Gérer l'infrastructure Active Directory Samba4 depuis Windows10 via RSAT - Partie 3

Si la période de divergence est supérieure à 5 minutes, vous devriez commencer à rencontrer diverses erreurs, la plus importante concernant les utilisateurs AD, les machines jointes ou l'accès au partage.

Pour installer le démon Network Time Protocol et l'utilitaire client NTP dans Ubuntu, exécutez la commande ci-dessous.

sudo apt-get install ntp ntpdate

2. Ensuite, ouvrez et modifiez le fichier de configuration NTP et remplacez la liste de serveurs de pool NTP par défaut par une nouvelle liste de serveurs NTP situés géographiquement à proximité de l'emplacement actuel de votre équipement physique.

La liste des serveurs NTP peut être obtenue en visitant la page Web officielle du projet NTP Pool http://www.pool.ntp.org/en/.

sudo nano /etc/ntp.conf

Commentez la liste des serveurs par défaut en ajoutant un # devant chaque ligne de pool et ajoutez les lignes de pool ci-dessous avec vos serveurs NTP appropriés, comme illustré sur la capture d'écran ci-dessous.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Maintenant, ne fermez pas encore le fichier. Déplacez-vous vers le haut du fichier et ajoutez la ligne ci-dessous après l'instruction driftfile. Cette configuration permet aux clients d'interroger le serveur à l'aide de requêtes NTP signées AD.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Enfin, déplacez-vous vers le bas du fichier et ajoutez la ligne ci-dessous, comme illustré sur la capture d'écran ci-dessous, qui permettra aux clients du réseau uniquement d'interroger l'heure sur le serveur.

restrict default kod nomodify notrap nopeer mssntp

5. Une fois terminé, enregistrez et fermez le fichier de configuration NTP et accordez au service NTP les autorisations appropriées afin de lire le répertoire ntp_signed.

Il s'agit du chemin système où se trouve le socket Samba NTP. Ensuite, redémarrez le démon NTP pour appliquer les modifications et vérifiez si NTP a des sockets ouverts dans la table réseau de votre système à l'aide de la commande netstat combinée au filtre grep.

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

Utilisez l'utilitaire de ligne de commande ntpq pour surveiller le démon NTP avec l'indicateur -p afin d'imprimer un résumé de l'état des pairs.

ntpq -p

Étape 2 : Résoudre les problèmes de temps NTP

6. Parfois, le démon NTP reste bloqué dans les calculs lors de la tentative de synchronisation de l'heure avec un homologue du serveur NTP en amont, ce qui entraîne les messages d'erreur suivants lorsque vous essayez manuellement de forcer la synchronisation de l'heure en exécutant ntpdate utilitaire côté client :

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

lors de l'utilisation de la commande ntpdate avec l'indicateur -d.

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Pour contourner ce problème, utilisez l'astuce suivante pour résoudre le problème : Sur le serveur, arrêtez le service NTP et utilisez l'utilitaire client ntpdate pour forcer manuellement la synchronisation de l'heure avec un homologue externe en utilisant l'indicateur -b comme indiqué ci-dessous :

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. Une fois l'heure synchronisée avec précision, démarrez le démon NTP sur le serveur et vérifiez du côté client si le service est prêt à servir l'heure pour les clients locaux en exécutant la commande suivante :

ntpdate -du adc1.tecmint.lan    [your_adc_server]

À présent, le serveur NTP devrait fonctionner comme prévu.

Étape 3 : Rejoignez Windows 10 dans Realm

9. Comme nous l'avons vu dans notre didacticiel précédent, Samba4 Active Directory peut être géré à partir de la ligne de commande à l'aide de l'interface utilitaire samba-tool accessible directement depuis la console VTY du serveur ou connectée à distance via SSH.

Une autre alternative, plus intuitive et flexible, serait de gérer notre Contrôleur de domaine Samba4 AD via les Outils d'administration de serveur distant Microsoft (RSAT) à partir d'un poste de travail Windows intégré au domaine. Ces outils sont disponibles dans presque tous les systèmes Windows modernes.

Le processus pour rejoindre Windows 10 ou des versions antérieures de Microsoft OS dans Samba4 AD DC est très simple. Tout d'abord, assurez-vous que votre poste de travail Windows 10 dispose de la bonne adresse IP DNS Samba4 configurée afin d'interroger le résolveur de domaine approprié.

Ouvrez le Panneau de configuration -> Réseau et Internet -> Centre Réseau et partage -> Carte Ethernet -> Propriétés -> IPv4 -> Propriétés -> Utilisez les adresses de serveur DNS suivantes et placez manuellement l'adresse IP de Samba4 AD sur l'interface réseau comme illustré ci-dessous captures d'écran.

Ici, 192.168.1.254 est l'adresse IP du Contrôleur de domaine Samba4 AD responsable de la résolution DNS. Remplacez l'adresse IP en conséquence.

10. Ensuite, appliquez les paramètres réseau en appuyant sur le bouton OK, ouvrez une Invite de commandes et émettez un ping. par rapport au nom de domaine générique et au FQDN de l'hôte Samba4 afin de tester si le domaine est accessible via la résolution DNS.

ping tecmint.lan
ping adc1.tecmint.lan

11. Si le résolveur répond correctement aux requêtes DNS des clients Windows, vous devez alors vous assurer que l'heure est précisément synchronisée avec le domaine.

Ouvrez le Panneau de configuration -> Horloge, la Langue et la Région -> Définir l'heure et la date -> Onglet Heure Internet -> Modifier les paramètres et écrivez votre nom de domaine dans le champ Synchroniser avec et serveur de temps Internet.

Appuyez sur le bouton Mettre à jour maintenant pour forcer la synchronisation de l'heure avec le royaume et appuyez sur OK pour fermer la fenêtre.

12. Enfin, rejoignez le domaine en ouvrant Propriétés système -> Modifier -> Membre du domaine, écrivez votre nom de domaine, appuyez sur OK, saisissez les informations d'identification de votre compte administratif de domaine et appuyez à nouveau sur OK.

Une nouvelle fenêtre pop-up devrait s'ouvrir pour informer que vous êtes membre du domaine. Appuyez sur OK pour fermer la fenêtre contextuelle et redémarrez la machine afin d'appliquer les modifications de domaine.

La capture d'écran ci-dessous illustrera ces étapes.

13. Après le redémarrage, cliquez sur Autre utilisateur et connectez-vous à Windows avec un compte de domaine Samba4 avec des privilèges administratifs et vous devriez être prêt à passer à l'étape suivante.

Étape 4 : Administrer Samba4 AD DC avec RSAT

14. Les Outils d'administration de serveur distant Microsoft (RSAT), qui seront ensuite utilisés pour administrer Samba4 Active Directory, peuvent être téléchargés à partir des liens suivants. , selon votre version de Windows :

1. Windows 10 : https://www.microsoft.com/en-us/download/details.aspx?id=45520
2. Windows 8.1 : http://www.microsoft.com/en-us/download/details.aspx?id=39296
3. Windows 8 : http://www.microsoft.com/en-us/download/details.aspx?id=28972
4. Windows 7 : http://www.microsoft.com/en-us/download/details.aspx?id=7887

Une fois le package d'installation autonome de mise à jour pour Windows 10 téléchargé sur votre système, exécutez le programme d'installation, attendez la fin de l'installation et redémarrez la machine pour appliquer toutes les mises à jour.

Après le redémarrage, ouvrez le Panneau de configuration -> Programmes (Désinstaller un programme) -> Activez les fonctionnalités Windows activé ou désactivé et cochez tous les Outils d'administration de serveur distant.

Cliquez sur OK pour démarrer l'installation et une fois le processus d'installation terminé, redémarrez le système.

15. Pour accéder aux outils RSAT, accédez au Panneau de configuration -> Système et sécurité -> Outils d'administration .

Les outils peuvent également être trouvés dans le menu Outils Administratifs du menu Démarrer. Vous pouvez également ouvrir Windows MMC et ajouter des composants logiciels enfichables à l'aide du menu Fichier -> Ajouter/Supprimer un composant logiciel enfichable.

Les outils les plus utilisés, tels que AD UC, DNS et Gestion des stratégies de groupe peuvent être lancés directement depuis le bureau en créant des raccourcis à l'aide de la fonctionnalité Envoyer vers depuis menu.

16. Vous pouvez vérifier la fonctionnalité RSAT en ouvrant AD UC et en listant les ordinateurs du domaine (la machine Windows nouvellement rejointe devrait apparaître dans la liste), créez un une nouvelle Unité organisationnelle ou un nouvel utilisateur ou groupe.

Vérifiez si les utilisateurs ou les groupes ont été correctement créés en exécutant la commande wbinfo depuis le serveur Samba4.

C'est ça! Dans la partie suivante de ce sujet, nous aborderons d'autres aspects importants d'un Samba4 Active Directory qui peut être administré via RSAT, tels que comment gérer le serveur DNS, ajouter du DNS enregistre et crée une zone de recherche DNS inversée, comment gérer et appliquer la politique de domaine et comment créer une bannière de connexion interactive pour les utilisateurs de votre domaine.