Ricerca nel sito web

Gestire l'infrastruttura Active Directory Samba4 da Windows10 tramite RSAT - Parte 3


In questa parte della serie sull'infrastruttura AD DC di Samba4 parleremo di come unire una macchina Windows 10 a un realm Samba4 e di come amministrare il dominio da un dominio Windows 10 postazioni di lavoro.

Una volta che un sistema Windows 10 è stato unito a Samba4 AD DC possiamo creare, rimuovere o disabilitare utenti e gruppi di dominio, possiamo creare nuove Unità organizzative , possiamo creare, modificare e gestire la policy del dominio oppure possiamo gestire il servizio DNS del dominio Samba4.

Tutte le funzioni di cui sopra e altre attività complesse relative all'amministrazione del dominio possono essere eseguite tramite qualsiasi moderna piattaforma Windows con l'aiuto di RSAT – Strumenti di amministrazione remota del server Microsoft.

Requisiti

  1. Creare un'infrastruttura AD con Samba4 su Ubuntu 16.04 – Parte 1
  2. Gestire l'infrastruttura AD Samba4 dalla riga di comando di Linux – Parte 2
  3. Gestire i DNS e i criteri di gruppo del controller di dominio AD Samba4 da Windows – Parte 4

Passaggio 1: configurare la sincronizzazione dell'ora del dominio

1. Prima di iniziare ad amministrare Samba4 ADDC da Windows 10 con l'aiuto degli strumenti RSAT, dobbiamo sapere e prenditi cura di un servizio cruciale richiesto per una Active Directory e questo servizio si riferisce alla precisa sincronizzazione dell'ora.

La sincronizzazione dell'ora può essere offerta dal demone NTP nella maggior parte delle distribuzioni Linux. La discrepanza del periodo di tempo massimo predefinito che un AD può supportare è di circa 5 minuti.

Se il periodo di divergenza è maggiore di 5 minuti, dovresti iniziare a riscontrare vari errori, soprattutto riguardanti gli utenti AD, le macchine unite o l'accesso condiviso.

Per installare il demone Network Time Protocol e l'utilità client NTP in Ubuntu, esegui il comando seguente.

sudo apt-get install ntp ntpdate

2. Successivamente, apri e modifica il file di configurazione NTP e sostituisci l'elenco di server del pool NTP predefinito con un nuovo elenco di server NTP che si trovano geograficamente vicino alla posizione attuale della tua attrezzatura fisica.

L'elenco dei server NTP può essere ottenuto visitando la pagina web ufficiale del progetto NTP Pool http://www.pool.ntp.org/en/.

sudo nano /etc/ntp.conf

Commenta l'elenco dei server predefiniti aggiungendo un # davanti a ciascuna riga del pool e aggiungi le righe del pool sottostanti con i server NTP corretti, come illustrato nello screenshot seguente.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Ora, non chiudere ancora il file. Spostati in alto nel file e aggiungi la riga seguente dopo l'istruzione driftfile. Questa configurazione consente ai client di interrogare il server utilizzando richieste NTP firmate AD.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Infine, spostati alla fine del file e aggiungi la riga seguente, come illustrato nello screenshot seguente, che consentirà ai client di rete solo di interrogare l'ora sul server.

restrict default kod nomodify notrap nopeer mssntp

5. Al termine, salva e chiudi il file di configurazione NTP e concedi al servizio NTP le autorizzazioni adeguate per leggere la directory ntp_signed.

Questo è il percorso di sistema in cui si trova il socket Samba NTP. Successivamente, riavvia il demone NTP per applicare le modifiche e verifica se NTP ha socket aperti nella tabella di rete del tuo sistema utilizzando il comando netstat combinato con il filtro grep.

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

Utilizza l'utilità della riga di comando ntpq per monitorare il demone NTP insieme al flag -p per stampare un riepilogo dello stato dei peer.

ntpq -p

Passaggio 2: risoluzione dei problemi relativi al tempo NTP

6. A volte il demone NTP si blocca nei calcoli mentre tenta di sincronizzare l'ora con un server peer ntp upstream, risultando nei seguenti messaggi di errore quando si tenta manualmente di forzare la sincronizzazione dell'ora eseguendo ntpdate utilità lato client:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

quando si utilizza il comando ntpdate con il flag -d.

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Per aggirare questo problema, utilizzare il seguente trucco: sul server, interrompere il servizio NTP e utilizzare l'utilità client ntpdate per forzare manualmente la sincronizzazione dell'ora con un peer esterno utilizzando il flag -b come mostrato di seguito:

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. Dopo che l'ora è stata accuratamente sincronizzata, avvia il demone NTP sul server e verifica dal lato client se il servizio è pronto a servire l'ora per i client locali emettendo il seguente comando:

ntpdate -du adc1.tecmint.lan    [your_adc_server]

A questo punto, il server NTP dovrebbe funzionare come previsto.

Passaggio 3: unisciti a Windows 10 in Realm

9. Come abbiamo visto nel nostro tutorial precedente, Samba4 Active Directory può essere gestito dalla riga di comando utilizzando l'interfaccia dell'utilità samba-tool a cui è possibile accedere direttamente dalla console VTY del server o connessa in remoto tramite SSH.

Un'altra alternativa, più intuitiva e flessibile, sarebbe quella di gestire il nostro controller di dominio AD Samba4 tramite Microsoft Remote Server Administration Tools (RSAT) da una workstation Windows integrata nel dominio. Questi strumenti sono disponibili in quasi tutti i moderni sistemi Windows.

Il processo di unione di Windows 10 o versioni precedenti di Microsoft OS a Samba4 AD DC è molto semplice. Innanzitutto, assicurati che la tua workstation Windows 10 abbia configurato l'indirizzo IP DNS Samba4 corretto per interrogare il risolutore di realm corretto.

Apri Pannello di controllo -> Rete e Internet -> Centro connessioni di rete e condivisione -> Scheda Ethernet -> Proprietà -> IPv4 -> Proprietà -> Utilizza i seguenti indirizzi del server DNS e posiziona manualmente l'indirizzo IP di Samba4 AD sull'interfaccia di rete come illustrato di seguito screenshot.

Qui, 192.168.1.254 è l'indirizzo IP del controller di dominio AD Samba4 responsabile della risoluzione DNS. Sostituire l'indirizzo IP di conseguenza.

10. Successivamente, applica le impostazioni di rete premendo il pulsante OK, apri un prompt dei comandi ed emetti un ping rispetto al nome di dominio generico e all'FQDN dell'host Samba4 per verificare se il realm è raggiungibile tramite la risoluzione DNS.

ping tecmint.lan
ping adc1.tecmint.lan

11. Se il risolutore risponde correttamente alle query DNS del client Windows, è necessario assicurarsi che l'ora sia accuratamente sincronizzata con il realm.

Apri Pannello di controllo -> Orologio, Lingua e Regione -> Imposta ora e data -> scheda Orario Internet -> Modifica impostazioni e scrivi il tuo nome di dominio nel campo Sincronizza con e Server temporale Internet.

Premi il pulsante Aggiorna ora per forzare la sincronizzazione dell'ora con il reame e premi OK per chiudere la finestra.

12. Infine, unisciti al dominio aprendo Proprietà del sistema -> Cambia -> Membro del dominio, scrivi il tuo nome di dominio, premi OK, inserisci le credenziali dell'account amministrativo del dominio e premi nuovamente OK.

Dovrebbe aprirsi una nuova finestra pop-up che informa che sei un membro del dominio. Premi OK per chiudere la finestra pop-up e riavvia la macchina per applicare le modifiche al dominio.

Lo screenshot seguente illustrerà questi passaggi.

13. Dopo il riavvio, premi su Altro utente e accedi a Windows con un account di dominio Samba4 con privilegi amministrativi e dovresti essere pronto per passare al passaggio successivo.

Passaggio 4: amministrare Samba4 AD DC con RSAT

14. Microsoft Remote Server Administration Tools (RSAT), che verrà ulteriormente utilizzato per amministrare Samba4 Active Directory, può essere scaricato dai seguenti collegamenti , a seconda della versione di Windows:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Una volta scaricato sul tuo sistema il pacchetto di installazione autonomo di aggiornamento per Windows 10, esegui il programma di installazione, attendi il completamento dell'installazione e riavvia il computer per applicare tutti gli aggiornamenti.

Dopo il riavvio, apri il Pannello di controllo -> Programmi (Disinstalla un programma) -> Attiva le funzionalità di Windows attiva o disattiva e seleziona tutti gli Strumenti di amministrazione remota del server.

Fai clic su OK per avviare l'installazione e, al termine del processo di installazione, riavvia il sistema.

15. Per accedere agli strumenti RSAT, vai su Pannello di controllo -> Sistema e sicurezza -> Strumenti di amministrazione .

Gli strumenti si trovano anche nel menu Strumenti di amministrazione dal menu Start. In alternativa, puoi aprire Windows MMC e aggiungere snap-in utilizzando il menu File -> Aggiungi/Rimuovi snap-in.

Gli strumenti più utilizzati, come AD UC, DNS e Gestione criteri di gruppo possono essere avviati direttamente dal desktop creando scorciatoie utilizzando la funzione Invia a da menù.

16. Puoi verificare la funzionalità RSAT aprendo AD UC ed elencare i computer del dominio (i computer Windows appena aggiunti dovrebbero apparire nell'elenco), creare un nuova unità organizzativa o un nuovo utente o gruppo.

Verificare se gli utenti o i gruppi sono stati creati correttamente eseguendo il comando wbinfo dal lato server Samba4.

Questo è tutto! Nella parte successiva di questo argomento tratteremo altri aspetti importanti di una Active Directory Samba4 che può essere amministrata tramite RSAT, ad esempio come gestire il server DNS, aggiungere DNS record e creare una zona di ricerca DNS inversa, come gestire e applicare i criteri del dominio e come creare un banner di accesso interattivo per gli utenti del tuo dominio.