웹사이트 검색

RSAT를 통해 Windows10에서 Samba4 Active Directory 인프라 관리 - 3부


Samba4 AD DC 인프라 시리즈의 이 부분에서는 Windows 10 시스템을 Samba4 영역에 연결하는 방법과 Windows 10 시스템에서 도메인을 관리하는 방법에 대해 설명합니다. 10 워크스테이션.

Windows 10 시스템이 Samba4 AD DC에 가입되면 도메인 사용자 및 그룹을 생성, 제거 또는 비활성화할 수 있으며 새로운 조직 단위를 생성할 수 있습니다. > 도메인 정책을 생성, 편집 및 관리하거나 Samba4 도메인 DNS 서비스를 관리할 수 있습니다.

위의 모든 기능과 도메인 관리와 관련된 기타 복잡한 작업은 RSAT – Microsoft 원격 서버 관리 도구의 도움을 받아 최신 Windows 플랫폼을 통해 수행할 수 있습니다.

요구사항

  1. Ubuntu 16.04에서 Samba4를 사용하여 AD 인프라 생성 – 1부
  2. Linux 명령줄에서 Samba4 AD 인프라 관리 - 2부
  3. Windows에서 Samba4 AD 도메인 컨트롤러 DNS 및 그룹 정책 관리 - 4부

1단계: 도메인 시간 동기화 구성

1. RSAT 도구를 사용하여 Windows 10에서 Samba4 ADDC 관리를 시작하기 전에 다음 사항을 알아야 합니다. Active Directory에 필요한 중요한 서비스를 처리하며 이 서비스는 정확한 시간 동기화를 의미합니다.

대부분의 Linux 배포판에서는 NTP 데몬을 통해 시간 동기화를 제공할 수 있습니다. AD가 지원할 수 있는 기본 최대 기간 불일치는 약 5분입니다.

분기 시간이 5분보다 길면 다양한 오류가 발생하기 시작합니다. 가장 중요한 것은 AD 사용자, 연결된 컴퓨터 또는 공유 액세스와 관련됩니다.

UbuntuNetwork Time Protocol 데몬과 NTP 클라이언트 유틸리티를 설치하려면 아래 명령을 실행하세요.

sudo apt-get install ntp ntpdate

2. 그런 다음 NTP 구성 파일을 열고 편집하고 기본 NTP 풀 서버 목록을 현재 물리적 장비 위치 근처에 지리적으로 위치한 새 NTP 서버 목록으로 바꿉니다.

NTP 서버 목록은 공식 NTP 풀 프로젝트 웹페이지(http://www.pool.ntp.org/en/)를 방문하여 얻을 수 있습니다.

sudo nano /etc/ntp.conf

각 풀 라인 앞에 #를 추가하여 기본 서버 목록에 주석을 달고 아래 스크린샷에 표시된 대로 적절한 NTP 서버와 함께 아래 풀 라인을 추가합니다.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. 이제 아직 파일을 닫지 마세요. 파일의 맨 위로 이동하여 Driftfile 문 뒤에 아래 줄을 추가합니다. 이 설정을 통해 클라이언트는 AD 서명 NTP 요청을 사용하여 서버에 쿼리할 수 있습니다.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. 마지막으로 파일 맨 아래로 이동하여 아래 스크린샷과 같이 아래 줄을 추가합니다. 그러면 네트워크 클라이언트만 서버의 시간을 쿼리할 수 있습니다.

restrict default kod nomodify notrap nopeer mssntp

5. 완료되면 NTP 구성 파일을 저장하고 닫은 후 ntp_signed 디렉터리를 읽을 수 있도록 적절한 권한을 NTP 서비스에 부여합니다.

Samba NTP 소켓이 위치한 시스템 경로입니다. 그런 다음 NTP 데몬을 다시 시작하여 변경 사항을 적용하고 grep 필터와 결합된 netstat 명령을 사용하여 NTP에 시스템 네트워크 테이블에 열린 소켓이 있는지 확인합니다.

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

피어 상태 요약을 인쇄하려면 ntpq 명령줄 유틸리티를 사용하여 -p 플래그와 함께 NTP 데몬을 모니터링하세요.

ntpq -p

2단계: NTP 시간 문제 해결

6. 때때로 NTP 데몬이 업스트림 NTP 서버 피어와 시간을 동기화하려고 시도하는 동안 계산이 중단되어 ntpdate를 실행하여 수동으로 시간 동기화를 강제로 시도할 때 다음과 같은 오류 메시지가 표시됩니다. > 클라이언트측 유틸리티:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

-d 플래그와 함께 ntpdate 명령을 사용할 때.

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. 이 문제를 피하려면 다음 방법을 사용하여 문제를 해결하십시오. 서버에서 NTP 서비스를 중지하고 ntpdate 클라이언트 유틸리티를 사용하여 수동으로 시간 동기화를 강제합니다. 아래와 같이 -b 플래그를 사용하는 외부 피어:

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. 시간이 정확하게 동기화된 후 서버에서 NTP 데몬을 시작하고 다음 명령을 실행하여 서비스가 로컬 클라이언트에 시간을 제공할 준비가 되었는지 클라이언트 측에서 확인합니다.

ntpdate -du adc1.tecmint.lan    [your_adc_server]

이제 NTP 서버는 예상대로 작동해야 합니다.

3단계: Windows 10을 Realm에 가입

9. 이전 튜토리얼에서 본 것처럼 Samba4 Active Directory는 서버의 VTY 콘솔에서 직접 액세스하거나 SSH를 통해 원격으로 연결할 수 있는 samba-tool 유틸리티 인터페이스를 사용하여 명령줄에서 관리할 수 있습니다.

보다 직관적이고 유연한 다른 대안은 도메인에 통합된 Windows 워크스테이션에서 Microsoft RSAT(원격 서버 관리 도구)를 통해 Samba4 AD 도메인 컨트롤러를 관리하는 것입니다. 이러한 도구는 거의 모든 최신 Windows 시스템에서 사용할 수 있습니다.

Windows 10 또는 이전 버전의 Microsoft OS를 Samba4 AD DC에 결합하는 과정은 매우 간단합니다. 먼저, 적절한 영역 확인자를 쿼리하려면 Windows 10 워크스테이션에 올바른 Samba4 DNS IP 주소가 구성되어 있는지 확인하세요.

제어판 열기 -> 네트워크 및 인터넷 -> 네트워크 및 공유 센터 -> 이더넷 카드 -> 속성 -> IPv4 -> 속성 -> 다음 DNS 서버 주소를 사용하고 아래 그림과 같이 Samba4 AD IP 주소를 네트워크 인터페이스에 수동으로 배치합니다. 스크린샷.

여기서 192.168.1.254는 DNS 확인을 담당하는 Samba4 AD 도메인 컨트롤러의 IP 주소입니다. 이에 따라 IP 주소를 바꾸십시오.

10. 다음으로 확인 버튼을 눌러 네트워크 설정을 적용하고 명령 프롬프트를 열고 을 실행합니다. DNS 확인을 통해 영역에 연결할 수 있는지 테스트하기 위해 일반 도메인 이름과 Samba4 호스트 FQDN을 비교합니다.

ping tecmint.lan
ping adc1.tecmint.lan

11. 확인자가 Windows 클라이언트 DNS 쿼리에 올바르게 응답하는 경우 시간이 영역과 정확하게 동기화되는지 확인해야 합니다.

제어판 열기 -> 시계, 언어지역 -> 시간 및 날짜 설정 -> 인터넷 시간 탭 -> 설정 변경을 선택하고 동기화 대상 및 인터넷 시간 서버 필드에 도메인 이름을 입력합니다.

지금 업데이트 버튼을 눌러 영역과 시간을 강제로 동기화하고 확인을 눌러 창을 닫습니다.

12. 마지막으로 시스템 속성 -> 변경 -> 도메인 구성원을 열어 도메인에 가입하고 도메인 이름을 입력하려면 확인을 누르고 도메인 관리 계정 자격 증명을 입력한 후 다시 확인을 누르세요.

귀하가 도메인의 구성원임을 알리는 새 팝업 창이 열립니다. 도메인 변경 사항을 적용하려면 확인을 눌러 팝업 창을 닫고 컴퓨터를 재부팅하세요.

아래 스크린샷에서는 이러한 단계를 보여줍니다.

13. 다시 시작한 후 다른 사용자를 누르고 관리 권한이 있는 Samba4 도메인 계정으로 Windows에 로그온하면 다음 단계로 이동할 준비가 됩니다.

4단계: RSAT를 사용하여 Samba4 AD DC 관리

14. Samba4 Active Directory를 관리하는 데 추가로 사용되는 Microsoft 원격 서버 관리 도구(RSAT)는 다음 링크에서 다운로드할 수 있습니다. , Windows 버전에 따라:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Windows 10용 업데이트 독립 실행형 설치 프로그램 패키지가 시스템에 다운로드되면 설치 프로그램을 실행하고 설치가 완료될 때까지 기다린 다음 컴퓨터를 다시 시작하여 모든 업데이트를 적용합니다.

재부팅제어판 열기 -> 프로그램(프로그램 제거) -> Windows 기능 켜기 켜거나 끄고 원격 서버 관리 도구를 모두 선택하세요.

확인을 클릭하여 설치를 시작하고 설치 프로세스가 완료된 후 시스템을 다시 시작하세요.

15. RSAT 도구에 액세스하려면 제어판 -> 시스템 및 보안 -> 관리 도구로 이동하세요. .

도구는 시작 메뉴의 관리 도구 메뉴에서도 찾을 수 있습니다. 또는 Windows MMC를 열고 파일 -> 추가/제거 스냅인 메뉴를 사용하여 스냅인을 추가할 수 있습니다.

AD UC, DNS그룹 정책 관리와 같이 가장 많이 사용되는 도구는 보내기 기능을 사용하여 바로가기를 만들어 데스크톱에서 직접 실행할 수 있습니다. 메뉴.

16. AD UC를 열고 도메인 컴퓨터를 나열하여 RSAT 기능을 확인할 수 있습니다(새로 가입한 Windows 시스템이 목록에 표시되어야 함). 새로운 조직 단위 또는 새로운 사용자나 그룹.

Samba4 서버 측에서 wbinfo 명령을 실행하여 사용자 또는 그룹이 제대로 생성되었는지 확인하십시오.

그게 다야! 이 주제의 다음 부분에서는 RSAT를 통해 관리할 수 있는 Samba4 Active Directory의 다른 중요한 측면(예: DNS 서버 관리 방법, DNS 추가 방법)을 다룹니다. 역방향 DNS 조회 영역을 기록하고 생성하는 방법, 도메인 정책을 관리 및 적용하는 방법, 도메인 사용자를 위한 대화형 로그온 배너를 생성하는 방법을 알아보세요.