Bli med en ekstra Ubuntu DC til Samba4 AD DC for FailOver-replikering - del 5

Denne opplæringen viser deg hvordan du legger til en andre Samba4-domenekontroller, levert på Ubuntu 16.04-serveren, til den eksisterende Samba AD DC-skogen for å gi en grad av lastbalansering/failover for noen viktige AD DC-tjenester, spesielt for tjenester som f.eks. DNS og AD DC LDAP-skjema med SAM-database.

1. Lag en Active Directory-infrastruktur med Samba4 på Ubuntu – Del 1

Denne artikkelen er en del-5 av Samba4 AD DC-serien som følger:

Trinn 1: Innledende konfigurasjon for Samba4-oppsett

1. Før du faktisk begynner å utføre domenesammenføyning for den andre DC, må du ta vare på noen få innledende innstillinger. Først må du kontrollere at vertsnavnet til systemet som skal integreres i Samba4 AD DC inneholder et beskrivende navn.

Forutsatt at vertsnavnet til det første klargjorte området heter adc1, kan du navngi den andre DC med adc2 for å gi et konsistent navneskjema på tvers av domenekontrollerne.

For å endre systemvertsnavnet kan du gi kommandoen nedenfor.

# hostnamectl set-hostname adc2

ellers kan du manuelt redigere /etc/hostname-filen og legge til en ny linje med ønsket navn.

# nano /etc/hostname

Her legger du til vertsnavnet.

adc2

2. Deretter åpner du den lokale systemoppløsningsfilen og legger til en oppføring med IP-adressen som peker på kortnavnet og FQDN til hoveddomenekontrolleren, som illustrert i skjermbildet nedenfor.

Gjennom denne opplæringen er det primære DC-navnet adc1.tecmint.lan og det løses til 192.168.1.254 IP-adresse.

# nano /etc/hosts

Legg til følgende linje:

IP_of_main_DC		FQDN_of_main_DC 	short_name_of_main_DC

3. På neste trinn åpner du /etc/network/interfaces og tilordner en statisk IP-adresse for systemet ditt som illustrert i skjermbildet nedenfor.

Vær oppmerksom på dns-navneservere og dns-søk-variabler. Disse verdiene bør konfigureres til å peke tilbake til IP-adressen til den primære Samba4 AD DC og riket for at DNS-oppløsningen skal fungere riktig.

Start nettverksdemonen på nytt for å reflektere endringer. Bekreft filen /etc/resolv.conf for å sikre at begge DNS-verdiene fra nettverksgrensesnittet er oppdatert til denne filen.

# nano /etc/network/interfaces

Rediger og erstatt med dine egendefinerte IP-innstillinger:

auto ens33
iface ens33 inet static
        address 192.168.1.253
        netmask 255.255.255.0
        brodcast 192.168.1.1
        gateway 192.168.1.1
        dns-nameservers 192.168.1.254
        dns-search tecmint.lan

Start nettverkstjenesten på nytt og bekreft endringer.

# systemctl restart networking.service
# cat /etc/resolv.conf

Dns-search-verdien vil automatisk legge til domenenavnet når du spør en vert med dets korte navn (vil danne FQDN).

4. For å teste om DNS-oppløsningen fungerer som forventet, utsted en serie ping-kommandoer mot ditt domenekortnavn, FQDN og rike som vist i skjermbildet nedenfor.

I alle disse tilfellene skal Samba4 AD DC DNS-server svare med IP-adressen til hoved-DC.

5. Det siste ekstra trinnet du må ta vare på er tidssynkronisering med hoveddomenekontrolleren. Dette kan oppnås ved å installere NTP-klientverktøyet på systemet ditt ved å gi kommandoen nedenfor:

# apt-get install ntpdate

6. Forutsatt at du ønsker å manuelt tvinge tidssynkronisering med samba4 AD DC, kjør ntpdate-kommandoen mot den primære DC ved å gi følgende kommando.

# ntpdate adc1

Trinn 2: Installer Samba4 med nødvendige avhengigheter

7. For å registrere Ubuntu 16.04-systemet til ditt domene, installer først Samba4, Kerberos-klienten og noen få andre viktige pakker for senere bruk fra Ubuntu offisielle repositories ved å utstede kommandoen nedenfor:

# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

8. Under installasjonen må du oppgi Kerberos rikenavn. Skriv domenenavnet ditt med store bokstaver og trykk [Enter]-tasten for å fullføre installasjonsprosessen.

9. Etter at pakkeinstallasjonen er fullført, kontroller innstillingene ved å be om en Kerberos-billett for en domeneadministrator ved å bruke kinit-kommandoen. Bruk klist-kommandoen for å liste inndelt Kerberos-billett.

# kinit [email _DOMAIN.TLD
# klist

Trinn 3: Bli med til Samba4 AD DC som en domenekontroller

10. Før du integrerer maskinen din i Samba4 DC, må du først sørge for at alle Samba4-demoner som kjører på systemet ditt er stoppet, og også gi nytt navn til standard Samba-konfigurasjonsfilen for å starte rensingen. Mens du klargjør domenekontrolleren, vil samba opprette en ny konfigurasjonsfil fra bunnen av.

# systemctl stop samba-ad-dc smbd nmbd winbind
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

11. For å starte domenetilknytningsprosessen, start først bare samba-ad-dc daemon, hvoretter du kjører samba-tool-kommandoen for å bli med i riket ved å bruke en konto med administrative rettigheter på domenet ditt.

# samba-tool domain join your_domain DC -U "your_domain_admin"

Domeneintegrasjonsutdrag:

# samba-tool domain join tecmint.lan DC -U"tecmint_user"

Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC

12. Etter at Ubuntu med samba4-programvaren er integrert i domenet, åpner du samba hovedkonfigurasjonsfil og legger til følgende linjer:

# nano /etc/samba/smb.conf

Legg til følgende utdrag til filen smb.conf.

dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes

   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
        winbind enum users = yes
        winbind enum groups = yes

Bytt ut dns-videresendingens IP-adresse med din egen DNS-videresendings-IP. Samba vil videresende alle DNS-oppløsningsspørsmål som er utenfor domenets autoritative sone til denne IP-adressen.

13. Til slutt, start samba daemon på nytt for å reflektere endringer og sjekk aktiv katalog-replikering ved å utføre følgende kommandoer.

# systemctl restart samba-ad-dc
# samba-tool drs showrepl

14. Gi i tillegg nytt navn til den opprinnelige Kerberos-konfigurasjonsfilen fra /etc-banen og erstatt den med den nye krb5.conf-konfigurasjonsfilen generert av samba mens du klargjorde domenet.

Filen ligger i /var/lib/samba/private katalog. Bruk Linux symlink for å koble denne filen til /etc-katalogen.

# mv /etc/krb5.conf /etc/krb5.conf.initial
# ln -s /var/lib/samba/private/krb5.conf /etc/
# cat /etc/krb5.conf

15. Bekreft også Kerberos-autentisering med samba krb5.conf-fil. Be om en billett for en administratorbruker og lister opp den bufrede billetten ved å utstede kommandoene nedenfor.

# kinit administrator
# klist

Trinn 4: Ytterligere validering av domenetjenester

16. Den første testen du må utføre er Samba4 DC DNS-oppløsning. For å validere domene-DNS-oppløsningen din, spør domenenavnet ved hjelp av vertskommando mot noen få viktige AD DNS-poster som vist på skjermbildet nedenfor.

DNS-serveren skal spille av på nytt nå med et par med to IP-adresser for hver spørring.

# host your_domain.tld
# host -t SRV _kerberos._udp.your_domain.tld  # UDP Kerberos SRV record
# host -t SRV _ldap._tcp.your_domain.tld  # TCP LDAP SRV record

17. Disse DNS-postene skal også være synlige fra en registrert Windows-maskin med RSAT-verktøy installert. Åpne DNS Manager og utvid til domene-tcp-postene som vist i bildet nedenfor.

18. Den neste testen skal indikere om domene LDAP-replikering fungerer som forventet. Bruk samba-tool, opprett en konto på den andre domenekontrolleren og kontroller om kontoen automatisk blir replikert på den første Samba4 AD DC.

# samba-tool user add test_user

# samba-tool user list | grep test_user

19. Du kan også opprette en konto fra en Microsoft AD UC-konsoll og kontrollere om kontoen vises på begge domenekontrollerne.

Som standard skal kontoen opprettes automatisk på begge samba-domenekontrollerne. Spør etter kontonavnet fra adc1 ved å bruke wbinfo-kommandoen.

20. Som et faktum, åpne AD UC-konsollen fra Windows, utvide til domenekontrollere og du bør se begge registrerte DC-maskiner.

Trinn 5: Aktiver Samba4 AD DC Service

21. For å aktivere samba4 AD DC-tjenester for hele systemet, deaktiver først noen gamle og ubrukte Samba-demoner og aktiver bare samba-ad-dc-tjenesten ved å kjøre kommandoene nedenfor:

# systemctl disable smbd nmbd winbind
# systemctl enable samba-ad-dc

22. Hvis du fjernadministrerer Samba4-domenekontrolleren fra en Microsoft-klient eller du har andre Linux- eller Windows-klienter integrert i domenet ditt, sørg for at du nevner IP-adressen til adc2-maskinen til nettverksgrensesnittets DNS-server IP-innstillinger for å få et nivå av redundans.

Skjermbildene nedenfor illustrerer konfigurasjonene som kreves for en Windows- eller Debian/Ubuntu-klient.

Forutsatt at den første DC med 192.168.1.254 går offline, reverser rekkefølgen på DNS-serverens IP-adresser i konfigurasjonsfilen, slik at den ikke prøver å spørre først om en utilgjengelig DNS-server.

Til slutt, i tilfelle du ønsker å utføre lokal autentisering på et Linux-system med en Samba4 Active Directory-konto eller gi root-privilegier for AD LDAP-kontoer i Linux, les trinn 2 og 3 fra veiledningen Administrer Samba4 AD-infrastruktur fra Linux-kommandolinjen.