RSATを介してWindows10からSamba4ActiveDirectoryインフラストラクチャを管理する-パート3


Samba4 AD DCインフラストラクチャシリーズのこのパートでは、Windows 10マシンをSamba4レルムに参加させる方法と、Windows10ワークステーションからドメインを管理する方法について説明します。

Windows10システムがSamba4AD DCに参加すると、ドメインユーザーとグループを作成、削除、または無効にしたり、新しい組織単位を作成したり、ドメインポリシーを作成、編集、管理したり、Samba4ドメインDNSサービスを管理したりできます。

上記のすべての機能およびドメイン管理に関するその他の複雑なタスクは、RSAT(Microsoftリモートサーバー管理ツール)を使用して、最新のWindowsプラットフォームを介して実行できます。

  1. Create an AD Infrastructure with Samba4 on Ubuntu 16.04 – Part 1
  2. Manage Samba4 AD Infrastructure from Linux Command Line – Part 2
  3. Manage Samba4 AD Domain Controller DNS and Group Policy from Windows – Part 4

手順1:ドメイン時刻の同期を構成する

1.RSATツールを使用してWindows10からSamba4ADDCの管理を開始する前に、Active Directoryに必要な重要なサービスを把握して処理する必要があります。このサービスは、正確な時刻同期を指します。

時間同期は、ほとんどのLinuxディストリビューションのNTPデーモンによって提供できます。 ADがサポートできるデフォルトの最大期間の不一致は約5分です。

分岐時間が5分を超える場合は、さまざまなエラーが発生し始めるはずです。これは、ADユーザー、参加しているマシン、または共有アクセスに関して最も重要です。

ネットワークタイムプロトコルデーモンとNTPクライアントユーティリティをUbuntuにインストールするには、以下のコマンドを実行します。

$ sudo apt-get install ntp ntpdate

2.次に、NTP構成ファイルを開いて編集し、デフォルトのNTPプールサーバーリストを、現在の物理機器の場所の近くに地理的に配置されているNTPサーバーの新しいリストに置き換えます。

NTPサーバーのリストは、NTPプールプロジェクトの公式Webページhttp://www.pool.ntp.org/en/にアクセスして入手できます。

$ sudo nano /etc/ntp.conf

以下のスクリーンショットに示すように、各プール行の前にを追加してデフォルトのサーバーリストにコメントを付け、適切なNTPサーバーを使用して以下のプール行を追加します。

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

# Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3.ここで、まだファイルを閉じないでください。ファイルの先頭に移動し、driftfileステートメントの後に以下の行を追加します。この設定により、クライアントはAD署名付きNTP要求を使用してサーバーにクエリを実行できます。

ntpsigndsocket /var/lib/samba/ntp_signd/

4.最後に、ファイルの最後に移動し、以下のスクリーンショットに示すように、以下の行を追加します。これにより、ネットワーククライアントはサーバー上の時刻のみを照会できます。

restrict default kod nomodify notrap nopeer mssntp

5.終了したら、NTP構成ファイルを保存して閉じ、ntp_signedディレクトリを読み取るための適切なアクセス許可をNTPサービスに付与します。

これは、SambaNTPソケットが配置されているシステムパスです。その後、NTPデーモンを再起動して変更を適用し、netstatコマンドとgrepフィルターを組み合わせて、NTPのシステムネットワークテーブルにオープンソケットがあるかどうかを確認します。

$ sudo chown root:ntp /var/lib/samba/ntp_signd/
$ sudo chmod 750 /var/lib/samba/ntp_signd/
$ sudo systemctl restart ntp
$ sudo netstat –tulpn | grep ntp

ntpqコマンドラインユーティリティを使用して、ピアの状態の概要を出力するために、 -p フラグとともにNTPデーモンを監視します。

$ ntpq -p

ステップ2:NTP時間の問題のトラブルシューティング

6.アップストリームのntpサーバーピアと時刻を同期しようとすると、NTPデーモンが計算でスタックし、クライアント側でntpdateユーティリティを実行して手動で時刻の同期を強制しようとすると、次のエラーメッセージが表示されることがあります。

# ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

-d フラグを指定してntpdateコマンドを使用する場合。

# ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7.この問題を回避するには、次のトリックを使用して問題を解決します。サーバーでNTPサービスを停止し、ntpdateクライアントユーティリティを使用して、 -b を使用して外部ピアとの時刻同期を手動で強制します。以下に示すフラグ:

# systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
# systemctl start ntp.service
# systemctl status ntp.service

8.時刻が正確に同期されたら、サーバーでNTPデーモンを起動し、次のコマンドを発行して、サービスがローカルクライアントに時刻を提供する準備ができているかどうかをクライアント側から確認します。

# ntpdate -du adc1.tecmint.lan    [your_adc_server]

これで、NTPサーバーは期待どおりに機能するはずです。

ステップ3:Windows10をレルムに参加させる

9.前のチュートリアルで見たように、Samba4 Active Directoryは、サーバーのVTYコンソールから直接アクセスするか、SSHを介してリモート接続できるsamba-toolユーティリティインターフェイスを使用してコマンドラインから管理できます。

他の、より直感的で柔軟な代替手段は、ドメインに統合されたWindowsワークステーションからMicrosoftリモートサーバー管理ツール(RSAT)を介してSamba4ADドメインコントローラーを管理することです。これらのツールは、ほとんどすべての最新のWindowsシステムで使用できます。

Windows10以前のバージョンのMicrosoftOSをSamba4ADDCに結合するプロセスは非常に簡単です。まず、適切なレルムリゾルバーを照会するために、Windows10ワークステーションに正しいSamba4DNSIPアドレスが構成されていることを確認します。

[コントロールパネル]-> [ネットワークとインターネット]-> [ネットワークと共有センター]-> [イーサネットカード]-> [プロパティ]-> [IPv4-]-> [プロパティ]->次のDNSサーバーアドレスを使用し、Samba4 ADIPアドレスをネットワークインターフェイスに手動で配置します。以下のスクリーンショット。

ここで、192.168.1.254は、DNS解決を担当するSamba4ADドメインコントローラーのIPアドレスです。それに応じてIPアドレスを置き換えます。

10.次に、[OK]ボタンを押してネットワーク設定を適用し、コマンドプロンプトを開き、DNS解決を通じてレルムに到達できるかどうかをテストするために、汎用ドメイン名とSamba4ホストFQDNに対してpingを発行します。

ping tecmint.lan
ping adc1.tecmint.lan

11.リゾルバーがWindowsクライアントのDNSクエリに正しく応答する場合は、時刻がレルムと正確に同期されていることを確認する必要があります。

[コントロールパネル]-> [時計、言語、地域]-> [時刻と日付の設定]-> [インターネット時刻]タブ-> [設定の変更]を開き、[インターネットタイムサーバーと同期]フィールドにドメイン名を入力します。

[今すぐ更新]ボタンを押してレルムとの時刻同期を強制し、[OK]を押してウィンドウを閉じます。

12.最後に、[システムのプロパティ]-> [変更]-> [ドメインのメンバー]を開いてドメインに参加し、ドメイン名を入力して[OK]をクリックし、ドメイン管理者アカウントの資格情報を入力して、もう一度[OK]をクリックします。

ドメインのメンバーであることを通知する新しいポップアップウィンドウが開きます。 [OK]をクリックしてポップアップウィンドウを閉じ、ドメインの変更を適用するためにマシンを再起動します。

以下のスクリーンショットは、これらの手順を示しています。

13.再起動後、[その他のユーザー]をクリックし、管理者権限を持つSamba4ドメインアカウントでWindowsにログオンすると、次の手順に進む準備が整います。

14. Samba4 ActiveDirectoryの管理にさらに使用されるMicrosoftRemote Server Administration Tools(RSAT)は、Windowsのバージョンに応じて、次のリンクからダウンロードできます。

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Windows 10のスタンドアロンインストーラーパッケージの更新プログラムがシステムにダウンロードされたら、インストーラーを実行し、インストールが完了するのを待ってから、マシンを再起動してすべての更新プログラムを適用します。

再起動後、[コントロールパネル]-> [プログラム](プログラムのアンインストール)-> [Windowsの機能をオンまたはオフにする]を開き、すべてのリモートサーバー管理ツールを確認します。

[OK]をクリックしてインストールを開始し、インストールプロセスが終了したら、システムを再起動します。

15. RSATツールにアクセスするには、[コントロールパネル]-> [システムとセキュリティ]-> [管理ツール]に移動します。

ツールは、スタートメニューの[管理ツール]メニューにもあります。または、Windows MMCを開き、[ファイル]-> [スナップインの追加と削除]メニューを使用してスナップインを追加することもできます。

AD UC、DNS、グループポリシー管理などの最もよく使用されるツールは、メニューから[送信]機能を使用してショートカットを作成することにより、デスクトップから直接起動できます。

16. AD UCを開いてドメインコンピューターを一覧表示し(新しく参加したWindowsマシンが一覧に表示されます)、RSAT機能を確認し、新しい組織単位または新しいユーザーまたはグループを作成できます。

Samba4サーバー側からwbinfoコマンドを発行して、ユーザーまたはグループが適切に作成されているかどうかを確認します。

それでおしまい!このトピックの次のパートでは、DNSサーバーの管理方法、DNSレコードの追加方法、逆引きDNSルックアップゾーンの作成方法、管理と適用方法など、RSATを介して管理できるSamba4 ActiveDirectoryの他の重要な側面について説明します。ドメインポリシーと、ドメインユーザー用のインタラクティブログオンバナーを作成する方法。