Sertai tambahan Ubuntu DC ke Samba4 AD DC untuk Replikasi Failover - Bahagian 5

Tutorial ini akan menunjukkan kepada anda cara menambah sebentar Samba4 pengawal domain, diperuntukkan Ubuntu 16.04 pelayan, ke yang ada Samba AD DC Hutan untuk menyediakan tahap pengimbangan/failover beban untuk beberapa perkhidmatan DC AD yang penting, terutamanya untuk perkhidmatan seperti DNS dan skema LDAP AD DC dengan pangkalan data SAM.

Keperluan

1. Buat Infrastruktur Direktori Aktif dengan Samba4 di Ubuntu - Bahagian 1

Artikel ini adalah Bahagian-5 dari Samba4 AD DC siri seperti berikut:

Bahagian 2: Mengurus Infrastruktur AD Samba4 dari baris arahan Linux Bahagian 3: Mengurus Infrastruktur Direktori Aktif Samba4 dari Windows10 melalui RSAT Bahagian 4: Menguruskan Samba4 Domain Controller DNS dan Dasar Kumpulan dari Windows

Langkah 1: Konfigurasi awal untuk persediaan Samba4

1. Sebelum anda mula benar -benar melakukan domain menyertai DC kedua, anda perlu menjaga beberapa tetapan awal. Pertama, pastikan Nama Host sistem yang akan diintegrasikan ke dalam Samba4 AD DC mengandungi nama deskriptif.

Mengandaikan bahawa Nama Host dari dunia yang disediakan pertama dipanggil ADC1, anda boleh menamakan DC kedua dengan ADC2 Untuk memberikan skim penamaan yang konsisten di seluruh pengawal domain anda.

Untuk menukar sistem Nama Host anda boleh mengeluarkan arahan di bawah.

# hostnamectl set-hostname ADC2 

lain anda boleh mengedit secara manual /etc/hostname fail dan tambahkan baris baru dengan nama yang dikehendaki.

# nano /etc /hostname 

Di sini tambahkan nama hos.

ADC2 

2. Seterusnya, buka fail resolusi sistem tempatan dan tambahkan entri dengan alamat penyihir alamat ip kepada nama pendek dan FQDN pengawal domain utama, seperti yang digambarkan dalam tangkapan skrin di bawah.

Melalui tutorial ini, nama DC utama adalah ADC1.Tecmint.lan Dan ia menyelesaikan 192.168.1.254 alamat IP.

# nano /etc /hosts 

Tambahkan baris berikut:

Ip_of_main_dc fqdn_of_main_dc short_name_of_main_dc 

Tetapkan Nama Host untuk Samba4 AD DC

3. Pada langkah seterusnya, buka /etc/rangkaian/antara muka dan berikan alamat IP statik untuk sistem anda seperti yang digambarkan dalam tangkapan skrin di bawah.

Beri perhatian kepada DNS-Nameservers dan DNS-Search pembolehubah. Nilai -nilai ini harus dikonfigurasikan untuk menunjuk kembali ke alamat IP yang utama Samba4 AD DC dan alam agar resolusi DNS berfungsi dengan betul.

Mulakan semula daemon rangkaian untuk mencerminkan perubahan. Sahkan /etc/resolv.Conf fail untuk memastikan bahawa kedua -dua nilai DNS dari antara muka rangkaian anda dikemas kini ke fail ini.

# nano/etc/rangkaian/antara muka 

Edit dan ganti dengan tetapan IP tersuai anda:

AUTO ENS33 IFACE ENS33 INET Alamat Statik 192.168.1.253 Netmask 255.255.255.0 Brodcast 192.168.1.1 Gateway 192.168.1.1 DNS-Nameservers 192.168.1.254 DNS-Search Tecmint.lan 

Mulakan semula perkhidmatan rangkaian dan sahkan perubahan.

# Systemctl mulakan semula rangkaian.perkhidmatan # kucing /etc /resolv.Conf 

Konfigurasikan DNS untuk iklan Samba4

The DNS-Search Nilai akan secara automatik menambahkan nama domain apabila anda menanyakan hos dengan nama pendeknya (akan membentuk FQDN).

4. Untuk menguji jika resolusi DNS berfungsi seperti yang diharapkan, mengeluarkan satu siri ping Perintah terhadap nama pendek domain anda, FQDN dan Realm seperti yang ditunjukkan dalam tangkapan skrin di bawah.

Dalam semua kes ini Samba4 AD DC DNS Pelayan harus membalas dengan alamat IP dc utama anda.

Sahkan Resolusi DNS untuk Samba4 AD

5. Langkah tambahan akhir yang perlu anda jaga adalah penyegerakan masa dengan pengawal domain utama anda. Ini dapat dicapai dengan memasang NTP Utiliti pelanggan pada sistem anda dengan mengeluarkan arahan di bawah:

# apt-get memasang ntpdate 

6. Dengan mengandaikan bahawa anda ingin memaksa penyegerakan masa secara manual dengan Samba4 AD DC, Jalankan ntpdate Perintah terhadap DC utama dengan mengeluarkan arahan berikut.

# ntpdate ADC1 

Masa disegerakkan dengan iklan samba4

Langkah 2: Pasang Samba4 dengan kebergantungan yang diperlukan

7. Untuk mendaftar Ubuntu 16.04 sistem ke domain anda, pasang terlebih dahulu Samba4, Kerberos Pelanggan dan beberapa pakej penting lain untuk kegunaan kemudian dari repositori rasmi Ubuntu dengan mengeluarkan arahan di bawah:

# apt-get memasang samba krb5-user krb5-config winbind libpam-winbind libnss-winbind 

Pasang Samba4 di Ubuntu

8. Semasa pemasangan, anda perlu memberikan nama alam Kerberos. Tulis nama domain anda dengan kes atas dan tekan [Masukkan] Kunci untuk menyelesaikan proses pemasangan.

Konfigurasikan Pengesahan Kerberos untuk Samba4

9. Selepas pemasangan pakej selesai, sahkan tetapan dengan meminta tiket Kerberos untuk pentadbir domain menggunakan Kinit perintah. Gunakan Klist Perintah untuk menyenaraikan tiket Kerberos.

# kinit [dilindungi e -mel] _domain.Tld # klist 

Sahkan Kerberos di Domain Samba4

Langkah 3: Sertai Samba4 AD DC sebagai pengawal domain

10. Sebelum mengintegrasikan mesin anda ke Samba4 DC, Mula -mula pastikan semua daemon Samba4 yang dijalankan pada sistem anda dihentikan dan, juga, namakan semula fail konfigurasi Samba lalai untuk mula bersih. Semasa menyediakan pengawal domain, Samba akan membuat fail konfigurasi baru dari awal.

# Systemctl Stop Samba-AD-DC SMBD NMBD Winbind # MV/ETC/Samba/SMB.conf/etc/samba/smb.Conf.permulaan 

11. Untuk memulakan proses penyertaan domain, mulakan pertama sahaja Samba-ad-DC Daemon, selepas itu anda akan menjalankan Tool Samba perintah untuk menyertai alam menggunakan akaun dengan keistimewaan pentadbiran di domain anda.

# domain tool samba Sertai anda_domain dc -u "your_domain_admin" 

Petikan Integrasi Domain:

# domain-tool Samba Sertai Tecmint.LAN DC -U "TECMINT_USER" 

Output sampel

Mencari dc yang boleh ditulis untuk domain 'tecmint.lan 'dijumpai dc adc1.Tecmint.Kata Laluan LAN untuk [Workgroup \ Tecmint_user]: Kumpulan Kerja adalah Tecmint Realm adalah Tecmint.LAN Memeriksa SamAccountName Diletapan Cn = ADC2, Cn = Computers, Dc = Tecmint, Dc = LAN Menambah Cn = Adc2, Ou = Domain Controllers, Dc = Tecmint, Dc = LAN Menambah Cn = ADC2, Cn = CN = CN = Default-first -Site-nama, CN = tapak, CN = konfigurasi, dc = tecmint, dc = lan tambah cn = ntds tetapan, cn = adc2, cn = pelayan, cn = lalai-first-site-name, cn = sites, cn = Konfigurasi, dc = tecmint, dc = lan menambah spns ke cn = adc2, ou = domain controllers, dc = tecmint, dc = lan menetapkan kata laluan akaun untuk adc2 $ enabling calling peruntukan telanjang mencari alamat ipv4 mencari alamat ipv6 akan ditugaskan menyediakan bahagian.LDB Menyediakan Rahsia.LDB Menyediakan Pendaftaran Menyediakan Pangkalan Data Keistimewa.Partition dan Tetapan LDB Menyediakan Sam.LDB Rootdse Pre-Loading The Samba 4 dan AD Skema Konfigurasi Kerberos Sesuai untuk Samba 4 telah dihasilkan di/var/lib/samba/swasta/krb5.Peruntukan Conf OK untuk domain dn dc = tecmint, dc = lan permulaan replikasi skema-dn [cn = skema, cn = konfigurasi, dc = tecmint, dc = lan] objek [402/1550] linked_values ​​[0/0] [CN = skema, CN = konfigurasi, dc = tecmint, dc = lan] objek [804/1550] linked_values ​​[0/0] schema-dn [cn = schema, cn = configuration, dc = tecmint, dc = lan] [1206/1550] linked_values ​​[0/0] skema-dn [cn = skema, cn = konfigurasi, dc = tecmint, dc = lan] objek [1550/1550] linked_values ​​[0/0] menganalisis dan memohon partisi objek skema [ CN = konfigurasi, dc = tecmint, dc = lan] objek [402/1614] linked_values ​​[0/0] partition [cn = configuration, dc = tecmint, dc = lan] objek [804/1614] linked_values ​​[0/0] Partition [cn = konfigurasi, dc = tecmint, dc = lan] objek [1206/1614] linked_values ​​[0/0] partition [cn = configuration, dc = tecmint, dc = lan] objek [1608/1614] linked_values ​​[0/ 0] Partition [CN = Konfigurasi, DC = Tecmint,Dc = lan] objek [1614/1614] linked_values ​​[28/0] mereplikasi objek kritikal dari asas dn partition domain [dc = tecmint, dc = lan] objek [97/97] linked_values ​​[24/0] Dc = tecmint, dc = lan] objek [380/283] linked_values ​​[27/0] dilakukan dengan selalu direplikasi nc (asas, config, skema) mereplikasi dc = domaindnszones, dc = tecmint, dc = partition lan [dc = domaindnszones, Dc = tecmint, dc = lan] objek [45/45] linked_values ​​[0/0] mereplikasi dc = forestdnszones, dc = tecmint, dc = partition lan [dc = forestdnszones, dc = tecmint, dc = lan] objek [18/ Linked_values ​​[0./0] Melaksanakan pangkalan data SAM yang menghantar dsReplicicIpDATEREFS untuk semua penetapan partitions yang ditetapkan dan dsServiceNameS yang disiapkan pangkalan data rahsia menyertai domain tecMINT (SID S-1-5-21-71000020-3 

Sertailah Domain ke Samba4 AD DC

12. Selepas Ubuntu dengan perisian Samba4 telah diintegrasikan ke dalam domain, buka fail konfigurasi utama Samba dan tambahkan baris berikut:

# nano/etc/samba/smb.Conf 

Tambah petikan berikut ke SMB.fail conf.

DNS Forwarder = 192.168.1.1 IDMAP_LDB: Gunakan RFC2307 = Ya Templat Shell = /bin /bash winbind Gunakan domain lalai = true Winbind Offline Logon = False Winbind NSS Info = RFC2307 Winbind Enum Users = Ya Winbind enum Group = Ya 

Menggantikan DNS Forwarder IP Alamat dengan IP Forwarder DNS anda sendiri. Samba akan mengemukakan semua pertanyaan resolusi DNS yang berada di luar zon berwibawa domain anda ke alamat IP ini.

13. Akhirnya, mulakan semula daemon samba untuk mencerminkan perubahan dan periksa replikasi direktori aktif dengan melaksanakan arahan berikut.

# Systemctl Restart Samba-Ad-Dc # Samba-Tool Drs ShowRepl 

Konfigurasikan Samba4 DNS

14. Di samping itu, menamakan semula fail konfigurasi Kerberos awal dari /dan lain-lain jalan dan menggantinya dengan yang baru KRB5.Conf fail konfigurasi yang dihasilkan oleh samba semasa menyediakan domain.

Fail terletak di /var/lib/samba/swasta direktori. Gunakan Linux Symlink untuk menghubungkan fail ini ke /dan lain-lain direktori.

# mv /etc /krb5.conf /etc /krb5.Conf.awal # ln -s/var/lib/sardba/swasta/krb5.conf /etc / # kucing /etc /krb5.Conf 

Konfigurasikan Kerberos

15. Juga, sahkan pengesahan Kerberos dengan Samba KRB5.Conf fail. Minta tiket untuk pengguna pentadbir dan senaraikan tiket cache dengan mengeluarkan arahan di bawah.

# Kinit Administrator # KLIST 

Sahkan Pengesahan Kerberos dengan Samba

Langkah 4: Pengesahan perkhidmatan domain tambahan

16. Ujian pertama yang perlu anda lakukan adalah Samba4 DC DNS resolusi. Untuk mengesahkan resolusi DNS domain anda, tanya nama domain menggunakan Tuan rumah Perintah terhadap beberapa rekod DNS iklan penting seperti yang ditunjukkan pada tangkapan skrin di bawah.

Pelayan DNS harus dimainkan sekarang dengan sepasang dua alamat IP untuk setiap pertanyaan.

# Hos anda_domain.tld # host -t srv _kerberos._udp.anda_domain.TLD # UDP KERBEROS SRV RECORD # HOST -T SRV _LDAP._tcp.anda_domain.TLD # TCP LDAP SRV RECORD 

Sahkan Samba4 DC DNS

17. Rekod DNS ini juga boleh dilihat dari mesin Windows yang didaftarkan dengan alat RSAT yang dipasang. Buka Pengurus DNS dan berkembang ke rekod TCP domain anda seperti yang ditunjukkan dalam gambar di bawah.

Sahkan rekod DNS pada alat RSAT Windows

18. Ujian seterusnya harus menunjukkan jika replikasi LDAP domain berfungsi seperti yang diharapkan. Menggunakan Tool Samba, Buat akaun pada pengawal domain kedua dan sahkan jika akaun direplikasi secara automatik pada Samba4 AD DC pertama.

Pada ADC2:

# Pengguna-tool Samba Tambah Test_USER 

Pada ADC1:

# Senarai Pengguna Samba-Tool | grep test_user 

Buat akaun pengguna pada iklan Samba4 Sahkan replikasi pada iklan samba4

19. Anda juga boleh membuat akaun dari a Microsoft AD UC konsol dan sahkan jika akaun muncul pada kedua -dua pengawal domain.

Secara lalai, akaun harus dibuat secara automatik pada kedua -dua pengawal domain samba. Tanya nama akaun dari ADC1 menggunakan wbinfo perintah.

Buat Akaun dari Microsoft AD UC Sahkan replikasi akaun pada iklan samba4

20. Sebagai fakta, buka AD UC konsol dari tingkap, berkembang ke pengawal domain dan anda harus melihat kedua -dua mesin DC yang didaftarkan.

Sahkan pengawal domain samba4

Langkah 5: Dayakan Perkhidmatan Samba4 AD DC

21. Untuk membolehkan Samba4 AD DC Services di seluruh sistem, terlebih dahulu melumpuhkan beberapa daemon samba lama dan tidak digunakan dan hanya membolehkan Samba-ad-DC Perkhidmatan dengan menjalankan arahan di bawah:

# Systemctl Lumpuhkan SMBD NMBD Winbind # Systemctl Dayakan Samba-Ad-Dc 

Dayakan Perkhidmatan Samba4 AD DC

22. Sekiranya anda mengendalikan pengawal domain Samba4 dari klien Microsoft atau anda mempunyai pelanggan Linux atau Windows lain yang disatukan ke dalam domain anda, pastikan anda menyebut alamat IP ADC2 Mesin ke antara muka rangkaian tetapan IP pelayan DNS untuk mendapatkan tahap redundansi.

Tangkapan skrin di bawah menggambarkan konfigurasi yang diperlukan untuk Windows atau pelanggan Debian/Ubuntu.

Konfigurasikan pelanggan untuk mentadbir Samba4 DC Konfigurasikan pelanggan Linux untuk mentadbir Samba4 DC

Mengandaikan bahawa yang pertama DC dengan 192.168.1.254 pergi di luar talian, membalikkan pesanan alamat IP pelayan DNS dalam fail konfigurasi sehingga tidak akan cuba menanyakan terlebih dahulu pelayan DNS yang tidak tersedia.

Akhirnya, sekiranya anda ingin melakukan pengesahan tempatan pada sistem Linux dengan akaun Direktori Aktif Samba4 atau memberikan keistimewaan akar untuk akaun LDAP AD di Linux, baca langkah 2 dan 3 dari tutorial menguruskan infrastruktur iklan Samba4 dari Linux Command Linux dari Linux.