Hallitse Samba4 Active Directory -infrastruktuuria Windows10:stä RSAT:n kautta - Osa 3

Tässä Samba4 AD DC -infrastruktuurisarjan osassa puhumme Windows 10 -koneen liittämisestä Samba4-alueeseen ja kuinka verkkotunnusta hallinnoidaan Windowsista. 10 työasemaa.

Kun Windows 10 -järjestelmä on liitetty Samba4 AD DC:hen, voimme luoda, poistaa tai poistaa käytöstä verkkotunnuksen käyttäjiä ja ryhmiä, voimme luoda uusia organisaatioyksiköitä. >, voimme luoda, muokata ja hallita verkkotunnuskäytäntöjä tai hallita Samba4-verkkotunnuksen DNS-palvelua.

Kaikki yllä mainitut toiminnot ja muut monimutkaiset toimialueen hallintaan liittyvät tehtävät voidaan suorittaa millä tahansa nykyaikaisella Windows-alustalla RSAT – Microsoft Remote Server Administration Tools -työkalun avulla.

Vaatimukset

  1. Luo AD-infrastruktuuri Samba4:llä Ubuntu 16.04:ssä – Osa 1
  2. Hallitse Samba4 AD -infrastruktuuria Linuxin komentoriviltä – Osa 2
  3. Hallitse Samba4 AD Domain Controller DNS:ää ja ryhmäkäytäntöä Windowsista – Osa 4

Vaihe 1: Määritä verkkotunnuksen ajan synkronointi

1. Ennen kuin aloitamme Samba4 ADDC:n hallinnan Windows 10:stä RSAT-työkalujen avulla, meidän on tiedettävä ja huolehdit tärkeästä palvelusta, jota Active Directory tarvitsee, ja tämä palvelu viittaa tarkkaan ajan synkronointiin.

NTP-daemon voi tarjota aikasynkronoinnin useimmissa Linux-jakeluissa. Oletusarvoinen enimmäisaikaero, jonka AD voi tukea, on noin 5 minuuttia.

Jos poikkeamisaika on yli 5 minuuttia, sinun pitäisi alkaa kokea erilaisia virheitä, joista tärkeimmät koskevat AD-käyttäjiä, liittyneitä koneita tai pääsyn jakamista.

Asenna Network Time Protocol-daemon ja NTP-asiakasapuohjelma Ubuntuun suorittamalla alla oleva komento.

sudo apt-get install ntp ntpdate

2. Avaa ja muokkaa seuraavaksi NTP-määritystiedostoa ja korvaa oletusarvoinen NTP-varastopalvelinluettelo uudella luettelolla NTP-palvelimista, jotka sijaitsevat maantieteellisesti lähellä nykyistä fyysistä laitteistosi sijaintia.

Luettelo NTP-palvelimista löytyy viralliselta NTP Pool Project -sivustolta http://www.pool.ntp.org/en/.

sudo nano /etc/ntp.conf

Kommentoi oletuspalvelinluetteloa lisäämällä # jokaisen poolirivin eteen ja lisää alla olevat poolirivit oikeiden NTP-palvelimiesi kanssa alla olevan kuvakaappauksen mukaisesti.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Älä nyt vielä sulje tiedostoa. Siirry tiedoston yläosaan ja lisää alla oleva rivi driftfile-lauseen jälkeen. Tämän asennuksen avulla asiakkaat voivat tehdä kyselyitä palvelimelta AD-allekirjoitettujen NTP-pyyntöjen avulla.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Siirry lopuksi tiedoston alaosaan ja lisää alla oleva rivi alla olevan kuvakaappauksen mukaisesti, jolloin verkkoasiakkaat voivat vain kysyä palvelimella olevaa aikaa.

restrict default kod nomodify notrap nopeer mssntp

5. Kun olet valmis, tallenna ja sulje NTP-määritystiedosto ja myönnä NTP-palvelulle oikeat oikeudet lukeaksesi ntp_signed-hakemistoa.

Tämä on järjestelmäpolku, jossa Samba NTP -liitäntä sijaitsee. Käynnistä sitten NTP-daemon uudelleen, jotta muutokset otetaan käyttöön ja tarkistetaan, onko NTP:llä avoimia pistokkeita järjestelmän verkkotaulukossa käyttämällä netstat-komentoa yhdessä grep-suodattimen kanssa.

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

Käytä ntpq-komentoriviapuohjelmaa NTP-daemonin seuraamiseen yhdessä -p-lipun kanssa tulostaaksesi yhteenvedon vertaistilasta.

ntpq -p

Vaihe 2: NTP-aikaongelmien vianmääritys

6. Joskus NTP-daemon juuttuu laskelmiin yrittäessään synkronoida aikaa ylävirran ntp-palvelimen kanssa, mikä johtaa seuraaviin virheilmoituksiin, kun aikasynkronointia yritetään manuaalisesti pakottaa ajamalla ntpdate > apuohjelma asiakaspuolella:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

käytettäessä ntpdate-komentoa -d-lipun kanssa.

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Voit kiertää tämän ongelman käyttämällä seuraavaa temppua ongelman ratkaisemiseen: Pysäytä NTP-palvelu palvelimella ja käytä ntpdate-asiakasapuohjelmaa pakottaaksesi aikasynkronoinnin manuaalisesti ulkoinen vertaiskumppani, joka käyttää -b-lippua alla olevan kuvan mukaisesti:

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. Kun aika on synkronoitu tarkasti, käynnistä NTP-daemon palvelimella ja varmista asiakaspuolelta, onko palvelu valmis palvelemaan aikaa paikallisille asiakkaille antamalla seuraava komento:

ntpdate -du adc1.tecmint.lan    [your_adc_server]

Tähän mennessä NTP-palvelimen pitäisi toimia odotetulla tavalla.

Vaihe 3: Liity Windows 10 Realmiin

9. Kuten näimme edellisessä opetusohjelmassamme, Samba4 Active Directorya voidaan hallita komentoriviltä käyttämällä samba-tool-apuohjelman käyttöliittymää, jota voidaan käyttää suoraan palvelimen VTY-konsolista tai etäyhteydellä SSH:n kautta.

Toinen, intuitiivisempi ja joustavampi vaihtoehto olisi hallita Samba4 AD Domain Controlleriamme Microsoft Remote Server Administration Toolsin (RSAT) avulla toimialueeseen integroidusta Windows-työasemasta. Nämä työkalut ovat saatavilla lähes kaikissa nykyaikaisissa Windows-järjestelmissä.

Windows 10 tai vanhempien Microsoft OS -versioiden liittäminen Samba4 AD DC:hen on hyvin yksinkertainen. Varmista ensin, että Windows 10 -työasemassasi on määritetty oikea Samba4 DNS-IP-osoite, jotta voit tehdä kyselyn oikeasta alueen ratkaisemisesta.

Avaa Ohjauspaneeli -> Verkko ja Internet -> Verkko- ja jakamiskeskus -> Ethernet-kortti -> >Ominaisuudet -> IPv4 -> Ominaisuudet -> Käytä seuraavia DNS-palvelinosoitteita ja aseta Samba4 AD IP-osoite manuaalisesti verkkoliitäntään alla olevan kuvan mukaisesti kuvakaappauksia.

Tässä 192.168.1.254 on DNS-selvityksestä vastaavan Samba4 AD Domain Controllerin IP-osoite. Vaihda IP-osoite vastaavasti.

10. Ota seuraavaksi verkkoasetukset käyttöön painamalla OK-painiketta, avaa komentokehote ja lähetä ping. yleistä verkkotunnuksen nimeä ja Samba4-isäntä FQDN:ää vastaan testatakseen, onko alue tavoitettavissa DNS-ratkaisun kautta.

ping tecmint.lan
ping adc1.tecmint.lan

11. Jos ratkaiseja vastaa oikein Windows-asiakkaan DNS-kyselyihin, sinun on varmistettava, että aika synkronoidaan tarkasti alueen kanssa.

Avaa Ohjauspaneeli -> Kello, Kieli ja Alue -> Aseta aika ja päivämäärä > -> Internet-aika-välilehti -> Muuta asetuksia ja kirjoita verkkotunnuksesi nimi Synkronoi kanssa ja Internet-aikapalvelin -kenttään.

Paina Päivitä nyt -painiketta pakottaaksesi ajan synkronoinnin alueen kanssa ja paina OK sulkeaksesi ikkunan.

12. Liity lopuksi verkkotunnukseen avaamalla Järjestelmän ominaisuudet -> Muuta -> Verkkotunnuksen jäsen ja kirjoita verkkotunnuksen nimi, paina OK, anna verkkotunnuksesi järjestelmänvalvojan tilisi kirjautumistiedot ja paina uudelleen OK.

Uuden ponnahdusikkunan pitäisi avautua, joka ilmoittaa, että olet verkkotunnuksen jäsen. Paina OK sulkeaksesi ponnahdusikkunan ja käynnistä kone verkkotunnuksen muutoksia varten.

Alla oleva kuvakaappaus havainnollistaa näitä vaiheita.

13. Paina uudelleenkäynnistyksen jälkeen Muu-käyttäjää ja kirjaudu Windowsiin Samba4-verkkotunnuksen tilillä, jolla on järjestelmänvalvojan oikeudet, ja sinun pitäisi olla valmis siirtymään seuraavaan vaiheeseen.

Vaihe 4: Hallitse Samba4 AD DC:tä RSAT:n kanssa

14. Microsoft Remote Server Administration Tools (RSAT), jota käytetään jatkossa Samba4 Active Directoryn hallintaan, voidaan ladata seuraavista linkeistä. , riippuen Windows-versiosta:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Kun Windows 10:n päivityksen erillinen asennuspaketti on ladattu järjestelmääsi, suorita asennusohjelma, odota asennuksen päättymistä ja käynnistä kone uudelleen, jotta kaikki päivitykset asennetaan.

Avaa uudelleenkäynnistyksen jälkeen Ohjauspaneeli -> Ohjelmat (Ohjelman asennuksen poistaminen) -> Ota Windowsin ominaisuuksia käyttöön. päälle tai pois päältä ja valitse kaikki etäpalvelimen hallintatyökalut.

Aloita asennus napsauttamalla OK ja asennuksen päätyttyä käynnistä järjestelmä uudelleen.

15. Voit käyttää RSAT-työkaluja valitsemalla Ohjauspaneeli -> Järjestelmä ja suojaus -> Hallintatyökalut .

Työkalut löytyvät myös Hallintatyökalut -valikosta aloitusvalikosta. Vaihtoehtoisesti voit avata Windows MMC:n ja lisätä laajennuksia Tiedosto -> Lisää/poista -laajennusvalikosta.

Eniten käytetyt työkalut, kuten AD UC, DNS ja Group Policy Management voidaan käynnistää suoraan työpöydältä luomalla pikakuvakkeita käyttämällä Lähetä-ominaisuutta valikosta.

16. Voit tarkistaa RSAT-toiminnallisuuden avaamalla AD UC ja luetteloimalla verkkotunnuksen Tietokoneet (äskettäin liittyneen Windows-koneen pitäisi näkyä luettelossa), luo uusi Organisaatioyksikkö tai uusi käyttäjä tai ryhmä.

Varmista, että käyttäjät tai ryhmät on luotu oikein antamalla wbinfo-komento Samba4-palvelinpuolelta.

Se siitä! Tämän aiheen seuraavassa osassa käsittelemme muita RSATin kautta hallittavissa olevan Samba4 Active Directoryn tärkeitä näkökohtia, kuten DNS-palvelimen hallintaa, DNS:n lisäämistä. tallentaa ja luoda käänteisen DNS-hakuvyöhykkeen, kuinka hallita ja soveltaa toimialuekäytäntöä ja kuinka luoda interaktiivinen kirjautumisbanneri verkkotunnuksesi käyttäjille.