Připojte další Ubuntu DC k Samba4 AD DC pro replikaci FailOver – část 5
Tento výukový program vám ukáže, jak přidat druhý řadič domény Samba4 zřízený na serveru Ubuntu 16.04 do stávající doménové struktury Samba AD DC v pořadí poskytnout určitý stupeň vyvažování zátěže/failover pro některé klíčové služby AD DC, zejména pro služby jako DNS a schéma AD DC LDAP s databází SAM.
Požadavky
- Vytvořte infrastrukturu Active Directory pomocí Samba4 na Ubuntu – část 1
Tento článek je 5. částí série Samba4 AD DC takto:
Krok 1: Počáteční konfigurace pro nastavení Samba4
1. Než začnete skutečně provádět připojování domény pro druhého DC, musíte se postarat o několik počátečních nastavení. Nejprve se ujistěte, že název hostitele systému, který bude integrován do Samba4 AD DC, obsahuje popisný název.
Za předpokladu, že název hostitele první zřízené sféry se nazývá adc1, můžete druhý DC pojmenovat pomocí adc2, abyste zajistili konzistentní schéma pojmenování. napříč vašimi řadiči domén.
Chcete-li změnit systémový název hostitele, můžete zadat níže uvedený příkaz.
hostnamectl set-hostname adc2
jinak můžete ručně upravit soubor /etc/hostname a přidat nový řádek s požadovaným názvem.
nano /etc/hostname
Zde přidejte název hostitele.
adc2
2. Dále otevřete soubor s rozlišením místního systému a přidejte položku s IP adresou, která ukazuje na krátký název a FQDN hlavního řadiče domény, jak je znázorněno níže. Snímek obrazovky.
V tomto kurzu je primární název DC adc1.tecmint.lan a překládá se na IP adresu 192.168.1.254.
nano /etc/hosts
Přidejte následující řádek:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. V dalším kroku otevřete /etc/network/interfaces a přiřaďte svému systému statickou IP adresu, jak je znázorněno na níže uvedeném snímku obrazovky.
Věnujte pozornost proměnným dns-nameservers a dns-search. Tyto hodnoty by měly být nakonfigurovány tak, aby ukazovaly zpět na IP adresu primární Samba4 AD DC a sféry, aby překlad DNS fungoval správně.
Restartujte síťového démona, aby se změny projevily. Ověřte soubor /etc/resolv.conf a ujistěte se, že obě hodnoty DNS z vašeho síťového rozhraní jsou aktualizovány na tento soubor.
nano /etc/network/interfaces
Upravit a nahradit vlastními nastaveními IP:
auto ens33
iface ens33 inet static
address 192.168.1.253
netmask 255.255.255.0
brodcast 192.168.1.1
gateway 192.168.1.1
dns-nameservers 192.168.1.254
dns-search tecmint.lan
Restartujte síťovou službu a potvrďte změny.
systemctl restart networking.service
cat /etc/resolv.conf
Hodnota dns-search automaticky připojí název domény, když zadáte dotaz na hostitele podle jeho krátkého názvu (bude tvořit FQDN).
4. Chcete-li otestovat, zda rozlišení DNS funguje očekávaným způsobem, zadejte řadu příkazů ping proti krátkému názvu vaší domény, FQDN a realmu, jak je znázorněno na níže uvedeném snímku obrazovky.
Ve všech těchto případech by měl server Samba4 AD DC DNS odpovědět IP adresou vašeho hlavního DC.
5. Posledním dalším krokem, o který se musíte postarat, je synchronizace času s vaším hlavním řadičem domény. Toho lze dosáhnout instalací klientského nástroje NTP do vašeho systému zadáním níže uvedeného příkazu:
apt-get install ntpdate
6. Za předpokladu, že chcete ručně vynutit synchronizaci času s samba4 AD DC, spusťte příkaz ntpdate proti primárnímu DC zadáním následujícího příkazu.
ntpdate adc1
Krok 2: Nainstalujte Samba4 s požadovanými závislostmi
7. Chcete-li do své domény zaregistrovat systém Ubuntu 16.04, nejprve nainstalujte Samba4, klienta Kerberos a několik další důležité balíčky pro pozdější použití z oficiálních úložišť Ubuntu vydáním níže uvedeného příkazu:
apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Během instalace budete muset zadat název sféry Kerberos. Napište název domény velkými písmeny a stisknutím klávesy [Enter] dokončete proces instalace.
9. Po dokončení instalace balíčků ověřte nastavení vyžádáním lístku Kerberos pro správce domény pomocí příkazu kinit. Pomocí příkazu klist vypíšete udělený lístek Kerberos.
kinit domain-admin-user@YOUR_DOMAIN.TLD
klist
Krok 3: Připojte se k Samba4 AD DC jako řadič domény
10. Před integrací vašeho počítače do Samba4 DC se nejprve ujistěte, že jsou zastaveni všichni démoni Samba4 běžící na vašem systému, a také přejmenujte výchozí konfigurační soubor Samba, aby bylo možné spustit čistý. Při zajišťování řadiče domény vytvoří samba od začátku nový konfigurační soubor.
systemctl stop samba-ad-dc smbd nmbd winbind
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Chcete-li zahájit proces připojení k doméně, nejprve spusťte pouze démona samba-ad-dc, poté spustíte samba-tool pro připojení do sféry pomocí účtu s administrátorskými právy ve vaší doméně.
samba-tool domain join your_domain DC -U "your_domain_admin"
Výňatek z integrace domény:
samba-tool domain join tecmint.lan DC -U"tecmint_user"
Ukázkový výstup
Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Po integraci Ubuntu se softwarem samba4 do domény otevřete hlavní konfigurační soubor samby a přidejte následující řádky:
nano /etc/samba/smb.conf
Přidejte následující úryvek do souboru smb.conf.
dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
Nahraďte IP adresu DNS forwarderu svou vlastní IP adresou DNS forwarderu. Samba předá všechny dotazy na překlad DNS, které jsou mimo autoritativní zónu vaší domény, na tuto IP adresu.
13. Nakonec restartujte démona samba, aby se projevily změny, a zkontrolujte replikaci aktivního adresáře provedením následujících příkazů.
systemctl restart samba-ad-dc
samba-tool drs showrepl
14. Navíc přejmenujte počáteční konfigurační soubor Kerberos z cesty /etc a nahraďte jej novým konfiguračním souborem krb5.conf generovaným sambou při zřizování domény.
Soubor je umístěn v adresáři /var/lib/samba/private. K propojení tohoto souboru s adresářem /etc použijte symbolický odkaz Linux.
mv /etc/krb5.conf /etc/krb5.conf.initial
ln -s /var/lib/samba/private/krb5.conf /etc/
cat /etc/krb5.conf
15. Také ověřte ověření Kerberos pomocí souboru krb5.conf samba. Vyžádejte si lístek pro administrátora a uveďte lístek uložený v mezipaměti vydáním níže uvedených příkazů.
kinit administrator
klist
Krok 4: Další ověření doménových služeb
16. První test, který musíte provést, je rozlišení Samba4 DC DNS. Chcete-li ověřit překlad DNS vaší domény, dotazujte se na název domény pomocí příkazu host proti několika důležitým záznamům AD DNS, jak je uvedeno na níže uvedeném snímku obrazovky.
DNS server by měl nyní přehrát s párem dvou IP adres pro každý dotaz.
host your_domain.tld
host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record
host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Tyto záznamy DNS by měly být viditelné také na zaregistrovaném počítači se systémem Windows s nainstalovanými nástroji RSAT. Otevřete Správce DNS a rozbalte záznamy tcp vaší domény, jak je znázorněno na obrázku níže.
18. Další test by měl ukázat, zda replikace domény LDAP funguje podle očekávání. Pomocí nástroje samba-tool vytvořte účet na druhém řadiči domény a ověřte, zda je účet automaticky replikován na první Samba4 AD DC.
Na adc2:
samba-tool user add test_user
Na adc1:
samba-tool user list | grep test_user
19. Můžete také vytvořit účet z konzoly Microsoft AD UC a ověřit, zda se účet zobrazuje na obou řadičích domény.
Ve výchozím nastavení by měl být účet automaticky vytvořen na obou řadičích domény samba. Dotaz na název účtu z adc1 pomocí příkazu wbinfo.
20. Ve skutečnosti otevřete konzolu AD UC ze systému Windows, rozbalte položku Domain Controllers a měli byste vidět oba zaregistrované počítače DC.
Krok 5: Povolte službu Samba4 AD DC
21. Chcete-li povolit služby samba4 AD DC v celém systému, nejprve vypněte některé staré a nepoužívané démony Samba a povolte pouze službu samba-ad-dc spuštěním níže uvedených příkazů :
systemctl disable smbd nmbd winbind
systemctl enable samba-ad-dc
22. Pokud vzdáleně spravujete řadič domény Samba4 z klienta Microsoft nebo máte ve své doméně integrované jiné klienty Linux nebo Windows, nezapomeňte uvést IP adresu adc2 nastavení IP serveru DNS, aby získali určitou úroveň redundance.
Níže uvedené snímky obrazovek ilustrují konfigurace požadované pro Windows nebo klienta Debian/Ubuntu.
Za předpokladu, že první DC s 192.168.1.254 přejde do režimu offline, změňte pořadí IP adres serveru DNS v konfiguračním souboru, aby se nepokusil dotazovat jako první nebo nedostupný DNS server.
A konečně, v případě, že chcete provést místní ověření v systému Linux pomocí účtu Samba4 Active Directory nebo udělit oprávnění root pro účty AD LDAP v systému Linux, přečtěte si kroky 2 a 3 z výukového programu Správa infrastruktury Samba4 AD z příkazového řádku systému Linux.