Ricerca nel sito web

Gestire i DNS e i criteri di gruppo del controller di dominio AD Samba4 da Windows - Parte 4


Continuando il tutorial precedente su come amministrare Samba4 da Windows 10 tramite RSAT, in questa parte vedremo come gestire da remoto il server DNS del nostro controller di dominio Samba AD da Microsoft DNS Manager, come creare record DNS, come creare una ricerca inversa Zone e come creare una policy di dominio tramite lo strumento Gestione policy di gruppo.

Requisiti

  1. Creare un'infrastruttura AD con Samba4 su Ubuntu 16.04 – Parte 1
  2. Gestire l'infrastruttura AD Samba4 dalla riga di comando di Linux – Parte 2
  3. Gestire l'infrastruttura Active Directory Samba4 da Windows10 tramite RSAT – Parte 3

Passaggio 1: gestire il server DNS Samba

Samba4 AD DC utilizza un modulo risolutore DNS interno che viene creato durante la fornitura iniziale del dominio (se il modulo BIND9 DLZ non viene utilizzato specificamente).

Il modulo DNS interno Samba4 supporta le funzionalità di base necessarie per un AD Domain Controller. Il server DNS del dominio può essere gestito in due modi, direttamente dalla riga di comando tramite l'interfaccia dello strumento samba o in remoto da una workstation Microsoft che fa parte del dominio tramite RSAT DNS Manager.

Qui tratteremo il secondo metodo perché è più intuitivo e meno soggetto a errori.

1. Per amministrare il servizio DNS per il tuo controller di dominio tramite RSAT, vai sul tuo computer Windows, apri Pannello di controllo ->< Sistema e sicurezza -> Strumenti di amministrazione ed esegui l'utilità Gestione DNS.

Una volta aperto lo strumento, ti verrà chiesto a quale server DNS in esecuzione desideri connetterti. Scegli Il seguente computer, digita il tuo nome di dominio nel campo (o è possibile utilizzare anche Indirizzo IP o FQDN), seleziona la casella dice "Connettiti adesso al computer specificato" e premi OK per aprire il servizio Samba DNS.

2. Per aggiungere un record DNS (ad esempio aggiungeremo un record A che punterà al nostro gateway LAN), vai al dominio Ricerca diretta Zona, fai clic con il pulsante destro del mouse sul piano destro e scegli Nuovo host (A o AAA).

3. Nella finestra Nuovo host aperto, digita il nome e l'indirizzo IP della tua risorsa DNS. Il FQDN verrà scritto automaticamente dall'utilità DNS. Al termine, premi il pulsante Aggiungi host e una finestra pop-up ti informerà che il tuo record DNS A è stato creato con successo.

Assicurati di aggiungere record DNS A solo per le risorse nella tua rete configurate con indirizzi IP statici. Non aggiungere record DNS A per host configurati per acquisire configurazioni di rete da un server DHCP altrimenti i loro indirizzi IP cambiano spesso.

Per aggiornare un record DNS basta fare doppio clic su di esso e scrivere le modifiche. Per eliminare il record, fai clic con il pulsante destro del mouse sul record e scegli elimina dal menu.

Allo stesso modo puoi aggiungere altri tipi di record DNS per il tuo dominio, come CNAME (noto anche come record Alias DNS) MX (molto utili per i server di posta) o altri tipi di record (SPF, TXT, SRV ecc.).

Passaggio 2: crea una zona di ricerca inversa

Per impostazione predefinita, Samba4 Ad DC non aggiunge automaticamente una zona di ricerca inversa e record PTR per il tuo dominio perché questi tipi di record non sono cruciali per il corretto funzionamento di un controller di dominio.

Invece, una zona inversa DNS e i relativi record PTR sono cruciali per la funzionalità di alcuni importanti servizi di rete, come un servizio di posta elettronica perché questo tipo di record può essere utilizzato per verificare l'identità dei client che richiedono un servizio.

In pratica, i record PTR sono esattamente l’opposto dei record DNS standard. I client conoscono l'indirizzo IP di una risorsa e interrogano il server DNS per scoprire il nome DNS registrato.

4. Per creare una zona di ricerca inversa per Samba AD DC, apri Gestore DNS, fai clic con il pulsante destro del mouse su Zona di ricerca inversa dal piano sinistro e scegli Nuova zona dal menu.

5. Successivamente, premi il pulsante Avanti e scegli la zona Principale dalla Procedura guidata per il tipo di zona.

6. Successivamente, scegli A tutti i server DNS in esecuzione sui controller di dominio in questo dominio dall'Ambito di replica della zona AD, scegli IPv4 Reverse Zona di ricerca e premi Avanti per continuare.

7. Successivamente, digita l'indirizzo di rete IP per la tua LAN nel campo ID di rete archiviato e premi Avanti per continuare.

Tutti i record PTR aggiunti in questa zona per le tue risorse rimanderanno solo alla porzione di rete 192.168.1.0/24. Se desideri creare un record PTR per un server che non risiede in questo segmento di rete (ad esempio un server di posta che si trova nella rete 10.0.0.0/24), dovrai creare una nuova zona di ricerca inversa anche per quel segmento di rete.

8. Nella schermata successiva scegli Consenti solo aggiornamenti dinamici protetti, premi Avanti per continuare e infine premi Fine per completare la creazione della zona.

9. A questo punto hai configurato una zona di ricerca inversa DNS valida per il tuo dominio. Per aggiungere un record PTR in questa zona, fare clic con il pulsante destro del mouse sul piano destro e scegliere di creare un record PTR per una risorsa di rete.

In questo caso abbiamo creato un puntatore per il nostro gateway. Per verificare se il record è stato aggiunto correttamente e funziona come previsto dal punto di vista del cliente, aprire un prompt dei comandi ed eseguire una query nslookup sul nome della risorsa e un'altra query per il suo indirizzo IP.

Entrambe le query dovrebbero restituire la risposta corretta per la tua risorsa DNS.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Passaggio 3: gestione dei criteri di gruppo del dominio

10. Un aspetto importante di un controller di dominio è la sua capacità di controllare le risorse di sistema e la sicurezza da un unico punto centrale. Questo tipo di attività può essere facilmente eseguita in un controller di dominio con l'aiuto di Criteri di gruppo di dominio.

Sfortunatamente, l'unico modo per modificare o gestire i criteri di gruppo in un controller di dominio Samba è tramite la console RSAT GPM fornita da Microsoft.

Nell'esempio seguente vedremo quanto può essere semplice manipolare i criteri di gruppo per il nostro dominio Samba per creare un banner di accesso interattivo per gli utenti del nostro dominio.

Per accedere alla console dei criteri di gruppo, vai a Pannello di controllo -> Sistema e sicurezza -> Strumenti di amministrazione e apri la console Gestione criteri di gruppo.

Espandi i campi per il tuo dominio e fai clic con il pulsante destro del mouse su Politica dominio predefinito. Scegli Modifica dal menu e dovrebbe apparire una nuova finestra.

11. Nella finestra Editor gestione criteri di gruppo vai a Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Opzioni di sicurezza e un nuovo elenco di opzioni dovrebbero apparire nel piano destro.

Nel piano destro cerca e modifica con le tue impostazioni personalizzate seguendo le due voci presentate nello screenshot seguente.

12. Dopo aver terminato la modifica delle due voci, chiudi tutte le finestre, apri un prompt dei comandi con privilegi elevati e forza l'applicazione dei criteri di gruppo sul tuo computer emettendo il comando seguente:

gpupdate /force

13. Infine, riavvia il computer e vedrai il banner di accesso in azione quando proverai ad eseguire l'accesso.

È tutto! I Criteri di gruppo sono un argomento molto complesso e delicato e dovrebbero essere trattati con la massima cura dagli amministratori di sistema. Inoltre, tieni presente che le impostazioni dei criteri di gruppo non si applicheranno in alcun modo ai sistemi Linux integrati nel regno.