Pesquisa de site

Gerencie a infraestrutura do Samba4 Active Directory do Windows10 via RSAT - Parte 3

Nesta parte da série de infraestrutura do Samba4 AD DC, falaremos sobre como unir uma máquina Windows 10 em um domínio Samba4 e como administrar o domínio a partir de um domínio Windows 10 estação de trabalho.

Depois que um sistema Windows 10 for associado ao Samba4 AD DC, podemos criar, remover ou desabilitar usuários e grupos de domínio, podemos criar novas Unidades Organizacionais >, podemos criar, editar e gerenciar a política de domínio ou podemos gerenciar o serviço DNS do domínio Samba4.

Todas as funções acima e outras tarefas complexas relativas à administração de domínio podem ser realizadas através de qualquer plataforma Windows moderna com a ajuda de RSAT – Microsoft Remote Server Administration Tools.

Requisitos

  1. Crie uma infraestrutura AD com Samba4 no Ubuntu 16.04 – Parte 1
  2. Gerencie a infraestrutura do Samba4 AD a partir da linha de comando do Linux – Parte 2
  3. Gerenciar DNS do controlador de domínio Samba4 AD e política de grupo do Windows – Parte 4

Etapa 1: configurar a sincronização de horário do domínio

1. Antes de começar a administrar o Samba4 ADDC no Windows 10 com a ajuda das ferramentas RSAT, precisamos saber e cuidar de um serviço crucial necessário para um Active Directory e este serviço refere-se à sincronização de horário precisa.

A sincronização de horário pode ser oferecida pelo daemon NTP na maioria das distribuições Linux. A discrepância de período máximo padrão que um AD pode suportar é de cerca de 5 minutos.

Se o período de divergência for superior a 5 minutos, você deverá começar a enfrentar vários erros, os mais importantes relacionados aos usuários do AD, máquinas unidas ou acesso compartilhado.

Para instalar o daemon Network Time Protocol e o utilitário cliente NTP no Ubuntu, execute o comando abaixo.

sudo apt-get install ntp ntpdate

2. Em seguida, abra e edite o arquivo de configuração NTP e substitua a lista de servidores de pool NTP padrão por uma nova lista de servidores NTP que estão geograficamente localizados próximos à localização de seu equipamento físico atual.

A lista de servidores NTP pode ser obtida visitando a página oficial do NTP Pool Project http://www.pool.ntp.org/en/.

sudo nano /etc/ntp.conf

Comente a lista de servidores padrão adicionando um # na frente de cada linha do pool e adicione as linhas do pool abaixo com seus servidores NTP adequados, conforme ilustrado na captura de tela abaixo.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Agora, não feche o arquivo ainda. Vá para o topo do arquivo e adicione a linha abaixo após a instrução driftfile. Esta configuração permite que os clientes consultem o servidor usando solicitações NTP assinadas pelo AD.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Por fim, vá para o final do arquivo e adicione a linha abaixo, conforme ilustrado na captura de tela abaixo, que permitirá que os clientes da rede consultem apenas a hora no servidor.

restrict default kod nomodify notrap nopeer mssntp

5. Quando terminar, salve e feche o arquivo de configuração NTP e conceda ao serviço NTP as permissões adequadas para ler o diretório ntp_signed.

Este é o caminho do sistema onde o soquete Samba NTP está localizado. Depois, reinicie o daemon NTP para aplicar as alterações e verifique se o NTP possui soquetes abertos na tabela de rede do sistema usando o comando netstat combinado com o filtro grep.

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

Use o utilitário de linha de comando ntpq para monitorar o daemon NTP junto com o sinalizador -p para imprimir um resumo do estado dos pares.

ntpq -p

Etapa 2: solucionar problemas de horário NTP

6. Às vezes, o daemon NTP fica preso nos cálculos ao tentar sincronizar a hora com um peer do servidor NTP upstream, resultando nas seguintes mensagens de erro ao tentar forçar manualmente a sincronização de hora executando ntpdate utilitário no lado do cliente:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

ao usar o comando ntpdate com sinalizador -d.

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Para contornar esse problema, use o seguinte truque para resolvê-lo: No servidor, interrompa o serviço NTP e use o utilitário cliente ntpdate para forçar manualmente a sincronização de horário com um par externo usando o sinalizador -b conforme mostrado abaixo:

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. Depois que o horário tiver sido sincronizado com precisão, inicie o daemon NTP no servidor e verifique no lado do cliente se o serviço está pronto para atender o horário para clientes locais emitindo o seguinte comando:

ntpdate -du adc1.tecmint.lan    [your_adc_server]

Até agora, o servidor NTP deve funcionar conforme o esperado.

Etapa 3: junte-se ao Windows 10 no Realm

9. Como vimos em nosso tutorial anterior, o Samba4 Active Directory pode ser gerenciado a partir da linha de comando usando a interface do utilitário samba-tool, que pode ser acessada diretamente do console VTY do servidor ou conectada remotamente por meio de SSH.

Outra alternativa, mais intuitiva e flexível, seria gerenciar nosso Controlador de Domínio Samba4 AD via Ferramentas de Administração Remota de Servidor Microsoft (RSAT) a partir de uma estação de trabalho Windows integrada ao domínio. Essas ferramentas estão disponíveis em quase todos os sistemas Windows modernos.

O processo de adesão do Windows 10 ou versões anteriores do sistema operacional Microsoft ao Samba4 AD DC é muito simples. Primeiro, certifique-se de que sua estação de trabalho Windows 10 tenha o endereço Samba4 DNS IP correto configurado para consultar o resolvedor de domínio adequado.

Abra o Painel de controle -> Rede e Internet -> Centro de Rede e Compartilhamento -> placa Ethernet -> Propriedades -> IPv4 -> Propriedades -> Use os seguintes endereços de servidor DNS e coloque manualmente o endereço IP do Samba4 AD na interface de rede, conforme ilustrado abaixo capturas de tela.

Aqui, 192.168.1.254 é o endereço IP do controlador de domínio Samba4 AD responsável pela resolução de DNS. Substitua o endereço IP adequadamente.

10. Em seguida, aplique as configurações de rede clicando no botão OK, abra um Prompt de comando e emita um ping contra o nome de domínio genérico e o FQDN do host Samba4 para testar se o domínio é acessível por meio da resolução DNS.

ping tecmint.lan
ping adc1.tecmint.lan

11. Se o resolvedor responder corretamente às consultas DNS do cliente Windows, você precisará garantir que a hora esteja sincronizada com precisão com o domínio.

Abra o Painel de Controle -> Relógio, Idioma e Região -> Definir hora e data > -> guia Horário da Internet -> Alterar configurações e escreva seu nome de domínio no campo Sincronizar com e servidor de horário na Internet.

Clique no botão Atualizar agora para forçar a sincronização de horário com o reino e clique em OK para fechar a janela.

12. Por fim, junte-se ao domínio abrindo Propriedades do Sistema -> Alterar -> Membro do Domínio, escreva seu nome de domínio, clique em OK, insira as credenciais da conta administrativa do seu domínio e clique em OK novamente.

Uma nova janela pop-up deverá abrir informando que você é membro do domínio. Clique em OK para fechar a janela pop-up e reiniciar a máquina para aplicar as alterações de domínio.

A captura de tela abaixo ilustrará essas etapas.

13. Após reiniciar, clique em Outro usuário e faça login no Windows com uma conta de domínio Samba4 com privilégios administrativos e você estará pronto para passar para a próxima etapa.

Etapa 4: administrar Samba4 AD DC com RSAT

14. Ferramentas de administração de servidor remoto da Microsoft (RSAT), que serão usadas posteriormente para administrar o Samba4 Active Directory, podem ser baixadas nos links a seguir , dependendo da sua versão do Windows:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Depois que o pacote do instalador autônomo de atualização para Windows 10 for baixado em seu sistema, execute o instalador, aguarde a conclusão da instalação e reinicie a máquina para aplicar todas as atualizações.

Após a reinicialização, abra o Painel de Controle -> Programas (Desinstalar um programa) -> Ativar recursos do Windows ligue ou desligue e verifique todas as Ferramentas de administração de servidor remoto.

Clique em OK para iniciar a instalação e após o término do processo de instalação, reinicie o sistema.

15. Para acessar as ferramentas RSAT vá ao Painel de Controle -> Sistema e Segurança -> Ferramentas Administrativas .

As ferramentas também podem ser encontradas no menu de ferramentas Administrativas do menu Iniciar. Como alternativa, você pode abrir o Windows MMC e adicionar snap-ins usando o menu Arquivo -> Adicionar/Remover snap-in.

As ferramentas mais utilizadas, como AD UC, DNS e Gerenciamento de Política de Grupo podem ser iniciadas diretamente do Desktop criando atalhos usando o recurso Enviar para do cardápio.

16. Você pode verificar a funcionalidade do RSAT abrindo o AD UC e listando os computadores do domínio (a máquina Windows recém-ingressada deve aparecer na lista), crie um nova unidade organizacional ou um novo usuário ou grupo.

Verifique se os usuários ou grupos foram criados corretamente emitindo o comando wbinfo do servidor Samba4.

É isso! Na próxima parte deste tópico abordaremos outros aspectos importantes de um Samba4 Active Directory que pode ser administrado via RSAT, como gerenciar o servidor DNS, adicionar DNS registros e criar uma zona de pesquisa de DNS reverso, como gerenciar e aplicar políticas de domínio e como criar um banner de logon interativo para os usuários do seu domínio.