Deltag i en ekstra Ubuntu DC til Samba4 AD DC til FailOver-replikering - Del 5

Denne vejledning viser dig, hvordan du tilføjer en anden Samba4-domænecontroller, der er tilvejebragt på Ubuntu 16.04-serveren, til den eksisterende Samba AD DC-skov for at give en vis grad af belastningsbalancering/failover for nogle vigtige AD DC-tjenester, især for tjenester såsom DNS og AD DC LDAP-skema med SAM-database.

1. Opret en Active Directory-infrastruktur med Samba4 på Ubuntu - del 1

Denne artikel er en del-5 af Samba4 AD DC-serien som følger:

Trin 1: Indledende konfiguration til Samba4-opsætning

1. Inden du begynder at faktisk udføre domænetilslutning til den anden DC, skal du passe på få indledende indstillinger. Først skal du sikre dig, at værtsnavnet på systemet, der integreres i Samba4 AD DC, indeholder et beskrivende navn.

Hvis vi antager, at værtsnavnet på den første klargjorte verden hedder adc1 , kan du navngive den anden DC med adc2 for at give et ensartet navneskema på tværs af dine domænekontrollere.

For at ændre systemværtsnavnet kan du udstede kommandoen nedenfor.

# hostnamectl set-hostname adc2

ellers kan du manuelt redigere/etc/hostname-fil og tilføje en ny linje med det ønskede navn.

# nano /etc/hostname

Her tilføjes værtsnavnet.

adc2

2. Åbn derefter den lokale systemopløsningsfil og tilføj en post med IP-adresseheksen, der peger på det korte navn og FQDN for hoveddomænecontrolleren, som illustreret i nedenstående skærmbillede.

Gennem denne tutorial er det primære DC-navn adc1.tecmint.lan , og det løses til IP-adressen 192.168.1.254.

# nano /etc/hosts

Tilføj følgende linje:

IP_of_main_DC		FQDN_of_main_DC 	short_name_of_main_DC

3. På det næste trin skal du åbne/etc/netværk/grænseflader og tildele en statisk IP-adresse til dit system som illustreret i nedenstående skærmbillede.

Vær opmærksom på dns-nameservers og dns-search variabler. Disse værdier skal konfigureres til at pege tilbage til IP-adressen på det primære Samba4 AD DC og rige for at DNS-opløsningen skal fungere korrekt.

Genstart netværksdæmonen for at afspejle ændringer. Bekræft /etc/resolv.conf-filen for at sikre, at begge DNS-værdier fra din netværksgrænseflade opdateres til denne fil.

# nano /etc/network/interfaces

Rediger og erstat med dine tilpassede IP-indstillinger:

auto ens33
iface ens33 inet static
        address 192.168.1.253
        netmask 255.255.255.0
        brodcast 192.168.1.1
        gateway 192.168.1.1
        dns-nameservers 192.168.1.254
        dns-search tecmint.lan

Genstart netværkstjenesten, og bekræft ændringer.

# systemctl restart networking.service
# cat /etc/resolv.conf

Værdien for dns-søgning tilføjer automatisk domænenavnet, når du spørger en vært med sit korte navn (danner FQDN).

4. For at teste, om DNS-opløsning fungerer som forventet, skal du udstede en række ping-kommandoer mod dit domænes korte navn, FQDN og realm som vist i nedenstående skærmbillede.

I alle disse tilfælde skal Samba4 AD DC DNS-server svare med IP-adressen på din primære DC.

5. Det sidste ekstra trin, du skal passe på, er tidssynkronisering med din vigtigste domænecontroller. Dette kan opnås ved at installere NTP-klientværktøjet på dit system ved at udstede kommandoen nedenfor:

# apt-get install ntpdate

6. Forudsat at du manuelt vil tvinge tidssynkronisering med samba4 AD DC, skal du køre kommandoen ntpdate mod den primære DC ved at udstede følgende kommando.

# ntpdate adc1

Trin 2: Installer Samba4 med krævede afhængigheder

7. For at tilmelde Ubuntu 16.04-systemet til dit domæne skal du først installere Samba4, Kerberos-klienten og et par andre vigtige pakker til senere brug fra officielle Ubuntu-repositorier ved at udstede kommandoen nedenfor:

# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

8. Under installationen skal du angive Kerberos rige navn. Skriv dit domænenavn med store bogstaver, og tryk på [Enter] -tasten for at afslutte installationsprocessen.

9. Når pakken er installeret, skal du kontrollere indstillingerne ved at anmode om en Kerberos-billet til en domæneadministrator ved hjælp af kinit-kommandoen. Brug klist-kommandoen til at liste den tildelte Kerberos-billet.

# kinit [email _DOMAIN.TLD
# klist

Trin 3: Deltag i Samba4 AD DC som en domænecontroller

10. Inden du integrerer din maskine i Samba4 DC, skal du først sørge for, at alle Samba4-dæmoner, der kører på dit system, er stoppet, og også omdøbe standard Samba-konfigurationsfilen for at starte rensningen. Mens klargøring af domænecontrolleren opretter samba en ny konfigurationsfil fra bunden.

# systemctl stop samba-ad-dc smbd nmbd winbind
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

11. For at starte domænetilslutningsprocessen skal du først starte kun samba-ad-dc-dæmonen, hvorefter du kører kommandoen samba-tool for at deltage i riget ved hjælp af en konto med administrative rettigheder på dit domæne.

# samba-tool domain join your_domain DC -U "your_domain_admin"

Uddrag af domæneintegration:

# samba-tool domain join tecmint.lan DC -U"tecmint_user"

Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC

12. Efter at Ubuntu med samba4-softwaren er integreret i domænet, skal du åbne hovedkonfigurationsfilen til samba og tilføje følgende linjer:

# nano /etc/samba/smb.conf

Tilføj følgende uddrag til smb.conf-filen.

dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes

   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
        winbind enum users = yes
        winbind enum groups = yes

Erstat dns-videresenders IP-adresse med din egen DNS-videresenders IP. Samba videresender alle DNS-opløsningsforespørgsler, der ligger uden for din domæneautoritative zone til denne IP-adresse.

13. Til sidst skal du genstarte samba-dæmonen for at afspejle ændringer og kontrollere aktiv katalogreplikering ved at udføre følgende kommandoer.

# systemctl restart samba-ad-dc
# samba-tool drs showrepl

14. Derudover skal du omdøbe den oprindelige Kerberos-konfigurationsfil fra/etc-stien og erstatte den med den nye krb5.conf-konfigurationsfil, der er genereret af samba, mens du klargør domænet.

Filen findes i/var/lib/samba/private katalog. Brug Linux symlink til at linke denne fil til/etc biblioteket.

# mv /etc/krb5.conf /etc/krb5.conf.initial
# ln -s /var/lib/samba/private/krb5.conf /etc/
# cat /etc/krb5.conf

15. Kontroller også Kerberos-godkendelse med filen samba krb5.conf. Anmod om en billet til en administratorbruger, og anfør den cachelagrede billet ved at udstede nedenstående kommandoer.

# kinit administrator
# klist

Trin 4: Yderligere domænetjenestevalideringer

16. Den første test, du skal udføre, er Samba4 DC DNS-opløsning. For at validere din domænes DNS-opløsning skal du spørge domænenavnet ved hjælp af værtskommandoen mod et par vigtige AD DNS-poster som vist på nedenstående skærmbillede.

DNS-serveren skal nu afspille med et par af to IP-adresser til hver forespørgsel.

# host your_domain.tld
# host -t SRV _kerberos._udp.your_domain.tld  # UDP Kerberos SRV record
# host -t SRV _ldap._tcp.your_domain.tld  # TCP LDAP SRV record

17. Disse DNS-poster skal også være synlige fra en tilmeldt Windows-maskine med installerede RSAT-værktøjer. Åbn DNS Manager, og udvid til dine domæne tcp-poster som vist i billedet nedenfor.

18. Den næste test skal angive, om LDAP-replikering af domæne fungerer som forventet. Brug samba-værktøj til at oprette en konto på den anden domænecontroller og kontrollere, om kontoen automatisk replikeres på den første Samba4 AD DC.

# samba-tool user add test_user

# samba-tool user list | grep test_user

19. Du kan også oprette en konto fra en Microsoft AD UC-konsol og kontrollere, om kontoen vises på begge domænecontrollere.

Som standard skal kontoen oprettes automatisk på begge samba-domænecontrollere. Forespørg kontonavnet fra adc1 ved hjælp af wbinfo-kommandoen.

20. Åbn AD UC-konsol fra Windows, udvid faktisk til Domain Controllers, og du skal se begge tilmeldte DC-maskiner.

Trin 5: Aktivér Samba4 AD DC Service

21. For at aktivere samba4 AD DC-tjenester i hele systemet skal du først deaktivere nogle gamle og ubrugte Samba-dæmoner og kun aktivere samba-ad-dc-tjenesten ved at køre nedenstående kommandoer:

# systemctl disable smbd nmbd winbind
# systemctl enable samba-ad-dc

22. Hvis du fjernadministrerer Samba4-domænecontroller fra en Microsoft-klient, eller hvis du har andre Linux- eller Windows-klienter integreret i dit domæne, skal du sørge for at nævne IP-adressen på adc2 -maskinen til deres netværksinterface DNS-server IP-indstillinger for at få et niveau af redundans.

Nedenstående skærmbilleder illustrerer de konfigurationer, der kræves til en Windows- eller en Debian/Ubuntu-klient.

Hvis vi antager, at den første DC med 192.168.1.254 går offline, skal du vende rækkefølgen på DNS-serverens IP-adresser i konfigurationsfilen, så den ikke forsøger først at spørge om en utilgængelig DNS-server.

Endelig, hvis du vil udføre lokal autentificering på et Linux-system med en Samba4 Active Directory-konto eller give root-rettigheder til AD LDAP-konti i Linux, skal du læse trin 2 og 3 fra vejledningen Administrer Samba4 AD-infrastruktur fra Linux kommandolinje.