Yük Devretme Çoğaltması için Samba4 AD DC'ye Ek Bir Ubuntu DC'ye Katılın - Bölüm 5
Bu eğitimde, Ubuntu 16.04 sunucusunda sağlanan ikinci bir Samba4 etki alanı denetleyicisinin mevcut Samba AD DC ormanına sırayla nasıl ekleneceği gösterilecektir. bazı önemli AD DC hizmetleri için, özellikle de DNS ve SAM veritabanına sahip AD DC LDAP şeması gibi hizmetler için bir dereceye kadar yük dengeleme/yük devretme sağlamak.
Gereksinimler
- Ubuntu'da Samba4 ile Active Directory Altyapısı Oluşturma – Bölüm 1
Bu makale, Samba4 AD DC serisinin Bölüm-5'idir:
Adım 1: Samba4 Kurulumu için İlk Yapılandırma
1. İkinci DC için etki alanına katılmayı gerçekten gerçekleştirmeye başlamadan önce, birkaç başlangıç ayarına dikkat etmeniz gerekir. Öncelikle Samba4 AD DC'ye entegre edilecek sistemin ana bilgisayar adının açıklayıcı bir ad içerdiğinden emin olun.
İlk sağlanan bölgenin ana bilgisayar adının adc1 olarak adlandırıldığını varsayarsak, tutarlı bir adlandırma şeması sağlamak için ikinci DC'yi adc2 ile adlandırabilirsiniz. Etki Alanı Denetleyicileriniz genelinde.
Sistemin ana bilgisayar adını değiştirmek için aşağıdaki komutu verebilirsiniz.
hostnamectl set-hostname adc2
aksi takdirde /etc/hostname dosyasını manuel olarak düzenleyebilir ve istediğiniz adla yeni bir satır ekleyebilirsiniz.
nano /etc/hostname
Buraya ana bilgisayar adını ekleyin.
adc2
2. Ardından, yerel sistem çözümleme dosyasını açın ve aşağıda gösterildiği gibi, ana etki alanı denetleyicisinin kısa adına ve FQDN'sine IP adresi cadı noktalarını içeren bir giriş ekleyin. ekran görüntüsü.
Bu eğitim aracılığıyla birincil DC adı adc1.tecmint.lan olur ve 192.168.1.254 IP adresine çözümlenir.
nano /etc/hosts
Aşağıdaki satırı ekleyin:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. Bir sonraki adımda /etc/network/interfaces'i açın ve aşağıdaki ekran görüntüsünde gösterildiği gibi sisteminize statik bir IP adresi atayın.
dns-nameservers ve dns-search değişkenlerine dikkat edin. DNS çözümlemesinin doğru çalışması için bu değerlerin birincil Samba4 AD DC'nin ve bölgenin IP adresine işaret edecek şekilde yapılandırılması gerekir.
Değişiklikleri yansıtmak için ağ arka plan programını yeniden başlatın. Ağ arayüzünüzdeki her iki DNS değerinin de bu dosyaya güncellendiğinden emin olmak için /etc/resolv.conf dosyasını doğrulayın.
nano /etc/network/interfaces
Özel IP ayarlarınızı düzenleyin ve değiştirin:
auto ens33
iface ens33 inet static
address 192.168.1.253
netmask 255.255.255.0
brodcast 192.168.1.1
gateway 192.168.1.1
dns-nameservers 192.168.1.254
dns-search tecmint.lan
Ağ hizmetini yeniden başlatın ve değişiklikleri onaylayın.
systemctl restart networking.service
cat /etc/resolv.conf
dns-search değeri, bir ana makineyi kısa adına göre sorguladığınızda alan adını otomatik olarak ekleyecektir (FQDN'yi oluşturacaktır).
4. DNS çözümlemesinin beklendiği gibi çalışıp çalışmadığını test etmek için aşağıdaki ekran görüntüsünde gösterildiği gibi alan kısa adınıza, FQDN'nize ve bölgenize karşı bir dizi ping komutu verin.
Tüm bu durumlarda Samba4 AD DC DNS sunucusu ana DC'nizin IP adresiyle yanıt vermelidir.
5. Dikkat etmeniz gereken son ek adım, ana Etki Alanı Denetleyicinizle zaman senkronizasyonudur. Bu, aşağıdaki komutu vererek sisteminize NTP istemci yardımcı programını yükleyerek gerçekleştirilebilir:
apt-get install ntpdate
6. samba4 AD DC ile zaman senkronizasyonunu manuel olarak zorlamak istediğinizi varsayarak, aşağıdaki komutu vererek birincil DC'ye karşı ntpdate komutunu çalıştırın.
ntpdate adc1
Adım 2: Samba4'ü Gerekli Bağımlılıklarla Kurun
7. Alan adınıza Ubuntu 16.04 sistemini kaydetmek için öncelikle Samba4, Kerberos istemcisini ve birkaçını yükleyin. Aşağıdaki komutu vererek Ubuntu resmi depolarından daha sonra kullanmak üzere diğer önemli paketler:
apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Kurulum sırasında Kerberos bölge adını vermeniz gerekecektir. Alan adınızı büyük harflerle yazın ve [Enter] tuşuna basarak kurulum işlemini tamamlayın.
9. Paketlerin kurulumu tamamlandıktan sonra, kinit komutunu kullanarak etki alanı yöneticisi için bir Kerberos bileti talep ederek ayarları doğrulayın. Verilen Kerberos biletini listelemek için klist komutunu kullanın.
kinit domain-admin-user@YOUR_DOMAIN.TLD
klist
3. Adım: Etki Alanı Denetleyicisi olarak Samba4 AD DC'ye katılın
10. Makinenizi Samba4 DC'ye entegre etmeden önce, öncelikle sisteminizde çalışan tüm Samba4 arka plan programlarının durdurulduğundan emin olun ve ayrıca başlamak için varsayılan Samba yapılandırma dosyasını yeniden adlandırın. temiz. Etki alanı denetleyicisinin sağlanması sırasında samba, sıfırdan yeni bir yapılandırma dosyası oluşturacaktır.
systemctl stop samba-ad-dc smbd nmbd winbind
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Etki alanına katılma sürecini başlatmak için önce yalnızca samba-ad-dc arka plan programını başlatın, ardından samba-tool'u çalıştıracaksınız. Etki alanınızda yönetici ayrıcalıklarına sahip bir hesap kullanarak bölgeye katılma komutu.
samba-tool domain join your_domain DC -U "your_domain_admin"
Etki alanı entegrasyonu alıntısı:
samba-tool domain join tecmint.lan DC -U"tecmint_user"
Örnek Çıktı
Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Samba4 yazılımlı Ubuntu etki alanına entegre edildikten sonra samba ana yapılandırma dosyasını açın ve aşağıdaki satırları ekleyin:
nano /etc/samba/smb.conf
Aşağıdaki alıntıyı smb.conf dosyasına ekleyin.
dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
Dns iletici IP adresini kendi DNS iletici IP'nizle değiştirin. Samba, etki alanı yetkili bölgenizin dışındaki tüm DNS çözümleme sorgularını bu IP adresine iletecektir.
13. Son olarak, değişiklikleri yansıtmak için samba arka plan programını yeniden başlatın ve aşağıdaki komutları yürüterek aktif dizin çoğaltmasını kontrol edin.
systemctl restart samba-ad-dc
samba-tool drs showrepl
14. Ayrıca, ilk Kerberos yapılandırma dosyasını /etc yolundan yeniden adlandırın ve bunu, temel hazırlık sırasında samba tarafından oluşturulan yeni krb5.conf yapılandırma dosyasıyla değiştirin. alan adı.
Dosya /var/lib/samba/private dizininde bulunur. Bu dosyayı /etc dizinine bağlamak için Linux sembolik bağlantısını kullanın.
mv /etc/krb5.conf /etc/krb5.conf.initial
ln -s /var/lib/samba/private/krb5.conf /etc/
cat /etc/krb5.conf
15. Ayrıca Kerberos kimlik doğrulamasını samba krb5.conf dosyasıyla doğrulayın. Yönetici kullanıcı için bir bilet isteyin ve aşağıdaki komutları vererek önbelleğe alınan bileti listeleyin.
kinit administrator
klist
Adım 4: Ek Etki Alanı Hizmetleri Doğrulamaları
16. Yapmanız gereken ilk test Samba4 DC DNS çözümlemesidir. Alan DNS çözümlemenizi doğrulamak için, aşağıdaki ekran görüntüsünde gösterildiği gibi, host komutunu kullanarak birkaç önemli AD DNS kaydına karşı alan adını sorgulayın.
DNS sunucusu şu ana kadar her sorgu için iki IP adresi çiftiyle yeniden oynatılmalıdır.
host your_domain.tld
host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record
host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Bu DNS kayıtları, RSAT araçlarının yüklü olduğu kayıtlı bir Windows makinesinden de görülebilmelidir. DNS Yöneticisini açın ve aşağıdaki resimde gösterildiği gibi etki alanı TCP kayıtlarınızı genişletin.
18. Bir sonraki test, alan adı LDAP çoğaltmasının beklendiği gibi çalışıp çalışmadığını belirtmelidir. Samba-tool'u kullanarak ikinci etki alanı denetleyicisinde bir hesap oluşturun ve hesabın ilk Samba4 AD DC'de otomatik olarak çoğaltılıp çoğaltılmadığını doğrulayın.
adc2'de:
samba-tool user add test_user
adc1'de:
samba-tool user list | grep test_user
19. Ayrıca Microsoft AD UC konsolundan da bir hesap oluşturabilir ve hesabın her iki etki alanı denetleyicisinde de görünüp görünmediğini doğrulayabilirsiniz.
Varsayılan olarak hesabın her iki samba etki alanı denetleyicisinde de otomatik olarak oluşturulması gerekir. wbinfo komutunu kullanarak adc1'den hesap adını sorgulayın.
20. Aslında, Windows'tan AD UC konsolunu açın, Etki Alanı Denetleyicilerine genişletin; her iki kayıtlı DC makinesini de görmelisiniz.
Adım 5: Samba4 AD DC Hizmetini Etkinleştirin
21. Samba4 AD DC hizmetlerini sistem genelinde etkinleştirmek için, öncelikle bazı eski ve kullanılmayan Samba arka plan programlarını devre dışı bırakın ve aşağıdaki komutları çalıştırarak yalnızca samba-ad-dc hizmetini etkinleştirin. :
systemctl disable smbd nmbd winbind
systemctl enable samba-ad-dc
22. Samba4 etki alanı denetleyicisini bir Microsoft istemcisinden uzaktan yönetiyorsanız veya etki alanınıza entegre edilmiş başka Linux veya Windows istemcileriniz varsa, adc2'nin IP adresini belirttiğinizden emin olun. Bir düzeyde artıklık elde etmek için makineyi kendi ağ arayüzü DNS sunucusu IP ayarlarına bağlayın.
Aşağıdaki ekran görüntüleri bir Windows veya Debian/Ubuntu istemcisi için gereken yapılandırmaları göstermektedir.
192.168.1.254'e sahip ilk DC'nin çevrimdışı olduğunu varsayarak, yapılandırma dosyasındaki DNS sunucusu IP adreslerinin sırasını tersine çevirin, böylece kullanılamayan bir adresi ilk önce sorgulamaya çalışmaz. Dns sunucusu.
Son olarak, Samba4 Active Directory hesabına sahip bir Linux sisteminde yerel kimlik doğrulama gerçekleştirmek veya Linux'ta AD LDAP hesapları için kök ayrıcalıkları vermek istiyorsanız, Linux Komut Satırından Samba4 AD Altyapısını Yönetme öğreticisindeki 2. ve 3. adımları okuyun.