Únase a un Ubuntu DC adicional a Samba4 AD DC para la replicación de conmutación por error - Parte 5

Únase a un Ubuntu DC adicional a Samba4 AD DC para la replicación de conmutación por error - Parte 5

Este tutorial le mostrará cómo agregar un segundo Samba4 controlador de dominio, aprovisionado en Ubuntu 16.04 servidor, al existente Samba AD DC Bosque para proporcionar un grado de equilibrio de carga/conmutación por error para algunos servicios cruciales de AD DC, especialmente para servicios como DNS y esquema AD DC LDAP con base de datos SAM.

Requisitos

  1. Cree una infraestructura de Active Directory con Samba4 en Ubuntu - Parte 1

Este artículo es un Parte 5 de Samba4 AD DC Serie de la siguiente manera:

Parte 2: Administre la infraestructura publicitaria de Samba4 desde la línea de comandos de Linux Parte 3: Administrar la infraestructura Samba4 Active Directory desde Windows10 a través de RSAT Parte 4: Administrar DNS de controlador de dominio AD SAMBA4 y Política de grupo desde Windows

Paso 1: Configuración inicial para la configuración de Samba4

1. Antes de comenzar a realizar una unión de dominio para el segundo DC, debe encargarse de algunas configuraciones iniciales. Primero, asegúrese de que el nombre de host del sistema que se integrará en Samba4 AD DC contiene un nombre descriptivo.

Suponiendo que el nombre de host del primer reino aprovisionado se llama ADC1, Puedes nombrar el segundo DC con ADC2 Para proporcionar un esquema de nomenclatura constante en sus controladores de dominio.

Para cambiar el sistema nombre de host Puede emitir el siguiente comando.

# hostnamectl set-hostname adc2 

de lo contrario puedes editar manualmente /etc/nombre de host archivo y agregue una nueva línea con el nombre deseado.

# nano /etc /nombre de host 

Aquí agregue el nombre de host.

ADC2 

2. A continuación, abra el archivo de resolución del sistema local y agregue una entrada con la dirección IP de la bruja apunta al nombre corto y FQDN del controlador de dominio principal, como se ilustra en la siguiente captura de pantalla.

A través de este tutorial, el nombre principal de DC es ADC1.tecmenta.lan y se resuelve 192.168.1.254 dirección IP.

# nano /etc /huéspedes 

Agregue la siguiente línea:

Ip_of_main_dc fqdn_of_main_dc short_name_of_main_dc 
Establecer nombre de host para Samba4 AD DC

3. En el siguiente paso, abra /etc/red/interfaces y asigne una dirección IP estática para su sistema como se ilustra en la siguiente captura de pantalla.

Prestar atención a DNS-Nameservers y DNS-Search variables. Estos valores deben configurarse para apuntar a la dirección IP de la primaria Samba4 AD DC y reino para que la resolución DNS funcione correctamente.

Reinicie el demonio de la red para reflejar los cambios. Verificar /etc/resolv.confusión Archivo para asegurar que ambos valores de DNS desde su interfaz de red se actualicen a este archivo.

# nano/etc/network/interfaces 

Editar y reemplazar con su configuración de IP personalizada:

Auto ENS33 IFACE ENS33 INET DIRECCIÓN ESTÁTICA 192.168.1.253 Netmask 255.255.255.0 Brodcast 192.168.1.1 Gateway 192.168.1.1 DNS-Nameservers 192.168.1.254 DNS-Search Tecmint.lan 

Reiniciar el servicio de red y confirmar cambios.

# SystemCTL reiniciar las redes.servicio # cat /etc /resolv.confusión 
Configurar DNS para AD SAMBA4

El DNS-Search El valor agregará automáticamente el nombre de dominio cuando consulte un host por su nombre corto (formará el FQDN).

4. Para probar si la resolución DNS funciona como se esperaba, emita una serie de silbido Comandos contra su nombre corto de dominio, FQDN y reino como se muestra en la siguiente captura de pantalla.

En todos estos casos Samba4 AD DC DNS El servidor debe responder con la dirección IP de su DC principal.

Verificar la resolución DNS para el anuncio SAMBA4

5. El paso adicional final que debe cuidar es la sincronización del tiempo con su controlador de dominio principal. Esto se puede lograr instalando NTP Utilidad del cliente en su sistema emitiendo el siguiente comando:

# apt-get install ntpdate 

6. Suponiendo que desea forzar manualmente la sincronización del tiempo con Samba4 AD DC, correr ntpdate Comando contra el DC primario emitiendo el siguiente comando.

# ntpdate adc1 
El tiempo sincronizado con el anuncio Samba4

Paso 2: Instale Samba4 con las dependencias requeridas

7. Para inscribir Ubuntu 16.04 sistema en su dominio, primero instalar Samba4, Kerberos Cliente y algunos otros paquetes importantes para su uso posterior de los repositorios oficiales de Ubuntu emitiendo el siguiente comando:

# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind 
Instale Samba4 en Ubuntu

8. Durante la instalación deberá proporcionar el nombre del reino de Kerberos. Escriba su nombre de dominio con las casos superiores y presione [Ingresar] clave para finalizar el proceso de instalación.

Configurar la autenticación de Kerberos para SAMBA4

9. Después de que finalice la instalación de los paquetes, verifique la configuración solicitando un boleto de Kerberos para un administrador de dominio utilizando pariente dominio. Usar klist Comando para enumerar el boleto de Kerberos otorgado.

# kinit [correo electrónico protegido] _domain.Tld # klist 
Verificar a Kerberos en el dominio Samba4

Paso 3: Únete a Samba4 AD DC como controlador de dominio

10. Antes de integrar su máquina en Samba4 DC, Primero asegúrese de que se detengan todos los demonios Samba4 que se ejecutan en su sistema y, también cambie el nombre del archivo de configuración SAMBA predeterminado para comenzar a limpiar. Al aprovisionar el controlador de dominio, Samba creará un nuevo archivo de configuración desde cero.

# SystemCTL Stop samba-ad-dc smbd nmbd winbind # mv/etc/samba/smb.conf/etc/samba/smb.confusión.inicial 

11. Para comenzar el proceso de unión de dominio, primero inicie solo samba-ad-dc demonio, después de lo cual correrás samba Comando para unirse al reino utilizando una cuenta con privilegios administrativos en su dominio.

# Dominio de samba -tool Únete a your_domain DC -u "your_domain_admin" 

Extracto de integración de dominio:

# Dominio de samba-Tool Únete a Tecmint.lan dc -u "tecmint_user" 
Salida de muestra
Encontrar un DC escrito para el dominio 'Tecmint.Lan 'encontró DC ADC1.tecmenta.Contraseña LAN para [Group \ TecMint_user]: Workgroup es Tecmint Realm es TecMint.LAN verificando samaccountName eliminado CN = ADC2, CN = Computers, DC = TecMint, DC = LAN agregando CN = ADC2, OU = controladores de dominio, DC = TecMint, DC = LAN agregando CN = ADC2, CN = Servidores, CN = Default-First -Site-name, cn = sites, cn = configuration, dc = tecMint, dc = lan agregando cn = ntds configuraciones, cn = adc2, cn = servidores, cn = predeterminado-file-site-name, cn = sites, cn = Configuración, DC = TecMint, DC = LAN agregando SPNS a CN = ADC2, OU = Controladores de dominio, DC = TecMint, DC = LAN Configuración de la cuenta Contraseña de la cuenta para ADC2 $ Habilitación de la cuenta llamando a la disposición desnuda las direcciones IPV4 que buscan direcciones IPV6 sin dirección IPV6 se le asignará la configuración de la configuración.LDB configurando secretos.LDB Configuración del registro Configuración de la base de datos de privilegios Configuración de IDMap DB Configuración de SAM DB Configuración de SAM.Particiones y configuraciones de LDB Configuración de SAM.LDB RootDSE Pre-Cargando el esquema Samba 4 y AD Se ha generado una configuración de Kerberos adecuada para Samba 4 en/var/lib/samba/private/krb5.disposición de confirmación OK para dominio dn dc = tecMint, dc = lan inicial de replicación esquema-dn [cn = esquema, cn = configuration, dc = tecMint, dc = lan] objetos [402/1550] Linked_values ​​[0/0] Schema-DN [CN = SCHEMA, CN = Configuration, DC = TecMint, DC = LAN] Objetos [804/1550] Linked_values ​​[0/0] Schema-DN [CN = Schema, CN = Configuration, DC = TecMint, DC = LAN] Objetos [1206/1550] Linked_values ​​[0/0] Schema-DN [CN = Schema, CN = Configuration, DC = TecMint, DC = LAN] Objetos [1550/1550] Linked_Values ​​[0/0] Analizar y aplicar la partición de objetos de esquema [ CN = Configuration, DC = TecMint, DC = Lan] Objetos [402/1614] Linked_Values ​​[0/0] Partition [CN = Configuration, DC = TecMint, DC = LAN] Objetos [804/1614] Linked_Values ​​[0/0] Partition [CN = Configuration, DC = TecMint, DC = Lan] Objetos [1206/1614] Linked_values ​​[0/0] Partición [CN = Configuración, DC = TecMint, DC = LAN] Objetos [1608/1614] Linked_Values ​​[0/0/0 0] Partición [CN = Configuración, DC = TecMint,DC = LAN] Objetos [1614/1614] Linked_Values ​​[28/0] Replicando objetos críticos del DN base de la partición del dominio [dc = tecMint, dc = lan] objetos [97/97] Linked_values ​​[24/0] Partition [ DC = TECMINT, DC = LAN] Objetos [380/283] Linked_Values ​​[27/0] Hecho con NC (base, configuración, esquema) siempre replicado replicando DC = Domaindnszones, DC = TECMINT, DC = LAN Partition [DC = DomainDnszones, DC = TecMint, DC = Lan] Objetos [45/45] Linked_Values ​​[0/0] Replicando DC = ForestDNSZones, DC = TecMint, DC = LAN Partition [DC = ForestDNSZones, DC = TecMint, DC = Lan] Objetos [18//18/ 18] Linked_Values ​​[0/0] Compromiso de la base de datos SAM enviando dsreplicAupDateRefs para todas las particiones replicadas configurando issyncronized y dsserviceName Configuración de la base de datos de Secrets TecMint (SID S-1-5-21-715533222-3397311598-55032968) 
Unirse al dominio a Samba4 AD DC

12. Después de que el software Ubuntu con el software SAMBA4 se haya integrado en el dominio, abra el archivo de configuración principal de Samba y agregue las siguientes líneas:

# nano/etc/samba/smb.confusión 

Agregue el siguiente extracto a SMB.archivo conf.

DNS Reense = 192.168.1.1 idmap_ldb: use rfc2307 = sí plantlate shell = /bin /bash winbind use el dominio predeterminado = true Winbind fuera de línea de inicio = false winbind nss info = rfc2307 winbind enum usuarios = sí grupos winbind enum = sí 

Reemplazar DNS Reenviador IP Dirección con su propio DNS Reengers IP. Samba reenviará todas las consultas de resolución DNS que están fuera de su zona de autoridad de dominio a esta dirección IP.

13. Finalmente, reinicie Samba Daemon para reflejar los cambios y verifique la replicación de Active Directory ejecutando los siguientes comandos.

# SystemCTL reiniciar samba-ad-dc # samba-tool drs showRepl 
Configurar DNS SAMBA4

14. Además, cambie el nombre del archivo de configuración inicial de Kerberos desde /etc ruta y reemplazarlo con el nuevo KRB5.confusión Archivo de configuración generado por SAMBA al aprovisionar el dominio.

El archivo se encuentra en /var/lib/samba/private directorio. Use Linux SymLink para vincular este archivo a /etc directorio.

# mv /etc /krb5.conf /etc /krb5.confusión.inicial # ln -s/var/lib/samba/private/krb5.conf /etc / # cat /etc /krb5.confusión 
Configurar kerberos

15. Además, verifique la autenticación de Kerberos con Samba KRB5.confusión archivo. Solicite un boleto para un usuario de administrador y enumere el boleto en caché emitiendo los comandos a continuación.

# Administrador de Kinit # Klist 
Verificar la autenticación de Kerberos con samba

Paso 4: Validaciones adicionales de servicios de dominio

dieciséis. La primera prueba que debe realizar es Samba4 DC DNS resolución. Para validar su resolución de DNS de dominio, consulte el nombre de dominio usando anfitrión Comando contra algunos registros cruciales de AD DNS como se presenta en la siguiente captura de pantalla.

El servidor DNS ya debe reproducirse con un par de dos direcciones IP para cada consulta.

# Host Your_Domain.tld # host -t srv _kerberos._UDP.Tu dominio.TLD # UDP Kerberos SRV Record # host -t srv _ldap._tcp.Tu dominio.TLD # TCP LDAP SRV Record 
Verificar SAMBA4 DC DNS

17. Estos registros DNS también deben ser visibles desde una máquina Windows inscrita con herramientas RSAT instaladas. Abra DNS Manager y expanda a los registros TCP de su dominio como se muestra en la imagen a continuación.

Verifique los registros DNS en la herramienta RSAT de Windows

18. La siguiente prueba debe indicar si la replicación del dominio LDAP funciona como se esperaba. Usando samba, Cree una cuenta en el segundo controlador de dominio y verifique si la cuenta se replica automáticamente en el primer AD Samba4 AD DC.

En ADC2:
# Usuario de samba-tool Agregar test_user 
En ADC1:
# Lista de usuarios de la herramienta de samba | GREP test_user 
Crear cuenta de usuario en el anuncio SAMBA4 Verificar la replicación en el anuncio SAMBA4

19. También puede crear una cuenta a partir de un Microsoft AD UC consola y verifique si la cuenta aparece en ambos controladores de dominio.

Por defecto, la cuenta debe crearse automáticamente en ambos controladores de dominio de Samba. Consulta el nombre de la cuenta de ADC1 usando wbinfo dominio.

Crear cuenta de Microsoft AD UC Verificar la replicación de la cuenta en el anuncio SAMBA4

20. Como hecho, abra AD UC Consola de Windows, expandirse a controladores de dominio y debería ver ambas máquinas DC inscritas.

Verificar controladores de dominio Samba4

Paso 5: Habilitar el servicio Samba4 AD DC

21. Para habilitar el sistema de servicios SAMBA4 AD DC en todo el sistema, primero deshabilite algunos Daemons de Samba antiguos y no utilizados y solo habilite samba-ad-dc Servicio ejecutando los comandos a continuación:

# SystemCTL Disable 
Habilitar los servicios de DC SAMBA4 AD DC

22. Si administra de forma remota el controlador de dominio SAMBA4 desde un cliente de Microsoft o tiene otros clientes de Linux o Windows integrados en su dominio, asegúrese de mencionar la dirección IP del ADC2 Máquina en su interfaz de red Configuración de IP del servidor DNS para obtener un nivel de redundancia.

Las capturas de pantalla a continuación ilustran las configuraciones requeridas para un cliente de Windows o un cliente de Debian/Ubuntu.

Configurar el cliente para administrar SAMBA4 DC Configurar el cliente Linux para administrar Samba4 DC

Suponiendo que el primero corriente continua con 192.168.1.254 Se desconecta, revertir el orden de las direcciones IP del servidor DNS en el archivo de configuración para que no intentará consultar primero un servidor DNS no disponible.

Finalmente, en caso de que desee realizar la autenticación local en un sistema de Linux con una cuenta de Samba4 Active Directory o otorgar privilegios raíz para cuentas AD LDAP en Linux, lea los pasos 2 y 3 del tutorial Administrar infraestructura AD SAMBA4 de Linux Command Line.