Присоединение дополнительного контроллера домена Ubuntu к контроллеру домена Samba4 AD для репликации при отказе — часть 5
В этом руководстве показано, как добавить второй контроллер домена Samba4, подготовленный на сервере Ubuntu 16.04, в существующий лес Samba AD DC по порядку. обеспечить определенную степень балансировки нагрузки/отработки отказа для некоторых важных служб AD DC, особенно для таких служб, как DNS и схема LDAP AD DC с базой данных SAM.
Требования
- Создание инфраструктуры Active Directory с помощью Samba4 в Ubuntu. Часть 1.
Эта статья представляет собой Часть 5 серии Samba4 AD DC следующего содержания:
Шаг 1. Начальная настройка Samba4.
1. Прежде чем приступить к фактическому присоединению к домену для второго контроллера домена, вам необходимо позаботиться о нескольких первоначальных настройках. Сначала убедитесь, что имя хоста системы, которая будет интегрирована в Samba4 AD DC, содержит описательное имя.
Предполагая, что имя хоста первой подготовленной области называется adc1, вы можете назвать второй контроллер домена с помощью adc2, чтобы обеспечить согласованную схему именования. между вашими контроллерами домена.
Чтобы изменить системное имя хоста, вы можете выполнить следующую команду.
hostnamectl set-hostname adc2
в противном случае вы можете вручную отредактировать файл /etc/hostname и добавить новую строку с нужным именем.
nano /etc/hostname
Здесь добавьте имя хоста.
adc2
2. Затем откройте файл разрешения локальной системы и добавьте запись с IP-адресом, который указывает на короткое имя и FQDN основного контроллера домена, как показано ниже. Скриншот.
В этом руководстве основным именем контроллера домена является adc1.tecmint.lan, и оно преобразуется в IP-адрес 192.168.1.254.
nano /etc/hosts
Добавьте следующую строку:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. На следующем шаге откройте /etc/network/interfaces и назначьте статический IP-адрес для вашей системы, как показано на снимке экрана ниже.
Обратите внимание на переменные dns-nameservers и dns-search. Эти значения должны быть настроены так, чтобы они указывали на IP-адрес основного Samba4 AD DC и области, чтобы разрешение DNS работало правильно.
Перезапустите сетевой демон, чтобы отразить изменения. Проверьте файл /etc/resolv.conf, чтобы убедиться, что оба значения DNS из вашего сетевого интерфейса обновлены в этом файле.
nano /etc/network/interfaces
Отредактируйте и замените свои собственные настройки IP:
auto ens33
iface ens33 inet static
address 192.168.1.253
netmask 255.255.255.0
brodcast 192.168.1.1
gateway 192.168.1.1
dns-nameservers 192.168.1.254
dns-search tecmint.lan
Перезапустите сетевую службу и подтвердите изменения.
systemctl restart networking.service
cat /etc/resolv.conf
Значение dns-search автоматически добавит имя домена, когда вы запрашиваете хост по его короткому имени (сформирует полное доменное имя).
4. Чтобы проверить, работает ли разрешение DNS должным образом, выполните серию команд ping для короткого имени вашего домена, полного доменного имени и области, как показано на снимке экрана ниже.
Во всех этих случаях DNS-сервер Samba4 AD DC должен ответить IP-адресом вашего основного контроллера домена.
5. Последний дополнительный шаг, о котором вам необходимо позаботиться, — это синхронизация времени с вашим основным контроллером домена. Это можно сделать, установив клиентскую утилиту NTP в вашей системе, выполнив следующую команду:
apt-get install ntpdate
6. Предполагая, что вы хотите вручную принудительно синхронизировать время с samba4 AD DC, запустите команду ntpdate для основного контроллера домена, введя следующую команду.
ntpdate adc1
Шаг 2. Установите Samba4 с необходимыми зависимостями
7. Чтобы зарегистрировать систему Ubuntu 16.04 в своем домене, сначала установите клиент Samba4, Kerberos и несколько другие важные пакеты для дальнейшего использования из официальных репозиториев Ubuntu, введя следующую команду:
apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Во время установки вам потребуется указать имя области Kerberos. Напишите свое доменное имя заглавными буквами и нажмите клавишу [Enter], чтобы завершить процесс установки.
9. После завершения установки пакетов проверьте настройки, запросив билет Kerberos для администратора домена с помощью команды kinit. Используйте команду klist, чтобы просмотреть выданный билет Kerberos.
kinit domain-admin-user@YOUR_DOMAIN.TLD
klist
Шаг 3. Подключитесь к Samba4 AD DC в качестве контроллера домена.
10. Прежде чем интегрировать свой компьютер в Samba4 DC, сначала убедитесь, что все демоны Samba4, работающие в вашей системе, остановлены, а также переименуйте файл конфигурации Samba по умолчанию, чтобы запустить его. чистый. При подготовке контроллера домена Samba создаст новый файл конфигурации с нуля.
systemctl stop samba-ad-dc smbd nmbd winbind
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Чтобы начать процесс присоединения к домену, сначала запустите только демон samba-ad-dc, после чего запустите samba-tool Команда для присоединения к области, используя учетную запись с правами администратора в вашем домене.
samba-tool domain join your_domain DC -U "your_domain_admin"
Отрывок из интеграции домена:
samba-tool domain join tecmint.lan DC -U"tecmint_user"
Пример вывода
Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. После того, как Ubuntu с программным обеспечением samba4 была интегрирована в домен, откройте основной файл конфигурации samba и добавьте следующие строки:
nano /etc/samba/smb.conf
Добавьте следующий отрывок в файл smb.conf.
dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
Замените IP-адрес DNS-пересылки на свой собственный IP-адрес DNS-пересылки. Samba будет пересылать все запросы разрешения DNS, находящиеся за пределами авторитетной зоны вашего домена, на этот IP-адрес.
13. Наконец, перезапустите демон samba, чтобы отразить изменения, и проверьте репликацию активного каталога, выполнив следующие команды.
systemctl restart samba-ad-dc
samba-tool drs showrepl
14. Кроме того, переименуйте исходный файл конфигурации Kerberos по пути /etc и замените его новым файлом конфигурации krb5.conf, созданным samba во время подготовки. домен.
Файл находится в каталоге /var/lib/samba/private. Используйте символическую ссылку Linux, чтобы связать этот файл с каталогом /etc.
mv /etc/krb5.conf /etc/krb5.conf.initial
ln -s /var/lib/samba/private/krb5.conf /etc/
cat /etc/krb5.conf
15. Также проверьте аутентификацию Kerberos с помощью файла samba krb5.conf. Запросите билет для пользователя-администратора и перечислите кэшированный билет, введя приведенные ниже команды.
kinit administrator
klist
Шаг 4. Дополнительные проверки доменных служб
16. Первый тест, который вам необходимо выполнить, — это разрешение Samba4 DC DNS. Чтобы проверить разрешение DNS вашего домена, запросите имя домена с помощью команды host по нескольким важным записям AD DNS, как показано на снимке экрана ниже.
DNS-сервер уже должен воспроизвести пару IP-адресов для каждого запроса.
host your_domain.tld
host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record
host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Эти записи DNS также должны быть видны на зарегистрированном компьютере под управлением Windows с установленными инструментами RSAT. Откройте диспетчер DNS и разверните записи TCP вашего домена, как показано на изображении ниже.
18. Следующий тест должен показать, работает ли репликация LDAP домена должным образом. С помощью samba-tool создайте учетную запись на втором контроллере домена и проверьте, реплицируется ли эта учетная запись автоматически на первом контроллере домена Samba4 AD.
На adc2:
samba-tool user add test_user
На adc1:
samba-tool user list | grep test_user
19. Вы также можете создать учетную запись из консоли Microsoft AD UC и проверить, отображается ли эта учетная запись на обоих контроллерах домена.
По умолчанию учетная запись должна быть автоматически создана на обоих контроллерах домена Samba. Запросите имя учетной записи из adc1 с помощью команды wbinfo.
20. Фактически, откройте консоль AD UC из Windows, разверните ее до Контроллеры домена, и вы увидите оба зарегистрированных компьютера DC.
Шаг 5. Включите службу Samba4 AD DC.
21. Чтобы включить службы samba4 AD DC во всей системе, сначала отключите некоторые старые и неиспользуемые демоны Samba и включите только службу samba-ad-dc, выполнив приведенные ниже команды. :
systemctl disable smbd nmbd winbind
systemctl enable samba-ad-dc
22. Если вы удаленно администрируете контроллер домена Samba4 из клиента Microsoft или в ваш домен интегрированы другие клиенты Linux или Windows, обязательно укажите IP-адрес adc2. машине к настройкам IP-адреса DNS-сервера сетевого интерфейса, чтобы получить уровень избыточности.
На снимках экрана ниже показаны конфигурации, необходимые для клиента Windows или Debian/Ubuntu.
Предполагая, что первый DC с 192.168.1.254 отключается от сети, измените порядок IP-адресов DNS-сервера в файле конфигурации, чтобы он не пытался сначала запросить недоступный DNS-сервер.
Наконец, если вы хотите выполнить локальную аутентификацию в системе Linux с учетной записью Samba4 Active Directory или предоставить root-права для учетных записей AD LDAP в Linux, прочитайте шаги 2 и 3 из руководства «Управление инфраструктурой Samba4 AD из командной строки Linux».