Gestioneu el DNS i la política de grup del controlador de domini Samba4 AD des de Windows - Part 4
Continuant amb el tutorial anterior sobre com administrar Samba4 des de Windows 10 mitjançant RSAT, en aquesta part veurem com gestionar de forma remota el nostre servidor DNS del controlador de domini Samba AD des de Microsoft DNS Manager, com crear registres DNS, com crear una cerca inversa Zona i com crear una política de domini mitjançant l'eina de gestió de polítiques de grup.
- Creeu una infraestructura AD amb Samba4 a Ubuntu 16.04 - Part 1
- Gestiona la infraestructura Samba4 AD des de la línia d'ordres de Linux - Part 2
- Gestioneu la infraestructura de Samba4 Active Directory des de Windows10 mitjançant RSAT - Part 3
Pas 1: Gestioneu el servidor DNS Samba
Samba4 AD DC utilitza un mòdul de resolució de DNS intern que es crea durant el subministrament inicial del domini (si el mòdul BIND9 DLZ no s'utilitza específicament).
El mòdul DNS intern de Samba4 admet les funcions bàsiques necessàries per a un controlador de domini AD. El servidor DNS del domini es pot gestionar de dues maneres, directament des de la línia d'ordres mitjançant la interfície de l'eina samba o de forma remota des d'una estació de treball de Microsoft que forma part del domini mitjançant el Gestor DNS de RSAT.
Aquí, tractarem el segon mètode perquè és més intuïtiu i no és tan propens a errors.
1. Per administrar el servei DNS per al vostre controlador de domini mitjançant RSAT, aneu a la vostra màquina Windows, obriu Tauler de control -> Sistema i seguretat -> Eines administratives i executeu la utilitat Gestor de DNS.
Un cop s'obri l'eina, us demanarà a quin servidor d'execució DNS voleu connectar. Trieu L'ordinador següent, escriviu el vostre nom de domini al camp (o també es pot utilitzar l'adreça IP o el FQDN), marqueu la casella que diu Connecteu-vos ara a l'ordinador especificat i premeu D'acord per obrir el vostre servei DNS Samba.
2. Per afegir un registre DNS (com a exemple afegirem un registre A que apuntarà a la nostra passarel·la LAN), navegueu al domini Zona de cerca directa, feu clic amb el botó dret al pla dret i trieu Amfitrió nou (A o AAA).
3. A la finestra Nou host obert, escriviu el nom i l'adreça IP del vostre recurs DNS. El FQDN s'escriurà automàticament per la utilitat DNS. Quan hàgiu acabat, premeu el botó Afegeix amfitrió i una finestra emergent us informarà que el vostre registre DNS A s'ha creat correctament.
Assegureu-vos d'afegir registres DNS A només per als recursos de la vostra xarxa configurats amb adreces IP estàtiques. No afegiu registres DNS A per als amfitrions que estan configurats per adquirir configuracions de xarxa d'un servidor DHCP o les seves adreces IP canvien sovint.
Per actualitzar un registre DNS, feu doble clic sobre ell i escriviu les vostres modificacions. Per suprimir el registre, feu clic amb el botó dret sobre el registre i trieu suprimir al menú.
De la mateixa manera podeu afegir altres tipus de registres DNS per al vostre domini, com ara registres CNAME (també conegut com a registre d'àlies DNS), registres MX (molt útils per als servidors de correu) o un altre tipus de registres (SPF, TXT, SRV, etc.).
Pas 2: creeu una zona de cerca inversa
De manera predeterminada, Samba4 Ad DC no afegeix automàticament una zona de cerca inversa i registres PTR per al vostre domini perquè aquests tipus de registres no són crucials perquè un controlador de domini funcioni correctament.
En canvi, una zona inversa DNS i els seus registres PTR són crucials per a la funcionalitat d'alguns serveis de xarxa importants, com ara un servei de correu electrònic perquè aquest tipus de registres es poden utilitzar per verificar la identitat dels clients que sol·liciten un servei.
Pràcticament, els registres PTR són just el contrari dels registres DNS estàndard. Els clients coneixen l'adreça IP d'un recurs i consulten el servidor DNS per esbrinar el seu nom DNS registrat.
4. Per tal de crear una zona de cerca inversa per a Samba AD DC, obriu el Gestor de DNS, feu clic amb el botó dret a Zona de cerca inversa des del pla esquerre i seleccioneu Zona nova al menú.
5. A continuació, premeu el botó Següent i trieu Zona primària de l'Assistent de tipus de zona.
6. A continuació, seleccioneu A tots els servidors DNS que s'executen en controladors de domini d'aquest domini des de l'àmbit de replicació de zones AD, seleccioneu Zona de cerca inversa IPv4 i premeu Següent per continuar.
7. A continuació, escriviu l'adreça de xarxa IP de la vostra LAN a l'identificador de xarxa arxivat i premeu Següent per continuar.
Tots els registres PTR afegits en aquesta zona per als vostres recursos només apuntaran a la part de xarxa 192.168.1.0/24. Si voleu crear un registre PTR per a un servidor que no resideix en aquest segment de xarxa (per exemple, un servidor de correu que es troba a la xarxa 10.0.0.0/24), haureu de crear una nova zona de cerca inversa per a això. segment de xarxa també.
8. A la pantalla següent, trieu Permetre només actualitzacions dinàmiques segures, premeu Al costat per continuar i, finalment, premeu Finalitzar per completar la creació de la zona.
9. En aquest moment, teniu una zona de cerca inversa DNS vàlida configurada per al vostre domini. Per afegir un registre PTR en aquesta zona, feu clic amb el botó dret al pla dret i trieu crear un registre PTR per a un recurs de xarxa.
En aquest cas, hem creat un punter per a la nostra passarel·la. Per comprovar si el registre s'ha afegit correctament i funciona com s'esperava des del punt de vista del client, obriu un símbol del sistema i feu una consulta nslookup amb el nom del recurs i una altra consulta per a la seva adreça IP.
Ambdues consultes haurien de retornar la resposta correcta per al vostre recurs DNS.
nslookup gate.tecmint.lan nslookup 192.168.1.1 ping gate
Pas 3: Gestió de polítiques de grup de dominis
10. Un aspecte important d'un controlador de domini és la seva capacitat per controlar els recursos del sistema i la seguretat des d'un únic punt central. Aquest tipus de tasca es pot aconseguir fàcilment en un controlador de domini amb l'ajuda de la política de grup de domini.
Malauradament, l'única manera d'editar o gestionar la política de grup en un controlador de domini samba és mitjançant la consola RSAT GPM proporcionada per Microsoft.
A l'exemple següent veurem com de senzill pot ser manipular la política de grup per al nostre domini samba per tal de crear un bàner d'inici de sessió interactiu per als usuaris del nostre domini.
Per accedir a la consola de polítiques de grup, aneu a Tauler de control -> Sistema i seguretat -> Eines administratives i obriu la consola de gestió de polítiques de grup.
Amplieu els camps del vostre domini i feu clic amb el botó dret a Política de domini predeterminada. Trieu Edita al menú i apareixerà una finestra nova.
11. A la finestra de l'Editor de gestió de polítiques de grup, aneu a Configuració de l'ordinador -> Polítiques -> Configuració de Windows -> Configuració de seguretat -> Polítiques locals -> Opcions de seguretat i hauria d'aparèixer una nova llista d'opcions al pla dret.
Al pla dret, cerqueu i editeu amb la vostra configuració personalitzada seguint dues entrades que es presenten a la captura de pantalla següent.
12. Després d'acabar d'editar les dues entrades, tanqueu totes les finestres, obriu un indicador d'ordres elevat i obligueu a aplicar la política de grup a la vostra màquina emetent l'ordre següent:
gpupdate /force
13. Finalment, reinicieu l'ordinador i veureu el bàner d'inici de sessió en acció quan intenteu iniciar la sessió.
Això és tot! La política de grup és un tema molt complex i sensible i ha de ser tractat amb la màxima cura pels administradors del sistema. A més, tingueu en compte que la configuració de la política de grup no s'aplicarà de cap manera als sistemes Linux integrats al regne.