Administre la infraestructura de Active Directory Samba4 desde Windows10 a través de RSAT - Parte 3

Si el período de divergencia es superior a 5 minutos, debería comenzar a experimentar varios errores, los más importantes relacionados con usuarios de AD, máquinas unidas o acceso compartido.

Para instalar el demonio Network Time Protocol y la utilidad de cliente NTP en Ubuntu, ejecute el siguiente comando.

sudo apt-get install ntp ntpdate

2. A continuación, abra y edite el archivo de configuración NTP y reemplace la lista de servidores del grupo NTP predeterminado con una nueva lista de servidores NTP que están ubicados geográficamente cerca de la ubicación física actual de su equipo.

La lista de servidores NTP se puede obtener visitando la página web oficial del Proyecto NTP Pool http://www.pool.ntp.org/en/.

sudo nano /etc/ntp.conf

Comente la lista de servidores predeterminados agregando un # delante de cada línea del grupo y agregue las siguientes líneas del grupo con sus servidores NTP adecuados como se ilustra en la siguiente captura de pantalla.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Ahora, no cierres el archivo todavía. Vaya a la parte superior del archivo y agregue la línea siguiente después de la declaración del archivo de deriva. Esta configuración permite a los clientes consultar el servidor mediante solicitudes NTP firmadas por AD.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Finalmente, vaya al final del archivo y agregue la siguiente línea, como se ilustra en la siguiente captura de pantalla, que permitirá a los clientes de la red solo consultar la hora en el servidor.

restrict default kod nomodify notrap nopeer mssntp

5. Cuando termine, guarde y cierre el archivo de configuración NTP y otorgue al servicio NTP los permisos adecuados para leer el directorio ntp_signed.

Esta es la ruta del sistema donde se encuentra el socket Samba NTP. Luego, reinicie el demonio NTP para aplicar los cambios y verificar si NTP tiene sockets abiertos en la tabla de red de su sistema usando el comando netstat combinado con el filtro grep.

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

Utilice la utilidad de línea de comando ntpq para monitorear el demonio NTP junto con el indicador -p para imprimir un resumen del estado de los pares.

ntpq -p

Paso 2: solucionar problemas de tiempo NTP

6. A veces, el demonio NTP se atasca en los cálculos al intentar sincronizar la hora con un servidor ntp ascendente, lo que genera los siguientes mensajes de error al intentar forzar manualmente la sincronización de la hora ejecutando ntpdate utilidad en el lado del cliente:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

cuando se utiliza el comando ntpdate con el indicador -d.

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Para evitar este problema, utilice el siguiente truco para resolver el problema: en el servidor, detenga el servicio NTP y utilice la utilidad cliente ntpdate para forzar manualmente la sincronización horaria con un par externo usando el indicador -b como se muestra a continuación:

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. Después de que la hora se haya sincronizado con precisión, inicie el demonio NTP en el servidor y verifique desde el lado del cliente si el servicio está listo para cumplir la hora para los clientes locales emitiendo el siguiente comando:

ntpdate -du adc1.tecmint.lan    [your_adc_server]

A estas alturas, el servidor NTP debería funcionar como se esperaba.

Paso 3: Únete a Windows 10 en Realm

9. Como vimos en nuestro tutorial anterior, Samba4 Active Directory se puede administrar desde la línea de comandos usando la interfaz de la utilidad samba-tool a la que se puede acceder directamente desde la consola VTY del servidor o conectarse de forma remota a través de SSH.

Otra alternativa, más intuitiva y flexible, sería gestionar nuestro Controlador de Dominio AD Samba4 mediante Microsoft Remote Server Administration Tools (RSAT) desde una estación de trabajo Windows integrada en el dominio. Estas herramientas están disponibles en casi todos los sistemas Windows modernos.

El proceso de unir Windows 10 o versiones anteriores de Microsoft OS a Samba4 AD DC es muy sencillo. Primero, asegúrese de que su estación de trabajo Windows 10 tenga configurada la dirección IP DNS de Samba4 correcta para consultar el solucionador de dominio adecuado.

Abra el Panel de control -> Redes e Internet -> Centro de redes y recursos compartidos -> Tarjeta Ethernet -> Propiedades -> IPv4 -> Propiedades -> Utilice las siguientes direcciones de servidor DNS y coloque manualmente la dirección IP de Samba4 AD en la interfaz de red como se ilustra a continuación capturas de pantalla.

Aquí, 192.168.1.254 es la dirección IP del controlador de dominio AD Samba4 responsable de la resolución de DNS. Reemplace la dirección IP en consecuencia.

10. A continuación, aplique la configuración de red presionando el botón Aceptar, abra un Símbolo del sistema y emita un ping. contra el nombre de dominio genérico y el FQDN del host Samba4 para probar si se puede acceder al dominio a través de la resolución DNS.

ping tecmint.lan
ping adc1.tecmint.lan

11. Si el solucionador responde correctamente a las consultas DNS del cliente de Windows, entonces debe asegurarse de que la hora esté sincronizada con precisión con el dominio.

Abra el Panel de control -> Reloj, Idioma y Región -> Establecer hora y fecha -> Pestaña Hora de Internet -> Cambiar configuración y escriba su nombre de dominio en el campo Sincronizar con un servidor de hora de Internet.

Pulsa el botón Actualizar ahora para forzar la sincronización horaria con el reino y pulsa Aceptar para cerrar la ventana.

12. Finalmente, únete al dominio abriendo Propiedades del sistema -> Cambiar -> Miembro del dominio, escribe tu nombre de dominio, presione Aceptar, ingrese las credenciales de su cuenta administrativa de dominio y presione Aceptar nuevamente.

Debería abrirse una nueva ventana emergente informándole que es miembro del dominio. Presione Aceptar para cerrar la ventana emergente y reinicie la máquina para aplicar los cambios de dominio.

La siguiente captura de pantalla ilustrará estos pasos.

13. Después de reiniciar, presione Otro usuario e inicie sesión en Windows con una cuenta de dominio Samba4 con privilegios administrativos y debería estar listo para pasar al siguiente paso.

Paso 4: Administrar Samba4 AD DC con RSAT

14. Las herramientas de administración remota del servidor de Microsoft (RSAT), que se utilizarán posteriormente para administrar Samba4 Active Directory, se pueden descargar desde los siguientes enlaces , dependiendo de su versión de Windows:

1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Una vez que se haya descargado en su sistema el paquete de instalación independiente de actualización para Windows 10, ejecute el instalador, espere a que finalice la instalación y reinicie la máquina para aplicar todas las actualizaciones.

Después de reiniciar, abra el Panel de control -> Programas (Desinstalar un programa) -> Activar las funciones de Windows activar o desactivar y comprobar todas las herramientas de administración remota del servidor.

Haga clic en Aceptar para iniciar la instalación y, una vez finalizado el proceso de instalación, reinicie el sistema.

15. Para acceder a las herramientas RSAT, vaya a Panel de control -> Sistema y seguridad -> Herramientas administrativas .

Las herramientas también se pueden encontrar en el menú de herramientas administrativas del menú de inicio. Alternativamente, puede abrir Windows MMC y agregar complementos usando el menú Archivo -> Agregar o quitar complemento.

Las herramientas más utilizadas, como AD UC, DNS y Gestión de políticas de grupo se pueden iniciar directamente desde el escritorio creando accesos directos mediante la función Enviar a desde menú.

16. Puede verificar la funcionalidad de RSAT abriendo AD UC y enumerar las computadoras del dominio (la máquina Windows recién unida debería aparecer en la lista), crear una nueva Unidad organizativa o un nuevo usuario o grupo.

Verifique si los usuarios o grupos se crearon correctamente emitiendo el comando wbinfo desde el lado del servidor Samba4.

¡Eso es todo! En la siguiente parte de este tema cubriremos otros aspectos importantes de un Samba4 Active Directory que se puede administrar a través de RSAT, como por ejemplo, cómo administrar el servidor DNS, agregar DNS registros y crear una zona de búsqueda DNS inversa, cómo administrar y aplicar la política de dominio y cómo crear un banner de inicio de sesión interactivo para los usuarios de su dominio.