Pārvaldiet Samba4 Active Directory infrastruktūru no Windows10, izmantojot RSAT - 3. daļa

Šajā Samba4 AD DC infrastruktūras sērijas daļā mēs runāsim par to, kā pievienoties Windows 10 mašīnai Samba4 valstībā un kā pārvaldīt domēnu no Windows 10 darbstacijas.

Kad Windows 10 sistēma ir pievienota Samba4 AD DC, mēs varam izveidot, noņemt vai atspējot domēna lietotājus un grupas, mēs varam izveidot jaunas organizatoriskās vienības, mēs varam izveidot, rediģēt un pārvaldīt domēna politiku vai mēs varam pārvaldīt Samba4 domēna DNS pakalpojumu.

Visas iepriekš minētās funkcijas un citus sarežģītus uzdevumus, kas attiecas uz domēna administrēšanu, var sasniegt, izmantojot jebkuru modernu Windows platformu, izmantojot RSAT - Microsoft attālo serveru administrēšanas rīkus.

  1. Izveidojiet AD infrastruktūru ar Samba4 operētājsistēmā Ubuntu 16.04 - 1. daļa
  2. Pārvaldiet Samba4 AD infrastruktūru no Linux komandrindas - 2. daļa
  3. Pārvaldiet Samba4 AD domēna kontrollera DNS un grupas politiku no Windows - 4. daļa

1. darbība: konfigurējiet domēna laika sinhronizāciju

1. Pirms sākt administrēt Samba4 ADDC no Windows 10 ar RSAT rīku palīdzību, mums jāzina un jārūpējas par būtisku pakalpojumu, kas nepieciešams Active Directory, un šis pakalpojums attiecas uz precīzu laika sinhronizāciju.

Laika sinhronizāciju NTP dēmons var piedāvāt lielākajā daļā Linux izplatījumu. Noklusējuma maksimālā laika perioda neatbilstība, ko AD var atbalstīt, ir aptuveni 5 minūtes.

Ja novirzes periods ir ilgāks par 5 minūtēm, jums jāsāk piedzīvot dažādas kļūdas, vissvarīgākās attiecībā uz AD lietotājiem, pievienotajām mašīnām vai koplietojamo piekļuvi.

Lai Ubuntu instalētu tīkla laika protokola dēmonu un NTP klienta utilītu, izpildiet tālāk norādīto komandu.

$ sudo apt-get install ntp ntpdate

2. Pēc tam atveriet un rediģējiet NTP konfigurācijas failu un nomainiet noklusējuma NTP pūla serveru sarakstu ar jaunu NTP serveru sarakstu, kas ģeogrāfiski atrodas netālu no jūsu pašreizējās fiziskās iekārtas atrašanās vietas.

NTP serveru sarakstu var iegūt, apmeklējot oficiālo NTP Pool Project tīmekļa vietni http://www.pool.ntp.org/en/.

$ sudo nano /etc/ntp.conf

Komentējiet noklusējuma serveru sarakstu, pievienojot # katras baseina līnijas priekšā un pievienojiet zemāk esošās baseina līnijas ar saviem pareizajiem NTP serveriem, kā parādīts zemāk redzamajā ekrānuzņēmumā.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

# Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Tagad vēl neaizveriet failu. Pārvietojieties faila augšdaļā un pievienojiet zem rindas pēc driftfile paziņojuma. Šī iestatīšana ļauj klientiem vaicāt serverim, izmantojot AD parakstītus NTP pieprasījumus.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Visbeidzot, pārejiet uz faila apakšdaļu un pievienojiet zemāk esošo rindu, kā parādīts zemāk redzamajā ekrānuzņēmumā, kas tīkla klientiem ļaus tikai vaicāt laiku serverī.

restrict default kod nomodify notrap nopeer mssntp

5. Kad esat pabeidzis, saglabājiet un aizveriet NTP konfigurācijas failu un piešķiriet NTP pakalpojumam atbilstošas atļaujas, lai lasītu direktoriju ntp_signed.

Šis ir sistēmas ceļš, kur atrodas Samba NTP ligzda. Pēc tam restartējiet NTP dēmonu, lai lietotu izmaiņas un pārbaudītu, vai NTP ir atvērtas ligzdas jūsu sistēmas tīkla tabulā, izmantojot grep filtru.

$ sudo chown root:ntp /var/lib/samba/ntp_signd/
$ sudo chmod 750 /var/lib/samba/ntp_signd/
$ sudo systemctl restart ntp
$ sudo netstat –tulpn | grep ntp

Izmantojiet ntpq komandrindas utilītu, lai uzraudzītu NTP dēmonu kopā ar karodziņu -p , lai izdrukātu vienaudžu stāvokļa kopsavilkumu.

$ ntpq -p

2. darbība: NTP laika problēmu novēršana

6. Dažreiz NTP dēmons iestrēgst aprēķinos, mēģinot sinhronizēt laiku ar augšteces NTP servera vienaudžiem, kā rezultātā, manuāli mēģinot piespiest laika sinhronizāciju, klienta pusē palaižot ntpdate utilītu, rodas šādi kļūdas ziņojumi:

# ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

lietojot komandu ntpdate ar karodziņu -d .

# ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Lai apietu šo problēmu, problēmas risināšanai izmantojiet šādu triku: Serverī pārtrauciet NTP pakalpojumu un izmantojiet klienta utilītu ntpdate, lai manuāli piespiestu laika sinhronizāciju ar ārēju vienaudžu, izmantojot -b karodziņš, kā parādīts zemāk:

# systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
# systemctl start ntp.service
# systemctl status ntp.service

8. Kad laiks ir precīzi sinhronizēts, palaidiet NTP dēmonu serverī un no klienta puses pārbaudiet, vai pakalpojums ir gatavs kalpot vietējiem klientiem, izsniedzot šādu komandu:

# ntpdate -du adc1.tecmint.lan    [your_adc_server]

Līdz šim NTP serverim jādarbojas, kā paredzēts.

3. solis: Pievienojieties sistēmai Windows 10 valstībā

9. Kā redzējām mūsu iepriekšējā apmācībā, Samba4 Active Directory var pārvaldīt no komandrindas, izmantojot samba-tool lietderības interfeisu, kuram var piekļūt tieši no servera VTY konsoles vai attālināti savienot, izmantojot SSH.

Cita, intuitīvāka un elastīgāka alternatīva būtu pārvaldīt mūsu Samba4 AD domēna kontrolleri, izmantojot Microsoft Remote Server Administration Tools (RSAT) no domēnā integrētās Windows darbstacijas. Šie rīki ir pieejami gandrīz visās mūsdienu Windows sistēmās.

Procesa pievienošana Windows 10 vai vecākām Microsoft OS versijām Samba4 AD DC ir ļoti vienkārša. Vispirms pārliecinieties, vai jūsu Windows 10 darbstacijā ir konfigurēta pareizā Samba4 DNS IP adrese, lai vaicātu pareizajam sfēras izšķiršanas rīkam.

Atveriet vadības paneli -> Tīkls un internets -> Tīkla un koplietošanas centrs -> Ethernet karte -> Rekvizīti -> IPv4 -> Rekvizīti -> Izmantojiet šīs DNS servera adreses un manuāli ievietojiet Samba4 AD IP adresi tīkla saskarnē, kā parādīts zem ekrānuzņēmumiem.

Šeit 192.168.1.254 ir Samba4 AD domēna kontrollera IP adrese, kas atbild par DNS izšķirtspēju. Attiecīgi nomainiet IP adresi.

10. Pēc tam lietojiet tīkla iestatījumus, nospiežot pogu Labi, atveriet komandu uzvedni un izdodiet ping pret vispārējo domēna nosaukumu un Samba4 resursdatoru FQDN, lai pārbaudītu, vai valstība ir sasniedzama, izmantojot DNS izšķirtspēju.

ping tecmint.lan
ping adc1.tecmint.lan

11. Ja atrisinātājs pareizi atbild uz Windows klienta DNS vaicājumiem, jums jāpārliecinās, ka laiks ir precīzi sinhronizēts ar valstību.

Atveriet vadības paneli -> Pulkstenis, valoda un reģions -> Iestatiet laiku un datumu -> cilne Interneta laiks -> Mainīt iestatījumus un ierakstiet savu domēna vārdu laukā Sinhronizēt ar un Interneta laika serveris.

Lai piespiestu laika sinhronizāciju ar valstību, nospiediet pogu Atjaunināt tūlīt un nospiediet Labi, lai aizvērtu logu.

12. Visbeidzot, pievienojieties domēnam, atverot Sistēmas rekvizīti -> Mainīt -> Domēna loceklis, uzrakstiet savu domēna vārdu, nospiediet Labi, ievadiet sava domēna administratīvā konta akreditācijas datus un vēlreiz nospiediet Labi.

Tiks atvērts jauns uznirstošais logs, kurā būs norādīts, ka esat domēna dalībnieks. Nospiediet Labi, lai aizvērtu uznirstošo logu un pārstartētu mašīnu, lai piemērotu domēna izmaiņas.

Tālāk redzamais ekrānuzņēmums ilustrēs šīs darbības.

13. Pēc restartēšanas nospiediet Cits lietotājs un piesakieties sistēmā Windows ar Samba4 domēna kontu ar administratīvajām tiesībām, un jums vajadzētu būt gatavam pāriet uz nākamo soli.

14. Microsoft attālo serveru administrēšanas rīkus (RSAT), kurus turpmāk izmantos Samba4 Active Directory administrēšanai, var lejupielādēt no šīm saitēm atkarībā no jūsu Windows versijas:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Kad operētājsistēmas Windows 10 atjaunināšanas atsevišķā instalētāja pakotne ir lejupielādēta jūsu sistēmā, palaidiet instalēšanas programmu, pagaidiet, līdz instalēšana ir pabeigta, un restartējiet iekārtu, lai lietotu visus atjauninājumus.

Pēc pārstartēšanas atveriet Vadības panelis -> Programmas (programmas atinstalēšana) -> Ieslēdziet vai izslēdziet Windows funkcijas un pārbaudiet visus attālā servera administrēšanas rīkus.

Noklikšķiniet uz Labi, lai sāktu instalēšanu, un pēc instalēšanas pabeigšanas restartējiet sistēmu.

15. Lai piekļūtu RSAT rīkiem, dodieties uz Vadības panelis -> Sistēma un drošība -> Administratīvie rīki.

Rīkus var atrast arī izvēlnē Administratīvie rīki no sākuma izvēlnes. Varat arī atvērt Windows MMC un pievienot pievienojumprogrammas, izmantojot izvēlni File -> Add/Remove Snap-in.

Visbiežāk izmantotos rīkus, piemēram, AD UC, DNS un grupas politikas pārvaldību, var palaist tieši no darbvirsmas, izveidojot saīsnes, izmantojot izvēlnes funkciju Sūtīt uz.

16. RSAT funkcionalitāti varat pārbaudīt, atverot AD UC un norādot domēna datorus (sarakstā jāparādās nesen pievienotajai Windows mašīnai), jāizveido jauna organizatoriskā vienība vai jauns lietotājs vai grupa.

Pārbaudiet, vai lietotāji vai grupas ir izveidotas pareizi, izsniedzot komandu wbinfo no Samba4 servera puses.

Tieši tā! Nākamajā šīs tēmas daļā mēs aplūkosim citus svarīgus Samba4 Active Directory aspektus, kurus var administrēt, izmantojot RSAT, piemēram, kā pārvaldīt DNS serveri, pievienot DNS ierakstus un izveidot apgriezto DNS uzmeklēšanas zonu, kā pārvaldīt un lietot domēna politika un kā izveidot interaktīvu pieteikšanās reklāmkarogu sava domēna lietotājiem.