如何使用Windows 10的RSAT工具來(lái)管理Samba4活動(dòng)目錄架構(gòu)

今天就跟大家聊聊有關(guān)如何使用Windows 10的RSAT工具來(lái)管理Samba4活動(dòng)目錄架構(gòu)，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

一旦 Windows 10 系統(tǒng)加入到 Samba4 AD DC ，我們就可以在 Windows 10 系統(tǒng)中創(chuàng)建、刪除或者禁用域用戶和組了，可以創(chuàng)建新的組織單元，創(chuàng)建、編輯和管理域策略，還可以管理 Samba4 域 DNS 服務(wù)。

上面所有的功能和其它一些復(fù)雜的與域管理相關(guān)的工作都可以通過(guò) Windows 環(huán)境下的 RSAT 工具來(lái)完成 Microsoft 遠(yuǎn)程服務(wù)器管理工具。

要求

1、 在 Ubuntu 系統(tǒng)上使用 Samba4 來(lái)創(chuàng)建活動(dòng)目錄架構(gòu)（一）

2、 在 Linux 命令行下管理 Samba4 AD 架構(gòu)（二）

第一步：配置域時(shí)間同步

1、在使用 Windows 10 系統(tǒng)的 RSAT 工具來(lái)管理 Samba4 ADDC 之前，我們需要了解與活動(dòng)目錄相關(guān)的一個(gè)很重要的服務(wù)，該服務(wù)要求精確的時(shí)間同步。

在大多數(shù)的 Linux 發(fā)行版中，都由 NTP 進(jìn)程提供時(shí)間同步機(jī)制。AD 環(huán)境默認(rèn)允許最大的時(shí)間差距是 5 分鐘。

如果時(shí)間差距超過(guò) 5 分鐘，你將會(huì)遇到各種各樣的異常報(bào)錯(cuò)，最嚴(yán)重的會(huì)影響到 AD 用戶、域成員服務(wù)器或共享訪問(wèn)等。

為了在 Ubuntu 系統(tǒng)中安裝網(wǎng)絡(luò)時(shí)間協(xié)議進(jìn)程和 NTP 客戶端工具，可執(zhí)行以下命令：

$ sudo apt-get install ntp ntpdate

在 Ubuntu 系統(tǒng)下安裝 NTP 服務(wù)

2、下一步，修改 NTP 配置文件，使用一個(gè)離你最近的 NTP 服務(wù)地址列表替換默認(rèn)的 NTP 池服務(wù)列表。

NTP 服務(wù)器地址列表可以從 NTP 地址庫(kù)項(xiàng)目官方網(wǎng)站獲?。篽ttp://www.pool.ntp.org/en/。

$ sudo nano /etc/ntp.conf

在每一行 pool 前添加一個(gè) # 符號(hào)以注釋默認(rèn)的服務(wù)器列表，并替換為適合你的 NTP 服務(wù)器地址，如下圖所示：

pool 0.ro.pool.ntp.org iburstpool 1.ro.pool.ntp.org iburstpool 2.ro.pool.ntp.org iburst# Use Ubuntu's ntp server as a fallback.pool 3.ro.pool.ntp.org

在 Ubuntu 系統(tǒng)下配置 NTP 服務(wù)

3、此時(shí)，先不要關(guān)閉該文件。移動(dòng)光標(biāo)到文件頂部，在 driftfile 參數(shù)后面添加下面一行內(nèi)容。該設(shè)置是為了讓客戶端查詢?cè)摲?wù)時(shí)使用 AD 的 NTP 簽署請(qǐng)求。

ntpsigndsocket /var/lib/samba/ntp_signd/

使用 NTP 來(lái)同步 AD

4、最后，移動(dòng)光標(biāo)到文件底部并添加如下一行內(nèi)容，如截圖所示，僅允許網(wǎng)絡(luò)客戶端查詢?cè)摲?wù)器上的時(shí)間。

restrict default kod nomodify notrap nopeer mssntp

限制 NTP 服務(wù)的查詢客戶端

5、設(shè)置完成之后，保存并關(guān)閉 NTP 配置文件，為了讓 NTP 服務(wù)讀取 ntp_signed 目錄，需要授予 NTP 服務(wù)合適的權(quán)限。

以下是 Samba NTP socket 的系統(tǒng)路徑。之后，重啟 NTP 服務(wù)以應(yīng)用更改，并使用 netstat 命令與grep 過(guò)濾相接合來(lái)檢查 NTP 服務(wù)是否正常。

$ sudo chown root:ntp /var/lib/samba/ntp_signd/$ sudo chmod 750 /var/lib/samba/ntp_signd/$ sudo systemctl restart ntp$ sudo netstat –tulpn | grep ntp

給 NTP 服務(wù)授權(quán)

使用 ntpq 命令行工具來(lái)監(jiān)控 NTP 進(jìn)程，加上 -p 參數(shù)來(lái)顯示摘要信息。

$ ntpq -p

監(jiān)控 NTP 服務(wù)器池

第二步：處理 NTP 時(shí)間同步異常問(wèn)題

6、有時(shí)候 NTP 進(jìn)程在嘗試與上游 ntp 服務(wù)端同步時(shí)間的計(jì)算過(guò)程中會(huì)卡住，導(dǎo)致客戶端使用 ntpdate 工具手動(dòng)強(qiáng)制同步時(shí)間時(shí)報(bào)如下錯(cuò)誤：

# ntpdate -qu adc1ntpdate[4472]: no server suitable for synchronization found

NTP 時(shí)間同步異常

ntpdate 命令加上 -d 調(diào)試選項(xiàng)：

# ntpdate -d adc1.tecmint.lanServer dropped: Leap not in sync

NTP Server Dropped Leap Not in Sync

7、為了避免出現(xiàn)該問(wèn)題，使用下面的方法來(lái)解決這個(gè)問(wèn)題：在服務(wù)器上停止 NTP 服務(wù)，使用 ntpdate 客戶端工具加上 -b 參數(shù)指定外部 peer 地址來(lái)手動(dòng)強(qiáng)制同步時(shí)間，如下圖所示：

# systemctl stop ntp.service# ntpdate -b 2.ro.pool.ntp.org  [你的 ntp peer]# systemctl start ntp.service# systemctl status ntp.service

強(qiáng)制 NTP 時(shí)間同步

8、當(dāng)時(shí)間正確同步之后，啟動(dòng)服務(wù)器上的 NTP 服務(wù)，并且在客戶端服務(wù)器上執(zhí)行如下命令來(lái)驗(yàn)證 NTP 時(shí)間同步服務(wù)是否可用：

# ntpdate -du adc1.tecmint.lan    [你的 AD DC 服務(wù)器]

驗(yàn)證 NTP 時(shí)間同步

至此， NTP 服務(wù)應(yīng)該已經(jīng)工作正常了。

第三步：把 Windows 10 系統(tǒng)加入域環(huán)境

9、從我們的前一篇文章可以看出，Samba4 活動(dòng)目錄可以使用 samba-tool 工具在命令行下管理，可以直接在服務(wù)器上的 VTY 控制臺(tái)或者通過(guò) SSH 工具遠(yuǎn)程連接到服務(wù)器上進(jìn)行管理。

另外，更直觀更靈活的方式是使用已加入域的 Windows 電腦中的微軟遠(yuǎn)程服務(wù)器管理工具（RSAT）來(lái)管理我們的 Samba4 AD 域控制器。這些工具在當(dāng)前的大多數(shù) Windows 系統(tǒng)中都可以使用。

把 Windows 10 或是之前版本的微軟操作系統(tǒng)加入到 Samba4 AD DC 環(huán)境中的過(guò)程也是非常容易的。首先，確保你的 Windows 10 電腦已經(jīng)設(shè)置了正確的 Samba4 DNS 服務(wù)器的 IP 地址，以查詢出準(zhǔn)確的域解析結(jié)果。

打開(kāi)“控制面板 -> 網(wǎng)絡(luò)和 Internet -> 網(wǎng)絡(luò)和共享中心 -> 網(wǎng)卡設(shè)置 -> 屬性 -> IPv4 -> 屬性 -> 使用下面的 DNS 服務(wù)器地址”，并且手動(dòng)輸入 Samba4 AD 服務(wù)器的 IP 地址，如下圖所示：

把 Windows 10 加入到 Samba4 AD 環(huán)境

添加 DNS 和 Samba4 AD 服務(wù)器地址

這里的 192.168.1.254 是 Samba4 AD 域控服務(wù)器的地址，用于域名解析。相應(yīng)替換該 IP 地址。

10、下一步，點(diǎn)擊 OK 按鈕以應(yīng)用網(wǎng)絡(luò)設(shè)置，打開(kāi) CMD 命令行窗口，通過(guò) ping 域名和 Samba4 服務(wù)器的 FQDN 地址來(lái)測(cè)試通過(guò) DNS 解析到域是否連通。

ping tecmint.lanping adc1.tecmint.lan

檢查 Windows 和 Samb4 AD 服務(wù)器的網(wǎng)絡(luò)連通性

11、如果 Windows 客戶端 DNS 查詢的結(jié)果解析正確，那么，你還需要確認(rèn)客戶端時(shí)間是否已跟域環(huán)境同步。

打開(kāi)“控制面板 -> 時(shí)鐘、語(yǔ)言和區(qū)域 -> 設(shè)置時(shí)間和日期 -> Internet 時(shí)間頁(yè) -> 更改設(shè)置”，輸入你同步時(shí)間的域名和 Internet 時(shí)間服務(wù)器字段。

點(diǎn)擊立即更新按鈕來(lái)強(qiáng)制與域同步時(shí)間，點(diǎn)擊 OK 關(guān)閉窗口。

與 Internet 服務(wù)器同步時(shí)間

12、最后，通過(guò)打開(kāi)“系統(tǒng)屬性 -> 更改 -> 域成員 -> 輸入域名”，點(diǎn)擊 OK，輸入你的域管理員賬號(hào)和密碼，再次點(diǎn)擊 OK。

應(yīng)該彈出一個(gè)新的窗口通知你已經(jīng)是一個(gè)域成員了。點(diǎn)擊 OK 關(guān)閉彈出窗口，并且重啟機(jī)器以應(yīng)用域更改。

下面的截圖將說(shuō)明這些操作步驟。

把 Windows 域加入到 Samba4 AD 環(huán)境

輸入域管理員賬號(hào)登錄

確認(rèn)域已加入到 Samba4 AD 環(huán)境

重啟 Windows 服務(wù)器以應(yīng)用更改

13、重啟之后，單擊其它用戶并且使用具有管理員權(quán)限的 Samba4 域賬號(hào)登錄到 Windows 系統(tǒng)，你已經(jīng)準(zhǔn)備好進(jìn)入到后邊幾個(gè)步驟了。

使用 Samba4 AD 賬號(hào)登錄到 Windows

第四步：使用 RSAT 工具來(lái)管理 Samba4 AD DC

14、微軟遠(yuǎn)程服務(wù)器管理工具（RSAT）被廣泛地用來(lái)管理 Samba4 活動(dòng)目錄，你可以根據(jù)你的 Windows 系統(tǒng)版本從下面的地址來(lái)下載該工具：

1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520

2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296

3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972

4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

一旦 Windows 10 獨(dú)立安裝包下載完成，運(yùn)行安裝包，等待安裝完成并重啟機(jī)器以應(yīng)用所有更新。

重啟之后，打開(kāi)“控制面板 -> 程序（卸載程序） -> 啟用或關(guān)閉 Windows 功能”，勾選所有的遠(yuǎn)程服務(wù)器管理工具。

點(diǎn)擊 OK 開(kāi)始安裝，安裝完成之后重啟系統(tǒng)。

從 Windows 系統(tǒng)下管理 Samba4 AD

15、要進(jìn)入 RSAT 工具集，打開(kāi)“控制面板 -> 系統(tǒng)和安全 -> 管理工具”。

這些工具也可以在開(kāi)始工菜單的管理工具菜單中找到。另外，你也可以打開(kāi) Windows MMC 工具和管理單元，從“文件 -> 添加/刪除管理單元”菜單中訪問(wèn)它們。

訪問(wèn)遠(yuǎn)程服務(wù)器管理工具集

最常用的工具，比如 AD UC ，DNS 和組策略管理工具可以通過(guò)從右鍵菜單發(fā)送到功能來(lái)新建快捷方式到桌面直接運(yùn)行。

16、你可以通過(guò) AD UC 和列出域里的電腦（新加入的 Windows 機(jī)器應(yīng)該出現(xiàn)在列表中）來(lái)驗(yàn)證 RSAT 功能，創(chuàng)建一個(gè)組織單元或組。

在 Samba4 服務(wù)器上使用 wbinf 命令來(lái)檢查用戶和組是否已經(jīng)創(chuàng)建成功。

活動(dòng)目錄用戶和計(jì)算機(jī)

創(chuàng)建組織單元和新用戶

確認(rèn) Samba4 AD 用戶

看完上述內(nèi)容，你們對(duì)如何使用Windows 10的RSAT工具來(lái)管理Samba4活動(dòng)目錄架構(gòu)有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。