Deltag i en ekstra Ubuntu DC til Samba4 AD DC til FailOver-replikering - Del 5
Denne vejledning viser dig, hvordan du tilføjer en anden Samba4-domænecontroller, der er tilvejebragt på Ubuntu 16.04-serveren, til den eksisterende Samba AD DC-skov for at give en vis grad af belastningsbalancering/failover for nogle vigtige AD DC-tjenester, især for tjenester såsom DNS og AD DC LDAP-skema med SAM-database.
- Opret en Active Directory-infrastruktur med Samba4 på Ubuntu - del 1
Denne artikel er en del-5 af Samba4 AD DC-serien som følger:
Trin 1: Indledende konfiguration til Samba4-opsætning
1. Inden du begynder at faktisk udføre domænetilslutning til den anden DC, skal du passe på få indledende indstillinger. Først skal du sikre dig, at værtsnavnet på systemet, der integreres i Samba4 AD DC, indeholder et beskrivende navn.
Hvis vi antager, at værtsnavnet på den første klargjorte verden hedder adc1
, kan du navngive den anden DC med adc2
for at give et ensartet navneskema på tværs af dine domænekontrollere.
For at ændre systemværtsnavnet kan du udstede kommandoen nedenfor.
# hostnamectl set-hostname adc2
ellers kan du manuelt redigere/etc/hostname-fil og tilføje en ny linje med det ønskede navn.
# nano /etc/hostname
Her tilføjes værtsnavnet.
adc2
2. Åbn derefter den lokale systemopløsningsfil og tilføj en post med IP-adresseheksen, der peger på det korte navn og FQDN for hoveddomænecontrolleren, som illustreret i nedenstående skærmbillede.
Gennem denne tutorial er det primære DC-navn adc1.tecmint.lan
, og det løses til IP-adressen 192.168.1.254.
# nano /etc/hosts
Tilføj følgende linje:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. På det næste trin skal du åbne/etc/netværk/grænseflader og tildele en statisk IP-adresse til dit system som illustreret i nedenstående skærmbillede.
Vær opmærksom på dns-nameservers og dns-search variabler. Disse værdier skal konfigureres til at pege tilbage til IP-adressen på det primære Samba4 AD DC og rige for at DNS-opløsningen skal fungere korrekt.
Genstart netværksdæmonen for at afspejle ændringer. Bekræft /etc/resolv.conf-filen for at sikre, at begge DNS-værdier fra din netværksgrænseflade opdateres til denne fil.
# nano /etc/network/interfaces
Rediger og erstat med dine tilpassede IP-indstillinger:
auto ens33 iface ens33 inet static address 192.168.1.253 netmask 255.255.255.0 brodcast 192.168.1.1 gateway 192.168.1.1 dns-nameservers 192.168.1.254 dns-search tecmint.lan
Genstart netværkstjenesten, og bekræft ændringer.
# systemctl restart networking.service # cat /etc/resolv.conf
Værdien for dns-søgning tilføjer automatisk domænenavnet, når du spørger en vært med sit korte navn (danner FQDN).
4. For at teste, om DNS-opløsning fungerer som forventet, skal du udstede en række ping-kommandoer mod dit domænes korte navn, FQDN og realm som vist i nedenstående skærmbillede.
I alle disse tilfælde skal Samba4 AD DC DNS-server svare med IP-adressen på din primære DC.
5. Det sidste ekstra trin, du skal passe på, er tidssynkronisering med din vigtigste domænecontroller. Dette kan opnås ved at installere NTP-klientværktøjet på dit system ved at udstede kommandoen nedenfor:
# apt-get install ntpdate
6. Forudsat at du manuelt vil tvinge tidssynkronisering med samba4 AD DC, skal du køre kommandoen ntpdate mod den primære DC ved at udstede følgende kommando.
# ntpdate adc1
Trin 2: Installer Samba4 med krævede afhængigheder
7. For at tilmelde Ubuntu 16.04-systemet til dit domæne skal du først installere Samba4, Kerberos-klienten og et par andre vigtige pakker til senere brug fra officielle Ubuntu-repositorier ved at udstede kommandoen nedenfor:
# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Under installationen skal du angive Kerberos rige navn. Skriv dit domænenavn med store bogstaver, og tryk på [Enter] -tasten for at afslutte installationsprocessen.
9. Når pakken er installeret, skal du kontrollere indstillingerne ved at anmode om en Kerberos-billet til en domæneadministrator ved hjælp af kinit-kommandoen. Brug klist-kommandoen til at liste den tildelte Kerberos-billet.
# kinit [email _DOMAIN.TLD # klist
Trin 3: Deltag i Samba4 AD DC som en domænecontroller
10. Inden du integrerer din maskine i Samba4 DC, skal du først sørge for, at alle Samba4-dæmoner, der kører på dit system, er stoppet, og også omdøbe standard Samba-konfigurationsfilen for at starte rensningen. Mens klargøring af domænecontrolleren opretter samba en ny konfigurationsfil fra bunden.
# systemctl stop samba-ad-dc smbd nmbd winbind # mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. For at starte domænetilslutningsprocessen skal du først starte kun samba-ad-dc-dæmonen, hvorefter du kører kommandoen samba-tool for at deltage i riget ved hjælp af en konto med administrative rettigheder på dit domæne.
# samba-tool domain join your_domain DC -U "your_domain_admin"
Uddrag af domæneintegration:
# samba-tool domain join tecmint.lan DC -U"tecmint_user"
Finding a writeable DC for domain 'tecmint.lan' Found DC adc1.tecmint.lan Password for [WORKGROUP\tecmint_user]: workgroup is TECMINT realm is tecmint.lan checking sAMAccountName Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Setting account password for ADC2$ Enabling account Calling bare provision Looking up IPv4 addresses Looking up IPv6 addresses No IPv6 address will be assigned Setting up share.ldb Setting up secrets.ldb Setting up the registry Setting up the privileges database Setting up idmap db Setting up SAM db Setting up sam.ldb partitions and settings Setting up sam.ldb rootDSE Pre-loading the Samba 4 and AD schema A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf Provision OK for domain DN DC=tecmint,DC=lan Starting replication Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0] Analyze and apply schema objects Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0] Replicating critical objects from the base DN of the domain Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0] Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0] Done with always replicated NC (base, config, schema) Replicating DC=DomainDnsZones,DC=tecmint,DC=lan Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0] Replicating DC=ForestDnsZones,DC=tecmint,DC=lan Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0] Committing SAM database Sending DsReplicaUpdateRefs for all the replicated partitions Setting isSynchronized and dsServiceName Setting up secrets database Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Efter at Ubuntu med samba4-softwaren er integreret i domænet, skal du åbne hovedkonfigurationsfilen til samba og tilføje følgende linjer:
# nano /etc/samba/smb.conf
Tilføj følgende uddrag til smb.conf-filen.
dns forwarder = 192.168.1.1 idmap_ldb:use rfc2307 = yes template shell = /bin/bash winbind use default domain = true winbind offline logon = false winbind nss info = rfc2307 winbind enum users = yes winbind enum groups = yes
Erstat dns-videresenders IP-adresse med din egen DNS-videresenders IP. Samba videresender alle DNS-opløsningsforespørgsler, der ligger uden for din domæneautoritative zone til denne IP-adresse.
13. Til sidst skal du genstarte samba-dæmonen for at afspejle ændringer og kontrollere aktiv katalogreplikering ved at udføre følgende kommandoer.
# systemctl restart samba-ad-dc # samba-tool drs showrepl
14. Derudover skal du omdøbe den oprindelige Kerberos-konfigurationsfil fra/etc-stien og erstatte den med den nye krb5.conf-konfigurationsfil, der er genereret af samba, mens du klargør domænet.
Filen findes i/var/lib/samba/private katalog. Brug Linux symlink til at linke denne fil til/etc biblioteket.
# mv /etc/krb5.conf /etc/krb5.conf.initial # ln -s /var/lib/samba/private/krb5.conf /etc/ # cat /etc/krb5.conf
15. Kontroller også Kerberos-godkendelse med filen samba krb5.conf. Anmod om en billet til en administratorbruger, og anfør den cachelagrede billet ved at udstede nedenstående kommandoer.
# kinit administrator # klist
Trin 4: Yderligere domænetjenestevalideringer
16. Den første test, du skal udføre, er Samba4 DC DNS-opløsning. For at validere din domænes DNS-opløsning skal du spørge domænenavnet ved hjælp af værtskommandoen mod et par vigtige AD DNS-poster som vist på nedenstående skærmbillede.
DNS-serveren skal nu afspille med et par af to IP-adresser til hver forespørgsel.
# host your_domain.tld # host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record # host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Disse DNS-poster skal også være synlige fra en tilmeldt Windows-maskine med installerede RSAT-værktøjer. Åbn DNS Manager, og udvid til dine domæne tcp-poster som vist i billedet nedenfor.
18. Den næste test skal angive, om LDAP-replikering af domæne fungerer som forventet. Brug samba-værktøj til at oprette en konto på den anden domænecontroller og kontrollere, om kontoen automatisk replikeres på den første Samba4 AD DC.
# samba-tool user add test_user
# samba-tool user list | grep test_user
19. Du kan også oprette en konto fra en Microsoft AD UC-konsol og kontrollere, om kontoen vises på begge domænecontrollere.
Som standard skal kontoen oprettes automatisk på begge samba-domænecontrollere. Forespørg kontonavnet fra adc1
ved hjælp af wbinfo-kommandoen.
20. Åbn AD UC-konsol fra Windows, udvid faktisk til Domain Controllers, og du skal se begge tilmeldte DC-maskiner.
Trin 5: Aktivér Samba4 AD DC Service
21. For at aktivere samba4 AD DC-tjenester i hele systemet skal du først deaktivere nogle gamle og ubrugte Samba-dæmoner og kun aktivere samba-ad-dc-tjenesten ved at køre nedenstående kommandoer:
# systemctl disable smbd nmbd winbind # systemctl enable samba-ad-dc
22. Hvis du fjernadministrerer Samba4-domænecontroller fra en Microsoft-klient, eller hvis du har andre Linux- eller Windows-klienter integreret i dit domæne, skal du sørge for at nævne IP-adressen på adc2
-maskinen til deres netværksinterface DNS-server IP-indstillinger for at få et niveau af redundans.
Nedenstående skærmbilleder illustrerer de konfigurationer, der kræves til en Windows- eller en Debian/Ubuntu-klient.
Hvis vi antager, at den første DC med 192.168.1.254 går offline, skal du vende rækkefølgen på DNS-serverens IP-adresser i konfigurationsfilen, så den ikke forsøger først at spørge om en utilgængelig DNS-server.
Endelig, hvis du vil udføre lokal autentificering på et Linux-system med en Samba4 Active Directory-konto eller give root-rettigheder til AD LDAP-konti i Linux, skal du læse trin 2 og 3 fra vejledningen Administrer Samba4 AD-infrastruktur fra Linux kommandolinje.