Управление инфраструктурой Active Directory Samba4 из Windows10 через RSAT — часть 3
В этой части серии статей об инфраструктуре Samba4 AD DC мы поговорим о том, как присоединить компьютер с Windows 10 к области Samba4 и как управлять доменом из Windows. 10 рабочая станция.
После присоединения системы Windows 10 к Samba4 AD DC мы можем создавать, удалять или отключать пользователей и группы домена, а также создавать новые организационные подразделения. > мы можем создавать, редактировать и управлять политикой домена или управлять службой DNS домена Samba4.
Все вышеперечисленные функции и другие сложные задачи, связанные с администрированием домена, могут быть реализованы на любой современной платформе Windows с помощью RSAT – инструментов удаленного администрирования сервера Microsoft.
Требования
- Создайте инфраструктуру AD с помощью Samba4 в Ubuntu 16.04 — часть 1
- Управление инфраструктурой Samba4 AD из командной строки Linux – часть 2
- Управление DNS и групповой политикой контроллера домена Samba4 AD из Windows — часть 4
Шаг 1. Настройка синхронизации времени домена
1. Прежде чем приступить к администрированию Samba4 ADDC из Windows 10 с помощью инструментов RSAT, нам необходимо знать и позаботьтесь о важной части службы, необходимой для Active Directory, и эта служба относится к точной синхронизации времени.
Синхронизация времени может обеспечиваться демоном NTP в большинстве дистрибутивов Linux. Максимальное расхождение периода времени по умолчанию, которое может поддерживать AD, составляет около 5 минут.
Если период времени расхождения превышает 5 минут, у вас должны возникнуть различные ошибки, наиболее важные из которых касаются пользователей AD, присоединенных компьютеров или общего доступа.
Чтобы установить демон Network Time Protocol и клиентскую утилиту NTP в Ubuntu, выполните приведенную ниже команду.
sudo apt-get install ntp ntpdate
2. Затем откройте и отредактируйте файл конфигурации NTP и замените список серверов пула NTP по умолчанию новым списком серверов NTP, которые географически расположены рядом с текущим физическим расположением оборудования.
Список серверов NTP можно получить, посетив официальную веб-страницу проекта NTP Pool http://www.pool.ntp.org/en/.
sudo nano /etc/ntp.conf
Прокомментируйте список серверов по умолчанию, добавив #
перед каждой строкой пула, и добавьте приведенные ниже строки пула с соответствующими серверами NTP, как показано на снимке экрана ниже.
pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst
Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org
3. Пока не закрывайте файл. Перейдите к началу файла и добавьте строку ниже после оператора DriftFile. Эта настройка позволяет клиентам отправлять запросы к серверу, используя NTP-запросы, подписанные AD.
ntpsigndsocket /var/lib/samba/ntp_signd/
4. Наконец, перейдите в конец файла и добавьте строку ниже, как показано на снимке экрана ниже, которая позволит сетевым клиентам только запрашивать время на сервере.
restrict default kod nomodify notrap nopeer mssntp
5. По завершении сохраните и закройте файл конфигурации NTP и предоставьте службе NTP соответствующие разрешения для чтения каталога ntp_signed.
Это системный путь, по которому расположен сокет Samba NTP. После этого перезапустите демон NTP, чтобы применить изменения, и проверьте, есть ли у NTP открытые сокеты в вашей системной сетевой таблице, используя команду netstat в сочетании с фильтром grep.
sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp
Используйте утилиту командной строки ntpq для мониторинга демона NTP вместе с флагом -p
, чтобы распечатать сводную информацию о состоянии одноранговых узлов.
ntpq -p
Шаг 2. Устранение проблем со временем NTP
6. Иногда демон NTP застревает в вычислениях при попытке синхронизировать время с вышестоящим узлом ntp-сервера, что приводит к появлению следующих сообщений об ошибках при попытке вручную принудительно синхронизировать время с помощью ntpdate > утилита на стороне клиента:
ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found
при использовании команды ntpdate с флагом -d
.
ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync
7. Чтобы обойти эту проблему, используйте следующий прием: на сервере остановите службу NTP и используйте клиентскую утилиту ntpdate, чтобы вручную принудительно синхронизировать время с внешний узел, использующий флаг -b
, как показано ниже:
systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service
8. После точной синхронизации времени запустите демон NTP на сервере и проверьте со стороны клиента, готова ли служба обслуживать время для локальных клиентов, выполнив следующую команду:
ntpdate -du adc1.tecmint.lan [your_adc_server]
К этому моменту NTP-сервер должен работать как положено.
Шаг 3. Присоедините Windows 10 к Realm
9. Как мы видели в нашем предыдущем руководстве, Samba4 Active Directory можно управлять из командной строки с помощью служебного интерфейса samba-tool, доступ к которому можно получить непосредственно из консоли VTY сервера или подключиться удаленно через SSH.
Другая, более интуитивно понятная и гибкая альтернатива — управлять нашим контроллером домена Samba4 AD через средства удаленного администрирования сервера Microsoft (RSAT) с рабочей станции Windows, интегрированной в домен. Эти инструменты доступны практически во всех современных системах Windows.
Процесс присоединения Windows 10 или более ранних версий Microsoft OS к Samba4 AD DC очень прост. Сначала убедитесь, что на вашей рабочей станции Windows 10 настроен правильный Samba4 DNS IP адрес для запроса правильного преобразователя области.
Откройте Панель управления -> Сеть и Интернет -> Центр управления сетями и общим доступом -> Ethernet-карта -> Свойства -> IPv4 -> Свойства -> Используйте следующие адреса DNS-серверов и вручную поместите IP-адрес Samba4 AD в сетевой интерфейс, как показано ниже. скриншоты.
Здесь 192.168.1.254 — это IP-адрес контроллера домена Samba4 AD, ответственного за разрешение DNS. Замените IP-адрес соответствующим образом.
10. Затем примените настройки сети, нажав кнопку ОК, откройте Командную строку и выполните пинг. против общего доменного имени и полного доменного имени хоста Samba4, чтобы проверить, доступна ли область через разрешение DNS.
ping tecmint.lan
ping adc1.tecmint.lan
11. Если преобразователь правильно отвечает на DNS-запросы клиента Windows, вам необходимо убедиться, что время точно синхронизировано с областью.
Откройте Панель управления -> Часы, Язык и Регион -> Установить время и дату . -> Вкладка «Время в Интернете» -> Изменить настройки и введите имя своего домена в поле «Синхронизировать с» и «Сервер времени в Интернете».
Нажмите кнопку Обновить сейчас, чтобы принудительно синхронизировать время с областью, и нажмите ОК, чтобы закрыть окно.
12. Наконец, присоединитесь к домену, открыв Свойства системы -> Изменить -> Член домена, введите свой имя домена, нажмите ОК, введите учетные данные администратора домена и снова нажмите ОК.
Должно открыться новое всплывающее окно, сообщающее, что вы являетесь членом домена. Нажмите ОК, чтобы закрыть всплывающее окно, и перезагрузите компьютер, чтобы применить изменения домена.
На скриншоте ниже проиллюстрированы эти шаги.
13. После перезагрузки нажмите Другой пользователь и войдите в Windows с учетной записью домена Samba4 с правами администратора, и вы будете готовы перейти к следующему шагу.
Шаг 4. Администрирование Samba4 AD DC с помощью RSAT
14. Инструменты удаленного администрирования сервера Microsoft (RSAT), которые в дальнейшем будут использоваться для администрирования Samba4 Active Directory, можно загрузить по следующим ссылкам. , в зависимости от вашей версии Windows:
- Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
- Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296.
- Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972.
- Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887.
После загрузки автономного установочного пакета обновления для Windows 10 в вашу систему запустите установщик, дождитесь завершения установки и перезагрузите компьютер, чтобы применить все обновления.
После перезагрузки откройте Панель управления -> Программы (Удалить программу) -> Включить функции Windows. включить или выключить и отметьте все Инструменты удаленного администрирования сервера.
Нажмите ОК, чтобы начать установку, и после завершения процесса установки перезагрузите систему.
15. Чтобы получить доступ к инструментам RSAT, перейдите в Панель управления -> Система и безопасность -> Инструменты администрирования. .
Эти инструменты также можно найти в меню Администрирование меню «Пуск». Альтернативно вы можете открыть Windows MMC и добавить оснастки с помощью меню Файл -> Добавить/удалить оснастку.
Наиболее часто используемые инструменты, такие как AD UC, DNS и Управление групповой политикой, можно запустить непосредственно с рабочего стола, создав ярлыки с помощью функции «Отправить на» из меню.
16. Вы можете проверить функциональность RSAT, открыв AD UC и выведя список компьютеров домена (вновь присоединенный компьютер Windows должен появиться в списке), создайте новое Подразделение или новый пользователь или группа.
Убедитесь, что пользователи или группы были правильно созданы, введя команду wbinfo со стороны сервера Samba4.
Вот и все! В следующей части этой темы мы рассмотрим другие важные аспекты Samba4 Active Directory, которыми можно управлять через RSAT, например, как управлять DNS-сервером, добавлять DNS. записи и создание зоны обратного поиска DNS, как управлять политикой домена и применять ее, а также как создать интерактивный баннер входа в систему для пользователей вашего домена.