Zoeken op website

Beheer Samba4 Active Directory-infrastructuur vanuit Windows10 via RSAT - Deel 3

In dit deel van de Samba4 AD DC-infrastructuurserie zullen we praten over hoe je een Windows 10-machine kunt toevoegen aan een Samba4-domein en hoe je het domein kunt beheren vanaf een Windows 10 werkstation.

Zodra een Windows 10-systeem is gekoppeld aan Samba4 AD DC kunnen we domeingebruikers en groepen aanmaken, verwijderen of uitschakelen, en kunnen we nieuwe Organisatie-eenheden aanmaken > kunnen we domeinbeleid maken, bewerken en beheren of kunnen we de Samba4-domein DNS-service beheren.

Alle bovenstaande functies en andere complexe taken met betrekking tot domeinbeheer kunnen worden uitgevoerd via elk modern Windows-platform met behulp van RSAT – Microsoft Remote Server Administration Tools.

Vereisten

  1. Creëer een AD-infrastructuur met Samba4 op Ubuntu 16.04 – Deel 1
  2. Beheer de Samba4 AD-infrastructuur vanaf de Linux-opdrachtregel – Deel 2
  3. Beheer Samba4 AD Domain Controller DNS en groepsbeleid vanuit Windows – Deel 4

Stap 1: Domeintijdsynchronisatie configureren

1. Voordat we beginnen met het beheren van Samba4 ADDC vanuit Windows 10 met behulp van RSAT tools, moeten we dit weten en zorg voor een cruciaal onderdeel van de service die nodig is voor een Active Directory en deze service verwijst naar nauwkeurige tijdsynchronisatie.

Tijdsynchronisatie kan worden aangeboden door de NTP daemon in de meeste Linux-distributies. Het standaard verschil in de maximale tijdsperiode dat een AD kan ondersteunen, is ongeveer 5 minuten.

Als de divergentieperiode langer is dan 5 minuten, zou u verschillende fouten moeten ervaren, waarvan de belangrijkste betrekking hebben op AD-gebruikers, aangesloten machines of gedeelde toegang.

Om de Network Time Protocol daemon en het NTP clienthulpprogramma in Ubuntu te installeren, voert u de onderstaande opdracht uit.

sudo apt-get install ntp ntpdate

2. Open en bewerk vervolgens het NTP-configuratiebestand en vervang de standaard NTP-poolserverlijst door een nieuwe lijst met NTP-servers die zich geografisch in de buurt van uw huidige fysieke apparatuurlocatie bevinden.

De lijst met NTP-servers kan worden verkregen door de officiële webpagina van het NTP Pool Project te bezoeken: http://www.pool.ntp.org/en/.

sudo nano /etc/ntp.conf

Geef commentaar op de standaardserverlijst door een # toe te voegen voor elke poolregel en voeg de onderstaande poolregels toe met uw juiste NTP-servers, zoals geïllustreerd in de onderstaande schermafbeelding.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Sluit het bestand nog niet. Ga naar de bovenkant van het bestand en voeg de onderstaande regel toe na de driftfile-instructie. Met deze opstelling kunnen clients de server opvragen met behulp van AD-ondertekende NTP-verzoeken.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Ga ten slotte naar de onderkant van het bestand en voeg de onderstaande regel toe, zoals geïllustreerd in de onderstaande schermafbeelding, waardoor netwerkclients alleen de tijd op de server kunnen opvragen.

restrict default kod nomodify notrap nopeer mssntp

5. Wanneer u klaar bent, slaat u het NTP-configuratiebestand op en sluit u het en verleent u de NTP-service de juiste machtigingen om de map ntp_signed te lezen.

Dit is het systeempad waar de Samba NTP socket zich bevindt. Start daarna de NTP-daemon opnieuw op om de wijzigingen toe te passen en controleer of NTP open sockets heeft in uw systeemnetwerktabel met behulp van de netstat-opdracht in combinatie met het grep-filter.

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

Gebruik het opdrachtregelprogramma ntpq om de NTP-daemon te monitoren samen met de vlag -p om een samenvatting van de status van peers af te drukken.

ntpq -p

Stap 2: Problemen met NTP-tijd oplossen

6. Soms loopt de NTP-daemon vast in berekeningen terwijl hij probeert de tijd te synchroniseren met een upstream ntp-server-peer, wat resulteert in de volgende foutmeldingen wanneer hij handmatig probeert tijdsynchronisatie te forceren door ntpdate uit te voeren > hulpprogramma aan clientzijde:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

bij gebruik van de opdracht ntpdate met de vlag -d.

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Om dit probleem te omzeilen, gebruikt u de volgende truc om het probleem op te lossen: Stop op de server de NTP-service en gebruik het clienthulpprogramma ntpdate om handmatig de tijdsynchronisatie met een externe peer die de vlag -b gebruikt, zoals hieronder weergegeven:

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. Nadat de tijd nauwkeurig is gesynchroniseerd, start u de NTP-daemon op de server en controleert u vanaf de clientzijde of de service klaar is om tijd te leveren aan lokale clients door de volgende opdracht te geven:

ntpdate -du adc1.tecmint.lan    [your_adc_server]

Inmiddels zou de NTP-server moeten werken zoals verwacht.

Stap 3: Sluit u aan bij Windows 10 in Realm

9. Zoals we in onze vorige tutorial hebben gezien, kan Samba4 Active Directory worden beheerd vanaf de opdrachtregel met behulp van de samba-tool hulpprogramma-interface die rechtstreeks toegankelijk is vanaf de VTY-console van de server of op afstand kan worden verbonden via SSH.

Een ander, meer intuïtief en flexibel alternatief zou zijn om onze Samba4 AD Domain Controller te beheren via Microsoft Remote Server Administration Tools (RSAT) vanaf een Windows-werkstation dat in het domein is geïntegreerd. Deze tools zijn beschikbaar in vrijwel alle moderne Windows-systemen.

Het proces om Windows 10 of oudere versies van Microsoft OS toe te voegen aan Samba4 AD DC is heel eenvoudig. Zorg er eerst voor dat op uw Windows 10-werkstation het juiste Samba4 DNS IP-adres is geconfigureerd om de juiste realm-resolver te kunnen opvragen.

Open Configuratiescherm -> Netwerk en internet -> Netwerk- en deelcentrum -> Ethernetkaart -> Eigenschappen -> IPv4 -> Eigenschappen -> Gebruik de volgende DNS-serveradressen en plaats het Samba4 AD IP-adres handmatig in de netwerkinterface, zoals hieronder wordt geïllustreerd schermafbeeldingen.

Hier is 192.168.1.254 het IP-adres van de Samba4 AD-domeincontroller die verantwoordelijk is voor de DNS-resolutie. Vervang het IP-adres dienovereenkomstig.

10. Pas vervolgens de netwerkinstellingen toe door op de knop OK te drukken, open een Opdrachtprompt en voer een ping uit tegen de generieke domeinnaam en Samba4-host FQDN om te testen of het rijk bereikbaar is via DNS-resolutie.

ping tecmint.lan
ping adc1.tecmint.lan

11. Als de oplosser correct reageert op DNS-query's van Windows-clients, moet u ervoor zorgen dat de tijd nauwkeurig wordt gesynchroniseerd met de realm.

Open Configuratiescherm -> Klok, Taal en Regio -> Tijd en datum instellen -> Tabblad Internettijd -> Wijzig instellingen en schrijf uw domeinnaam in het veld Synchroniseren met en Internettijdserver.

Druk op de knop Nu bijwerken om de tijdsynchronisatie met het rijk te forceren en druk op OK om het venster te sluiten.

12. Sluit u ten slotte aan bij het domein door Systeemeigenschappen -> Wijzigen -> Lid van domein te openen, schrijf uw domeinnaam, klik op OK, voer de inloggegevens van uw domeinbeheerdersaccount in en klik nogmaals op OK.

Er zou een nieuw pop-upvenster moeten openen waarin u wordt geïnformeerd dat u lid bent van het domein. Druk op OK om het pop-upvenster te sluiten en herstart de machine om domeinwijzigingen door te voeren.

De onderstaande schermafbeelding illustreert deze stappen.

13. Klik na het opnieuw opstarten op Andere gebruiker en log in op Windows met een Samba4-domeinaccount met beheerdersrechten. U bent dan klaar om door te gaan naar de volgende stap.

Stap 4: Beheer Samba4 AD DC met RSAT

14. Microsoft Remote Server Administration Tools (RSAT), die verder zullen worden gebruikt om Samba4 Active Directory te beheren, kunnen worden gedownload via de volgende links , afhankelijk van uw Windows-versie:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Zodra het zelfstandige update-installatiepakket voor Windows 10 op uw systeem is gedownload, voert u het installatieprogramma uit, wacht u tot de installatie is voltooid en start u de machine opnieuw op om alle updates toe te passen.

Open na opnieuw opstarten Configuratiescherm -> Programma's (Een programma verwijderen) -> Windows-functies inschakelen aan of uit en vink alle Remote Server Administration Tools aan.

Klik op OK om de installatie te starten en nadat het installatieproces is voltooid, start u het systeem opnieuw op.

15. Om toegang te krijgen tot de RSAT tools, gaat u naar Configuratiescherm -> Systeem en beveiliging -> Beheerprogramma's .

De tools zijn ook te vinden in het menu Administratieve tools vanuit het startmenu. U kunt ook Windows MMC openen en modules toevoegen via het menu Bestand -> Toevoegen/verwijderen Snap-in.

De meest gebruikte tools, zoals AD UC, DNS en Groepsbeleidsbeheer kunnen rechtstreeks vanaf het bureaublad worden gestart door snelkoppelingen te maken met de functie Verzenden naar vanaf menu.

16. U kunt de RSAT-functionaliteit verifiëren door AD UC te openen en domeincomputers te vermelden (de nieuw aangesloten Windows-machine zou in de lijst moeten verschijnen), maak een nieuwe Organisatie-eenheid of een nieuwe gebruiker of groep.

Controleer of de gebruikers of groepen correct zijn aangemaakt door de opdracht wbinfo uit te voeren vanaf de Samba4-server.

Dat is het! In het volgende deel van dit onderwerp zullen we andere belangrijke aspecten van een Samba4 Active Directory behandelen die kan worden beheerd via RSAT, zoals hoe je de DNS-server beheert, DNS toevoegt records en maak een reverse DNS lookup-zone, hoe u domeinbeleid beheert en toepast en hoe u een interactieve aanmeldingsbanner maakt voor uw domeingebruikers.