Upravljajte infrastrukturom Samba4 Active Directory iz sustava Windows10 putem RSAT-a - 3. dio

U ovom dijelu serije infrastrukture Samba4 AD DC razgovarat ćemo o tome kako spojiti Windows 10 stroj u područje Samba4 i kako administrirati domenu s Windows 10 radne stanice.

Jednom kada se sustav Windows 10 pridruži Samba4 AD DC, možemo stvoriti, ukloniti ili onemogućiti korisnike i grupe domena, možemo stvoriti nove organizacijske jedinice, možemo stvoriti, urediti i upravljati pravilima domene ili možemo upravljati DNS uslugom domene Samba4.

Sve gore navedene funkcije i drugi složeni zadaci koji se tiču administracije domene mogu se postići putem bilo koje moderne Windows platforme uz pomoć RSAT - Microsoft Remote Server Administration Tools.

  1. Stvorite AD infrastrukturu sa Samba4 na Ubuntu 16.04 - 1. dio
  2. Upravljajte Samba4 AD infrastrukturom s Linux naredbenog retka - 2. dio
  3. Upravljajte Samba4 AD DNS kontrolerom domene i grupnim pravilima iz sustava Windows - 4. dio

Korak 1: Konfigurirajte sinkronizaciju vremena domene

1. Prije nego što započnemo administrirati Samba4 ADDC iz Windowsa 10 uz pomoć RSAT alata, moramo znati i pobrinuti se za ključnu uslugu potrebnu za Active Directory, a ta se usluga odnosi na točnu sinkronizaciju vremena.

Sinkronizaciju vremena može ponuditi NTP demon u većini Linux distribucija. Zadana maksimalna razlika u vremenskom razdoblju koju AD može podržati iznosi oko 5 minuta.

Ako je vremensko razdoblje odstupanja veće od 5 minuta, trebali biste se pojaviti razne pogreške, najvažnije u vezi s korisnicima AD-a, pridruženim strojevima ili dijeljenim pristupom.

Da biste instalirali demon mrežnog protokola vremena i uslužni program NTP klijenta u Ubuntu, izvršite donju naredbu.

$ sudo apt-get install ntp ntpdate

2. Zatim otvorite i uredite NTP konfiguracijsku datoteku i zamijenite zadani popis poslužitelja NTP spremišta novim popisom NTP poslužitelja koji se zemljopisno nalaze u blizini vašeg trenutnog mjesta fizičke opreme.

Popis NTP poslužitelja može se dobiti posjetom službenoj web stranici NTP Pool Project http://www.pool.ntp.org/en/.

$ sudo nano /etc/ntp.conf

Komentirajte zadani popis poslužitelja dodavanjem # ispred svake linije spremišta i dodajte donje linije spremišta s vašim odgovarajućim NTP poslužiteljima kao što je prikazano na donjoj snimci zaslona.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

# Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Sad još ne zatvarajte datoteku. Pomaknite se na vrh datoteke i dodajte redak u nastavku nakon naredbe driftfile. Ova postavka omogućuje klijentima postavljanje upita poslužitelju pomoću NTP zahtjeva potpisanih s AD-om.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Konačno, pomaknite se na dno datoteke i dodajte donji redak, kao što je prikazano na donjem snimku zaslona, što će mrežnim klijentima omogućiti samo upit vremena na poslužitelju.

restrict default kod nomodify notrap nopeer mssntp

5. Po završetku spremite i zatvorite NTP konfiguracijsku datoteku i dodijelite NTP uslugu s odgovarajućim dozvolama kako biste čitali direktorij ntp_signed.

Ovo je put sustava gdje se nalazi Samba NTP utičnica. Nakon toga, ponovo pokrenite NTP demon da biste primijenili promjene i provjerite ima li NTP otvorene utičnice u mrežnoj tablici vašeg sustava pomoću grep filtra.

$ sudo chown root:ntp /var/lib/samba/ntp_signd/
$ sudo chmod 750 /var/lib/samba/ntp_signd/
$ sudo systemctl restart ntp
$ sudo netstat –tulpn | grep ntp

Upotrijebite uslužni program naredbenog retka ntpq za nadgledanje NTP demona zajedno sa zastavicom -p kako biste ispisali sažetak stanja ravnopravnih računa.

$ ntpq -p

Korak 2: Rješavanje problema s NTP vremenom

6. Ponekad NTP demon zaglavi u izračunima dok pokušava sinkronizirati vrijeme s uzlaznom vrstom ntp poslužitelja, što rezultira sljedećim porukama pogreške kada ručno pokušava prisiliti sinkronizaciju vremena pokretanjem uslužnog programa ntpdate na klijentskoj strani:

# ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

kada se koristi naredba ntpdate s oznakom -d .

# ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Da biste zaobišli ovaj problem, upotrijebite sljedeći trik da biste riješili problem: Na poslužitelju zaustavite NTP uslugu i upotrijebite uslužni program ntpdate klijenta da biste ručno prisilili sinkronizaciju vremena s vanjskim ravnopravnim korisnikom pomoću -b zastava kao što je prikazano dolje:

# systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
# systemctl start ntp.service
# systemctl status ntp.service

8. Nakon što je vrijeme točno sinkronizirano, pokrenite NTP demon na poslužitelju i provjerite s klijentske strane je li usluga spremna služiti vrijeme za lokalne klijente izdavanjem sljedeće naredbe:

# ntpdate -du adc1.tecmint.lan    [your_adc_server]

Do sada bi NTP poslužitelj trebao raditi kako se očekivalo.

Korak 3: Pridružite se sustavu Windows 10 u Realm

9. Kao što smo vidjeli u našem prethodnom vodiču, Samba4 Active Directory može se upravljati iz naredbenog retka pomoću pomoćnog sučelja samba-alata kojem se može pristupiti izravno s VTY konzole poslužitelja ili daljinski povezati putem SSH-a.

Druga, intuitivnija i fleksibilnija alternativa bilo bi upravljanje našim Samba4 AD kontrolorom domene putem Microsoft Remote Server Administration Tools (RSAT) s Windows radne stanice integrirane u domenu. Ovi su alati dostupni u gotovo svim modernim sustavima Windows.

Proces pridruživanja sustava Windows 10 ili starije verzije Microsoft OS-a u Samba4 AD DC vrlo je jednostavan. Prvo se pobrinite da vaša Windows 10 radna stanica ima ispravnu konfiguriranu Samba4 DNS IP adresu kako biste postavili upit za pravilno rješavanje područja.

Otvorite Upravljačku ploču -> Mreža i Internet -> Centar za mrežu i dijeljenje -> Ethernet kartica -> Svojstva -> IPv4 -> Svojstva -> Upotrijebite sljedeće adrese DNS poslužitelja i ručno postavite Samba4 AD IP adresu na mrežno sučelje kako je prikazano u ispod snimaka zaslona.

Ovdje je 192.168.1.254 IP adresa Samba4 AD kontrolera domene odgovornog za DNS razrješenje. U skladu s tim zamijenite IP adresu.

10. Zatim primijenite mrežne postavke pritiskom na gumb OK, otvorite naredbeni redak i izdajte ping na generičko ime domene i FQDN hosta Samba4 kako biste testirali je li carstvo dostupno putem DNS rezolucije.

ping tecmint.lan
ping adc1.tecmint.lan

11. Ako razlučivač ispravno reagira na DNS upite klijenta sustava Windows, tada morate osigurati da je vrijeme točno sinkronizirano s područjem.

Otvorite Upravljačku ploču -> Sat, jezik i regija -> Postavi vrijeme i datum -> Kartica Internet Time -> Promjena postavki i napišite svoje ime domene u polje Sinkroniziraj s i internetskim poslužiteljem.

Pritisnite gumb Ažuriraj sada da biste prisilili sinkronizaciju vremena s kraljevstvom i pritisnite U redu da biste zatvorili prozor.

12. Napokon, pridružite se domeni tako što ćete otvoriti Svojstva sustava -> Promjena -> Član domene, napišite svoje ime domene, pritisnite U redu, unesite vjerodajnice administrativnog računa svoje domene i ponovno pritisnite U redu.

Trebao bi se otvoriti novi skočni prozor s informacijama da ste član domene. Pritisnite U redu da biste zatvorili skočni prozor i ponovno pokrenuli stroj kako biste primijenili promjene domene.

Snimak zaslona u nastavku ilustrirat će ove korake.

13. Nakon ponovnog pokretanja, pritisnite Drugi korisnik i prijavite se na Windows s računom domene Samba4 s administrativnim privilegijama i trebali biste biti spremni za prelazak na sljedeći korak.

14. Microsoftovi alati za udaljeno administriranje poslužitelja (RSAT), koji će se dalje koristiti za administraciju Samba4 Active Directory, mogu se preuzeti sa sljedećih poveznica, ovisno o verziji sustava Windows:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Nakon što se na vaš sustav preuzme samostalni instalacijski paket za Windows 10, pokrenite instalacijski program, pričekajte da se instalacija završi i ponovno pokrenite stroj da biste primijenili sva ažuriranja.

Nakon ponovnog pokretanja otvorite Upravljačku ploču -> Programi (Deinstaliranje programa) -> Uključite ili isključite značajke sustava Windows i provjerite sve alate za daljinsko administriranje poslužitelja.

Kliknite U redu da biste započeli instalaciju i nakon završetka instalacijskog postupka ponovno pokrenite sustav.

15. Da biste pristupili RSAT alatima, idite na Upravljačka ploča -> Sustav i sigurnost -> Administrativni alati.

Alati se također mogu naći u izborniku Administrativni alati s izbornika Start. Možete i otvoriti Windows MMC i dodati Snap-ins pomoću izbornika File -> Add/Remove Snap-in.

Najkorišteniji alati, kao što su AD UC, DNS i upravljanje politikama grupa, mogu se pokrenuti izravno s radne površine stvaranjem prečaca pomoću značajke Pošalji na izbornik.

16. Funkcionalnost RSAT-a možete provjeriti otvaranjem AD UC-a i popisom računala domene (novopridruženi Windows stroj trebao bi se pojaviti na popisu), izradom nove organizacijske jedinice ili novim korisnikom ili grupom.

Provjerite jesu li korisnici ili grupe pravilno stvoreni izdavanjem naredbe wbinfo sa strane poslužitelja Samba4.

To je to! U sljedećem dijelu ove teme pokrivat ćemo druge važne aspekte Samba4 Active Directory koji se mogu administrirati putem RSAT-a, kao što su: kako upravljati DNS poslužiteljem, dodati DNS zapise i stvoriti zonu obrnutog DNS pretraživanja, kako upravljati i primijeniti pravila domene i kako stvoriti interaktivni natpis za prijavu za korisnike vaše domene.