Website-Suche

Verwalten Sie die Samba4 Active Directory-Infrastruktur von Windows 10 über RSAT – Teil 3

In diesem Teil der Samba4 AD DC-Infrastrukturserie werden wir darüber sprechen, wie man eine Windows 10-Maschine in einen Samba4-Bereich einbindet und wie man die Domäne von einem Windows aus verwaltet 10 Arbeitsplatz.

Sobald ein Windows 10-System mit Samba4 AD DC verbunden wurde, können wir Domänenbenutzer und -gruppen erstellen, entfernen oder deaktivieren und neue Organisationseinheiten erstellen können wir Domänenrichtlinien erstellen, bearbeiten und verwalten oder den Samba4-Domänen-DNS-Dienst verwalten.

Alle oben genannten Funktionen und weitere komplexe Aufgaben rund um die Domänenverwaltung können mit Hilfe von RSAT – Microsoft Remote Server Administration Tools über jede moderne Windows-Plattform ausgeführt werden.

Anforderungen

  1. Erstellen Sie eine AD-Infrastruktur mit Samba4 unter Ubuntu 16.04 – Teil 1
  2. Verwalten Sie die Samba4 AD-Infrastruktur über die Linux-Befehlszeile – Teil 2
  3. Verwalten Sie die DNS- und Gruppenrichtlinien des Samba4 AD-Domänencontrollers unter Windows – Teil 4

Schritt 1: Konfigurieren Sie die Domänenzeitsynchronisierung

1. Bevor wir mit der Verwaltung von Samba4 ADDC unter Windows 10 mit Hilfe von RSAT-Tools beginnen, müssen wir es wissen und kümmern sich um einen wichtigen Dienst, der für ein Active Directory erforderlich ist. Dieser Dienst bezieht sich auf die genaue Zeitsynchronisierung.

Die Zeitsynchronisierung kann in den meisten Linux-Distributionen durch den NTP-Daemon angeboten werden. Die standardmäßige maximale Zeitspannendiskrepanz, die ein AD unterstützen kann, beträgt etwa 5 Minuten.

Wenn die Divergenzdauer mehr als 5 Minuten beträgt, sollten verschiedene Fehler auftreten, die sich vor allem auf AD-Benutzer, verbundene Maschinen oder den Freigabezugriff beziehen.

Um den Network Time Protocol-Daemon und das NTP-Client-Dienstprogramm in Ubuntu zu installieren, führen Sie den folgenden Befehl aus.

sudo apt-get install ntp ntpdate

2. Öffnen und bearbeiten Sie als Nächstes die NTP-Konfigurationsdatei und ersetzen Sie die standardmäßige NTP-Pool-Serverliste durch eine neue Liste von NTP-Servern, die sich geografisch in der Nähe Ihres aktuellen physischen Gerätestandorts befinden.

Die Liste der NTP-Server finden Sie auf der offiziellen NTP-Pool-Projekt-Webseite http://www.pool.ntp.org/en/.

sudo nano /etc/ntp.conf

Kommentieren Sie die Standardserverliste, indem Sie vor jeder Poolzeile ein # hinzufügen und fügen Sie die folgenden Poolzeilen mit Ihren richtigen NTP-Servern hinzu, wie im folgenden Screenshot dargestellt.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Schließen Sie die Datei jetzt noch nicht. Gehen Sie in der Datei nach oben und fügen Sie die folgende Zeile nach der Driftfile-Anweisung ein. Dieses Setup ermöglicht es den Clients, den Server mithilfe von AD-signierten NTP-Anfragen abzufragen.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Gehen Sie schließlich zum Ende der Datei und fügen Sie die folgende Zeile hinzu, wie im folgenden Screenshot dargestellt, wodurch Netzwerk-Clients nur die Zeit auf dem Server abfragen können.

restrict default kod nomodify notrap nopeer mssntp

5. Wenn Sie fertig sind, speichern und schließen Sie die NTP-Konfigurationsdatei und erteilen Sie dem NTP-Dienst die entsprechenden Berechtigungen, um das Verzeichnis ntp_signed zu lesen.

Dies ist der Systempfad, in dem sich der Samba NTP-Socket befindet. Starten Sie anschließend den NTP-Daemon neu, um die Änderungen zu übernehmen und zu überprüfen, ob NTP offene Sockets in Ihrer Systemnetzwerktabelle hat, indem Sie den Befehl netstat in Kombination mit dem grep-Filter verwenden.

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

Verwenden Sie das Befehlszeilendienstprogramm ntpq, um den NTP-Daemon zusammen mit dem Flag -p zu überwachen, um eine Zusammenfassung des Peer-Status auszudrucken.

ntpq -p

Schritt 2: Beheben Sie NTP-Zeitprobleme

6. Manchmal bleibt der NTP-Daemon bei Berechnungen hängen, während er versucht, die Zeit mit einem Upstream-NTP-Server-Peer zu synchronisieren, was zu den folgenden Fehlermeldungen führt, wenn manuell versucht wird, die Zeitsynchronisierung durch Ausführen von ntpdate zu erzwingen Dienstprogramm auf einer Clientseite:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

bei Verwendung des Befehls ntpdate mit dem Flag -d.

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Um dieses Problem zu umgehen, verwenden Sie den folgenden Trick, um das Problem zu lösen: Stoppen Sie auf dem Server den NTP-Dienst und verwenden Sie das Client-Dienstprogramm ntpdate, um die Zeitsynchronisierung manuell zu erzwingen ein externer Peer, der das Flag -b verwendet, wie unten gezeigt:

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. Nachdem die Zeit genau synchronisiert wurde, starten Sie den NTP-Daemon auf dem Server und überprüfen Sie auf der Clientseite, ob der Dienst bereit ist, Zeit für lokale Clients bereitzustellen, indem Sie den folgenden Befehl ausgeben:

ntpdate -du adc1.tecmint.lan    [your_adc_server]

Inzwischen sollte der NTP-Server wie erwartet funktionieren.

Schritt 3: Verbinden Sie Windows 10 mit Realm

9. Wie wir in unserem vorherigen Tutorial gesehen haben, kann Samba4 Active Directory über die Befehlszeile mithilfe der Samba-Tool-Dienstprogrammschnittstelle verwaltet werden, auf die direkt über die VTY-Konsole des Servers zugegriffen oder eine Remoteverbindung über SSH möglich ist.

Eine andere, intuitivere und flexiblere Alternative wäre die Verwaltung unseres Samba4 AD Domain Controllers über Microsoft Remote Server Administration Tools (RSAT) von einer in die Domäne integrierten Windows-Workstation aus. Diese Tools sind in fast allen modernen Windows-Systemen verfügbar.

Der Prozess der Einbindung von Windows 10 oder älteren Versionen von Microsoft OS in Samba4 AD DC ist sehr einfach. Stellen Sie zunächst sicher, dass auf Ihrer Windows 10-Workstation die richtige Samba4 DNS IP-Adresse konfiguriert ist, um den richtigen Realm-Resolver abzufragen.

Öffnen Sie Systemsteuerung -> Netzwerk und Internet -> Netzwerk- und Freigabecenter -> Ethernet-Karte -> Eigenschaften -> IPv4 -> Eigenschaften -> Verwenden Sie die folgenden DNS-Serveradressen und geben Sie die Samba4 AD-IP-Adresse manuell an die Netzwerkschnittstelle an, wie unten dargestellt Screenshots.

Hier ist 192.168.1.254 die IP-Adresse des Samba4 AD Domain Controllers, der für die DNS-Auflösung verantwortlich ist. Ersetzen Sie die IP-Adresse entsprechend.

10. Als nächstes übernehmen Sie die Netzwerkeinstellungen, indem Sie auf die Schaltfläche OK klicken, eine Eingabeaufforderung öffnen und einen Ping auslösen gegen den generischen Domänennamen und den Samba4-Host-FQDN, um zu testen, ob der Bereich über die DNS-Auflösung erreichbar ist.

ping tecmint.lan
ping adc1.tecmint.lan

11. Wenn der Resolver korrekt auf DNS-Anfragen des Windows-Clients reagiert, müssen Sie sicherstellen, dass die Zeit genau mit dem Bereich synchronisiert ist.

Öffnen Sie die Systemsteuerung -> Uhr, Sprache und Region -> Uhrzeit und Datum einstellen > -> Registerkarte „Internetzeit“ -> Einstellungen ändern und geben Sie Ihren Domainnamen in das Feld „Synchronisieren mit und Internetzeitserver“ ein.

Klicken Sie auf die Schaltfläche Jetzt aktualisieren, um die Zeitsynchronisierung mit dem Bereich zu erzwingen, und klicken Sie auf OK, um das Fenster zu schließen.

12. Treten Sie schließlich der Domäne bei, indem Sie Systemeigenschaften -> Ändern -> Mitglied der Domäne öffnen und Ihre Nachricht eingeben Geben Sie den Domänennamen ein, klicken Sie auf OK, geben Sie die Anmeldeinformationen für Ihr Domänenadministratorkonto ein und klicken Sie erneut auf OK.

Es sollte sich ein neues Popup-Fenster öffnen, das Sie darüber informiert, dass Sie Mitglied der Domain sind. Klicken Sie auf OK, um das Popup-Fenster zu schließen und den Computer neu zu starten, um die Domänenänderungen zu übernehmen.

Der folgende Screenshot veranschaulicht diese Schritte.

13. Klicken Sie nach dem Neustart auf Anderer Benutzer und melden Sie sich mit einem Samba4-Domänenkonto mit Administratorrechten bei Windows an. Anschließend sollten Sie bereit sein, mit dem nächsten Schritt fortzufahren.

Schritt 4: Samba4 AD DC mit RSAT verwalten

14. Microsoft Remote Server Administration Tools (RSAT), die weiterhin zur Verwaltung von Samba4 Active Directory verwendet werden, können über die folgenden Links heruntergeladen werden , abhängig von Ihrer Windows-Version:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Sobald das eigenständige Update-Installationspaket für Windows 10 auf Ihr System heruntergeladen wurde, führen Sie das Installationsprogramm aus, warten Sie, bis die Installation abgeschlossen ist, und starten Sie den Computer neu, um alle Updates anzuwenden.

Öffnen Sie nach dem Neustart die Systemsteuerung -> Programme (Programm deinstallieren) -> Windows-Funktionen aktivieren ein- oder ausschalten und überprüfen Sie alle Remoteserver-Verwaltungstools.

Klicken Sie auf OK, um die Installation zu starten. Nach Abschluss des Installationsvorgangs starten Sie das System neu.

15. Um auf die RSAT-Tools zuzugreifen, gehen Sie zu Systemsteuerung -> System und Sicherheit -> Verwaltungstools .

Die Tools finden Sie auch im Menü Verwaltungstools im Startmenü. Alternativ können Sie Windows MMC öffnen und Snap-Ins über das Menü Datei -> Snap-In hinzufügen/entfernen hinzufügen.

Die am häufigsten verwendeten Tools wie AD UC, DNS und Gruppenrichtlinienverwaltung können direkt vom Desktop aus gestartet werden, indem Sie mit der Funktion „Senden an“ Verknüpfungen erstellen Speisekarte.

16. Sie können die RSAT-Funktionalität überprüfen, indem Sie AD UC öffnen und Domänencomputer auflisten (neu hinzugefügte Windows-Computer sollten in der Liste erscheinen). Erstellen Sie eine neue Organisationseinheit oder einen neuen Benutzer oder eine neue Gruppe.

Überprüfen Sie, ob die Benutzer oder Gruppen ordnungsgemäß erstellt wurden, indem Sie den Befehl wbinfo vom Samba4-Server aus ausführen.

Das ist es! Im nächsten Teil dieses Themas werden wir andere wichtige Aspekte eines Samba4 Active Directorys behandeln, das über RSAT verwaltet werden kann, wie zum Beispiel die Verwaltung eines DNS-Servers und das Hinzufügen von DNS Datensätze erstellen und eine Reverse-DNS-Lookupzone erstellen, wie Sie Domänenrichtlinien verwalten und anwenden und wie Sie ein interaktives Anmeldebanner für Ihre Domänenbenutzer erstellen.