Windows에서 Samba4 AD 도메인 컨트롤러 DNS 및 그룹 정책 관리-4 부

RSAT를 통해 Windows 10에서 Samba4를 관리하는 방법에 대한 이전 자습서를 계속합니다.이 부분에서는 Microsoft DNS Manager에서 Samba AD 도메인 컨트롤러 DNS 서버를 원격으로 관리하는 방법, DNS 레코드를 만드는 방법, 역방향 조회를 만드는 방법을 살펴 봅니다. 영역 및 그룹 정책 관리 도구를 통해 도메인 정책을 만드는 방법.

  1. Create an AD Infrastructure with Samba4 on Ubuntu 16.04 – Part 1
  2. Manage Samba4 AD Infrastructure from Linux Command Line – Part 2
  3. Manage Samba4 Active Directory Infrastructure from Windows10 via RSAT – Part 3

1 단계 : Samba DNS 서버 관리

Samba4 AD DC는 초기 도메인 프로비저닝 중에 생성되는 내부 DNS 해석기 모듈을 사용합니다 (BIND9 DLZ 모듈이 특별히 사용되지 않는 경우).

Samba4 내부 DNS 모듈은 AD 도메인 컨트롤러에 필요한 기본 기능을 지원합니다. 도메인 DNS 서버는 명령 줄에서 samba-tool 인터페이스를 통해 직접 또는 RSAT DNS 관리자를 통해 도메인의 일부인 Microsoft 워크 스테이션에서 원격으로 관리 할 수 있습니다.

여기서는 더 직관적이고 오류가 발생하지 않는 두 번째 방법을 다룰 것입니다.

1. RSAT를 통해 도메인 컨트롤러의 DNS 서비스를 관리하려면 Windows 컴퓨터로 이동하여 제어판-> 시스템 및 보안-> 관리 도구를 열고 DNS 관리자 유틸리티를 실행합니다.

도구가 열리면 연결하려는 DNS 실행 서버를 묻습니다. 다음 컴퓨터를 선택하고 필드에 도메인 이름을 입력하고 (또는 IP 주소 또는 FQDN도 사용할 수 있음) '지금 지정된 컴퓨터에 연결'확인란을 선택하고 확인을 눌러 Samba DNS 서비스를 엽니 다.

2. DNS 레코드를 추가하려면 (예를 들어 LAN 게이트웨이를 가리키는 A 레코드를 추가합니다) 도메인 정방향 조회 영역으로 이동 한 다음 오른쪽 평면을 마우스 오른쪽 버튼으로 클릭하고 새 호스트 ( A 또는 AAA ).

3. 새 호스트 열림 창에서 DNS 리소스의 이름과 IP 주소를 입력합니다. FQDN은 DNS 유틸리티에 의해 자동으로 작성됩니다. 완료되면 호스트 추가 버튼을 누르면 팝업 창이 DNS A 레코드가 성공적으로 생성되었음을 알려줍니다.

고정 IP 주소로 구성된 네트워크의 리소스에 대해서만 DNS A 레코드를 추가해야합니다. DHCP 서버에서 네트워크 구성을 가져 오도록 구성된 호스트에 대한 DNS A 레코드를 추가하지 마십시오. IP 주소가 자주 변경됩니다.

DNS 레코드를 업데이트하려면 두 번 클릭하고 수정 사항을 작성하십시오. 레코드를 삭제하려면 레코드를 마우스 오른쪽 버튼으로 클릭하고 메뉴에서 삭제를 선택합니다.

같은 방법으로 CNAME (DNS 별칭 레코드라고도 함) MX 레코드 (메일 서버에 매우 유용함) 또는 다른 유형의 레코드 (SPF, TXT, SRV 등)와 같은 다른 유형의 DNS 레코드를 도메인에 추가 할 수 있습니다.

2 단계 : 역방향 조회 영역 만들기

기본적으로 Samba4 Ad DC는 도메인 컨트롤러가 올바르게 작동하는 데 중요하지 않기 때문에 도메인에 대한 역방향 조회 영역 및 PTR 레코드를 자동으로 추가하지 않습니다.

대신 DNS 역방향 영역과 해당 PTR 레코드는 전자 메일 서비스와 같은 일부 중요한 네트워크 서비스의 기능에 중요합니다. 이러한 유형의 레코드는 서비스를 요청하는 클라이언트의 ID를 확인하는 데 사용할 수 있기 때문입니다.

실제로 PTR 레코드는 표준 DNS 레코드의 반대입니다. 클라이언트는 리소스의 IP 주소를 알고 DNS 서버에 쿼리하여 등록 된 DNS 이름을 찾습니다.

4. Samba AD DC에 대한 역방향 조회 영역을 생성하려면 DNS 관리자를 열고 왼쪽 평면에서 역방향 조회 영역을 마우스 오른쪽 버튼으로 클릭 한 다음 메뉴에서 새 영역을 선택합니다.

5. 다음으로 다음 버튼을 누르고 Zone Type Wizard에서 Primary zone을 선택합니다.

6. 다음으로 AD 영역 복제 범위에서이 도메인의 도메인 컨트롤러에서 실행중인 모든 DNS 서버로를 선택하고 IPv4 역방향 조회 영역을 선택한 후 다음을 눌러 계속합니다.

7. 다음으로 네트워크 ID 필드에 LAN의 IP 네트워크 주소를 입력하고 다음을 눌러 계속합니다.

리소스에 대해이 영역에 추가 된 모든 PTR 레코드는 192.168.1.0/24 네트워크 부분 만 다시 가리 킵니다. 이 네트워크 세그먼트에 상주하지 않는 서버 (예 : 10.0.0.0/24 네트워크에있는 메일 서버)에 대한 PTR 레코드를 만들려면 새 역방향 조회 영역을 만들어야합니다. "네트워크 세그먼트도 있습니다.

8. 다음 화면에서 보안 동적 업데이트 만 허용을 선택하고 다음을 눌러 계속 한 다음 마지막으로 마침을 눌러 영역 생성을 완료합니다.

9.이 시점에서 도메인에 유효한 DNS 역방향 조회 영역이 구성되어 있습니다. 이 영역에 PTR 레코드를 추가하려면 오른쪽 평면을 마우스 오른쪽 버튼으로 클릭하고 네트워크 리소스에 대한 PTR 레코드를 생성하도록 선택합니다.

이 경우 게이트웨이에 대한 포인터를 만들었습니다. 레코드가 제대로 추가되었고 클라이언트의 관점에서 예상대로 작동하는지 테스트하려면 명령 프롬프트를 열고 리소스 이름에 대해 nslookup 쿼리를 실행하고 해당 IP 주소에 대해 다른 쿼리를 실행합니다.

두 쿼리 모두 DNS 리소스에 대한 정답을 반환해야합니다.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

3 단계 : 도메인 그룹 정책 관리

10. 도메인 컨트롤러의 중요한 측면은 단일 중앙 지점에서 시스템 리소스와 보안을 제어하는 기능입니다. 이러한 유형의 작업은 도메인 그룹 정책의 도움으로 도메인 컨트롤러에서 쉽게 수행 할 수 있습니다.

불행히도 삼바 도메인 컨트롤러에서 그룹 정책을 편집하거나 관리하는 유일한 방법은 Microsoft에서 제공하는 RSAT GPM 콘솔을 사용하는 것입니다.

아래 예에서는 도메인 사용자를위한 대화 형 로그온 배너를 만들기 위해 삼바 도메인에 대한 그룹 정책을 조작하는 것이 얼마나 간단한 지 확인할 수 있습니다.

그룹 정책 콘솔에 액세스하려면 제어판-> 시스템 및 보안-> 관리 도구로 이동하여 그룹 정책 관리 콘솔을 엽니 다.

도메인 필드를 확장하고 기본 도메인 정책을 마우스 오른쪽 버튼으로 클릭합니다. 메뉴에서 편집을 선택하면 새 창이 나타납니다.

11. 그룹 정책 관리 편집기 창에서 컴퓨터 구성-> 정책-> Windows 설정-> 보안 설정-> 로컬 정책-> 보안 옵션으로 이동하면 새 옵션 목록이 오른쪽 영역에 나타납니다.

오른쪽 평면에서 아래 스크린 샷에 표시된 두 항목에 따라 사용자 지정 설정을 검색하고 편집합니다.

12. 두 항목 편집을 마친 후 모든 창을 닫고 관리자 권한 명령 프롬프트를 열고 아래 명령을 실행하여 컴퓨터에 그룹 정책을 적용하도록합니다.

gpupdate /force

13. 마지막으로 컴퓨터를 재부팅하면 로그온을 시도 할 때 작동중인 로그온 배너가 표시됩니다.

그게 다야! "그룹 정책은 매우 복잡하고 민감한 주제이므로 시스템 관리자는 최대한주의를 기울여야합니다. 또한 그룹 정책 설정은 영역에 통합 된 Linux 시스템에는 어떤 방식으로도 적용되지 않습니다.