图像和文字:轻易解决DNS服务器创设(1)

要想让服务器按需运行,就需要对其进行正确管理与维护。作为网络管理员,在与服务器长时间亲密“接触”之后,或多或少地会积累一些服务器管理方面的经验;在这些经验的指导下,服务器的管理效率的确能够在一定程度上得到提高。可是,这些管理经验也不是万能的,如果我们片面地依赖它们的话,反而会在日后的管理维护中受到框框限制;为此,面对一些特殊的管理需求,我们有时需要另僻蹊径,跳出之前管理服务器的各种框框,只有这样才能享受异想不到的管理效果!

一般在实验室内网(192.168.xx.xx,port端口22)登录服务器很方便,但是有时假期回家或者外地出差,登不上服务器还是很耽误工作的,部分外网登录步骤比较麻烦,这里介绍一个简单的外网ip设置方法,

有人说管理思科ACI的是思科APIC。有点绕嘴。

其实早在samba2.2版本已经能非常好的支持samba做PDC主域控制器),只不过到了3.0对域的支持更加好,到现在为止最新的版本3.0,已经支持AD,并且支持Microsoft
Kerberos 认证、完全重写和可配置的认证子系统等新功能。

不管是在局域网还是互联网上,人们也都面临着另外一个困惑:计算机在网络上通讯时本来只能识别如“61.186.250.41”之类的数字地址,那么为什么当我们打开浏览器,在地址栏中输入如“www.popunet.com”的域名后,就能看到我们所需要的页面呢?

1、删除主机名无须到现场

只需要三步:

前几天发现了这个软件 Cisco APIC ZenPack
http://wiki.zenoss.org/ZenPack:Cisco\_APIC。

好了,我们来开始今天的任务,我们今天只是实现简单的域控制器PDC的建立,至于他支持的AD和Kerberos等功能大家慢慢的自己去研究,我也不是很懂哦:)

其实,上面的两个问题,都只是一个IP地址和域名相互“翻译”的过程。前者得建立一个指向相应IP地址的域名映射记录;对于后者,此记录已经建立并且在生效了。而这种“翻译”记录的建立,则需要用到同一种被称之为“DNS服务器”的计算机。

在局域网域环境中,当普通计算机第一次进入指定的Windows Server
2000系统域后,该计算机的主机名称就会被域控制器自动保存在对应的活动目录中了,那样的话局域网中的其他计算机就能及时看到新登录域目标计算机中的共享信息了。虽然域控制器的这一智能存储操作会给大家带来不小的方便与快捷,但是在某些时候该智能功能也会给大家带来烦恼;比方说,要是局域网中的某一计算机系统由于意外原因发生崩溃,在对它重装系统并设置了相同的主机名称之后,我们发现该计算机不能使用原来的主机名称登录域控制器了,这是什么原因呢,我们是否需要换名进行域控制器登录操作呢?

1. 拥有一个已开通80端口的静态IP

好像是来监控思科ACI的。其实应该是监控客户安装了的思科ACI。

1。安装samba,这个很简单了,如果你是fedora,就可以从光盘直接安装samba的rpm包。

DNS服务器用于TCP/IP网络如一般的局域网或互联网等)中,它用来通过用户友好的名称比如“www.pconline.com.cn”)代替难记的IP地址比如“61.186.250.41)以定位计算机和服务。因此,只要你需要用到如“www.pconline.com.cn”之类域名的地方,你都得首先确保已为此名字在DNS服务器中作好了相应的和IP地址的映射工作。

其实,重装系统的计算机之所以不能使用之前的主机名称登录局域网域控制器,是因为域控制器系统的活动目录中已经有了该主机名称的记录,只有想办法将活动目录中对应的主机名称记录删除掉,那么重装系统的计算机才能继续使用原来的主机名称正确登陆域控制器。一般来说,我们只要在域控制器现场以系统管理员帐号登录服务器系统,之后进入活动目录窗口,找到之前生成的主机名称记录,然后将它从域控制器中删除掉,就能解决重装系统的计算机不能以原来主机名称登录局域网域控制器的故障;不过,要是我们无法赶到域控制器服务器现场,是否能在本地计算机通过远程控制方式进入域控制器系统,并将其中的旧主机名记录删除掉呢?答案是肯定的,我们只要按照如下步骤进行操作就可以了:

学校/企事业单位一般是静态ip 动态ip、静态ip、pppoe拨号的区别,开通80端口需要到信息管理单位申请,建议直接在现有的外网ip上开通端口(怎么知道现在用的ip是否开通了80端口呢,简单的办法就是找个开通了80端口的ip来尝试登陆,虽然肯定登不上,但是开通和没开通的报错信息是不一样的,或者假设已开通按照下面的步骤来做,如果还登录不上,很有可能是没开通80端口;其他做法参照百度知道-如何测试外网IP地址是否开80端口?)

原文:

rpm -ivh samba-3.0.0-15.i386.rpm

本文将以Windows
2000高级服务器版以下简称Win2000)自带的DNS服务为例,一步步教会你如何在局域网中完成这个“翻译系统”的组建工作。

为了能够通过远程控制方式来管理域控制器服务器中的活动目录,我们首先需要在服务器系统中做一些准备工作。先以特权帐号登录进局域网域控制器系统,在该系统中执行网上搜索操作,将Windows
Server
2000系统的SP4补丁包下载到本地服务器硬盘中,之后通过专业的解压缩程序将SP4补丁包解压到系统中的一个临时文件夹中;再打开对应系统的资源管理器窗口,从中找到临时文件夹并用鼠标右键单击该文件夹图标,从弹出的快捷菜单中选择“共享”命令,在其后界面中将SP4的解压文件夹设置为共享状态。

扩展阅读服务器端口详解

This ZenPack provides support for monitoring theCisco Application
Centric Infrastructure (ACI)via theCisco Application Policy
Infrastructure Controller (APIC).

大家也可以直接到samba的官方网站

DNS服务器组建一、添加DNS服务

完成上面的准备工作后,我们可以在局域网的任意一台能够访问域控制器的计算机系统中,双击桌面上的“网上邻居”图标,进入对应的“网上邻居”窗口,从中找出域控制器服务器的主机名称,再用鼠标双击该主机名称,之后在弹出的身份验证对话框中输入域控制器服务器的合法登录帐号与密码,接着找到SP4补丁程序所在的共享文件夹,然后将该文件夹下面的“adminpak.msi”文件复制到本地计算机硬盘中;

如果要开通新的ip,需要给路由器加个交换机或者分配给新的房间网线接口。还可以用其他方式设置登录四步把实验室服务器搬回家

有机会研究吧。

或者下载最新的tar包,

默认的,当你安装好Win2000之后,DNS服务并没有被添加进去。请打开“控制面板→添加/删除程序→添加/删除Windows组件”,再在组件列表中双击“网络服务”,然后勾选中其下的“DNS服务器”一项,最后按“确定”按钮即可。

下面,用鼠标双击“adminpak.msi”文件图标,开始对该文件执行安装操作,等到安装操作完毕后,我们再单击本地系统桌面中的“开始”按钮,从弹出的“开始”菜单中依次选择“设置”/“控制面板”选项,打开本地系统的控制面板窗口,用鼠标双击该窗口中的“管理工具”图标,那样的话我们就能在其后界面中看到“Active
Directory用户和计算机”图标了;

这里默认已经完成此步骤,路由器上的外网ip是静态且开通了80端口的

那就最好按下面的方法编译

图片 1 

图1 身份验证对话框

ip查看方法  直接百度“本机ip”来查看

tar zvxf samba-3.0.0.tar.gz

紧接着按下Shift功能键不放,并且用鼠标右键单击“Active
Directory用户和计算机”图标,执行右键菜单中的“打开方式”命令,弹出如图1所示的身份验证对话框,在其中设置好域控制器的主机名称或IP地址,输入域控制器的登录帐号、密码,再单击“确定”按钮,登录进域控制器服务器的“Active
Directory用户和计算机”列表界面,从中找到需要删除的旧主机名称,并对该主机名称执行“删除”操作,最后返回到本地计算机系统界面,这样一来重装系统的计算机就能使用原来的主机名登录局域网域控制器了。

图片 2

cd samba-3.0.0

2、修改密码不要登录主域

简单粗暴 也可以在路由器管理网页路由设置-上网设置里面查看

./configure \
–prefix=/usr \
–bindir=/usr/bin \
–sbindir=/usr/sbin \
–libexecdir=/usr/libexec \
–datadir=/usr/share/samba \
–sysconfdir=/etc/samba \
–localstatedir=/usr/local/samba/var \
–libdir=/usr/lib \
–with-lockdir=/var/locks/samba \
–with-swatdir=/usr/share/samba/swat \
–with-codepagedir=/etc/samba/codepages \
–with-configdir=/etc/samba \
–with-smbwrapper \
–with-automount \
–with-smbmount \
–with-pam \
–with-pam_smbpass \
–with-winbind

最近,单位网络管理员在局域网中安装、配置了一台邮件服务器,并且为每一位单位员工开设了邮件帐号,而且每个邮件帐号都有原始密码,同时要求每位员工在下次登录邮件服务器时需要及时更改自己的帐号密码。然而这样的强行更改密码要求,让单位员工在实际更改邮件帐号密码的时候叫苦不迭,原来局域网中的计算机多半分属于不同的局域网域中,当单位员工在尝试对自己的帐号密码进行修改时,一定需要先从各自主机所在的局域网域中退出来,之后重新登录到邮件服务器主机所在的局域网主域中,在将自己的邮件帐号密码修改成功后,还需要再退出邮件服务器所在的主域服务器,然而再重新进入自己主机所在的域服务器。

2. 设置路由器 开通80端口

make

原本看上去很简单的邮件帐号密码更改操作,竟然进行的如此麻烦、如此复杂,很显然这不利于我们高效工作。那我们能否找到一种有效的办法,让单位员工在修改邮件帐号密码的时候不要登录邮件服务器主机所在的局域网域,就能完成帐号密码更改操作呢?其实很简单,我们只要按照下面的操作就能达到目的了:

打开浏览器,在地址栏输入路由器默认地址192.168.1.1或192.168.0.1

make intall

首先单位员工重新启动一下本地计算机系统,当成功登录进本地系统后,按下“Ctrl+Alt+Del”组合键,进入Windows安全设置对话框,单击其中的“更改密码”按钮,在弹出的密码更改设置窗口中,单位员工可以将网络管理员分配给自己的邮件帐号名称填写在“用户名”文本框中,并且将邮件服务器主机名称填写在“登录到”文本框中,将邮件帐号对应的初始密码填写在“旧密码”文本框中,再将需要为邮件帐号设置的新密码内容填写在“新密码”文本框中,在确认上面的内容输入正确后,单击“确定”按钮,如此一来单位员工在没有登录邮件服务器主机所在域服务器的情况下,就能成功更改自己的邮件帐号密码了。当然,上面的方法仅适用于安装了Windows
2000系统的普通工作站。

图片 3

ok!安装完以后,下面才是我们的重点,修改/etc/samba/smb.conf,大家最好在原来的基础上修改。

3、服务器日志也能远程查看

如果默认ip进不去 可以看看路由器底部有没有其他的ip

[global]

为了保护服务器的运行安全性,不少网络管理员动用了许多专业的安全工具来“护驾”服务器系统。其实,在手头没有专业安全工具可以利用的情况下,我们可以通过查看分析服务器系统中的日志文件,来跟踪服务器系统的安全运行状态,因为任何非法攻击在服务器系统中都会留下痕迹,而服务器系统的日志功能会及时记录下这样的蛛丝马迹,我们只要定期查看日志文件,就能及时判断出服务器的安全状态如何了,要是发现有非法攻击记录时,只要在第一时间内采取安全措施就能避免服务器的安全威胁进一步扩大了。可是话又说回来,我们往往需要在服务器现场才能查看日志文件,要是不在服务器现场的话,难道我们就没有办法查看到服务器系统中的日志文件了吗?答案是否定的!我们只要按照如下步骤设置一下服务器系统,就能通过远程访问方式来查看其中的日志文件了:

输入管理员密码

workgroup = bmit
netbios name = proxy
server string = Samba PDC running %v
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192
SO_RCVBUF=8192

首先以系统管理员权限进入服务器系统,检查该系统自带的II6.0功能组件是否安装成功,如果发现该功能还没有被安装时,那就需要先将对应的功能组件安装到服务器中;

图片 4

# 这里的workgroup =
bmit就代表bmit域,当然如果用bmit.com那就更加规范,但为了客户端输入的方便,还是直接bmit的好,netbios
name = proxy表示这台服务器的netbios名,socket options选项设置控制 TCP/IP
性能。所显示的设置就可以与基于 Linux 的系统一起很好地工作了。

一旦确认II6.0功能组件安装成功后,我们再打开服务器系统的“开始”菜单,从中依次选择“设置”/“控制面板”选项,在其后弹出的窗口中双击“添加或删除程序”选项,再单击“添加/删除Windows组件”标签,然后在对应标签设置页面中选中“应用程序服务器”项目,同时单击对应该项目下面的“详细信息”按钮;

有的路由器上贴着账号密码等信息

os level = 64
preferred master = yes
local master = yes
domain master = yes

图2 Internet信息服务(IIS)选项

图片 5

#domain master 选项是一个“开关”,通告 Samba 将成为主域控制器。local
master browser)是维护局域网机器列表的服务器被称为本地主浏览器。

下面选中Windows组件安装向导界面中的“Internet信息服务(IIS)”选项,再单击该选项下面的“详细信息”按钮;在其后弹出的安装向导界面中,将“万维网服务”选项选中(如图2所示),继续单击“详细信息”按钮,之后再在弹出的窗口中选中“远程管理(html)”选项,最后单击“确定”按钮,并根据向导提示完成剩余的安装操作;

点击“应用管理” 进入“虚拟服务器”

security = user
encrypt passwords = yes
domain logons = yes
log file = /var/log/samba/log.%m
log level = 2
max log size = 50
hosts allow = 127.0.0.1 192.168.1.0/255.255.255.0

在服务器系统中完成上面的设置操作后,我们日后无论位于局域网的哪个位置,只要任意找一台能够访问服务器的普通计算机,在该计算机系统中打开IE浏览器,并在该窗口的地址框中输入“

图片 6

#这里我们还是使用user验证方式,不要悬在所谓的domain,至于hosts
allow大家可以根据自己的需求写那些网段可以访问你的服务器,或者索性不写也行。

如图所示设置内网192.168.XX.XX的80端口

logon home = \\%L\%U\.profile
logon drive = H:
logon path = \\%L\profiles\%U
logon script = netlogon.bat

图片 7

#以上是漫游设置和登录脚本,logon path =
\\%L\profiles\%U,会于下面我们要说的 [profiles] 共享成对应关系。

3. 服务器linux操作系统里打开80端口

[homes]
comment = Home Directories
browseable = no
writeable = yes

sudo vim /etc/ssh/sshd_config 添加Port 80

[profiles]
path = /home/samba/profiles
writeable = yes
browseable = no
create mask = 0600
directory mask = 0700

图片 8

[netlogon]
comment = Network Logon Service
path = /home/netlogon
read only = yes
browseable = no
write list= root

/etc/init.d/ssh restart 重启一下

以上是关于共享的手腕子,其中profile是用来存放每个登录用户的设置文件,以便用户以后登录可以从服务器读取以前的桌面设置,netlogon是用来存放登录脚本的,所以要限制写的权限,假设这里只有root用户可以有权限。

现在就可以试试用新的外网ip登录服务器了

至于其他共享,完全可以参照《Samba3.0服务器实战调试》(

windows下putty 改成新ip和80端口 直接登录

接着是将用户和机器帐户添加到域控制器。

图片 9

先建立创建了下列各组以及创建两个必要目录,并设置正确的所有权。

图片 10

groupadd admin

mac终端也是一样 输入ssh name@202.XXX.XXX.XXX -p 80 回车

groupadd machines

小结一下:基本原理就是将路由器上的外网和内网ip连通,保证每个环节(ip\路由器\服务器)的80端口已打开

mkdir -m 0775 /home/netlogon

大功告成!

chown root.admins /home/netlogon

感谢伯远生物李阳师兄的指导~

mkdir /home/samba /home/samba/profiles

感谢思考问题的熊的热心讨论~

chown 1757 /home/samba/profiles

对上述目录设置正确的权限和所有权是保护服务器的关键一步哦 🙂

手工添加机器帐号

比如我的客户端的机器名是ibm240,那么我们可以这么做

useradd -g machines -d /dev/null -c “machine id” -s /bin/false ibm240$

passwd -l ibm240$

输入两遍密码;

不要忘记标上美元符号;这是必需的,它将该项标识为信任帐户

创建 linux 帐户后,我们现在可以将该机器添加到 /etc/samba/smbpasswd

smbpasswd -a -m ibm240

当然你也可以让系统自动添加机器帐号,用下面的方法,不过大家最好先试手动添加,成功后再试验系统自动添加

自动添加只要在[global]添加

add user script = /usr/sbin/useradd -d /dev/null -g machines -s
/bin/false -M %u

添加用户帐号

首先添加的是root帐户,把root加入到smb帐户中

smbpasswd -c root

这一步很重要,因为后面的加入域要用到有管理员的帐号加入域的权限,否则用普通用户好像不能顺利加入域

然后添加普通用户

useradd frank

passwd frank

smbpasswd -a frank

为了方便以后的管理,最好smb的用户密码和unix系统密码一样,这样我们还可以用到samba的密码同步功能

#下面的选项语句将允许用户从 Windows 客户机上更改他们的 Samba
密码,这样会随即更新他们的 UNIX 密码以与新的 Samba
项相匹配。但是如果更改了 UNIX
密码,那么同一技术不能逆向工作;必需手工同步更改 Samba
密码。也是在[global],初学者可以先不做这个工作。

unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*UNIX*password* %n\n
*Retype*new*UNIX*password* %n\n *Enter*new*UNIX*password*
%n\n *Retype*new*UNIX*password* %n\n *passwd:
*all*authentication*tokens*updated*successfully*

#上述语句中唯一值得一提的是 passwd chat
选项,不管这里如何显示它,都要将它输入成一行。还要注意有些选项使用“password”,而有些使用“passwd”。

Samba PDC
的配置就这样完成了。剩下唯一要做的是将客户机加入到域中。记得重启samba服务哦!

客户端的设置,这里由于条件的限制,我只试验了windows2000客户端加入域,至于winxp和win98的加入大家自己去试验。

win200机器最好先重启一下,可以避免一些不必要的问题)然后转至 控制面板
-> 网络-> 网络标示,如果机器目前被配置在 工作组 选项下,那么选中
域 单选按钮并输入域名bmit。

现在,通过使用用户名 root
和相应的密码登录到域。必需初始化服务器和客户机机器之间的“秘密”。从此时起,任何已认证的用户都可以从这台机器登录。
应该出现一个欢迎您来到 XX域的消息

恭喜你已经成功将samba配置成PDC

相关文章