這一節(jié)的Samba4 AD DC 架構(gòu)系列文章,我們將會討論如何把 Windows 10 系統(tǒng)的電腦添加到 Samba4 域環(huán)境中,以及如何在 Windows 10 系統(tǒng)下管理域環(huán)境。
一旦 Windows 10 系統(tǒng)加入到 Samba4 AD DC ,我們就可以在 Windows 10 系統(tǒng)中創(chuàng)建、刪除或者禁用域用戶和組了麦箍,可以創(chuàng)建新的組織單元,創(chuàng)建陶珠、編輯和管理域策略挟裂,還可以管理 Samba4 域 DNS 服務(wù)。
上面所有的功能和其它一些復(fù)雜的與域管理相關(guān)的工作都可以通過 Windows 環(huán)境下的 RSAT 工具來完成—— Microsoft 遠程服務(wù)器管理工具揍诽。
要求
1诀蓉、在 Ubuntu 系統(tǒng)上使用 Samba4 來創(chuàng)建活動目錄架構(gòu)(一)
2栗竖、在 Linux 命令行下管理 Samba4 AD 架構(gòu)(二)
第一步:配置域時間同步
1、在使用 Windows 10 系統(tǒng)的 RSAT 工具來管理 Samba4 ADDC 之前渠啤,我們需要了解與活動目錄相關(guān)的一個很重要的服務(wù)狐肢,該服務(wù)要求精確的時間同步。
在大多數(shù)的 Linux 發(fā)行版中沥曹,都由 NTP 進程提供時間同步機制份名。AD 環(huán)境默認允許最大的時間差距是 5 分鐘。
如果時間差距超過 5 分鐘妓美,你將會遇到各種各樣的異常報錯僵腺,最嚴重的會影響到 AD 用戶、域成員服務(wù)器或共享訪問等壶栋。
為了在 Ubuntu 系統(tǒng)中安裝網(wǎng)絡(luò)時間協(xié)議進程和 NTP 客戶端工具辰如,可執(zhí)行以下命令:
$ sudo apt-get install ntp ntpdate
在 Ubuntu 系統(tǒng)下安裝 NTP 服務(wù)
2、下一步贵试,修改 NTP 配置文件琉兜,使用一個離你最近的 NTP 服務(wù)地址列表替換默認的 NTP 池服務(wù)列表。
NTP 服務(wù)器地址列表可以從 NTP 地址庫項目官方網(wǎng)站獲缺胁!:http://www.pool.ntp.org/en/呕童。
$ sudo nano /etc/ntp.conf
在每一行pool前添加一個#符號以注釋默認的服務(wù)器列表,并替換為適合你的 NTP 服務(wù)器地址淆珊,如下圖所示:
pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst
# Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org
在 Ubuntu 系統(tǒng)下配置 NTP 服務(wù)
3、此時奸汇,先不要關(guān)閉該文件施符。移動光標到文件頂部,在driftfile參數(shù)后面添加下面一行內(nèi)容擂找。該設(shè)置是為了讓客戶端查詢該服務(wù)時使用 AD 的 NTP 簽署請求戳吝。
ntpsigndsocket /var/lib/samba/ntp_signd/
使用 NTP 來同步 AD
4、最后贯涎,移動光標到文件底部并添加如下一行內(nèi)容听哭,如截圖所示,僅允許網(wǎng)絡(luò)客戶端查詢該服務(wù)器上的時間塘雳。
restrict default kod nomodify notrap nopeer mssntp
限制 NTP 服務(wù)的查詢客戶端
5陆盘、設(shè)置完成之后,保存并關(guān)閉 NTP 配置文件败明,為了讓 NTP 服務(wù)讀取ntp_signed目錄隘马,需要授予 NTP 服務(wù)合適的權(quán)限。
以下是 Samba NTP socket 的系統(tǒng)路徑妻顶。之后酸员,重啟 NTP 服務(wù)以應(yīng)用更改蜒车,并使用netstat 命令與grep 過濾相接合來檢查 NTP 服務(wù)是否正常。
$ sudo chown root:ntp /var/lib/samba/ntp_signd/
$ sudo chmod 750 /var/lib/samba/ntp_signd/
$ sudo systemctl restart ntp
$ sudo netstat –tulpn | grep ntp
給 NTP 服務(wù)授權(quán)
使用 ntpq 命令行工具來監(jiān)控 NTP 進程幔嗦,加上-p參數(shù)來顯示摘要信息酿愧。
$ ntpq -p
監(jiān)控 NTP 服務(wù)器池
第二步:處理 NTP 時間同步異常問題
6、有時候 NTP 進程在嘗試與上游 ntp 服務(wù)端同步時間的計算過程中會卡住邀泉,導致客戶端使用ntpdate工具手動強制同步時間時報如下錯誤:
# ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found
NTP 時間同步異常
ntpdate命令加上-d調(diào)試選項:
# ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync
NTP Server Dropped Leap Not in Sync
7嬉挡、為了避免出現(xiàn)該問題,使用下面的方法來解決這個問題:在服務(wù)器上停止 NTP 服務(wù)呼渣,使用ntpdate客戶端工具加上-b參數(shù)指定外部 peer 地址來手動強制同步時間棘伴,如下圖所示:
# systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org? [你的 ntp peer]
# systemctl start ntp.service
# systemctl status ntp.service
強制 NTP 時間同步
8、當時間正確同步之后屁置,啟動服務(wù)器上的 NTP 服務(wù)焊夸,并且在客戶端服務(wù)器上執(zhí)行如下命令來驗證 NTP 時間同步服務(wù)是否可用:
# ntpdate -du adc1.tecmint.lan? ? [你的 AD DC 服務(wù)器]
驗證 NTP 時間同步
至此, NTP 服務(wù)應(yīng)該已經(jīng)工作正常了蓝角。
第三步:把 Windows 10 系統(tǒng)加入域環(huán)境
9阱穗、從我們的前一篇文章可以看出,Samba4 活動目錄可以使用 samba-tool 工具在命令行下管理使鹅,可以直接在服務(wù)器上的 VTY 控制臺或者通過 SSH 工具遠程連接到服務(wù)器上進行管理揪阶。
另外,更直觀更靈活的方式是使用已加入域的 Windows 電腦中的微軟遠程服務(wù)器管理工具(RSAT)來管理我們的 Samba4 AD 域控制器患朱。這些工具在當前的大多數(shù) Windows 系統(tǒng)中都可以使用鲁僚。
把 Windows 10 或是之前版本的微軟操作系統(tǒng)加入到 Samba4 AD DC 環(huán)境中的過程也是非常容易的。首先裁厅,確保你的 Windows 10 電腦已經(jīng)設(shè)置了正確的 Samba4 DNS 服務(wù)器的 IP 地址冰沙,以查詢出準確的域解析結(jié)果。
打開“控制面板 -> 網(wǎng)絡(luò)和 Internet -> 網(wǎng)絡(luò)和共享中心 -> 網(wǎng)卡設(shè)置 -> 屬性 ->
IPv4 -> 屬性 -> 使用下面的 DNS 服務(wù)器地址”执虹,并且手動輸入 Samba4 AD 服務(wù)器的 IP 地址拓挥,如下圖所示:
把 Windows 10 加入到 Samba4 AD 環(huán)境
添加 DNS 和 Samba4 AD 服務(wù)器地址
這里的192.168.1.254是 Samba4 AD 域控服務(wù)器的地址,用于域名解析袋励。相應(yīng)替換該 IP 地址侥啤。
10、下一步茬故,點擊 OK 按鈕以應(yīng)用網(wǎng)絡(luò)設(shè)置盖灸,打開 CMD 命令行窗口,通過 ping 域名和 Samba4 服務(wù)器的 FQDN 地址來測試通過 DNS 解析到域是否連通磺芭。
ping tecmint.lan
ping adc1.tecmint.lan
檢查 Windows 和 Samb4 AD 服務(wù)器的網(wǎng)絡(luò)連通性
11糠雨、如果 Windows 客戶端 DNS 查詢的結(jié)果解析正確,那么徘跪,你還需要確認客戶端時間是否已跟域環(huán)境同步甘邀。
打開“控制面板 -> 時鐘琅攘、語言和區(qū)域 -> 設(shè)置時間和日期 -> Internet 時間頁 -> 更改設(shè)置”,輸入你同步時間的域名和 Internet 時間服務(wù)器字段松邪。
點擊立即更新按鈕來強制與域同步時間坞琴,點擊 OK 關(guān)閉窗口。
與 Internet 服務(wù)器同步時間
12逗抑、最后剧辐,通過打開“系統(tǒng)屬性 -> 更改 -> 域成員 -> 輸入域名”,點擊 OK邮府,輸入你的域管理員賬號和密碼荧关,再次點擊 OK。
應(yīng)該彈出一個新的窗口通知你已經(jīng)是一個域成員了褂傀。點擊 OK 關(guān)閉彈出窗口忍啤,并且重啟機器以應(yīng)用域更改。
下面的截圖將說明這些操作步驟仙辟。
把 Windows 域加入到 Samba4 AD 環(huán)境
輸入域管理員賬號登錄
確認域已加入到 Samba4 AD 環(huán)境
重啟 Windows 服務(wù)器以應(yīng)用更改
13同波、重啟之后,單擊其它用戶并且使用具有管理員權(quán)限的 Samba4 域賬號登錄到 Windows 系統(tǒng)叠国,你已經(jīng)準備好進入到后邊幾個步驟了未檩。
使用 Samba4 AD 賬號登錄到 Windows
第四步:使用 RSAT 工具來管理 Samba4 AD DC
14、微軟遠程服務(wù)器管理工具(RSAT)被廣泛地用來管理 Samba4 活動目錄粟焊,你可以根據(jù)你的 Windows 系統(tǒng)版本從下面的地址來下載該工具:
Windows 10:https://www.microsoft.com/en-us/download/details.aspx?id=45520
Windows 8.1:http://www.microsoft.com/en-us/download/details.aspx?id=39296
Windows 8:http://www.microsoft.com/en-us/download/details.aspx?id=28972
Windows 7:http://www.microsoft.com/en-us/download/details.aspx?id=7887
一旦 Windows 10 獨立安裝包下載完成冤狡,運行安裝包,等待安裝完成并重啟機器以應(yīng)用所有更新项棠。
重啟之后筒溃,打開“控制面板 -> 程序(卸載程序) -> 啟用或關(guān)閉 Windows 功能”,勾選所有的遠程服務(wù)器管理工具沾乘。
點擊 OK 開始安裝,安裝完成之后重啟系統(tǒng)浑测。
從 Windows 系統(tǒng)下管理 Samba4 AD
15翅阵、要進入 RSAT 工具集,打開“控制面板 -> 系統(tǒng)和安全 -> 管理工具”迁央。
這些工具也可以在開始工菜單的管理工具菜單中找到掷匠。另外,你也可以打開 Windows MMC 工具和管理單元岖圈,從“文件 -> 添加/刪除管理單元”菜單中訪問它們讹语。
訪問遠程服務(wù)器管理工具集
最常用的工具,比如 AD UC 蜂科,DNS 和組策略管理工具可以通過從右鍵菜單發(fā)送到功能來新建快捷方式到桌面直接運行顽决。
16短条、你可以通過 AD UC 和列出域里的電腦(新加入的 Windows 機器應(yīng)該出現(xiàn)在列表中)來驗證 RSAT 功能,創(chuàng)建一個組織單元或組才菠。
在 Samba4 服務(wù)器上使用wbinf命令來檢查用戶和組是否已經(jīng)創(chuàng)建成功茸时。
活動目錄用戶和計算機
創(chuàng)建組織單元和新用戶
確認 Samba4 AD 用戶
就這些吧!該主題的下一篇文章將包含其它 Samba4 活動目錄的重要內(nèi)容赋访,包括通過 RSAT 工具來管理 Samba4
活動目錄可都,比如,如何管理 DNS 服務(wù)器蚓耽,添加 DNS 記錄和創(chuàng)建 DNS
解析查詢區(qū)渠牲,如何管理及應(yīng)用域策略以及域用戶如何創(chuàng)建交互式登錄提示信息。
via:http://www.tecmint.com/manage-samba4-ad-from-windows-via-rsat/
作者:Matei Cezar譯者:rusking校對:wxy
