[[180955]]

這一節(jié)的Samba4 AD DC 架構(gòu)系列文章，我們將會(huì)討論如何把 Windows 10 系統(tǒng)的電腦添加到 Samba4 域環(huán)境中，以及如何在 Windows 10 系統(tǒng)下管理域環(huán)境。

一旦 Windows 10 系統(tǒng)加入到 Samba4 AD DC ，我們就可以在 Windows 10 系統(tǒng)中創(chuàng)建、刪除或者禁用域用戶和組了，可以創(chuàng)建新的組織單元，創(chuàng)建、編輯和管理域策略，還可以管理 Samba4 域 DNS 服務(wù)。

上面所有的功能和其它一些復(fù)雜的與域管理相關(guān)的工作都可以通過(guò) Windows 環(huán)境下的 RSAT 工具來(lái)完成—— Microsoft 遠(yuǎn)程服務(wù)器管理工具。

要求

1、 在 Ubuntu 系統(tǒng)上使用 Samba4 來(lái)創(chuàng)建活動(dòng)目錄架構(gòu)(一)

2、 在 Linux 命令行下管理 Samba4 AD 架構(gòu)(二)

***步：配置域時(shí)間同步

1、在使用 Windows 10 系統(tǒng)的 RSAT 工具來(lái)管理 Samba4 ADDC 之前，我們需要了解與活動(dòng)目錄相關(guān)的一個(gè)很重要的服務(wù)，該服務(wù)要求精確的時(shí)間同步。

在大多數(shù)的 Linux 發(fā)行版中，都由 NTP 進(jìn)程提供時(shí)間同步機(jī)制。AD 環(huán)境默認(rèn)允許***的時(shí)間差距是 5 分鐘。

如果時(shí)間差距超過(guò) 5 分鐘，你將會(huì)遇到各種各樣的異常報(bào)錯(cuò)，最嚴(yán)重的會(huì)影響到 AD 用戶、域成員服務(wù)器或共享訪問等。

為了在 Ubuntu 系統(tǒng)中安裝網(wǎng)絡(luò)時(shí)間協(xié)議進(jìn)程和 NTP 客戶端工具，可執(zhí)行以下命令：

$ sudo apt-get install ntp ntpdate    

在 Ubuntu 系統(tǒng)下安裝 NTP 服務(wù)

2、下一步，修改 NTP 配置文件，使用一個(gè)離你最近的 NTP 服務(wù)地址列表替換默認(rèn)的 NTP 池服務(wù)列表。

NTP 服務(wù)器地址列表可以從 NTP 地址庫(kù)項(xiàng)目官方網(wǎng)站獲取：http://www.pool.ntp.org/en/。

$ sudo nano /etc/ntp.conf 

在每一行 pool 前添加一個(gè) # 符號(hào)以注釋默認(rèn)的服務(wù)器列表，并替換為適合你的 NTP 服務(wù)器地址，如下圖所示：

pool 0.ro.pool.ntp.org iburst 
pool 1.ro.pool.ntp.org iburst 
pool 2.ro.pool.ntp.org iburst 
# Use Ubuntu's ntp server as a fallback. 
pool 3.ro.pool.ntp.org   

在 Ubuntu 系統(tǒng)下配置 NTP 服務(wù)

3、此時(shí)，先不要關(guān)閉該文件。移動(dòng)光標(biāo)到文件頂部，在 driftfile 參數(shù)后面添加下面一行內(nèi)容。該設(shè)置是為了讓客戶端查詢?cè)摲?wù)時(shí)使用 AD 的 NTP 簽署請(qǐng)求。

ntpsigndsocket /var/lib/samba/ntp_signd/   

使用 NTP 來(lái)同步 AD

4、***，移動(dòng)光標(biāo)到文件底部并添加如下一行內(nèi)容，如截圖所示，僅允許網(wǎng)絡(luò)客戶端查詢?cè)摲?wù)器上的時(shí)間。

restrict default kod nomodify notrap nopeer mssntp   

限制 NTP 服務(wù)的查詢客戶端

5、設(shè)置完成之后，保存并關(guān)閉 NTP 配置文件，為了讓 NTP 服務(wù)讀取 ntp_signed 目錄，需要授予 NTP 服務(wù)合適的權(quán)限。

以下是 Samba NTP socket 的系統(tǒng)路徑。之后，重啟 NTP 服務(wù)以應(yīng)用更改，并使用 netstat 命令與grep 過(guò)濾相接合來(lái)檢查 NTP 服務(wù)是否正常。

$ sudo chown root:ntp /var/lib/samba/ntp_signd/ 
$ sudo chmod 750 /var/lib/samba/ntp_signd/ 
$ sudo systemctl restart ntp 
$ sudo netstat –tulpn | grep ntp  

給 NTP 服務(wù)授權(quán)

使用 ntpq 命令行工具來(lái)監(jiān)控 NTP 進(jìn)程，加上 -p 參數(shù)來(lái)顯示摘要信息。

$ ntpq -p  

監(jiān)控 NTP 服務(wù)器池

第二步：處理 NTP 時(shí)間同步異常問題

6、有時(shí)候 NTP 進(jìn)程在嘗試與上游 ntp 服務(wù)端同步時(shí)間的計(jì)算過(guò)程中會(huì)卡住，導(dǎo)致客戶端使用 ntpdate 工具手動(dòng)強(qiáng)制同步時(shí)間時(shí)報(bào)如下錯(cuò)誤：

# ntpdate -qu adc1 
ntpdate[4472]: no server suitable for synchronization found  

NTP 時(shí)間同步異常

ntpdate 命令加上 -d 調(diào)試選項(xiàng)：

# ntpdate -d adc1.tecmint.lan 
Server dropped: Leap not in sync  

NTP Server Dropped Leap Not in Sync

7、為了避免出現(xiàn)該問題，使用下面的方法來(lái)解決這個(gè)問題：在服務(wù)器上停止 NTP 服務(wù)，使用 ntpdate 客戶端工具加上 -b 參數(shù)指定外部 peer 地址來(lái)手動(dòng)強(qiáng)制同步時(shí)間，如下圖所示：

# systemctl stop ntp.service 
# ntpdate -b 2.ro.pool.ntp.org  [你的 ntp peer] 
# systemctl start ntp.service 
# systemctl status ntp.service  

強(qiáng)制 NTP 時(shí)間同步

8、當(dāng)時(shí)間正確同步之后，啟動(dòng)服務(wù)器上的 NTP 服務(wù)，并且在客戶端服務(wù)器上執(zhí)行如下命令來(lái)驗(yàn)證 NTP 時(shí)間同步服務(wù)是否可用：

# ntpdate -du adc1.tecmint.lan    [你的 AD DC 服務(wù)器]  

驗(yàn)證 NTP 時(shí)間同步

至此， NTP 服務(wù)應(yīng)該已經(jīng)工作正常了。