Búsqueda de sitios web

Administre el DNS y la política de grupo del controlador de dominio Samba4 AD desde Windows - Parte 4


Continuando con el tutorial anterior sobre cómo administrar Samba4 desde Windows 10 vía RSAT, en esta parte veremos cómo administrar remotamente nuestro servidor DNS del controlador de dominio Samba AD desde Microsoft DNS Manager, cómo crear registros DNS, cómo crear una búsqueda inversa. Zone y cómo crear una política de dominio a través de la herramienta de administración de políticas de grupo.

Requisitos

  1. Cree una infraestructura AD con Samba4 en Ubuntu 16.04 – Parte 1
  2. Administre la infraestructura AD Samba4 desde la línea de comandos de Linux - Parte 2
  3. Administre la infraestructura de Active Directory Samba4 desde Windows10 a través de RSAT - Parte 3

Paso 1: Administrar el servidor DNS de Samba

Samba4 AD DC utiliza un módulo de resolución de DNS interno que se crea durante la provisión inicial del dominio (si el módulo BIND9 DLZ no se utiliza específicamente).

El módulo DNS interno de Samba4 admite las funciones básicas necesarias para un controlador de dominio AD. El servidor DNS del dominio se puede administrar de dos maneras, directamente desde la línea de comandos a través de la interfaz de la herramienta samba o de forma remota desde una estación de trabajo de Microsoft que sea parte del dominio a través del RSAT DNS Manager.

Aquí cubriremos el segundo método porque es más intuitivo y no tan propenso a errores.

1. Para administrar el servicio DNS para su controlador de dominio a través de RSAT, vaya a su máquina Windows, abra el Panel de control ->< Sistema y seguridad -> Herramientas administrativas y ejecute la utilidad Administrador de DNS.

Una vez que se abra la herramienta, le preguntará a qué servidor DNS desea conectarse. Elija La siguiente computadora, escriba su nombre de dominio en el campo (o también se puede usar Dirección IP o FQDN), marque la casilla que dice 'Conéctese a la computadora especificada ahora' y presione Aceptar para abrir su servicio Samba DNS.

2. Para agregar un registro DNS (como ejemplo, agregaremos un registro A que apuntará a nuestra puerta de enlace LAN), navegue hasta el dominio Búsqueda directa Zona, haga clic derecho en el plano derecho y elija Nuevo Host (A o AAA).

3. En la ventana abierta Nuevo host, escriba el nombre y la dirección IP de su recurso DNS. El FQDN será escrito automáticamente por la utilidad DNS. Cuando termine, presione el botón Agregar host y una ventana emergente le informará que su registro DNS A se ha creado correctamente.

Asegúrese de agregar registros DNS A solo para aquellos recursos en su red configurados con direcciones IP estáticas. No agregue registros DNS A para hosts que estén configurados para adquirir configuraciones de red de un servidor DHCP o que sus direcciones IP cambien con frecuencia.

Para actualizar un registro DNS simplemente haga doble clic sobre él y escriba sus modificaciones. Para eliminar el registro, haga clic derecho en el registro y elija eliminar en el menú.

De la misma manera puedes agregar otros tipos de registros DNS para tu dominio, como por ejemplo CNAME (también conocido como registro alias DNS) MX (muy útiles para servidores de correo) u otro tipo de registros (SPF, TXT, SRV etc).

Paso 2: cree una zona de búsqueda inversa

De forma predeterminada, Samba4 Ad DC no agrega automáticamente una zona de búsqueda inversa ni registros PTR para su dominio porque estos tipos de registros no son cruciales para que un controlador de dominio funcione correctamente.

En cambio, una zona inversa DNS y sus registros PTR son cruciales para la funcionalidad de algunos servicios de red importantes, como un servicio de correo electrónico, porque este tipo de registros se pueden utilizar para verificar la identidad de los clientes que solicitan un servicio.

En la práctica, los registros PTR son todo lo contrario de los registros DNS estándar. Los clientes conocen la dirección IP de un recurso y consultan el servidor DNS para averiguar su nombre DNS registrado.

4. Para crear una zona de búsqueda inversa para Samba AD DC, abra el Administrador de DNS, haga clic derecho en Zona de búsqueda inversa en el plano izquierdo y elija Nueva zona en el menú.

5. A continuación, presione el botón Siguiente y elija la zona Primaria en el Asistente de tipo de zona.

6. A continuación, elija A todos los servidores DNS que se ejecutan en controladores de dominio en este dominio desde el Ámbito de replicación de la zona AD, elija IPv4 inverso. Zona de búsqueda y presione Siguiente para continuar.

7. A continuación, escriba la dirección de red IP para su LAN en el campo ID de red y presione Siguiente para continuar.

Todos los registros PTR agregados en esta zona para sus recursos apuntarán únicamente a la porción de red 192.168.1.0/24. Si desea crear un registro PTR para un servidor que no reside en este segmento de red (por ejemplo, un servidor de correo ubicado en la red 10.0.0.0/24), deberá crear también una nueva zona de búsqueda inversa para ese segmento de red.

8. En la siguiente pantalla, elija Permitir solo actualizaciones dinámicas seguras, presione Siguiente para continuar y, finalmente, presione Finalizar para completar la creación de la zona.

9. En este punto, tiene una zona de búsqueda inversa DNS válida configurada para su dominio. Para agregar un registro PTR en esta zona, haga clic derecho en el plano derecho y elija crear un registro PTR para un recurso de red.

En este caso hemos creado un puntero para nuestra puerta de enlace. Para probar si el registro se agregó correctamente y funciona como se esperaba desde el punto de vista del cliente, abra un Símbolo del sistema y emita una consulta nslookup con el nombre del recurso y otra consulta de su dirección IP.

Ambas consultas deberían devolver la respuesta correcta para su recurso DNS.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Paso 3: Gestión de políticas de grupo de dominio

10. Un aspecto importante de un controlador de dominio es su capacidad para controlar los recursos y la seguridad del sistema desde un único punto central. Este tipo de tarea se puede realizar fácilmente en un controlador de dominio con la ayuda de la Política de grupo de dominio.

Desafortunadamente, la única forma de editar o administrar la política de grupo en un controlador de dominio Samba es a través de la consola RSAT GPM proporcionada por Microsoft.

En el siguiente ejemplo, veremos lo sencillo que puede ser manipular la política de grupo de nuestro dominio samba para crear un banner de inicio de sesión interactivo para los usuarios de nuestro dominio.

Para acceder a la consola de políticas de grupo, vaya al Panel de control -> Sistema y seguridad -> Herramientas administrativas y abra la consola Administración de políticas de grupo.

Expanda los campos de su dominio y haga clic derecho en Política de dominio predeterminada. Elija Editar en el menú y debería aparecer una nueva ventana.

11. En la ventana del Editor de administración de políticas de grupo, vaya a Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Opciones de seguridad y debería aparecer una nueva lista de opciones en el plano derecho.

En el plano derecho, busque y edite con su configuración personalizada siguiendo dos entradas presentadas en la siguiente captura de pantalla.

12. Después de terminar de editar las dos entradas, cierre todas las ventanas, abra un símbolo del sistema elevado y fuerce la aplicación de la política de grupo en su máquina emitiendo el siguiente comando:

gpupdate /force

13. Finalmente, reinicie su computadora y verá el banner de inicio de sesión en acción cuando intente iniciar sesión.

¡Eso es todo! La Política de grupo es un tema muy complejo y delicado y los administradores del sistema deben tratarlo con el máximo cuidado. Además, tenga en cuenta que la configuración de la política de grupo no se aplicará de ninguna manera a los sistemas Linux integrados en el ámbito.