Weboldal keresés

A Samba4 Active Directory infrastruktúra kezelése Windows10-ből RSAT-on keresztül – 3. rész


A Samba4 AD DC infrastruktúra sorozatának ebben a részében arról fogunk beszélni, hogyan lehet egy Windows 10 gépet Samba4 tartományba illeszteni, és hogyan adminisztrálható a tartomány a Windows rendszerből 10munkaállomás.

Miután a Windows 10 rendszert a Samba4 AD DC-hez csatlakoztattuk, létrehozhatunk, eltávolíthatunk vagy letilthatunk domain felhasználókat és csoportokat, új szervezeti egységeket hozhatunk létre. >, létrehozhatunk, szerkeszthetünk és kezelhetünk tartományházirendet, vagy kezelhetjük a Samba4 domain DNS szolgáltatást.

A fenti funkciók és a domain adminisztrációval kapcsolatos egyéb összetett feladatok mindegyike elvégezhető bármely modern Windows platformon az RSAT – Microsoft Remote Server Administration Tools segítségével.

Követelmények

  1. Hozzon létre egy AD-infrastruktúrát a Samba4 segítségével az Ubuntu 16.04-en – 1. rész
  2. A Samba4 AD infrastruktúra kezelése Linux parancssorból – 2. rész
  3. A Samba4 AD tartományvezérlő DNS és csoportházirend kezelése a Windows rendszerből – 4. rész

1. lépés: Állítsa be a tartományi idő szinkronizálását

1. Mielőtt elkezdené adminisztrálni a Samba4 ADDC rendszert Windows 10 rendszerből az RSAT eszközök segítségével, tudnunk kell és gondoskodjon az Active Directory-hoz szükséges kulcsfontosságú szolgáltatásról, és ez a szolgáltatás a pontos időszinkronizálásra vonatkozik.

Az időszinkronizálást az NTP démon kínálja a legtöbb Linux disztribúcióban. Az alapértelmezett maximális időtartam eltérés, amelyet egy AD támogathat, körülbelül 5 perc.

Ha az eltérés időtartama 5 percnél nagyobb, akkor különféle hibákat kell tapasztalnia, amelyek a legfontosabbak az AD-felhasználók, a csatlakoztatott gépek vagy a hozzáférés megosztása tekintetében.

A Network Time Protocol démon és az NTP kliens segédprogram telepítéséhez az Ubuntuban hajtsa végre az alábbi parancsot.

sudo apt-get install ntp ntpdate

2. Ezután nyissa meg és szerkessze az NTP-konfigurációs fájlt, és cserélje le az alapértelmezett NTP-készletkiszolgálók listáját azon NTP-kiszolgálók új listájára, amelyek földrajzilag az Ön jelenlegi fizikai berendezésének közelében találhatók.

Az NTP-kiszolgálók listája megtalálható az NTP Pool Project hivatalos weboldalán: http://www.pool.ntp.org/en/.

sudo nano /etc/ntp.conf

Írja megjegyzésbe az alapértelmezett szerverlistát úgy, hogy minden készletsor elé adjon egy #-t, és adja hozzá az alábbi készletsorokat a megfelelő NTP-kiszolgálókhoz, ahogy az alábbi képernyőképen látható.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Most még ne zárja be a fájlt. Lépjen a fájl tetejére, és adja hozzá az alábbi sort a driftfile utasítás után. Ez a beállítás lehetővé teszi az ügyfelek számára, hogy AD-al aláírt NTP-kérésekkel lekérdezzék a szervert.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Végül lépjen a fájl aljára, és adja hozzá az alábbi sort az alábbi képernyőképen látható módon, amely lehetővé teszi a hálózati kliensek számára, hogy csak a szerveren töltött időt kérdezzék le.

restrict default kod nomodify notrap nopeer mssntp

5. Ha végzett, mentse és zárja be az NTP konfigurációs fájlt, és adja meg az NTP szolgáltatást a megfelelő engedélyekkel az ntp_signed könyvtár olvasásához.

Ez az a rendszerútvonal, ahol a Samba NTP socket található. Ezután indítsa újra az NTP démont a módosítások végrehajtásához, és ellenőrizze, hogy az NTP-nek vannak-e nyitott socketek a rendszer hálózati táblájában a netstat paranccsal és grep szűrővel kombinálva.

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

Használja az ntpq parancssori segédprogramot az NTP-démon figyelésére, a -p jelzővel együtt, hogy kinyomtassa a társak állapotának összefoglalóját.

ntpq -p

2. lépés: Az NTP idővel kapcsolatos problémák elhárítása

6. Néha az NTP démon elakad a számításokban, miközben megpróbálja szinkronizálni az időt egy upstream ntp szerverrel, ami a következő hibaüzeneteket eredményezi, amikor manuálisan próbálja kényszeríteni az időszinkronizálást az ntpdate futtatásával > segédprogram ügyféloldalon:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

ha az ntpdate parancsot -d jelzővel használja.

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. A probléma megkerüléséhez használja a következő trükköt a probléma megoldására: A szerveren állítsa le az NTP-szolgáltatást, és használja az ntpdate kliens segédprogramot az időszinkronizálás kézi kényszerítésére egy külső társ a -b jelzővel, az alábbiak szerint:

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. Az idő pontos szinkronizálása után indítsa el az NTP-démont a szerveren, és ellenőrizze az ügyféloldalról, hogy a szolgáltatás készen áll-e a helyi ügyfelek kiszolgálására a következő parancs kiadásával:

ntpdate -du adc1.tecmint.lan    [your_adc_server]

Mostanra az NTP-szervernek a várt módon kell működnie.

3. lépés: Csatlakozzon a Windows 10 rendszerhez a Realmhoz

9. Amint azt előző oktatóanyagunkban láttuk, a Samba4 Active Directory parancssorból is kezelhető a samba-tool segédprogram interfészével, amely közvetlenül elérhető a szerver VTY-konzoljáról, vagy távolról, SSH-n keresztül csatlakoztatható.

Egy másik, intuitívabb és rugalmasabb alternatíva az lenne, ha a Samba4 AD tartományvezérlőnket a Microsoft Remote Server Administration Tools (RSAT) segítségével kezelné a tartományba integrált Windows munkaállomásról. Ezek az eszközök szinte minden modern Windows rendszerben elérhetők.

A Windows 10 vagy a Microsoft OS régebbi verzióinak a Samba4 AD DChez való csatlakoztatásának folyamata nagyon egyszerű. Először győződjön meg arról, hogy a Windows 10 munkaállomáson a megfelelő Samba4 DNS IP-cím van konfigurálva a megfelelő tartományfeloldó lekérdezéséhez.

Nyissa meg a Vezérlőpult -> Hálózat és internet -> Hálózati és megosztási központ -> Ethernet-kártya -> >Tulajdonságok -> IPv4 -> Tulajdonságok -> Használja a következő DNS-kiszolgáló címeket, és manuálisan helyezze el a Samba4 AD IP-címet a hálózati interfészen az alábbi ábrán látható módon képernyőképek.

Itt a 192.168.1.254 a DNS-feloldásért felelős Samba4 AD tartományvezérlő IP-címe. Ennek megfelelően cserélje ki az IP-címet.

10. Ezután alkalmazza a hálózati beállításokat az OK gomb megnyomásával, nyisson meg egy Parancssort, és adjon ki ping parancsot. az általános tartománynévvel és a Samba4 gazdagép FQDN-jével ellenőrzi, hogy a tartomány elérhető-e DNS-feloldással.

ping tecmint.lan
ping adc1.tecmint.lan

11. Ha a feloldó helyesen válaszol a Windows-kliens DNS-lekérdezéseire, akkor biztosítania kell, hogy az idő pontosan szinkronizálva legyen a területtel.

Nyissa meg a Vezérlőpult -> Óra, Nyelv és Régió -> Idő és dátum beállítása > -> Internet idő lap -> Beállítások módosítása, és írja be a domain nevét a Szinkronizálás és az Internet időszerver mezőbe.

Nyomja meg a Frissítés most gombot az idő szinkronizálásának kényszerítéséhez a birodalommal, és nyomja meg az OK gombot az ablak bezárásához.

12. Végül csatlakozzon a domainhez a Rendszer tulajdonságai -> Módosítás -> Domain tagja megnyitásával, írja be domain nevet, nyomja meg az OK gombot, adja meg a domain rendszergazdai fiókjának hitelesítő adatait, és nyomja meg ismét az OK gombot.

Egy új felugró ablaknak kell megnyílnia, amely tájékoztatja arról, hogy Ön a domain tagja. Nyomja meg az OK gombot az előugró ablak bezárásához, és indítsa újra a gépet a tartománymódosítások alkalmazásához.

Az alábbi képernyőkép ezeket a lépéseket szemlélteti.

13. Az újraindítás után nyomja meg az Egyéb felhasználót, és jelentkezzen be a Windowsba adminisztrátori jogosultságokkal rendelkező Samba4 tartományfiókkal, és készen kell állnia a következő lépésre.

4. lépés: Adja meg a Samba4 AD DC-t RSAT-tal

14. A Microsoft Remote Server Administration Tools (RSAT), amely a továbbiakban a Samba4 Active Directory adminisztrálására szolgál, letölthető a következő linkekről , a Windows verziójától függően:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Miután letöltötte a Windows 10 rendszerhez készült önálló frissítési telepítőcsomagot, futtassa a telepítőt, várja meg, amíg a telepítés befejeződik, majd indítsa újra a gépet az összes frissítés alkalmazásához.

Az újraindítás után nyissa meg a Vezérlőpult -> Programok (Programok eltávolítása) -> A Windows-funkciók bekapcsolása be vagy ki, és jelölje be az összes Távoli kiszolgálófelügyeleti eszközt.

Kattintson az OK gombra a telepítés elindításához, majd a telepítési folyamat befejezése után indítsa újra a rendszert.

15. Az RSAT eszközök eléréséhez lépjen a Vezérlőpult -> Rendszer és biztonság -> Felügyeleti eszközök oldalra. .

Az eszközök a Adminisztrációs eszközök menüben is megtalálhatók a start menüből. Alternatív megoldásként megnyithatja a Windows MMC alkalmazást, és beépülő modulokat adhat hozzá a Fájl -> Hozzáadás/eltávolítás beépülő modul segítségével.

A leggyakrabban használt eszközök, például az AD UC, a DNS és a Group Policy Management közvetlenül elindíthatók az asztalról, ha parancsikonokat hoznak létre a Küldés funkció segítségével menü.

16. Ellenőrizheti az RSAT működését az AD UC megnyitásával, és listázza a tartomány számítógépeit (az újonnan csatlakozott Windows gépnek meg kell jelennie a listában), hozzon létre egy új Szervezeti egység vagy új felhasználó vagy csoport.

Ellenőrizze, hogy a felhasználók vagy csoportok megfelelően lettek-e létrehozva a wbinfo parancs Samba4 szerveroldalról történő kiadásával.

Ez az! A téma következő részében az RSAT-on keresztül adminisztrálható Samba4 Active Directory egyéb fontos szempontjairól fogunk beszélni, mint például a DNS-kiszolgáló kezelése, DNS hozzáadása. rekordokat, és hozzon létre egy fordított DNS-keresési zónát, hogyan kezelje és alkalmazza a tartományházirendet, és hogyan hozzon létre interaktív bejelentkezési szalaghirdetést a domain felhasználói számára.