Administrar el DNS del controlador de dominio AD Samba4 y la política de grupo desde Windows - Parte 4

Continuando con el tutorial anterior sobre cómo administrar Samba4 desde Windows 10 a través de RSAT, en esta parte veremos cómo administrar de forma remota nuestro servidor DNS del controlador de dominio Samba AD desde Microsoft DNS Manager, cómo crear registros DNS, cómo crear una búsqueda inversa. Zone y cómo crear una política de dominio a través de la herramienta de administración de políticas de grupo.

  1. Cree una infraestructura AD con Samba4 en Ubuntu 16.04 - Parte 1
  2. Administrar la infraestructura AD de Samba4 desde la línea de comandos de Linux - Parte 2
  3. Administrar la infraestructura de Active Directory de Samba4 desde Windows10 a través de RSAT - Parte 3

Paso 1: administrar el servidor DNS de Samba

Samba4 AD DC usa un módulo de resolución de DNS interno que se crea durante la provisión de dominio inicial (si el módulo BIND9 DLZ no se usa específicamente).

El módulo DNS interno de Samba4 admite las funciones básicas necesarias para un controlador de dominio AD. El servidor DNS del dominio se puede administrar de dos maneras, directamente desde la línea de comandos a través de la interfaz de la herramienta samba o de forma remota desde una estación de trabajo de Microsoft que es parte del dominio a través de RSAT DNS Manager.

Aquí, cubriremos el segundo método porque es más intuitivo y no tan propenso a errores.

1. Para administrar el servicio DNS para su controlador de dominio a través de RSAT, vaya a su máquina Windows, abra Panel de control -> Sistema y seguridad -> Herramientas administrativas y ejecute la utilidad Administrador de DNS.

Una vez que se abre la herramienta, le preguntará a qué servidor DNS en ejecución desea conectarse. Elija La siguiente computadora, escriba su nombre de dominio en el campo (o la dirección IP o FQDN también se pueden usar), marque la casilla que dice "Conectarse a la computadora especificada ahora" y presione OK para abrir su servicio Samba DNS.

2. Para agregar un registro DNS (como ejemplo, agregaremos un registro A que apuntará a nuestra puerta de enlace LAN), navegue hasta el dominio Forward Lookup Zone, haga clic derecho en el plano derecho y elija Nuevo host ( A o AAA ).

3. En la ventana abierta Nuevo host, escriba el nombre y la dirección IP de su recurso DNS. La utilidad DNS escribirá automáticamente el FQDN. Cuando termine, presione el botón Agregar host y una ventana emergente le informará que su registro DNS A se ha creado correctamente.

Asegúrese de agregar registros DNS A solo para aquellos recursos en su red configurados con direcciones IP estáticas. No agregue registros DNS A para hosts que están configurados para adquirir configuraciones de red de un servidor DHCP o sus direcciones IP cambian con frecuencia.

Para actualizar un registro DNS, simplemente haga doble clic en él y escriba sus modificaciones. Para eliminar el registro, haga clic con el botón derecho en el registro y elija eliminar en el menú.

De la misma forma puedes agregar otros tipos de registros DNS para tu dominio, como CNAME (también conocido como registro de alias DNS) registros MX (muy útil para servidores de correo) u otro tipo de registros (SPF, TXT, SRV etc.).

Paso 2: crear una zona de búsqueda inversa

De forma predeterminada, Samba4 Ad DC no agrega automáticamente una zona de búsqueda inversa y registros PTR para su dominio porque estos tipos de registros no son cruciales para que un controlador de dominio funcione correctamente.

En cambio, una zona inversa de DNS y sus registros PTR son cruciales para la funcionalidad de algunos servicios de red importantes, como un servicio de correo electrónico, porque este tipo de registros se pueden utilizar para verificar la identidad de los clientes que solicitan un servicio.

Prácticamente, los registros PTR son todo lo contrario a los registros DNS estándar. Los clientes conocen la dirección IP de un recurso y consultan al servidor DNS para averiguar su nombre DNS registrado.

4. Para crear una zona de búsqueda inversa para Samba AD DC, abra el Administrador de DNS, haga clic con el botón derecho en Zona de búsqueda inversa en el plano izquierdo y seleccione Nueva zona en el menú.

5. A continuación, presione el botón Siguiente y elija Zona principal en el Asistente de tipo de zona.

6. A continuación, elija A todos los servidores DNS que se ejecutan en controladores de dominio en este dominio desde el Ámbito de replicación de la zona AD, elija Zona de búsqueda inversa IPv4 y presione Siguiente para continuar.

7. A continuación, escriba la dirección de red IP de su LAN en el campo ID de red y presione Siguiente para continuar.

Todos los registros PTR agregados en esta zona para sus recursos apuntarán solo a la porción de red 192.168.1.0/24. Si desea crear un registro PTR para un servidor que no reside en este segmento de red (por ejemplo, un servidor de correo que se encuentra en la red 10.0.0.0/24), deberá crear una nueva zona de búsqueda inversa para eso. segmento de red también.

8. En la siguiente pantalla, elija Permitir solo actualizaciones dinámicas seguras, presione Siguiente para continuar y, finalmente, presione Finalizar para completar la creación de la zona.

9. En este punto, tiene una zona de búsqueda inversa de DNS válida configurada para su dominio. Para agregar un registro PTR en esta zona, haga clic con el botón derecho en el plano derecho y elija crear un registro PTR para un recurso de red.

En este caso, hemos creado un puntero para nuestra puerta de enlace. Para probar si el registro se agregó correctamente y funciona como se esperaba desde el punto de vista del cliente, abra un símbolo del sistema y emita una consulta nslookup contra el nombre del recurso y otra consulta para su dirección IP.

Ambas consultas deben devolver la respuesta correcta para su recurso DNS.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Paso 3: administración de políticas de grupo de dominio

10. Un aspecto importante de un controlador de dominio es su capacidad para controlar los recursos del sistema y la seguridad desde un solo punto central. Este tipo de tarea se puede lograr fácilmente en un controlador de dominio con la ayuda de la Política de grupo de dominio.

Desafortunadamente, la única forma de editar o administrar la política de grupo en un controlador de dominio samba es a través de la consola RSAT GPM proporcionada por Microsoft.

En el siguiente ejemplo, veremos lo simple que puede ser manipular la política de grupo para nuestro dominio samba con el fin de crear un banner de inicio de sesión interactivo para los usuarios de nuestro dominio.

Para acceder a la consola de políticas de grupo, vaya a Panel de control -> Sistema y seguridad -> Herramientas administrativas y abra la consola de administración de políticas de grupo.

Expanda los campos de su dominio y haga clic con el botón derecho en Política de dominio predeterminada. Elija Editar en el menú y debería aparecer una nueva ventana.

11. En la ventana del Editor de administración de políticas de grupo, vaya a Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Opciones de seguridad y debería aparecer una nueva lista de opciones en el plano derecho.

En el plano de la derecha, busque y edite con su configuración personalizada siguiendo dos entradas presentadas en la siguiente captura de pantalla.

12. Después de terminar de editar las dos entradas, cierre todas las ventanas, abra un símbolo del sistema elevado y fuerce la aplicación de la política de grupo en su máquina emitiendo el siguiente comando:

gpupdate /force

13. Finalmente, reinicie su computadora y verá el banner de inicio de sesión en acción cuando intente iniciar sesión.

¡Eso es todo! La política de grupo es un tema muy complejo y delicado y los administradores del sistema deben tratarlo con el máximo cuidado. Además, tenga en cuenta que la configuración de la política de grupo no se aplicará de ninguna manera a los sistemas Linux integrados en el reino.