Administre el DNS del controlador de dominio Samba4 AD y la directiva de grupo desde Windows - Parte 4


Continuando con el tutorial anterior sobre cómo administrar Samba4 desde Windows 10 a través de RSAT, en esta parte veremos cómo administrar de manera remota nuestro servidor DNS del controlador de dominio AD de Samba desde Microsoft DNS Manager, cómo crear registros DNS, cómo crear una búsqueda inversa Zona y cómo crear una política de dominio a través de la herramienta de administración de políticas de grupo.

  1. Create an AD Infrastructure with Samba4 on Ubuntu 16.04 – Part 1
  2. Manage Samba4 AD Infrastructure from Linux Command Line – Part 2
  3. Manage Samba4 Active Directory Infrastructure from Windows10 via RSAT – Part 3

Paso 1: Administrar el servidor DNS de Samba

Samba4 AD DC utiliza un módulo de resolución de DNS interno que se crea durante la provisión inicial del dominio (si el módulo BIND9 DLZ no se usa específicamente).

El módulo Samba4 interno DNS admite las funciones básicas necesarias para un Controlador de dominio AD . El servidor DNS del dominio se puede administrar de dos maneras, directamente desde la línea de comandos a través de la interfaz de samba-tool o de forma remota desde una estación de trabajo de Microsoft que forma parte del dominio a través del RSAT DNS Manager .

Aquí, cubriremos el segundo método porque es más intuitivo y no tan propenso a errores.

1. Para administrar el servicio DNS para su controlador de dominio a través de RSAT , vaya a su máquina Windows, abra Panel de control - & gt; Sistema y seguridad - & gt; Herramientas administrativas y ejecute la utilidad Administrador de DNS .

Una vez que la herramienta se abra, le preguntará en qué servidor DNS en ejecución desea conectarse. Elija la siguiente computadora, escriba su nombre de dominio en el campo (o Dirección IP o FQDN también se puede usar), marque la casilla que dice ' Conectarse a la computadora especificada ahora ' y presione Aceptar para abrir su servicio Samba DNS .

2. Para agregar un registro DNS (como ejemplo agregaremos un registro A que apuntará a nuestra puerta de enlace LAN), navegue al dominio Búsqueda hacia adelante Zona , haga clic con el botón derecho en el plano derecho y seleccione Nuevo host ( A o AAA ).

3. En la ventana Abrir el nuevo host, escriba el nombre y la dirección IP de su recurso DNS. El FQDN se escribirá automáticamente para usted mediante la utilidad DNS. Cuando haya terminado, presione el botón Agregar host y una ventana emergente le informará que su registro DNS A se ha creado correctamente.

Asegúrese de agregar registros DNS A solo para aquellos recursos en su red configurados con direcciones IP estáticas. No agregue registros DNS A para los hosts que están configurados para adquirir configuraciones de red desde un servidor DHCP o sus direcciones IP cambian a menudo.

Para actualizar un registro DNS , simplemente haga doble clic en él y escriba sus modificaciones. Para eliminar el registro, haga clic derecho en el registro y elija eliminar en el menú.

De la misma manera, puede agregar otros tipos de registros DNS para su dominio, como el CNAME (también conocido como alias DNS registro) Registros MX (muy útiles para servidores de correo) u otro tipo de registros ( SPF , TXT , SRV , etc.).

Paso 2: crear una zona de búsqueda inversa

De forma predeterminada, Samba4 Ad DC no agrega automáticamente una zona de búsqueda inversa y registros PTR para su dominio porque estos tipos de registros no son cruciales para que un controlador de dominio funcione correctamente.

En cambio, una zona de reversa de DNS y sus registros PTR son cruciales para la funcionalidad de algunos servicios de red importantes, como un servicio de correo electrónico, ya que este tipo de registros se pueden usar para verificar la identidad de los clientes que solicitan un servicio.

En la práctica, los registros PTR son justo lo contrario de los registros DNS estándar. Los clientes conocen la dirección IP de un recurso y consultan al servidor DNS para averiguar su nombre DNS registrado.

4. Para crear una zona de búsqueda inversa para Samba AD DC , abra Administrador de DNS , haga clic con el botón derecho en Zona de búsqueda inversa en el plano izquierdo y seleccione Nueva zona en el menú.

5. A continuación, presione el botón Siguiente y elija la zona Principal en Asistente de tipo de zona .

6. A continuación, elija A todos los servidores DNS que se ejecutan en los controladores de dominio en este dominio desde Ámbito de replicación de la zona de AD , elija IPv4 Reverse Busque en la zona y presione Siguiente para continuar.

7. A continuación, escriba la dirección de red IP de su LAN en ID de red y presione Siguiente para continuar.

Todos los registros de PTR que se agreguen en esta zona para sus recursos solo apuntarán a la parte de red 192.168.1.0/24 . Si desea crear un registro PTR para un servidor que no reside en este segmento de red (por ejemplo, el servidor de correo que se encuentra en la red 10.0.0.0/24 ), entonces deberá crear una nueva zona de búsqueda inversa para ese segmento de red también.

8. En la siguiente pantalla, elija Permitir solo actualizaciones dinámicas seguras, presione siguiente para continuar y, finalmente, presione terminar para completar la creación de la zona.

9. En este punto, tiene una zona de búsqueda inversa de DNS válida configurada para su dominio. Para agregar un registro PTR en esta zona, haga clic derecho en el plano derecho y elija crear un registro PTR para un recurso de red.

En este caso, hemos creado un puntero para nuestra puerta de enlace. Para probar si el registro se agregó correctamente y funciona como se espera desde el punto de vista del cliente, abra un Símbolo del sistema y emita una consulta nslookup contra el nombre del recurso Otra consulta para su dirección IP.

Ambas consultas deben devolver la respuesta correcta para su recurso DNS.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Paso 3: Administración de políticas de grupo de dominio

10. Un aspecto importante de un controlador de dominio es su capacidad para controlar los recursos del sistema y la seguridad desde un único punto central. Este tipo de tarea se puede lograr fácilmente en un controlador de dominio con la ayuda de Política de grupo de dominio .

Desafortunadamente, la única forma de editar o administrar la política de grupo en un controlador de dominio samba es a través de la RSAT GPM consola proporcionada por Microsoft.

En el siguiente ejemplo, veremos lo sencillo que puede ser manipular la política de grupo para nuestro dominio samba para crear un banner de inicio de sesión interactivo para nuestros usuarios de dominio.

Para acceder a la consola de políticas de grupo, vaya a Panel de control - & gt; Sistema y seguridad - & gt; < strong> Herramientas administrativas y abra la consola Administración de políticas de grupo .

Expanda los campos de su dominio y haga clic con el botón derecho en Política de dominio predeterminada . Elija Editar en el menú y aparecerá una nueva ventana.

11. En la ventana Editor de administración de políticas de grupo vaya a Configuración de la computadora - & gt; Políticas - & gt; Configuración de Windows - & gt; Configuración de seguridad - & gt; < fuertes> Políticas locales - & gt; Opciones de seguridad y una nueva lista de opciones debe aparecer en el plano derecho.

En el plano derecho, busque y edite con sus configuraciones personalizadas siguiendo las dos entradas presentadas en la siguiente captura de pantalla.

12. Después de terminar de editar las dos entradas, cierre todas las ventanas, abra un símbolo del sistema elevado y obligue a que se aplique la política de grupo en su máquina emitiendo el siguiente comando:

gpupdate /force

13. Finalmente, reinicia tu computadora y verás el banner de inicio de sesión en acción cuando intentes realizar el inicio de sesión.

¡Eso es todo! Política de grupo es un tema muy complejo y delicado y debe ser tratado con el máximo cuidado por los administradores del sistema. Además, tenga en cuenta que la configuración de la directiva de grupo no se aplicará de ninguna manera a los sistemas Linux integrados en el reino.