使用 Windows 10 的 RSAT 工具來管理 Samba4 活動目錄架構 (三)

編譯自： http://www.tecmint.com/manage-samba4-ad-from-windows-via-rsat/ 
作者： Matei Cezar
譯者： rusking

這一節的Samba4 AD DC 架構系列文章，我們將會討論如何把 Windows 10 系統的電腦添加到 Samba4 域環境中，以及如何在 Windows 10 系統下管理域環境。

一旦 Windows 10 系統加入到 Samba4 AD DC ，我們就可以在 Windows 10 系統中創建、刪除或者禁用域用戶和組了，可以創建新的組織單元，創建、編輯和管理域策略，還可以管理 Samba4 域 DNS 服務。

上面所有的功能和其它一些複雜的與域管理相關的工作都可以通過 Windows 環境下的 RSAT 工具來完成—— Microsoft 遠程伺服器管理工具。

要求

1、 在 Ubuntu 系統上使用 Samba4 來創建活動目錄架構（一）[1]

2、 在 Linux 命令行下管理 Samba4 AD 架構（二）[2]

第一步：配置域時間同步

1、在使用 Windows 10 系統的 RSAT 工具來管理 Samba4 ADDC 之前，我們需要了解與活動目錄相關的一個很重要的服務，該服務要求精確的時間同步[3]。

在大多數的 Linux 發行版中，都由 NTP 進程提供時間同步機制。AD 環境默認允許最大的時間差距是 5 分鐘。

如果時間差距超過 5 分鐘，你將會遇到各種各樣的異常報錯，最嚴重的會影響到 AD 用戶、域成員伺服器或共享訪問等。

為了在 Ubuntu 系統中安裝網絡時間協議進程和 NTP 客戶端工具，可執行以下命令：

$ sudo apt-get install ntp ntpdate

在 Ubuntu 系統下安裝 NTP 服務

2、下一步，修改 NTP 配置文件，使用一個離你最近的 NTP 服務地址列表替換默認的 NTP 池服務列表。

NTP 伺服器地址列表可以從 NTP 地址庫項目官方網站獲取：http://www.pool.ntp.org/en/。

$ sudo nano /etc/ntp.conf

在每一行 pool 前添加一個 # 符號以注釋默認的伺服器列表，並替換為適合你的 NTP 伺服器地址，如下圖所示：

pool 0.ro.pool.ntp.org iburst

pool 1.ro.pool.ntp.org iburst

pool 2.ro.pool.ntp.org iburst

# Use Ubuntu's ntp server as a fallback.

pool 3.ro.pool.ntp.org

在 Ubuntu 系統下配置 NTP 服務

3、此時，先不要關閉該文件。移動光標到文件頂部，在 driftfile 參數後面添加下面一行內容。該設置是為了讓客戶端查詢該服務時使用 AD 的 NTP 籤署請求。

ntpsigndsocket /var/lib/samba/ntp_signd/

使用 NTP 來同步 AD

4、最後，移動光標到文件底部並添加如下一行內容，如截圖所示，僅允許網絡客戶端查詢該伺服器上的時間。

restrict default kod nomodify notrap nopeer mssntp

限制 NTP 服務的查詢客戶端

5、設置完成之後，保存並關閉 NTP 配置文件，為了讓 NTP 服務讀取 ntp_signed 目錄，需要授予 NTP 服務合適的權限。

以下是 Samba NTP socket 的系統路徑。之後，重啟 NTP 服務以應用更改，並使用 netstat 命令[4]與grep 過濾[5]相接合來檢查 NTP 服務是否正常。

$ sudo chown root:ntp /var/lib/samba/ntp_signd/

$ sudo chmod 750 /var/lib/samba/ntp_signd/

$ sudo systemctl restart ntp

$ sudo netstat –tulpn | grep ntp

給 NTP 服務授權

使用 ntpq 命令行工具來監控 NTP 進程，加上 -p 參數來顯示摘要信息。

$ ntpq -p

監控 NTP 伺服器池

第二步：處理 NTP 時間同步異常問題

6、有時候 NTP 進程在嘗試與上遊 ntp 服務端同步時間的計算過程中會卡住，導致客戶端使用 ntpdate工具手動強制同步時間時報如下錯誤：

# ntpdate -qu adc1

ntpdate[4472]: no server suitable for synchronization found

NTP 時間同步異常

ntpdate 命令加上 -d 調試選項：

# ntpdate -d adc1.tecmint.lan

Server dropped: Leap not in sync

NTP Server Dropped Leap Not in Sync

7、為了避免出現該問題，使用下面的方法來解決這個問題：在伺服器上停止 NTP 服務，使用 ntpdate客戶端工具加上 -b 參數指定外部 peer 地址來手動強制同步時間，如下圖所示：

# systemctl stop ntp.service

# ntpdate -b 2.ro.pool.ntp.org  [你的 ntp peer]

# systemctl start ntp.service

# systemctl status ntp.service

強制 NTP 時間同步

8、當時間正確同步之後，啟動伺服器上的 NTP 服務，並且在客戶端伺服器上執行如下命令來驗證 NTP 時間同步服務是否可用：

# ntpdate -du adc1.tecmint.lan    [你的 AD DC 伺服器]

驗證 NTP 時間同步

至此， NTP 服務應該已經工作正常了。

第三步：把 Windows 10 系統加入域環境

9、從我們的前一篇文章可以看出，Samba4 活動目錄可以使用 samba-tool 工具在命令行下管理[6]，可以直接在伺服器上的 VTY 控制臺或者通過 SSH 工具遠程連接到伺服器上進行管理。

另外，更直觀更靈活的方式是使用已加入域的 Windows 電腦中的微軟遠程伺服器管理工具（RSAT）來管理我們的 Samba4 AD 域控制器。這些工具在當前的大多數 Windows 系統中都可以使用。

把 Windows 10 或是之前版本的微軟作業系統加入到 Samba4 AD DC 環境中的過程也是非常容易的。首先，確保你的 Windows 10 電腦已經設置了正確的 Samba4 DNS 伺服器的 IP 地址，以查詢出準確的域解析結果。

打開「控制面板 -> 網絡和 Internet -> 網絡和共享中心 -> 網卡設置 -> 屬性 -> IPv4 -> 屬性 -> 使用下面的 DNS 伺服器地址」，並且手動輸入 Samba4 AD 伺服器的 IP 地址，如下圖所示：

把 Windows 10 加入到 Samba4 AD 環境

添加 DNS 和 Samba4 AD 伺服器地址

這裡的 192.168.1.254 是 Samba4 AD 域控伺服器的地址，用於域名解析。相應替換該 IP 地址。

10、下一步，點擊 OK 按鈕以應用網絡設置，打開 CMD 命令行窗口，通過 ping 域名和 Samba4 伺服器的 FQDN 地址來測試通過 DNS 解析到域是否連通。

ping tecmint.lan

ping adc1.tecmint.lan

檢查 Windows 和 Samb4 AD 伺服器的網絡連通性

11、如果 Windows 客戶端 DNS 查詢的結果解析正確，那麼，你還需要確認客戶端時間是否已跟域環境同步。

打開「控制面板 -> 時鐘、語言和區域 -> 設置時間和日期 -> Internet 時間頁 -> 更改設置」，輸入你同步時間的域名和 Internet 時間伺服器欄位。

點擊立即更新按鈕來強制與域同步時間，點擊 OK 關閉窗口。

與 Internet 伺服器同步時間

12、最後，通過打開「系統屬性 -> 更改 -> 域成員 -> 輸入域名」，點擊 OK，輸入你的域管理員帳號和密碼，再次點擊 OK。

應該彈出一個新的窗口通知你已經是一個域成員了。點擊 OK 關閉彈出窗口，並且重啟機器以應用域更改。

下面的截圖將說明這些操作步驟。

把 Windows 域加入到 Samba4 AD 環境

輸入域管理員帳號登錄

確認域已加入到 Samba4 AD 環境

重啟 Windows 伺服器以應用更改

13、重啟之後，單擊其它用戶並且使用具有管理員權限的 Samba4 域帳號登錄到 Windows 系統，你已經準備好進入到後邊幾個步驟了。

使用 Samba4 AD 帳號登錄到 Windows

第四步：使用 RSAT 工具來管理 Samba4 AD DC

14、微軟遠程伺服器管理工具（RSAT）被廣泛地用來管理 Samba4 活動目錄，你可以根據你的 Windows 系統版本從下面的地址來下載該工具：

Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520

Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296

Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972

Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

一旦 Windows 10 獨立安裝包下載完成，運行安裝包，等待安裝完成並重啟機器以應用所有更新。

重啟之後，打開「控制面板 -> 程序（卸載程序） -> 啟用或關閉 Windows 功能」，勾選所有的遠程伺服器管理工具。

點擊 OK 開始安裝，安裝完成之後重啟系統。

從 Windows 系統下管理 Samba4 AD

15、要進入 RSAT 工具集，打開「控制面板 -> 系統和安全 -> 管理工具」。

這些工具也可以在開始工菜單的管理工具菜單中找到。另外，你也可以打開 Windows MMC 工具和管理單元，從「文件 -> 添加/刪除管理單元」菜單中訪問它們。

訪問遠程伺服器管理工具集

最常用的工具，比如 AD UC ，DNS 和組策略管理工具可以通過從右鍵菜單發送到功能來新建快捷方式到桌面直接運行。

16、你可以通過 AD UC 和列出域裡的電腦（新加入的 Windows 機器應該出現在列表中）來驗證 RSAT 功能，創建一個組織單元或組。

在 Samba4 伺服器上使用 wbinf 命令來檢查用戶和組是否已經創建成功。

活動目錄用戶和計算機

創建組織單元和新用戶

確認 Samba4 AD 用戶

就這些吧！該主題的下一篇文章將包含其它 Samba4 活動目錄的重要內容，包括通過 RSAT 工具來管理 Samba4 活動目錄，比如，如何管理 DNS 伺服器，添加 DNS 記錄和創建 DNS 解析查詢區，如何管理及應用域策略以及域用戶如何創建交互式登錄提示信息。

作者簡介：我是一個電腦迷，開源軟體及 Linux 系統愛好者，有近4年的 Linux 桌面和伺服器系統及 bash 編程經驗。

via: http://www.tecmint.com/manage-samba4-ad-from-windows-via-rsat/

作者：Matei Cezar[7] 譯者：rusking 校對：wxy

本文由 LCTT[8] 原創編譯，Linux中國 榮譽推出

[1]: https://linux.cn/article-8065-1.html
[2]: https://linux.cn/article-8070-1.html
[3]: http://www.tecmint.com/how-to-synchronize-time-with-ntp-server-in-ubuntu-linux-mint-xubuntu-debian/
[4]: http://www.tecmint.com/20-netstat-commands-for-linux-network-management/
[5]: http://www.tecmint.com/12-practical-examples-of-linux-grep-command/
[6]: https://linux.cn/article-8070-1.html
[7]: http://www.tecmint.com/author/cezarmatei/
[8]: https://github.com/LCTT/TranslateProject