Gestionați infrastructura Samba4 Active Directory din Windows10 prin RSAT - Partea 3


În această parte a seriei de infrastructură Samba4 AD DC vom vorbi despre cum să unim o mașină Windows 10 într-un tărâm Samba4 și despre cum să administrăm domeniul dintr-un Windows. 10stație de lucru.

Odată ce un sistem Windows 10 a fost conectat la Samba4 AD DC, putem crea, elimina sau dezactiva utilizatori și grupuri de domeniu, putem crea noi Unități organizaționale , putem crea, edita și gestiona politica de domeniu sau putem gestiona serviciul DNS de domeniu Samba4.

Toate funcțiile de mai sus și alte sarcini complexe referitoare la administrarea domeniului pot fi realizate prin orice platformă Windows modernă cu ajutorul RSAT – Instrumente de administrare a serverului la distanță Microsoft.

Cerințe

  1. Creați o infrastructură AD cu Samba4 pe Ubuntu 16.04 - Partea 1
  2. Gestionați infrastructura Samba4 AD din linia de comandă Linux - Partea 2
  3. Gestionați DNS și politica de grup a controlerului de domeniu Samba4 AD din Windows - Partea 4

Pasul 1: Configurați Sincronizarea timpului de domeniu

1. Înainte de a începe să administrăm Samba4 ADDC din Windows 10 cu ajutorul instrumentelor RSAT, trebuie să știm și aveți grijă de un serviciu crucial necesar pentru un Active Directory, iar acest serviciu se referă la sincronizarea exactă a orei.

Sincronizarea timpului poate fi oferită de demonul NTP în majoritatea distribuțiilor Linux. Discrepanța implicită maximă a perioadei de timp pe care o poate accepta un AD este de aproximativ 5 minute.

Dacă perioada de timp de divergență este mai mare de 5 minute, ar trebui să începeți să întâmpinați diverse erori, cele mai importante privind utilizatorii AD, mașinile conectate sau accesul partajat.

Pentru a instala daemonul Network Time Protocol și utilitarul client NTP în Ubuntu, executați comanda de mai jos.

sudo apt-get install ntp ntpdate

2. Apoi, deschideți și editați fișierul de configurare NTP și înlocuiți lista implicită de servere NTP pool cu o nouă listă de servere NTP care sunt situate geografic în apropierea locației actuale a echipamentului dvs. fizic.

Lista serverelor NTP poate fi obținută vizitând pagina oficială a proiectului NTP Pool http://www.pool.ntp.org/en/.

sudo nano /etc/ntp.conf

Comentați lista de servere implicite adăugând un # în fața fiecărei linii de pool și adăugați liniile de pool de mai jos cu serverele dvs. NTP adecvate, așa cum este ilustrat în captura de ecran de mai jos.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Acum, nu închideți încă fișierul. Deplasați-vă în sus la fișier și adăugați linia de mai jos după instrucțiunea driftfile. Această configurare permite clienților să interogheze serverul folosind cereri NTP semnate AD.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. În cele din urmă, deplasați-vă în partea de jos a fișierului și adăugați linia de mai jos, așa cum este ilustrat în captura de ecran de mai jos, care va permite clienților de rețea doar să interogheze ora de pe server.

restrict default kod nomodify notrap nopeer mssntp

5. Când ați terminat, salvați și închideți fișierul de configurare NTP și acordați serviciului NTP cu permisiunile corespunzătoare pentru a citi directorul ntp_signed.

Aceasta este calea sistemului în care se află socket-ul Samba NTP. După aceea, reporniți demonul NTP pentru a aplica modificările și pentru a verifica dacă NTP are socket-uri deschise în tabelul de rețea a sistemului dvs. utilizând comanda netstat combinată cu filtrul grep.

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

Folosiți utilitarul de linie de comandă ntpq pentru a monitoriza demonul NTP împreună cu marcatorul -p pentru a imprima un rezumat al stării de peer.

ntpq -p

Pasul 2: Depanați problemele de timp NTP

6. Uneori, demonul NTP rămâne blocat în calcule în timp ce încearcă să sincronizeze ora cu un server ntp peer din amonte, rezultând următoarele mesaje de eroare atunci când încearcă manual să forțeze sincronizarea orei rulând ntpdate utilitate pe partea clientului:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

când utilizați comanda ntpdate cu flag -d.

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Pentru a evita această problemă, utilizați următorul truc pentru a rezolva problema: pe server, opriți serviciul NTP și utilizați utilitarul client ntpdate pentru a forța manual sincronizarea orei cu un peer extern utilizând marcatorul -b, după cum se arată mai jos:

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. După ce ora a fost sincronizată cu precizie, porniți demonul NTP pe server și verificați din partea clientului dacă serviciul este gata să servească timpul pentru clienții locali, lansând următoarea comandă:

ntpdate -du adc1.tecmint.lan    [your_adc_server]

Până acum, serverul NTP ar trebui să funcționeze conform așteptărilor.

Pasul 3: Alăturați-vă Windows 10 în Realm

9. După cum am văzut în tutorialul nostru anterior, Samba4 Active Directory poate fi gestionat din linia de comandă folosind interfața utilitarului samba-tool, care poate fi accesată direct din consola VTY a serverului sau conectată de la distanță prin SSH.

O altă alternativă, mai intuitivă și mai flexibilă, ar fi gestionarea controlerului de domeniu Samba4 AD prin intermediul Microsoft Remote Server Administration Tools (RSAT) de la o stație de lucru Windows integrată în domeniu. Aceste instrumente sunt disponibile în aproape toate sistemele Windows moderne.

Procesul de conectare a Windows 10 sau a versiunilor mai vechi ale Microsoft OS în Samba4 AD DC este foarte simplu. Mai întâi, asigurați-vă că stația dvs. de lucru Windows 10 are configurată adresa Samba4 DNS IP corectă pentru a interoga soluția adecvată.

Deschideți Panou de control -> Rețea și Internet -> Centrul de rețea și partajare -> Pard Ethernet -> Proprietăți -> IPv4 -> Proprietăți -> Utilizați următoarele adrese de server DNS și plasați manual adresa IP Samba4 AD în interfața de rețea, așa cum este ilustrat mai jos capturi de ecran.

Aici, 192.168.1.254 este adresa IP a Samba4 AD Domain Controller responsabil pentru rezoluția DNS. Înlocuiți adresa IP în consecință.

10. Apoi, aplicați setările de rețea apăsând pe butonul OK, deschideți un Prompt de comandă și lansați un ping față de numele de domeniu generic și FQDN-ul gazdei Samba4 pentru a testa dacă domeniul este accesibil prin rezoluția DNS.

ping tecmint.lan
ping adc1.tecmint.lan

11. Dacă rezolutorul răspunde corect la interogările DNS ale clientului Windows, atunci trebuie să vă asigurați că ora este sincronizată corect cu domeniul.

Deschideți Panou de control -> Ceas, Limba și Regiune -> Setați ora și data -> Fila Ora Internet -> Modificați setările și scrieți numele domeniului în câmpul Sincronizare cu și serverul de timp pe Internet.

Apăsați pe butonul Actualizați acum pentru a forța sincronizarea orei cu domeniul și apăsați pe OK pentru a închide fereastra.

12. În cele din urmă, alăturați-vă domeniului deschizând Proprietățile sistemului -> Modificați -> Membru al domeniului, scrieți-vă nume de domeniu, apăsați OK, introduceți datele de conectare ale contului administrativ al domeniului și apăsați din nou pe OK.

Ar trebui să se deschidă o nouă fereastră pop-up care vă informează că sunteți membru al domeniului. Apăsați pe OK pentru a închide fereastra pop-up și a reporniți aparatul pentru a aplica modificările de domeniu.

Captura de ecran de mai jos va ilustra acești pași.

13. După repornire, apăsați pe Alt utilizator și conectați-vă la Windows cu un cont de domeniu Samba4 cu privilegii administrative și ar trebui să fiți gata să treceți la pasul următor.

Pasul 4: Administrați Samba4 AD DC cu RSAT

14. Microsoft Remote Server Administration Tools (RSAT), care vor fi utilizate în continuare pentru a administra Samba4 Active Directory, pot fi descărcate de la următoarele linkuri , în funcție de versiunea dvs. de Windows:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Odată ce pachetul de instalare independent de actualizare pentru Windows 10 a fost descărcat pe sistemul dvs., rulați programul de instalare, așteptați finalizarea instalării și reporniți aparatul pentru a aplica toate actualizările.

După repornire, deschideți Panou de control -> Programe (Dezinstalați un program) -> Activați funcțiile Windows activat sau dezactivat și verificați toate Instrumentele de administrare a serverului la distanță.

Faceți clic pe OK pentru a începe instalarea și, după ce procesul de instalare se termină, reporniți sistemul.

15. Pentru a accesa instrumentele RSAT, accesați Panou de control -> Sistem și securitate -> Instrumente administrative .

Instrumentele pot fi găsite și în meniul Instrumente Administrative din meniul Start. Alternativ, puteți deschide Windows MMC și puteți adăuga Snap-in-uri utilizând meniul Fișier -> Adăugați/Eliminați Snap-in-uri.

Cele mai utilizate instrumente, cum ar fi AD UC, DNS și Gestionarea politicilor de grup pot fi lansate direct de pe desktop prin crearea de comenzi rapide folosind funcția Trimitere către de la meniul.

16. Puteți verifica funcționalitatea RSAT deschizând AD UC și enumerați computerele de domeniu (mașina Windows nou conectată ar trebui să apară în listă), creați un noua Unitate organizațională sau un nou utilizator sau grup.

Verificați dacă utilizatorii sau grupurile au fost create corect prin lansarea comenzii wbinfo din partea serverului Samba4.

Asta este! În următoarea parte a acestui subiect vom acoperi alte aspecte importante ale unui Samba4 Active Directory care poate fi administrat prin RSAT, cum ar fi cum să gestionați serverul DNS, să adăugați DNS înregistrează și creați o zonă de căutare inversă DNS, cum să gestionați și să aplicați politica de domeniu și cum să creați un banner interactiv de conectare pentru utilizatorii domeniului dvs.