Samba4ADDC架构系列文章的这一部分,我们将讨论如何将Windows10计算机添加到Samba4域环境中,以及如何Windows10系统下管理域环境。一旦将Windows10系统添加到Samba4ADDC中,我们就可以在Windows10系统中创建、删除或禁用域用户和组,创建新的组织单元,创建、编辑和管理域策略,管理Samba4域DNSServe。以上所有功能以及其他一些与域管理相关的复杂任务都可以通过Windows环境下的RSAT工具——MicrosoftRemoteServerAdministrationTools来完成。需求1、在Ubuntu系统上使用Samba4创建活动目录结构(一)2、在Linux命令行下管理Samba4AD结构(二)第一步:配置域时间同步1、使用Windows10的RSAT工具system在管理Samba4ADDC之前,我们需要了解一个非常重要的服务,它与ActiveDirectory相关,需要精确的时间同步。在大多数Linux发行版中,时间同步机制是由NTP进程提供的。AD环境默认允许的最大时间间隔为5分钟。如果时间差超过5分钟,就会遇到各种异常错误,最严重的会影响AD用户、域成员服务器或共享访问。为了在Ubuntu系统中安装NetworkTimeProtocol进程和NTP客户端工具,执行以下命令:$sudoapt-getinstallntpntpdate在Ubuntu系统中安装NTP服务2、接下来修改NTP配置文件,使用一个NTP服务最近给你的地址列表取代了默认的NTP池服务列表。NTP服务器地址列表可以从NTP地址池项目官网获取:http://www.pool.ntp.org/en/。$sudonano/etc/ntp.conf在每行pool前加#号注释默认服务器列表,替换成你的NTP服务器地址,如下图:pool0.ro.pool.ntp.orgiburstpool1。ro.pool.ntp.orgiburstpool2.ro.pool.ntp.orgiburst#UseUbuntu'sntpserverasafallback.pool3.ro.pool.ntp.org在Ubuntu系统下配置NTP服务3.此时先不要关闭这个文件。将光标移动到文件顶部,并在driftfile参数后添加以下行。此设置用于客户端在查询服务时使用AD的NTP签名请求。ntpsigndsocket/var/lib/samba/ntp_signd/UseNTPtosynchronizeAD4,***,把光标移到文件底部,加入下面一行,如截图所示,只允许网络客户端查询时间在这台服务器上。restrictdefaultkodnomodifynotrapnopeermssntp限制NTP服务的查询客户端5、设置完成后,保存并关闭NTP配置文件。为了让NTP服务读取ntp_signed目录,您需要授予NTP服务适当的权限。以下是SambaNTP套接字的系统路径。之后,重新启动NTP服务以应用更改,并使用netstat命令结合grep过滤来检查NTP服务是否正常工作。$sudochownroot:ntp/var/lib/samba/ntp_signd/$sudochmod750/var/lib/samba/ntp_signd/$sudosystemctlrestartntp$sudonetstat–tulpn|grepntp授权NTP服务使用ntpq命令行工具监控NTP进程,添加-p参数显示摘要信息。$ntpq-p监控NTP服务器池Step2:处理NTP时间同步异常6.有时NTP进程会卡在试图与上游ntp服务器同步时间的计算过程中,导致客户端使用ntpdate工具手动强制同步时报如下错误:#ntpdate-quadc1ntpdate[4472]:noserversuitableforsynchronizationfoundNTP时间同步异常ntpdate命令加-d调试选项:#ntpdate-dadc1.tecmint.lanServerdropped:LeapnotinsyncNTPServerDroppedLeapNotinSync7。为了避免这个问题,使用下面的方法解决这个问题:停止服务器上的NTP服务,使用ntpdate客户端工具加上-b参数指定外部peer地址来手动强制同步时间,如下图图:#systemctlstopntp.service#ntpdate-b2.ro.pool.ntp.org[yourntppeer]#systemctlstartntp.service#systemctlstatusntp.service强制NTP时间同步8.时间正确同步后,在服务器上启动NTP服务,并在客户端服务器上执行以下命令验证NTP时间同步服务是否可用:#ntpdate-duadc1.tecmint.lan[你的ADDC服务器]验证NTP时间同步到此点,NTP服务应该正常工作。
