Únase a un DC adicional de Ubuntu DC a Samba4 AD DC para replicación FailOver - Parte 5


Este tutorial le mostrará cómo agregar un segundo controlador de dominio Samba4 , provisto en el servidor Ubuntu 16.04 , al bosque existente Samba AD DC en orden para proporcionar un grado de equilibrio de carga/conmutación por error para algunos servicios cruciales de AD DC, especialmente para servicios como el DNS y el esquema LDAP de AD DC con base de datos SAM.

  1. Create an Active Directory Infrastructure with Samba4 on Ubuntu – Part 1

Este artículo es una Parte 5 de la serie Samba4 AD DC de la siguiente manera:

Parte 2 : Administre la infraestructura AD de Samba4 desde la línea de comandos de Linux

Parte 3 : Administre la infraestructura de Active Directory Samba4 desde Windows10 a través de RSAT

Parte 4 : Administre la Política de Grupo y DNS del Controlador de Dominio AD Samba4 desde Windows

Paso 1: Configuración inicial para la configuración de Samba4

1. Antes de comenzar a realizar realmente la unión de dominios para el segundo DC, debes cuidar algunas configuraciones iniciales. Primero, asegúrese de que el nombre de host del sistema que se integrará en Samba4 AD DC contenga un nombre descriptivo.

Suponiendo que el nombre de host del primer dominio aprovisionado se llame adc1 , puede nombrar el segundo DC con adc2 para proporcionar un esquema de nombres coherente a través de sus controladores de dominio.

Para cambiar el sistema nombre de host puede emitir el siguiente comando.

# hostnamectl set-hostname adc2

de lo contrario, puede editar manualmente el archivo /etc/hostname y agregar una nueva línea con el nombre deseado.

# nano /etc/hostname

Aquí agregue el nombre de host.

adc2

2. A continuación, abra el archivo de resolución del sistema local y agregue una entrada con la dirección IP que indica el nombre corto y FQDN del controlador de dominio principal, como se ilustra a continuación. captura de pantalla.

A través de este tutorial, el nombre principal de DC es adc1.tecmint.lan y se resuelve en la dirección IP 192.168.1.254 .

# nano /etc/hosts

Añade la siguiente línea:

IP_of_main_DC		FQDN_of_main_DC 	short_name_of_main_DC

3. En el siguiente paso, abra /etc/network/interfaces y asigne una dirección IP estática para su sistema como se muestra en la siguiente captura de pantalla.

Preste atención a las variables dns-nameservers y dns-search . Estos valores deben configurarse para que apunten a la dirección IP del Samba4 AD DC principal y el dominio para que la resolución de DNS funcione correctamente.

Reinicie el daemon de la red para reflejar los cambios. Verifique el archivo /etc/resolv.conf para asegurarse de que ambos valores de DNS de su interfaz de red se actualicen en este archivo.

# nano /etc/network/interfaces

Edite y reemplace con su configuración de IP personalizada:

auto ens33
iface ens33 inet static
        address 192.168.1.253
        netmask 255.255.255.0
        brodcast 192.168.1.1
        gateway 192.168.1.1
        dns-nameservers 192.168.1.254
        dns-search tecmint.lan

Reinicie el servicio de red y confirme los cambios.

# systemctl restart networking.service
# cat /etc/resolv.conf

El valor dns-search agregará automáticamente el nombre de dominio cuando consulte un host por su nombre corto (formará el FQDN).

4. Para probar si la resolución de DNS funciona como se espera, emita una serie de comandos ping contra el nombre corto de su dominio, el FQDN y el dominio, como se muestra en la siguiente captura de pantalla.

En todos estos casos, el servidor Samba4 AD DC DNS debe responder con la dirección IP de su DC principal.

5. El último paso adicional que debe tener en cuenta es la sincronización horaria con su controlador de dominio principal. Esto se puede lograr instalando la utilidad de cliente NTP en su sistema emitiendo el siguiente comando:

# apt-get install ntpdate

6. Suponiendo que desea forzar manualmente la sincronización horaria con samba4 AD DC , ejecute el comando ntpdate contra el DC principal emitiendo el siguiente comando.

# ntpdate adc1

Paso 2: Instala Samba4 con Dependencias Requeridas

7. Para inscribir el sistema Ubuntu 16.04 en su dominio, primero instale Samba4 , Kerberos y algunos otros paquetes importantes para su uso posterior desde los repositorios oficiales de Ubuntu emitiendo el siguiente comando:

# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

8. Durante la instalación, deberás proporcionar el nombre del reino Kerberos. Escriba su nombre de dominio con mayúsculas y presione la tecla [Enter] para finalizar el proceso de instalación.

9. Una vez finalizada la instalación de los paquetes, verifique la configuración solicitando un ticket de Kerberos para un administrador de dominio usando el comando kinit . Use el comando klist para enumerar el ticket Kerberos otorgado.

# kinit [email protected]_DOMAIN.TLD
# klist

Paso 3: Únase a Samba4 AD DC como un controlador de dominio

10. Antes de integrar su máquina en Samba4 DC , primero asegúrese de que todos los demonios Samba4 que se ejecutan en su sistema están detenidos y, también, cambie el nombre del archivo de configuración de Samba predeterminado para comenzar limpiar. Mientras aprovisiona el controlador de dominio, samba creará un nuevo archivo de configuración desde cero.

# systemctl stop samba-ad-dc smbd nmbd winbind
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

11. Para iniciar el proceso de unión del dominio, primero inicie solo el daemon samba-ad-dc , después de lo cual ejecutará samba-tool comando para unirse al reino usando una cuenta con privilegios administrativos en su dominio.

# samba-tool domain join your_domain DC -U "your_domain_admin"

Extracto de integración de dominio:

# samba-tool domain join tecmint.lan DC -U"tecmint_user"
Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC

12. Una vez que el software Ubuntu con samba4 se haya integrado en el dominio, abra el archivo de configuración principal de samba y agregue las siguientes líneas:

# nano /etc/samba/smb.conf

Agregue el siguiente extracto al archivo smb.conf.

dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes

   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
        winbind enum users = yes
        winbind enum groups = yes

Reemplace la dirección dns forwarder IP con su propia IP del reenviador de DNS. Samba reenviará todas las consultas de resolución de DNS que estén fuera de la zona autorizada de su dominio a esta dirección IP.

13. Finalmente, reinicie el demonio samba para reflejar los cambios y verifique la replicación del directorio activo ejecutando los siguientes comandos.

# systemctl restart samba-ad-dc
# samba-tool drs showrepl

14. Además, cambie el nombre del archivo de configuración de Kerberos inicial desde la ruta de /etc y sustitúyalo por el nuevo archivo de configuración de krb5.conf generado por samba mientras se aprovisiona el dominio.

El archivo se encuentra en el directorio /var/lib/samba/private . Use el enlace simbólico de Linux para vincular este archivo al directorio /etc .

# mv /etc/krb5.conf /etc/krb5.conf.initial
# ln -s /var/lib/samba/private/krb5.conf /etc/
# cat /etc/krb5.conf

15. También verifique la autenticación Kerberos con el archivo samba krb5.conf . Solicite un ticket para un usuario administrador y haga una lista del ticket almacenado en caché emitiendo los siguientes comandos.

# kinit administrator
# klist

Paso 4: Validaciones de servicios de dominio adicionales

16. La primera prueba que debe realizar es Samba4 DC DNS . Para validar la resolución de DNS de su dominio, consulte el nombre de dominio mediante el comando host en algunos registros de AD DNS cruciales, como se muestra en la siguiente captura de pantalla.

El servidor DNS ya debería reproducirse con un par de dos direcciones IP para cada consulta.

# host your_domain.tld
# host -t SRV _kerberos._udp.your_domain.tld  # UDP Kerberos SRV record
# host -t SRV _ldap._tcp.your_domain.tld  # TCP LDAP SRV record

17. Estos registros DNS también deben ser visibles desde una máquina Windows inscrita con las herramientas RSAT instaladas. Abra el Administrador de DNS y expanda a su dominio los registros de TCP como se muestra en la imagen de abajo.

18. La siguiente prueba debe indicar si la replicación LDAP del dominio funciona como se esperaba. Utilizando samba-tool , cree una cuenta en el segundo controlador de dominio y verifique si la cuenta se replica automáticamente en el primer Samba4 AD DC.

# samba-tool user add test_user
# samba-tool user list | grep test_user

19. También puede crear una cuenta desde una consola Microsoft AD UC y verificar si la cuenta aparece en ambos controladores de dominio.

De forma predeterminada, la cuenta debe crearse automáticamente en ambos controladores de dominio samba. Consulte el nombre de la cuenta desde adc1 utilizando el comando wbinfo .

20. De hecho, abra la consola AD UC de Windows, expanda a Controladores de dominio y debería ver ambas máquinas de DC inscritas.

Paso 5: Habilitar el servicio Samba4 AD DC

21. Para habilitar los servicios samba4 AD DC en todo el sistema, primero deshabilite algunos demonios Samba antiguos y no utilizados y habilite solo el servicio samba-ad-dc ejecutando los siguientes comandos :

# systemctl disable smbd nmbd winbind
# systemctl enable samba-ad-dc

22. Si administra de forma remota el controlador de dominio Samba4 desde un cliente de Microsoft o si tiene otros clientes de Linux o Windows integrados en su dominio, asegúrese de mencionar la dirección IP de adc2 de la máquina a su interfaz de red. Configuración de IP del servidor DNS para obtener un nivel de redundancia.

Las siguientes capturas de pantalla ilustran las configuraciones requeridas para un cliente Windows o Debian/Ubuntu.

Suponiendo que el primer DC con 192.168.1.254 se desconecte, invierta el orden de las direcciones IP del servidor DNS en el archivo de configuración para que no intente consultar primero una no disponible Servidor DNS.

Finalmente, en caso de que desee realizar una autenticación local en un sistema Linux con una cuenta de Active Directory Samba4 o conceder privilegios de root para las cuentas AD LDAP en Linux, lea los pasos 2 y 3 del tutorial Manage Samba4 AD Infrastructure desde la línea de comandos de Linux.