Главная страница » Резервный Ubuntu AD-DC – запуск BIND9

Резервный Ubuntu AD-DC – запуск BIND9

by Belfigor
1532 views
Резервный Ubuntu AD-DC - запуск BIND9

Резервный Ubuntu AD-DC нуждается в рабочем DNS сервере. При этом этот DNS сервер не должен быть независимым. Он должен работать совместно с другими серверами домена. В связи с этим мы и настраивали репликацию SysVol. Теперь, прежде чем впервые включить установленный ранее на резервный Ubuntu AD-DC BIND9, мы должны проверить, реплицируется ли наша днс зона на наш резервный контроллер домена.

Резервный Ubuntu AD-DC – Проверяем репликацию DNS записей

На ag-dc-2 запускаем команду:

sudo samba-tool drs showrepl

Во входящих соединениях смотрим:

DC=ForestDnsZones,DC=adminguide,DC=lan
Default-First-Site-Name\AG-DC-1 via RPC
DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

и

DC=DomainDnsZones,DC=adminguide,DC=lan
Default-First-Site-Name\AG-DC-1 via RPC
DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

Даты Last attempt и Last success должны быть актуальными, consecutive failure(s) должно быть равно нулю. Если что-то не соответствует ожидаемому результату – ищите где вы сделали ошибку ранее.

 

Запускаем bind9, допиливаем apparmor

Первой командой запустим сервер. Именно запустим. До этого он всё время был выключен.

sudo systemctl unmask bind9
sudo systemctl enable bind9
sudo service bind9 start

Далее можно посмотреть логи на предмет строк в которых фигурирует apparmor=“DENIED”.

tail -n 50 /var/log/syslog

Всё потому что аппармор вообще не в курсе что вы там химичите. И вы ли вообще это химичите. Поэтому при попытке дёрнуть тот или иной файл или неизвестную аппармору ранее директорию, он всё блочит. Чтобы “дообучить” аппармор нужна команда aa-logprof из пакета apparmor-utils. Если её нету на сервере, доставляем командой sudo apt install apparmor-utils

sudo aa-logprof

Оно будет задавать вам всякие вопросы, а вы если не хотите вникать в суть, должны везде жать всё похожее на (A)llow, (I)nherit и (S)ave Changes. В общем всячески соглашаться с машинами, будущими нашими хозяевами. Когда аппармор прошерстит сислог и получит ответы на все интересующие его вопросы, перезапустим его командой:

sudo systemctl restart apparmor

или с помощью команды

sudo /etc/init.d/apparmor stop && sudo /etc/init.d/apparmor start

Резервный Ubuntu AD-DC – Финальная проверка

Теперь снова перезапускаем bind9 и проверяем несколько запросов к только что сконфигурированному (ещё не полностью) bind9

sudo service bind9 restart
host -t A localhost 127.0.0.1
host -t PTR 127.0.0.1 127.0.0.1

Вы должны видеть следующий ответ от нашего DNS сервера

AdminGuide.Ru@ag-dc-1:~$ sudo service bind9 restart
AdminGuide.Ru@ag-dc-1:~$ host -t A localhost 127.0.0.1
Using domain server:
Name: 127.0.0.1
Address: 127.0.0.1#53
Aliases: 
localhost has address 127.0.0.1
AdminGuide.Ru@ag-dc-1:~$ host -t PTR 127.0.0.1 127.0.0.1
Using domain server:
Name: 127.0.0.1
Address: 127.0.0.1#53
Aliases: 
1.0.0.127.in-addr.arpa domain name pointer localhost.

Всё работает. Теперь необходимо перенастроить ag-dc-2 чтобы для работы он использовал собственный DNS сервер

Изменяем параметры адаптера

sudo nano /etc/netplan/*.yaml

Заменяем указанный DNS сервер со 192.168.1.100 на IP адрес текущего контроллера домена, 192.168.1.101

network:
ethernets:
ens160:
dhcp4: no
dhcp6: no
addresses: [192.168.1.101/24, ]
gateway4: 192.168.1.1
nameservers:
addresses: [192.168.1.101, ]
version: 2

Сохраняем с помощью

sudo netplan apply

Открываем на редактирование resolv.conf

sudo nano /etc/resolv.conf

И точно так же меняем там адрес DNS сервера с 192.168.1.100 на 192.168.1.101

nameserver 192.168.1.101
search adminguide.lan

Проверяем ещё раз, но теперь без указания IP адреса DNS сервера куда будет отправлен запрос:

sudo service bind9 restart
host -t A localhost
host -t PTR 127.0.0.1
nslookup adminguide.ru 192.168.1.100
nslookup adminguide.ru

Ответ должен быть следующим:

adminguideru@ag-dc-2:~$ host -t A localhost
localhost has address 127.0.0.1
adminguideru@ag-dc-2:~$ host -t PTR 127.0.0.1
1.0.0.127.in-addr.arpa domain name pointer localhost.
adminguideru@ag-dc-2:~$
adminguideru@ag-dc-2:~$ nslookup adminguide.ru 192.168.1.100
Server:         192.168.1.100
Address:        192.168.1.100#53
Non-authoritative answer:
Name:   adminguide.ru
Address: 31.31.196.248
adminguideru@ag-dc-2:~$ nslookup adminguide.ru
Server:         192.168.1.101
Address:        192.168.1.101#53
Non-authoritative answer:
Name:   adminguide.ru
Address: 31.31.196.248

Проверяем работоспособность kerberos

Запрашиваем тикет для учётной записи администратора домена

kinit administrator

Вводим пароль администратора домена

Надо убедиться что всё работает, потому проверяем кеш с тикетами керберос

klist

Ожидаемый результат выглядит так:

Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: administrator@ADMINGUIDE.LAN
Valid starting     Expires            Service principal
01/02/21 08:17:24  01/02/21 18:17:24  krbtgt/ADMINGUIDE.LAN@ADMINGUIDE.LAN
renew until 01/03/21 08:17:17

Если что-то не так, пишите, будем разбираться.

Если всё хорошо, значит я няшечка. Лайк, репост, подписка. Так же для добровольцев на сайте есть яндекс форма с донатом, а потом будет патреон 🙂

Переходим к следующей статье.

Ещё больше интересного контента в моём блоге в Zen и на моём канале YouTube. Подписывайтесь на канал, ставьте лайки, делайте репосты, это поможет развитию контента проекта AdminGuide.Ru

Text.ru - 100.00%

You may also like

6 комментариев

Niko 28.04.2021 - 12:10

Дошёл до финальной проверки и что-то не так:
s2:~$host -t A localhost 127.0.0.1

Using domain server:
Name: 127.0.0.1
Address: 127.0.0.1#53
Aliases:

Host localhost not found: 2(SERVFAIL)

не пойму, почему он localhost не может разрешить.

Если
s2:~$ host -t A s2 127.0.0.1
то ответ:
Using domain server:
Name: 127.0.0.1
Address: 127.0.0.1#53
Aliases:

s2.mydomain.lan has address 192.168.1.26

Всё проверил, ошибок нет. Куда смотреть?

Reply
Belfigor 28.04.2021 - 20:39

А что показывает команда
sudo cat /etc/hosts
?

Reply
Niko 29.04.2021 - 06:07

s2:~$ sudo cat /etc/hosts

127.0.0.1 localhost.localdomain localhost
192.168.1.26 s2.mydomain.lan s2

# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Reply
Belfigor 29.04.2021 - 07:28

Очень странно, а есть что-то интересное в syslog после запуска host -t A localhost 127.0.0.1 ?

Reply
Niko 29.04.2021 - 11:55

как посмотреть?

Reply
Belfigor 29.04.2021 - 22:03

tail -n 250 /var/log/syslog
🙂

Reply

Leave a Comment