Administre la infraestructura de Active Directory Samba4 desde Windows10 a través de RSAT - Parte 3


En esta parte de la serie de infraestructura Samba4 AD DC, hablaremos sobre cómo unir una máquina con Windows 10 a un reino Samba4 y cómo administrar el dominio desde una estación de trabajo con Windows 10.

Una vez que un sistema Windows 10 se ha unido a Samba4 AD DC, podemos crear, eliminar o deshabilitar usuarios y grupos de dominio, podemos crear nuevas Unidades Organizacionales, podemos crear, editar y administrar la política de dominio o podemos administrar el servicio DNS de dominio de Samba4.

Todas las funciones anteriores y otras tareas complejas relacionadas con la administración de dominios se pueden lograr a través de cualquier plataforma moderna de Windows con la ayuda de RSAT - Microsoft Remote Server Administration Tools.

  1. Cree una infraestructura AD con Samba4 en Ubuntu 16.04 - Parte 1
  2. Administrar la infraestructura AD de Samba4 desde la línea de comandos de Linux - Parte 2
  3. Administrar el DNS del controlador de dominio AD Samba4 y la política de grupo desde Windows - Parte 4

Paso 1: configurar la sincronización de la hora del dominio

1. Antes de comenzar a administrar Samba4 ADDC desde Windows 10 con la ayuda de las herramientas RSAT, necesitamos conocer y ocuparnos de un servicio crucial requerido para un Active Directory y este servicio se refiere a la sincronización precisa de la hora.

El demonio NTP puede ofrecer sincronización de tiempo en la mayoría de las distribuciones de Linux. La discrepancia de período de tiempo máximo predeterminado que puede admitir un AD es de aproximadamente 5 minutos.

Si el período de tiempo de divergencia es superior a 5 minutos, debería comenzar a experimentar varios errores, los más importantes con respecto a los usuarios de AD, las máquinas unidas o el acceso compartido.

Para instalar el demonio Network Time Protocol y la utilidad de cliente NTP en Ubuntu, ejecute el siguiente comando.

$ sudo apt-get install ntp ntpdate

2. A continuación, abra y edite el archivo de configuración NTP y reemplace la lista de servidores del grupo NTP predeterminado con una nueva lista de servidores NTP que están ubicados geográficamente cerca de la ubicación de su equipo físico actual.

La lista de servidores NTP se puede obtener visitando la página web oficial de NTP Pool Project http://www.pool.ntp.org/en/.

$ sudo nano /etc/ntp.conf

Comente la lista de servidores predeterminados agregando un # delante de cada línea de grupo y agregue las siguientes líneas de grupo con sus servidores NTP adecuados como se ilustra en la siguiente captura de pantalla.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

# Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Ahora, no cierre el archivo todavía. Vaya a la parte superior del archivo y agregue la línea de abajo después de la instrucción driftfile. Esta configuración permite a los clientes consultar al servidor mediante solicitudes NTP firmadas por AD.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Finalmente, muévase a la parte inferior del archivo y agregue la línea de abajo, como se ilustra en la captura de pantalla a continuación, que permitirá a los clientes de red solo consultar la hora en el servidor.

restrict default kod nomodify notrap nopeer mssntp

5. Cuando termine, guarde y cierre el archivo de configuración NTP y otorgue al servicio NTP los permisos adecuados para leer el directorio ntp_signed.

Esta es la ruta del sistema donde se encuentra el socket Samba NTP. Luego, reinicie el demonio NTP para aplicar los cambios y verifique si NTP tiene sockets abiertos en la tabla de red de su sistema usando el filtro grep.

$ sudo chown root:ntp /var/lib/samba/ntp_signd/
$ sudo chmod 750 /var/lib/samba/ntp_signd/
$ sudo systemctl restart ntp
$ sudo netstat –tulpn | grep ntp

Utilice la utilidad de línea de comando ntpq para monitorear el demonio NTP junto con el indicador -p para imprimir un resumen del estado de los pares.

$ ntpq -p

Paso 2: solucionar problemas de tiempo de NTP

6. A veces, el demonio NTP se atasca en los cálculos al intentar sincronizar la hora con un servidor ntp ascendente, lo que genera los siguientes mensajes de error al intentar forzar manualmente la sincronización de la hora ejecutando la utilidad ntpdate en el lado del cliente:

# ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

cuando se usa el comando ntpdate con el indicador -d .

# ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Para evitar este problema, use el siguiente truco para resolver el problema: En el servidor, detenga el servicio NTP y use la utilidad de cliente ntpdate para forzar manualmente la sincronización de tiempo con un par externo usando el -b bandera como se muestra a continuación:

# systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
# systemctl start ntp.service
# systemctl status ntp.service

8. Una vez que la hora se haya sincronizado con precisión, inicie el demonio NTP en el servidor y verifique desde el lado del cliente si el servicio está listo para entregar la hora a los clientes locales emitiendo el siguiente comando:

# ntpdate -du adc1.tecmint.lan    [your_adc_server]

A estas alturas, el servidor NTP debería funcionar como se esperaba.

Paso 3: únete a Windows 10 en Realm

9. Como vimos en nuestro tutorial anterior, Samba4 Active Directory se puede administrar desde la línea de comandos utilizando la interfaz de la herramienta samba a la que se puede acceder directamente desde la consola VTY del servidor o conectarse de forma remota a través de SSH.

Otra alternativa más intuitiva y flexible sería administrar nuestro controlador de dominio Samba4 AD a través de las herramientas de administración remota del servidor (RSAT) de Microsoft desde una estación de trabajo de Windows integrada en el dominio. Estas herramientas están disponibles en casi todos los sistemas Windows modernos.

El proceso de unir Windows 10 o versiones anteriores del sistema operativo Microsoft en Samba4 AD DC es muy simple. Primero, asegúrese de que su estación de trabajo con Windows 10 tenga configurada la dirección IP de DNS Samba4 correcta para consultar el solucionador de dominio adecuado.

Abra el Panel de control -> Red e Internet -> Centro de redes y recursos compartidos -> Tarjeta Ethernet -> Propiedades -> IPv4 -> Propiedades -> Utilice las siguientes direcciones de servidor DNS y coloque manualmente la dirección IP de Samba4 AD en la interfaz de red como se ilustra en la debajo de las capturas de pantalla.

Aquí, 192.168.1.254 es la dirección IP del controlador de dominio Samba4 AD responsable de la resolución de DNS. Reemplace la dirección IP en consecuencia.

10. A continuación, aplique la configuración de red presionando el botón Aceptar, abra un símbolo del sistema y emita un ping contra el nombre de dominio genérico y el FQDN del host Samba4 para probar si el reino es accesible a través de la resolución de DNS.

ping tecmint.lan
ping adc1.tecmint.lan

11. Si el solucionador responde correctamente a las consultas de DNS del cliente de Windows, debe asegurarse de que la hora esté sincronizada con precisión con el reino.

Abra el Panel de control -> Reloj, idioma y región -> Establecer hora y fecha -> pestaña Hora de Internet -> Cambiar configuración y escriba su nombre de dominio en Sincronizar con el campo Servidor de hora de Internet.

Presione el botón Actualizar ahora para forzar la sincronización de tiempo con el reino y presione Aceptar para cerrar la ventana.

12. Finalmente, únase al dominio abriendo Propiedades del sistema -> Cambiar -> Miembro del dominio, escriba su nombre de dominio, presione OK, ingrese las credenciales de su cuenta administrativa de dominio y presione OK nuevamente.

Debería abrirse una nueva ventana emergente informándole que es miembro del dominio. Presione Aceptar para cerrar la ventana emergente y reiniciar la máquina para aplicar los cambios de dominio.

La siguiente captura de pantalla ilustrará estos pasos.

13. Después de reiniciar, presione Otro usuario e inicie sesión en Windows con una cuenta de dominio Samba4 con privilegios administrativos y debería estar listo para pasar al siguiente paso.

14. Las herramientas de administración de servidor remoto de Microsoft (RSAT), que se utilizarán más adelante para administrar Samba4 Active Directory, se pueden descargar de los siguientes enlaces, según su versión de Windows:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?idu003d45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?idu003d39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?idu003d28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?idu003d7887

Una vez que el paquete de instalación independiente de actualización para Windows 10 se haya descargado en su sistema, ejecute el instalador, espere a que finalice la instalación y reinicie la máquina para aplicar todas las actualizaciones.

Después de reiniciar, abra el Panel de control -> Programas (Desinstalar un programa) -> Active o desactive las funciones de Windows y marque todas las Herramientas de administración del servidor remoto.

Haga clic en Aceptar para iniciar la instalación y, una vez finalizado el proceso de instalación, reinicie el sistema.

15. Para acceder a las herramientas RSAT, vaya a Panel de control -> Sistema y seguridad -> Herramientas administrativas.

Las herramientas también se pueden encontrar en el menú Herramientas administrativas del menú de inicio. Alternativamente, puede abrir Windows MMC y agregar complementos usando el menú Archivo -> Agregar o quitar complemento.

Las herramientas más utilizadas, como AD UC, DNS y Group Policy Management se pueden iniciar directamente desde el escritorio creando accesos directos usando la función Enviar a del menú.

16. Puede verificar la funcionalidad RSAT abriendo AD UC y enumerar las computadoras del dominio (la máquina Windows recién unida debería aparecer en la lista), crear una nueva unidad organizativa o un nuevo usuario o grupo.

Verifique si los usuarios o grupos se han creado correctamente emitiendo el comando wbinfo desde el lado del servidor Samba4.

¡Eso es! En la siguiente parte de este tema, cubriremos otros aspectos importantes de un Active Directory Samba4 que se puede administrar a través de RSAT, como, por ejemplo, cómo administrar el servidor DNS, agregar registros DNS y crear una zona de búsqueda de DNS inversa, cómo administrar y aplicar política de dominio y cómo crear un banner de inicio de sesión interactivo para los usuarios de su dominio.