ウェブサイト検索

フェールオーバー レプリケーションのために追加の Ubuntu DC を Samba4 AD DC に参加させる - パート 5


このチュートリアルでは、Ubuntu 16.04 サーバー上にプロビジョニングされた 2 番目の Samba4 ドメイン コントローラーを既存の Samba AD DC フォレストに順番に追加する方法を説明します。一部の重要な AD DC サービス、特に SAM データベースを使用した DNS や AD DC LDAP スキーマなどのサービスに対して、ある程度の負荷分散/フェイルオーバーを提供します。

要件

  1. Ubuntu 上で Samba4 を使用して Active Directory インフラストラクチャを作成する – パート 1

この記事は、次のSamba4 AD DC シリーズのパート 5 です。

ステップ 1: Samba4 セットアップの初期構成

1. 2 番目の DC のドメイン参加を実際に開始する前に、いくつかの初期設定を行う必要があります。まず、Samba4 AD DC に統合されるシステムのホスト名にわかりやすい名前が含まれていることを確認します。

最初にプロビジョニングされたレルムのホスト名adc1 であるとすると、一貫した命名スキームを提供するために、2 番目の DC に adc2 という名前を付けることができます。ドメイン コントローラー全体で。

システムのホスト名を変更するには、以下のコマンドを発行します。

hostnamectl set-hostname adc2

そうでない場合は、/etc/hostname ファイルを手動で編集し、希望する名前の新しい行を追加します。

nano /etc/hostname

ここでホスト名を追加します。

adc2

2. 次に、ローカル システム解決ファイルを開き、以下に示すように、メイン ドメイン コントローラの短縮名と FQDN を指す IP アドレス ウィッチを含むエントリを追加します。スクリーンショット。

このチュートリアルでは、プライマリ DC 名は adc1.tecmint.lan で、192.168.1.254 IP アドレスに解決されます。

nano /etc/hosts

次の行を追加します。

IP_of_main_DC		FQDN_of_main_DC 	short_name_of_main_DC

3. 次のステップでは、/etc/network/interfaces を開き、以下のスクリーンショットに示すように、システムに静的 IP アドレスを割り当てます。

dns-nameservers 変数と dns-search 変数に注意してください。 DNS 解決が正しく機能するためには、これらの値がプライマリの Samba4 AD DC とレルムの IP アドレスを指すように構成する必要があります。

変更を反映するには、ネットワーク デーモンを再起動します。 /etc/resolv.conf ファイルを確認して、ネットワーク インターフェイスからの両方の DNS 値がこのファイルに更新されていることを確認します。

nano /etc/network/interfaces

編集してカスタム IP 設定に置き換えます。

auto ens33
iface ens33 inet static
        address 192.168.1.253
        netmask 255.255.255.0
        brodcast 192.168.1.1
        gateway 192.168.1.1
        dns-nameservers 192.168.1.254
        dns-search tecmint.lan

ネットワーク サービスを再起動し、変更を確認します。

systemctl restart networking.service
cat /etc/resolv.conf

dns-search 値は、短縮名でホストをクエリするときにドメイン名を自動的に追加します (FQDN が形成されます)。

4. DNS 解決が期待どおりに機能しているかどうかをテストするには、以下のスクリーンショットに示すように、ドメインの短縮名、FQDN、およびレルムに対して一連の ping コマンドを発行します。

これらすべての場合において、Samba4 AD DC DNS サーバーはメイン DC の IP アドレスを応答する必要があります。

5. 注意が必要な最後の追加手順は、メイン ドメイン コントローラとの時刻同期です。これを行うには、以下のコマンドを実行してシステムにNTP クライアント ユーティリティをインストールします。

apt-get install ntpdate

6. samba4 AD DC との時刻同期を手動で強制する場合は、次のコマンドを発行してプライマリ DC に対して ntpdate コマンドを実行します。

ntpdate adc1

ステップ 2: 必要な依存関係を含む Samba4 をインストールする

7. Ubuntu 16.04 システムをドメインに登録するには、まず Samba4Kerberos クライアント、およびいくつかのクライアントをインストールします。以下のコマンドを実行して、後で使用する他の重要なパッケージを Ubuntu 公式リポジトリから取得します。

apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

8. インストール中に、Kerberos レルム名を指定する必要があります。ドメイン名を大文字で入力し、[Enter] キーを押してインストール プロセスを終了します。

9. パッケージのインストールが完了したら、kinit コマンドを使用してドメイン管理者の Kerberos チケットを要求し、設定を確認します。 klist コマンドを使用して、付与された Kerberos チケットを一覧表示します。

kinit domain-admin-user@YOUR_DOMAIN.TLD
klist

ステップ 3: ドメイン コントローラーとして Samba4 AD DC に参加する

10. マシンを Samba4 DC に統合する前に、まずシステム上で実行されているすべての Samba4 デーモンが停止していることを確認し、また、起動するためにデフォルトの Samba 設定ファイルの名前を変更します。クリーン。ドメイン コントローラーのプロビジョニング中に、samba は新しい構成ファイルを最初から作成します。

systemctl stop samba-ad-dc smbd nmbd winbind
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

11. ドメイン参加プロセスを開始するには、まず samba-ad-dc デーモンのみを起動し、その後 samba-tool を実行します。コマンドを使用して、ドメインの管理者権限を持つアカウントを使用してレルムに参加します。

samba-tool domain join your_domain DC -U "your_domain_admin"

ドメイン統合の抜粋:

samba-tool domain join tecmint.lan DC -U"tecmint_user"
サンプル出力
Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC

12. samba4 ソフトウェアを備えた Ubuntu がドメインに統合されたら、samba メイン設定ファイルを開き、次の行を追加します。

nano /etc/samba/smb.conf

次の抜粋を smb.conf ファイルに追加します。

dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes

   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
        winbind enum users = yes
        winbind enum groups = yes

DNS フォワーダー IP アドレスを独自の DNS フォワーダー IP に置き換えます。 Samba は、ドメイン権限ゾーンの外側にあるすべての DNS 解決クエリをこの IP アドレスに転送します。

13. 最後に、次のコマンドを実行して、samba デーモンを再起動して変更を反映し、Active Directory のレプリケーションを確認します。

systemctl restart samba-ad-dc
samba-tool drs showrepl

14. さらに、/etc パスの初期 Kerberos 設定ファイルの名前を変更し、プロビジョニング中に samba によって生成された新しい krb5.conf 設定ファイルに置き換えます。ドメイン。

このファイルは/var/lib/samba/private ディレクトリにあります。 Linux シンボリックリンクを使用して、このファイルを /etc ディレクトリにリンクします。

mv /etc/krb5.conf /etc/krb5.conf.initial
ln -s /var/lib/samba/private/krb5.conf /etc/
cat /etc/krb5.conf

15. また、samba の krb5.conf ファイルを使用して Kerberos 認証を確認します。以下のコマンドを発行して、管理者ユーザーのチケットを要求し、キャッシュされたチケットを一覧表示します。

kinit administrator
klist

ステップ 4: 追加のドメイン サービスの検証

16. 実行する必要がある最初のテストは、Samba4 DC DNS 解決です。ドメインの DNS 解決を検証するには、以下のスクリーンショットに示すように、いくつかの重要な AD DNS レコードに対して host コマンドを使用してドメイン名をクエリします。

DNS サーバーは、各クエリに対して 2 つの IP アドレスのペアを使用して再実行するはずです。

host your_domain.tld
host -t SRV _kerberos._udp.your_domain.tld  # UDP Kerberos SRV record
host -t SRV _ldap._tcp.your_domain.tld  # TCP LDAP SRV record

17. これらの DNS レコードは、RSAT ツールがインストールされている登録済みの Windows マシンからも表示されるはずです。 DNS マネージャーを開き、以下の図に示すようにドメインの TCP レコードを展開します。

18. 次のテストでは、ドメイン LDAP レプリケーションが期待どおりに機能するかどうかを示す必要があります。 samba-tool を使用して、2 番目のドメイン コントローラーでアカウントを作成し、そのアカウントが最初の Samba4 AD DC で自動的にレプリケートされるかどうかを確認します。

adc2 上:
samba-tool user add test_user
adc1 上:
samba-tool user list | grep test_user

19.Microsoft AD UC コンソールからアカウントを作成し、そのアカウントが両方のドメイン コントローラに表示されるかどうかを確認することもできます。

デフォルトでは、アカウントは両方の Samba ドメイン コントローラーで自動的に作成されます。 wbinfo コマンドを使用して、adc1 からアカウント名をクエリします。

20. 実際、Windows から AD UC コンソールを開き、[ドメイン コントローラー] を展開すると、登録された両方の DC マシンが表示されるはずです。

ステップ 5: Samba4 AD DC サービスを有効にする

21. システム全体で samba4 AD DC サービスを有効にするには、まず、以下のコマンドを実行して、古い未使用の Samba デーモンをいくつか無効にし、samba-ad-dc サービスのみを有効にします。 :

systemctl disable smbd nmbd winbind
systemctl enable samba-ad-dc

22. Microsoft クライアントから Samba4 ドメイン コントローラをリモート管理する場合、または他の Linux または Windows クライアントをドメインに統合している場合は、必ず adc2 の IP アドレスを指定してください。レベルの冗長性を得るために、マシンをネットワーク インターフェイスの DNS サーバーの IP 設定に反映します。

以下のスクリーンショットは、Windows または Debian/Ubuntu クライアントに必要な構成を示しています。

192.168.1.254 を持つ最初の DC がオフラインになると仮定して、構成ファイル内の DNS サーバー IP アドレスの順序を逆にして、使用できないアドレスに対して最初にクエリを実行しないようにします。 DNSサーバー。

最後に、Samba4 Active Directory アカウントを使用して Linux システム上でローカル認証を実行する場合、または Linux の AD LDAP アカウントに root 権限を付与する場合は、チュートリアル「Linux コマンド ラインから Samba4 AD インフラストラクチャを管理する」の手順 2 と 3 を読んでください。