注:私はまた、彼はオーバー試験を何度も繰り返し、それは私たちは、それらの元に感謝したいと思い偉大な神をピットの多くを避けることができるようにすることを、結論されたことをチュートリアルのインターネットパッチワークから得ました。
A. 同社は、ネットワーク環境を導入しました:
111.198.18.XX:外部ネットワークへのG0 / 2ポート接続、固定のパブリックIPアドレスルータ1. H3C MSR
2. PDCドメインサーバ(また、DNSサーバ)10.1.0.1
BDCバックアップ・ドメイン・サーバー10.1.0.5
3. PPTPD仮想プライベートネットワーク・サーバは、vSphere ESXiサーバーを介して仮想マシンを作成します。
CentOSの7.7 1908、ネットワークアドレス10.1.0.24
クライアントのWindows7を確認してください。4.。
II。SambaのWinbindの+ CentOSにすることでADサービスドメインに追加:
1.基本的な環境が準備します:
⑴ネットワークカード情報を変更、DNSアドレスを追加し、ドメインのアドレスは次のとおりです。
#vim / etc / sysconfig / network-scriptsに/のifcfg-ens192
⑵SELinuxを変更します。#vimの/ etc /のsysconfig / selinuxを
即時効果:#setenforce 0
⑶ファイアウォールを一時的、フォローアップに必要なを閉じました。
firewalld && systemctl無効firewalld停止#systemctl
2.ヤムSambaが必要なソフトウェアのインストール(アリyumのソースをあらかじめ設定し、ここではスキップ):
#yum -y pam_krb5のインストール*のkrb5-libsの* krb5のワークステーション* krb5の-develの*サンバサンバ-winbindの*サンバ・クライアント*サンバ-SWAT * ntpdateを*
インストールが完了したら、関連サービスを開きます。
#systemctl再起動SMB NMB。systemctl再起動winbindの
ADドメインと3同期時間:
#ntpdate 10.1.0.5
4.設定:
⑴変更smb.confの、唯一のグローバル設定を追加、修正します。
#vimの/etc/samba/smb.conf
[グローバル]
ワークグループ= TEST
領域= TEST.COM
セキュリティ=広告
IDMAP設定*:範囲= 16777216-33554431
テンプレートシェル= / binに/ bashの
テンプレートHOMEDIR = /ホーム/%D /%U
winbindを列挙ユーザー= yesの
winbindの列挙型グループ=はい
winbindの使用デフォルトドメイン=真
のwinbindのオフラインログオン=真の
サーバーストリング= PPTPDサーバーの
ログファイル=の/ var /ログ/サンバ/ログ。%mの
最大ログサイズ= 50
のpassdbバックエンド=はtdbsam
暗号化パスワード= yesの
印刷=カップ
printcapの名前=カップ
負荷プリンター=はい
⑵nsswitch.confファイルを変更します。
#vimの/etc/nsswitch.conf
⑶krb5.confのを修正。
#vimの/etc/krb5.conf
includedir以下/etc/krb5.conf.d/
[ログ]
デフォルト= FILE:/var/log/krb5libs.log
KDC = FILE:/var/log/krb5kdc.log
admin_serverの= FILE:/var/log/kadmind.log
[のlibdefaults]
dns_lookup_realm = falseを
dns_lookup_kdc = falseを
ticket_lifetime = 24時間
renew_lifetime =図7D
転送可能=真
のRDN = FALSE
pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
のdefault_realm = TEST.COM
default_ccache_name = KEYRING:永続:%{UID}
[レルム]
TEST.COM = {
KDC = 10.1。 0.1
admin_serverの= 10.1.0.1
}
[のdomain_realm]
.example.comという= TEST.COM
example.comの= TEST.COM
5. [追加] ADドメイン:
#net広告参加-Uadministrator
添加した後、次のサービスを再起動します(ここで注意すべきことは、それ以外の場合は、エラーの可能性があり、単一の再起動でサービスを再起動することが最善ではありません):
#systemctl再起動SMB
#systemctl再起動winbindの
6.テストwinbindのサービス:
#wbinfo -t //テスト通信が成功するか、信頼関係が確立されていません
#Wbinfo -u //テストするかどうか、ドメイン・ユーザー・アカウントの同期
#Wbinfo -g //テストドメイングループ情報の同期化するかどうか
7.テストKerberosサービス:
#kinit *** TEST1 //テストユーザー
8.ドメインに参加するときにエラーが発生した場合は、次のコマンドを試すことができます。
⑴最初のキャッシュをクリアします:
#RM -rf /var/lib/samba/private/secrets.tdb
#RM -rf /var/lib/samba/gencache.tdb
⑵フィールドを終了SAMBA:
#net広告は-Uadministratorを残します
9.ファイアウォールの設定コマンド:
#systemctl再起動firewalld。ファイアウォールを有効にsystemctl
#ファイアウォール-CMD --permanent --add-サービス=サンバ//サンバサービスを追加
#ファイアウォール-CMD -reload
10.一般的に使用されるコマンド:
⑴過負荷のsmbd、nmbdは、winbinddの構成、すべてのターゲット・タイプに送信されたセットリロード-Configメッセージ:
すべてのリロード-config設定を#smbcontrol
⑵テストサンバの設定パラメータ:
#testparmの/etc/samba/smb.conf
⑶追加ADドメインのコマンドを実行します。
#net広告は "DOMAIN \管理者" -Uに参加します
III。PPTPDビルドサーバーで:
1. PPTPDサーバーのインストール:
⑴サーバ・エンド・システムのバージョンを確認してください。
#catの/ etc / redhatのリリース
⑵IPアドレス情報を確認してください。
#ipのADDR
⑶チェックPPPがオンになっています:
#catは/ dev / PPP
#modprobe PPP-圧縮-18 &&エコーOK
⑷インストールPPP:
#yum -y PPPをインストール
⑸インストールPPTPD:
①wgetのインストール:
#yum -y wgetのインストール
②EPELソースを追加します。
#wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
③取付EPEL出典:
#rpm -ivh EPEL-リリース - 最新7.noarch.rpm
④ソースを確認します。
#yum repolist
⑤アップデート元リスト:
#yum -y更新
⑹ネットワークIPアドレス内の仮想プライベートネットワークを設定します。
#vim /etc/pptpd.conf
#の前に次の2行は、仮想プライベートネットワークIPネットワークセグメント内に配置され、削除された、独自の上に設けられてもよいです
localip 10.1.0.24 //仮想プライベートネットワークサーバーのIPアドレス内
remoteip 10.1.2.100-150 //仮想プライベートネットワーク接続のIPアドレス
⑺設定opptions.pptpd:
#vi /etc/ppp/options.pptpd
①変更DNS(DNSアリ):
MS-DNS 233.5.5.5
MS-DNS 233.6.6.6
②変更ログの保管場所:
nologfd
ログファイル/var/log/pptpd.log
③認証モジュールは、認証のためのADドメインアカウントADを、ロードされ、対応する位置にコピーされ、非常に重要です。
プラグインwinbind.so
ntlm_authヘルパー "は/ usr / binに/ ntlm_auth --helperプロトコル= NTLMサーバ-1"
(私たちは、ここで設定していない仮想プライベートネットワークのADドメインログインアカウントを使用しているため、ユーザのためのないADドメイン環境)仮想プライベートネットワークのローカルアカウントを設定⑻:
#vimの/ etc / ppp / chap-secretsを
IPプロトコルのユーザーのパスワードルール
*** USER1 pptpdの123 * // *は任意のIP仮想プライベートネットワークを接続することができ表し
⑼ポリシーを転送する追加します。
net.ipv4.ip_forward = 1:下のアドオンで
#vimは/etc/sysctl.conf
net.ipv4.ip_forward = 1
有効にする-p //入力コマンド#sysctl、
⑽ファイアウォールのルールを変更します。
ルールファイルを作成し、次のルールを追加します。
#touch /usr/lib/firewalld/services/pptpd.xml
#vim /usr/lib/firewalld/services/pptpd.xml
<?xml version = "1.0" コード= "UTF-8"?>
<サービス>
<短期> PPTPD </ショート>
<説明> PPTP </記述>
<ポートプロトコル= "TCP" ポート= "1723" />
</サービス>
#systemctl再起動firewalld //再起動ファイアウォール
①サービスを追加します。
#ファイアウォール-CMD --permanent --zone =公共--add-サービス= PPTPD
②ファイアウォールマスカレードしてIPを許可します。
#ファイアウォール-CMD --add-マスカレード
③ポート開口47と1723:
#ファイアウォール-CMD --permanent --zone =公共--add-ポート= 47 / TCP
#ファイアウォール-CMD --permanent --zone =公共--add-ポート= 1723 / TCP
④grepのプロトコルを許可します:
#ファイアウォール-CMD --permanent --direct --add-ルールのIPv4フィルタINPUT 0 -p GRE -j ACCEPT
#ファイアウォール-CMD --permanent --direct --add-ルールのIPv4フィルタ出力0 -p GRE -j ACCEPT
⑤パケットインタフェースはeth0を許可するようにルールを設定し、PPP +(ここでは、ノート自身のカード名):
#ファイアウォール-CMD --permanent --direct --add-ルールのIPv4フィルタFORWARD 0 -i PPP + -o eth0の-j ACCEPT
FORWARD#ファイアウォール-CMD --permanent --direct --add-ルールのIPv4フィルタ0 -i eth0の-o PPP + -j ACCEPT
⑥はeth0が発行するすべてから送信されたパケット、変更するアドレスの送信元アドレスを偽装するために、転送ルールを設定します。
#ファイアウォール-CMD --permanent --direct --passthroughのIPv4 -t NAT -I POSTROUTING -o eth0の-j MASQUERADE -s 10.1.2.0/24
⑾オープン転送ルール:
2つの転送ルールは、ここで私は、ターミナルコマンドで2番目のコマンドを入力し、OpenVZのアーキテクチャを使用しています、があります。
①XENアーキテクチャ:
#iptables -tのnat -A POSTROUTING -s 10.1.2.0/24 -o eth0の-j MASQUERADE
②OpenVZのアーキテクチャ:
#iptables -tのnat -A POSTROUTING -s 10.1.2.0/24 -j SNAT --to-ソース111.198.18.XX
このよう111.198.18.XXとして、サーバーのIPへのパブリックIPに//仮想プライベートネットワーク
⑿編集rc.localにファイルが転送ルールを追加します。
①権限をrc.localに実行します:
#chmod + X /etc/rc.d/rc.localの
②編集rc.localにファイル:
OpenVZのアーキテクチャは、本明細書中で使用されます:
#vim /etc/rc.d/rc.localの
iptablesの-tのnat -A POSTROUTING -s 10.1.2.0/24 -j SNAT --to-ソース111.198.18.XX
#systemctl再起動RC-ローカル
⒀サービスを再起動し、ブートを設定します。
#systemctl再起動PPTPD。PPTPDを有効systemctl
#ファイアウォール-CMD -reload
⒁ビューPPTPDサービス:
-aux #ps | grepをPPTPD
2. H3C MSR36-20ルーターのNATポートマッピングの設定(自分のBaiduの上の他のブランド):
[H3C] SYS
[H3C]インターフェースギガビットイーサネット0/2
[H3C] 10.1.0.24 1723内部グローバル111.198.18.XX 1723 TCP NATサーバプロトコル
[H3C]出口
F保存[H3C]
[H3C] DIS NATすべてのNATを見る//すべて
4つのクライアント仮想プライベートネットワーク接続テスト(ここでは構成処理、画像上のいくつかのテストをスキップします):
仮想プライベートネットワーク接続を介して、ネットワークディスクには、PING DCのホストを経由し、接続することができます。
