Windows에서 Samba4 AD 도메인 컨트롤러 DNS 및 그룹 정책 관리 - 4부

RSAT를 통해 Windows 10에서 Samba4를 관리하는 방법에 대한 이전 튜토리얼에 이어서, 이 부분에서는 Microsoft DNS 관리자에서 Samba AD 도메인 컨트롤러 DNS 서버를 원격으로 관리하는 방법, DNS 레코드를 생성하는 방법, 역방향 조회를 생성하는 방법을 살펴보겠습니다. 영역 및 그룹 정책 관리 도구를 통해 도메인 정책을 생성하는 방법.

요구사항

1. Ubuntu 16.04에서 Samba4를 사용하여 AD 인프라 생성 – 1부
2. Linux 명령줄에서 Samba4 AD 인프라 관리 - 2부
3. RSAT를 통해 Windows10에서 Samba4 Active Directory 인프라 관리 - 3부

1단계: Samba DNS 서버 관리

Samba4 AD DC는 초기 도메인 프로비저닝 중에 생성된 내부 DNS 확인자 모듈을 사용합니다(BIND9 DLZ 모듈이 특별히 사용되지 않는 경우).

Samba4 내부 DNS 모듈은 AD 도메인 컨트롤러에 필요한 기본 기능을 지원합니다. 도메인 DNS 서버는 samba-tool 인터페이스를 통해 명령줄에서 직접 관리하거나 RSAT DNS 관리자를 통해 도메인의 일부인 Microsoft 워크스테이션에서 원격으로 관리할 수 있습니다.

여기에서는 두 번째 방법이 더 직관적이고 오류가 발생하지 않기 때문에 다루겠습니다.

1. RSAT을 통해 도메인 컨트롤러에 대한 DNS 서비스를 관리하려면 Windows 컴퓨터로 이동하여 제어판을 엽니다. ->< 시스템 및 보안 -> 관리 도구를 클릭하고 DNS 관리자 유틸리티를 실행합니다.

도구가 열리면 연결하려는 DNS 실행 서버를 묻는 메시지가 표시됩니다. 다음 컴퓨터를 선택하고 필드에 도메인 이름을 입력하고(또는 IP 주소 또는 FQDN도 사용할 수 있음) 확인란을 선택합니다. '지금 지정된 컴퓨터에 연결'이라는 메시지가 표시되고 확인을 눌러 Samba DNS 서비스를 엽니다.

2. DNS 레코드를 추가하려면(예를 들어 LAN 게이트웨이를 가리키는 A 레코드를 추가합니다) 도메인 정방향 조회로 이동합니다. Zone에서 오른쪽 평면을 마우스 오른쪽 버튼으로 클릭하고 새 호스트(A 또는 AAA)를 선택합니다.

3. 새 호스트 열기 창에서 DNS 리소스의 이름 및 IP 주소를 입력합니다. FQDN은 DNS 유틸리티에 의해 자동으로 작성됩니다. 완료되면 호스트 추가 버튼을 누르면 DNS A 레코드가 성공적으로 생성되었음을 알리는 팝업 창이 나타납니다.

고정 IP 주소로 구성된 네트워크의 리소스에 대해서만 DNS A 레코드를 추가해야 합니다. DHCP 서버에서 네트워크 구성을 얻도록 구성된 호스트에 대해 DNS A 레코드를 추가하지 마십시오. 또는 해당 호스트의 IP 주소가 자주 변경됩니다.

DNS 레코드를 업데이트하려면 해당 레코드를 두 번 클릭하고 수정 사항을 작성하세요. 기록을 삭제하려면 기록을 마우스 오른쪽 버튼으로 클릭하고 메뉴에서 삭제를 선택하세요.

같은 방법으로 CNAME(DNS 별칭 레코드라고도 함)과 같은 다른 유형의 DNS 레코드를 도메인에 추가할 수 있습니다. >MX 레코드(메일 서버에 매우 유용함) 또는 기타 유형의 레코드(SPF, TXT, SRV 등).

2단계: 역방향 조회 영역 만들기

기본적으로 Samba4 Ad DC는 도메인에 대한 역방향 조회 영역 및 PTR 레코드를 자동으로 추가하지 않습니다. 이러한 유형의 레코드는 도메인 컨트롤러가 올바르게 작동하는 데 중요하지 않기 때문입니다.

대신, DNS 역방향 영역과 해당 PTR 레코드는 전자 메일 서비스와 같은 일부 중요한 네트워크 서비스의 기능에 매우 중요합니다. 이러한 유형의 레코드는 서비스를 요청하는 클라이언트의 신원을 확인하는 데 사용될 수 있기 때문입니다.

실제로 PTR 레코드는 표준 DNS 레코드와 정반대입니다. 클라이언트는 리소스의 IP 주소를 알고 있으며 DNS 서버에 쿼리하여 등록된 DNS 이름을 찾습니다.

4. Samba AD DC에 대한 역방향 조회 영역을 생성하려면 DNS 관리자를 열고 역방향 조회 영역을 마우스 오른쪽 버튼으로 클릭하세요. 왼쪽 창에서 메뉴에서 새 영역을 선택합니다.

5. 그런 다음 다음 버튼을 누르고 영역 유형 마법사에서 기본 영역을 선택합니다.

6. 그런 다음 AD 영역 복제 범위에서 이 도메인의 도메인 컨트롤러에서 실행 중인 모든 DNS 서버에를 선택하고 IPv4 역방향을 선택합니다. Zone을 검색하고 계속하려면 Next를 누르세요.

7. 그런 다음 네트워크 ID 필드에 LAN의 IP 네트워크 주소를 입력하고 다음을 눌러 계속합니다.

리소스에 대해 이 영역에 추가된 모든 PTR 레코드는 192.168.1.0/24 네트워크 부분만 다시 가리킵니다. 이 네트워크 세그먼트에 상주하지 않는 서버(예: 10.0.0.0/24 네트워크에 있는 메일 서버)에 대한 PTR 레코드를 생성하려면 다음을 생성해야 합니다. 해당 네트워크 세그먼트에 대한 새로운 역방향 조회 영역도 생성됩니다.

8. 다음 화면에서 보안 동적 업데이트만 허용을 선택하고 계속하려면 다음을 누른 다음 마지막으로 마침을 눌러 영역 생성을 완료합니다.

9. 이제 도메인에 유효한 DNS 역방향 조회 영역이 구성되었습니다. 이 영역에 PTR 레코드를 추가하려면 오른쪽 평면을 마우스 오른쪽 버튼으로 클릭하고 네트워크 리소스에 대한 PTR 레코드 생성을 선택하세요.

이 경우 게이트웨이에 대한 포인터를 만들었습니다. 레코드가 제대로 추가되었고 클라이언트의 관점에서 예상대로 작동하는지 테스트하려면 명령 프롬프트를 열고 리소스 이름에 대해 nslookup 쿼리를 실행하고 IP 주소에 대한 또 다른 쿼리입니다.

두 쿼리 모두 DNS 리소스에 대한 정답을 반환해야 합니다.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

3단계: 도메인 그룹 정책 관리

10. 도메인 컨트롤러의 중요한 측면은 단일 중앙 지점에서 시스템 리소스와 보안을 제어하는 능력입니다. 이러한 유형의 작업은 도메인 그룹 정책의 도움을 받아 도메인 컨트롤러에서 쉽게 수행할 수 있습니다.

안타깝게도 Samba 도메인 컨트롤러에서 그룹 정책을 편집하거나 관리하는 유일한 방법은 Microsoft에서 제공하는 RSAT GPM 콘솔을 이용하는 것입니다.

아래 예에서는 도메인 사용자를 위한 대화형 로그온 배너를 만들기 위해 Samba 도메인에 대한 그룹 정책을 조작하는 것이 얼마나 간단한지 살펴보겠습니다.

그룹 정책 콘솔에 액세스하려면 제어판 -> 시스템 및 보안 -> 으로 이동하세요. 관리 도구를 클릭하고 그룹 정책 관리 콘솔을 엽니다.

도메인 필드를 확장하고 기본 도메인 정책을 마우스 오른쪽 버튼으로 클릭합니다. 메뉴에서 수정을 선택하면 새 창이 나타납니다.

11. 그룹 정책 관리 편집기 창에서 컴퓨터 구성 -> 정책으로 이동합니다. -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 보안 옵션 및 새 옵션 목록이 오른쪽 화면에 나타나야 합니다.

오른쪽 평면에서 아래 스크린샷에 표시된 두 항목에 따라 사용자 정의 설정을 검색하고 편집합니다.

12. 두 항목 편집을 마친 후 모든 창을 닫고 관리자 권한 명령 프롬프트를 열고 아래 명령을 실행하여 컴퓨터에 그룹 정책을 강제로 적용합니다.

gpupdate /force

13. 마지막으로 컴퓨터를 재부팅하면 로그온을 시도할 때 로그온 배너가 작동하는 것을 볼 수 있습니다.

그게 다야! 그룹 정책은 매우 복잡하고 민감한 주제이므로 시스템 관리자는 최대한 주의하여 다뤄야 합니다. 또한 그룹 정책 설정은 영역에 통합된 Linux 시스템에 어떤 방식으로도 적용되지 않는다는 점에 유의하세요.