685
Samba 係列(三):使用 Windows 10 的 RSAT 工具來管理 Samba4 活動目錄架構
這一節的Samba4 AD DC 架構係列文章,我們將會討論如何把 Windows 10 係統的電腦添加到 Samba4 域環境中,以及如何在 Windows 10 係統下管理域環境。
一旦 Windows 10 係統加入到 Samba4 AD DC ,我們就可以在 Windows 10 係統中創建、刪除或者禁用域用戶和組了,可以創建新的組織單元,創建、編輯和管理域策略,還可以管理 Samba4 域 DNS 服務。
上麵所有的功能和其它一些複雜的與域管理相關的工作都可以通過 Windows 環境下的 RSAT 工具來完成—— Microsoft 遠程服務器管理工具。
要求
1、 在 Ubuntu 係統上使用 Samba4 來創建活動目錄架構(一)
2、 在 Linux 命令行下管理 Samba4 AD 架構(二)
第一步:配置域時間同步
1、在使用 Windows 10 係統的 RSAT 工具來管理 Samba4 ADDC 之前,我們需要了解與活動目錄相關的一個很重要的服務,該服務要求精確的時間同步。
在大多數的 Linux 發行版中,都由 NTP 進程提供時間同步機製。AD 環境默認允許最大的時間差距是 5 分鍾。
如果時間差距超過 5 分鍾,你將會遇到各種各樣的異常報錯,最嚴重的會影響到 AD 用戶、域成員服務器或共享訪問等。
為了在 Ubuntu 係統中安裝網絡時間協議進程和 NTP 客戶端工具,可執行以下命令:
$ sudo apt-get install ntp ntpdate
在 Ubuntu 係統下安裝 NTP 服務
2、下一步,修改 NTP 配置文件,使用一個離你最近的 NTP 服務地址列表替換默認的 NTP 池服務列表。
NTP 服務器地址列表可以從 NTP 地址庫項目官方網站獲取:https://www.pool.ntp.org/en/。
$ sudo nano /etc/ntp.conf
在每一行 pool 前添加一個 # 符號以注釋默認的服務器列表,並替換為適合你的 NTP 服務器地址,如下圖所示:
pool 0.ro.pool.ntp.org iburstpool 1.ro.pool.ntp.org iburstpool 2.ro.pool.ntp.org iburst# Use Ubuntu's ntp server as a fallback.pool 3.ro.pool.ntp.org
在 Ubuntu 係統下配置 NTP 服務
3、此時,先不要關閉該文件。移動光標到文件頂部,在 driftfile 參數後麵添加下麵一行內容。該設置是為了讓客戶端查詢該服務時使用 AD 的 NTP 簽署請求。
ntpsigndsocket /var/lib/samba/ntp_signd/
使用 NTP 來同步 AD
4、最後,移動光標到文件底部並添加如下一行內容,如截圖所示,僅允許網絡客戶端查詢該服務器上的時間。
restrict default kod nomodify notrap nopeer mssntp
限製 NTP 服務的查詢客戶端
5、設置完成之後,保存並關閉 NTP 配置文件,為了讓 NTP 服務讀取 ntp_signed 目錄,需要授予 NTP 服務合適的權限。
以下是 Samba NTP socket 的係統路徑。之後,重啟 NTP 服務以應用更改,並使用 netstat 命令與grep 過濾相接合來檢查 NTP 服務是否正常。
$ sudo chown root:ntp /var/lib/samba/ntp_signd/$ sudo chmod 750 /var/lib/samba/ntp_signd/$ sudo systemctl restart ntp$ sudo netstat –tulpn | grep ntp
給 NTP 服務授權
使用 ntpq 命令行工具來監控 NTP 進程,加上 -p 參數來顯示摘要信息。
$ ntpq -p
監控 NTP 服務器池
第二步:處理 NTP 時間同步異常問題
6、有時候 NTP 進程在嚐試與上遊 ntp 服務端同步時間的計算過程中會卡住,導致客戶端使用ntpdate 工具手動強製同步時間時報如下錯誤:
# ntpdate -qu adc1ntpdate[4472]: no server suitable for synchronization found
NTP 時間同步異常
ntpdate 命令加上 -d 調試選項:
# ntpdate -d adc1.tecmint.lanServer dropped: Leap not in sync
NTP Server Dropped Leap Not in Sync
7、為了避免出現該問題,使用下麵的方法來解決這個問題:在服務器上停止 NTP 服務,使用 ntpdate客戶端工具加上 -b 參數指定外部 peer 地址來手動強製同步時間,如下圖所示:
# systemctl stop ntp.service# ntpdate -b 2.ro.pool.ntp.org [你的 ntp peer]# systemctl start ntp.service# systemctl status ntp.service
強製 NTP 時間同步
8、當時間正確同步之後,啟動服務器上的 NTP 服務,並且在客戶端服務器上執行如下命令來驗證 NTP 時間同步服務是否可用:
# ntpdate -du adc1.tecmint.lan [你的 AD DC 服務器]
驗證 NTP 時間同步
至此, NTP 服務應該已經工作正常了。
第三步:把 Windows 10 係統加入域環境
9、從我們的前一篇文章可以看出,Samba4 活動目錄可以使用 samba-tool 工具在命令行下管理,可以直接在服務器上的 VTY 控製台或者通過 SSH 工具遠程連接到服務器上進行管理。
另外,更直觀更靈活的方式是使用已加入域的 Windows 電腦中的微軟遠程服務器管理工具(RSAT)來管理我們的 Samba4 AD 域控製器。這些工具在當前的大多數 Windows 係統中都可以使用。
把 Windows 10 或是之前版本的微軟操作係統加入到 Samba4 AD DC 環境中的過程也是非常容易的。首先,確保你的 Windows 10 電腦已經設置了正確的 Samba4 DNS 服務器的 IP 地址,以查詢出準確的域解析結果。
打開“控製麵板 -> 網絡和 Internet -> 網絡和共享中心 -> 網卡設置 -> 屬性 -> IPv4 -> 屬性 -> 使用下麵的 DNS 服務器地址”,並且手動輸入 Samba4 AD 服務器的 IP 地址,如下圖所示:
把 Windows 10 加入到 Samba4 AD 環境
添加 DNS 和 Samba4 AD 服務器地址
這裏的 192.168.1.254 是 Samba4 AD 域控服務器的地址,用於域名解析。相應替換該 IP 地址。
10、下一步,點擊 OK 按鈕以應用網絡設置,打開 CMD 命令行窗口,通過 ping 域名和 Samba4 服務器的 FQDN 地址來測試通過 DNS 解析到域是否連通。
ping tecmint.lanping adc1.tecmint.lan
檢查 Windows 和 Samb4 AD 服務器的網絡連通性
11、如果 Windows 客戶端 DNS 查詢的結果解析正確,那麼,你還需要確認客戶端時間是否已跟域環境同步。
打開“控製麵板 -> 時鍾、語言和區域 -> 設置時間和日期 -> Internet 時間頁 -> 更改設置”,輸入你同步時間的域名和 Internet 時間服務器字段。
點擊立即更新按鈕來強製與域同步時間,點擊 OK 關閉窗口。
與 Internet 服務器同步時間
12、最後,通過打開“係統屬性 -> 更改 -> 域成員 -> 輸入域名”,點擊 OK,輸入你的域管理員賬號和密碼,再次點擊 OK。
應該彈出一個新的窗口通知你已經是一個域成員了。點擊 OK 關閉彈出窗口,並且重啟機器以應用域更改。
下麵的截圖將說明這些操作步驟。
把 Windows 域加入到 Samba4 AD 環境
輸入域管理員賬號登錄
確認域已加入到 Samba4 AD 環境
重啟 Windows 服務器以應用更改
13、重啟之後,單擊其它用戶並且使用具有管理員權限的 Samba4 域賬號登錄到 Windows 係統,你已經準備好進入到後邊幾個步驟了。
使用 Samba4 AD 賬號登錄到 Windows
第四步:使用 RSAT 工具來管理 Samba4 AD DC
14、微軟遠程服務器管理工具(RSAT)被廣泛地用來管理 Samba4 活動目錄,你可以根據你的 Windows 係統版本從下麵的地址來下載該工具:
- Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
- Windows 8.1: https://www.microsoft.com/en-us/download/details.aspx?id=39296
- Windows 8: https://www.microsoft.com/en-us/download/details.aspx?id=28972
- Windows 7: https://www.microsoft.com/en-us/download/details.aspx?id=7887
一旦 Windows 10 獨立安裝包下載完成,運行安裝包,等待安裝完成並重啟機器以應用所有更新。
重啟之後,打開“控製麵板 -> 程序(卸載程序) -> 啟用或關閉 Windows 功能”,勾選所有的遠程服務器管理工具。
點擊 OK 開始安裝,安裝完成之後重啟係統。
從 Windows 係統下管理 Samba4 AD
15、要進入 RSAT 工具集,打開“控製麵板 -> 係統和安全 -> 管理工具”。
這些工具也可以在開始工菜單的管理工具菜單中找到。另外,你也可以打開 Windows MMC 工具和管理單元,從“文件 -> 添加/刪除管理單元”菜單中訪問它們。
訪問遠程服務器管理工具集
最常用的工具,比如 AD UC ,DNS 和組策略管理工具可以通過從右鍵菜單發送到功能來新建快捷方式到桌麵直接運行。
16、你可以通過 AD UC 和列出域裏的電腦(新加入的 Windows 機器應該出現在列表中)來驗證 RSAT 功能,創建一個組織單元或組。
在 Samba4 服務器上使用 wbinf 命令來檢查用戶和組是否已經創建成功。
活動目錄用戶和計算機
創建組織單元和新用戶
確認 Samba4 AD 用戶
就這些吧!該主題的下一篇文章將包含其它 Samba4 活動目錄的重要內容,包括通過 RSAT 工具來管理 Samba4 活動目錄,比如,如何管理 DNS 服務器,添加 DNS 記錄和創建 DNS 解析查詢區,如何管理及應用域策略以及域用戶如何創建交互式登錄提示信息。
原文發布時間為:2017-01-05
本文來自雲棲社區合作夥伴“Linux中國”
最後更新:2017-05-31 11:03:24