Apil sa Dugang nga Ubuntu DC sa Samba4 AD DC alang sa FailOver Replication - Bahin 5

Kini nga panudlo magpakita kanimo kung giunsa pagdugang ang usa ka ikaduha nga Samba4 domain controller, nga gihatag sa Ubuntu 16.04 server, sa naglungtad nga Samba AD DC nga lasang aron mahatagan ang usa ka lebel sa pagbalanse sa load/failover alang sa pipila ka hinungdanon nga serbisyo sa AD DC, labi na alang sa mga serbisyo sama sa DNS ug AD DC LDAP schema nga adunay SAM database.

1. Paghimo ug Active Directory Infrastructure gamit ang Samba4 sa Ubuntu – Part 1

Kini nga artikulo usa ka Bahin-5 sa serye sa Samba4 AD DC sama sa mosunod:

Lakang 1: Inisyal nga Configuration para sa Samba4 Setup

1. Sa dili ka pa magsugod sa aktuwal nga pagbuhat sa domain joining para sa ikaduhang DC, kinahanglan nimo nga atimanon ang pipila ka inisyal nga mga setting. Una, siguruha nga ang hostname sa sistema nga i-integrate sa Samba4 AD DC adunay usa ka deskriptibo nga ngalan.

Sa paghuna-huna nga ang hostname sa unang gi-provision nga gingharian gitawag ug adc1, mahimo nimong nganlan ang ikaduhang DC gamit ang adc2 aron makahatag ug makanunayon nga paagi sa pagngalan sa imong mga Domain Controller.

Aron mabag-o ang hostname sa sistema mahimo nimong i-isyu ang mando sa ubos.

# hostnamectl set-hostname adc2

kung dili mahimo nimo nga mano-mano ang pag-edit sa /etc/hostname file ug pagdugang usa ka bag-ong linya nga adunay gusto nga ngalan.

# nano /etc/hostname

Dinhi idugang ang hostname.

adc2

2. Sunod, ablihi ang lokal nga sistema sa resolusyon nga file ug idugang ang usa ka entry nga adunay IP address witch points sa mubo nga ngalan ug FQDN sa nag-unang domain controller, ingon sa gihulagway sa ubos nga screenshot.

Pinaagi niini nga panudlo, ang panguna nga ngalan sa DC mao ang adc1.tecmint.lan ug kini mosulbad sa 192.168.1.254 IP address.

# nano /etc/hosts

Idugang ang mosunod nga linya:

IP_of_main_DC		FQDN_of_main_DC 	short_name_of_main_DC

3. Sa sunod nga lakang, ablihi /etc/network/interfaces ug assign ug static nga IP address para sa imong system sama sa gihulagway sa screenshot sa ubos.

Hatagi'g pagtagad ang dns-nameservers ug dns-search variables. Kini nga mga kantidad kinahanglan nga i-configure aron itudlo balik ang IP address sa panguna nga Samba4 AD DC ug gingharian aron ang resolusyon sa DNS molihok sa husto.

I-restart ang network daemon aron mapakita ang mga pagbag-o. I-verify ang /etc/resolv.conf file aron masiguro nga ang duha ka DNS values gikan sa imong network interface kay updated niini nga file.

# nano /etc/network/interfaces

I-edit ug pulihan ang imong naandan nga mga setting sa IP:

auto ens33
iface ens33 inet static
        address 192.168.1.253
        netmask 255.255.255.0
        brodcast 192.168.1.1
        gateway 192.168.1.1
        dns-nameservers 192.168.1.254
        dns-search tecmint.lan

I-restart ang serbisyo sa network ug kumpirmahi ang mga pagbag-o.

# systemctl restart networking.service
# cat /etc/resolv.conf

Ang bili sa dns-search awtomatik nga idugang ang domain name kung mangutana ka sa usa ka host pinaagi sa mubo nga ngalan niini (mahimo ang FQDN).

4. Aron masulayan kung ang resolusyon sa DNS nagtrabaho sama sa gipaabut, pag-isyu ug serye sa mga ping command batok sa imong domain mubo nga ngalan, FQDN ug gingharian sama sa gipakita sa ubos nga screenshot.

Sa tanan niini nga mga kaso Samba4 AD DC DNS server kinahanglan nga motubag sa IP address sa imong nag-unang DC.

5. Ang katapusang dugang nga lakang nga kinahanglan nimong ampingan mao ang pag-synchronize sa oras sa imong nag-unang Domain Controller. Mahimo kini pinaagi sa pag-instalar sa NTP client utility sa imong sistema pinaagi sa pag-isyu sa ubos nga sugo:

# apt-get install ntpdate

6. Sa pag-ingon nga gusto nimo nga mano-mano nga pugson ang pag-synchronize sa oras sa samba4 AD DC, padagana ang ntpdate command batok sa nag-unang DC pinaagi sa pag-isyu sa mosunod nga sugo.

# ntpdate adc1

Lakang 2: I-install ang Samba4 nga adunay Gikinahanglan nga Dependencies

7. Aron ma-enrol ang Ubuntu 16.04 nga sistema sa imong domain, i-install una ang Samba4, Kerberos nga kliyente ug pipila ka uban pang importante nga mga pakete para magamit sa ulahi gikan sa opisyal nga mga repositoryo sa Ubuntu pinaagi sa pag-isyu sa ubos nga sugo:

# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

8. Atol sa pag-instalar kinahanglan nimo nga ihatag ang ngalan sa gingharian sa Kerberos. Isulat ang imong domain name sa mga upper case ug pindota ang [Enter] key aron mahuman ang proseso sa pag-instalar.

9. Human mahuman ang pag-instalar sa mga pakete, pamatud-i ang mga setting pinaagi sa paghangyo og tiket sa Kerberos alang sa usa ka tagdumala sa domain gamit ang kinit nga sugo. Gamita ang klist command aron ilista ang gihatag nga tiket sa Kerberos.

# kinit [email _DOMAIN.TLD
# klist

Lakang 3: Apil sa Samba4 AD DC isip Domain Controller

10. Sa dili pa i-integrate ang imong makina ngadto sa Samba4 DC, siguruha una nga ang tanang Samba4 nga daemon nga nagdagan sa imong sistema gipahunong ug, usab, pag-ilis sa ngalan sa default nga Samba configuration file aron magsugod nga limpyo. Samtang nag-provision sa domain controller, ang samba maghimo og bag-ong configuration file gikan sa scratch.

# systemctl stop samba-ad-dc smbd nmbd winbind
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

11. Aron masugdan ang proseso sa pag-apil sa domain, sugdi lang una ang samba-ad-dc daemon, pagkahuman magpadagan ka sa samba-tool command aron moapil sa gingharian gamit ang usa ka account nga adunay mga pribilehiyo sa pagdumala sa imong domain.

# samba-tool domain join your_domain DC -U "your_domain_admin"

Mga kinutlo sa paghiusa sa domain:

# samba-tool domain join tecmint.lan DC -U"tecmint_user"

Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC

12. Human ang Ubuntu nga adunay samba4 software na-integrate sa domain, ablihi ang samba main configuration file ug idugang ang mosunod nga mga linya:

# nano /etc/samba/smb.conf

Idugang ang mosunod nga kinutlo sa smb.conf file.

dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes

   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
        winbind enum users = yes
        winbind enum groups = yes

Ilisan ang dns forwarder IP address sa imong kaugalingong DNS forwarder IP. Ipasa sa Samba ang tanang pangutana sa resolusyon sa DNS nga naa sa gawas sa imong domain authoritative zone ngadto niining IP address.

13. Sa katapusan, i-restart ang samba daemon aron mapakita ang mga pagbag-o ug susihon ang aktibo nga pagkopya sa direktoryo pinaagi sa pagpatuman sa mga mosunod nga mga mando.

# systemctl restart samba-ad-dc
# samba-tool drs showrepl

14. Dugang pa, ilisan ang ngalan sa inisyal nga Kerberos configuration file gikan sa /etc path ug pulihan kini sa bag-ong krb5.conf configuration file nga namugna sa samba samtang nagprovision sa domain.

Ang file nahimutang sa /var/lib/samba/pribado nga direktoryo. Gamita ang symlink sa Linux aron i-link kini nga file sa /etc directory.

# mv /etc/krb5.conf /etc/krb5.conf.initial
# ln -s /var/lib/samba/private/krb5.conf /etc/
# cat /etc/krb5.conf

15. Usab, pamatud-i ang Kerberos authentication gamit ang samba krb5.conf file. Paghangyo og tiket alang sa usa ka tigdumala nga tiggamit ug ilista ang naka-cache nga tiket pinaagi sa pag-isyu sa ubos nga mga sugo.

# kinit administrator
# klist

Lakang 4: Dugang nga Domain Services Validations

16. Ang una nga pagsulay nga kinahanglan nimong buhaton mao ang resolusyon sa Samba4 DC DNS. Aron ma-validate ang imong domain DNS resolution, pangutana sa domain name gamit ang host command batok sa pipila ka importante nga AD DNS records sama sa gipakita sa ubos nga screenshot.

Ang DNS server kinahanglan nga i-replay karon nga adunay usa ka pares nga duha ka IP address alang sa matag pangutana.

# host your_domain.tld
# host -t SRV _kerberos._udp.your_domain.tld  # UDP Kerberos SRV record
# host -t SRV _ldap._tcp.your_domain.tld  # TCP LDAP SRV record

17. Kini nga mga rekord sa DNS kinahanglan usab nga makita gikan sa usa ka na-enrol nga makina sa Windows nga adunay mga kagamitan sa RSAT nga na-install. Ablihi ang DNS Manager ug ipalapad sa imong domain tcp records sama sa gipakita sa ubos nga hulagway.

18. Ang sunod nga pagsulay kinahanglan magpakita kung ang domain LDAP replikasyon molihok sama sa gipaabut. Gamit ang samba-tool, paghimo og account sa ikaduhang domain controller ug susiha kung ang account awtomatik nga gikopya sa unang Samba4 AD DC.

# samba-tool user add test_user

# samba-tool user list | grep test_user

19. Mahimo ka usab nga maghimo usa ka account gikan sa usa ka console sa Microsoft AD UC ug susihon kung ang account makita sa duha nga mga tigkontrol sa domain.

Sa default, ang account kinahanglan nga awtomatiko nga gihimo sa duha nga samba domain controllers. Pangutana ang ngalan sa account gikan sa adc1 gamit ang wbinfo command.

20. Isip usa ka kamatuoran, ablihi ang AD UC console gikan sa Windows, pagpalapad sa Domain Controllers ug kinahanglan nimo nga makita ang duha nga na-enrol nga DC machine.

Lakang 5: I-enable ang Samba4 AD DC Service

21. Aron ma-enable ang samba4 AD DC nga mga serbisyo sa tibuok sistema, i-disable una ang pipila ka daan ug wala magamit nga Samba nga mga daemon ug mahimo lamang ang samba-ad-dc nga serbisyo pinaagi sa pagpadagan sa ubos nga mga sugo:

# systemctl disable smbd nmbd winbind
# systemctl enable samba-ad-dc

22. Kung layo ka nga nagdumala sa Samba4 domain controller gikan sa usa ka kliyente sa Microsoft o ikaw adunay uban nga Linux o Windows nga mga kliyente nga gisagol sa imong domain, siguroha nga imong gihisgutan ang IP address sa adc2 machine ngadto sa ilang network interface DNS server Mga setting sa IP aron makakuha usa ka lebel sa kadaghanon.

Ang mga screenshot sa ubos naghulagway sa mga pag-configure nga gikinahanglan alang sa usa ka Windows o usa ka kliyente sa Debian/Ubuntu.

Sa pag-ingon nga ang unang DC nga adunay 192.168.1.254 nag-offline, balihon ang han-ay sa DNS server IP address sa configuration file aron dili kini mosulay sa pagpangutana una sa usa ka dili magamit nga DNS server.

Sa katapusan, kung gusto nimo nga himuon ang lokal nga panghimatuud sa usa ka sistema sa Linux nga adunay Samba4 Active Directory nga account o hatagan ang mga pribilehiyo sa gamut alang sa AD LDAP account sa Linux, basaha ang mga lakang 2 ug 3 gikan sa tutorial Pagdumala sa Samba4 AD Infrastructure gikan sa Linux Command Line.