ウェブサイト検索

Windows10 から RSAT 経由で Samba4 Active Directory インフラストラクチャを管理する - パート 3

Samba4 AD DC インフラストラクチャ シリーズのこのパートでは、Windows 10 マシンを Samba4 レルムに参加させる方法と、Windows からドメインを管理する方法について説明します。 10 台のワークステーション。

Windows 10 システムが Samba4 AD DC に参加すると、ドメイン ユーザーとグループを作成、削除、または無効化したり、新しい組織単位を作成したりできます。 > では、ドメイン ポリシーを作成、編集、管理するか、Samba4 ドメイン DNS サービスを管理できます。

上記のすべての機能とドメイン管理に関するその他の複雑なタスクは、RSAT – Microsoft リモート サーバー管理ツール を利用して、最新の Windows プラットフォーム経由で実行できます。

要件

  1. Ubuntu 16.04 で Samba4 を使用して AD インフラストラクチャを作成する – パート 1
  2. Linux コマンドラインから Samba4 AD インフラストラクチャを管理する – パート 2
  3. Windows から Samba4 AD ドメイン コントローラーの DNS とグループ ポリシーを管理する – パート 4

ステップ 1: ドメイン時刻同期を構成する

1.RSAT ツールを使用して Windows 10 から Samba4 ADDC の管理を開始する前に、次のことを理解しておく必要があります。そしてActive Directoryに必要な重要なサービスを処理します。このサービスは正確な時刻同期を指します。

時刻同期は、ほとんどの Linux ディストリビューションのNTP デーモンによって提供できます。 AD がサポートできるデフォルトの最大期間の不一致は約 5 分です。

乖離時間が 5 分を超えると、さまざまなエラーが発生し始めます。これは、AD ユーザー、参加しているマシン、または共有アクセスに関して最も重要です。

ネットワーク タイム プロトコルデーモンとNTPクライアント ユーティリティをUbuntuにインストールするには、以下のコマンドを実行します。

sudo apt-get install ntp ntpdate

2. 次に、NTP 構成ファイルを開いて編集し、デフォルトの NTP プール サーバー リストを、地理的に現在の物理機器の場所に近い NTP サーバーの新しいリストに置き換えます。

NTP サーバーのリストは、NTP プール プロジェクトの公式 Web ページ http://www.pool.ntp.org/en/ にアクセスして入手できます。

sudo nano /etc/ntp.conf

各プール行の前に # を追加してデフォルトのサーバー リストをコメント化し、以下のスクリーンショットに示すように、適切な NTP サーバーを含む以下のプール行を追加します。

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. ここで、まだファイルを閉じないでください。ファイルの先頭に移動し、driftfile ステートメントの後に以下の行を追加します。この設定により、クライアントは AD 署名付き NTP 要求を使用してサーバーにクエリを実行できるようになります。

ntpsigndsocket /var/lib/samba/ntp_signd/

4. 最後に、ファイルの最後に移動して、以下のスクリーンショットに示すように、以下の行を追加します。これにより、ネットワーク クライアントはサーバー上の時刻のクエリのみを許可されます。

restrict default kod nomodify notrap nopeer mssntp

5. 終了したら、NTP 構成ファイルを保存して閉じ、ntp_signed ディレクトリを読み取るための適切なアクセス許可を NTP サービスに付与します。

これはSamba NTP ソケットが配置されているシステム パスです。その後、NTP デーモンを再起動して変更を適用し、netstat コマンドと grep フィルターを組み合わせて、NTP がシステム ネットワーク テーブルに開いているソケットがあるかどうかを確認します。

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

ntpq コマンド ライン ユーティリティを使用して、-p フラグとともに NTP デーモンを監視し、ピア状態の概要を出力します。

ntpq -p

ステップ 2: NTP 時間の問題のトラブルシューティング

6. アップストリームの NTP サーバー ピアと時刻を同期しようとしているときに、NTP デーモンが計算中にスタックすることがあり、ntpdate を実行して手動で時刻同期を強制しようとすると、次のエラー メッセージが表示されます。 > クライアント側のユーティリティ:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

-d フラグを指定して ntpdate コマンドを使用する場合。

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. この問題を回避するには、次の方法を使用して問題を解決します。 サーバー上で NTP サービスを停止し、ntpdate クライアント ユーティリティを使用して手動で時刻同期を強制します。以下に示すように、-b フラグを使用した外部ピア。

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. 時刻が正確に同期されたら、サーバー上で NTP デーモンを起動し、次のコマンドを発行して、サービスがローカル クライアントに時刻を提供する準備ができているかどうかをクライアント側から確認します。

ntpdate -du adc1.tecmint.lan    [your_adc_server]

ここまでで、NTP サーバーは期待どおりに動作するはずです。

ステップ 3: Windows 10 をレルムに参加させる

9. 前のチュートリアルで説明したように、Samba4 Active Directory は、サーバーの VTY コンソールから直接アクセスするか、SSH 経由でリモート接続できる samba-tool ユーティリティ インターフェイスを使用してコマンド ラインから管理できます。

より直感的で柔軟な他の方法は、ドメインに統合された Windows ワークステーションからMicrosoft リモート サーバー管理ツール (RSAT) を介して Samba4 AD ドメイン コントローラーを管理することです。これらのツールは、ほとんどすべての最新の Windows システムで利用できます。

Windows 10 またはそれ以前のバージョンのMicrosoft OS を Samba4 AD DC に参加させるプロセスは非常に簡単です。まず、適切なレルム リゾルバーを照会するために、Windows 10 ワークステーションに正しいSamba4 DNS IP アドレスが設定されていることを確認します。

コントロール パネル -> ネットワークとインターネット -> ネットワークと共有センター -> イーサネット カード -> を開きます。 > プロパティ -> IPv4 -> プロパティ -> 次の DNS サーバー アドレスを使用し、以下に示すように Samba4 AD IP アドレスをネットワーク インターフェイスに手動で配置します。スクリーンショット。

ここで、192.168.1.254 は、DNS 解決を担当する Samba4 AD ドメイン コントローラーの IP アドレスです。 IP アドレスを適宜置き換えてください。

10. 次に、OK ボタンをクリックしてネットワーク設定を適用し、コマンド プロンプトを開き、ping を発行します。 DNS 解決を通じてレルムに到達できるかどうかをテストするために、汎用ドメイン名と Samba4 ホスト FQDN に対してテストします。

ping tecmint.lan
ping adc1.tecmint.lan

11. リゾルバーが Windows クライアントの DNS クエリに正しく応答する場合は、時刻がレルムと正確に同期していることを確認する必要があります。

コントロール パネルを開く -> 時計言語地域 -> 時刻と日付の設定 > -> [インターネット時間] タブ -> 設定を変更し、[同期とインターネット タイム サーバー] フィールドにドメイン名を入力します。

[今すぐ更新] ボタンをクリックしてレルムとの時刻同期を強制し、OK をクリックしてウィンドウを閉じます。

12. 最後に、システム プロパティ -> 変更 -> ドメインのメンバーを開いてドメインに参加し、ドメイン名を入力し、OK を押し、ドメイン管理者アカウントの資格情報を入力して、再度 OK を押します。

新しいポップアップ ウィンドウが開き、ドメインのメンバーであることが通知されます。 [OK] をクリックしてポップアップ ウィンドウを閉じ、ドメインの変更を適用するためにマシンを再起動します。

以下のスクリーンショットは、これらの手順を示しています。

13. 再起動後、[その他] ユーザーを選択し、管理者権限を持つ Samba4 ドメイン アカウントで Windows にログオンすると、次のステップに進む準備が整います。

ステップ 4: RSAT を使用して Samba4 AD DC を管理する

14. Samba4 Active Directory の管理にさらに使用される Microsoft リモート サーバー管理ツール (RSAT) は、次のリンクからダウンロードできます。 Windows のバージョンに応じて、次のようになります。

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Windows 10 のアップデート スタンドアロン インストーラー パッケージがシステムにダウンロードされたら、インストーラーを実行し、インストールが完了するまで待ち、マシンを再起動してすべてのアップデートを適用します。

再起動後、コントロール パネル -> プログラム (プログラムのアンインストール) -> Windows の機能を有効にする を開きます。オンまたはオフにして、 すべてのリモート サーバー管理ツールをオンにします。

[OK] をクリックしてインストールを開始し、インストール プロセスが完了したらシステムを再起動します。

15. RSAT ツールにアクセスするには、コントロール パネル -> システムとセキュリティ -> 管理ツール に移動します。 です。

これらのツールは、スタート メニューの管理ツール メニューにもあります。または、Windows MMC を開いて、ファイル -> 追加と削除 スナップイン メニューを使用してスナップインを追加することもできます。

AD UCDNSグループ ポリシー管理などの最もよく使用されるツールは、[送信] 機能を使用してショートカットを作成することでデスクトップから直接起動できます。メニュー。

16. AD UC を開いてドメイン コンピュータを一覧表示することで、RSAT の機能を確認できます (新しく参加した Windows マシンがリストに表示されます)。新しい組織単位、または新しいユーザーまたはグループ。

Samba4 サーバー側から wbinfo コマンドを発行して、ユーザーまたはグループが正しく作成されたかどうかを確認します。

それでおしまい!このトピックの次の部分では、DNS サーバーの管理方法、DNS の追加方法など、RSAT 経由で管理できる Samba4 Active Directory の他の重要な側面について説明します。 DNS 逆引き参照ゾーンの記録と作成、ドメイン ポリシーの管理と適用方法、ドメイン ユーザー用の対話型ログオン バナーの作成方法について説明します。