Kelola Infrastruktur Direktori Aktif Samba4 dari Windows10 melalui RSAT - Bagian 3


Pada bagian seri infrastruktur Samba4 AD DC ini kita akan membahas tentang cara menggabungkan mesin Windows 10 ke dalam ranah Samba4 dan cara mengelola domain dari Windows 10 stasiun kerja.

Setelah sistem Windows 10 bergabung ke Samba4 AD DC kita dapat membuat, menghapus, atau menonaktifkan pengguna dan grup domain, kita dapat membuat Unit Organisasi baru >, kita dapat membuat, mengedit dan mengelola kebijakan domain atau kita dapat mengelola layanan DNS domain Samba4.

Semua fungsi di atas dan tugas kompleks lainnya terkait administrasi domain dapat dicapai melalui platform Windows modern apa pun dengan bantuan RSAT – Alat Administrasi Server Jarak Jauh Microsoft.

Persyaratan

  1. Buat Infrastruktur AD dengan Samba4 di Ubuntu 16.04 – Bagian 1
  2. Kelola Infrastruktur Samba4 AD dari Linux Command Line – Bagian 2
  3. Kelola DNS Pengontrol Domain Samba4 AD dan Kebijakan Grup dari Windows – Bagian 4

Langkah 1: Konfigurasikan Sinkronisasi Waktu Domain

1. Sebelum mulai mengelola Samba4 ADDC dari Windows 10 dengan bantuan alat RSAT, kita perlu mengetahui dan menangani layanan penting yang diperlukan untuk Direktori Aktif dan layanan ini mengacu pada sinkronisasi waktu yang akurat.

Sinkronisasi waktu dapat ditawarkan oleh daemon NTP di sebagian besar distribusi Linux. Perbedaan jangka waktu maksimum default yang dapat didukung oleh AD adalah sekitar 5 menit.

Jika jangka waktu divergensi lebih dari 5 menit, Anda akan mulai mengalami berbagai kesalahan, yang paling penting terkait dengan pengguna AD, mesin yang bergabung, atau berbagi akses.

Untuk menginstal daemon Network Time Protocol dan utilitas klien NTP di Ubuntu, jalankan perintah di bawah ini.

sudo apt-get install ntp ntpdate

2. Selanjutnya, buka dan edit file konfigurasi NTP dan ganti daftar server kumpulan NTP default dengan daftar server NTP baru yang secara geografis terletak di dekat lokasi peralatan fisik Anda saat ini.

Daftar server NTP dapat diperoleh dengan mengunjungi halaman web resmi NTP Pool Project http://www.pool.ntp.org/en/.

sudo nano /etc/ntp.conf

Beri komentar pada daftar server default dengan menambahkan # di depan setiap baris kumpulan dan tambahkan baris kumpulan di bawah ini dengan server NTP Anda yang tepat seperti yang diilustrasikan pada gambar di bawah.

pool 0.ro.pool.ntp.org iburst
pool 1.ro.pool.ntp.org iburst
pool 2.ro.pool.ntp.org iburst

Use Ubuntu's ntp server as a fallback.
pool 3.ro.pool.ntp.org

3. Sekarang, jangan tutup dulu filenya. Pindah ke bagian atas file dan tambahkan baris di bawah ini setelah pernyataan driftfile. Pengaturan ini memungkinkan klien untuk menanyakan server menggunakan permintaan NTP yang ditandatangani AD.

ntpsigndsocket /var/lib/samba/ntp_signd/

4. Terakhir, pindah ke bagian bawah file dan tambahkan baris di bawah ini, seperti yang diilustrasikan pada tangkapan layar di bawah, yang memungkinkan klien jaringan hanya menanyakan waktu di server.

restrict default kod nomodify notrap nopeer mssntp

5. Setelah selesai, simpan dan tutup file konfigurasi NTP dan berikan layanan NTP dengan izin yang sesuai untuk membaca direktori ntp_signed.

Ini adalah jalur sistem tempat soket Samba NTP berada. Setelah itu, restart daemon NTP untuk menerapkan perubahan dan verifikasi apakah NTP memiliki soket terbuka di tabel jaringan sistem Anda menggunakan perintah netstat yang dikombinasikan dengan filter grep.

sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
sudo systemctl restart ntp
sudo netstat –tulpn | grep ntp

Gunakan utilitas baris perintah ntpq untuk memantau daemon NTP bersama dengan flag -p untuk mencetak ringkasan status rekan.

ntpq -p

Langkah 2: Pecahkan Masalah Waktu NTP

6. Kadang-kadang daemon NTP terjebak dalam perhitungan ketika mencoba menyinkronkan waktu dengan rekan server ntp upstream, sehingga menghasilkan pesan kesalahan berikut ketika secara manual mencoba memaksakan sinkronisasi waktu dengan menjalankan ntpdate utilitas di sisi klien:

ntpdate -qu adc1
ntpdate[4472]: no server suitable for synchronization found

saat menggunakan perintah ntpdate dengan tanda -d.

ntpdate -d adc1.tecmint.lan
Server dropped: Leap not in sync

7. Untuk menghindari masalah ini, gunakan trik berikut untuk menyelesaikan masalah: Di server, hentikan layanan NTP dan gunakan utilitas klien ntpdate untuk memaksa sinkronisasi waktu secara manual dengan rekan eksternal menggunakan tanda -b seperti yang ditunjukkan di bawah ini:

systemctl stop ntp.service
# ntpdate -b 2.ro.pool.ntp.org  [your_ntp_peer]
systemctl start ntp.service
systemctl status ntp.service

8. Setelah waktu disinkronkan secara akurat, jalankan daemon NTP di server dan verifikasi dari sisi klien apakah layanan siap melayani waktu untuk klien lokal dengan mengeluarkan perintah berikut:

ntpdate -du adc1.tecmint.lan    [your_adc_server]

Saat ini, server NTP seharusnya berfungsi seperti yang diharapkan.

Langkah 3: Bergabunglah dengan Windows 10 ke Realm

9. Seperti yang kita lihat di tutorial sebelumnya, Direktori Aktif Samba4 dapat dikelola dari baris perintah menggunakan antarmuka utilitas alat samba yang dapat diakses langsung dari konsol VTY server atau terhubung dari jarak jauh melalui SSH.

Alternatif lain yang lebih intuitif dan fleksibel adalah mengelola Pengontrol Domain Samba4 AD kami melalui Alat Administrasi Server Jarak Jauh Microsoft (RSAT) dari stasiun kerja Windows yang terintegrasi ke dalam domain. Alat-alat ini tersedia di hampir semua sistem Windows modern.

Proses menggabungkan Windows 10 atau versi Microsoft OS yang lebih lama ke Samba4 AD DC sangat sederhana. Pertama, pastikan stasiun kerja Windows 10 Anda memiliki alamat Samba4 DNS IP yang benar dan dikonfigurasi untuk menanyakan pemecah masalah yang tepat.

Buka Panel kontrol -> Jaringan dan Internet -> Jaringan dan Pusat Berbagi -> kartu Ethernet -> Properti -> IPv4 -> Properti -> Gunakan alamat server DNS berikut dan secara manual tempatkan Alamat IP Samba4 AD ke antarmuka jaringan seperti yang diilustrasikan di bawah ini tangkapan layar.

Di sini, 192.168.1.254 adalah Alamat IP Pengontrol Domain Samba4 AD yang bertanggung jawab atas resolusi DNS. Ganti Alamat IP yang sesuai.

10. Selanjutnya, terapkan pengaturan jaringan dengan menekan tombol OK, buka Command Prompt dan lakukan ping terhadap nama domain generik dan FQDN host Samba4 untuk menguji apakah ranah tersebut dapat dijangkau melalui resolusi DNS.

ping tecmint.lan
ping adc1.tecmint.lan

11. Jika penyelesai merespons dengan benar permintaan DNS klien Windows, Anda perlu memastikan bahwa waktunya disinkronkan secara akurat dengan ranah.

Buka Panel Kontrol -> Jam, Bahasa dan Wilayah -> Setel Waktu dan Tanggal -> Tab Waktu Internet -> Ubah Pengaturan dan tulis nama domain Anda di bidang Sinkronisasi dengan dan server waktu Internet.

Tekan tombol Perbarui Sekarang untuk memaksa sinkronisasi waktu dengan dunia nyata dan tekan OK untuk menutup jendela.

12. Terakhir, gabung dengan domain dengan membuka System Properties -> Ubah -> Anggota Domain, tulis nama domain Anda nama domain, tekan OK, masukkan kredensial akun administratif domain Anda dan tekan OK lagi.

Jendela pop-up baru akan terbuka dan memberi tahu Anda bahwa Anda adalah anggota domain tersebut. Tekan OK untuk menutup jendela pop-up dan reboot mesin untuk menerapkan perubahan domain.

Tangkapan layar di bawah akan mengilustrasikan langkah-langkah ini.

13. Setelah memulai ulang, tekan pengguna Lainnya dan masuk ke Windows dengan akun domain Samba4 dengan hak administratif dan Anda akan siap untuk melanjutkan ke langkah berikutnya.

Langkah 4: Kelola Samba4 AD DC dengan RSAT

14. Microsoft Remote Server Administration Tools (RSAT), yang selanjutnya akan digunakan untuk mengelola Samba4 Active Directory, dapat diunduh dari tautan berikut , tergantung pada versi Windows Anda:

  1. Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520
  2. Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
  3. Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
  4. Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Setelah paket penginstal mandiri pembaruan untuk Windows 10 diunduh ke sistem Anda, jalankan penginstal, tunggu hingga penginstalan selesai, lalu mulai ulang mesin untuk menerapkan semua pembaruan.

Setelah reboot, buka Control Panel -> Programs (Uninstall a Program) -> Hidupkan fitur Windows aktif atau nonaktif dan centang semua Alat Administrasi Server Jarak Jauh.

Klik OK untuk memulai instalasi dan setelah proses instalasi selesai, restart sistem.

15. Untuk mengakses alat RSAT buka Panel Kontrol -> Sistem dan Keamanan -> Alat Administratif .

Alat tersebut juga dapat ditemukan di menu alat Administratif dari menu mulai. Alternatifnya, Anda dapat membuka Windows MMC dan menambahkan Snap-in menggunakan menu Snap-in File -> Tambah/Hapus.

Alat yang paling sering digunakan, seperti AD UC, DNS dan Manajemen Kebijakan Grup dapat diluncurkan langsung dari Desktop dengan membuat pintasan menggunakan fitur Kirim ke dari menu.

16. Anda dapat memverifikasi fungsionalitas RSAT dengan membuka AD UC dan mencantumkan Komputer domain (mesin windows yang baru bergabung akan muncul dalam daftar), buat Unit Organisasi baru atau pengguna atau grup baru.

Verifikasi apakah pengguna atau grup telah dibuat dengan benar dengan mengeluarkan perintah wbinfo dari sisi server Samba4.

Itu dia! Pada bagian berikutnya dari topik ini kita akan membahas aspek penting lainnya dari Direktori Aktif Samba4 yang dapat dikelola melalui RSAT, seperti, cara mengelola server DNS, menambahkan DNS mencatat dan membuat zona pencarian DNS terbalik, cara mengelola dan menerapkan kebijakan domain, serta cara membuat spanduk masuk interaktif untuk pengguna domain Anda.