Samba4 Active Directory infrastruktuuri haldamine Windows10-st RSAT-i kaudu - 3. osa


Samba4 AD DC infrastruktuurisarja selles osas räägime sellest, kuidas ühendada Windows 10 masin Samba4 sfääri ja kuidas hallata domeeni Windows 10 tööjaamast.

Kui Windows 10 süsteem on ühendatud Samba4 AD DC-ga, saame luua, eemaldada või keelata domeeni kasutajad ja rühmad, luua uusi organisatsiooniüksusi, luua, muuta ja hallata domeenipoliitikat või hallata Samba4 domeeni DNS-teenust.

Kõiki ülaltoodud funktsioone ja muid keerukaid ülesandeid, mis puudutavad domeeni haldamist, saab RSAT - Microsofti kaugserveri haldustööriistade abil saavutada mis tahes kaasaegse Windowsi platvormi kaudu.

  1. Looge Ubuntu 16.04 - 1. osa Samba4-ga AD-infrastruktuur
  2. Samba4 AD-taristu haldamine Linuxi käsurealt - 2. osa
  3. Samba4 AD domeenikontrolleri DNS-i ja rühmapoliitika haldamine Windowsis - 4. osa

1. samm: konfigureerige domeeni aja sünkroonimine

1. Enne kui hakkame Windows 10-st RSAT-tööriistade abil administreerima Samba4 ADDC-d, peame teadma ja hoolitsema olulise teenuse eest, mis on vajalik Active Directory jaoks ja see teenus viitab täpsele aja sünkroonimisele.

Aja sünkroniseerimist saab NTP deemon pakkuda enamikus Linuxi distributsioonides. Maksimaalne vaikeperioodi erinevus, mida AD toetab, on umbes 5 minutit.

Kui lahknemisperiood on pikem kui 5 minutit, peaksite kogema mitmesuguseid tõrkeid, mis on kõige olulisemad AD-kasutajate, ühendatud masinate või jagatud juurdepääsu osas.

Võrgu ajaprotokolli deemoni ja NTP-kliendi utiliidi installimiseks Ubuntu käivitage järgmine käsk.

$ sudo apt-get install ntp ntpdate

2. Järgmisena avage ja muutke NTP konfiguratsioonifaili ning asendage NTP puuli serverite vaikeloend uue NTP-serverite loendiga, mis asuvad geograafiliselt teie praeguse füüsilise seadme asukoha lähedal.

NTP-serverite loendi leiate külastades ametlikku NTP Pool Projekti veebisaiti http://www.pool.ntp.org/en/.

$ sudo nano /etc/ntp.conf

Kommenteerige vaikeserverite loendit, lisades iga basseinirea ette # ja lisage oma õigete NTP-serveritega allpool olevad basseiniread, nagu on näidatud alloleval ekraanipildil.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

# Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Nüüd ärge faili veel sulgege. Liikuge faili ülaossa ja lisage driftfile'i lause järele järgmine rida. See seadistus võimaldab klientidel serverilt päringuid teha, kasutades AD allkirjastatud NTP päringuid.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Lõpuks liikuge faili lõppu ja lisage allpool olev rida, nagu on näidatud alloleval ekraanipildil, mis võimaldab võrguklientidel ainult serveris oleva aja päringuid esitada.

restrict default kod nomodify notrap nopeer mssntp

5. Kui olete lõpetanud, salvestage ja sulgege NTP konfiguratsioonifail ning andke NTP-teenusele õiged õigused kataloogi ntp_signed lugemiseks.

See on süsteemitee, kus asub Samba NTP pesa. Seejärel taaskäivitage NTP deemon muudatuste rakendamiseks ja kontrollige, kas NTP-l on teie süsteemivõrgu tabelis avatud pesasid, kasutades grep-filtrit.

$ sudo chown root:ntp /var/lib/samba/ntp_signd/
$ sudo chmod 750 /var/lib/samba/ntp_signd/
$ sudo systemctl restart ntp
$ sudo netstat –tulpn | grep ntp

Kasutage ntpq käsurea utiliiti, et jälgida NTP-deemonit koos lipuga -p , et printida eakaaslaste oleku kokkuvõte.

$ ntpq -p

2. samm: NTP-ajaprobleemide tõrkeotsing

6. Mõnikord jääb NTP deemon arvutustesse kinni, proovides sünkroonida aega ülesvoolu ntp-serveri partneriga, mille tulemuseks on järgmised tõrketeated, kui proovite aja sünkroonimist sundida käsitsi, käivitades ntpdate-utiliidi kliendipoolel:

# ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

ntpdate käsu kasutamisel lipuga -d .

# ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Selle probleemi vältimiseks kasutage probleemi lahendamiseks järgmist nippi: peatage serveris NTP-teenus ja kasutage ntpdate kliendi utiliiti, et sundida käsitsi aja sünkroonimist välise partneriga, kasutades -b lipp, nagu allpool näidatud:

# systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
# systemctl start ntp.service
# systemctl status ntp.service

8. Pärast aja täpset sünkroonimist käivitage serveris NTP-deemon ja kontrollige kliendi poolelt, kas teenus on valmis kohalike klientide jaoks aega tarnima, väljastades järgmise käsu:

# ntpdate -du adc1.tecmint.lan    [your_adc_server]

Nüüdseks peaks NTP-server töötama ootuspäraselt.

3. samm: ühendage Windows 10 Realmiga

9. Nagu nägime meie eelmises õpetuses, saab Samba4 Active Directoryt hallata käsurealt, kasutades samba-tool utiliiti, millele pääseb juurde otse serveri VTY konsoolilt või kaugühendusega SSH kaudu.

Teine, intuitiivsem ja paindlikum alternatiiv oleks meie Samba4 AD domeenikontrolleri haldamine domeeni integreeritud Windowsi tööjaamast Microsofti kaugserveri haldustööriistade (RSAT) kaudu. Need tööriistad on saadaval peaaegu kõigis kaasaegsetes Windowsi süsteemides.

Windows 10 või vanemate Microsoft OS-i versioonide ühendamine Samba4 AD DC-ga on väga lihtne. Kõigepealt veenduge, et teie Windows 10 tööjaamas oleks õige Samba4 DNS-i IP-aadress konfigureeritud, et päringuid teha õiges valdkonna lahenduses.

Avage juhtpaneel -> Võrk ja Internet -> Võrgu- ja ühiskasutuskeskus -> Ethernet-kaart -> Atribuudid -> IPv4 -> Atribuudid -> Kasutage järgmisi DNS-serveri aadresse ja asetage Samba4 AD IP-aadress käsitsi võrguliidesele, nagu on näidatud allpool ekraanipilte.

Siin on 192.168.1.254 DNS-i lahendamise eest vastutava Samba4 AD domeenikontrolleri IP-aadress. Asendage IP-aadress vastavalt.

10. Järgmisena rakendage võrguseadeid, vajutades nuppu OK, avage käsuviip ja väljastage ping üldise domeeninime ja Samba4 hosti FQDN vastu, et testida, kas valdkonda on võimalik saavutada DNS-i eraldusvõime kaudu.

ping tecmint.lan
ping adc1.tecmint.lan

11. Kui lahendaja vastab õigesti Windowsi kliendi DNS-i päringutele, peate tagama, et aeg oleks sfääriga täpselt sünkroonitud.

Avage Juhtpaneel -> Kell, keel ja piirkond -> Määra kellaaeg ja kuupäev -> vahekaart Interneti-aeg -> Muuda seadeid ja kirjutage oma domeeninimi väljale Sünkroniseeri ja Interneti-aja serveriga.

Vajutage nuppu Värskenda kohe, et sundida ajaga sünkroonimist valdkonnaga, ja vajutage akna sulgemiseks nuppu OK.

12. Lõpuks liituge domeeniga, avades süsteemi atribuudid -> Muuda -> Domeeni liige, kirjutage oma domeeninimi, vajutage nuppu OK, sisestage oma domeeni halduskonto mandaat ja vajutage uuesti nuppu OK.

Uus hüpikaken peaks avanema, teatades, et olete domeeni liige. Domeenimuudatuste rakendamiseks klõpsake hüpikakna sulgemiseks ja masina taaskäivitamiseks nuppu OK.

Allolev ekraanipilt illustreerib neid samme.

13. Pärast taaskäivitamist klõpsake valikul Muu kasutaja ja logige Windowsi sisse administraatoriõigustega Samba4 domeenikontoga ja peaksite olema valmis järgmise sammu juurde liikuma.

14. Microsofti kaugserveri haldustööriistu (RSAT), mida kasutatakse edaspidi Samba4 Active Directory haldamiseks, saab alla laadida järgmistelt linkidelt, sõltuvalt teie Windowsi versioonist:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?idu003d45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?idu003d39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?idu003d28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?idu003d7887

Kui Windows 10 värskenduse eraldiseisev installipakett on teie süsteemis alla laaditud, käivitage installiprogramm, oodake installimise lõppu ja taaskäivitage masin kõigi värskenduste rakendamiseks.

Pärast taaskäivitamist avage Juhtpaneel -> Programmid (Programmi desinstallimine) -> Lülitage Windowsi funktsioonid sisse või välja ja kontrollige kõiki serveri kaughalduse tööriistu.

Installimise alustamiseks klõpsake nuppu OK ja pärast installiprotsessi lõppu taaskäivitage süsteem.

15. RSAT-i tööriistade avamiseks minge juhtpaneelile -> Süsteem ja turvalisus -> Haldustööriistad.

Tööriistad leiate ka menüüst Haldustööriistad menüüst Start. Teise võimalusena võite avada Windowsi MMC ja lisada lisandmoodulid, kasutades menüüd Fail -> Lisa/eemalda lisandmoodul.

Enamkasutatavaid tööriistu, nagu AD UC, DNS ja rühmapoliitika haldamine, saab käivitada otse töölaualt, luues otseteed menüü funktsiooniga Saada.

16. RSAT-i funktsionaalsust saate kontrollida, kui avate AD UC ja loendite domeeniarvutid (loendis peaks ilmuma äsja ühendatud Windowsi masin), looge uus organisatsiooniüksus või uus kasutaja või rühm.

Samba4 serveri poolelt väljastades wbinfo käsu, kas kasutajad või rühmad on õigesti loodud.

See on kõik! Selle teema järgmises osas käsitleme muid olulisi aspekte Samba4 Active Directory-s, mida saab hallata RSAT-i kaudu, näiteks kuidas hallata DNS-serveri, lisada DNS-kirjeid ja luua pöördotsingu DNS-i tsoon, kuidas hallata ja rakendada domeenireeglid ja kuidas luua oma domeeni kasutajatele interaktiivne sisselogimisbänner.