Главная страница » Резервный контроллер домена Linux – Начало

Резервный контроллер домена Linux – Начало

by Belfigor
3576 views
Резервный контроллер домена Linux - Начало

Резервный контроллер домена Linux – наш следующий, но очень далеко не последний шаг. Минимум половину 2020го года я потратил на то чтобы сделать вторую часть серии мануалов о контроллерах домена Linux. Часть, посвящённую резервному контроллеру домена Linux. И вот уже 1е января 2021го. Вроде бы виден конец хотя бы части работы связанной с этой темой. В ближайшие дни после того как будет опубликована эта статья, начнёт публиковаться серия статей посвящённых настройке резервного контроллера домена Linux. Статей будет много. Около 10. К несчастью за такой объём статей удастся осветить только резервирование между контроллерами домена Samba. Миграции с Windows на Samba, а так же с Samba на Windows, так или иначе основанных на репликации контроллеров домена, затрагиваться в данной серии статей не будут. Потому что если я буду готовить материал с учётом ещё и этой тематики, публикаций может совсем не состояться :). Но в будущем я проработаю и этот момент.

Резервный контроллер домена Linux – это не та задача про которую можно сказать что в ней много подводных камней. Это задача которую скорее можно описать одним большущим подводным камнем. Камнем лежащим где-то в основании Р’льеха. Поэтому прочитав данную статью я бы не рекомендовал немедленно приступать к её выполнению. Сперва рекомендую прочитать все последующие статьи касающиеся резервного контроллера домена. Так же, если вы не полностью уверены в том какие шаги и в каком порядке необходимо предпринять, заходите на канал в телеграме.

Поднимать резервный контроллер домена мы будем несмотря на то, что для полноценного функционирования контроллера домена Active Directory мы в принципе уже сделали достаточно. Всё работает. Рабочие станции добавляются в домен. Работает централизованная авторизация пользователей. Так же нет никаких проблем с администрированием пользователей, gpo и dns через RSAT.

Падение контроллера домена

Что же случится если наш прекрасно работающий контроллер домена упадёт? Начнётся хаос. Многие департаменты не смогут работать. Пользователи начнут терять возможность авторизовываться в сети, терять человечность. Доступы к шарам начнут пропадать и становиться такими же мифическими как пользовательское самосознание. Бугалтера не выходя из в бугалтерского исступления, будут как зомби сидеть перед компьютерами. Биться головой о клавиатуры. Из разных углов будет раздаваться всяческий скулёж, стоны и содомия. Фирма погрузится в постапокалиптическую реальность. Миленькая, ещё вчера, секретарша Ксюша, будет жадно обгладывать остывший труп несчастного клиента. Ведь она не смогла зарегистрировать его визит. Система то висит. Потому для решения своей проблемы она не нашла более подходящего способа чем устранить её физически. Ведь контроллер то упал, DNS не работает и загуглить что делать она тоже не смогла.

Для решения возникшей проблемы, к несчастью, недостаточно собирать совещания. Принимать “эффективные” решения. Обсуждать проблему. Решить проблему сможет только человек умеющий читать, анализировать, понимать и думать. Решить проблему сможете вы, читая данную инструкцию.

Все домены Active Directory равны

Это не какой-то розовый sjw гон. В Active Directory нет разделения контроллеров домена на роли. Такое разделение было в NT4. В NT4 был PDC и BDC. Праймари и Бэкап контроллеры доменов. В Active Directory все контроллеры доменов равны. За исключением наличия у контроллеров FSMO ролей. Потому когда я говорю “резервный контроллер домена”, я подразумеваю дополнительный контроллер домена Linux который мы добавляем в уже работающий домен. Домен Linux Active Directory, находящийся под управлением Samba4 (4.7.x на момент написания статьи). Установленной на Ubuntu Server 18.04 и настроенной в соответствии с моими статьями. Для Samba 4.8 и более новой данная инструкция может оказаться и скорее всего окажется не применимой. Либо применимой с некими оговорками \ правками. Так что подсказать про Samba 4.8+ я не смогу, я просто не рассматривал этот вопрос на текущий момент.

Резервный контроллер домена Linux – Что нужно знать

  1. Добавление в существующий домен дополнительного контроллера и инициализация домена разные вещи. В смысле совершенно очень разные вещи.
  2. Не пытайтесь инициализировать новый контроллер домена внутри локальной сети с уже имеющимся контроллером домена. Рискуете получить два кирпича, старый и новый.
  3. Чтобы создать дополнительный контроллер домена, необходимо иметь уже работающий домен с контроллером домена.

В данной статье мы работаем только с новым настраиваемым контроллером домена

Имя нового контроллера домена: ag-dc-2

Полное имя нового контроллера домена: ag-dc-2.adminguide.lan

IP адрес нового контроллера домена: 192.168.1.101

Все остальные параметры взяты из Серии статей про настройку контроллера домена Linux

Применяйте данную серию статей про настройку резервного контроллера домена Linux, только для доменов настроенных по приведённой выше серии статей. В остальных случаях применяйте её на свой страх и риск.

Если не уверены, заходите на телеграм канал, возможно вы найдёте ответ там.

Настройка Ubuntu Server 18.04

  1. Устанавливаем Ubuntu Server 18.04
  2. Изменяем имя дополнительного контроллера домена
  3. Устанавливаем статический IP адрес

Резервный контроллер домена Linux – Подготовка к установке Samba

  1. Проверяем содержимое файла hosts

    sudo nano /etc/hosts

    Для сервера с именем ag-dc-2, содержимое должно выглядеть следующим образом:

    127.0.0.1       localhost.localdomain   localhost
    192.168.1.101   ag-dc-2.adminguide.lan  ag-dc-2

    Убеждаемся что команды

    ping ag-dc-2 -c 4
    ping ag-dc-2.adminguide.lan -c 4
    

    резолвятся на IP 192.168.1.101

    ping localhost -c 4

    резолвится на 127.0.0.1

  2. Проверяем что IP адрес сервера статический.

    sudo nano /etc/netplan/*.yaml

     

    Для сервера с IP адресом 192.168.1.101, шлюзом расположенном на роутере 192.168.1.1 и днс сервером на контроллере домена, они должны выглядеть следующим образом:

    network:
    ethernets:
    ens160:
    dhcp4: no
    dhcp6: no
    addresses: [192.168.1.101/24, ]
    gateway4: 192.168.1.1
    nameservers:
    addresses: [192.168.1.100, ]
    version: 2
  3. Резервный контроллер домена Linux – Валидный resolv.conf

    Никакие утилиты не должны модифицировать файл /etc/resolv.conf.
    Команда

    ls -l /etc/resolv.conf

    должна выводить следующее. Полноценный независимый фаел:

    -rw-r--r-- 1 root root 47 окт 16 20:07 /etc/resolv.conf

    Если вместо нормального вывода вы видите симлинк:

    lrwxrwxrwx 1 root root 39 Nov  6 10:24 /etc/resolv.conf -> ../run/systemd/resolve/stub-resolv.conf

    Необходимо отключить и убрать из автозапуска systemd-resolved

    sudo service systemd-resolved stop
    sudo systemctl disable systemd-resolved.service

    Убить симлинк

    sudo rm /etc/resolv.conf

    И создать чистый файл

    sudo nano /etc/resolv.conf

    Указав в нём адрес локального DNS сервера способного разрешать имена локальной зоны. Для сервера ag-dc-2, находящегося в домене adminguide.lan. Под управлением контроллера с именем ag-dc-1 и IP 192.168.1.100. На данном этапе, содержимое /etc/resolv.conf должно быть следующим:

    nameserver 192.168.1.100
    search adminguide.lan

    192.168.1.100 – адрес уже работающего в сети DNS сервера поднятого на первом контроллере домена.
    Обязательно перезагрузите сервер и убедитесь что resolv.conf и его содержимое остались на месте.

  4. Убеждаемся в отсутствии самбовых процессов

    ps ax | egrep "samba|smbd|nmbd|winbindd"

    Если что-то есть – на нож. Весь сервер. Потом переходим к пункту “Устанавливаем Ubuntu Server 18.04”

  5. Убеждаемся что вы настраиваете Ubuntu Server 18.04.

    Чистый, только что установленный. Который не использовался ранее ни под какие нужды. Что это не ваша домашняя станция на какой-нибудь богомерзкой макоси. Не сервер в продакшене под полезной нагрузкой. Что вы знаете что делаете и зачем это делаете. А то мало ли. Были прецеденты. Потом люди обижаются. В стиле “У вас тут написано “На только что развёрнутом сервере, зайдите в домашнюю папку и выполните sudo rm rf ./*”. Я сделал ровно это же только на своём домашнем NAS сервере в папке где у меня хранятся все все все мои самые ценные данные за всю мою жизнь и всё удалилось! Как вы можете писать такое в мануалах!”. Потому убедитесь что это ваш чистый, только что поднятый сервер. Если вы делаете всё в первые, убедитесь что это не прод!

Резервный контроллер домена Linux – Устанавливаем Samba4

Для установки воспользуемся следующей командой:

sudo apt-get install acl attr samba samba-dsdb-modules samba-vfs-modules winbind krb5-config krb5-user dnsutils ldb-tools apparmor-utils -y

Когда всё выполнено – переходим к следующей статье.

Ещё больше интересного контента в моём блоге в Zen и на моём канале YouTube. Подписывайтесь на канал, ставьте лайки, делайте репосты, это поможет развитию контента проекта AdminGuide.Ru

Text.ru - 100.00%

You may also like

Leave a Comment