Alăturați-vă unui Ubuntu DC suplimentar la Samba4 AD DC pentru replicarea FailOver - Partea 5
Acest tutorial vă va arăta cum să adăugați un al doilea controler de domeniu Samba4, furnizat pe serverul Ubuntu 16.04, la pădurea existentă Samba AD DC în ordine pentru a oferi un grad de echilibrare a sarcinii/failover pentru unele servicii AD DC esențiale, în special pentru servicii precum DNS și schema LDAP AD DC cu baza de date SAM.
Cerințe
- Creați o infrastructură Active Directory cu Samba4 pe Ubuntu - Partea 1
Acest articol este o Partea 5 din seria Samba4 AD DC, după cum urmează:
Pasul 1: Configurare inițială pentru configurarea Samba4
1. Înainte de a începe să efectuați efectiv alăturarea unui domeniu pentru al doilea DC, trebuie să aveți grijă de câteva setări inițiale. Mai întâi, asigurați-vă că numele de gazdă al sistemului care va fi integrat în Samba4 AD DC conține un nume descriptiv.
Presupunând că numele de gazdă al primului tărâm furnizat se numește adc1, puteți numi cel de-al doilea DC cu adc2 pentru a oferi o schemă de denumire consecventă peste controlerele dvs. de domeniu.
Pentru a schimba numele de gazdă sistemului, puteți lansa comanda de mai jos.
hostnamectl set-hostname adc2
altfel puteți edita manual fișierul /etc/hostname și adăugați o nouă linie cu numele dorit.
nano /etc/hostname
Aici adăugați numele de gazdă.
adc2
2. Apoi, deschideți fișierul de rezoluție a sistemului local și adăugați o intrare cu adresa IP care indică numele scurt și FQDN-ul ale controlerului de domeniu principal, așa cum este ilustrat mai jos. captură de ecran.
Prin acest tutorial, numele DC principal este adc1.tecmint.lan și se rezolvă la adresa IP 192.168.1.254.
nano /etc/hosts
Adăugați următorul rând:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. La pasul următor, deschideți /etc/network/interfaces și atribuiți o adresă IP statică pentru sistemul dvs., așa cum este ilustrat în captura de ecran de mai jos.
Acordați atenție variabilelor dns-nameservers și dns-search. Aceste valori ar trebui configurate pentru a indica adresa IP a Samba4 AD DC primar și a domeniului, pentru ca rezoluția DNS să funcționeze corect.
Reporniți demonul de rețea pentru a reflecta modificările. Verificați fișierul /etc/resolv.conf pentru a vă asigura că ambele valori DNS din interfața dvs. de rețea sunt actualizate la acest fișier.
nano /etc/network/interfaces
Editați și înlocuiți cu setările dvs. IP personalizate:
auto ens33
iface ens33 inet static
address 192.168.1.253
netmask 255.255.255.0
brodcast 192.168.1.1
gateway 192.168.1.1
dns-nameservers 192.168.1.254
dns-search tecmint.lan
Reporniți serviciul de rețea și confirmați modificările.
systemctl restart networking.service
cat /etc/resolv.conf
Valoarea dns-search va adăuga automat numele domeniului atunci când interogați o gazdă după numele scurt (va forma FQDN-ul).
4. Pentru a testa dacă rezoluția DNS funcționează conform așteptărilor, lansați o serie de comenzi ping împotriva numelui scurt al domeniului, FQDN și domeniul dvs., așa cum se arată în captura de ecran de mai jos.
În toate aceste cazuri, serverul Samba4 AD DC DNS ar trebui să răspundă cu adresa IP a DC-ului dumneavoastră principal.
5. Ultimul pas suplimentar de care trebuie să aveți grijă este sincronizarea timpului cu controlerul de domeniu principal. Acest lucru poate fi realizat prin instalarea utilitarului client NTP pe sistemul dvs. lansând comanda de mai jos:
apt-get install ntpdate
6. Presupunând că doriți să forțați manual sincronizarea orei cu samba4 AD DC, executați comanda ntpdate împotriva DC primar lansând următoarea comandă.
ntpdate adc1
Pasul 2: Instalați Samba4 cu dependențe necesare
7. Pentru a înscrie sistemul Ubuntu 16.04 în domeniul dvs., instalați mai întâi Samba4, clientul Kerberos și câteva alte pachete importante pentru utilizare ulterioară din depozitele oficiale Ubuntu prin lansarea comenzii de mai jos:
apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. În timpul instalării, va trebui să furnizați numele domeniului Kerberos. Scrieți numele domeniului dvs. cu majuscule și apăsați tasta [Enter] pentru a finaliza procesul de instalare.
9. După ce instalarea pachetelor se termină, verificați setările solicitând un bilet Kerberos pentru un administrator de domeniu folosind comanda kinit. Utilizați comanda klist pentru a lista biletul Kerberos acordat.
kinit domain-admin-user@YOUR_DOMAIN.TLD
klist
Pasul 3: Alăturați-vă la Samba4 AD DC ca controler de domeniu
10. Înainte de a vă integra mașina în Samba4 DC, asigurați-vă mai întâi că toți demonii Samba4 care rulează pe sistemul dvs. sunt opriți și, de asemenea, redenumiți fișierul de configurare Samba implicit pentru a porni curat. În timpul provizionării controlerului de domeniu, samba va crea un nou fișier de configurare de la zero.
systemctl stop samba-ad-dc smbd nmbd winbind
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Pentru a începe procesul de alăturare a domeniului, mai întâi porniți numai demonul samba-ad-dc, după care veți rula samba-tool comandă pentru a vă alătura tărâmului folosind un cont cu privilegii administrative pe domeniul dvs.
samba-tool domain join your_domain DC -U "your_domain_admin"
Extras de integrare a domeniului:
samba-tool domain join tecmint.lan DC -U"tecmint_user"
Ieșire eșantion
Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. După ce Ubuntu cu software-ul samba4 a fost integrat în domeniu, deschideți fișierul de configurare principal samba și adăugați următoarele linii:
nano /etc/samba/smb.conf
Adăugați următorul fragment în fișierul smb.conf.
dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
Înlocuiți adresa dns forwarder IP cu propriul dvs. IP forwarder DNS. Samba va redirecționa toate interogările de rezoluție DNS care se află în afara zonei de autoritate a domeniului dvs. la această adresă IP.
13. În cele din urmă, reporniți demonul samba pentru a reflecta modificările și verificați replicarea directorului activ executând următoarele comenzi.
systemctl restart samba-ad-dc
samba-tool drs showrepl
14. În plus, redenumiți fișierul de configurare Kerberos inițial din calea /etc și înlocuiți-l cu noul fișier de configurare krb5.conf generat de samba în timpul furnizării domeniul.
Fișierul se află în directorul /var/lib/samba/private. Utilizați linkul simbolic Linux pentru a conecta acest fișier la directorul /etc.
mv /etc/krb5.conf /etc/krb5.conf.initial
ln -s /var/lib/samba/private/krb5.conf /etc/
cat /etc/krb5.conf
15. De asemenea, verificați autentificarea Kerberos cu fișierul samba krb5.conf. Solicitați un bilet pentru un utilizator administrator și enumerați biletul stocat în cache lansând comenzile de mai jos.
kinit administrator
klist
Pasul 4: Validări suplimentare ale serviciilor de domeniu
16. Primul test pe care trebuie să-l efectuați este rezoluția Samba4 DC DNS. Pentru a valida rezoluția DNS a domeniului dvs., interogați numele domeniului utilizând comanda gazdă față de câteva înregistrări AD DNS esențiale, așa cum este prezentat în captura de ecran de mai jos.
Serverul DNS ar trebui să fie reluat până acum cu o pereche de două adrese IP pentru fiecare interogare.
host your_domain.tld
host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record
host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Aceste înregistrări DNS ar trebui să fie vizibile și de pe un computer Windows înscris cu instrumente RSAT instalate. Deschideți DNS Manager și extindeți-vă la înregistrările tcp ale domeniului dvs., așa cum se arată în imaginea de mai jos.
18. Următorul test ar trebui să indice dacă replicarea LDAP a domeniului funcționează conform așteptărilor. Folosind samba-tool, creați un cont pe al doilea controler de domeniu și verificați dacă contul este replicat automat pe primul Samba4 AD DC.
Pe adc2:
samba-tool user add test_user
Pe adc1:
samba-tool user list | grep test_user
19. De asemenea, puteți crea un cont de pe o consolă Microsoft AD UC și puteți verifica dacă contul apare pe ambele controlere de domeniu.
În mod implicit, contul ar trebui să fie creat automat pe ambele controlere de domeniu samba. Interogați numele contului din adc1 folosind comanda wbinfo.
20. De fapt, deschideți consola AD UC din Windows, extindeți-vă la Controlere de domeniu și ar trebui să vedeți ambele mașini DC înscrise.
Pasul 5: Activați serviciul Samba4 AD DC
21. Pentru a activa serviciile samba4 AD DC la nivelul întregului sistem, mai întâi dezactivați niște daemoni Samba vechi și neutilizați și activați numai serviciul samba-ad-dc rulând comenzile de mai jos :
systemctl disable smbd nmbd winbind
systemctl enable samba-ad-dc
22. Dacă administrați de la distanță controlerul de domeniu Samba4 de la un client Microsoft sau aveți alți clienți Linux sau Windows integrați în domeniul dvs., asigurați-vă că menționați adresa IP a adc2 mașină la setările IP ale serverului DNS de interfață de rețea pentru a obține un nivel de redundanță.
Capturile de ecran de mai jos ilustrează configurațiile necesare pentru un client Windows sau Debian/Ubuntu.
Presupunând că primul DC cu 192.168.1.254 devine offline, inversați ordinea adreselor IP ale serverului DNS din fișierul de configurare, astfel încât să nu încerce să interogă mai întâi un document indisponibil. server DNS.
În cele din urmă, în cazul în care doriți să efectuați autentificare locală pe un sistem Linux cu un cont Samba4 Active Directory sau să acordați privilegii root pentru conturile AD LDAP în Linux, citiți pașii 2 și 3 din tutorialul Gestionați infrastructura Samba4 AD din linia de comandă Linux.