Поиск по сайту:

Управление инфраструктурой Active Directory Samba4 из Windows10 через RSAT — часть 3

В этой части серии статей об инфраструктуре Samba4 AD DC мы поговорим о том, как присоединить компьютер с Windows 10 к области Samba4 и как управлять доменом из Windows. 10 рабочая станция.

После присоединения системы Windows 10 к Samba4 AD DC мы можем создавать, удалять или отключать пользователей и группы домена, а также создавать новые организационные подразделения. > мы можем создавать, редактировать и управлять политикой домена или управлять службой DNS домена Samba4.

Все вышеперечисленные функции и другие сложные задачи, связанные с администрированием домена, могут быть реализованы на любой современной платформе Windows с помощью RSAT – инструментов удаленного администрирования сервера Microsoft.

Требования

  1. Создайте инфраструктуру AD с помощью Samba4 в Ubuntu 16.04 — часть 1
  2. Управление инфраструктурой Samba4 AD из командной строки Linux – часть 2
  3. Управление DNS и групповой политикой контроллера домена Samba4 AD из Windows — часть 4

Шаг 1. Настройка синхронизации времени домена

1. Прежде чем приступить к администрированию Samba4 ADDC из Windows 10 с помощью инструментов RSAT, нам необходимо знать и позаботьтесь о важной части службы, необходимой для Active Directory, и эта служба относится к точной синхронизации времени.

Синхронизация времени может обеспечиваться демоном NTP в большинстве дистрибутивов Linux. Максимальное расхождение периода времени по умолчанию, которое может поддерживать AD, составляет около 5 минут.

Если период времени расхождения превышает 5 минут, у вас должны возникнуть различные ошибки, наиболее важные из которых касаются пользователей AD, присоединенных компьютеров или общего доступа.

Чтобы установить демон Network Time Protocol и клиентскую утилиту NTP в Ubuntu, выполните приведенную ниже команду.

sudo apt-get install ntp ntpdate

2. Затем откройте и отредактируйте файл конфигурации NTP и замените список серверов пула NTP по умолчанию новым списком серверов NTP, которые географически расположены рядом с текущим физическим расположением оборудования.

Список серверов NTP можно получить, посетив официальную веб-страницу проекта NTP Pool http://www.pool.ntp.org/en/.

sudo nano /etc/ntp.conf

Прокомментируйте список серверов по умолчанию, добавив # перед каждой строкой пула, и добавьте приведенные ниже строки пула с соответствующими серверами NTP, как показано на снимке экрана ниже.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Пока не закрывайте файл. Перейдите к началу файла и добавьте строку ниже после оператора DriftFile. Эта настройка позволяет клиентам отправлять запросы к серверу, используя NTP-запросы, подписанные AD.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Наконец, перейдите в конец файла и добавьте строку ниже, как показано на снимке экрана ниже, которая позволит сетевым клиентам только запрашивать время на сервере.

restrict default kod nomodify notrap nopeer mssntp

5. По завершении сохраните и закройте файл конфигурации NTP и предоставьте службе NTP соответствующие разрешения для чтения каталога ntp_signed.

Это системный путь, по которому расположен сокет Samba NTP. После этого перезапустите демон NTP, чтобы применить изменения, и проверьте, есть ли у NTP открытые сокеты в вашей системной сетевой таблице, используя команду netstat в сочетании с фильтром grep.

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

Используйте утилиту командной строки ntpq для мониторинга демона NTP вместе с флагом -p, чтобы распечатать сводную информацию о состоянии одноранговых узлов.

ntpq -p

Шаг 2. Устранение проблем со временем NTP

6. Иногда демон NTP застревает в вычислениях при попытке синхронизировать время с вышестоящим узлом ntp-сервера, что приводит к появлению следующих сообщений об ошибках при попытке вручную принудительно синхронизировать время с помощью ntpdate > утилита на стороне клиента:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

при использовании команды ntpdate с флагом -d.

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Чтобы обойти эту проблему, используйте следующий прием: на сервере остановите службу NTP и используйте клиентскую утилиту ntpdate, чтобы вручную принудительно синхронизировать время с внешний узел, использующий флаг -b, как показано ниже:

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. После точной синхронизации времени запустите демон NTP на сервере и проверьте со стороны клиента, готова ли служба обслуживать время для локальных клиентов, выполнив следующую команду:

ntpdate -du adc1.tecmint.lan    [your_adc_server]

К этому моменту NTP-сервер должен работать как положено.

Шаг 3. Присоедините Windows 10 к Realm

9. Как мы видели в нашем предыдущем руководстве, Samba4 Active Directory можно управлять из командной строки с помощью служебного интерфейса samba-tool, доступ к которому можно получить непосредственно из консоли VTY сервера или подключиться удаленно через SSH.

Другая, более интуитивно понятная и гибкая альтернатива — управлять нашим контроллером домена Samba4 AD через средства удаленного администрирования сервера Microsoft (RSAT) с рабочей станции Windows, интегрированной в домен. Эти инструменты доступны практически во всех современных системах Windows.

Процесс присоединения Windows 10 или более ранних версий Microsoft OS к Samba4 AD DC очень прост. Сначала убедитесь, что на вашей рабочей станции Windows 10 настроен правильный Samba4 DNS IP адрес для запроса правильного преобразователя области.

Откройте Панель управления -> Сеть и Интернет -> Центр управления сетями и общим доступом -> Ethernet-карта -> Свойства -> IPv4 -> Свойства -> Используйте следующие адреса DNS-серверов и вручную поместите IP-адрес Samba4 AD в сетевой интерфейс, как показано ниже. скриншоты.

Здесь 192.168.1.254 — это IP-адрес контроллера домена Samba4 AD, ответственного за разрешение DNS. Замените IP-адрес соответствующим образом.

10. Затем примените настройки сети, нажав кнопку ОК, откройте Командную строку и выполните пинг. против общего доменного имени и полного доменного имени хоста Samba4, чтобы проверить, доступна ли область через разрешение DNS.

ping tecmint.lan
ping adc1.tecmint.lan

11. Если преобразователь правильно отвечает на DNS-запросы клиента Windows, вам необходимо убедиться, что время точно синхронизировано с областью.

Откройте Панель управления -> Часы, Язык и Регион -> Установить время и дату . -> Вкладка «Время в Интернете» -> Изменить настройки и введите имя своего домена в поле «Синхронизировать с» и «Сервер времени в Интернете».

Нажмите кнопку Обновить сейчас, чтобы принудительно синхронизировать время с областью, и нажмите ОК, чтобы закрыть окно.

12. Наконец, присоединитесь к домену, открыв Свойства системы -> Изменить -> Член домена, введите свой имя домена, нажмите ОК, введите учетные данные администратора домена и снова нажмите ОК.

Должно открыться новое всплывающее окно, сообщающее, что вы являетесь членом домена. Нажмите ОК, чтобы закрыть всплывающее окно, и перезагрузите компьютер, чтобы применить изменения домена.

На скриншоте ниже проиллюстрированы эти шаги.

13. После перезагрузки нажмите Другой пользователь и войдите в Windows с учетной записью домена Samba4 с правами администратора, и вы будете готовы перейти к следующему шагу.

Шаг 4. Администрирование Samba4 AD DC с помощью RSAT

14. Инструменты удаленного администрирования сервера Microsoft (RSAT), которые в дальнейшем будут использоваться для администрирования Samba4 Active Directory, можно загрузить по следующим ссылкам. , в зависимости от вашей версии Windows:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296.
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972.
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887.

После загрузки автономного установочного пакета обновления для Windows 10 в вашу систему запустите установщик, дождитесь завершения установки и перезагрузите компьютер, чтобы применить все обновления.

После перезагрузки откройте Панель управления -> Программы (Удалить программу) -> Включить функции Windows. включить или выключить и отметьте все Инструменты удаленного администрирования сервера.

Нажмите ОК, чтобы начать установку, и после завершения процесса установки перезагрузите систему.

15. Чтобы получить доступ к инструментам RSAT, перейдите в Панель управления -> Система и безопасность -> Инструменты администрирования. .

Эти инструменты также можно найти в меню Администрирование меню «Пуск». Альтернативно вы можете открыть Windows MMC и добавить оснастки с помощью меню Файл -> Добавить/удалить оснастку.

Наиболее часто используемые инструменты, такие как AD UC, DNS и Управление групповой политикой, можно запустить непосредственно с рабочего стола, создав ярлыки с помощью функции «Отправить на» из меню.

16. Вы можете проверить функциональность RSAT, открыв AD UC и выведя список компьютеров домена (вновь присоединенный компьютер Windows должен появиться в списке), создайте новое Подразделение или новый пользователь или группа.

Убедитесь, что пользователи или группы были правильно созданы, введя команду wbinfo со стороны сервера Samba4.

Вот и все! В следующей части этой темы мы рассмотрим другие важные аспекты Samba4 Active Directory, которыми можно управлять через RSAT, например, как управлять DNS-сервером, добавлять DNS. записи и создание зоны обратного поиска DNS, как управлять политикой домена и применять ее, а также как создать интерактивный баннер входа в систему для пользователей вашего домена.