Voeg een extra Ubuntu DC toe aan Samba4 AD DC voor FailOver-replicatie - Deel 5
In deze tutorial ziet u hoe u een tweede Samba4-domeincontroller, ingericht op de Ubuntu 16.04-server, toevoegt aan het bestaande Samba AD DC-forest, op volgorde om een zekere mate van taakverdeling/failover te bieden voor enkele cruciale AD DC-services, vooral voor services zoals DNS en AD DC LDAP-schema met SAM-database.
Vereisten
- Creëer een Active Directory-infrastructuur met Samba4 op Ubuntu – Deel 1
Dit artikel is Deel-5 van de Samba4 AD DC-serie en luidt als volgt:
Stap 1: Initiële configuratie voor Samba4-installatie
1. Voordat u daadwerkelijk begint met het koppelen van domeinen voor de tweede DC, moet u enkele initiële instellingen regelen. Zorg er eerst voor dat de hostnaam van het systeem dat in Samba4 AD DC wordt geïntegreerd, een beschrijvende naam bevat.
Ervan uitgaande dat de hostnaam van de eerste ingerichte realm adc1 heet, kunt u de tweede DC een naam geven met adc2 om een consistent naamgevingsschema te bieden voor al uw domeincontrollers.
Om de hostnaam van het systeem te wijzigen, kunt u het onderstaande commando geven.
hostnamectl set-hostname adc2
anders kunt u het bestand /etc/hostname handmatig bewerken en een nieuwe regel met de gewenste naam toevoegen.
nano /etc/hostname
Voeg hier de hostnaam toe.
adc2
2. Open vervolgens het lokale systeemresolutiebestand en voeg een vermelding toe met het IP-adres dat verwijst naar de korte naam en FQDN van de hoofddomeincontroller, zoals hieronder wordt geïllustreerd schermafdruk.
Via deze tutorial is de primaire DC-naam adc1.tecmint.lan en wordt deze omgezet naar het 192.168.1.254 IP-adres.
nano /etc/hosts
Voeg de volgende regel toe:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. Open bij de volgende stap /etc/network/interfaces en wijs een statisch IP-adres toe aan uw systeem, zoals geïllustreerd in de onderstaande schermafbeelding.
Let op de variabelen dns-nameservers en dns-search. Deze waarden moeten worden geconfigureerd om terug te verwijzen naar het IP-adres van de primaire Samba4 AD DC en realm, zodat de DNS-resolutie correct werkt.
Start de netwerkdaemon opnieuw om de wijzigingen weer te geven. Controleer het bestand /etc/resolv.conf om er zeker van te zijn dat beide DNS-waarden van uw netwerkinterface naar dit bestand worden bijgewerkt.
nano /etc/network/interfaces
Bewerk en vervang door uw aangepaste IP-instellingen:
auto ens33
iface ens33 inet static
address 192.168.1.253
netmask 255.255.255.0
brodcast 192.168.1.1
gateway 192.168.1.1
dns-nameservers 192.168.1.254
dns-search tecmint.lan
Start de netwerkdienst opnieuw en bevestig de wijzigingen.
systemctl restart networking.service
cat /etc/resolv.conf
De waarde dns-search voegt automatisch de domeinnaam toe wanneer u een host opvraagt op basis van zijn korte naam (dit vormt de FQDN).
4. Om te testen of de DNS-resolutie werkt zoals verwacht, geeft u een reeks ping-opdrachten uit tegen de korte naam van uw domein, FQDN en realm, zoals weergegeven in de onderstaande schermafbeelding.
In al deze gevallen zou de Samba4 AD DC DNS-server moeten antwoorden met het IP-adres van uw hoofd-DC.
5. De laatste extra stap die u moet uitvoeren is tijdsynchronisatie met uw hoofddomeincontroller. Dit kunt u bereiken door het NTP clienthulpprogramma op uw systeem te installeren door de onderstaande opdracht te geven:
apt-get install ntpdate
6. Ervan uitgaande dat u de tijdsynchronisatie met samba4 AD DC handmatig wilt forceren, voert u de opdracht ntpdate uit op de primaire DC door de volgende opdracht te geven.
ntpdate adc1
Stap 2: Installeer Samba4 met de vereiste afhankelijkheden
7. Om het Ubuntu 16.04-systeem in uw domein te registreren, installeert u eerst Samba4, Kerberos-client en een paar andere belangrijke pakketten voor later gebruik vanuit officiële Ubuntu-repository's door de onderstaande opdracht uit te voeren:
apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Tijdens de installatie moet u de Kerberos-realmnaam opgeven. Schrijf uw domeinnaam in hoofdletters en druk op de [Enter]-toets om het installatieproces te voltooien.
9. Nadat de installatie van de pakketten is voltooid, verifieert u de instellingen door een Kerberos-ticket aan te vragen voor een domeinbeheerder met behulp van de opdracht kinit. Gebruik de opdracht klist om de toegekende Kerberos-tickets weer te geven.
kinit domain-admin-user@YOUR_DOMAIN.TLD
klist
Stap 3: Sluit u aan bij Samba4 AD DC als domeincontroller
10. Voordat u uw machine integreert in Samba4 DC, zorg er eerst voor dat alle Samba4-daemons die op uw systeem draaien zijn gestopt en hernoem ook het standaard Samba-configuratiebestand om te starten schoon. Tijdens het inrichten van de domeincontroller zal samba een geheel nieuw configuratiebestand maken.
systemctl stop samba-ad-dc smbd nmbd winbind
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Om het domeinkoppelingsproces te starten, start u eerst alleen de samba-ad-dc daemon, waarna u samba-tool uitvoert commando om lid te worden van het rijk met behulp van een account met beheerdersrechten op uw domein.
samba-tool domain join your_domain DC -U "your_domain_admin"
Uittreksel van domeinintegratie:
samba-tool domain join tecmint.lan DC -U"tecmint_user"
Voorbeelduitvoer
Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Nadat de Ubuntu met samba4-software in het domein is geïntegreerd, opent u het hoofdconfiguratiebestand van samba en voegt u de volgende regels toe:
nano /etc/samba/smb.conf
Voeg het volgende fragment toe aan het smb.conf-bestand.
dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
Vervang het dns forwarder IP-adres door uw eigen DNS forwarder IP. Samba stuurt alle DNS-omzettingsvragen die zich buiten de gezaghebbende zone van uw domein bevinden, door naar dit IP-adres.
13. Start ten slotte de samba-daemon opnieuw op om de wijzigingen weer te geven en controleer de replicatie van de actieve map door de volgende opdrachten uit te voeren.
systemctl restart samba-ad-dc
samba-tool drs showrepl
14. Hernoem bovendien het initiële Kerberos-configuratiebestand van /etc pad en vervang het door het nieuwe krb5.conf configuratiebestand dat door samba is gegenereerd tijdens het inrichten het domein.
Het bestand bevindt zich in de map /var/lib/samba/private. Gebruik de Linux-symlink om dit bestand te koppelen aan de map /etc.
mv /etc/krb5.conf /etc/krb5.conf.initial
ln -s /var/lib/samba/private/krb5.conf /etc/
cat /etc/krb5.conf
15. Controleer ook de Kerberos-authenticatie met het samba krb5.conf bestand. Vraag een ticket aan voor een beheerdergebruiker en vermeld het in de cache opgeslagen ticket door de onderstaande opdrachten te geven.
kinit administrator
klist
Stap 4: Aanvullende validaties van domeinservices
16. De eerste test die u moet uitvoeren is de Samba4 DC DNS-resolutie. Om de DNS-resolutie van uw domein te valideren, vraagt u de domeinnaam met behulp van de opdracht host aan een paar cruciale AD DNS-records, zoals weergegeven in de onderstaande schermafbeelding.
De DNS-server zou nu opnieuw moeten spelen met een paar van twee IP-adressen voor elke zoekopdracht.
host your_domain.tld
host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record
host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Deze DNS-records moeten ook zichtbaar zijn vanaf een geregistreerde Windows-machine waarop RSAT-tools zijn geïnstalleerd. Open DNS Manager en breid uit naar de TCP-records van uw domein, zoals weergegeven in de onderstaande afbeelding.
18. De volgende test moet uitwijzen of de domein-LDAP-replicatie werkt zoals verwacht. Maak met samba-tool een account aan op de tweede domeincontroller en controleer of het account automatisch wordt gerepliceerd op de eerste Samba4 AD DC.
Op adc2:
samba-tool user add test_user
Op adc1:
samba-tool user list | grep test_user
19. U kunt ook een account maken via een Microsoft AD UC-console en verifiëren of het account op beide domeincontrollers verschijnt.
Standaard moet het account automatisch worden aangemaakt op beide samba-domeincontrollers. Vraag de accountnaam op uit adc1 met de opdracht wbinfo.
20. Als u de AD UC-console opent vanuit Windows, uitbreidt naar Domeincontrollers, ziet u beide ingeschreven DC-machines.
Stap 5: Schakel de Samba4 AD DC-service in
21. Om samba4 AD DC-services voor het hele systeem in te schakelen, schakelt u eerst enkele oude en ongebruikte Samba-daemons uit en schakelt u alleen de samba-ad-dc-service in door de onderstaande opdrachten uit te voeren :
systemctl disable smbd nmbd winbind
systemctl enable samba-ad-dc
22. Als u de Samba4-domeincontroller op afstand beheert vanaf een Microsoft-client of als u andere Linux- of Windows-clients in uw domein hebt geïntegreerd, zorg er dan voor dat u het IP-adres van de adc2 vermeldt machine naar hun netwerkinterface DNS-server IP-instellingen om een niveau van redundantie te verkrijgen.
De onderstaande schermafbeeldingen illustreren de configuraties die vereist zijn voor een Windows- of een Debian/Ubuntu-client.
Ervan uitgaande dat de eerste DC met 192.168.1.254 offline gaat, draait u de volgorde van de IP-adressen van de DNS-server in het configuratiebestand om, zodat deze niet eerst probeert een niet-beschikbare server op te vragen DNS server.
Als u ten slotte lokale authenticatie wilt uitvoeren op een Linux-systeem met een Samba4 Active Directory-account of rootrechten wilt verlenen voor AD LDAP-accounts in Linux, lees dan de stappen 2 en 3 uit de tutorial Manage Samba4 AD Infrastructure from Linux Command Line.