Maacht mat engem zousätzleche Ubuntu DC op Samba4 AD DC fir FailOver Replikatioun - Deel 5

Dësen Tutorial weist Iech wéi Dir en zweeten Samba4 Domain Controller, deen um Ubuntu 16.04 Server versuergt gëtt, an den existente Samba AD DC Bësch bäigefüügt fir e Grad vu Laaschtbalancéierung/Failover fir e puer entscheedend AD DC Servicer ze bidden, besonnesch fir Servicer wéi z. DNS an AD DC LDAP Schema mat SAM Datebank.

  1. Erstellt eng Active Directory Infrastruktur mat Samba4 op Ubuntu - Deel 1

Dësen Artikel ass en Deel-5 vun der Samba4 AD DC Serie wéi follegt:

Schrëtt 1: Éischt Konfiguratioun fir Samba4 Setup

1. Ier Dir ufänkt d'Domain Bäitrëtt fir den zweeten DC ze maachen, musst Dir e puer initial Astellunge këmmeren. Als éischt gitt sécher datt den Hostnumm vum System deen an Samba4 AD DC integréiert gëtt en deskriptive Numm enthält.

Unzehuelen datt den Hostnumm vum éischte virgesinnen Räich adc1 genannt gëtt, kënnt Dir den zweeten DC mat adc2 nennen fir e konsequent Nummschema iwwer Ären Domain Controller ze bidden.

Fir de System Hostnumm z'änneren, kënnt Dir de Kommando hei ënnen ausginn.

# hostnamectl set-hostname adc2

soss kënnt Dir manuell /etc/hostname Datei änneren an eng nei Zeil mat dem gewënschten Numm addéieren.

# nano /etc/hostname

Hei füügt den Hostnumm un.

adc2

2. Als nächst öffnen d'lokal Systemresolutiounsdatei a füügt eng Entrée mat der IP Adress hinzeginn, déi op de kuerzen Numm an de FQDN vum Haapt Domain Controller weist, wéi am Screenshot hei ënnen illustréiert.

Duerch dësen Tutorial ass de primäre DC Numm adc1.tecmint.lan an et léist sech op 192.168.1.254 IP Adress.

# nano /etc/hosts

Füügt déi folgend Linn derbäi:

IP_of_main_DC		FQDN_of_main_DC 	short_name_of_main_DC

3. Op de nächste Schrëtt, öffnen /etc/network/interfaces a gitt eng statesch IP Adress fir Äre System un wéi am Screenshot hei ënnen illustréiert.

Opgepasst op dns-Nameserver an dns-Search Variablen. Dës Wäerter solle konfiguréiert sinn fir zréck op d'IP Adress vum primäre Samba4 AD DC a Räich ze weisen fir datt d'DNS-Resolutioun richteg funktionnéiert.

Restart den Netzwierk Daemon fir Ännerungen ze reflektéieren. Verifizéiert /etc/resolv.conf Datei fir sécherzestellen datt béid DNS-Wäerter vun Ärem Netz-Interface op dës Datei aktualiséiert ginn.

# nano /etc/network/interfaces

Änneren an ersetzen mat Äre personaliséierte IP-Astellungen:

auto ens33
iface ens33 inet static
        address 192.168.1.253
        netmask 255.255.255.0
        brodcast 192.168.1.1
        gateway 192.168.1.1
        dns-nameservers 192.168.1.254
        dns-search tecmint.lan

Restart Reseau Service a confirméiert Ännerungen.

# systemctl restart networking.service
# cat /etc/resolv.conf

Den dns-Search-Wäert wäert automatesch den Domain Numm addéieren wann Dir e Host mat sengem kuerzen Numm ufrot (bildt de FQDN).

4. Fir ze testen ob d'DNS-Resolutioun funktionnéiert wéi erwaart, gitt eng Serie vu Ping-Befehle géint Ären Domain Kuerznumm, FQDN a Räich wéi am Screenshot hei ënnen.

An all dëse Fäll sollt de Samba4 AD DC DNS Server mat der IP Adress vun Ärem Haapt DC äntweren.

5. Déi lescht zousätzlech Schrëtt, déi Dir braucht fir ze këmmeren, ass Zäitsynchroniséierung mat Ärem Haapt Domain Controller. Dëst kann erreecht ginn andeems Dir NTP Client Utility op Ärem System installéiert andeems Dir de folgende Kommando ausgitt:

# apt-get install ntpdate

6. Unzehuelen, datt Dir manuell Zäit Synchroniséierung mat samba4 AD DC Kraaft wëllt, lafen ntpdate Kommando géint d'Primärschoul DC vun der folgender Kommando ausginn.

# ntpdate adc1

Schrëtt 2: Installéiert Samba4 mat erfuerderlechen Ofhängegkeeten

7. Fir Ubuntu 16.04 System an Ärem Domain anzeschreiwen, installéiere fir d'éischt Samba4, Kerberos Client an e puer aner wichteg Pakete fir spéider Benotzung vun Ubuntu offiziellen Repositories andeems Dir de folgende Kommando ausgitt:

# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

8. Wärend der Installatioun musst Dir Kerberos Räich Numm ubidden. Schreift Ären Domain Numm mat ieweschte Fäll an dréckt [Enter] Schlëssel fir den Installatiounsprozess ofzeschléissen.

9. Nodeems d'Packageinstallatioun fäerdeg ass, kontrolléiert d'Astellungen andeems Dir e Kerberos-Ticket fir en Domain Administrateur mat Kinit Kommando freet. Benotzen klist Kommando fir eng Lëscht accordéiert Kerberos Ticket.

# kinit [email _DOMAIN.TLD
# klist

Schrëtt 3: Maacht mat Samba4 AD DC als Domain Controller

10. Ier Dir Är Maschinn an Samba4 DC integréiert, gitt als éischt sécher datt all Samba4 Daemonen déi op Ärem System lafen, gestoppt sinn an och d'Standard Samba Konfiguratiounsdatei ëmbenennen fir ze botzen. Wärend den Domain Controller zur Verfügung gestallt gëtt, erstellt Samba eng nei Konfiguratiounsdatei vun Null.

# systemctl stop samba-ad-dc smbd nmbd winbind
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

11. Fir d'Domain Bäitrëttsprozess unzefänken, fänkt fir d'éischt nëmmen Samba-ad-dc Daemon un, duerno wäert Dir de Samba-Tool Kommando lafen fir an d'Räich mat engem Kont mat administrativen Privilegien op Ärem Domain ze verbannen.

# samba-tool domain join your_domain DC -U "your_domain_admin"

Domain Integratioun Auszich:

# samba-tool domain join tecmint.lan DC -U"tecmint_user"

Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC

12. Nodeems d'Ubuntu mat Samba4 Software an d'Domain integréiert ass, öffnen d'Samba Haaptkonfiguratiounsdatei a fügen déi folgend Zeilen derbäi:

# nano /etc/samba/smb.conf

Füügt folgend Auszuch op smb.conf Datei.

dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes

   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
        winbind enum users = yes
        winbind enum groups = yes

Ersetzen dns Forwarder IP Adress mat Ärem eegenen DNS Forwarder IP. Samba wäert all DNS-Resolutiounsufroen, déi ausserhalb vun Ärer Domain autoritär Zone sinn, op dës IP Adress weiderginn.

13. Endlech, restart Samba Daemon fir Ännerungen ze reflektéieren an d'aktiv Verzeechnes Replikatioun ze kontrolléieren andeems Dir déi folgend Kommandoen ausféiert.

# systemctl restart samba-ad-dc
# samba-tool drs showrepl

14. Zousätzlech, ëmbenannt initial Kerberos Konfiguratiounsdatei vum /etc Wee an ersetzt se mat der neier krb5.conf Konfiguratiounsdatei generéiert vu Samba wärend d'Domain zur Verfügung gestallt gëtt.

D'Datei läit am /var/lib/samba/private Verzeichnis. Benotzt Linux Symlink fir dës Datei op /etc Verzeechnes ze verbannen.

# mv /etc/krb5.conf /etc/krb5.conf.initial
# ln -s /var/lib/samba/private/krb5.conf /etc/
# cat /etc/krb5.conf

15. Och, z'iwwerpréiwen Kerberos Authentifikatioun mat samba krb5.conf Fichier. Ufro en Ticket fir en Administrateur Benotzer a lëscht den cachéierten Ticket andeems Dir déi folgend Kommandoen ausgëtt.

# kinit administrator
# klist

Schrëtt 4: Zousätzlech Domain Services Validatiounen

16. Den éischten Test deen Dir maache musst ass Samba4 DC DNS Resolutioun. Fir Är Domain DNS Resolutioun ze validéieren, frot den Domain Numm mam Host Kommando géint e puer entscheedend AD DNS records wéi op de Screenshot hei ënnen presentéiert.

Den DNS Server soll elo mat engem Paar vun zwou IP Adressen fir all Ufro widderhuelen.

# host your_domain.tld
# host -t SRV _kerberos._udp.your_domain.tld  # UDP Kerberos SRV record
# host -t SRV _ldap._tcp.your_domain.tld  # TCP LDAP SRV record

17. Dës DNS records soll och siichtbar aus engem ageschriwwen Windows Maschinn mat RSAT Tools installéiert ginn. Öffnen den DNS Manager an erweidert op Är Domain tcp records wéi am Bild hei ënnen.

18. Den nächsten Test soll uginn ob d'Domain LDAP Replikatioun funktionnéiert wéi erwaart. Benotzt Samba-Tool, erstellt e Kont um zweeten Domain Controller a kontrolléiert ob de Kont automatesch op den éischte Samba4 AD DC replizéiert gëtt.

# samba-tool user add test_user

# samba-tool user list | grep test_user

19. Dir kënnt och e Kont vun enger Microsoft AD UC Konsole erstellen an z'iwwerpréiwen ob de Kont op béide Domain Controller erschéngt.

Par défaut soll de Kont automatesch op béide Samba Domain Controller erstallt ginn. Frot de Kontonumm vum adc1 mam wbinfo Kommando un.

20. Als Tatsaach, oppen AD UC Konsol vu Windows, erweidert op Domain Controller an Dir sollt souwuel ageschriwwen DC Maschinnen gesinn.

Schrëtt 5: Aktivéiert Samba4 AD DC Service

21. Fir Samba4 AD DC Servicer systemwäit z'aktivéieren, deaktivéiert als éischt e puer al an onbenotzt Samba Daemonen an aktivéiert nëmmen de Samba-ad-dc Service andeems Dir déi folgend Kommandoen ausféiert:

# systemctl disable smbd nmbd winbind
# systemctl enable samba-ad-dc

22. Wann Dir de Samba4 Domain Controller vun engem Microsoft Client op afstand administréiert oder Dir hutt aner Linux oder Windows Clienten an Ärem Domain integréiert, gitt sécher datt Dir d'IP Adress vun der adc2 Maschinn op hirem Netzwierksinterface DNS Server ernimmt. IP Astellunge fir en Niveau vun der Redundanz ze kréien.

Déi ënnescht Screenshots illustréieren d'Konfiguratiounen déi fir e Windows oder en Debian/Ubuntu Client erfuerderlech sinn.

Unzehuelen datt den éischten DC mat 192.168.1.254 offline geet, ëmgedréint d'Uerdnung vun den DNS Server IP Adressen an der Konfiguratiounsdatei sou datt et net probéiert als éischt en net verfügbaren DNS Server ze froen.

Schlussendlech, am Fall wou Dir lokal Authentifikatioun op engem Linux System mat engem Samba4 Active Directory Kont wëllt ausféieren oder Root Privilegien fir AD LDAP Konten op Linux zouginn, liest d'Schrëtt 2 an 3 aus dem Tutorial Manage Samba4 AD Infrastructure from Linux Command Line.