)、チェックボックスをオンにします。 「指定されたコンピュータに今すぐ接続」と表示され、OK をクリックしてSamba DNS サービスを開きます。

2. DNS レコードを追加するには (例として、LAN ゲートウェイを指す A レコードを追加します)、ドメイン 前方参照 に移動します。ゾーンで、右側のプレーンを右クリックし、新しいホスト (A または AAA) を選択します。

3. [新しいホストが開きました] ウィンドウで、DNS リソースの名前IP アドレスを入力します。 FQDN は、DNS ユーティリティによって自動的に書き込まれます。完了したら、[ホストの追加] ボタンをクリックすると、DNS A レコードが正常に作成されたことがポップアップ ウィンドウに表示されます。

静的 IP アドレスが設定されているネットワーク内のリソースに対してのみ DNS A レコードを追加してください。 DHCP サーバーからネットワーク設定を取得するように設定されているホストや、IP アドレス が頻繁に変更されるホストには、DNS A レコードを追加しないでください。

DNS レコードを更新するには、レコードをダブルクリックして変更を書き込みます。レコードを削除するには、レコードを右クリックし、 メニューから削除を選択します。

同様に、CNAME (DNS エイリアス レコードとも呼ばれます) などの他のタイプの DNS レコードをドメインに追加できます。 >MX レコード (メール サーバーに非常に便利) または他の種類のレコード (SPFTXTSRV など)。

ステップ 2: 逆引き参照ゾーンを作成する

デフォルトでは、Samba4 Ad DC はドメインの逆引き参照ゾーンと PTR レコードを自動的に追加しません。これらの種類のレコードはドメイン コントローラーが正しく機能するために重要ではないためです。

代わりに、DNS 逆引きゾーンとその PTR レコードは、電子メール サービスなどの一部の重要なネットワーク サービスの機能にとって非常に重要です。これらの種類のレコードは、サービスを要求しているクライアントの ID を確認するために使用できるためです。

実際には、PTR レコードは標準の DNS レコードの逆です。クライアントはリソースの IP アドレスを知っており、DNS サーバーに問い合わせて登録されている DNS 名を見つけます。

4. Samba AD DC の逆引き参照ゾーンを作成するには、DNS マネージャーを開き、逆引き参照ゾーン を右クリックします。左側の平面からをクリックし、 メニューから新しいゾーンを選択します。

5. 次に、[次へ] ボタンを押し、ゾーン タイプ ウィザードからプライマリゾーンを選択します。

6. 次に、[AD ゾーンのレプリケーション範囲] から [このドメインのドメイン コントローラーで実行されているすべての DNS サーバー] を選択し、IPv4 リバースを選択します。ルックアップ ゾーンを選択し、次へをクリックして続行します。

7. 次に、LAN の IP ネットワーク アドレスを [ネットワーク ID] フィールドに入力し、[次へ] をクリックして続行します。

リソースのこのゾーンに追加されたすべての PTR レコードは、192.168.1.0/24 ネットワーク部分のみを指します。このネットワーク セグメントに存在しないサーバー (たとえば、10.0.0.0/24 ネットワークにあるメール サーバー) の PTR レコードを作成する場合は、次のようにする必要があります。そのネットワーク セグメントの新しい逆引き参照ゾーンも同様です。

8. 次の画面で、安全な動的更新のみを許可することを選択し、「次へ」をクリックして続行し、 最後に終了をクリックしてゾーンの作成を完了します。

9. この時点で、ドメインに対して有効な DNS 逆引き参照ゾーンが構成されました。このゾーンにPTRレコードを追加するには、 右側のプレーンを右クリックし、ネットワーク リソースのPTRレコードの作成を選択します。

この場合、ゲートウェイのポインターを作成しました。レコードが適切に追加され、クライアントの観点から期待どおりに動作するかどうかをテストするには、コマンド プロンプトを開き、リソースの名前に対してnslookupクエリを発行し、 IP アドレスの別のクエリ。

どちらのクエリでも、DNS リソースに対する正しい答えが返されるはずです。

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

ステップ 3: ドメイン グループ ポリシーの管理

10. ドメイン コントローラの重要な側面は、システム リソースとセキュリティを単一の中心点から制御できることです。このタイプのタスクは、ドメイン グループ ポリシーを使用して、ドメイン コントローラーで簡単に実行できます。

残念ながら、Samba ドメイン コントローラーでグループ ポリシーを編集または管理する唯一の方法は、Microsoft が提供するRSAT GPM コンソールを使用することです。

以下の例では、ドメイン ユーザー向けの対話型ログオン バナーを作成するために、samba ドメインのグループ ポリシーを操作することがいかに簡単であるかを示します。

グループ ポリシー コンソールにアクセスするには、コントロール パネル -> システムとセキュリティ -> に移動します。管理ツールをクリックし、グループ ポリシー管理コンソールを開きます。

ドメインのフィールドを展開し、デフォルト ドメイン ポリシーを右クリックします。メニューから [編集] を選択すると、新しいウィンドウが表示されます。

11. グループ ポリシー管理エディタ ウィンドウで、コンピュータの構成 -> ポリシー に移動します。 -> Windows 設定 -> セキュリティ設定 -> ローカルポリシー -> セキュリティ オプション と新しいオプション リストが右側の面に表示されます。

右側のプレーンで、以下のスクリーンショットに示されている 2 つのエントリに従ってカスタム設定を検索して編集します。

12. 2 つのエントリの編集が終了したら、すべてのウィンドウを閉じ、管理者特権でコマンド プロンプトを開き、次のコマンドを発行してグループ ポリシーをマシンに強制的に適用します。

gpupdate /force

13. 最後に、コンピュータを再起動します。ログオンを実行しようとすると、ログオン バナーが動作しているのが表示されます。

それだけです! グループ ポリシーは非常に複雑でデリケートな主題であるため、システム管理者は最大限の注意を払って扱う必要があります。また、グループ ポリシー設定は、レルムに統合された Linux システムには一切適用されないことに注意してください。

関連記事: