Stjórnaðu Samba4 Active Directory innviðum frá Windows10 í gegnum RSAT - Part 3

Í þessum hluta Samba4 AD DC innviða seríunnar munum við tala um hvernig tengja Windows 10 vél inn í Samba4 ríki og hvernig á að stjórna léninu frá Windows 10 vinnustöð.

Þegar Windows 10 kerfi hefur verið tengt við Samba4 AD DC getum við búið til, fjarlægt eða slökkt á lénsnotendum og hópum, við getum búið til nýjar skipulagseiningar, við getum búið til, breytt og stjórnað lénsstefnu eða við getum stjórnað Samba4 léns DNS þjónustu.

Allar ofangreindar aðgerðir og önnur flókin verkefni varðandi lénsstjórnun er hægt að ná í gegnum hvaða nútíma Windows vettvang sem er með hjálp RSAT – Microsoft Remote Server Administration Tools.

  1. Búðu til AD innviði með Samba4 á Ubuntu 16.04 – Part 1
  2. Hafa umsjón með Samba4 AD innviðum frá Linux stjórnlínu – Part 2
  3. Hafa umsjón með Samba4 AD Domain Controller DNS og hópstefnu frá Windows – Part 4

Skref 1: Stilltu lénstímasamstillingu

1. Áður en byrjað er að gefa Samba4 ADDC frá Windows 10 með hjálp RSAT verkfæra þurfum við að þekkja og sjá um mikilvæga þjónustu sem þarf fyrir Active Directory og þessi þjónusta vísar til nákvæmrar tímasamstillingar.

Tímasamstilling er hægt að bjóða upp á af NTP púknum í flestum Linux dreifingum. Sjálfgefið hámarksmisræmi sem AD getur stutt er um það bil 5 mínútur.

Ef frávikstímabilið er lengra en 5 mínútur ættir þú að byrja að upplifa ýmsar villur, mikilvægastar varðandi AD notendur, tengdar vélar eða deila aðgangi.

Til að setja upp Network Time Protocol púkinn og NTP biðlara tól í Ubuntu skaltu framkvæma skipunina hér að neðan.

$ sudo apt-get install ntp ntpdate

2. Næst skaltu opna og breyta NTP stillingarskránni og skipta um sjálfgefna NTP laug netþjónalistann fyrir nýjan lista yfir NTP netþjóna sem eru landfræðilega staðsettir nálægt núverandi staðsetningarbúnaði þínum.

Hægt er að nálgast lista yfir NTP netþjóna með því að fara á opinbera vefsíðu NTP Pool Project http://www.pool.ntp.org/en/.

$ sudo nano /etc/ntp.conf

Athugaðu sjálfgefna netþjónalistann með því að bæta við # fyrir framan hverja laugarlínu og bættu við laugarlínunum fyrir neðan með réttum NTP netþjónum eins og sýnt er á skjámyndinni hér að neðan.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

# Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Nú skaltu ekki loka skránni ennþá. Farðu efst á skrána og bættu línunni fyrir neðan á eftir driftfile yfirlýsingunni. Þessi uppsetning gerir viðskiptavinum kleift að spyrjast fyrir um netþjóninn með því að nota AD undirritaðar NTP beiðnir.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Að lokum, farðu neðst í skrána og bættu við línunni fyrir neðan, eins og sýnt er á skjámyndinni hér að neðan, sem gerir netþjónum aðeins kleift að spyrjast fyrir um tímann á þjóninum.

restrict default kod nomodify notrap nopeer mssntp

5. Þegar því er lokið skaltu vista og loka NTP stillingarskránni og veita NTP þjónustu með réttum heimildum til að lesa ntp_signed möppuna.

Þetta er kerfisleiðin þar sem Samba NTP innstungan er staðsett. Síðan skaltu endurræsa NTP púkann til að beita breytingum og ganga úr skugga um hvort NTP hafi opnar fals í kerfisnettöflunni þinni með grep síu.

$ sudo chown root:ntp /var/lib/samba/ntp_signd/
$ sudo chmod 750 /var/lib/samba/ntp_signd/
$ sudo systemctl restart ntp
$ sudo netstat –tulpn | grep ntp

Notaðu ntpq skipanalínuforritið til að fylgjast með NTP-púknum ásamt -p fánanum til að prenta yfirlit yfir stöðu jafningja.

$ ntpq -p

Skref 2: Úrræðaleit NTP tímavandamál

6. Stundum festist NTP-púkinn í útreikningum á meðan reynt er að samstilla tíma við jafningja fyrir andstreymis ntp miðlara, sem leiðir af sér eftirfarandi villuboð þegar reynt er að þvinga fram tímasamstillingu handvirkt með því að keyra ntpdate tólið á biðlarahlið:

# ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

þegar þú notar ntpdate skipunina með -d fána.

# ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Til að sniðganga þetta mál, notaðu eftirfarandi bragð til að leysa vandamálið: Á þjóninum skaltu stöðva NTP þjónustuna og nota ntpdate biðlara tólið til að þvinga handvirkt fram tímasamstillingu við ytri jafningja með því að nota -b fána eins og sýnt er hér að neðan:

# systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
# systemctl start ntp.service
# systemctl status ntp.service

8. Eftir að tíminn hefur verið samstilltur nákvæmlega skaltu ræsa NTP-púkann á þjóninum og staðfesta frá biðlarahlið hvort þjónustan sé tilbúin til að þjóna tíma fyrir staðbundna viðskiptavini með því að gefa út eftirfarandi skipun:

# ntpdate -du adc1.tecmint.lan    [your_adc_server]

Núna ætti NTP netþjónn að virka eins og búist var við.

Skref 3: Vertu með í Windows 10 í Realm

9. Eins og við sáum í fyrri kennslunni okkar er hægt að stjórna Samba4 Active Directory frá skipanalínunni með því að nota samba-tool gagnsemi tengi sem hægt er að nálgast beint frá VTY stjórnborði þjónsins eða fjartengjast í gegnum SSH.

Annar, innsæi og sveigjanlegri valkostur væri að stjórna Samba4 AD lénsstýringunni okkar í gegnum Microsoft Remote Server Administration Tools (RSAT) frá Windows vinnustöð sem er samþætt í lénið. Þessi verkfæri eru fáanleg í næstum öllum nútíma Windows kerfum.

Ferlið við að tengja Windows 10 eða eldri útgáfur af Microsoft OS í Samba4 AD DC er mjög einfalt. Fyrst skaltu ganga úr skugga um að Windows 10 vinnustöðin þín hafi rétt Samba4 DNS IP tölu stillt til að spyrjast fyrir um rétta sviðslausnarann.

Opnaðu stjórnborð -> Net og internet -> Net- og samnýtingarmiðstöð -> Ethernet kort -> Eiginleikar -> IPv4 -> Eiginleikar -> Notaðu eftirfarandi DNS miðlara vistföng og settu Samba4 AD IP tölu handvirkt í netviðmótið eins og sýnt er í fyrir neðan skjámyndir.

Hér er 192.168.1.254 IP tölu Samba4 AD lénsstýringaraðila sem ber ábyrgð á DNS upplausn. Skiptu um IP tölu í samræmi við það.

10. Næst skaltu nota netstillingarnar með því að ýta á OK hnappinn, opna skipanakvaðningu og gefa út ping á almenna lénið og Samba4 hýsingaraðila FQDN til að prófa hvort ríkið sé aðgengilegt með DNS upplausn.

ping tecmint.lan
ping adc1.tecmint.lan

11. Ef leysirinn svarar DNS fyrirspurnum Windows biðlara rétt, þá þarftu að tryggja að tíminn sé nákvæmlega samstilltur við ríkið.

Opnaðu stjórnborðið -> Klukka, tungumál og svæði -> Stilltu tíma og dagsetningu -> Internettími flipann -> Breyta stillingum og skrifaðu lénið þitt á Samstillingu við og tímaþjónn á internetinu.

Smelltu á Uppfæra núna hnappinn til að þvinga fram tímasamstillingu við ríkið og ýttu á OK til að loka glugganum.

12. Að lokum, taktu þátt í léninu með því að opna System Properties -> Change -> Member of Domain, skrifaðu lénið þitt, ýttu á OK, sláðu inn skilríki fyrir lénsstjórnunarreikninginn þinn og ýttu á OK aftur.

Nýr sprettigluggi ætti að opnast sem tilkynnir að þú sért meðlimur lénsins. Smelltu á OK til að loka sprettiglugganum og endurræstu vélina til að beita lénsbreytingum.

Skjámyndin hér að neðan mun sýna þessi skref.

13. Eftir endurræsingu, ýttu á Annar notandi og skráðu þig inn á Windows með Samba4 lénsreikningi með stjórnunarréttindum og þú ættir að vera tilbúinn til að fara í næsta skref.

14. Microsoft Remote Server Administration Tools (RSAT), sem verður frekar notað til að stjórna Samba4 Active Directory, er hægt að hlaða niður á eftirfarandi tenglum, allt eftir Windows útgáfunni þinni:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Þegar sjálfstæða uppsetningarpakkanum fyrir Windows 10 hefur verið hlaðið niður á kerfið þitt skaltu keyra uppsetningarforritið, bíða eftir að uppsetningunni lýkur og endurræsa vélina til að beita öllum uppfærslum.

Eftir endurræsingu, opnaðu Stjórnborð -> Forrit (Fjarlægja forrit) -> Kveiktu eða slökktu á Windows eiginleikum og athugaðu öll stjórnunarverkfæri fyrir fjarþjóna.

Smelltu á OK til að hefja uppsetninguna og eftir að uppsetningarferlinu lýkur skaltu endurræsa kerfið.

15. Til að fá aðgang að RSAT verkfærum farðu í Control Panel -> System and Security -> Administrative Tools.

Verkfærin má einnig finna í valmyndinni Stjórnunartól frá upphafsvalmyndinni. Að öðrum kosti geturðu opnað Windows MMC og bætt við Snap-in með því að nota File -> Add/Remove Snap-in valmyndina.

Mest notuðu verkfærin, svo sem AD UC, DNS og Group Policy Management, er hægt að ræsa beint frá skjáborðinu með því að búa til flýtileiðir með því að nota Senda til eiginleika úr valmyndinni.

16. Þú getur staðfest RSAT virkni með því að opna AD UC og skrá lénstölvur (nýlega tengdar Windows vél ætti að birtast á listanum), búa til nýja skipulagseiningu eða nýjan notanda eða hóp.

Staðfestu hvort notendur eða hópar hafi verið rétt búnir til með því að gefa út wbinfo skipun frá Samba4 miðlarahlið.

Það er það! Í næsta hluta þessa efnis munum við fjalla um aðra mikilvæga þætti Samba4 Active Directory sem hægt er að stjórna í gegnum RSAT, svo sem hvernig á að stjórna DNS netþjóni, bæta við DNS skrám og búa til öfugt DNS uppflettingarsvæði, hvernig á að stjórna og nota lénsstefnu og hvernig á að búa til gagnvirkan innskráningarborða fyrir notendur lénsins.