ค้นหาเว็บไซต์

จัดการโครงสร้างพื้นฐาน Samba4 Active Directory จาก Windows10 ผ่าน RSAT - ตอนที่ 3

ในส่วนนี้ของซีรีส์โครงสร้างพื้นฐาน Samba4 AD DC เราจะพูดถึงวิธีเข้าร่วมเครื่อง Windows 10 เข้าสู่ขอบเขต Samba4 และวิธีการจัดการโดเมนจาก Windows 10 เวิร์กสเตชัน

เมื่อระบบ Windows 10 ได้เข้าร่วมกับ Samba4 AD DC แล้ว เราสามารถสร้าง ลบ หรือปิดการใช้งานผู้ใช้โดเมนและกลุ่ม เราสามารถสร้าง หน่วยองค์กรใหม่ได้ > เราสามารถสร้าง แก้ไข และจัดการนโยบายโดเมนหรือจัดการบริการ DNS โดเมน Samba4 ได้

ฟังก์ชันข้างต้นทั้งหมดและงานที่ซับซ้อนอื่นๆ ที่เกี่ยวข้องกับการดูแลระบบโดเมนสามารถทำได้ผ่านแพลตฟอร์ม Windows สมัยใหม่ใดๆ ด้วยความช่วยเหลือของ RSAT – Microsoft Remote Server Administration Tools

ความต้องการ

  1. สร้างโครงสร้างพื้นฐาน AD ด้วย Samba4 บน Ubuntu 16.04 – ตอนที่ 1
  2. จัดการโครงสร้างพื้นฐาน Samba4 AD จาก Linux Command Line – ตอนที่ 2
  3. จัดการ DNS ตัวควบคุมโดเมน Samba4 AD และนโยบายกลุ่มจาก Windows – ตอนที่ 4

ขั้นตอนที่ 1: กำหนดค่าการซิงโครไนซ์เวลาโดเมน

1. ก่อนที่จะเริ่มจัดการ Samba4 ADDC จาก Windows 10 ด้วยความช่วยเหลือของเครื่องมือ RSAT เราจำเป็นต้องรู้ และดูแลส่วนสำคัญของบริการที่จำเป็นสำหรับ Active Directory และบริการนี้หมายถึงการซิงโครไนซ์เวลาที่แม่นยำ

การซิงโครไนซ์เวลาสามารถนำเสนอโดย NTP daemon ในลีนุกซ์ส่วนใหญ่ ความคลาดเคลื่อนของช่วงเวลาสูงสุดเริ่มต้นที่โฆษณาสามารถรองรับได้คือประมาณ 5 นาที

หากช่วงเวลาความแตกต่างมากกว่า 5 นาที คุณควรเริ่มพบข้อผิดพลาดต่างๆ ที่สำคัญที่สุดเกี่ยวกับผู้ใช้ AD เครื่องที่เข้าร่วมหรือแชร์การเข้าถึง

หากต้องการติดตั้ง Network Time Protocol daemon และยูทิลิตี้ไคลเอ็นต์ NTP ใน Ubuntu ให้ดำเนินการคำสั่งด้านล่าง

sudo apt-get install ntp ntpdate

2. จากนั้น เปิดและแก้ไขไฟล์การกำหนดค่า NTP และแทนที่รายการเซิร์ฟเวอร์พูล NTP เริ่มต้นด้วยรายการเซิร์ฟเวอร์ NTP ใหม่ซึ่งตั้งอยู่ทางภูมิศาสตร์ใกล้กับตำแหน่งอุปกรณ์ทางกายภาพปัจจุบันของคุณ

สามารถรับรายชื่อเซิร์ฟเวอร์ NTP ได้โดยไปที่หน้าเว็บอย่างเป็นทางการของ NTP Pool Project http://www.pool.ntp.org/en/

sudo nano /etc/ntp.conf

แสดงความคิดเห็นรายการเซิร์ฟเวอร์เริ่มต้นโดยเพิ่ม # ที่ด้านหน้าของแต่ละบรรทัดพูล และเพิ่มบรรทัดพูลด้านล่างด้วยเซิร์ฟเวอร์ NTP ที่เหมาะสมของคุณดังที่แสดงในภาพหน้าจอด้านล่าง

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. ตอนนี้ อย่าเพิ่งปิดไฟล์ ย้ายไปที่ด้านบนสุดของไฟล์และเพิ่มบรรทัดด้านล่างหลังคำสั่ง driftfile การตั้งค่านี้ช่วยให้ไคลเอนต์สามารถสอบถามเซิร์ฟเวอร์โดยใช้คำขอ NTP ที่ลงนามโดย AD

ntpsigndsocket /var/lib/samba/ntp_signd/

4. สุดท้าย เลื่อนไปที่ด้านล่างของไฟล์และเพิ่มบรรทัดด้านล่าง ดังที่แสดงในภาพหน้าจอด้านล่าง ซึ่งจะทำให้ไคลเอ็นต์เครือข่ายสามารถสืบค้นเวลาบนเซิร์ฟเวอร์เท่านั้น

restrict default kod nomodify notrap nopeer mssntp

5. เมื่อเสร็จแล้ว ให้บันทึกและปิดไฟล์การกำหนดค่า NTP และให้บริการ NTP ด้วยสิทธิ์ที่เหมาะสมเพื่ออ่านไดเร็กทอรี ntp_signed

นี่คือเส้นทางของระบบซึ่งเป็นที่ตั้งของซ็อกเก็ต Samba NTP หลังจากนั้น ให้รีสตาร์ท NTP daemon เพื่อใช้การเปลี่ยนแปลงและตรวจสอบว่า NTP มีซ็อกเก็ตที่เปิดอยู่ในตารางเครือข่ายระบบของคุณหรือไม่ โดยใช้คำสั่ง netstat ร่วมกับตัวกรอง grep

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

ใช้ยูทิลิตีบรรทัดคำสั่ง ntpq เพื่อตรวจสอบ NTP daemon พร้อมกับแฟล็ก -p เพื่อพิมพ์ข้อมูลสรุปของสถานะเพียร์

ntpq -p

ขั้นตอนที่ 2: แก้ไขปัญหาเวลา NTP

6. บางครั้ง NTP daemon ติดอยู่ในการคำนวณขณะพยายามซิงโครไนซ์เวลากับเพียร์เซิร์ฟเวอร์ ntp อัปสตรีม ส่งผลให้เกิดข้อความแสดงข้อผิดพลาดต่อไปนี้เมื่อพยายามบังคับการซิงโครไนซ์เวลาด้วยตนเองโดยการรัน ntpdate ยูทิลิตี้บนฝั่งไคลเอ็นต์:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

เมื่อใช้คำสั่ง ntpdate พร้อมด้วยแฟล็ก -d

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. เพื่อหลีกเลี่ยงปัญหานี้ ให้ใช้เคล็ดลับต่อไปนี้เพื่อแก้ไขปัญหา: บนเซิร์ฟเวอร์ ให้หยุดบริการ NTP และใช้ยูทิลิตี้ไคลเอ็นต์ ntpdate เพื่อบังคับการซิงโครไนซ์เวลาด้วยตนเอง เพียร์ภายนอกโดยใช้แฟล็ก -b ดังที่แสดงด้านล่าง:

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. หลังจากเวลาซิงโครไนซ์อย่างถูกต้องแล้ว ให้เริ่ม NTP daemon บนเซิร์ฟเวอร์และตรวจสอบจากฝั่งไคลเอ็นต์ว่าบริการพร้อมที่จะให้บริการเวลาสำหรับไคลเอ็นต์ในเครื่องหรือไม่โดยการออกคำสั่งต่อไปนี้:

ntpdate -du adc1.tecmint.lan    [your_adc_server]

ขณะนี้เซิร์ฟเวอร์ NTP ควรทำงานได้ตามที่คาดไว้

ขั้นตอนที่ 3: เข้าร่วม Windows 10 เข้าสู่ Realm

9. ตามที่เราเห็นในบทช่วยสอนก่อนหน้านี้ Samba4 Active Directory สามารถจัดการได้จากบรรทัดคำสั่งโดยใช้อินเทอร์เฟซยูทิลิตี้ samba-tool ซึ่งสามารถเข้าถึงได้โดยตรงจากคอนโซล VTY ของเซิร์ฟเวอร์หรือเชื่อมต่อระยะไกลผ่าน SSH

ทางเลือกอื่นที่ใช้งานง่ายและยืดหยุ่นกว่าคือการจัดการ Samba4 AD Domain Controller ของเราผ่าน Microsoft Remote Server Administration Tools (RSAT) จากเวิร์กสเตชัน Windows ที่รวมอยู่ในโดเมน เครื่องมือเหล่านี้มีอยู่ในระบบ Windows สมัยใหม่เกือบทั้งหมด

ขั้นตอนการเข้าร่วม Windows 10 หรือ Microsoft OS เวอร์ชันเก่าใน Samba4 AD DC นั้นง่ายมาก ขั้นแรก ตรวจสอบให้แน่ใจว่าเวิร์กสเตชัน Windows 10 ของคุณมีที่อยู่ Samba4 DNS IP ที่ถูกต้องซึ่งกำหนดค่าไว้เพื่อสอบถามตัวแก้ไขขอบเขตที่เหมาะสม

เปิด แผงควบคุม -> เครือข่ายและอินเทอร์เน็ต -> ศูนย์เครือข่ายและการแบ่งปัน -> การ์ดอีเธอร์เน็ต -> คุณสมบัติ -> IPv4 -> คุณสมบัติ -> ใช้ที่อยู่เซิร์ฟเวอร์ DNS ต่อไปนี้และวางที่อยู่ IP ของ Samba4 AD ด้วยตนเองไปยังอินเทอร์เฟซเครือข่ายดังภาพประกอบด้านล่าง ภาพหน้าจอ

ในที่นี้ 192.168.1.254 คือที่อยู่ IP ของ Samba4 AD Domain Controller ที่รับผิดชอบในการแก้ไข DNS แทนที่ที่อยู่ IP ตามนั้น

10. จากนั้น ใช้การตั้งค่าเครือข่ายโดยกดปุ่ม ตกลง เปิด พร้อมรับคำสั่ง และออก ping เทียบกับชื่อโดเมนทั่วไปและโฮสต์ Samba4 FQDN เพื่อทดสอบว่าขอบเขตสามารถเข้าถึงได้ผ่านการแก้ไข DNS หรือไม่

ping tecmint.lan
ping adc1.tecmint.lan

11. หากตัวแก้ไขตอบสนองต่อการสืบค้น DNS ของไคลเอนต์ Windows อย่างถูกต้อง คุณจะต้องตรวจสอบให้แน่ใจว่าเวลานั้นซิงโครไนซ์กับขอบเขตอย่างถูกต้อง

เปิด แผงควบคุม -> นาฬิกา, ภาษา และ ภูมิภาค -> ตั้งเวลาและวันที่ -> แท็บเวลาอินเทอร์เน็ต -> เปลี่ยนการตั้งค่า และเขียนชื่อโดเมนของคุณในช่องซิงโครไนซ์กับและเซิร์ฟเวอร์เวลาอินเทอร์เน็ต

กดปุ่ม อัปเดตทันที เพื่อบังคับการซิงโครไนซ์เวลากับขอบเขต และกด ตกลง เพื่อปิดหน้าต่าง

12. สุดท้าย เข้าร่วมโดเมนโดยเปิด คุณสมบัติของระบบ -> เปลี่ยน -> สมาชิกของโดเมน เขียนของคุณ ชื่อโดเมน กด ตกลง ป้อนข้อมูลรับรองบัญชีผู้ดูแลระบบโดเมนของคุณ แล้วกด ตกลง อีกครั้ง

หน้าต่างป๊อปอัปใหม่ควรเปิดขึ้นมาเพื่อแจ้งว่าคุณเป็นสมาชิกของโดเมน กด ตกลง เพื่อปิดหน้าต่างป๊อปอัปและ รีบูต เครื่องเพื่อใช้การเปลี่ยนแปลงโดเมน

ภาพหน้าจอด้านล่างจะแสดงขั้นตอนเหล่านี้

13. หลังจากรีสตาร์ท ให้กดที่ผู้ใช้ อื่นๆ และเข้าสู่ระบบ Windows ด้วยบัญชีโดเมน Samba4 ที่มีสิทธิ์ระดับผู้ดูแลระบบ และคุณควรพร้อมที่จะไปยังขั้นตอนถัดไป

ขั้นตอนที่ 4: จัดการ Samba4 AD DC ด้วย RSAT

14. Microsoft Remote Server Administration Tools (RSAT) ซึ่งจะนำไปใช้เพิ่มเติมเพื่อจัดการ Samba4 Active Directory สามารถดาวน์โหลดได้จากลิงก์ต่อไปนี้ ขึ้นอยู่กับเวอร์ชัน Windows ของคุณ:

  1. วินโดวส์ 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. วินโดวส์ 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. วินโดวส์ 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. วินโดวส์ 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

เมื่อดาวน์โหลดแพ็คเกจตัวติดตั้งอัปเดตแบบสแตนด์อโลนสำหรับ Windows 10 ลงบนระบบของคุณแล้ว ให้เรียกใช้โปรแกรมติดตั้ง รอให้การติดตั้งเสร็จสิ้น และรีสตาร์ทเครื่องเพื่อใช้การอัปเดตทั้งหมด

หลังจาก รีบูต ให้เปิด แผงควบคุม -> โปรแกรม (ถอนการติดตั้งโปรแกรม) -> เปิดคุณลักษณะของ Windows เปิดหรือปิด และเลือกเครื่องมือการดูแลระบบเซิร์ฟเวอร์ระยะไกลทั้งหมด

คลิก ตกลง เพื่อเริ่มการติดตั้ง และหลังจากกระบวนการติดตั้งเสร็จสิ้น ให้รีสตาร์ทระบบ

15. หากต้องการเข้าถึงเครื่องมือ RSAT ให้ไปที่ แผงควบคุม -> ระบบและความปลอดภัย -> เครื่องมือการดูแลระบบ .

เครื่องมือนี้ยังสามารถพบได้ในเมนูเครื่องมือ การดูแลระบบ จากเมนูเริ่มต้น หรือคุณสามารถเปิด Windows MMC และเพิ่ม Snap-in โดยใช้เมนู ไฟล์ -> เพิ่ม/ลบ Snap-in

เครื่องมือที่ใช้บ่อยที่สุด เช่น AD UC, DNS และ การจัดการนโยบายกลุ่ม สามารถเปิดใช้งานได้โดยตรงจากเดสก์ท็อป โดยการสร้างทางลัดโดยใช้คุณลักษณะส่งไปยังจาก เมนู.

16. คุณสามารถตรวจสอบการทำงานของ RSAT ได้โดยเปิด AD UC และแสดงรายการคอมพิวเตอร์โดเมน (เครื่อง windows ที่เข้าร่วมใหม่ควรปรากฏในรายการ) สร้าง หน่วยองค์กร ใหม่ หรือผู้ใช้หรือกลุ่มใหม่

ตรวจสอบว่าผู้ใช้หรือกลุ่มถูกสร้างขึ้นอย่างถูกต้องหรือไม่โดยการออกคำสั่ง wbinfo จากฝั่งเซิร์ฟเวอร์ Samba4

แค่นั้นแหละ! ในส่วนถัดไปของหัวข้อนี้ เราจะกล่าวถึงประเด็นสำคัญอื่นๆ ของ Samba4 Active Directory ซึ่งสามารถจัดการได้ผ่าน RSAT เช่น วิธีจัดการเซิร์ฟเวอร์ DNS เพิ่ม DNS บันทึกและสร้างโซนการค้นหา DNS แบบย้อนกลับ วิธีจัดการและใช้นโยบายโดเมน และวิธีสร้างแบนเนอร์การเข้าสู่ระบบแบบโต้ตอบสำหรับผู้ใช้โดเมนของคุณ