Upravljajte infrastrukturo Samba4 Active Directory iz sistema Windows10 prek RSAT - 3. del

V tem delu infrastrukturne serije Samba4 AD DC bomo govorili o tem, kako združiti računalnik s sistemom Windows 10 v področje Samba4 in kako upravljati domeno z delovne postaje Windows 10.

Ko je sistem Windows 10 pridružen Samba4 AD DC, lahko ustvarjamo, odstranjujemo ali onemogočamo uporabnike in skupine domen, ustvarjamo lahko nove organizacijske enote, ustvarjamo, urejamo in upravljamo pravilnik o domeni ali upravljamo DNS storitev domene Samba4.

Vse zgornje funkcije in druge zapletene naloge v zvezi z upravljanjem domen je mogoče s pomočjo RSAT - Microsoftovih orodij za oddaljeno upravljanje strežnikov doseči s katero koli sodobno platformo Windows.

  1. Ustvarite AD infrastrukturo s Samba4 v Ubuntu 16.04 - 1. del
  2. Upravljanje infrastrukture Samba4 AD iz ukazne vrstice Linux - 2. del
  3. Upravljajte DNS krmilnika domene Samba4 AD in pravilnik skupine iz sistema Windows - 4. del

1. korak: Konfigurirajte sinhronizacijo domene

1. Preden začnemo upravljati Samba4 ADDC iz operacijskega sistema Windows 10 s pomočjo orodij RSAT, moramo poznati in poskrbeti za ključno storitev, ki je potrebna za Active Directory in ta storitev se nanaša na natančno sinhronizacijo časa.

Sinhronizacijo časa lahko v večini distribucij Linuxa ponuja demon NTP. Privzeto največje odstopanje v časovnem obdobju, ki ga lahko podpira AD, je približno 5 minut.

Če je časovno obdobje razhajanj daljše od 5 minut, se lahko pojavijo različne napake, najpomembnejše pri uporabnikih AD, pridruženih strojih ali skupnem dostopu.

Če želite v Ubuntu namestiti demona Network Time Protocol in pripomočka odjemalca NTP, izvedite spodnji ukaz.

$ sudo apt-get install ntp ntpdate

2. Nato odprite in uredite konfiguracijsko datoteko NTP ter nadomestite privzeti seznam strežnikov NTP strežnikov z novim seznamom strežnikov NTP, ki se geografsko nahajajo v bližini vaše trenutne lokacije fizične opreme.

Seznam strežnikov NTP lahko dobite na uradni spletni strani NTP Pool Project http://www.pool.ntp.org/en/.

$ sudo nano /etc/ntp.conf

Komentirajte privzeti seznam strežnikov, tako da pred vsako vrstico področja dodate # in spodnje vrstice področja dodate z ustreznimi strežniki NTP, kot je prikazano na spodnjem posnetku zaslona.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

# Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Zdaj še ne zaprite datoteke. Premaknite se na vrh datoteke in dodajte spodnjo vrstico za stavkom driftfile. Ta nastavitev omogoča odjemalcem, da poizvedujejo po strežniku z zahtevami NTP, podpisanimi z AD.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Na koncu se pomaknite na dno datoteke in dodajte spodnjo vrstico, kot je prikazano na spodnjem posnetku zaslona, kar bo omrežnim odjemalcem omogočilo samo, da poizvedujejo o času na strežniku.

restrict default kod nomodify notrap nopeer mssntp

5. Ko končate, shranite in zaprite konfiguracijsko datoteko NTP in dodelite storitev NTP z ustreznimi dovoljenji za branje imenika ntp_signed.

To je sistemska pot, kjer se nahaja vtičnica Samba NTP. Nato znova zaženite demon NTP, da uveljavite spremembe, in preverite, ali ima NTP odprte vtičnice v sistemski omrežni tabeli s pomočjo grep filtra.

$ sudo chown root:ntp /var/lib/samba/ntp_signd/
$ sudo chmod 750 /var/lib/samba/ntp_signd/
$ sudo systemctl restart ntp
$ sudo netstat –tulpn | grep ntp

Uporabite pripomoček ukazne vrstice ntpq za nadzor demona NTP skupaj z zastavico -p , da natisnete povzetek stanja enakovrednih računalnikov.

$ ntpq -p

2. korak: Odpravite težave s časom NTP

6. Včasih se demon NTP zatakne pri izračunih, medtem ko poskuša sinhronizirati čas z enakovrednim strežnikom ntp, kar povzroči naslednja sporočila o napakah, ko ročno poskušate prisiliti sinhronizacijo časa z zagonom pripomočka ntpdate na strani odjemalca:

# ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

pri uporabi ukaza ntpdate z zastavico -d .

# ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Če se želite izogniti tej težavi, za rešitev težave uporabite naslednji trik: Na strežniku zaustavite storitev NTP in z odjemalskim pripomočkom ntpdate ročno prisilite časovno sinhronizacijo z zunanjim enakovrednim uporabnikom s pomočjo -b zastava, kot je prikazano spodaj:

# systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
# systemctl start ntp.service
# systemctl status ntp.service

8. Ko je čas natančno sinhroniziran, zaženite demon NTP na strežniku in s strani odjemalca preverite, ali je storitev pripravljena služiti čas lokalnim odjemalcem z izdajo naslednjega ukaza:

# ntpdate -du adc1.tecmint.lan    [your_adc_server]

Do zdaj bi strežnik NTP moral delovati po pričakovanjih.

3. korak: Pridružite se sistemu Windows 10 v Realm

9. Kot smo videli v prejšnji vadnici, lahko Samba4 Active Directory upravljate iz ukazne vrstice s pomočjo pomožnega vmesnika samba-tool, do katerega lahko dostopate neposredno s strežniške konzole VTY ali oddaljeno povežete prek SSH.

Druga, bolj intuitivna in prilagodljiva možnost bi bila upravljanje našega nadzornika domene Samba4 AD prek Microsoftovih orodij za oddaljeno upravljanje strežnikov (RSAT) z delovne postaje Windows, integrirane v to domeno. Ta orodja so na voljo v skoraj vseh sodobnih sistemih Windows.

Postopek pridružitve operacijskega sistema Windows 10 ali starejših različic operacijskega sistema Microsoft Samba4 AD DC je zelo preprost. Najprej se prepričajte, da ima vaša delovna postaja Windows 10 nastavljen pravilen naslov IP Samba4 DNS, da lahko poiščete ustrezen razreševalec področja.

Odprite Nadzorno ploščo -> Omrežje in internet -> Center za omrežje in skupno rabo -> Ethernet kartica -> Lastnosti -> IPv4 -> Lastnosti -> Uporabite naslednje naslove strežnika DNS in ročno namestite naslov IP Samba4 AD v omrežni vmesnik, kot je prikazano v pod posnetki zaslona.

Tu je 192.168.1.254 naslov IP krmilnika domene Samba4 AD, ki je odgovoren za ločljivost DNS. Ustrezno zamenjajte naslov IP.

10. Nato uporabite omrežne nastavitve tako, da pritisnete gumb V redu, odprete ukazni poziv in izdate ping za splošno ime domene in FQDN gostitelja Samba4, da preizkusite, ali je področje dosegljivo z ločljivostjo DNS.

ping tecmint.lan
ping adc1.tecmint.lan

11. Če se razreševalec pravilno odziva na poizvedbe DNS odjemalca Windows, morate zagotoviti, da je čas natančno sinhroniziran s področjem.

Odprite nadzorno ploščo -> Ura, jezik in regija -> Nastavi uro in datum -> zavihek Internetni čas -> Spremeni nastavitve in v polje Sinhroniziraj s ter časovni strežnik internetnega časa vpišite svoje ime domene.

Pritisnite gumb Posodobi zdaj, da prisilite časovno sinhronizacijo s področjem, in pritisnite OK, da zaprete okno.

12. Na koncu se pridružite domeni tako, da odprete Sistemske lastnosti -> Spremeni -> Član domene, napišite svoje ime domene, pritisnite V redu, vnesite poverilnice skrbniškega računa domene in znova pritisnite V redu.

Odprlo bi se novo pojavno okno, ki vas obvešča, da ste član domene. Pritisnite V redu, da zaprete pojavno okno in znova zaženete računalnik, da uveljavite spremembe domene.

Spodnji posnetek zaslona prikazuje te korake.

13. Po ponovnem zagonu pritisnite Drugi uporabnik in se prijavite v sistem Windows z domenskim računom Samba4 z skrbniškimi pravicami in pripravljeni boste na naslednji korak.

14. Microsoftova orodja za oddaljeno strežniško upravljanje (RSAT), ki se bodo še naprej uporabljala za upravljanje Samba4 Active Directory, lahko prenesete s teh povezav, odvisno od vaše različice sistema Windows:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Ko je v vaš sistem naložena posodobitev samostojnega namestitvenega paketa za Windows 10, zaženite namestitveni program, počakajte, da se namestitev konča, in znova zaženite napravo, da uveljavite vse posodobitve.

Po ponovnem zagonu odprite Nadzorno ploščo -> Programi (Odstrani program) -> Vklopite ali izklopite funkcije sistema Windows in preverite vsa orodja za upravljanje oddaljenega strežnika.

Kliknite V redu, da začnete namestitev, in ko se postopek namestitve konča, znova zaženite sistem.

15. Za dostop do orodij RSAT pojdite na Nadzorna plošča -> Sistem in varnost -> Skrbniška orodja.

Orodja lahko najdete tudi v meniju Skrbniška orodja v meniju Start. Lahko pa tudi odprete Windows MMC in dodate snap-ins z uporabo menija File -> Add/Remove Snap-in.

Najbolj uporabljena orodja, kot so AD UC, DNS in upravljanje politik skupine, je mogoče zagnati neposredno z namizja z ustvarjanjem bližnjic s funkcijo Pošlji v meni v meniju.

16. Funkcionalnost RSAT lahko preverite tako, da odprete AD UC in navedete domenske računalnike (na seznamu naj bi se pojavil nov pridružen računalnik Windows), ustvarite novo organizacijsko enoto ali novega uporabnika ali skupino.

Z ukazom wbinfo s strani strežnika Samba4 preverite, ali so bili uporabniki ali skupine pravilno ustvarjeni.

To je to! V naslednjem delu te teme bomo obravnavali druge pomembne vidike Samba4 Active Directory, ki jih je mogoče upravljati prek RSAT, na primer, kako upravljati strežnik DNS, dodati zapise DNS in ustvariti povratno območje iskanja DNS, kako upravljati in uporabljati pravilnik domene in kako ustvariti interaktivno pasico za prijavo za uporabnike vaše domene.