A Samba4 Active Directory infrastruktúra kezelése Windows10-ből RSAT-on keresztül – 3. rész
A Samba4 AD DC infrastruktúra sorozatának ebben a részében arról fogunk beszélni, hogyan lehet egy Windows 10 gépet Samba4 tartományba illeszteni, és hogyan adminisztrálható a tartomány a Windows rendszerből 10munkaállomás.
Miután a Windows 10 rendszert a Samba4 AD DC-hez csatlakoztattuk, létrehozhatunk, eltávolíthatunk vagy letilthatunk domain felhasználókat és csoportokat, új szervezeti egységeket hozhatunk létre. >, létrehozhatunk, szerkeszthetünk és kezelhetünk tartományházirendet, vagy kezelhetjük a Samba4 domain DNS szolgáltatást.
A fenti funkciók és a domain adminisztrációval kapcsolatos egyéb összetett feladatok mindegyike elvégezhető bármely modern Windows platformon az RSAT – Microsoft Remote Server Administration Tools segítségével.
Követelmények
- Hozzon létre egy AD-infrastruktúrát a Samba4 segítségével az Ubuntu 16.04-en – 1. rész
- A Samba4 AD infrastruktúra kezelése Linux parancssorból – 2. rész
- A Samba4 AD tartományvezérlő DNS és csoportházirend kezelése a Windows rendszerből – 4. rész
1. lépés: Állítsa be a tartományi idő szinkronizálását
1. Mielőtt elkezdené adminisztrálni a Samba4 ADDC rendszert Windows 10 rendszerből az RSAT eszközök segítségével, tudnunk kell és gondoskodjon az Active Directory-hoz szükséges kulcsfontosságú szolgáltatásról, és ez a szolgáltatás a pontos időszinkronizálásra vonatkozik.
Az időszinkronizálást az NTP démon kínálja a legtöbb Linux disztribúcióban. Az alapértelmezett maximális időtartam eltérés, amelyet egy AD támogathat, körülbelül 5 perc.
Ha az eltérés időtartama 5 percnél nagyobb, akkor különféle hibákat kell tapasztalnia, amelyek a legfontosabbak az AD-felhasználók, a csatlakoztatott gépek vagy a hozzáférés megosztása tekintetében.
A Network Time Protocol démon és az NTP kliens segédprogram telepítéséhez az Ubuntuban hajtsa végre az alábbi parancsot.
sudo apt-get install ntp ntpdate
2. Ezután nyissa meg és szerkessze az NTP-konfigurációs fájlt, és cserélje le az alapértelmezett NTP-készletkiszolgálók listáját azon NTP-kiszolgálók új listájára, amelyek földrajzilag az Ön jelenlegi fizikai berendezésének közelében találhatók.
Az NTP-kiszolgálók listája megtalálható az NTP Pool Project hivatalos weboldalán: http://www.pool.ntp.org/en/.
sudo nano /etc/ntp.conf
Írja megjegyzésbe az alapértelmezett szerverlistát úgy, hogy minden készletsor elé adjon egy #
-t, és adja hozzá az alábbi készletsorokat a megfelelő NTP-kiszolgálókhoz, ahogy az alábbi képernyőképen látható.
pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst
Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org
3. Most még ne zárja be a fájlt. Lépjen a fájl tetejére, és adja hozzá az alábbi sort a driftfile utasítás után. Ez a beállítás lehetővé teszi az ügyfelek számára, hogy AD-al aláírt NTP-kérésekkel lekérdezzék a szervert.
ntpsigndsocket /var/lib/samba/ntp_signd/
4. Végül lépjen a fájl aljára, és adja hozzá az alábbi sort az alábbi képernyőképen látható módon, amely lehetővé teszi a hálózati kliensek számára, hogy csak a szerveren töltött időt kérdezzék le.
restrict default kod nomodify notrap nopeer mssntp
5. Ha végzett, mentse és zárja be az NTP konfigurációs fájlt, és adja meg az NTP szolgáltatást a megfelelő engedélyekkel az ntp_signed könyvtár olvasásához.
Ez az a rendszerútvonal, ahol a Samba NTP socket található. Ezután indítsa újra az NTP démont a módosítások végrehajtásához, és ellenőrizze, hogy az NTP-nek vannak-e nyitott socketek a rendszer hálózati táblájában a netstat paranccsal és grep szűrővel kombinálva.
sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp
Használja az ntpq parancssori segédprogramot az NTP-démon figyelésére, a -p
jelzővel együtt, hogy kinyomtassa a társak állapotának összefoglalóját.
ntpq -p
2. lépés: Az NTP idővel kapcsolatos problémák elhárítása
6. Néha az NTP démon elakad a számításokban, miközben megpróbálja szinkronizálni az időt egy upstream ntp szerverrel, ami a következő hibaüzeneteket eredményezi, amikor manuálisan próbálja kényszeríteni az időszinkronizálást az ntpdate futtatásával > segédprogram ügyféloldalon:
ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found
ha az ntpdate parancsot -d
jelzővel használja.
ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync
7. A probléma megkerüléséhez használja a következő trükköt a probléma megoldására: A szerveren állítsa le az NTP-szolgáltatást, és használja az ntpdate kliens segédprogramot az időszinkronizálás kézi kényszerítésére egy külső társ a -b
jelzővel, az alábbiak szerint:
systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service
8. Az idő pontos szinkronizálása után indítsa el az NTP-démont a szerveren, és ellenőrizze az ügyféloldalról, hogy a szolgáltatás készen áll-e a helyi ügyfelek kiszolgálására a következő parancs kiadásával:
ntpdate -du adc1.tecmint.lan [your_adc_server]
Mostanra az NTP-szervernek a várt módon kell működnie.
3. lépés: Csatlakozzon a Windows 10 rendszerhez a Realmhoz
9. Amint azt előző oktatóanyagunkban láttuk, a Samba4 Active Directory parancssorból is kezelhető a samba-tool segédprogram interfészével, amely közvetlenül elérhető a szerver VTY-konzoljáról, vagy távolról, SSH-n keresztül csatlakoztatható.
Egy másik, intuitívabb és rugalmasabb alternatíva az lenne, ha a Samba4 AD tartományvezérlőnket a Microsoft Remote Server Administration Tools (RSAT) segítségével kezelné a tartományba integrált Windows munkaállomásról. Ezek az eszközök szinte minden modern Windows rendszerben elérhetők.
A Windows 10 vagy a Microsoft OS régebbi verzióinak a Samba4 AD DChez való csatlakoztatásának folyamata nagyon egyszerű. Először győződjön meg arról, hogy a Windows 10 munkaállomáson a megfelelő Samba4 DNS IP-cím van konfigurálva a megfelelő tartományfeloldó lekérdezéséhez.
Nyissa meg a Vezérlőpult -> Hálózat és internet -> Hálózati és megosztási központ -> Ethernet-kártya -> >Tulajdonságok -> IPv4 -> Tulajdonságok -> Használja a következő DNS-kiszolgáló címeket, és manuálisan helyezze el a Samba4 AD IP-címet a hálózati interfészen az alábbi ábrán látható módon képernyőképek.
Itt a 192.168.1.254 a DNS-feloldásért felelős Samba4 AD tartományvezérlő IP-címe. Ennek megfelelően cserélje ki az IP-címet.
10. Ezután alkalmazza a hálózati beállításokat az OK gomb megnyomásával, nyisson meg egy Parancssort, és adjon ki ping parancsot. az általános tartománynévvel és a Samba4 gazdagép FQDN-jével ellenőrzi, hogy a tartomány elérhető-e DNS-feloldással.
ping tecmint.lan
ping adc1.tecmint.lan
11. Ha a feloldó helyesen válaszol a Windows-kliens DNS-lekérdezéseire, akkor biztosítania kell, hogy az idő pontosan szinkronizálva legyen a területtel.
Nyissa meg a Vezérlőpult -> Óra, Nyelv és Régió -> Idő és dátum beállítása > -> Internet idő lap -> Beállítások módosítása, és írja be a domain nevét a Szinkronizálás és az Internet időszerver mezőbe.
Nyomja meg a Frissítés most gombot az idő szinkronizálásának kényszerítéséhez a birodalommal, és nyomja meg az OK gombot az ablak bezárásához.
12. Végül csatlakozzon a domainhez a Rendszer tulajdonságai -> Módosítás -> Domain tagja megnyitásával, írja be domain nevet, nyomja meg az OK gombot, adja meg a domain rendszergazdai fiókjának hitelesítő adatait, és nyomja meg ismét az OK gombot.
Egy új felugró ablaknak kell megnyílnia, amely tájékoztatja arról, hogy Ön a domain tagja. Nyomja meg az OK gombot az előugró ablak bezárásához, és indítsa újra a gépet a tartománymódosítások alkalmazásához.
Az alábbi képernyőkép ezeket a lépéseket szemlélteti.
13. Az újraindítás után nyomja meg az Egyéb felhasználót, és jelentkezzen be a Windowsba adminisztrátori jogosultságokkal rendelkező Samba4 tartományfiókkal, és készen kell állnia a következő lépésre.
4. lépés: Adja meg a Samba4 AD DC-t RSAT-tal
14. A Microsoft Remote Server Administration Tools (RSAT), amely a továbbiakban a Samba4 Active Directory adminisztrálására szolgál, letölthető a következő linkekről , a Windows verziójától függően:
- Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
- Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
- Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
- Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887
Miután letöltötte a Windows 10 rendszerhez készült önálló frissítési telepítőcsomagot, futtassa a telepítőt, várja meg, amíg a telepítés befejeződik, majd indítsa újra a gépet az összes frissítés alkalmazásához.
Az újraindítás után nyissa meg a Vezérlőpult -> Programok (Programok eltávolítása) -> A Windows-funkciók bekapcsolása be vagy ki, és jelölje be az összes Távoli kiszolgálófelügyeleti eszközt.
Kattintson az OK gombra a telepítés elindításához, majd a telepítési folyamat befejezése után indítsa újra a rendszert.
15. Az RSAT eszközök eléréséhez lépjen a Vezérlőpult -> Rendszer és biztonság -> Felügyeleti eszközök oldalra. .
Az eszközök a Adminisztrációs eszközök menüben is megtalálhatók a start menüből. Alternatív megoldásként megnyithatja a Windows MMC alkalmazást, és beépülő modulokat adhat hozzá a Fájl -> Hozzáadás/eltávolítás beépülő modul segítségével.
A leggyakrabban használt eszközök, például az AD UC, a DNS és a Group Policy Management közvetlenül elindíthatók az asztalról, ha parancsikonokat hoznak létre a Küldés funkció segítségével menü.
16. Ellenőrizheti az RSAT működését az AD UC megnyitásával, és listázza a tartomány számítógépeit (az újonnan csatlakozott Windows gépnek meg kell jelennie a listában), hozzon létre egy új Szervezeti egység vagy új felhasználó vagy csoport.
Ellenőrizze, hogy a felhasználók vagy csoportok megfelelően lettek-e létrehozva a wbinfo parancs Samba4 szerveroldalról történő kiadásával.
Ez az! A téma következő részében az RSAT-on keresztül adminisztrálható Samba4 Active Directory egyéb fontos szempontjairól fogunk beszélni, mint például a DNS-kiszolgáló kezelése, DNS hozzáadása. rekordokat, és hozzon létre egy fordított DNS-keresési zónát, hogyan kezelje és alkalmazza a tartományházirendet, és hogyan hozzon létre interaktív bejelentkezési szalaghirdetést a domain felhasználói számára.