Tvarkykite „Samba4 Active Directory“ infrastruktūrą iš „Windows10“ per RSAT - 3 dalis

Šioje „Samba4 AD DC“ infrastruktūros serijos dalyje kalbėsime apie tai, kaip prijungti „Windows 10“ mašiną prie „Samba4“ srities ir kaip valdyti domeną iš „Windows 10“ darbo vietos.

Kai „Windows 10“ sistema bus sujungta su „Samba4 AD DC“, galėsime sukurti, pašalinti ar išjungti domeno vartotojus ir grupes, galėsime sukurti naujus organizacinius vienetus, galėsime kurti, redaguoti ir valdyti domeno politiką arba galime valdyti „Samba4“ domeno DNS paslaugą.

Visas aukščiau išvardytas funkcijas ir kitas sudėtingas užduotis, susijusias su domeno administravimu, galima pasiekti naudojant bet kurią šiuolaikinę „Windows“ platformą, naudojant RSAT - „Microsoft Remote Server Administration Tools“.

  1. Sukurkite „AD Infrastructure“ su „Samba4“ „Ubuntu 16.04“ - 1 dalyje
  2. Tvarkykite „Samba4 AD“ infrastruktūrą naudodami „Linux“ komandų eilutę - 2 dalis
  3. „Windows“ valdykite „Samba4 AD“ domeno valdiklio DNS ir grupės politiką - 4 dalis

1 veiksmas: konfigūruokite domeno laiko sinchronizavimą

1. Prieš pradėdami administruoti „Samba4 ADDC“ iš „Windows 10“ naudodami RSAT įrankius, turime žinoti ir rūpintis svarbiausia „Active Directory“ reikalinga paslauga, ir ši paslauga nurodo tikslią laiko sinchronizaciją.

Laiko sinchronizavimą NTP demonas gali pasiūlyti daugumoje „Linux“ paskirstymų. Numatytasis maksimalus laikotarpio, kurį gali palaikyti AD, neatitikimas yra apie 5 minutes.

Jei skirtumų laikotarpis yra ilgesnis nei 5 minutės, turėtumėte pradėti patirti įvairių klaidų, svarbiausių AD vartotojams, prijungtoms mašinoms ar dalytis prieiga.

Norėdami įdiegti „Network Time Protocol“ deemoną ir NTP kliento įrankį „Ubuntu“, vykdykite žemiau pateiktą komandą.

$ sudo apt-get install ntp ntpdate

2. Tada atidarykite ir redaguokite NTP konfigūracijos failą ir pakeiskite numatytąjį NTP telkinių serverių sąrašą nauju NTP serverių, kurie yra geografiškai netoli jūsų dabartinės fizinės įrangos vietos, sąrašu.

NTP serverių sąrašą galite rasti apsilankę oficialiame „NTP Pool Project“ tinklalapyje http://www.pool.ntp.org/en/.

$ sudo nano /etc/ntp.conf

Pakomentuokite numatytąjį serverių sąrašą pridėdami # prieš kiekvieną baseino eilutę ir pridėkite žemiau esančias baseino eilutes su savo tinkamais NTP serveriais, kaip parodyta toliau pateiktoje ekrano kopijoje.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

# Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Dabar dar neuždarykite failo. Perkelkite į failo viršų ir pridėkite žemiau esančią eilutę po „driftfile“ sakinio. Ši sąranka leidžia klientams pateikti užklausą serveryje naudojant AD pasirašytas NTP užklausas.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Galiausiai pereikite prie failo apačios ir pridėkite žemiau esančią eilutę, kaip parodyta toliau pateiktoje ekrano kopijoje, o tai leis tinklo klientams pateikti užklausą tik apie laiką serveryje.

restrict default kod nomodify notrap nopeer mssntp

5. Baigę išsaugokite ir uždarykite NTP konfigūracijos failą ir suteikite NTP paslaugai tinkamus leidimus, kad galėtumėte perskaityti katalogą ntp_signed.

Tai yra sistemos kelias, kuriame yra „Samba NTP“ lizdas. Vėliau iš naujo paleiskite NTP demoną, kad pritaikytumėte pakeitimus ir patikrintumėte, ar NTP jūsų sistemos tinklo lentelėje yra atvirų lizdų, naudodami grep filtrą.

$ sudo chown root:ntp /var/lib/samba/ntp_signd/
$ sudo chmod 750 /var/lib/samba/ntp_signd/
$ sudo systemctl restart ntp
$ sudo netstat –tulpn | grep ntp

Norėdami atsispausdinti bendraamžių būsenos santrauką, naudokite ntpq komandų eilutės įrankį, kad stebėtumėte NTP demoną kartu su vėliava -p .

$ ntpq -p

2 žingsnis: NTP laiko problemų šalinimas

6. Kartais NTP deimonas užstringa skaičiavimuose bandydamas sinchronizuoti laiką su ankstesnio NTP serverio bendraamžiu, todėl rankiniu būdu bandant priversti laiko sinchronizavimą, kliento pusėje vykdant ntpdate įrankį, atsiranda šie klaidos pranešimai:

# ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

naudojant komandą ntpdate su -d vėliava.

# ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Norėdami apeiti šią problemą, naudokite šį triuką, kad išspręstumėte problemą: Serveryje sustabdykite NTP paslaugą ir naudokite „ntpdate“ kliento įrankį rankiniu būdu priversti laiko sinchronizavimą su išoriniu bendraamžiu naudojant -b vėliava, kaip parodyta žemiau:

# systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
# systemctl start ntp.service
# systemctl status ntp.service

8. Kai laikas bus tiksliai sinchronizuotas, paleiskite NTP deemoną serveryje ir patikrinkite iš kliento pusės, ar paslauga yra pasirengusi aptarnauti laiką vietos klientams, išleisdami šią komandą:

# ntpdate -du adc1.tecmint.lan    [your_adc_server]

Iki šiol NTP serveris turėtų veikti taip, kaip tikėtasi.

3 žingsnis: Prisijunkite prie „Windows 10“ prie „Realm“

9. Kaip matėme ankstesnėje mokymo programoje, „Samba4 Active Directory“ galima valdyti naudojant komandinę eilutę naudojant „samba-tool“ įrankio sąsają, prie kurios galima prisijungti tiesiogiai iš serverio VTY konsolės arba nuotoliniu būdu prijungti per SSH.

Kita, intuityvesnė ir lankstesnė alternatyva būtų valdyti „Samba4 AD“ domeno valdiklį per „Microsoft Remote Server Administration Tools“ (RSAT) iš „Windows“ darbo vietos, integruotos į domeną. Šie įrankiai yra prieinami beveik visose šiuolaikinėse „Windows“ sistemose.

„Windows 10“ ar senesnių „Microsoft OS“ versijų prisijungimo prie „Samba4 AD DC“ procesas yra labai paprastas. Pirmiausia įsitikinkite, kad „Windows 10“ darbo vietoje yra sukonfigūruotas teisingas „Samba4“ DNS IP adresas, kad būtų galima pateikti užklausą dėl tinkamo srities sprendiklio.

Atidarykite Valdymo skydą -> Tinklas ir internetas -> Tinklo ir bendrinimo centras -> Ethernet kortelė -> Ypatybės -> IPv4 -> Ypatybės -> Naudokite šiuos DNS serverio adresus ir rankiniu būdu įdėkite „Samba4 AD“ IP adresą į tinklo sąsają, kaip parodyta žemiau ekrano kopijų.

Čia 192.168.1.254 yra „Samba4 AD“ domeno valdiklio, atsakingo už DNS sprendimą, IP adresas. Atitinkamai pakeiskite IP adresą.

10. Tada pritaikykite tinklo nustatymus paspausdami mygtuką Gerai, atidarykite komandų eilutę ir iškelkite pingą prie bendro domeno vardo bei „Samba4“ pagrindinio kompiuterio FQDN, kad patikrintumėte, ar sritis pasiekiama per DNS skiriamąją gebą.

ping tecmint.lan
ping adc1.tecmint.lan

11. Jei sprendėjas tinkamai atsako į „Windows“ kliento DNS užklausas, turite įsitikinti, kad laikas tiksliai sinchronizuojamas su sritimi.

Atidarykite Valdymo skydą -> Laikrodis, kalba ir regionas -> Nustatykite laiką ir datą -> skirtuką Interneto laikas -> Keisti nustatymus ir įrašykite savo domeno vardą lauke Sinchronizuoti su ir Interneto laiko serveris.

Paspauskite mygtuką „Atnaujinti dabar“, kad priverstumėte sinchronizuoti laiką su sritimi, ir paspauskite Gerai, kad uždarytumėte langą.

12. Galiausiai prisijunkite prie domeno atidarydami Sistemos ypatybės -> Keisti -> Domeno narys, parašykite savo domeno vardą, paspauskite Gerai, įveskite savo domeno administracinės paskyros kredencialus ir dar kartą paspauskite Gerai.

Turėtų būti atidarytas naujas iššokantis langas, kuriame būtų nurodyta, kad esate domeno narys. Paspauskite Gerai, kad uždarytumėte iššokantįjį langą ir perkraukite mašiną, kad galėtumėte pritaikyti domeno pakeitimus.

Žemiau pateiktoje ekrano kopijoje bus parodyti šie veiksmai.

13. Paleidę iš naujo, paspauskite „Kitas vartotojas“ ir prisijunkite prie „Windows“ naudodami „Samba4“ domeno abonementą su administratoriaus teisėmis ir turėtumėte būti pasirengę pereiti prie kito žingsnio.

14. „Microsoft“ nuotolinio serverio administravimo įrankius (RSAT), kurie bus toliau naudojami „Samba4 Active Directory“ administravimui, galima atsisiųsti iš šių nuorodų, atsižvelgiant į jūsų „Windows“ versiją:

  1. „Windows 10“: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. „Windows 8.1“: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. „Windows 8“: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. „Windows 7“: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Kai jūsų sistemoje bus atsisiųstas atskiras „Windows 10“ atnaujinimo diegimo paketas, paleiskite diegimo programą, palaukite, kol baigsis diegimas, ir paleiskite mašiną iš naujo, kad būtų pritaikyti visi naujinimai.

Paleidus iš naujo, atidarykite Valdymo skydas -> Programos (Pašalinti programą) -> Įjunkite arba išjunkite „Windows“ funkcijas ir patikrinkite visus nuotolinio serverio administravimo įrankius.

Spustelėkite Gerai, kad pradėtumėte diegimą, o baigus diegimo procesą, iš naujo paleiskite sistemą.

15. Norėdami pasiekti RSAT įrankius, eikite į Valdymo skydas -> Sistema ir sauga -> Administravimo įrankiai.

Įrankius taip pat galite rasti meniu Administravimo įrankiai iš meniu Pradėti. Arba galite atidaryti „Windows MMC“ ir pridėti papildinius naudodami meniu Failas -> Pridėti/šalinti papildinį.

Dažniausiai naudojamus įrankius, pvz., AD UC, DNS ir grupės strategijos valdymą, galima paleisti tiesiai iš darbalaukio, kuriant sparčiuosius klavišus naudojant meniu „Siųsti į“ funkciją.

16. RSAT funkcionalumą galite patikrinti atidarydami AD UC ir nurodydami domenų kompiuterius (sąraše turėtų pasirodyti naujai prijungta „Windows“ mašina), sukūrę naują organizacijos padalinį arba naują vartotoją ar grupę.

Patikrinkite, ar vartotojai ar grupės buvo tinkamai sukurti, išduodant komandą wbinfo iš „Samba4“ serverio pusės.

Viskas! Kitoje šios temos dalyje aptarsime kitus svarbius „Samba4 Active Directory“ aspektus, kuriuos galima administruoti per RSAT, pavyzdžiui, kaip valdyti DNS serverį, pridėti DNS įrašus ir sukurti atvirkštinę DNS paieškos zoną, kaip valdyti ir taikyti domeno politiką ir kaip sukurti interaktyvią prisijungimo juostą savo domeno vartotojams.