Samba 系列(三):使用 Windows 10 的 RSAT 工具來管理 Samba4 活動目錄架構
這一節的Samba4 AD DC 架構系列文章,我們將會討論如何把 Windows 10 系統的電腦新增到 Samba4 域環境中,以及如何在 Windows 10 系統下管理域環境。
一旦 Windows 10 系統加入到 Samba4 AD DC ,我們就可以在 Windows 10 系統中建立、刪除或者禁用域使用者和組了,可以建立新的組織單元,建立、編輯和管理域策略,還可以管理 Samba4 域 DNS 服務。
上面所有的功能和其它一些複雜的與域管理相關的工作都可以通過 Windows 環境下的 RSAT 工具來完成—— Microsoft 遠端伺服器管理工具。
要求
1、在 Ubuntu 系統上使用 Samba4 來建立活動目錄架構(一)
2、在 Linux 命令列下管理 Samba4 AD 架構(二)
第一步:配置域時間同步
1、在使用 Windows 10 系統的 RSAT 工具來管理 Samba4 ADDC 之前,我們需要了解與活動目錄相關的一個很重要的服務,該服務要求精確的時間同步。
在大多數的 Linux 發行版中,都由 NTP 程式提供時間同步機制。AD 環境預設允許最大的時間差距是 5 分鐘。
如果時間差距超過 5 分鐘,你將會遇到各種各樣的異常報錯,最嚴重的會影響到 AD 使用者、域成員伺服器或共享訪問等。
為了在 Ubuntu 系統中安裝網路時間協議程式和 NTP 客戶端工具,可執行以下命令:
$ sudo apt-get install ntp ntpdate
在 Ubuntu 系統下安裝 NTP 服務
2、下一步,修改 NTP 配置檔案,使用一個離你最近的 NTP 服務地址列表替換預設的 NTP 池服務列表。
NTP 伺服器地址列表可以從 NTP 地址庫專案官方網站獲取:http://www.pool.ntp.org/en/。
$ sudo nano /etc/ntp.conf
在每一行pool前新增一個#符號以註釋預設的伺服器列表,並替換為適合你的 NTP 伺服器地址,如下圖所示:
pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst
# Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org
在 Ubuntu 系統下配置 NTP 服務
3、此時,先不要關閉該檔案。移動游標到檔案頂部,在driftfile引數後面新增下面一行內容。該設定是為了讓客戶端查詢該服務時使用 AD 的 NTP 簽署請求。
ntpsigndsocket /var/lib/samba/ntp_signd/
使用 NTP 來同步 AD
4、最後,移動游標到檔案底部並新增如下一行內容,如截圖所示,僅允許網路客戶端查詢該伺服器上的時間。
restrict default kod nomodify notrap nopeer mssntp
限制 NTP 服務的查詢客戶端
5、設定完成之後,儲存並關閉 NTP 配置檔案,為了讓 NTP 服務讀取ntp_signed目錄,需要授予 NTP 服務合適的許可權。
以下是 Samba NTP socket 的系統路徑。之後,重啟 NTP 服務以應用更改,並使用netstat 命令與grep 過濾相接合來檢查 NTP 服務是否正常。
$ sudo chown root:ntp /var/lib/samba/ntp_signd/
$ sudo chmod 750 /var/lib/samba/ntp_signd/
$ sudo systemctl restart ntp
$ sudo netstat –tulpn | grep ntp
給 NTP 服務授權
使用 ntpq 命令列工具來監控 NTP 程式,加上-p引數來顯示摘要資訊。
$ ntpq -p
監控 NTP 伺服器池
第二步:處理 NTP 時間同步異常問題
6、有時候 NTP 程式在嘗試與上游 ntp 服務端同步時間的計算過程中會卡住,導致客戶端使用ntpdate工具手動強制同步時間時報如下錯誤:
# ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found
NTP 時間同步異常
ntpdate命令加上-d除錯選項:
# ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync
NTP Server Dropped Leap Not in Sync
7、為了避免出現該問題,使用下面的方法來解決這個問題:在伺服器上停止 NTP 服務,使用ntpdate客戶端工具加上-b引數指定外部 peer 地址來手動強制同步時間,如下圖所示:
# systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org [你的 ntp peer]
# systemctl start ntp.service
# systemctl status ntp.service
強制 NTP 時間同步
8、當時間正確同步之後,啟動伺服器上的 NTP 服務,並且在客戶端伺服器上執行如下命令來驗證 NTP 時間同步服務是否可用:
# ntpdate -du adc1.tecmint.lan [你的 AD DC 伺服器]
驗證 NTP 時間同步
至此, NTP 服務應該已經工作正常了。
第三步:把 Windows 10 系統加入域環境
9、從我們的前一篇文章可以看出,Samba4 活動目錄可以使用 samba-tool 工具在命令列下管理,可以直接在伺服器上的 VTY 控制檯或者通過 SSH 工具遠端連線到伺服器上進行管理。
另外,更直觀更靈活的方式是使用已加入域的 Windows 電腦中的微軟遠端伺服器管理工具(RSAT)來管理我們的 Samba4 AD 域控制器。這些工具在當前的大多數 Windows 系統中都可以使用。
把 Windows 10 或是之前版本的微軟作業系統加入到 Samba4 AD DC 環境中的過程也是非常容易的。首先,確保你的 Windows 10 電腦已經設定了正確的 Samba4 DNS 伺服器的 IP 地址,以查詢出準確的域解析結果。
開啟“控制皮膚 -> 網路和 Internet -> 網路和共享中心 -> 網路卡設定 -> 屬性 ->
IPv4 -> 屬性 -> 使用下面的 DNS 伺服器地址”,並且手動輸入 Samba4 AD 伺服器的 IP 地址,如下圖所示:
把 Windows 10 加入到 Samba4 AD 環境
新增 DNS 和 Samba4 AD 伺服器地址
這裡的192.168.1.254是 Samba4 AD 域控伺服器的地址,用於域名解析。相應替換該 IP 地址。
10、下一步,點選 OK 按鈕以應用網路設定,開啟 CMD 命令列視窗,通過 ping 域名和 Samba4 伺服器的 FQDN 地址來測試通過 DNS 解析到域是否連通。
ping tecmint.lan
ping adc1.tecmint.lan
檢查 Windows 和 Samb4 AD 伺服器的網路連通性
11、如果 Windows 客戶端 DNS 查詢的結果解析正確,那麼,你還需要確認客戶端時間是否已跟域環境同步。
開啟“控制皮膚 -> 時鐘、語言和區域 -> 設定時間和日期 -> Internet 時間頁 -> 更改設定”,輸入你同步時間的域名和 Internet 時間伺服器欄位。
點選立即更新按鈕來強制與域同步時間,點選 OK 關閉視窗。
與 Internet 伺服器同步時間
12、最後,通過開啟“系統屬性 -> 更改 -> 域成員 -> 輸入域名”,點選 OK,輸入你的域管理員賬號和密碼,再次點選 OK。
應該彈出一個新的視窗通知你已經是一個域成員了。點選 OK 關閉彈出視窗,並且重啟機器以應用域更改。
下面的截圖將說明這些操作步驟。
把 Windows 域加入到 Samba4 AD 環境
輸入域管理員賬號登入
確認域已加入到 Samba4 AD 環境
重啟 Windows 伺服器以應用更改
13、重啟之後,單擊其它使用者並且使用具有管理員許可權的 Samba4 域賬號登入到 Windows 系統,你已經準備好進入到後邊幾個步驟了。
使用 Samba4 AD 賬號登入到 Windows
第四步:使用 RSAT 工具來管理 Samba4 AD DC
14、微軟遠端伺服器管理工具(RSAT)被廣泛地用來管理 Samba4 活動目錄,你可以根據你的 Windows 系統版本從下面的地址來下載該工具:
Windows 10:https://www.microsoft.com/en-us/download/details.aspx?id=45520
Windows 8.1:http://www.microsoft.com/en-us/download/details.aspx?id=39296
Windows 8:http://www.microsoft.com/en-us/download/details.aspx?id=28972
Windows 7:http://www.microsoft.com/en-us/download/details.aspx?id=7887
一旦 Windows 10 獨立安裝包下載完成,執行安裝包,等待安裝完成並重啟機器以應用所有更新。
重啟之後,開啟“控制皮膚 -> 程式(解除安裝程式) -> 啟用或關閉 Windows 功能”,勾選所有的遠端伺服器管理工具。
點選 OK 開始安裝,安裝完成之後重啟系統。
從 Windows 系統下管理 Samba4 AD
15、要進入 RSAT 工具集,開啟“控制皮膚 -> 系統和安全 -> 管理工具”。
這些工具也可以在開始工選單的管理工具選單中找到。另外,你也可以開啟 Windows MMC 工具和管理單元,從“檔案 -> 新增/刪除管理單元”選單中訪問它們。
訪問遠端伺服器管理工具集
最常用的工具,比如 AD UC ,DNS 和組策略管理工具可以通過從右鍵選單傳送到功能來新建快捷方式到桌面直接執行。
16、你可以通過 AD UC 和列出域裡的電腦(新加入的 Windows 機器應該出現在列表中)來驗證 RSAT 功能,建立一個組織單元或組。
在 Samba4 伺服器上使用wbinf命令來檢查使用者和組是否已經建立成功。
活動目錄使用者和計算機
建立組織單元和新使用者
確認 Samba4 AD 使用者
就這些吧!該主題的下一篇文章將包含其它 Samba4 活動目錄的重要內容,包括通過 RSAT 工具來管理 Samba4
活動目錄,比如,如何管理 DNS 伺服器,新增 DNS 記錄和建立 DNS
解析查詢區,如何管理及應用域策略以及域使用者如何建立互動式登入提示資訊。
via:http://www.tecmint.com/manage-samba4-ad-from-windows-via-rsat/
作者:Matei Cezar譯者:rusking校對:wxy
相關文章
- Samba 系列(二):在 Linux 命令列下管理 Samba4 AD 架構SambaLinux命令列架構
- Samba 系列(六):使用 Rsync 命令同步兩個 Samba4 AD DC 之間的 SysVol 目錄Samba
- windows透過samba訪問aix的共享目錄WindowsSambaAI
- windows 2000活動目錄之結構篇(轉)Windows
- Windows 2000 活動目錄的特性(轉)Windows
- Thrift架構~目錄架構
- 活動目錄
- Samba 系列(九):將 CentOS 7 桌面系統加入到 Samba4 AD 域環境中SambaCentOS
- Samba 系列(七):在 Samba AD DC 伺服器上建立共享目錄並對映到 Windows/Linux 客戶Samba伺服器WindowsLinux
- 架構之路:前言目錄架構
- windows bat系列10:批量設定&取消共享目錄WindowsBAT
- Windows 2000 活動目錄簡介(轉)Windows
- 微服務架構下分散式SESSION管理書目錄微服務架構分散式Session
- 使用 ASMCMD 工具管理ASM目錄及檔案ASM
- 活動目錄的安裝:深入淺出Active Directory系列(二)
- Unix目錄結構的來歷
- windows如何訪問ubuntu的指定目錄(透過samba檔案共享服WindowsUbuntuSamba
- samba服務的配置(linux共享目錄)SambaLinux
- 自動建立samba目錄的shell指令碼Samba指令碼
- Windows2000Server設定活動目錄域WindowsServer
- windows 2000活動目錄之應用篇(轉)Windows
- Samba共享目錄的多使用者許可權設定案例Samba
- 使用T-SQL進行活動目錄查詢SQL
- 使用用於SQL IIS虛擬目錄管理實用工具SQL
- Electron系列文章-程式目錄結構
- Flutter系列(三) 整體架構Flutter架構
- windows 2000活動目錄之與安裝配置篇(轉)Windows
- LDAP系列(三)LDAP + Samba 安裝配置LDASamba
- 【淺談架構14/100】架構的緣起與目標架構
- windows server 注意windows的temp目錄WindowsServer
- 目錄管理
- Maven精選系列--標準目錄結構Maven
- redis系列目錄Redis
- CSS系列目錄CSS
- WebApi系列~目錄WebAPI
- JavaScript系列目錄JavaScript
- Windows10 如何更改Docker映象目錄WindowsDocker
- 架構學習筆記系列三架構筆記