Administrar DNS y Política de grupo del controlador de dominio de anuncios Samba4 de Windows - Parte 4

Administrar DNS y Política de grupo del controlador de dominio de anuncios Samba4 de Windows - Parte 4

Continuando con el tutorial anterior sobre cómo administrar SAMBA4 desde Windows 10 a través de RSAT, en esta parte veremos cómo administrar de forma remota nuestro servidor DNS del controlador de dominio AD Samba desde Microsoft DNS Manager, cómo crear registros DNS, cómo crear una búsqueda inversa Zona y cómo crear una política de dominio a través de la herramienta de gestión de políticas grupales.

Requisitos

  1. Cree una infraestructura publicitaria con Samba4 en Ubuntu 16.04 - Parte 1
  2. Administre la infraestructura AD SAMBA4 desde la línea de comandos de Linux - Parte 2
  3. Administre la infraestructura de Samba4 Active Directory desde Windows10 a través de RSAT - Parte 3

Paso 1: Administrar el servidor Samba DNS

Samba4 AD DC Utiliza un módulo de resolución DNS interno que se crea durante la disposición de dominio inicial (si Bind9 dlz El módulo no se usa específicamente).

Samba4 interno DNS El módulo admite las características básicas necesarias para un Controlador de dominio AD. El servidor DNS de dominio se puede administrar de dos maneras, directamente desde la línea de comandos a través de la interfaz de la herramienta samba o de forma remota desde una estación de trabajo de Microsoft que es parte del dominio a través de Gerente de DNS RSAT.

Aquí, cubriremos el segundo método porque es más intuitivo y no tan propenso a los errores.

1. Para administrar el servicio DNS para su controlador de dominio a través de RSAT, Vaya a su máquina Windows, abra Panel de control -> Sistema y seguridad -> Herramientas administrativas y correr Gerente de DNS utilidad.

Una vez que se abra la herramienta, le preguntará qué servidor DNS en ejecución desea conectarse. Elija la siguiente computadora, escriba su nombre de dominio en el campo (o Dirección IP o FQDN se puede usar también), marque la casilla que diga 'Conectarse a la computadora especificada ahora'Y golpear DE ACUERDO Para abrir tu Samba dns servicio.

Conecte DNS Samba4 en Windows

2. Para agregar un registro DNS (como ejemplo, agregaremos un A Registro que apuntará a nuestra puerta de enlace LAN), navegue al dominio Zona de búsqueda hacia adelante, Haga clic derecho en el plano derecho y elija Nuevo anfitrión (A o AAA).

Agregue un registro de DNS en Windows

3. En la ventana abierta del nuevo host, escriba la nombre y el Dirección IP de su recurso DNS. El FQDN será escrito automáticamente para usted por DNS Utility. Cuando termine, presione el Agregar host botón y una ventana emergente le informarán que su DNS A El registro se ha creado con éxito.

Asegúrate de agregar DNS A registra solo para aquellos recursos en su red configurados con direcciones IP estáticas. No agregues DNS A registros para hosts que están configurados para adquirir configuraciones de red de un DHCP servidor o su Direcciones IP cambio a menudo.

Configurar el host de samba en Windows

Para actualizar un DNS Registre simplemente haga doble clic en él y escriba sus modificaciones. Para eliminar el registro, haga clic derecho en el registro y elige borrar Desde el menú.

De la misma manera puede agregar otros tipos de DNS Registros para su dominio, como Nombre (también conocido como Alias ​​DNS registro) Mx registros (muy útiles para servidores de correo) u otro tipo de registros (SPF, TXT, SRV etc).

Paso 2: crea una zona de búsqueda inversa

Por defecto, Samba4 AD DC No agrega automáticamente una zona de búsqueda inversa y registros PTR para su dominio porque estos tipos de registros no son cruciales para que un controlador de dominio funcione correctamente.

En cambio, una zona inversa de DNS y sus registros PTR son cruciales para la funcionalidad de algunos servicios de red importantes, como un servicio de correo electrónico porque este tipo de registros se puede utilizar para verificar la identidad de los clientes que solicitan un servicio.

Prácticamente, los registros de PTR son lo contrario de los registros DNS estándar. Los clientes conocen la dirección IP de un recurso y consultan el servidor DNS para averiguar su nombre DNS registrado.

4. Para crear una zona de búsqueda inversa para Samba AD DC, abierto Gerente de DNS, Haga clic derecho en Zona de búsqueda inversa desde el avión izquierdo y elija Nueva zona Desde el menú.

Crear zona DNS de búsqueda inversa

5. A continuación, golpea Próximo botón y elija Primario de la zona de Asistente de tipo de zona.

Seleccionar el tipo de zona DNS

6. A continuación, elige todos DNS servidores que se ejecutan en controladores de dominio en este dominio desde el Alcance de replicación de la zona publicitaria, elegir Zona de búsqueda inversa de IPv4 y golpear Próximo continuar.

Seleccione DNS para el controlador de dominio Samba Agregar nombre de zona de búsqueda inversa

7. A continuación, escriba la dirección de red IP para su Lan en Identificación de red Archivado y golpeado Próximo continuar.

Todo PTR Los registros agregados en esta zona para sus recursos apuntarán solo a 192.168.1.24/04 porción de red. Si desea crear un registro PTR para un servidor que no reside en este segmento de red (por ejemplo, un servidor de correo que se encuentra en 10.0.0.24/04 red), entonces necesitará crear una nueva zona de búsqueda inversa para ese segmento de red también.

Agregar dirección IP de la zona DNS de búsqueda inversa

8. En la siguiente pantalla elige Permitir solo asegurar actualizaciones dinámicas, presione al lado de continuar y finalmente presione finalizar Para completar la creación de la zona.

Habilitar actualizaciones dinámicas seguras Nuevo resumen de la zona DNS

9. En este punto, tiene una zona de búsqueda inversa de DNS válida configurada para su dominio. Para agregar un PTR Registro en esta zona, haga clic derecho a la derecha avión y elige crear un PTR Registro para un recurso de red.

En este caso hemos creado un puntero para nuestra puerta de entrada. Para probar si el registro se agregó correctamente y funciona como se esperaba desde el punto de vista del cliente, abra un Solicitante del sistema y emitir un nslookup consulta contra el nombre del recurso y otra consulta para su dirección IP.

Ambas consultas deben devolver la respuesta correcta para su recurso DNS.

Puerta de Nslookup.tecmenta.lan nslookup 192.168.1.1 puerta de ping 
Agregar registro de DNS PTR y consulta PTR

Paso 3: Gestión de políticas del grupo de dominio

10. Un aspecto importante de un controlador de dominio es su capacidad para controlar los recursos y la seguridad del sistema desde un solo punto central. Este tipo de tarea se puede lograr fácilmente en un controlador de dominio con la ayuda de Política de grupo de dominio.

Desafortunadamente, la única forma de editar o administrar la política grupal en un controlador de dominio de Samba es a través de RSAT GPM Consola proporcionada por Microsoft.

En el siguiente ejemplo, veremos qué tan simple puede ser manipular la política grupal para nuestro dominio Samba para crear un banner de inicio de sesión interactivo para nuestros usuarios de dominio.

Para acceder a la consola de políticas grupales, vaya a Panel de control -> Sistema y seguridad -> Herramientas administrativas y abrir Administración de Políticas de Grupo consola.

Expandir los campos para su dominio y haga clic derecho en Política de dominio predeterminada. Elegir Editar Desde el menú y deben aparecer una nueva ventana.

Administrar la política del Grupo de Dominio Samba

11. En Editor de gestión de políticas grupales ventana ir a Configuracion de Computadora -> Políticas -> Configuración de Windows -> Configuraciones de seguridad -> Políticas locales -> Opciones de seguridad y una nueva lista de opciones debe aparecer en el avión correcto.

En el plano correcto, busque y edite con su configuración personalizada siguiendo dos entradas presentadas en la siguiente captura de pantalla.

Configurar la política de grupo de dominio samba

12. Después de terminar de editar las dos entradas, cierre todas las ventanas, abra un símbolo del sistema elevado y forzue la política de grupo para aplicar en su máquina emitiendo el siguiente comando:

GPUPDATE /FUERZA 
Actualizar la política del Grupo de Dominio Samba

13. Finalmente, reinicie su computadora y verá el banner de inicio de sesión en acción cuando intente realizar el inicio de sesión.

Banner de inicio de sesión del controlador de dominio de AD Samba4

Eso es todo! Política grupal es un tema muy complejo y sensible y debe ser tratado con el máximo cuidado por los administradores del sistema. Además, tenga en cuenta que la configuración de la política de grupo no se aplicará de ninguna manera a los sistemas de Linux integrados en el reino.