Kelola DNS Pengontrol Domain Samba4 AD dan Kebijakan Grup dari Windows - Bagian 4

Melanjutkan tutorial sebelumnya tentang cara mengelola Samba4 dari Windows 10 melalui RSAT, di bagian ini kita akan melihat cara mengelola server DNS pengontrol Domain Samba AD dari jarak jauh dari Microsoft DNS Manager, cara membuat catatan DNS, cara membuat Reverse Lookup Zona dan cara membuat kebijakan domain melalui alat Manajemen Kebijakan Grup.

Persyaratan

  1. Buat Infrastruktur AD dengan Samba4 di Ubuntu 16.04 – Bagian 1
  2. Kelola Infrastruktur Samba4 AD dari Linux Command Line – Bagian 2
  3. Kelola Infrastruktur Direktori Aktif Samba4 dari Windows10 melalui RSAT – Bagian 3

Langkah 1: Kelola Server DNS Samba

Samba4 AD DC menggunakan modul penyelesai DNS internal yang dibuat selama penyediaan domain awal (jika modul BIND9 DLZ tidak digunakan secara khusus).

Modul DNS internal Samba4 mendukung fitur dasar yang diperlukan untuk Pengontrol Domain AD. Server DNS domain dapat dikelola dengan dua cara, langsung dari baris perintah melalui antarmuka alat samba atau secara jarak jauh dari workstation Microsoft yang merupakan bagian dari domain melalui RSAT DNS Manager.

Di sini, kami akan membahas metode kedua karena lebih intuitif dan tidak rentan terhadap kesalahan.

1. Untuk mengelola layanan DNS bagi pengontrol domain Anda melalui RSAT, buka mesin Windows Anda, buka Panel Kontrol ->< Sistem dan Keamanan -> Alat Administratif dan jalankan utilitas Pengelola DNS.

Setelah alat terbuka, ia akan menanyakan server DNS mana yang ingin Anda sambungkan. Pilih Komputer berikut, ketik nama domain Anda di kolom (atau Alamat IP atau FQDN juga dapat digunakan), centang kotak yang mengatakan 'Hubungkan ke komputer yang ditentukan sekarang' dan tekan OK untuk membuka layanan Samba DNS Anda.

2. Untuk menambahkan data DNS (sebagai contoh kita akan menambahkan data A yang akan mengarah ke gateway LAN kita), navigasikan ke domain Forward Lookup Zone, klik kanan pada bidang kanan dan pilih Host Baru (A atau AAA).

3. Pada jendela Host baru dibuka, ketikkan nama dan Alamat IP sumber daya DNS Anda. FQDN akan secara otomatis ditulis untuk Anda oleh utilitas DNS. Setelah selesai, tekan tombol Tambahkan Host dan jendela pop-up akan memberi tahu Anda bahwa data DNS A Anda telah berhasil dibuat.

Pastikan Anda menambahkan data DNS A hanya untuk sumber daya tersebut di jaringan Anda yang dikonfigurasi dengan Alamat IP statis. Jangan menambahkan data DNS A untuk host yang dikonfigurasi untuk memperoleh konfigurasi jaringan dari server DHCP karena Alamat IP-nya sering berubah.

Untuk memperbarui data DNS cukup klik dua kali data tersebut dan tulis modifikasi Anda. Untuk menghapus rekaman, klik kanan pada catatan dan pilih hapus dari menu.

Dengan cara yang sama, Anda dapat menambahkan jenis data DNS lainnya untuk domain Anda, seperti CNAME (juga dikenal sebagai data DNS alias) Data MX (sangat berguna untuk server email) atau jenis data lainnya (SPF, TXT, SRV dll).

Langkah 2: Buat Zona Pencarian Terbalik

Secara default, Samba4 Ad DC tidak secara otomatis menambahkan zona pencarian terbalik dan data PTR untuk domain Anda karena jenis data ini tidak penting agar pengontrol domain berfungsi dengan benar.

Sebaliknya, zona pembalikan DNS dan catatan PTR-nya sangat penting untuk fungsionalitas beberapa layanan jaringan penting, seperti layanan email karena jenis catatan ini dapat digunakan untuk memverifikasi identitas klien yang meminta layanan.

Praktisnya, data PTR merupakan kebalikan dari data DNS standar. Klien mengetahui alamat IP sumber daya dan menanyakan server DNS untuk mengetahui nama DNS terdaftar mereka.

4. Untuk membuat zona pencarian terbalik untuk Samba AD DC, buka DNS Manager, klik kanan pada Reverse Lookup Zone dari bidang kiri dan pilih Zona Baru dari menu.

5. Selanjutnya, tekan tombol Berikutnya dan pilih zona Utama dari Zone Type Wizard.

6. Selanjutnya, pilih Ke semua server DNS yang berjalan pada pengontrol domain di domain ini dari Cakupan Replikasi Zona AD, pilih IPv4 Terbalik Zona Pencarian dan tekan Berikutnya untuk melanjutkan.

7. Selanjutnya, ketik alamat jaringan IP untuk LAN Anda di kolom ID Jaringan dan tekan Berikutnya untuk melanjutkan.

Semua data PTR yang ditambahkan di zona ini untuk sumber daya Anda hanya akan mengarah kembali ke bagian jaringan 192.168.1.0/24. Jika Anda ingin membuat data PTR untuk server yang tidak berada di segmen jaringan ini (misalnya server email yang terletak di jaringan 10.0.0.0/24), maka Anda harus membuat zona pencarian terbalik baru untuk segmen jaringan tersebut juga.

8. Di layar berikutnya pilih untuk Izinkan hanya pembaruan dinamis yang aman, tekan berikutnya untuk melanjutkan dan, terakhir tekan selesai untuk menyelesaikan pembuatan zona.

9. Pada titik ini Anda memiliki zona pencarian balik DNS yang valid yang dikonfigurasi untuk domain Anda. Untuk menambahkan data PTR di zona ini, klik kanan pada bidang kanan dan pilih untuk membuat data PTR untuk sumber daya jaringan.

Dalam hal ini kami telah membuat penunjuk untuk gateway kami. Untuk menguji apakah data telah ditambahkan dengan benar dan berfungsi seperti yang diharapkan dari sudut pandang klien, buka Command Prompt dan keluarkan kueri nslookup terhadap nama sumber daya dan permintaan lain untuk Alamat IP-nya.

Kedua pertanyaan tersebut harus mengembalikan jawaban yang benar untuk sumber daya DNS Anda.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Langkah 3: Manajemen Kebijakan Grup Domain

10. Aspek penting dari pengontrol domain adalah kemampuannya untuk mengontrol sumber daya dan keamanan sistem dari satu titik pusat. Jenis tugas ini dapat dengan mudah dilakukan di pengontrol domain dengan bantuan Kebijakan Grup Domain.

Sayangnya, satu-satunya cara untuk mengedit atau mengelola kebijakan grup di pengontrol domain samba adalah melalui konsol RSAT GPM yang disediakan oleh Microsoft.

Dalam contoh di bawah ini kita akan melihat betapa sederhananya memanipulasi kebijakan grup untuk domain samba kita untuk membuat spanduk masuk interaktif untuk pengguna domain kita.

Untuk mengakses konsol kebijakan grup, buka Panel Kontrol -> Sistem dan Keamanan -> Alat Administratif dan buka konsol Manajemen Kebijakan Grup.

Luaskan bidang untuk domain Anda dan klik kanan pada Kebijakan Domain Default. Pilih Edit dari menu dan jendela baru akan muncul.

11. Pada jendela Group Policy Management Editor buka Computer Configuration -> Policies -> Setelan Windows -> Setelan keamanan -> Kebijakan Lokal -> Opsi Keamanan dan daftar opsi baru akan muncul di bidang kanan.

Di bidang kanan, cari dan edit dengan pengaturan khusus Anda mengikuti dua entri yang disajikan pada gambar di bawah.

12. Setelah selesai mengedit dua entri, tutup semua jendela, buka Command prompt yang ditinggikan dan paksa kebijakan grup untuk diterapkan pada mesin Anda dengan mengeluarkan perintah di bawah ini:

gpupdate /force

13. Terakhir, reboot komputer Anda dan Anda akan melihat spanduk logon beraksi saat Anda mencoba melakukan logon.

Itu saja! Kebijakan Grup adalah subjek yang sangat kompleks dan sensitif dan harus ditangani dengan sangat hati-hati oleh admin sistem. Perlu diketahui juga bahwa pengaturan kebijakan grup tidak akan berlaku dengan cara apa pun pada sistem Linux yang terintegrasi ke dalam dunia ini.