Linux вторичный контроллер домена

Резервный контроллер домена Linux – Начало

Резервный контроллер домена Linux – наш следующий, но очень далеко не последний шаг. Минимум половину 2020го года я потратил на то чтобы сделать вторую часть серии мануалов о контроллерах домена Linux. Часть, посвящённую резервному контроллеру домена Linux. И вот уже 1е января 2021го. Вроде бы виден конец хотя бы части работы связанной с этой темой. В ближайшие дни после того как будет опубликована эта статья, начнёт публиковаться серия статей посвящённых настройке резервного контроллера домена Linux. Статей будет много. Около 10. К несчастью за такой объём статей удастся осветить только резервирование между контроллерами домена Samba. Миграции с Windows на Samba, а так же с Samba на Windows, так или иначе основанных на репликации контроллеров домена, затрагиваться в данной серии статей не будут. Потому что если я буду готовить материал с учётом ещё и этой тематики, публикаций может совсем не состояться :). Но в будущем я проработаю и этот момент.

Резервный контроллер домена Linux – это не та задача про которую можно сказать что в ней много подводных камней. Это задача которую скорее можно описать одним большущим подводным камнем. Камнем лежащим где-то в основании Р’льеха. Поэтому прочитав данную статью я бы не рекомендовал немедленно приступать к её выполнению. Сперва рекомендую прочитать все последующие статьи касающиеся резервного контроллера домена. Так же, если вы не полностью уверены в том какие шаги и в каком порядке необходимо предпринять, заходите на канал в телеграме.

Поднимать резервный контроллер домена мы будем несмотря на то, что для полноценного функционирования контроллера домена Active Directory мы в принципе уже сделали достаточно. Всё работает. Рабочие станции добавляются в домен. Работает централизованная авторизация пользователей. Так же нет никаких проблем с администрированием пользователей, gpo и dns через RSAT.

Падение контроллера домена

Что же случится если наш прекрасно работающий контроллер домена упадёт? Начнётся хаос. Многие департаменты не смогут работать. Пользователи начнут терять возможность авторизовываться в сети, терять человечность. Доступы к шарам начнут пропадать и становиться такими же мифическими как пользовательское самосознание. Бугалтера не выходя из в бугалтерского исступления, будут как зомби сидеть перед компьютерами. Биться головой о клавиатуры. Из разных углов будет раздаваться всяческий скулёж, стоны и содомия. Фирма погрузится в постапокалиптическую реальность. Миленькая, ещё вчера, секретарша Ксюша, будет жадно обгладывать остывший труп несчастного клиента. Ведь она не смогла зарегистрировать его визит. Система то висит. Потому для решения своей проблемы она не нашла более подходящего способа чем устранить её физически. Ведь контроллер то упал, DNS не работает и загуглить что делать она тоже не смогла.

Для решения возникшей проблемы, к несчастью, недостаточно собирать совещания. Принимать “эффективные” решения. Обсуждать проблему. Решить проблему сможет только человек умеющий читать, анализировать, понимать и думать. Решить проблему сможете вы, читая данную инструкцию.

Все домены Active Directory равны

Это не какой-то розовый sjw гон. В Active Directory нет разделения контроллеров домена на роли. Такое разделение было в NT4. В NT4 был PDC и BDC. Праймари и Бэкап контроллеры доменов. В Active Directory все контроллеры доменов равны. За исключением наличия у контроллеров FSMO ролей. Потому когда я говорю “резервный контроллер домена”, я подразумеваю дополнительный контроллер домена Linux который мы добавляем в уже работающий домен. Домен Linux Active Directory, находящийся под управлением Samba4 (4.7.x на момент написания статьи). Установленной на Ubuntu Server 18.04 и настроенной в соответствии с моими статьями. Для Samba 4.8 и более новой данная инструкция может оказаться и скорее всего окажется не применимой. Либо применимой с некими оговорками \ правками. Так что подсказать про Samba 4.8+ я не смогу, я просто не рассматривал этот вопрос на текущий момент.

Резервный контроллер домена Linux – Что нужно знать

1. Добавление в существующий домен дополнительного контроллера и инициализация домена разные вещи. В смысле совершенно очень разные вещи.
2. Не пытайтесь инициализировать новый контроллер домена внутри локальной сети с уже имеющимся контроллером домена. Рискуете получить два кирпича, старый и новый.
3. Чтобы создать дополнительный контроллер домена, необходимо иметь уже работающий домен с контроллером домена.

В данной статье мы работаем только с новым настраиваемым контроллером домена

• Имя нового контроллера домена: ag-dc-2
• Полное имя нового контроллера домена: ag-dc-2.adminguide.lan
• IP адрес нового контроллера домена: 192.168.1.101
• Все остальные параметры взяты из Серии статей про настройку контроллера домена Linux
• Применяйте данную серию статей про настройку резервного контроллера домена Linux, только для доменов настроенных по приведённой выше серии статей. В остальных случаях применяйте её на свой страх и риск.
• Если не уверены, заходите на телеграм канал, возможно вы найдёте ответ там.

Помните, не смотря на то что каждая написанная мною статья, перед публикацией проходит многократные всесторонние тесты, не выполняйте все инструкции сразу же на продакшене. Сначала протестируйте изложенный материал в изолированной среде на тестовом стенде.

Настройка Ubuntu Server 18.04

Резервный контроллер домена Linux – Подготовка к установке Samba

1. Проверяем содержимое файла hosts

Для сервера с именем ag-dc-2, содержимое должно выглядеть следующим образом:

резолвятся на IP 192.168.1.101

2. Проверяем что IP адрес сервера статический.

Для сервера с IP адресом 192.168.1.101, шлюзом расположенном на роутере 192.168.1.1 и днс сервером на контроллере домена, они должны выглядеть следующим образом:

3. Резервный контроллер домена Linux – Валидный resolv.conf

Никакие утилиты не должны модифицировать файл /etc/resolv.conf .
Команда

должна выводить следующее. Полноценный независимый фаел:

Если вместо нормального вывода вы видите богомерзкий симлинк:

Необходимо отключить и убрать из автозапуска systemd-resolved

Указав в нём адрес локального DNS сервера способного разрешать имена локальной зоны. Для сервера ag-dc-2, находящегося в домене adminguide.lan. Под управлением контроллера с именем ag-dc-1 и IP 192.168.1.100. На данном этапе, содержимое /etc/resolv.conf должно быть следующим:

192.168.1.100 – адрес уже работающего в сети DNS сервера поднятого на первом контроллере домена.
Обязательно перезагрузите сервер и убедитесь что resolv.conf и его содержимое остались на месте.

Вот тутошки прям щас сделайте

4. Убеждаемся в отсутствии самбовых процессов

Если что-то есть – на нож. Весь сервер. Потом переходим к пункту “Устанавливаем Ubuntu Server 18.04”

5. Убеждаемся что вы настраиваете Ubuntu Server 18.04.

Чистый, только что установленный. Который не использовался ранее ни под какие нужды. Что это не ваша домашняя станция на какой-нибудь богомерзкой макоси. Не сервер в продакшене под полезной нагрузкой. Что вы знаете что делаете и зачем это делаете. А то мало ли. Были прецеденты. Потом люди обижаются. В стиле “У вас тут написано “На только что развёрнутом сервере, зайдите в домашнюю папку и выполните sudo rm rf ./*”. Я сделал ровно это же только на своём домашнем NAS сервере в папке где у меня хранятся все все все мои самые ценные данные за всю мою жизнь и всё удалилось! Как вы можете писать такое в мануалах!”. Потому убедитесь что это ваш чистый, только что поднятый сервер. Если вы делаете всё в первые, убедитесь что это не прод!

Резервный контроллер домена Linux – Устанавливаем Samba4

Для установки воспользуемся следующей командой:

sudo apt-get install acl attr samba samba-dsdb-modules samba-vfs-modules winbind krb5-config krb5-user dnsutils ldb-tools apparmor-utils -y

Когда всё выполнено – переходим к следующей статье.

Ещё больше интересного контента в моём блоге в Zen и на моём канале YouTube . Подписывайтесь на канал, ставьте лайки, делайте репосты, это поможет развитию контента проекта AdminGuide.Ru

Источник

Аннотация

В данной статье рассматривается подключение второго (резервного) контроллера Samba DC к домену под управлением Samba как контроллера домена.

Описание стенда

Стенд состоит из двух серверов под управлением Astra Linux:

• Сервер №1: основной контроллер домена
  • Имя сервера: dc0 (dc0.astra.dc);
  • IP-адрес: 192.168.56.49;
  • Имя сервера: dc1 (dc1.astra.dc);
  • IP-адрес: 192.168.56.50;

  Далее будет использоваться имя домена astra.dc. Настройка Samba как контроллера домена будет выполняться с использованием службы BIND9.

  Подготовка основного контроллера домена

  Предполагается, что основной контроллер домена:

  • настроен с помощью инструмента astra-sambadc (см. Инструменты Astra Linux для работы с доменами Samba AD и Windows AD);
  • настройка выполнена с использованием службы BIND9 (опция -b инструмента astra-sambadc);
  • разрешение DNS настроено на адрес основного контроллера домена.
  • в файле /etc/hosts разрешение имени домена настроено на адрес 127.0.0.1;

  Краткая инструкция по созданию основного домена

  где 192.168.56.49 — IP-адрес основного контроллера домена;

  1. Убедиться, что содержимое файла /etc/resolv.conf не изменилось. Если файл изменился — откорректировать настройку сети, и повторно перезагрузить компьютер;
  2. Опционально: убедиться, что все службы успешно запустились:

  sudo systemctl list-units —failed
  0 loaded units listed. Pass —all to see loaded but inactive units, too.
  To show all installed unit files use ‘systemctl list-unit-files’.

  Создание резервного контроллера домена

  Создать на основном контроллере домена реверсивную зону DNS, необходимую для подключения резервного контроллера домена:

  samba-tool dns zonecreate dc0.astra.dc 56.168.192.in-addr.arpa -U Administrator
  Password for [ASTRA\Administrator]:
  Zone 56.168.192.in-addr.arpa created successfully

  samba-tool dns add dc0.astra.dc astra.dc dc1 A 192.168.56.50 -U Administrator
  Password for [WORKGROUP\Administrator]:
  Record added successfully

  должны завершаться без ошибок и выдавать адрес сервера, заданного параметром команды;

  [libdefaults] default_realm = ASTRA.DC dns_lookup_realm = true dns_lookup_kdc = true [realms] ASTRA.LAN = < default_domain = astra.dc >[domain_realm] dc = astra.dc

  Joined domain ASTRA (SID S-1-5-21-3226316390-2541821163-4149523140) as a DC

  1. Убедиться, что содержимое файла /etc/resolv.conf не изменилось. Если файл изменился — откорректировать настройку сети, и повторно перезагрузить компьютер;
  2. Опционально: убедиться, что все службы успешно запустились:

  sudo systemctl list-units —failed
  0 loaded units listed. Pass —all to see loaded but inactive units, too.
  To show all installed unit files use ‘systemctl list-unit-files’.

  samba-tool drs replicate dc1.astra.dc dc0.astra.dc dc=astra,dc=dc -U Administrator
  Password for [ASTRA\Administrator]:
  Replicate from dc0.astra.dc to dc1.astra.dc was successful.

  samba-tool drs replicate dc0.astra.dc dc1.astra.dc dc=astra,dc=dc -U Administrator
  Password for [ASTRA\Administrator]:
  Replicate from dc1.astra.dc to dc0.astra.dc was successful.

  Первичная проверка работоспособности

  Источник