Samba4 Active Directory Altyapısını Windows10'dan RSAT aracılığıyla Yönetme - Bölüm 3

Samba4 AD DC altyapı serisinin bu bölümünde Windows 10 makinesini Samba4 alanına nasıl katacağımızı ve etki alanını Windows'tan nasıl yöneteceğimizi konuşacağız. 10 iş istasyonu.

Windows 10 sistemi Samba4 AD DC'ye bağlandıktan sonra alan adı kullanıcılarını ve gruplarını oluşturabilir, kaldırabilir veya devre dışı bırakabiliriz, yeni Kuruluş Birimleri oluşturabiliriz , alan adı politikasını oluşturabilir, düzenleyebilir ve yönetebiliriz veya Samba4 alan adı DNS hizmetini yönetebiliriz.

Etki alanı yönetimiyle ilgili yukarıdaki işlevlerin tümü ve diğer karmaşık görevler, RSAT – Microsoft Uzak Sunucu Yönetim Araçları'nın yardımıyla herhangi bir modern Windows platformu aracılığıyla gerçekleştirilebilir.

Gereksinimler

  1. Ubuntu 16.04'te Samba4 ile AD Altyapısı Oluşturun – Bölüm 1
  2. Samba4 AD Altyapısını Linux Komut Satırından Yönetme – Bölüm 2
  3. Samba4 AD Etki Alanı Denetleyicisi DNS'sini ve Grup İlkesini Windows'tan Yönetme – Bölüm 4

1. Adım: Etki Alanı Zaman Senkronizasyonunu Yapılandırma

1. Samba4 ADDC'yi RSAT araçlarının yardımıyla Windows 10'dan yönetmeye başlamadan önce şunu bilmemiz gerekir: ve bir Active Directory için gereken çok önemli bir hizmetle ilgilenin ve bu hizmet, doğru zaman senkronizasyonunu ifade eder.

Zaman senkronizasyonu çoğu Linux dağıtımında NTP arka plan programı tarafından sunulabilir. Bir AD'nin destekleyebileceği varsayılan maksimum zaman aralığı farklılığı yaklaşık 5 dakikadır.

Ayrışma süresi 5 dakikadan uzunsa, en önemlisi AD kullanıcıları, katılan makineler veya paylaşım erişimiyle ilgili olmak üzere çeşitli hatalarla karşılaşmaya başlamalısınız.

Ubuntu'da Ağ Zaman Protokolü arka plan programını ve NTP istemci yardımcı programını yüklemek için aşağıdaki komutu yürütün.

sudo apt-get install ntp ntpdate

2. Ardından, NTP yapılandırma dosyasını açıp düzenleyin ve varsayılan NTP havuz sunucusu listesini, coğrafi olarak mevcut fiziksel ekipman konumunuzun yakınında bulunan yeni bir NTP sunucuları listesiyle değiştirin.

NTP sunucularının listesi, resmi NTP Havuz Projesi web sayfası http://www.pool.ntp.org/en/ ziyaret edilerek elde edilebilir.

sudo nano /etc/ntp.conf

Her havuz satırının önüne bir # ekleyerek varsayılan sunucu listesini yorumlayın ve aşağıdaki havuz satırlarını aşağıdaki ekran görüntüsünde gösterildiği gibi uygun NTP sunucularınızla ekleyin.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Şimdi dosyayı henüz kapatmayın. Dosyanın en üstüne gidin ve driftfile ifadesinin sonrasına aşağıdaki satırı ekleyin. Bu kurulum, istemcilerin AD imzalı NTP isteklerini kullanarak sunucuyu sorgulamasına olanak tanır.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Son olarak dosyanın en altına gidin ve aşağıdaki ekran görüntüsünde gösterildiği gibi, ağ istemcilerinin yalnızca sunucudaki saati sorgulamasına olanak tanıyan aşağıdaki satırı ekleyin.

restrict default kod nomodify notrap nopeer mssntp

5. İşiniz bittiğinde, NTP yapılandırma dosyasını kaydedip kapatın ve ntp_signed dizinini okuyabilmesi için NTP hizmetine uygun izinleri verin.

Bu, Samba NTP soketinin bulunduğu sistem yoludur. Daha sonra, değişiklikleri uygulamak için NTP arka plan programını yeniden başlatın ve grep filtresiyle birlikte netstat komutunu kullanarak NTP'nin sistem ağ tablonuzda açık yuvalara sahip olup olmadığını doğrulayın.

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

Eş durumlarının bir özetini yazdırmak amacıyla NTP arka plan programını -p bayrağıyla birlikte izlemek için ntpq komut satırı yardımcı programını kullanın.

ntpq -p

2. Adım: NTP Zaman Sorunlarını Giderin

6. Bazen NTP arka plan programı, zamanı yukarı akışlı bir ntp sunucu eşiyle senkronize etmeye çalışırken hesaplamalarda takılıp kalır ve ntpdate 'i çalıştırarak zaman senkronizasyonunu manuel olarak zorlamaya çalışırken aşağıdaki hata mesajlarına neden olur. istemci tarafındaki yardımcı program:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

ntpdate komutunu -d işaretiyle kullanırken.

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Bu sorunu aşmak için aşağıdaki yöntemi kullanın: Sunucuda, NTP hizmetini durdurun ve ntpdate istemci yardımcı programını kullanarak NTP ile zaman senkronizasyonunu manuel olarak zorlayın. aşağıda gösterildiği gibi -b işaretini kullanan harici bir eş:

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. Saat doğru bir şekilde senkronize edildikten sonra, sunucuda NTP arka plan programını başlatın ve aşağıdaki komutu vererek hizmetin yerel istemciler için zaman sunmaya hazır olup olmadığını istemci tarafından doğrulayın:

ntpdate -du adc1.tecmint.lan    [your_adc_server]

Şu ana kadar NTP sunucusu beklendiği gibi çalışmalıdır.

3. Adım: Windows 10'u Realm'e katılın

9. Önceki eğitimimizde gördüğümüz gibi, Samba4 Active Directory, doğrudan sunucunun VTY konsolundan erişilebilen veya SSH aracılığıyla uzaktan bağlanılabilen samba-tool yardımcı program arayüzü kullanılarak komut satırından yönetilebilir.

Diğer, daha sezgisel ve esnek alternatif ise Samba4 AD Etki Alanı Denetleyicimizi, etki alanına entegre edilmiş bir Windows iş istasyonundan Microsoft Uzak Sunucu Yönetim Araçları (RSAT) aracılığıyla yönetmek olabilir. Bu araçlar hemen hemen tüm modern Windows sistemlerinde mevcuttur.

Windows 10 veya Microsoft OS'nin daha eski sürümlerini Samba4 AD DC'ye ekleme işlemi çok basittir. Öncelikle, doğru bölge çözümleyicisini sorgulamak için Windows 10 iş istasyonunuzun doğru Samba4 DNS IP adresinin yapılandırıldığından emin olun.

Kontrol paneli -> Ağ ve İnternet -> Ağ ve Paylaşım Merkezi -> Ethernet kartı -> 'nı açın >Özellikler -> IPv4 -> Özellikler -> Aşağıdaki DNS sunucu adreslerini kullanın ve Samba4 AD IP Adresini aşağıda gösterildiği gibi manuel olarak ağ arayüzüne yerleştirin Ekran görüntüleri.

Burada 192.168.1.254, DNS çözümlemesinden sorumlu Samba4 AD Etki Alanı Denetleyicisinin IP Adresidir. IP Adresini uygun şekilde değiştirin.

10. Ardından, Tamam düğmesine basarak ağ ayarlarını uygulayın, bir Komut İstemi açın ve bir ping gönderin. Bölgenin DNS çözümlemesi yoluyla erişilebilir olup olmadığını test etmek için genel alan adı ve Samba4 ana bilgisayar FQDN'si ile karşılaştırın.

ping tecmint.lan
ping adc1.tecmint.lan

11. Çözümleyici Windows istemci DNS sorgularına doğru yanıt veriyorsa, zamanın bölgeyle doğru şekilde senkronize edildiğinden emin olmanız gerekir.

Denetim Masası'nı açın -> Saat, Dil ve Bölge -> Saati ve Tarihi Ayarla > -> İnternet Saati sekmesi -> Ayarları Değiştir ve Şununla senkronize et ve İnternet saat sunucusu alanına alan adınızı yazın.

Bölgeyle zaman senkronizasyonunu zorlamak için Şimdi Güncelle düğmesine basın ve pencereyi kapatmak için Tamam'a basın.

12. Son olarak Sistem Özellikleri -> Değiştir -> Alan Adı Üyesi'ni açarak alan adına katılın, alan adını seçin, Tamam'a basın, alan adı yönetim hesabı kimlik bilgilerinizi girin ve tekrar Tamam'a basın.

Etki alanının üyesi olduğunuzu bildiren yeni bir açılır pencere açılmalıdır. Açılır pencereyi kapatmak için Tamam'a basın ve etki alanı değişikliklerini uygulamak için makineyi yeniden başlatın.

Aşağıdaki ekran görüntüsü bu adımları gösterecektir.

13. Yeniden başlattıktan sonra Diğer kullanıcısına basın ve yönetici ayrıcalıklarına sahip bir Samba4 etki alanı hesabıyla Windows'ta oturum açın; bir sonraki adıma geçmeye hazır olmalısınız.

Adım 4: Samba4 AD DC'yi RSAT ile yönetme

14. Samba4 Active Directory'yi yönetmek için daha sonra kullanılacak olan Microsoft Uzak Sunucu Yönetim Araçları (RSAT) aşağıdaki bağlantılardan indirilebilir Windows sürümünüze bağlı olarak:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Windows 10 için güncelleme bağımsız yükleyici paketi sisteminize indirildikten sonra yükleyiciyi çalıştırın, kurulumun bitmesini bekleyin ve tüm güncellemeleri uygulamak için makineyi yeniden başlatın.

Yeniden başlattıktan sonra, Denetim Masası -> Programlar'ı (Bir Program Kaldırma) -> Windows özelliklerini açın açın veya kapatın ve tüm Uzak Sunucu Yönetim Araçları'nı kontrol edin.

Kurulumu başlatmak için Tamam'ı tıklayın ve kurulum işlemi bittikten sonra sistemi yeniden başlatın.

15. RSAT araçlarına erişmek için Denetim Masası -> Sistem ve Güvenlik -> Yönetim Araçları'na gidin. .

Araçlar ayrıca başlat menüsündeki Yönetimsel araçlar menüsünde de bulunabilir. Alternatif olarak, Windows MMC'yi açabilir ve Dosya -> Ekle/Kaldır Ek Bileşen menüsünü kullanarak Ek Bileşenler ekleyebilirsiniz.

AD UC, DNS ve Grup İlkesi Yönetimi gibi en çok kullanılan araçlar, Gönder özelliği kullanılarak kısayollar oluşturularak doğrudan Masaüstünden başlatılabilir. Menü.

16. AD UC'yi açarak ve etki alanı Bilgisayarlarını listeleyerek RSAT işlevselliğini doğrulayabilirsiniz (listede yeni katılan Windows makinesi görünmelidir), bir yeni Kuruluş Birimi veya yeni bir kullanıcı ya da grup.

Samba4 sunucusu tarafından wbinfo komutunu vererek kullanıcıların veya grupların düzgün şekilde oluşturulup oluşturulmadığını doğrulayın.

Bu kadar! Bu konunun bir sonraki bölümünde RSAT yoluyla yönetilebilen bir Samba4 Active Directory'nin, DNS sunucusunun nasıl yönetileceği, DNS'nin nasıl ekleneceği gibi diğer önemli yönlerini ele alacağız. kayıtları ve ters DNS arama bölgesi oluşturma, etki alanı politikasını nasıl yönetip uygulayacağınız ve etki alanı kullanıcılarınız için etkileşimli bir oturum açma başlığının nasıl oluşturulacağı.