Administre la infraestructura de Active Directory Samba4 desde Windows10 a través de RSAT - Parte 3


En esta parte de la serie de infraestructura de Samba4 AD DC hablaremos sobre cómo unir una máquina Windows 10 en un reino Samba4 y cómo administrar el dominio desde un Windows 10 estación de trabajo.

Una vez que un sistema Windows 10 se haya unido a Samba4 AD DC , podemos crear, eliminar o deshabilitar usuarios y grupos de dominio, podemos crear nuevas Unidades organizativas , podemos crear, editar y administrar la política de dominio o podemos administrar el servicio DNS del dominio Samba4.

Todas las funciones anteriores y otras tareas complejas relacionadas con la administración de dominios se pueden lograr a través de cualquier plataforma moderna de Windows con la ayuda de RSAT - Microsoft Remote Server Administration Tools .

  1. Create an AD Infrastructure with Samba4 on Ubuntu 16.04 – Part 1
  2. Manage Samba4 AD Infrastructure from Linux Command Line – Part 2
  3. Manage Samba4 AD Domain Controller DNS and Group Policy from Windows – Part 4

Paso 1: Configurar la sincronización de la hora del dominio

1. Antes de comenzar a administrar ADDC Samba4 desde Windows 10 con la ayuda de RSAT , necesitamos saber y cuide de una pieza crucial del servicio requerido para un Active Directory y este servicio se refiere a la sincronización precisa de la hora.

La sincronización de tiempo puede ser ofrecida por el demonio NTP en la mayoría de las distribuciones de Linux. La discrepancia del período de tiempo máximo predeterminado que puede admitir un AD es de unos 5 minutos.

Si el período de tiempo de divergencia es superior a los minutos 5 , debe comenzar a experimentar varios errores, los más importantes relacionados con los usuarios de AD, las máquinas unidas o el acceso compartido.

Para instalar el daemon Protocolo de tiempo de red y la utilidad de cliente NTP en Ubuntu , ejecute el siguiente comando.

$ sudo apt-get install ntp ntpdate

2. A continuación, abra y edite el archivo de configuración NTP y reemplace la lista de servidores de grupos de NTP predeterminados por una nueva lista de servidores NTP ubicados geográficamente cerca de la ubicación de su equipo físico actual.

La lista de servidores NTP se puede obtener visitando la página web oficial del proyecto NTP Pool, http://www.pool.ntp.org/en/.

$ sudo nano /etc/ntp.conf

Comente la lista de servidores predeterminados agregando un # al frente de cada línea de grupo y agregue las líneas de grupo a continuación con sus servidores NTP adecuados como se ilustra en la captura de pantalla de abajo.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

# Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Ahora, no cierres el archivo todavía. Vaya al principio del archivo y agregue la línea siguiente después de la instrucción driftfile. Esta configuración permite a los clientes consultar el servidor mediante solicitudes NTP firmadas por AD.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Finalmente, vaya a la parte inferior del archivo y agregue la línea de abajo, como se ilustra en la captura de pantalla de abajo, que permitirá a los clientes de la red solo consultar la hora en el servidor.

restrict default kod nomodify notrap nopeer mssntp

5. Cuando haya terminado, guarde y cierre el archivo de configuración NTP y otorgue al servicio NTP los permisos adecuados para leer el directorio ntp_signed.

Esta es la ruta del sistema donde se encuentra el socket Samba NTP . Luego, reinicie el daemon NTP para aplicar los cambios y verifique si NTP tiene sockets abiertos en la tabla de red del sistema usando el comando netstat combinado con el filtro grep.

$ sudo chown root:ntp /var/lib/samba/ntp_signd/
$ sudo chmod 750 /var/lib/samba/ntp_signd/
$ sudo systemctl restart ntp
$ sudo netstat –tulpn | grep ntp

Use la utilidad de línea de comandos ntpq para monitorear el daemon NTP junto con el indicador -p para imprimir un resumen del estado de los compañeros.

$ ntpq -p

Paso 2: Solucionar problemas de tiempo NTP

6. A veces, el daemon NTP se queda atascado en los cálculos al intentar sincronizar la hora con un servidor servidor ntp ascendente, lo que genera los siguientes mensajes de error al intentar forzar manualmente la sincronización de tiempo ejecutando ntpdate utilidad en el lado del cliente:

# ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

cuando se utiliza el comando ntpdate con el indicador -d .

# ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Para evitar este problema, use el siguiente truco para resolverlo: en el servidor, detenga el servicio NTP y use la utilidad del cliente ntpdate para forzar manualmente la sincronización de tiempo con un par externo que usa la marca -b como se muestra a continuación:

# systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
# systemctl start ntp.service
# systemctl status ntp.service

8. Una vez que el tiempo se ha sincronizado con precisión, inicie el daemon NTP en el servidor y verifique desde el lado del cliente si el servicio está listo para servir a los clientes locales emitiendo el siguiente comando:

# ntpdate -du adc1.tecmint.lan    [your_adc_server]

Por ahora, el servidor NTP debería funcionar como se esperaba.

Paso 3: Únete a Windows 10 en Realm

9. Como vimos en nuestro tutorial anterior, Samba4 Active Directory se puede administrar desde la línea de comandos usando la interfaz de la herramienta samba-tool, a la que se puede acceder directamente desde la consola VTY del servidor o mediante una conexión remota a través de SSH.

Otra alternativa, más intuitiva y flexible, sería administrar nuestro Samba4 AD Domain Controller a través de Microsoft Remote Server Administration Tools (RSAT) desde una estación de trabajo Windows integrada en el dominio. Estas herramientas están disponibles en casi todos los sistemas modernos de Windows.

El proceso de unir Windows 10 o versiones anteriores de Microsoft OS en Samba4 AD DC es muy simple. Primero, asegúrese de que su estación de trabajo con Windows 10 tenga la dirección Samba4 DNS IP correcta configurada para consultar la resolución de reino adecuada.

Abra Panel de control - & gt; Red e Internet - & gt; Centro de redes y recursos compartidos - & gt; Tarjeta Ethernet - & gt; Propiedades - & gt; IPv4 - & gt; Propiedades - & gt; Use las siguientes direcciones de servidor DNS y coloque manualmente la dirección IP AD de Samba4 en la interfaz de red como se ilustra en las capturas de pantalla a continuación.

Aquí, 192.168.1.254 es la dirección IP del Samba4 AD Domain Controller responsable de la resolución del DNS. Reemplace la dirección IP en consecuencia.

10. A continuación, aplique la configuración de red presionando el botón Aceptar , abra un Símbolo del sistema y emita un ping contra el nombre de dominio genérico y el FQDN del host Samba4 para probar si se puede acceder al reino mediante la resolución DNS.

ping tecmint.lan
ping adc1.tecmint.lan

11. Si el resolvedor responde correctamente a las consultas de DNS del cliente de Windows, debe asegurarse de que la hora esté sincronizada con precisión con el reino.

Abra Panel de control - & gt; Reloj , Idioma y Región - & gt; Establecer hora y fecha - & gt; pestaña de hora de Internet - & gt; Cambiar configuración y escriba su nombre de dominio en Sincronizar con y en el campo del servidor de hora de Internet.

Presione el botón Actualizar ahora para forzar la sincronización de tiempo con el reino y presione Aceptar para cerrar la ventana.

12. Finalmente, únase al dominio abriendo Propiedades del sistema - & gt; Cambiar - & gt; Miembro del dominio , escriba su nombre de dominio, presione Aceptar , ingrese las credenciales administrativas de su dominio y presione Aceptar nuevamente.

Se abrirá una nueva ventana emergente que informa que eres miembro del dominio. Presione Aceptar para cerrar la ventana emergente y reiniciar la máquina para aplicar los cambios de dominio.

La siguiente captura de pantalla ilustrará estos pasos.

13. Después de reiniciar, presione sobre el usuario Otro e inicie sesión en Windows con una cuenta de dominio Samba4 con privilegios administrativos y debe estar listo para pasar al siguiente paso.

14. Herramientas de administración remota del servidor de Microsoft (RSAT) , que se utilizarán para administrar Active Directory Samba4 , se pueden descargar de los siguientes enlaces , dependiendo de tu versión de Windows:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Una vez que se haya descargado en su sistema el paquete de instalación independiente de actualización para Windows 10 , ejecute el instalador, espere a que finalice la instalación y reinicie la máquina para aplicar todas las actualizaciones.

Después de reiniciar , abra Panel de control - & gt; Programas ( Desinstalar un programa ) - & gt; Active o desactive las funciones de Windows y marque todas las Herramientas de administración remota del servidor .

Haga clic en Aceptar para iniciar la instalación y, una vez que finalice el proceso de instalación, reinicie el sistema.

15. Para acceder a RSAT , vaya a Panel de control - & gt; Sistema y seguridad - & gt; Herramientas administrativas .

Las herramientas también se pueden encontrar en el menú de herramientas Administrativas del menú de inicio. Alternativamente, puede abrir MMC de Windows y agregar complementos usando el Archivo - & gt; Agregar o quitar menú de complemento.

Las herramientas más utilizadas, como AD UC , DNS y Administración de políticas de grupo se pueden iniciar directamente desde el escritorio mediante la creación de accesos directos utilizando la función Enviar a de menú.

16. Puede verificar la función RSAT abriendo AD UC y enumerar las computadoras del dominio (la máquina de Windows recién incorporada debería aparecer en la lista), crear una nueva Unidad organizativa o un nuevo usuario o grupo.

Verifique si los usuarios o grupos se crearon correctamente emitiendo el comando wbinfo desde el lado del servidor Samba4.

¡Eso es! En la siguiente parte de este tema, cubriremos otros aspectos importantes de un Active Directory de Samba4 que se pueden administrar a través de RSAT , como la forma de administrar el servidor DNS, agregar DNS registra y crea una zona de búsqueda de DNS inversa, cómo administrar y aplicar la política de dominio y cómo crear un banner de inicio de sesión interactivo para los usuarios de su dominio.

Todos los derechos reservados © Linux-Console.net • 2019-2021