在Windows10通过RSAT管理Samba4 Active Directory基础架构

在这部分，我们将讨论在 Windows 10的机器如何加入到一个 Samba4领域以及如何从 Windows 10工作站管理域。一旦在 Windows 10系统已加入 Samba4 AD DC，我们可以创建，删除或禁用域用户和组，我们可以创建新的 组织单位 ，我们可以创建，编辑和管理域策略，或者我们可以管理Samba4域DNS服务。 微软远程服务器管理工具-以上所有的功能和有关域管理等复杂任务，可以通过任何现代的Windows平台 RSAT的帮助下得以实现。

要求

第1步：配置域时间同步

1.在开始从 Windows 10与 RSAT工具的帮助下管理 Samba4 ADDC之前，我们需要了解和照顾一个关键部分的 Active Directory所需的服务，并且这种服务是指精确的时间同步。时间同步可通过 NTP守护进程在大多数Linux发行版提供。默认的最大时间周期差异的AD可以支持大约 5分钟。如果分歧的时间大于 5分钟，你应该开始体验各种错误，最重要的有关AD用户，加入机或共享访问。安装 网络时间协议守护程序和 NTP客户端实用程序在 Ubuntu中，执行下面的命令。

$ sudo apt-get install ntp ntpdate

在Ubuntu上安装NTP

2.接下来，打开和编辑NTP配置文件，并与在地理上靠近您的当前物理设备位置NTP服务器的一个新的列表替换默认NTP池服务器列表。 NTP服务器列表可以通过访问官方NTP网球场项目网页上获得 http://www.pool.ntp.org/en/ 。

$ sudo nano /etc/ntp.conf

通过添加注释的默认服务器列表 #在每个池中行前面，并添加带有正确NTP服务器下面的游泳池行对下面的截图所示。

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst
# Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

在Ubuntu中配置NTP服务器

3. 现在，不要关闭该文件还没有。移动到文件的顶部，并在driftfile语句后添加以下行。此设置允许客户端使用AD签名的NTP请求查询服务器。

ntpsigndsocket /var/lib/samba/ntp_signd/

使用NTP同步AD

4. 最后，移动到文件的底部并添加以下线路，上下面的截图，这将允许网络客户只查询时间服务器上，如图所示。

restrict default kod nomodify notrap nopeer mssntp

查询客户端到NTP服务器

5. 完成后，保存并关闭NTP配置文件，以读取ntp_signed目录中适当的权限授予NTP服务。这是 SambaNTPsocket位于系统路径。之后，重新启动NTP守护进程应用更改并验证是否NTP的使用在你的系统网络表打开的套接字 netstat命令结合 grep的过滤器。

$ sudo chown root:ntp /var/lib/samba/ntp_signd/
$ sudo chmod 750 /var/lib/samba/ntp_signd/
$ sudo systemctl restart ntp
$ sudo netstat –tulpn | grep ntp

授予NTP的权限

使用 ntpq命令行实用程序来监视NTP守护进程与一起 -p标志才能打印的同龄人的状态的总结。

$ ntpq -p

监视NTP服务器池

第2步：排除NTP时间问题

6.有时NTP守护进程卡在计算尝试的时间与上游NTP服务器同步同行，时手动造成以下错误消息试图通过运行在客户端 的ntpdate程序强制时间同步：

# ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

NTP时间同步错误

使用 ntpdate命令时， -d标志。

# ntpdate -d adc1.youcl.lan
Server dropped: Leap not in sync

NTP服务器丢失的跳跃不同步

7. 为了规避这个问题，可以使用下面的技巧来解决这个问题：在服务器上，停止NTP服务，使用 的ntpdate客户端工具来手动强制使用的外部对时间同步 -b标志，如下图所示：

# systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
# systemctl start ntp.service
# systemctl status ntp.service

强制NTP时间同步

8. 时间已经精确同步后，启动服务器上的NTP守护进程，并从客户端验证该服务已准备好为时间本地客户端通过发出以下命令：

# ntpdate -du adc1.youcl.lan    [your_adc_server]

验证NTP时间同步

到目前为止，NTP服务器应该按预期工作。

第3步：将Windows 10加入Realm

9. 正如我们在前面的教程中所看到的， Samba4 Active Directory可以从命令行使用Samba工具管理，可直接从服务器的VTY控制台进行访问或远程通过SSH连接工具界面。其他的，更直观和灵活的选择，是通过从Windows工作站集成到微软域中 远程服务器管理工具（RSAT）来管理我们的 Samba4 AD域控制器 。这些工具在几乎所有现代Windows系统中都可用。加入 的Windows 10以上版本的 微软操作系统进入Samba4 AD DC的过程非常简单。首先，请确保您的Windows 10工作站具有以便查询正确的realm解析配置正确 Samba4 DNS IP地址。打开 控制面板 - > 网络和Internet - > 网络和共享中心 - > 以太网卡 - > 属性 - > 的IPv4 - > 属性 - >使用下面的DNS服务器地址，并手动将Samba4 AD IP地址的网络接口的说明下面的截图。

将Windows加入Samba4 AD

添加DNS和Samba4 AD IP地址

在这里 ，192.168.1.254负责DNS解析 Samba4 AD域控制器的IP地址。相应地替换IP地址。 10. 接下来，击中 OK按钮应用网络设置，打开 命令提示符 ，为了测试是否域是通过DNS解析可达发出针对通用域名和主机Samba4 FQDN的 ping操作 。

ping youcl.lan
ping adc1.youcl.lan

检查Windows和Samba4 AD之间的网络连接

11. 如果解析器正确响应Windows客户端的DNS查询，那么，你需要保证时间准确地与realm同步。打开 控制面板 - > 时钟，语言和区域 - > 设置时间和日期 - > Internet时间选项卡 - > 更改设置 ，并与Internet时间服务器领域上写上同步您的域名。击中 立即更新按钮强制时间同步realm，点击 OK关闭窗口。

与Internet服务器同步时间

12. 最后，打开 系统属性 > 更改 > 域成员，写你的域名，点击 OK，输入你的域名管理帐户凭据，并再次确定。一个新的弹出式窗口应该打开，通知您是域的成员。点击 OK关闭弹出窗口，并 重新启动计算机，以应用领域的变化。下面的截图将说明这些步骤。

将Windows域加入Samba4 AD

输入域管理登录

已加入Samba4 AD确认的域

重新启动Windows Server以进行更改

13. 重新启动后，打在其他用户，并登录到Windows具有管理权限的Samba4域帐户，你应该准备移动到下一个步骤。

使用Samba4 AD帐户登录到Windows

第4步：用RSAT处理Samba4 AD DC

这将进一步用于管理 Samba4的Active Directory 14 Microsoft远程服务器管理工具（RSAT），可以从下面的链接，下载根据您的Windows版本：

Windows 10 ： https://www.microsoft.com/en-us/download/details.aspx?id=45520
Windows 8.1： http://www.microsoft.com/en-us/download/details.aspx?id=39296
Windows 8： http://www.microsoft.com/en-us/download/details.aspx?id=28972
Windows 7： http://www.microsoft.com/en-us/download/details.aspx?id=7887

一旦更新独立安装包为 Windows 10已经在系统上下载，运行安装程序，等待安装完成后重新启动机器以应用所有更新。 重新启动后 ，打开 控制面板后， - > 程序（ 卸载程序 ） - > 打开Windows功能打开或关闭 ，并检查所有 远程服务器管理工具 。点击确定开始安装，在安装过程完成后，重新启动系统。

从Windows管理Samba4 AD

15.要访问 RSAT工具去 控制面板 - > 系统和安全 - > 管理工具 。该工具还可以从开始菜单中的管理工具菜单中。或者，您可以打开 Windows MMC并添加使用文件管理单元- > 添加/删除管理单元菜单。

访问远程服务器管理工具

最常用的工具，如 AD UC，DNS和 组策略管理可以直接从桌面创建使用Send从菜单功能快捷键启动。 16.您可以通过打开 AD UC和列表域中的计算机（新加入的Windows机器应该出现在列表中）验证 RSAT功能，创建一个新的 组织单位或新的用户或组。验证是否用户或组已发出 wbinfo的从Samba4服务器端的命令已正确创建。