Este tutorial le mostrará cómo agregar un segundo controlador de dominio Samba4. provisto en el servidor Ubuntu 16.04. al Samba AD DC. existente. Forest para proporcionar un grado de equilibrio de carga/conmutación por error para algunos servicios AD DC cruciales, especialmente para servicios como DNS y esquema LDAP de AD DC con base de datos SAM.
Requisitos
- Crear una infraestructura de Active Directory con Samba4 en Ubuntu-Parte 1
Este artículo es una Parte-5. de la serie Samba4 AD DC. de la siguiente manera:
Parte 2 : Administrar la infraestructura AD de Samba4 desde la línea de comandos de Linux Parte 3 : Administrar la infraestructura de Active Directory de Samba4 desde Windows10 a través de RSAT Parte 4 : Administrar Samba4 AD Domain Controller DNS y Group Policy de Windows
Table of Contents
Paso 1: Configuración inicial para la configuración de Samba4
1.. Antes de comenzar a realizar la unión de dominio para el segundo DC, debe Necesito cuidar de unos pocos inici todos los ajustes. Primero, asegúrese de que el nombre de host. del sistema que se integrará en Samba4 AD DC. contenga un nombre descriptivo.
Suponiendo que el nombre de host. del primer reino aprovisionado se llama adc1, puede nombrar el segundo DC con adc2 para proporcionar un esquema de nomenclatura coherente en todos sus controladores de dominio.
Para cambiar el nombre de host puede ejecutar el siguiente comando.
# hostnamectl set-hostname adc2 freestar.config.enabled_slots.push
de lo contrario, puede hacerlo manualmente edite el archivo /etc/hostname. y agregue una nueva línea con el nombre deseado.
# nano/etc/hostname
Aquí agregue el nombre de host.
adc2
2.. A continuación, abra el archivo de resolución del sistema local y agregue una entrada con la dirección IP que apunte al nombre corto y al FQDN. del controlador de dominio principal, como se ilustra en la siguiente captura de pantalla. .
A través de este tutorial, el nombre de DC principal es adc1.tecmint.lan y se resuelve en 192.168.1.254. dirección IP.
# nano/etc/hosts
Agregue la siguiente línea:
IP_of_main_DC FQDN_of_main_DC nombre_corto_of_main_DC 
Establecer nombre de host para Samba4 AD DC
3.. En el siguiente paso, abra /etc/network/interfaces. y asigne una dirección IP estática para su sistema como se ilustra en la siguiente captura de pantalla.
Preste atención a dns-servidores de nombres. y variables dns-search. Estos valores deben configurarse para que apunten a la dirección IP del Samba4 AD DC. principal y del reino para que la resolución de DNS funcione correctamente.
Reinicie el demonio de red para poder reflejar cambios. Verifique el archivo /etc/resolv.conf. para asegurarse de que ambos valores de DNS de su interfaz de red estén actualizados en este archivo.
# nano/etc/network/interfaces
Edite y reemplace con su configuración de IP personalizada:
auto ens33 iface ens33 inet dirección estática 192.168.1.253 netmask 255.255.255.0 brodcast 192.168.1.1 gateway 192.168.1.1 dns-nameservers 192.168.1.254 dns-search tecmint.lan
Reinicie el servicio de red y confirmar cambios.
# systemctl restart networking.service # cat/etc/resolv.conf 
Configurar DNS para Samba4 AD
El valor dns-search. agregará automáticamente el nombre de dominio cuando consulte un host por su nombre (formará el FQDN).
4.. Para probar si la resolución de DNS funciona como se esperaba, emita una serie de comandos ping. contra su nombre corto de dominio, FQDN y reino como se muestra en la siguiente captura de pantalla.
En todos estos casos, el servidor Samba4 AD DC DNS. debe responder con la dirección IP de su DC principal.
Verificar la resolución de DNS para Samba4 AD
5.. El último paso adicional que Debe tener cuidado con la sincronización de tiempo con su controlador de dominio principal. Esto se puede lograr instalando la utilidad de cliente NTP. en su sistema emitiendo el siguiente comando:
# apt-get install ntpdate
6.. Suponiendo que desea forzar manualmente la sincronización de tiempo con samba4 AD DC. ejecute el comando ntpdate. contra el DC primario emitiendo el siguiente comando.
# ntpdate adc1 
Sincronizar el tiempo con Samba4 AD
Paso 2: Instalar Samba4 con las dependencias requeridas
7.. Para inscribir el sistema Ubuntu 16.04. en su dominio, primero instale Samba4. el cliente Kerberos. y algunos otros paquetes importantes para más adelante. úselo desde los repositorios oficiales de Ubuntu emitiendo el siguiente comando:
# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind 
Instale Samba4 en Ubuntu
8.. Durante la instalación, deberá proporcionar el nombre de dominio de Kerberos. Escribe tu nombre de dominio en mayúsculas y presiona la tecla [Enter]. para finalizar el proceso de instalación.
Configurar la autenticación Kerberos para Samba4
9. Una vez finalizada la instalación de los paquetes, verifique la configuración solicitando un ticket Kerberos para un administrador de dominio mediante el comando kinit. Utilice el comando klist. para enumerar el ticket Kerberos concedido.
# kinit [email protected] _DOMAIN.TLD # klist 
Verificar Kerberos en el dominio Samba4
Paso 3: Únase a Samba4 AD DC como controlador de dominio
10.. Antes de integrar su máquina en Samba4 DC. primero asegúrese de que todos los demonios de Samba4 que se ejecutan en su sistema se detienen y, también, cambie el nombre del archivo de configuración predeterminado de Samba para comenzar limpio. Mientras aprovisiona el controlador de dominio, samba creará un nuevo archivo de configuración desde cero.
# systemctl stop samba-ad-dc smbd nmbd winbind # mv/etc/samba/smb.conf/etc/samba/smb.conf. inicial
11.. Para iniciar el proceso de unión al dominio, primero inicie solo el demonio samba-ad-dc. después de lo cual ejecutará samba-tool. para unirse al reino usando una cuenta con privilegios administrativos en su dominio.
# samba-tool domain join your_domain DC-U “your_domain_admin”
Extracto de integración de dominio:
# samba-tool domain join tecmint.lan DC-U “tecmint_user” Salida de muestra Encontrar un DC escribible para el dominio ‘tecmint.lan’ DC encontrado adc1.tecmint.lan Contraseña para [WORKGROUP tecmint_user]: el grupo de trabajo es TECMINT reino es tecmint.lan comprobando sAMAccountName Eliminado CN = ADC2, CN = Computadoras, DC = tecmint, DC = lan Adición de CN = ADC2, OU = Controladores de dominio, DC = tecmint, DC = lan Adición de CN = ADC2, CN = Servidores, CN = Nombre del primer sitio predeterminado, CN = Sitios, CN = Configuración, DC = tecmint, DC = lan Agregar CN = Configuración NTDS, CN = ADC2, CN = Servidores, CN = Nombre del primer sitio predeterminado, CN = Sitios, CN = Configuración, DC = tecmint, DC = lan Adición de SPN a CN = ADC2, OU = Controladores de dominio, DC = tecmint, DC = lan Configuración de contraseña de cuenta para ADC2 $ Cuenta de habilitación Llamar a la provisión básica Buscando direcciones IPv4 Buscando direcciones IPv6 direcciones No se asignará ninguna dirección IPv6 Configuración de share.ldb Configuración de secrets.ldb Configuración del registro Configuración de la base de datos de privilegios Configuración de idmap db Configuración de SAM db Configuración de particiones y configuraciones sam.ldb Configuración de sam.ldb rootDSE Carga previa del esquema de Samba 4 y AD Se generó una configuración de Kerberos adecuada para Samba 4 en/var/lib/samba/private/krb5.conf Provisión correcta para el dominio DN DC = tecmint, DC = lan Iniciando replicación Schema-DN [CN = Schema, CN = Configuration, DC = tecmint, DC = lan] objetos [402/1550] linked_values [0/0] Schema-DN [CN = Schema, CN = Configuration, DC = tecmint, DC = lan] objetos [804/1550] linked_values [0/0] Schema-DN [CN = Schema, CN = Configuración, DC = tecmint, DC = lan] objetos [1206/1550] linked_values [0/0] Schema-DN [CN = Schema, CN = Configuration, DC = tecmint, DC = lan] objetos [1550/1550] linked_values [0/0] Analizar y aplicar objetos de esquema Partición [CN = Configuration, DC = tecmint, DC = lan] objetos [402/1614] Linked_values [0/0] Partición [CN = Configuración, DC = tecmint, DC = lan] objetos [804/1614] Linked_values [0/0] Partición [CN = Configuración, DC = tecmint, DC = lan ] objetos [1206/1614] valores_enlace [0/0] Partición [CN = Configuración, DC = tecmint, DC = lan] objetos [1608/1614] valores_enlace [0/0] Partición [CN = Configuración, DC = tecmint, DC = lan] objetos [1614/1614] linked_values [28/0] Replicando objetos críticos desde el DN base del dominio Partición [DC = tecmint, DC = lan] objetos [97/97] linked_values [24/0] Partición [DC = tecmint, DC = lan] objetos [380/283] linked_values [27/0] Hecho con NC siempre replicado (base, config, esquema) Replicando DC = DomainDnsZones, DC = tecmint, DC = partición lan [DC = DomainDnsZones, DC = tecmint, DC = lan] objetos [45/45] linked_values [0/0] Replicando DC = ForestDnsZones, DC = tecmint, DC = partición lan [DC = ForestDnsZones, DC = tecmint, DC = lan] objetos [18/18] linked_values [0/0] Confirmando la base de datos SAM Envío de DsReplicaUpdateRefs para todas las particiones replicadas Configuración de isSynchronized y dsServiceName Configuración de la base de datos secretas Dominio unido TECMINT (SID S-1-5-21-715537322-3397311598-55032968) como DC 
Unir dominio a Samba4 AD DC
12.. Después de que Ubuntu con el software samba4 se haya integrado en el dominio, abra el archivo de configuración principal de samba y agregue las siguientes líneas:
# nano/etc/samba/smb .C onf
Agregue el siguiente extracto al archivo smb.conf.
dns forwarder = 192.168.1.1 idmap_ldb: use rfc2307 = yes template shell =/bin/bash winbind use default domain = true winbind offline logon = false winbind nss info = rfc2307 winbind enum users = yes winbind enum groups = yes
Reemplace la dirección IP del reenviador dns. con su propia IP del reenviador DNS. Samba reenviará todas las consultas de resolución de DNS que estén fuera de la zona autorizada de su dominio a esta dirección IP.
13.. Finalmente, reinicie el demonio samba para reflejar los cambios y verifique la replicación del directorio activo ejecutando los siguientes comandos.
Verificar registros DNS en la herramienta RSAT de Windows
18.. La siguiente prueba debe indicar si el dominio LDAP la replicación funciona como se esperaba. Usando samba-tool. cree una cuenta en el segundo controlador de dominio y verifique si la cuenta se replica automáticamente en el primer Samba4 AD DC.
En adc2: # samba-tool user agregue test_user On adc1: # lista de usuarios de la herramienta samba | grep test_user 
Crear cuenta de usuario en Samba4 AD 
Verificar la replicación en Samba4 AD
19.. También puede crear una cuenta desde una consola Microsoft AD UC. y verifique si la cuenta aparece en ambos controladores de dominio.
De forma predeterminada, la cuenta debe crearse automáticamente en ambos controladores de dominio samba. Consulte el nombre de la cuenta de adc1 mediante el comando wbinfo.
Crear cuenta desde Microsoft AD UC 
Verificar la replicación de la cuenta en Samba4 AD
20. De hecho, abra la consola AD UC. desde Windows, expanda a Controladores de dominio y debería ver ambas máquinas DC inscritas.
