通过 RSAT 从 Windows10 管理 Samba4 Active Directory 基础设施 - 第 3 部分

如果分歧时间段大于 5 分钟，您应该开始遇到各种错误，最重要的是与 AD 用户、加入的计算机或共享访问有关的错误。

要在 Ubuntu 中安装网络时间协议守护进程和NTP客户端实用程序，请执行以下命令。

sudo apt-get install ntp ntpdate

2. 接下来，打开并编辑 NTP 配置文件，并将默认 NTP 池服务器列表替换为地理位置靠近您当前物理设备位置的新 NTP 服务器列表。

NTP 服务器列表可以通过访问 NTP Pool 项目官方网页 http://www.pool.ntp.org/en/ 获取。

sudo nano /etc/ntp.conf

通过在每个池行前面添加 # 来注释默认服务器列表，并使用正确的 NTP 服务器添加下面的池行，如下面的屏幕截图所示。

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. 现在，先不要关闭文件。移至文件顶部并在driftfile 语句后添加以下行。此设置允许客户端使用 AD 签名的 NTP 请求查询服务器。

ntpsigndsocket /var/lib/samba/ntp_signd/

4.最后，移至文件底部并添加以下行，如下面的屏幕截图所示，这将允许网络客户端仅查询服务器上的时间。

restrict default kod nomodify notrap nopeer mssntp

5.完成后，保存并关闭 NTP 配置文件，并向 NTP 服务授予适当的权限，以便读取 ntp_signed 目录。

这是Samba NTP套接字所在的系统路径。然后，重新启动 NTP 守护进程以应用更改，并使用 netstat 命令结合 grep 过滤器验证 NTP 是否在系统网络表中打开了套接字。

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

使用 ntpq 命令行实用程序与 -p 标志一起监视 NTP 守护进程，以便打印对等状态的摘要。

ntpq -p

步骤 2：解决 NTP 时间问题

6. 有时，NTP 守护进程在尝试与上游 ntp 服务器对等方同步时间时会陷入计算困境，从而在手动尝试通过运行 ntpdate 强制时间同步时出现以下错误消息 客户端实用程序：

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

使用带有 -d 标志的 ntpdate 命令时。

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. 要避免此问题，请使用以下技巧来解决该问题：在服务器上，停止 NTP 服务并使用 ntpdate 客户端实用程序手动强制与使用 -b 标志的外部对等点，如下所示：

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8.时间准确同步后，在服务器上启动 NTP 守护进程，并通过发出以下命令从客户端验证该服务是否已准备好为本地客户端提供时间：

ntpdate -du adc1.tecmint.lan    [your_adc_server]

到现在为止，NTP 服务器应该按预期工作。

步骤 3：将 Windows 10 加入 Realm

9. 正如我们在之前的教程中看到的，Samba4 Active Directory 可以使用 samba-tool 实用程序界面从命令行进行管理，该界面可以直接从服务器的 VTY 控制台访问或通过 SSH 远程连接。

其他更直观、更灵活的替代方案是通过集成到域中的 Windows 工作站的 Microsoft 远程服务器管理工具 (RSAT) 来管理我们的 Samba4 AD 域控制器。这些工具几乎在所有现代 Windows 系统中都可用。

将Windows 10或旧版本的Microsoft操作系统加入Samba4 AD DC的过程非常简单。首先，确保您的 Windows 10 工作站配置了正确的 Samba4 DNS IP 地址，以便查询正确的领域解析器。

打开控制面板 -> 网络和Internet -> 网络和共享中心 -> 以太网卡 -> 属性 -> IPv4 -> 属性 -> 使用以下 DNS 服务器地址并手动将 Samba4 AD IP 地址放置到网络接口，如下所示截图。

这里，192.168.1.254是负责DNS解析的Samba4 AD域控制器的IP地址。相应地替换 IP 地址。

10. 接下来，点击确定按钮应用网络设置，打开命令提示符并发出ping对照通用域名和 Samba4 主机 FQDN，以测试是否可以通过 DNS 解析访问该领域。

ping tecmint.lan
ping adc1.tecmint.lan

11.如果解析器正确响应Windows客户端DNS查询，那么，您需要确保时间与领域准确同步。

打开控制面板 -> 时钟、语言和区域 -> 设置时间和日期 -> 互联网时间选项卡 -> 更改设置并在“与互联网时间服务器同步”字段中写入您的域名。

点击立即更新按钮强制与领域进行时间同步，然后点击确定关闭窗口。

12.最后，通过打开系统属性 -> 更改 -> 域成员加入域，写下您的域名，点击确定，输入您的域管理帐户凭据，然后再次点击确定。

应该会打开一个新的弹出窗口，通知您是该域的成员。点击确定关闭弹出窗口并重新启动计算机以应用域更改。

下面的屏幕截图将说明这些步骤。

13. 重新启动后，点击其他用户并使用具有管理权限的 Samba4 域帐户登录到 Windows，您应该准备好进入下一步。

步骤 4：使用 RSAT 管理 Samba4 AD DC

14. Microsoft 远程服务器管理工具 (RSAT)，将进一步用于管理 Samba4 Active Directory，可以从以下链接下载，取决于您的 Windows 版本：

1. Windows 10：https://www.microsoft.com/en-us/download/details.aspx?id=45520
2. Windows 8.1：http://www.microsoft.com/en-us/download/details.aspx?id=39296
3. Windows 8：http://www.microsoft.com/en-us/download/details.aspx?id=28972
4. Windows 7：http://www.microsoft.com/en-us/download/details.aspx?id=7887

将Windows 10的更新独立安装程序包下载到您的系统上后，运行安装程序，等待安装完成，然后重新启动计算机以应用所有更新。

重新启动后，打开控制面板 -> 程序（卸载程序） -> 打开 Windows 功能打开或关闭并选中所有远程服务器管理工具。

单击确定开始安装，安装过程完成后，重新启动系统。

15.要访问RSAT工具，请转到控制面板 -> 系统和安全 -> 管理工具。

这些工具也可以在开始菜单的管理工具菜单中找到。或者，您可以打开Windows MMC并使用文件 -> 添加/删除管理单元菜单添加管理单元。

最常用的工具，例如 AD UC、DNS 和组策略管理，可以通过使用“发送到”功能创建快捷方式，直接从桌面启动菜单。

16.您可以通过打开AD UC并列出域计算机（新加入的Windows计算机应出现在列表中）来验证RSAT功能，创建一个新的组织部门或新的用户或群组。

通过从 Samba4 服务器端发出 wbinfo 命令来验证用户或组是否已正确创建。

就是这样！在本主题的下一部分中，我们将介绍可以通过 RSAT 进行管理的 Samba4 Active Directory 的其他重要方面，例如如何管理 DNS 服务器、添加 DNS记录和创建反向 DNS 查找区域、如何管理和应用域策略以及如何为域用户创建交互式登录横幅。