Как ввести компьютер в домен

Мы подробно описали процесс добавления сервера в существующий домен Active Directory, а также настройку сети и подготовку Windows Server

Как включить ПК с windows 7 в домен

Включение ПК в домен позволит вам наслаждаться такими вкусностями домена, как масштабируемость, централизованное управление, групповые политики, настройки безопасности и многое другое.

Прежде чем присоединить к домену вашу машину с windows 7, убедитесь что выполнены следующие условия:

Вы используете windows 7 Professional, Ultimate или Enterprise — только эти дистрибутивы windows 7 можно включить в домен. windows 7 Home нельзя, даже не пытайтесь.

У вас есть сетевая карта (NIC) – подойдет беспроводная карточка

Вы физически подключены к локальной сети, из которой доступен контроллер домена

Обратите внимание, что windows 7 можно включить в домен без сетевого соединения с последним (эта функция появилась в домене на windows Server 2008 R2), но это тема отдельной статьи

У вас есть правильный IP адрес – для сети, к которой вы подключены. Вы можете настроить его вручную или получить с сервера DHCP.

Вы «видите» по сети контроллер домена.

У вас правильно настроен DNS-сервер — без правильной настройке DNS, ваш компьютер невозможно ввести в домен.

У вас есть права локально администратора — простой пользователь не сможет этого сделать.

Вы должны знать имя домена, и иметь активную пользовательскую/администраторскую учетную запись в домене. По-умолчанию любой пользователь домена может добавить 10 машин в домен. Но этот параметр может быть были изменены администратором домена.

Существует 3 варианта включения машины с 7 в домен: с помощью графического интерфейса (My Computer-> Properties->Change Settings->вкладка Computer Name), с помощью утилиты командной строки NETDOM, с помощью команды Power Shell (add-computer). На первом не буду останавливаться подробной, это все и так прекрасно знают.

С помощью же утилиты NETDOM можно решить задачу подключения к домену из командной строки. Но по-умолчанию эта утилита не работает! Как заставить работать netdom в windows 7?

Откройте окно командной строки с правами администратора и введите следующую строку:

Netdom join %computername% /domain:winitpro.ru /userd:DOMAIN\administrator /passwordd:

Примечание: Замените winitpro.ru на ваше имя домена, и введите верные имя и пароль пользователя. домен с вашим правильное имя домена, и, конечно, ввести соответствующие полномочия пользователя

Также обратите внимание на дополнительную букву “d” в параметрах /userd и /passwordd, это не опечатка

Перезагрузите компьютер. Вот и все, теперь вы в домене!

Также познакомьтесь со статьей: как запретить выход из домена, а также функцию offline domain join в windows Server 2008.

winitpro.ru

Таблица доменов первого уровня предназначенных для общественного использования

Рассматривая доменные уровни, следует отметить, что они являются международными.

Однако в зависимости от их расположения действуют законом, установленные ограничения или правила действующие на конкретной территории государства.

Домена первого уровня являются высшими в это цепочке адресов.

Есть географически определённые адреса, к которым относятся обозначения страну, где эти домены используются.

Примером таких доменных зон высшего уровня могут стать:

  • ru – РФ.
  • br – Бразилия.
  • cn – Китай.

Кроме географически определённых доменных имён особой полярностью пользуются домены первого уровня, которые имеют интернациональное общественное назначение.

В таблице будут приведены все доступные адреса:

Наименование доменного имени Его общественного назначение
com коммерция
net Сеть и сетевые настройки
org Некоммерческие организации
info Информационные порталы
biz Бизнес
name Частные порталы, где используются имена владельцев в качестве обозначения
aero Авиация и услуги предоставляемые ею
arpa Инфраструктура интернета
edu Образовательная система (преимущественно США)
int Международные компании
gov Правительство
mil Военные структуры
coop Обслуживающие организации и кооперативы
museum Музеи и лица причастные к ним
mobi Для мобильных устройств
pro Специалисты разных отраслей
tel Автоматические генераторы страниц с контактными данными
travel Путешествия, туризм, курорты
xxx Индустрия кино для взрослых

1. Создание файла ответов для автономного ввода (offline domain join) ПК в домен

Подключимся к консоли сервера используя Remote Desctop Protocol и запустим командную строку, либо консоль powershell. Используйте что вам больше нравится. В примере я буду использовать командную строку. для этого запущу утилиту cmd от имени администратора. Для этого щелкнем по Командной строке правой кнопкой мыши и выберем в появившемся окне Запустить от имени администратора.

Используя интерфейс командной строки введем следующую команду:

Справка по работе с утилитой Djoin.exe:

/PROVISION — подготавливает учетную запись компьютера в домене./DOMAIN — домена, к которому необходимо присоединиться./MACHINE — компьютера, присоединяемого к домену./MACHINEOU — необязательный параметр, определяющий подразделение, в котором создается учетная запись./DCNAME — необязательный параметр, определяющий целевой контроллер домена , на котором будет создана учетная запись./REUSE — повторно использовать существующую учетную запись (пароль будет сброшен)./SAVEFILE — сохранить данные подготовки в файл, расположенный по указанному пути./NOSEARCH — пропустить обнаружение конфликтов учетных записей; требуется DCNAME (более высокая производительность)./DOWNLEVEL — обеспечивает поддержку контроллера домена Windows Server 2008 или более ранней версии./PRINTBLOB — возвращает большой двоичный объект метаданных в кодировке base64 для файла ответов./DEFPWD — использовать пароль учетной записи компьютера по умолчанию (не рекомендуется)./ROOTCACERTS — необязательный параметр, включить корневые сертификаты центра сертификации./CERTTEMPLATE — необязательный параметр, шаблона сертификата компьютера. Включает корневые сертификаты центра
сертификации./POLICYNAMES — необязательный параметр, список имен политик, разделенных точкой с запятой. Каждое имя является отображаемым именем объекта групповой политики в AD./POLICYPATHS — необязательный параметр, список путей к политикам, разделенных точкой с запятой. Каждый путь указывает на расположение файла политик реестра./NETBIOS — необязательный параметр, Netbios-имя компьютера, присоединяемого к домену./PSITE — необязательный параметр, постоянного сайта, в который нужно поместить компьютер, присоединяемый к домену./DSITE — необязательный параметр, динамического сайта, в который первоначально помещается компьютер, присоединяемый к домену./PRIMARYDNS — необязательный параметр, основной DNS-домен компьютера, присоединяемого к домену./REQUESTODJ — требует автономного присоединения к домену при следующей загрузке./LOADFILE — , указанный ранее с помощью параметра /SAVEFILE./WINDOWSPATH — к каталогу с автономным образом Windows./LOCALOS — позволяет указывать в параметре /WINDOWSPATH локальную операционную систему.
Эту команду должен выполнять локальный администратор.
Для применения изменений потребуется перезагрузить компьютер.

В результате выполнения команды с приведенными выше параметрами мы получим файл ответов, который уже содержит в себе необходимые для работы Direct Access сертификаты, список политик direct access, необходимо пространство имен DNS.

Подключение ПК к домену

Ввести компьютер в домен можно двумя способами. Давайте рассмотрим их более подробно.

Первый метод

Это стандартный способ подключения ПК к домену. Выполните следующие шаги:

  • Нажмите значок «Пуск», щелкните правой клавишей мышки по ярлыку «Компьютер», выберите «Свойства»;
  • В пункте “Имя компьютера, домен и рабочие настройки» нажмите «изменить настройки»;
  • Откройте вкладку «Имя компьютера» и нажмите «Изменить»;
  • В разделе «Часть (чего-то)» выберите «Домен»;
  • Введите имя домена, к которому выполняется подключение, нажмите «OK»;
  • Введите имя еще раз, и пароль.

Затем выполните перезагрузку компьютера. После этого ПК будет подключен к домену в локальной сети.

Второй метод

Необходимо использовать приложение NETDOM. Чтобы подключить домен, в командной строке нужно ввести всего одну команду:

]

При этом:

  • Параметры «DOMAIN.COM» и «DOMAIN» нужно заменить на имя домена. Также нужно указать логин и пароль;
  • Дополнительная «d» в «user» и «password» не являются опечаткой;
  • В виндовс 7 NETDOM уже есть в операционной системе. В версиях виндовс 2000, XP и 2003 нужно установить Support Tools.

Чтобы завершить подключение, перезагрузите ПК.

Как ввести компьютер в домен? На примере компьютера под управлением windows 7

Написал admin. Опубликовано в рубрике Локальные сети

Здравствуйте, уважаемые любители компьютеров и читатели блога MyFirstComp.ru. Сегодня мы рассмотрим довольно важную тему, с которой сталкивался или обязательно столкнется в ближайшем будущем любой системный администратор. Корпоративная локальная сеть среднего или крупного предприятия в 99% случаев имеет доменную структуру. Это продиктовано, в первую очередь, политикой безопасности предприятия. Таким образом, все компьютеры сети используют настройки главного компьютера — домена (безопасность может обеспечиваться брандмауэром или защитником, которые легко можно отключить).

Сейчас предлагаю рассмотреть пример того, как ввести в домен компьютер под управлением windows 7. Хотя, в принципе, добавление в домен компьютеров с другими версиями windows не сильно отличается — главное понять суть.

Первым делом, вставляем сетевой кабель в компьютер=). Теперь необходимо настроить сетевое подключение. Щелкаем правой кнопкой по компьютеру в трее и открываем Центр управления сетями и общим доступом.

В появившемся окне нажимаем Изменение параметров адаптера — откроются все доступные сетевые подключения. Нам необходимо выбрать Подключение по локальное сети, щелкнуть по нему правой кнопкой мыши и выбрать Свойства.

Далее в списке нам нужен пункт Протокол Интернета версии 4 (TCP/IPv4). Выделяем его и нажимаем кнопку Свойства.

В открывшемся окне нужно ввести данные, такие как IP-адрес, маска подсети, шлюз и DNS-сервер. Должно получится что-то в таком духе.

Нажимаем ОК, тем самым сохраняя изменения. На этом подготовительная часть работ завершена. Теперь перейдем непосредственно к добавлению компьютера в домен.

Нажимаем Пуск, правой кнопкой щелкаем по пункту Компьютер, выбираем Свойства. В левой части окна находим пункт Дополнительные параметры системы и жмем по нему левой кнопкой мыши. В появившемся окне открываем вкладку Имя компьютера.

Далее нажимаем кнопку Изменить. Здесь указываем, что компьютер будет являться частью домена, и, соответственно, пишем имя этого домена. Получится примерно вот таким образом.

Нажимаем ОК. Последует запрос на ввод имени пользователя и пароля, который имеет право на присоединение компьютеров к домену, например, администратор домена. После этого потребуется перезагрузка.

По окончанию перезагрузки Ваш компьютер будет в домене.

Если компьютер выпал из домена

Да, бывает и такое. Компьютер может ни с того ни с сего отказаться видеть домен. Соответственно, авторизация не будет срабатывать.

В этом случае авторизуемся как локальный администратор. Затем в свойствах системы на вкладке Имя компьютера отмечаем, что компьютер является членом рабочей группы. Перезагружаемся.

Затем опять вводим компьютер в домен как показано выше и снова перезагружаемся.

Теги: windows, домен, компьютер

Создание пакета подготовки

Выполните действия, описанные в статье Подготовка компьютеров с общими параметрами к первоначальному развертыванию (мастер для настольных компьютеров). Однако следует запомнить описанные ниже действия по дополнительной настройке пакета подготовки для использования в учебном заведении, где компьютеры учащихся присоединяются к домену.

На этапе управления учетными записями:

Предупреждение
Если вы не создаете учетную запись локального администратора и устройство не регистрируется в Active Directory по какой бы то ни было причине, необходимо пересоздать образ на устройстве и начать все сначала. Рекомендуется действовать следующим образом.
Используйте учетную запись домена с минимальными правами для присоединения к домену.
Создайте временную учетную запись администратора, которая будет использоваться в целях отладки или повторной подготовки, если устройство не зарегистрировалось.

Используйте групповую политику для удаления временной учетной записи администратора после регистрации устройства в Active Directory.

Завершив работу с мастером, не нажимайте кнопку Создать. Вместо этого выберите команду Переключиться в расширенный редактор чтобы просмотреть все доступные параметры среды выполнения.

Найдите группу параметров SharedPCЗадайте для параметра EnableSharedPCMode значение TRUE, чтобы настроить компьютер для совместного использования..

(Необязательно) Чтобы настроить компьютер для безопасного тестирования, выполните указанные ниже действия.
В разделе Параметры среды выполнения выберите AssignedAccess > AssignedAccessSettings.

Введите {«Account»: «редмонд\киоскусер», «AUMID»: «Microsoft. Windows. SecureAssessmentBrowser_cw5n1h2txyewy! Приложение «}, используя учетную запись, которую вы хотите настроить.
Рис. 7. Добавление учетной записи для прохождения тестирования

Учетную запись можно указать в одном из следующих форматов:
имя_пользователя
домен\имя_пользователя
имя_компьютера\имя_пользователя
имя_пользователя@клиент.com

В разделе Параметры среды выполнения выберите TakeATest и настройте следующие параметры:
В качестве значения параметра LaunchURI введите URL-адрес оценки.
В качестве значения параметра TesterAccount укажите учетную запись тестирования, указанную на предыдущем этапе.

Чтобы настроить другие параметры и подготовить Windows к использованию в образовательном учреждении, откройте статью Рекомендации по настройке Windows 10 для образовательных учреждений и настройте рекомендуемые параметры с помощью конструктора конфигураций Windows.

Выполните действия по .
Отобразится путь к файлу вашего пакета подготовки. По умолчанию это %windir%\Users*ваше_имя_пользователя\Windows Imaging and Configuration Designer (WICD)*Имя_проекта)

Скопируйте пакет подготовки на USB-накопитель.

Важно!
При создании пакета подготовки вы можете включить конфиденциальную информацию в файлы проекта и в файл пакета подготовки (PPKG). Несмотря на то что у вас есть возможность шифрования PPKG-файла, файлы проекта не шифруются

Файлы проекта следует хранить в надежном месте, а если они больше не требуются, их необходимо удалять.

Ошибки в выборе имени Active Directory

Если вы давно читаете мой блог или только присоединились, то я вам напомню про вводную статью введение в Active Directory, там я постарался рассказать, что такое AD и как она работает, а главное из каких компонентов она состоит. Если вы внимательно читали, то знаете, что Active Directory не может работать без DNS серверов.

  • Я уверен, что большинство из вас знают, что DNS имена в интернете строятся по определенному принципу, оно состоит только из цифр, букв, точек и тире (про различные виды записей DNS я не говорю). Пример можно привести Pyatilistnik.org или например есть сайт all-mults.com. Есть стандарт из документа RFC 1123 об именовании доменов, где черным по белому прописано, что в названиях не должны присутствовать вот такие спецсимволы: знак собаки @, тильда ~, знак номера #, слэш / и \, нижнее подчеркивание, если вы по своему незнанию в качестве доменного имени выбрали, что то содержащее нижнее подчеркивание, то у вас например будут большие проблемы с почтовым сервером MS Exchange. Если бы не было стандартов, был бы хаос.
  • В качестве локальных имен Active Directory, люди выбирают внешние адреса, точнее имена второго уровня. Простой пример, у меня допустим есть предприятие Pyatilistnik.inc и администратор решил установить контроллер Active Directory и создать доменную структуру, но в качестве локального имени для него он взял pyatilistnik.org, теперь представьте, что ему теперь нужно развернуть веб сайт pyatilistnik.org. Представьте какой хаос начнется, когда людям нужно будет до него достучаться из локальной сети, будет конфликт с именем AD, вам чтобы решить проблему придется держать и внешнюю зону DNS и внутреннюю, что не удобно и приведет к ошибкам. Ниже я расскажу как правильно назвать домен active directory
  • Имена зон не входящие в глобальный официально зарегистрированный реестр ICANN. Примерами может служить зоны .local или например .nn, хотя я уверен, что и до них дойдет стандарт, так как данной организации выгодно делать деньги из воздуха, продавая имена, каких сейчас доменов уже не встретишь, но речь сегодня не об этом. Эти имена не правильно использовать в Activer Directory, так как их нельзя будет использовать за пределами вашей конторы, нельзя будет выпустить ssl сертификат на домен.

Хотя если вы делаете это в тестовой среде, то можно

Disjoint Namespace > бывают ситуации, когда DNS имя контроллера домена или компьютера не совпадают с его NETBIOS именем, например если бы у меня контроллер имел NETBIOS имя dc6, а доменное dc.pyatilistnik.org. Такие конструкции работоспособны и могут быть при слиянии предприятий, но при Disjoint Namespace могут быть и грабли с тем же MS Exchenge. Ниже пример совпадения и NETBIOS и DNS имени.

Иерархия доменов

Для упрощения логической структуры и повышения количества доступных комбинаций домены так же имеют иерархическую структуру и могут обозначать не только конкретный сайт, но и целые области или как их называют зоны. Раз они имеют иерархическую структуру то, следовательно, есть уровни вложенности доменов, то есть младшие входят в старшие.

Корневым для всех остальных доменов является домен обозначаемый точкой «.» еще встречается название домен нулевого уровня. Дальше идут домены первого уровня такие как «.ru», «.com», «.org» и так далее. Их еще называют зонами и делят на тематические «.com», «.net», «.info» и национальные, то есть закрепленные за странами «.ru», «.ua», «.en», а так же интернационализованные «.рф», «.рус», «.укр», «مصر.» основанные на не латинских алфавитах. Следом идут домены второго уровня, являющиеся уже непосредственно отдельными сайтами, например «beginpc» или «google».

Допустимая длинна имени домена имеет следующие ограничения. Минимальная длинна составляет 2 символа, но в некоторых зонах это 3 или даже 4 символа. Максимальная длинна ограничена 63 символами, но в некоторых зонах можно использовать 127 символов. Хотя в подавляющем большинстве случаев стараются использовать максимально короткие имена с целью простоты запоминания и набора вручную, некоторые идут другим путем и появляются такие образцы как zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz.ru или llanfairpwllgwyngyllgogerychwyrndrobwyll-llantysiliogogogoch.info

Доменное имя записывается в виде строки, где домены указываются слева направо от младших к старшим и разделяются между собой точкой. Чтобы было наглядней, давайте посмотрим на конкретном примере. Вы наверно уже догадались, что «beginpc.ru» как раз и есть доменное имя этого сайта. В данном случае у нас два набора символов разделенных точкой, следовательно «ru» является доменом старшего уровня, а «beginpc» младшим по отношению к нему или по другому доменом второго уровня. Корневой домен обычно не указывается в записи, но он есть и в полном виде это выглядит так «beginpc.ru.». Раньше перед доменом второго уровня добавляли еще домен третьего уровня «www», то есть адрес выглядел как www.yandex.ru но сейчас обычно его опускают.

Возьмем еще в качестве примера поисковую систему Яндекс. Главная страница имеет имя yandex.ru, а часть сервисов располагаются на отдельных доменах: новости — news.yandex.ru, музыка — music.yandex.ru, маркет — market.yandex.ru

Из этих двух примеров можно сделать следующие выводы. Домен «ru» является доменом верхнего уровня, в котором располагаются домены второго уровня «beginpc» и «yandex». В домен второго уровня «yandex» входят домены третьего уровня «news», «music», «market». Уровней вложенности может быть и больше. Тут есть один момент, требующий пояснения.

Домен «ru» является общедоступной доменной областью верхнего уровня, поскольку в нее входят множество не связанных между собой сайтов помимо приведенных в примере. Любой человек или организация может зарегистрировать в ней сайт соблюдая определенные правила. Зато домены «beginpc» и «yandex» являются частными и создавать вложенные домены имеют право только их владельцы, которым Яндекс и воспользовался. В таких случаях, когда на младшем домене располагается какая та часть основного сайта, обычно говорят, что это поддомен или субдомен.

Что такое доменное имя сайта мы разобрались. Осталось осветить несколько моментов. Мы уже упоминали требование уникальности имени в пределах домена, поэтому в зоне «ru» может быть зарегистрирован только один сайт с именем yandex. Зато такой же домен может быть зарегистрирован в других зонах, например yandex.com или yandex.org Поэтому крупные компании обычно регистрируют свой домен во всех основных доменах верхнего уровня, чтобы это не сделали конкуренты или злоумышленники.

Вроде все просто, однако осталось решить маленькую техническую проблему. Поскольку адресация в интернете основана на сетевых протоколах TCP/IP, а пользователи оперируют доменными именами, то их нужно как-то связать между собой. Чтобы вводя имя сайта в адресную строку браузера, мы попадали на соответствующий сервер. Вы же понимаете, что что браузер просто не знает на каком из бесчисленного множества серверов находится нужный нам сайт в настоящее время. Для этого придумали такую штуку как DNS-сервер, но как это работает тема для отдельного разговора.

Авторизация в Ubuntu через пользователей домена

Несмотря на то, что все пользователи домена фактически стали полноценными пользователями системы (в чём можно убедиться, выполнив последние две команды из предыдущего раздела), зайти ни под кем из них в систему всё ещё нельзя. Для включения возможности авторизации пользователей домена на компьютере с Ubuntu необходимо настроить PAM на работу с Winbind.

Он-лайн авторизация

Для Ubuntu 10.04 и выше добавьте всего одну строку в файле , т.к. PAM и так неплохо справляется с авторизацией:

session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077

Для Ubuntu 13.10 чтобы появилось поле ручного ввода логина необходимо в любой файл из папки снизу добавить строку:

greeter-show-manual-login=true

Для Ubuntu 9.10 и ниже придется редактировать несколько файлов (но никто не запрещает использовать этот способ и в 10.04 — он тоже работает):

Последовательность строк в файлах имеет значение!

auth        required      pam_env.so
auth        sufficient    pam_unix.so likeauth nullok try_first_pass
auth        sufficient    pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE
auth        required      pam_deny.so
account     sufficient    pam_winbind.so
account     required      pam_unix.so
session     optional      pam_mkhomedir.so skel=/etc/skel/ umask=0077
session     optional      pam_ck_connector.so nox11
session     required      pam_limits.so
session     required      pam_env.so
session     required      pam_unix.so
password    sufficient    pam_unix.so try_first_pass use_authtok nullok sha512 shadow
password    sufficient    pam_winbind.so
password    required      pam_deny.so

И, наконец, необходимо перенести запуск Winbind при загрузке системы после всех остальных служб (по умолчанию он запускается с индексом 20). Для этого в терминале выполните следующую команду:

sudo bash -c "for i in 2 3 4 5; do mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind; done"

Что эквивалентно запуску для каждого уровня (в примере — 4) команды:

mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind

В некоторых случаях winbind может иметь иной уровень запуска (например, S02winbind). Поэтому сначала проверьте имена файлов, вполнив команду «ls /etc/rc{2,3,4,5}.d/ | grep winbind» (без кавычек).

Готово, все настройки завершены. Перезагружайтесь и пытайтесь войти с учетной записью пользователя домена.

Офф-лайн авторизация

Часто возникает ситуация, когда домен-контроллер недоступен по различным причинам — профилактика, отключение света или вы принесли ноутбук домой и хотите поработать. В этом случае для Winbind можно настроить кэширование учетных записей пользователей домена. Для этого необходимо сделать следующее. Добавьте в секцию файла следующие строки:

   # Возможность оффлайн-авторизации при недоступности доменконтроллера
   winbind offline logon = yes
   # Период кэширования учетных записей, по умолчанию равен 300 секунд
   winbind cache time = 300
   # Необязательная настройка, но избавляет от нудных пауз, указываем контроллер домена dc,
   # можно указать и ip, но это является плохим тоном
   password server = dc

Обычно этого достаточно. Если же возникают ошибки, то необходимо создать файл со следующим содержанием:

Внимание! При использовании советов ниже может возникать совершенно случайная ошибка «Сбой аутентификации»! Поэтому все что Вы делаете, Вы делаете на свой страх и риск!

#
# pam_winbind configuration file
#
# /etc/security/pam_winbind.conf
#

  # turn on debugging
  debug = no
  # request a cached login if possible
  # (needs "winbind offline logon = yes" in smb.conf)
  cached_login = yes
  # authenticate using kerberos
  krb5_auth = yes
  # when using kerberos, request a "FILE" krb5 credential cache type
  # (leave empty to just do krb5 authentication but not have a ticket
  # afterwards)
  krb5_ccache_type = FILE
  # make successful authentication dependend on membership of one SID
  # (can also take a name)
  ;require_membership_of =
  silent = yes

Файл в таком случае принимает вид:

auth    sufficient      pam_unix.so nullok_secure
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so

А также изменяется файл :

auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so
Оригинал https://help.ubuntu.ru/wiki/%D0%B2%D0%B2%D0%BE%D0%B4_%D0%B2_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD_windows

Причины ошибки «Не удалось изменить DNS-имя основного контроллера домена»

Рассмотрим причины, по которым ваш компьютер не может пройти аутентификацию на DC и не содержится в его базе.

  • Остались хвосты от предыдущей учетной записи с тем же именем
  • Проблема в отключенном  NetBIOS в TCP/IP
  • Режет пакеты Firewall
  • На контроллере закрыт UDP-порт 137
  • Отсутствует PTR запись на dns имя этой учетной записи компьютера

Чистим старые хвосты в Active Directory

Сразу хочу отметить, что данный способ у меня отработал сразу. Я полностью удалил учетную запись компьютера, с которым были проблемы. После чего снова добавил нужный сервер в домен, и он уже не выдавал ошибку «Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера». Учетная запись появилась в привычном контейнере «Computers»

Убедитесь, что включен NetBIOS через TCP/IP

Нажмите WIN+R и введите ncpa.cpl, у вас откроется окно «Панель управления\Все элементы панели управления\Сетевые подключения». Выберите ваш сетевой интерфейс, который смотрит в туже сеть, что и DC его аутентифицирующий. Перейдите в свойства сетевого интерфейса, выберите «Протокол Интернета версии 4 (TCP/IPv4)», далее кнопка «Дополнительно». На вкладке WINS, вам необходимо выбрать пункт «Включить NetBIOS» через TCP/IPv4 и сохранить настройки.

Так же на вкладке DNS, вы можете прописать дополнительные DNS суффиксы (полное имя домена), нажмите ок.

В принципе этого достаточно, чтобы избавится от ошибки «»Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя «» является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы»»

Если вам не помогли манипуляции, то ставьте варшарк и смотрите трафик и доступность портов, не блокирует ли у вас то-то.

Настройка Winbind

Если вам необходимо как-либо работать с пользователями домена, например, настраивать SMB-шары с разграничением доступа, то вам понадобится кроме самой Samba ещё и Winbind — специальный демон, служащий для связи локальной системы управления пользователями и группами Linux с сервером Active Directory. Проще говоря Winbind нужен, если вы хотите видеть пользователей домена на своём компьютере с Ubuntu.

Winbind позволяет спроецировать всех пользователей и все группы AD в вашу Linux систему, присвоив им ID из заданного диапазона. Таким образом вы сможете назначать пользователей домена владельцами папок и файлов на вашем компьютере и выполнять любые другие операции, завязанные на пользователей и группы.

Для настройки Winbind используется всё тот же файл . Добавьте в секцию следующие строки:

   # Опции сопоставления доменных пользователей и виртуальных пользователей в системе через Winbind.
   # Диапазоны идентификаторов для виртуальных пользователей и групп.
   idmap uid = 10000 - 40000
   idmap gid = 10000 - 40000
   # Эти опции не стоит выключать.
   winbind enum groups = yes
   winbind enum users = yes
   # Использовать домен по умолчанию для имён пользователей. Без этой опции имена пользователей и групп
   # будут использоваться с доменом, т.е. вместо username - DOMAIN\username.
   # Возможно именно это вам и нужно, однако обычно проще этот параметр включить.
   winbind use default domain = yes
   # Если вы хотите разрещить использовать командную строку для пользователей домена, то
   # добавьте следующую строку, иначе в качестве shell'а будет вызываться /bin/false
   template shell = /bin/bash
   # Для автоматического обновления билета Kerberos модулем pam_winbind.so нужно добавить строчку
   winbind refresh tickets = yes

Параметры :idmap uid = 10000 — 40000

idmap gid = 10000 — 40000

в новых версиях Samba уже устарели и при проверке конфига самбы с помощью testparm будет выдваться предупреждение:

WARNING: The «idmap uid» option is deprecated

WARNING: The «idmap gid» option is deprecated

Чтобы убрать предупреждения нужно заменить эти строки на новые:

idmap config * : range = 10000-20000

idmap config * : backend = tdb

Теперь перезапустите демон Winbind и Samba в следующем порядке:

sudo /etc/init.d/winbind stop
sudo smbd restart
sudo /etc/init.d/winbind start

Запускаем

sudo testparm

Смотрим есть ли ошибки или предупреждения, если появится:

«rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)»

Без перезагрузки можно устранить так:

ulimit -n 16384

Для сохранения после перезагрузки отредактировать файл /etc/security/limits.conf

# Добавить в конец файла строки:
*               -    nofile            16384
root            -    nofile            16384

После перезапуска проверьте, что Winbind установил доверительные отношения с AD командой:

# wbinfo -t
checking the trust secret for domain DCN via RPC calls succeeded

А так же, что Winbind увидел пользователей и группы из AD командами:

wbinfo -u
wbinfo -g

Эти две команды должны выдать список пользователей и групп из домена соответственно. Либо с префиксом , либо без него — в зависимости от того, какое значение вы указали параметру «winbind use default domain» в .

Итак, Winbind работает, однако в систему он ещё не интегрирован.

Вывод

Исходя из материалов статьи, можно сделать вывод, что домен одно из важнейших составляющих адреса любого сайта в интернете.

Без закреплённых наименований перейти на ресурс, используя браузер, будет невозможно

Многие разработчики уделяют вопросу подбора домена большое внимание.. Объясняется это тем, что от названия портала зависит многое, как и от его расположения.

Объясняется это тем, что от названия портала зависит многое, как и от его расположения.

Если оно будет нечитаемым и не лаконичным, а также располагаться, в мало известных зонах первого уровня количество посетителей ресурса будет минимальным.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
HOSTBOARD.RU
Добавить комментарий