Upravljajte Samba4 Active Directory infrastrukturom iz Windows10 preko RSAT-a - dio 3

U ovom dijelu Samba4 AD DC infrastrukturne serije govorit ćemo o tome kako pridružiti Windows 10 mašinu u Samba4 područje i kako administrirati domenu iz Windows-a 10radna stanica.

Kada se Windows 10 sistem pridruži Samba4 AD DC, možemo kreirati, ukloniti ili onemogućiti korisnike i grupe domena, možemo kreirati nove Organizacione jedinice >, možemo kreirati, uređivati i upravljati politikom domena ili možemo upravljati Samba4 domenskim DNS servisom.

Sve gore navedene funkcije i drugi složeni zadaci koji se tiču administracije domena mogu se postići putem bilo koje moderne Windows platforme uz pomoć RSAT – Microsoft Remote Server Administration Tools.

Zahtjevi

  1. Kreirajte AD infrastrukturu sa Sambom4 na Ubuntu 16.04 – 1. dio
  2. Upravljajte Samba4 AD infrastrukturom iz Linux komandne linije – 2. dio
  3. Upravljajte DNS kontrolerom domene Samba4 AD i pravilima grupe iz Windowsa – 4. dio

Korak 1: Konfigurirajte sinhronizaciju vremena domene

1. Prije nego počnemo administrirati Samba4 ADDC iz Windows 10 uz pomoć RSAT alata, moramo znati i pobrinite se za ključni dio usluge potreban za Aktivni imenik, a ova usluga se odnosi na tačnu sinhronizaciju vremena.

Vremensku sinhronizaciju može ponuditi NTP demon u većini Linux distribucija. Zadano maksimalno odstupanje vremenskog perioda koje AD može podržati je oko 5 minuta.

Ako je vremenski period divergencije veći od 5 minuta, trebali biste početi doživljavati razne greške, najvažnije u vezi sa AD korisnicima, spojenim mašinama ili zajedničkim pristupom.

Da instalirate Network Time Protocol demon i NTP klijentski uslužni program u Ubuntu, izvršite naredbu ispod.

sudo apt-get install ntp ntpdate

2. Zatim otvorite i uredite NTP konfiguracijsku datoteku i zamijenite zadanu listu NTP pool servera novom listom NTP servera koji se geografski nalaze u blizini vaše trenutne lokacije fizičke opreme.

Spisak NTP servera možete dobiti ako posetite zvaničnu veb stranicu NTP Pool Project-a http://www.pool.ntp.org/en/.

sudo nano /etc/ntp.conf

Komentirajte zadanu listu servera dodavanjem # ispred svake linije bazena i dodajte donje linije bazena sa vašim odgovarajućim NTP serverima kao što je ilustrovano na slici ispod.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Nemojte još zatvarati fajl. Pomaknite se na vrh datoteke i dodajte red ispod nakon naredbe driftfile. Ovo podešavanje omogućava klijentima da postavljaju upite serveru koristeći AD potpisane NTP zahtjeve.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Konačno, pređite na dno datoteke i dodajte red ispod, kao što je ilustrovano na snimku ekrana ispod, što će omogućiti mrežnim klijentima samo da traže vrijeme na serveru.

restrict default kod nomodify notrap nopeer mssntp

5. Kada završite, sačuvajte i zatvorite NTP konfiguracionu datoteku i dodijelite NTP servisu s odgovarajućim dozvolama kako biste pročitali direktorij ntp_signed.

Ovo je sistemska putanja na kojoj se nalazi Samba NTP socket. Nakon toga, ponovo pokrenite NTP demon da biste primijenili promjene i provjerili ima li NTP otvorene utičnice u tablici vaše sistemske mreže koristeći netstat naredbu u kombinaciji sa grep filterom.

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

Koristite ntpq uslužni program komandne linije za nadgledanje NTP demona zajedno sa zastavom -p kako biste ispisali sažetak stanja ravnopravnih uređaja.

ntpq -p

Korak 2: Rješavanje problema sa NTP vremenom

6. Ponekad se NTP daemon zaglavi u proračunima dok pokušava sinhronizirati vrijeme sa prethodnim ntp serverom, što rezultira sljedećim porukama o grešci kada se ručno pokušava prisiliti sinhronizacija vremena pokretanjem ntpdate > uslužni program na strani klijenta:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

kada koristite naredbu ntpdate sa zastavicom -d.

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Da biste zaobišli ovaj problem, koristite sljedeći trik da riješite problem: Na serveru zaustavite NTP uslugu i koristite ntpdate uslužni program klijenta da ručno prisilite vremensku sinhronizaciju sa vanjski peer koji koristi -b zastavu kao što je prikazano ispod:

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. Nakon što je vrijeme točno sinhronizirano, pokrenite NTP demon na serveru i provjerite sa strane klijenta da li je usluga spremna da služi vrijeme za lokalne klijente izdavanjem sljedeće naredbe:

ntpdate -du adc1.tecmint.lan    [your_adc_server]

Do sada bi NTP server trebao raditi kako se očekuje.

Korak 3: Pridružite se Windows 10 u Realm

9. Kao što smo vidjeli u našem prethodnom vodiču, Samba4 Active Directory se može upravljati iz komandne linije koristeći samba-tool uslužni interfejs kojem se može pristupiti direktno sa VTY konzole servera ili se daljinski povezati preko SSH-a.

Druga, intuitivnija i fleksibilnija alternativa, bila bi upravljanje našim Samba4 AD kontrolerom domene putem Microsoft Remote Server Administration Tools (RSAT) sa Windows radne stanice integrisane u domenu. Ovi alati su dostupni u gotovo svim modernim Windows sistemima.

Proces pridruživanja Windows 10 ili starijih verzija Microsoft OS-a u Samba4 AD DC je vrlo jednostavan. Prvo, uvjerite se da vaša Windows 10 radna stanica ima ispravnu Samba4 DNS IP adresu konfiguriranu kako biste mogli upitati odgovarajući razrješavač područja.

Otvorite Kontrolna tabla -> Mreža i internet -> Centar za mrežu i dijeljenje -> Ethernet kartica -> Svojstva -> IPv4 -> Svojstva -> Koristite sljedeće adrese DNS servera i ručno postavite Samba4 AD IP adresu na mrežni interfejs kao što je prikazano u nastavku screenshots.

Ovdje, 192.168.1.254 je IP adresa Samba4 AD Domain Controller odgovornog za DNS razlučivanje. Zamijenite IP adresu u skladu s tim.

10. Zatim primijenite mrežne postavke pritiskom na dugme OK, otvorite Command Prompt i izdajte ping protiv generičkog imena domena i FQDN domaćina Samba4 kako bi se testiralo da li je područje dostupno putem DNS rezolucije.

ping tecmint.lan
ping adc1.tecmint.lan

11. Ako razrješavač ispravno odgovara na DNS upite Windows klijenta, tada morate osigurati da je vrijeme tačno sinhronizovano sa domenom.

Otvorite Kontrolna tabla -> Sat, Jezik i Regija -> Postavite vrijeme i datum -> Kartica Internet vrijeme -> Promijeni postavke i upišite svoje ime domene u polje Sinhroniziraj sa i Internet server vremena.

Pritisnite dugme Ažuriraj sada da prisilite vremensku sinhronizaciju sa domenom i pritisnite OK da zatvorite prozor.

12. Konačno, pridružite se domeni tako što ćete otvoriti Svojstva sistema -> Promijeni -> Član domene, upišite svoj naziv domene, pritisnite OK, unesite vjerodajnice vašeg administrativnog računa domene i ponovo pritisnite OK.

Trebao bi se otvoriti novi iskačući prozor u kojem vas obavještava da ste član domene. Pritisnite OK da zatvorite iskačući prozor i ponovo pokrenite mašinu kako biste primijenili promjene domene.

Snimak ekrana ispod će ilustrirati ove korake.

13. Nakon ponovnog pokretanja, pritisnite Drugi korisnik i prijavite se na Windows sa Samba4 domenskim računom sa administrativnim privilegijama i trebali biste biti spremni za prelazak na sljedeći korak.

Korak 4: Administrirajte Samba4 AD DC sa RSAT-om

14. Microsoft Remote Server Administration Tools (RSAT), koji će se dalje koristiti za administriranje Samba4 Active Directory, možete preuzeti sa sljedećih veza , ovisno o vašoj verziji Windowsa:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Kada se samostalni instalacioni paket ažuriranja za Windows 10 preuzme na vaš sistem, pokrenite instalater, sačekajte da se instalacija završi i ponovo pokrenite mašinu da primenite sva ažuriranja.

Nakon ponovnog pokretanja, otvorite Kontrolna tabla -> Programi (Deinstalirajte program) -> Uključite funkcije Windowsa uključite ili isključite i označite sve Alate za udaljenu administraciju servera.

Kliknite OK da započnete instalaciju i nakon što se proces instalacije završi, ponovo pokrenite sistem.

15. Za pristup RSAT alatima idite na Kontrolna tabla -> Sistem i sigurnost -> Administrativni alati .

Alati se također mogu naći u meniju Administrativni alati iz menija Start. Alternativno, možete otvoriti Windows MMC i dodati dodatke koristeći File -> Add/Remove Snap-in meni.

Alati koji se najčešće koriste, kao što su AD UC, DNS i Upravljanje grupnim pravilima mogu se pokrenuti direktno sa radne površine kreiranjem prečica pomoću funkcije Pošalji na meni.

16. Funkcionalnost RSAT možete provjeriti otvaranjem AD UC i popisom računara domene (novopridruženi Windows uređaj bi se trebao pojaviti na listi), kreirajte nova Organizaciona jedinica ili novi korisnik ili grupa.

Provjerite da li su korisnici ili grupe ispravno kreirani izdavanjem naredbe wbinfo sa strane Samba4 servera.

To je to! U sljedećem dijelu ove teme ćemo pokriti druge važne aspekte Samba4 Active Directory koji se može administrirati putem RSAT, kao što je, kako upravljati DNS serverom, dodati DNS evidencije i kreiranje reverzne DNS zone traženja, kako upravljati i primjenjivati politiku domene i kako kreirati interaktivni baner za prijavu za korisnike vaše domene.