Vyhledávání na webu

Spravujte infrastrukturu Samba4 Active Directory z Windows 10 přes RSAT – část 3


V této části série infrastruktury Samba4 AD DC budeme hovořit o tom, jak připojit počítač Windows 10 do sféry Samba4 a jak spravovat doménu z Windows 10pracovní stanice.

Jakmile je systém Windows 10 připojen k Samba4 AD DC, můžeme vytvářet, odebírat nebo deaktivovat uživatele a skupiny domény, můžeme vytvářet nové organizační jednotky , můžeme vytvářet, upravovat a spravovat doménovou politiku nebo můžeme spravovat službu DNS domény Samba4.

Všechny výše uvedené funkce a další složité úkoly související se správou domény lze realizovat na jakékoli moderní platformě Windows s pomocí RSAT – Microsoft Remote Server Administration Tools.

Požadavky

  1. Vytvořte infrastrukturu AD pomocí Samba4 na Ubuntu 16.04 – část 1
  2. Správa infrastruktury Samba4 AD z příkazového řádku systému Linux – část 2
  3. Správa DNS a zásad skupiny Samba4 AD Domain Controller z Windows – část 4

Krok 1: Nakonfigurujte synchronizaci času domény

1. Než začnete spravovat Samba4 ADDC z Windows 10 pomocí nástrojů RSAT, musíme vědět a starat se o klíčovou službu vyžadovanou pro Active Directory a tato služba se týká přesné synchronizace času.

Synchronizaci času může nabídnout démon NTP ve většině distribucí Linuxu. Výchozí maximální časová nesrovnalost, kterou může AD podporovat, je asi 5 minut.

Pokud je doba odchylky delší než 5 minut, měli byste začít zaznamenat různé chyby, nejdůležitější týkající se uživatelů AD, připojených počítačů nebo sdíleného přístupu.

Chcete-li nainstalovat démona Network Time Protocol a klientský nástroj NTP v Ubuntu, spusťte níže uvedený příkaz.

sudo apt-get install ntp ntpdate

2. Dále otevřete a upravte konfigurační soubor NTP a nahraďte výchozí seznam serverů fondu NTP novým seznamem serverů NTP, které jsou geograficky umístěny poblíž vašeho aktuálního umístění fyzického zařízení.

Seznam NTP serverů lze získat na oficiálních stránkách projektu NTP Pool Project http://www.pool.ntp.org/en/.

sudo nano /etc/ntp.conf

Okomentujte výchozí seznam serverů přidáním # před každý řádek fondu a přidejte níže uvedené řádky fondu se svými správnými servery NTP, jak je znázorněno na obrázku níže.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Nyní soubor zatím nezavírejte. Přejděte na začátek souboru a přidejte řádek níže za příkaz driftfile. Toto nastavení umožňuje klientům dotazovat se na server pomocí požadavků NTP podepsaných AD.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Nakonec se přesuňte na konec souboru a přidejte řádek níže, jak je znázorněno na níže uvedeném snímku obrazovky, což umožní síťovým klientům pouze dotazovat se na čas na serveru.

restrict default kod nomodify notrap nopeer mssntp

5. Po dokončení uložte a zavřete konfigurační soubor NTP a udělte službě NTP správná oprávnění, aby bylo možné číst adresář ntp_signed.

Toto je systémová cesta, kde se nachází socket Samba NTP. Poté restartujte démona NTP, abyste použili změny, a ověřte, zda má NTP otevřené sokety ve vaší systémové síťové tabulce pomocí příkazu netstat v kombinaci s filtrem grep.

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

Použijte nástroj příkazového řádku ntpq k monitorování démona NTP spolu s příznakem -p, abyste mohli vytisknout souhrn stavu peerů.

ntpq -p

Krok 2: Odstraňte problémy s časem NTP

6. Někdy se démon NTP zasekne ve výpočtech při pokusu o synchronizaci času s nadřazeným serverem ntp, což má za následek následující chybové zprávy, když se ručně pokoušíte vynutit synchronizaci času spuštěním ntpdate nástroj na straně klienta:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

při použití příkazu ntpdate s příznakem -d.

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Chcete-li tento problém obejít, použijte k vyřešení problému následující trik: Na serveru zastavte službu NTP a použijte klientský nástroj ntpdate k ručnímu vynucení synchronizace času s externí peer pomocí příznaku -b, jak je znázorněno níže:

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. Po přesné synchronizaci času spusťte na serveru démona NTP a na straně klienta ověřte, zda je služba připravena poskytovat čas místním klientům, zadáním následujícího příkazu:

ntpdate -du adc1.tecmint.lan    [your_adc_server]

NTP server by nyní měl fungovat podle očekávání.

Krok 3: Připojte Windows 10 do Realmu

9. Jak jsme viděli v našem předchozím tutoriálu, Samba4 Active Directory lze spravovat z příkazového řádku pomocí rozhraní nástroje samba, ke kterému lze přistupovat přímo z konzole VTY serveru nebo se vzdáleně připojit přes SSH.

Další, intuitivnější a flexibilnější alternativou by bylo spravovat náš Samba4 AD Domain Controller prostřednictvím Microsoft Remote Server Administration Tools (RSAT) z pracovní stanice Windows integrované do domény. Tyto nástroje jsou dostupné téměř ve všech moderních systémech Windows.

Proces připojení Windows 10 nebo starších verzí Microsoft OS do Samba4 AD DC je velmi jednoduchý. Nejprve se ujistěte, že vaše pracovní stanice se systémem Windows 10 má nakonfigurovanou správnou IP DNS Samba4, aby bylo možné dotazovat se na správný překladač realm.

Otevřete Ovládací panel -> Síť a internet -> Centrum sítí a sdílení -> Ethernetová karta -> Vlastnosti -> IPv4 -> Vlastnosti -> Použijte následující adresy serveru DNS a ručně vložte IP adresu Samba4 AD do síťového rozhraní, jak je znázorněno níže snímky obrazovky.

Zde je 192.168.1.254 IP adresa Samba4 AD Domain Controller odpovědného za překlad DNS. Podle toho nahraďte IP adresu.

10. Dále použijte nastavení sítě klepnutím na tlačítko OK, otevřete Příkazový řádek a odešlete ping proti generickému názvu domény a FQDN hostitele Samba4, aby bylo možné otestovat, zda je sféra dosažitelná prostřednictvím překladu DNS.

ping tecmint.lan
ping adc1.tecmint.lan

11. Pokud překladač správně odpovídá na dotazy DNS klienta Windows, musíte se ujistit, že čas je přesně synchronizován se sférou.

Otevřete Ovládací panely -> Hodiny, Jazyk a Region -> Nastavit čas a datum -> Karta Internetový čas -> Změnit nastavení a do pole Synchronizovat s internetovým časovým serverem napište název své domény.

Klepnutím na tlačítko Aktualizovat nyní vynutíte synchronizaci času se sférou a kliknutím na tlačítko OK zavřete okno.

12. Nakonec se připojte k doméně otevřením Vlastnosti systému -> Změnit -> Člen domény, napište svůj název domény, stiskněte OK, zadejte přihlašovací údaje k účtu správce domény a znovu stiskněte OK.

Mělo by se otevřít nové vyskakovací okno s informací, že jste členem domény. Klepnutím na OK zavřete vyskakovací okno a restartujete počítač, abyste mohli použít změny domény.

Níže uvedený snímek obrazovky ilustruje tyto kroky.

13. Po restartu klikněte na Jiný uživatel a přihlaste se k systému Windows pomocí účtu domény Samba4 s oprávněními správce a měli byste být připraveni přejít k dalšímu kroku.

Krok 4: Spravujte Samba4 AD DC pomocí RSAT

14. Microsoft Remote Server Administration Tools (RSAT), které budou dále využívány ke správě Samba4 Active Directory, si můžete stáhnout z následujících odkazů , v závislosti na verzi systému Windows:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Po stažení samostatného instalačního balíčku aktualizace pro Windows 10 do vašeho systému spusťte instalační program, počkejte na dokončení instalace a restartujte počítač, aby se všechny aktualizace aplikovaly.

Po restartování otevřete Ovládací panely -> Programy (Odinstalovat program) -> Zapnout funkce systému Windows zapněte nebo vypněte a zaškrtněte všechny Nástroje pro správu vzdáleného serveru.

Kliknutím na OK spusťte instalaci a po dokončení instalačního procesu restartujte systém.

15. Pro přístup k nástrojům RSAT přejděte na Ovládací panely -> Systém a zabezpečení -> Nástroje pro správu .

Nástroje lze také nalézt v nabídce nástrojů Administrativní z nabídky Start. Případně můžete otevřít Windows MMC a přidat moduly snap-in pomocí nabídky modulu snap-in Soubor -> Přidat/Odebrat.

Nejpoužívanější nástroje, jako jsou AD UC, DNS a Group Policy Management, lze spustit přímo z plochy vytvořením zástupců pomocí funkce Odeslat Jídelní lístek.

16. Funkčnost RSAT můžete ověřit otevřením AD UC a seznamem počítačů domény (v seznamu by se měl objevit nově připojený počítač s Windows), vytvořit nová organizační jednotka nebo nový uživatel či skupina.

Ověřte, zda byli uživatelé nebo skupiny správně vytvořeni, zadáním příkazu wbinfo ze strany serveru Samba4.

A je to! V další části tohoto tématu se budeme zabývat dalšími důležitými aspekty Samba4 Active Directory, které lze spravovat pomocí RSAT, jako je například správa serveru DNS, přidávání DNS záznamy a vytvoření zóny zpětného vyhledávání DNS, jak spravovat a používat zásady domény a jak vytvořit interaktivní přihlašovací banner pro uživatele vaší domény.