Hallinnoi Samba4 Active Directory -infrastruktuuria Windows10: stä RSAT: n kautta - Osa 3

Tässä Samba4 AD DC -infrastruktuurisarjan osassa puhumme siitä, kuinka liittää Windows 10-kone Samba4-alueeseen ja kuinka hallita toimialue Windows 10 -työasemalta.

Kun Windows 10 -järjestelmä on liitetty Samba4 AD DC: hen, voimme luoda, poistaa tai poistaa verkkotunnuksen käyttäjiä ja ryhmiä, luoda uusia organisaatioyksiköitä, luoda, muokata ja hallita verkkotunnuskäytäntöjä tai hallita Samba4-verkkotunnuksen DNS-palvelua.

Kaikki yllä olevat toiminnot ja muut toimialueen hallintaa koskevat monimutkaiset tehtävät voidaan saavuttaa millä tahansa nykyaikaisella Windows-alustalla RSAT - Microsoft Remote Server Administration Tools -työkalun avulla.

  1. Luo AD-infrastruktuuri Samba4: n kanssa Ubuntu 16.04 - osa 1
  2. Samba4 AD -infrastruktuurin hallinta Linux-komentoriviltä - osa 2
  3. Hallinnoi Samba4 AD -toimialueohjaimen DNS: ää ja ryhmäkäytäntöä Windowsista - Osa 4

Vaihe 1: Määritä toimialueen ajan synkronointi

1. Ennen kuin aloitamme Samba4 ADDC: n hallinnoinnin Windows 10: stä RSAT-työkalujen avulla, meidän on tiedettävä ja hoidettava tärkeä hakemisto, joka vaaditaan Active Directorylle, ja tämä palvelu viittaa tarkkaan ajan synkronointiin.

Aikasynkronointia voi tarjota NTP-daemon useimmissa Linux-jakeluissa. Oletusarvoinen poikkeama, jonka AD voi tukea, on noin 5 minuuttia.

Jos poikkeamajakso on yli 5 minuuttia, sinun tulee alkaa kokea erilaisia virheitä, joista tärkeimmät koskevat AD-käyttäjiä, liittyneitä koneita tai yhteisiä käyttöoikeuksia.

Asenna Network Time Protocol -demon ja NTP-asiakasohjelma Ubuntuun suorittamalla seuraava komento.

$ sudo apt-get install ntp ntpdate

2. Avaa ja muokkaa seuraavaksi NTP-määritystiedostoa ja korvaa oletusarvoinen NTP-poolipalvelinluettelo uudella NTP-palvelimien luettelolla, jotka sijaitsevat maantieteellisesti lähellä nykyistä fyysisen laitteesi sijaintia.

Luettelo NTP-palvelimista saat käymällä virallisella NTP Pool Project -sivustolla http://www.pool.ntp.org/en/.

$ sudo nano /etc/ntp.conf

Kommentoi oletuspalvelinluetteloa lisäämällä # jokaisen poolirivin eteen ja lisäämällä alla olevat poolirivit oikeilla NTP-palvelimillasi alla olevan kuvakaappauksen mukaisesti.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

# Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Älä sulje tiedostoa vielä. Siirry tiedoston yläreunaan ja lisää alla oleva rivi driftfile-käskyn jälkeen. Tämän asennuksen avulla asiakkaat voivat kysyä palvelimelta käyttämällä AD: n allekirjoittamia NTP-pyyntöjä.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Siirry lopuksi tiedoston alareunaan ja lisää alla oleva rivi, kuten alla olevassa kuvakaappauksessa on esitetty, jolloin verkkoasiakkaat voivat kysyä vain aikaa palvelimella.

restrict default kod nomodify notrap nopeer mssntp

5. Kun olet valmis, tallenna ja sulje NTP-määritystiedosto ja myönnä NTP-palvelulle tarvittavat oikeudet, jotta voit lukea hakemiston ntp_signed.

Tämä on järjestelmäpolku, jossa Samba NTP -liitäntä sijaitsee. Käynnistä sen jälkeen uudestaan NTP-palvelin muutosten tekemistä varten ja tarkista grep-suodattimen avulla, onko NTP: ssä järjestelmäverkotaulukossa avoimia pistorasioita.

$ sudo chown root:ntp /var/lib/samba/ntp_signd/
$ sudo chmod 750 /var/lib/samba/ntp_signd/
$ sudo systemctl restart ntp
$ sudo netstat –tulpn | grep ntp

Käytä ntpq-komentorivi-apuohjelmaa seurataksesi NTP-palvelua ja -p -lippua, jotta voit tulostaa yhteenvedon vertaistilasta.

$ ntpq -p

Vaihe 2: NTP-ajan ongelmien vianmääritys

6. Joskus NTP-demoni jumiutuu laskelmiin yrittäessään synkronoida aikaa ylävirran ntp-palvelimen vertaisryhmän kanssa, jolloin seuraavat virheilmoitukset yrittävät pakottaa ajan synkronointia suorittamalla manuaalisesti ntpdate-apuohjelman asiakaspuolella:

# ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

kun käytetään ntpdate-komentoa -d -lipun kanssa.

# ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Voit kiertää tämän ongelman ratkaisemalla ongelman seuraavalla temppulla: Pysäytä palvelimessa NTP-palvelu ja pakota ntpdate-asiakasohjelmalla ajan synkronointi manuaalisesti ulkoisen vertaisryhmän kanssa käyttämällä -b lippu kuten alla on esitetty:

# systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
# systemctl start ntp.service
# systemctl status ntp.service

8. Kun aika on täsmällisesti synkronoitu, käynnistä NTP-palvelin palvelimella ja tarkista asiakaspuolelta, onko palvelu valmis palvelemaan aikaa paikallisille asiakkaille antamalla seuraavan komennon:

# ntpdate -du adc1.tecmint.lan    [your_adc_server]

NTP-palvelimen pitäisi nyt toimia odotetulla tavalla.

Vaihe 3: Liity Windows 10: ään Realm

9. Kuten edellisessä opetusohjelmassa nähtiin, Samba4 Active Directory -ohjelmaa voidaan hallita komentoriviltä käyttämällä samba-tool -apuohjelman käyttöliittymää, johon pääsee suoraan palvelimen VTY-konsolista tai etäyhteydellä SSH: n kautta.

Toinen, intuitiivisempi ja joustavampi vaihtoehto olisi hallita Samba4 AD -toiminto-ohjainta Microsoft Remote Server Administration Tools (RSAT) -toiminnolla toimialueeseen integroidusta Windows-työasemasta. Nämä työkalut ovat saatavilla melkein kaikissa nykyaikaisissa Windows-järjestelmissä.

Windows 10: n tai vanhempien Microsoft OS -versioiden liittäminen Samba4 AD DC: hen on hyvin yksinkertainen. Ensinnäkin varmista, että Windows 10 -työasemallasi on määritetty oikea Samba4 DNS-IP-osoite, jotta voit kysyä oikeaa alueratkaisijaa.

Avaa Ohjauspaneeli -> Verkko ja Internet -> Verkko- ja jakamiskeskus -> Ethernet-kortti -> Ominaisuudet -> IPv4 -> Ominaisuudet -> Käytä seuraavia DNS-palvelinosoitteita ja aseta Samba4 AD IP-osoite manuaalisesti verkkoliitäntään kuvan mukaisesti. alla kuvakaappauksia.

Tässä 192.168.1.254 on DNS-tarkkuudesta vastaavan Samba4 AD -toimialueen ohjaimen IP-osoite. Korvaa IP-osoite vastaavasti.

10. Käytä seuraavaksi verkkoasetuksia napsauttamalla OK-painiketta, avaamalla komentokehote ja antamalla ping yleistä verkkotunnusta ja Samba4-isäntää FQDN vastaan testataksesi, onko alue saavutettavissa DNS-tarkkuudella.

ping tecmint.lan
ping adc1.tecmint.lan

11. Jos resolveri vastaa oikein Windows-asiakkaan DNS-kyselyihin, sinun on varmistettava, että aika on synkronoitu tarkasti alueen kanssa.

Avaa Ohjauspaneeli -> Kello, kieli ja alue -> Aseta aika ja päivämäärä -> Internet-aika-välilehti -> Muuta asetuksia ja kirjoita verkkotunnuksesi kohtaan Synkronoi ja Internet-aikapalvelin -kenttään.

Napauta Päivitä nyt -painiketta pakottaaksesi ajan synkronoinnin alueen kanssa ja paina OK sulkeaksesi ikkunan.

12. Liity lopuksi verkkotunnukseen avaamalla Järjestelmän ominaisuudet -> Muuta -> Verkkotunnuksen jäsen, kirjoita verkkotunnuksesi, paina OK, kirjoita verkkotunnuksesi järjestelmänvalvojan tilitiedot ja osoita uudelleen OK.

Uuden ponnahdusikkunan pitäisi avautua ilmoittamaan, että olet verkkotunnuksen jäsen. Napsauta OK sulkeaksesi ponnahdusikkunan ja käynnistämällä kone uudelleen, jotta voit tehdä verkkotunnuksen muutoksia.

Alla oleva kuvakaappaus kuvaa näitä vaiheita.

13. Käynnistä uudelleenkäynnistyksen jälkeen Muu käyttäjä ja kirjaudu Windowsiin Samba4-verkkotunnuksella, jolla on järjestelmänvalvojan oikeudet, ja sinun pitäisi olla valmis siirtymään seuraavaan vaiheeseen.

14. Microsoft Remote Server Administration Tools (RSAT), jota käytetään edelleen Samba4 Active Directoryn hallinnointiin, voidaan ladata seuraavista linkeistä Windows-versiostasi riippuen:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Kun Windows 10: n erillinen päivityspaketti on ladattu järjestelmään, suorita asennusohjelma, odota asennuksen päättymistä ja käynnistä kone uudelleen, jotta kaikki päivitykset voidaan asentaa.

Käynnistä uudelleenkäynnistyksen jälkeen Ohjauspaneeli -> Ohjelmat (Poista ohjelman asennus) -> Kytke Windowsin ominaisuudet päälle tai pois päältä ja tarkista kaikki etäpalvelimen hallintatyökalut.

Aloita asennus napsauttamalla OK ja käynnistä järjestelmä uudelleen, kun asennus on valmis.

15. Pääset RSAT-työkaluihin valitsemalla Ohjauspaneeli -> Järjestelmä ja suojaus -> Hallintatyökalut.

Työkalut löytyvät myös Käynnistä-valikon Hallintatyökalut-valikosta. Vaihtoehtoisesti voit avata Windowsin MMC: n ja lisätä laajennuksia Tiedosto -> Lisää/poista laajennus -valikossa.

Useimmin käytetyt työkalut, kuten AD UC, DNS ja ryhmäkäytäntöjen hallinta, voidaan käynnistää suoraan työpöydältä luomalla pikakuvakkeita käyttämällä valikon Lähetä kohteeseen -ominaisuutta.

16. Voit tarkistaa RSAT-toiminnot avaamalla AD UC: n ja luetteloiden toimialuetietokoneet (vasta liitetyn Windows-koneen pitäisi näkyä luettelossa), luoda uuden organisaatioyksikön tai uuden käyttäjän tai ryhmän.

Varmista, että käyttäjät tai ryhmät on luotu oikein antamalla wbinfo-komento Samba4-palvelinpuolelta.

Se siitä! Tämän aiheen seuraavassa osassa käsitellään Samba4 Active Directoryn muita tärkeitä näkökohtia, joita voidaan hallita RSAT: n kautta, kuten DNS-palvelimen hallinta, DNS-tietueiden lisääminen ja käänteisen DNS-hakuvyöhykkeen luominen, hallinta ja käyttö verkkotunnuskäytäntö ja kuinka luoda interaktiivinen sisäänkirjautumisbanneri verkkotunnuksesi käyttäjille.