Administrer Samba4 Active Directory-infrastruktur fra Windows10 via RSAT - Del 3

I denne del af Samba4 AD DC-infrastrukturserien vil vi tale om, hvordan man slutter sig til en Windows 10-maskine til et Samba4-rige, og hvordan man administrerer domænet fra en Windows 10-arbejdsstation.

Når et Windows 10-system er blevet tilsluttet Samba4 AD DC, kan vi oprette, fjerne eller deaktivere domæne brugere og grupper, vi kan oprette nye organisatoriske enheder, vi kan oprette, redigere og administrere domæne politik, eller vi kan administrere Samba4 domæne DNS-service.

Alle ovenstående funktioner og andre komplekse opgaver vedrørende domæneadministration kan opnås via enhver moderne Windows-platform ved hjælp af RSAT - Microsoft Remote Server Administration Tools.

  1. Opret en AD-infrastruktur med Samba4 på Ubuntu 16.04 - del 1
  2. Administrer Samba4 AD-infrastruktur fra Linux Command Line - Del 2
  3. Administrer DNS og gruppepolitik fra Samba4 AD Domain Controller fra Windows - del 4

Trin 1: Konfigurer synkronisering af domænetid

1. Før vi begynder at administrere Samba4 ADDC fra Windows 10 ved hjælp af RSAT-værktøjer, er vi nødt til at kende og tage sig af et afgørende stykke service, der kræves for en Active Directory, og denne service refererer til nøjagtig tidssynkronisering.

Tidssynkronisering kan tilbydes af NTP-dæmon i de fleste Linux-distributioner. Standardafvigelsen for maksimal tidsperiode, som en AD kan understøtte, er ca. 5 minutter.

Hvis afvigelsesperioden er større end 5 minutter, skal du begynde at opleve forskellige fejl, vigtigst vedrørende AD-brugere, tilsluttede maskiner eller del adgang.

For at installere Network Time Protocol-dæmonen og NTP-klientværktøjet i Ubuntu skal du udføre nedenstående kommando.

$ sudo apt-get install ntp ntpdate

2. Dernæst skal du åbne og redigere NTP-konfigurationsfil og udskifte standardlisten for NTP-poolserver med en ny liste over NTP-servere, der er geografisk placeret nær din nuværende fysiske udstyrsplacering.

Listen over NTP-servere kan fås ved at besøge den officielle NTP Pool Project-webside http://www.pool.ntp.org/en/.

$ sudo nano /etc/ntp.conf

Kommenter standardserverlisten ved at tilføje en # foran hver poollinje, og tilføj nedenstående poollinjer med dine rigtige NTP-servere som illustreret på nedenstående skærmbillede.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

# Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Luk ikke filen endnu. Gå til toppen af filen og tilføj nedenstående linje efter drivfile-erklæringen. Denne opsætning giver klienterne mulighed for at spørge serveren ved hjælp af AD-signerede NTP-anmodninger.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Til sidst skal du flytte til bunden af filen og tilføje nedenstående linje som vist på nedenstående skærmbillede, som kun giver netværksklienter mulighed for at forespørge tiden på serveren.

restrict default kod nomodify notrap nopeer mssntp

5. Når du er færdig, skal du gemme og lukke NTP-konfigurationsfilen og give NTP-service med de rette tilladelser for at læse den ntp_signede mappe.

Dette er systemstien, hvor Samba NTP-stikket er placeret. Genstart derefter NTP-dæmonen for at anvende ændringer og kontrollere, om NTP har åbne stikkontakter i dit systemnetværkstabel ved hjælp af grep-filter.

$ sudo chown root:ntp /var/lib/samba/ntp_signd/
$ sudo chmod 750 /var/lib/samba/ntp_signd/
$ sudo systemctl restart ntp
$ sudo netstat –tulpn | grep ntp

Brug kommandolinjeværktøjet ntpq til at overvåge NTP-dæmonen sammen med -p -flaget for at udskrive et resumé af peers-tilstand.

$ ntpq -p

Trin 2: Fejlfinding af problemer med NTP-tid

6. Nogle gange sidder NTP-dæmonen fast i beregninger, mens den prøver at synkronisere tiden med en opstrøms ntp-server peer, hvilket resulterer i følgende fejlmeddelelser, når manuelt forsøger at tvinge tidssynkronisering ved at køre ntpdate-værktøjet på en klientside:

# ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

når du bruger kommandoen ntpdate med flag -d .

# ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. For at omgå dette problem skal du bruge følgende trick til at løse problemet: På serveren skal du stoppe NTP-tjenesten og bruge ntpdate-klientværktøjet til manuelt at tvinge tidssynkronisering med en ekstern peer ved hjælp af -b . flag som vist nedenfor:

# systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
# systemctl start ntp.service
# systemctl status ntp.service

8. Når tiden er nøjagtigt synkroniseret, skal du starte NTP-dæmonen på serveren og kontrollere fra klientsiden, om tjenesten er klar til at servere tid for lokale klienter ved at udstede følgende kommando:

# ntpdate -du adc1.tecmint.lan    [your_adc_server]

Nu skal NTP-serveren fungere som forventet.

Trin 3: Deltag Windows 10 i Realm

9. Som vi så i vores forrige tutorial, kan Samba4 Active Directory styres fra kommandolinjen ved hjælp af samba-værktøjsgrænsefladen, som kan tilgås direkte fra serverens VTY-konsol eller eksternt tilsluttet via SSH.

Et andet, mere intuitivt og fleksibelt alternativ ville være at administrere vores Samba4 AD Domain Controller via Microsoft Remote Server Administration Tools (RSAT) fra en Windows-arbejdsstation integreret i domænet. Disse værktøjer er tilgængelige i næsten alle moderne Windows-systemer.

Processen med at slutte Windows 10 eller ældre versioner af Microsoft OS til Samba4 AD DC er meget enkel. Først skal du sørge for, at din Windows 10-arbejdsstation har den korrekte Samba4 DNS-IP-adresse konfigureret for at forespørge om den rigtige realm-opløsning.

Åbn Kontrolpanel -> Netværk og internet -> Netværks- og delingscenter -> Ethernet-kort -> Egenskaber -> IPv4 -> Egenskaber -> Brug følgende DNS-serveradresser og placer Samba4 AD IP-adresse manuelt til netværksgrænsefladen som vist i under skærmbilleder.

Her er 192.168.1.254 IP-adressen på Samba4 AD Domain Controller, der er ansvarlig for DNS-opløsning. Udskift IP-adressen i overensstemmelse hermed.

10. Anvend derefter netværksindstillingerne ved at trykke på OK-knappen, åbn en kommandoprompt og udsted en ping mod det generiske domænenavn og Samba4-værten FQDN for at teste, om verden er tilgængelig via DNS-opløsning.

ping tecmint.lan
ping adc1.tecmint.lan

11. Hvis opløseren reagerer korrekt på Windows-klientens DNS-forespørgsler, skal du sikre dig, at tiden er nøjagtigt synkroniseret med verdenen.

Åbn Kontrolpanel -> Ur, sprog og region -> Indstil tid og dato -> fanen Internettet -> Skift indstillinger, og skriv dit domænenavn i feltet Synkroniser med og internettidsserver.

Tryk på knappen Opdater nu for at tvinge tidssynkronisering med verdenen og tryk OK for at lukke vinduet.

12. Til sidst slutter du dig til domænet ved at åbne Systemegenskaber -> Skift -> Medlem af domæne, skriv dit domænenavn, tryk på OK, indtast dine legitimationsoplysninger for administrationsdomænet for domænet og tryk OK igen.

Et nyt pop op-vindue skal åbnes for at informere om, at du er medlem af domænet. Tryk på OK for at lukke pop op-vinduet og genstarte maskinen for at anvende domæneændringer.

Nedenstående skærmbillede illustrerer disse trin.

13. Efter genstart skal du trykke på Anden bruger og logge på Windows med en Samba4-domænekonto med administrative rettigheder, og du skal være klar til at gå til næste trin.

14. Microsoft Remote Server Administration Tools (RSAT), som yderligere bruges til at administrere Samba4 Active Directory, kan downloades fra følgende links, afhængigt af din Windows-version:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Når den uafhængige opdateringsinstallationspakke til Windows 10 er blevet downloadet på dit system, skal du køre installationsprogrammet, vente på, at installationen er færdig, og genstarte maskinen for at anvende alle opdateringer.

Efter genstart skal du åbne Kontrolpanel -> Programmer (Afinstaller et program) -> Slå Windows-funktioner til eller fra, og tjek alle Remote Server Administration Tools.

Klik på OK for at starte installationen, og genstart systemet, når installationen er afsluttet.

15. For at få adgang til RSAT-værktøjer skal du gå til Kontrolpanel -> System og sikkerhed -> Administrative værktøjer.

Værktøjerne kan også findes i menuen Administrative værktøjer fra startmenuen. Alternativt kan du åbne Windows MMC og tilføje snap-ins ved hjælp af menuen Filer -> Tilføj/fjern snap-in.

De mest anvendte værktøjer, såsom AD UC, DNS og Group Policy Management, kan startes direkte fra Desktop ved at oprette genveje ved hjælp af Send til-funktion fra menuen.

16. Du kan kontrollere RSAT-funktionalitet ved at åbne AD UC og listedomæne-computere (nytilsluttet Windows-maskine skal vises på listen), oprette en ny organisationsenhed eller en ny bruger eller gruppe.

Kontroller, om brugerne eller grupperne er oprettet korrekt ved at udstede wbinfo-kommandoen fra Samba4-serversiden.

Det er det! På den næste del af dette emne vil vi dække andre vigtige aspekter af en Samba4 Active Directory, som kan administreres via RSAT, såsom hvordan man administrerer DNS-server, tilføjer DNS-poster og opretter en omvendt DNS-opslagszone, hvordan man administrerer og anvender domæne politik og hvordan man opretter et interaktivt logon banner til dine domæne brugere.