這篇文章將講解如何使用 Ubuntu 16.04 服務(wù)器版系統(tǒng)來創(chuàng)建第二臺 Samba4 域控制器，并將其加入到已創(chuàng)建好的 Samba AD DC 林環(huán)境中，以便為一些關(guān)鍵的 AD DC 服務(wù)提供負(fù)載均衡及故障切換功能，尤其是為那些重要的服務(wù)，比如 DNS 服務(wù)和使用 SAM 數(shù)據(jù)庫的 AD DC LDAP 模式。

需求

這篇文章是 Samba4 AD DC 系列的第五篇，前邊幾篇如下：

1、在 Ubuntu 系統(tǒng)上使用 Samba4 來創(chuàng)建活動目錄架構(gòu)

2、在 Linux 命令行下管理 Samba4 AD 架構(gòu)

3、使用 Windows 10 的 RSAT 工具來管理 Samba4 活動目錄架構(gòu)

4、在 Windows 下管理 Samba4 AD 域管制器 DNS 和組策略

***步：為設(shè)置 Samba4 進(jìn)行初始化配置

1、在開始把第二個 DC 服務(wù)器加入到 Samba4 AD DC 域環(huán)境之前，你需要注意一些初始化設(shè)置信息，首先，確保這個新系統(tǒng)的主機(jī)名包含描述性名稱。

假設(shè)***個域服務(wù)器的主機(jī)名叫做 adc1 ，你可以把第二個域服務(wù)器命名為 adc2，以保持域控制器名稱的一致性。

執(zhí)行下面的命令來修改系統(tǒng)主機(jī)名：

# hostnamectl set-hostname adc2 

或者你也可以手動編輯 /etc/hostname 文件，在新的一行輸入你想設(shè)置的主機(jī)名。

# nano /etc/hostname 

這里添加主機(jī)名。

adc2 

2、下一步，打開本地系統(tǒng)解析文件并添加一個條目，包含主域控制器的 IP 地址和 FQDN 名稱。如下圖所示：

在這篇教程中，主域控服務(wù)器的主機(jī)名為 adc1.tecmint.lan ，其對應(yīng)的 IP 地址為 192.168.1.254 。

# nano /etc/hosts 

添加如下行：

IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC  

為 Samba4 AD DC 服務(wù)器設(shè)置主機(jī)名

3、下一步，打開 /etc/network/interfaces 配置文件并設(shè)置一個靜態(tài) IP 地址，如下圖所示：

注意 dns-nameservers 和 dns-search 這兩個參數(shù)的值。為了使 DNS 解析正常工作，需要把這兩個值設(shè)置成主 Samba4 AD DC 服務(wù)器的 IP 地址和域名。

重啟網(wǎng)卡服務(wù)以讓修改的配置生效。檢查 /etc/resolv.conf 文件，確保該網(wǎng)卡上配置的這兩個 DNS 的值已更新到這個文件。

# nano /etc/network/interfaces 

編輯并替換你自定義的 IP 設(shè)置：

auto ens33 
iface ens33 inet static 
address 192.168.1.253 
netmask 255.255.255.0 
brodcast 192.168.1.1 
gateway 192.168.1.1 
dns-nameservers 192.168.1.254 
dns-search tecmint.lan 

重啟網(wǎng)卡服務(wù)并確認(rèn)生效。

# systemctl restart networking.service 
# cat /etc/resolv.conf  

配置 Samba4 AD 服務(wù)器的 DNS

當(dāng)你通過簡寫名稱(用于構(gòu)建 FQDN 名)查詢主機(jī)名時， dns-search 值將會自動把域名添加上。

4、為了測試 DNS 解析是否正常，使用一系列 ping 命令測試，命令后分別為簡寫名， FQDN 名和域名，如下圖所示：

在所有測試用例中，Samba4 AD DC DNS 服務(wù)器都應(yīng)該返回主域控服務(wù)器的 IP 地址。 

驗(yàn)證 Samba4 AD 環(huán)境 DNS 解析是否正常

5、***你需要注意的是確保這個主機(jī)跟域控服務(wù)器時間同步。你可以通過下面的命令在系統(tǒng)上安裝 NTP 客戶端工具來實(shí)現(xiàn)時間同步功能：

# apt-get install ntpdate 

6、假設(shè)你想手動強(qiáng)制本地服務(wù)器與 samba4 AD DC 服務(wù)器時間同步，使用 ntpdate 命令加上主域控服務(wù)器的主機(jī)名，如下所示：

# ntpdate adc1 

與 Samba4 AD 服務(wù)器進(jìn)行時間同步

第 2 步：安裝 Samba4 必須的依賴包

7、為了讓 Ubuntu 16.04 系統(tǒng)加入到你的域中，你需要通過下面的命令從 Ubuntu 官方軟件庫中安裝 Samba4 套件、 Kerberos 客戶端 和其它一些重要的軟件包以便將來使用：

# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind  

 

在 Ubuntu 系統(tǒng)中安裝 Samba4

8、在安裝的過程中，你需要提供 Kerberos 域名。輸入大寫的域名然后按回車鍵完成安裝過程。 

為 Samba4 配置 Kerberos 認(rèn)證

9、所有依賴包安裝完成后，通過使用 kinit 命令為域管理員請求一個 Kerberos 票據(jù)以驗(yàn)證設(shè)置是否正確。使用 klist 命令來列出已授權(quán)的 kerberos 票據(jù)信息。

# kinit domain-admin-user@YOUR_DOMAIN.TLD# klist  

在 Samba4 域環(huán)境中驗(yàn)證 Kerberos

第 3 步：以域控制器的身份加入到 Samba4 AD DC

10、在把你的機(jī)器集成到 Samba4 DC 環(huán)境之前，先把系統(tǒng)中所有運(yùn)行著的 Samba4 服務(wù)停止，并且重命名默認(rèn)的 Samba 配置文件以便從頭開始。在域控制器配置的過程中， Samba 將會創(chuàng)建一個新的配置文件。

# systemctl stop samba-ad-dc smbd nmbd winbind 
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial 

11、在準(zhǔn)備加入域前，先啟動 samba-ad-dc 服務(wù)，之后使用域管理員賬號運(yùn)行 samba-tool 命令將服務(wù)器加入到域。

# samba-tool domain join your_domain -U "your_domain_admin" 

加入域過程部分截圖:

# samba-tool domain join tecmint.lan DC -U "tecmint_user" 

輸出示例：

Finding a writeable DC for domain 'tecmint.lan' 
Found DC adc1.tecmint.lan 
Password for [WORKGROUP\tecmint_user]: 
workgroup is TECMINT 
realm is tecmint.lan 
checking sAMAccountName 
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan 
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan 
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan 
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan 
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan 
Setting account password for ADC2$ 
Enabling account 
Calling bare provision 
Looking up IPv4 addresses 
Looking up IPv6 addresses 
No IPv6 address will be assigned 
Setting up share.ldb 
Setting up secrets.ldb 
Setting up the registry 
Setting up the privileges database 
Setting up idmap db 
Setting up SAM db 
Setting up sam.ldb partitions and settings 
Setting up sam.ldb rootDSE 
Pre-loading the Samba 4 and AD schema 
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf 
Provision OK for domain DN DC=tecmint,DC=lan 
Starting replication 
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0] 
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0] 
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0] 
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0] 
Analyze and apply schema objects 
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0] 
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0] 
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0] 
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0] 
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0] 
Replicating critical objects from the base DN of the domain 
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0] 
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0] 
Done with always replicated NC (base, config, schema) 
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan 
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0] 
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan 
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0] 
Committing SAM database 
Sending DsReplicaUpdateRefs for all the replicated partitions 
Setting isSynchronized and dsServiceName 
Setting up secrets database 
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC  

把域加入到 Samba4 AD DC

12、在已安裝了 Samba4 套件的 Ubuntu 系統(tǒng)加入域之后，打開 Samba 主配置文件添加如下行：

# nano /etc/samba/smb.conf 

添加以下內(nèi)容到 smb.conf 配置文件中。

dns forwarder = 192.168.1.1 
idmap_ldb:use rfc2307 = yes 
template shell = /bin/bash 
winbind use default domain = true 
winbind offline logon = false 
winbind nss info = rfc2307 
winbind enum users = yes 
winbind enum groups = yes 

使用你自己的 DNS 轉(zhuǎn)發(fā)器 IP 地址替換掉上面 dns forwarder 地址。 Samba 將會把域權(quán)威區(qū)之外的所有 DNS 解析查詢轉(zhuǎn)發(fā)到這個 IP 地址。

13、***，重啟 samba 服務(wù)以使修改的配置生效，然后執(zhí)行如下命令來檢查活動目錄復(fù)制功能是否正常。

# systemctl restart samba-ad-dc 
# samba-tool drs showrepl  

配置 Samba4 DNS

14、另外，還需要重命名原來的 /etc下的 kerberos 配置文件，并使用在加入域的過程中 Samba 生成的新配置文件 krb5.conf 替換它。

Samba 生成的新配置文件在 /var/lib/samba/private 目錄下。使用 Linux 的符號鏈接將該文件鏈接到 /etc 目錄。

# mv /etc/krb6.conf /etc/krb5.conf.initial 
# ln -s /var/lib/samba/private/krb5.conf /etc/ 
# cat /etc/krb5.conf  

配置 Kerberos

15、同樣，使用 samba 的 krb5.conf 配置文件驗(yàn)證 Kerberos 認(rèn)證是否正常。通過以下命令來請求一個管理員賬號的票據(jù)并且列出已緩存的票據(jù)信息。

# kinit administrator 
# klist  

使用 Samba 驗(yàn)證 Kerberos 認(rèn)證是否正常

第 4 步：驗(yàn)證其它域服務(wù)

16、你首先要做的一個測試就是驗(yàn)證 Samba4 DC DNS 解析服務(wù)是否正常。要驗(yàn)證域 DNS 解析情況，使用 host 命令，加上一些重要的 AD DNS 記錄，進(jìn)行域名查詢，如下圖所示：

每一次查詢，DNS 服務(wù)器都應(yīng)該返回兩個 IP 地址。

# host your_domain.tld 
# host -t SRV _kerberos._udp.your_domain.tld  # UDP Kerberos SRV record 
# host -t SRV _ldap._tcp.your_domain.tld  # TCP LDAP SRV record  

Verify Samba4 DC DNS

*驗(yàn)證 Samba4 DC DNS *

17、這些 DNS 記錄也可以從注冊過的已安裝了 RSAT 工具的 Windows 機(jī)器上查詢到。打開 DNS 管理器，展開到你的域 tcp 記錄，如下圖所示：

通過 Windows RSAT 工具來驗(yàn)證 DNS 記錄

18、下一個驗(yàn)證是檢查域 LDAP 復(fù)制同步是否正常。使用 samba-tool 工具，在第二個域控制器上創(chuàng)建一個賬號，然后檢查該賬號是否自動同步到***個 Samba4 AD DC 服務(wù)器上。

在 adc2 上：

# samba-tool user add test_user 

在 adc1 上：

# samba-tool user list | grep test_user  

在 Samba4 AD 服務(wù)器上創(chuàng)建賬號 

在 Samba4 AD 服務(wù)器上驗(yàn)證同步功能

19、你也可以從 Microsoft AD DC 控制臺創(chuàng)建一個賬號，然后驗(yàn)證該賬號是否都出現(xiàn)在兩個域控服務(wù)器上。

默認(rèn)情況下，這個賬號都應(yīng)該在兩個 samba 域控制器上自動創(chuàng)建完成。在 adc1 服務(wù)器上使用 wbinfo 命令查詢該賬號名。 

從 Microsoft AD UC 創(chuàng)建賬號 

在 Samba4 AD 服務(wù)器上驗(yàn)證賬號同步功能

20、實(shí)際上，打開 Windows 機(jī)器上的 AD DC 控制臺，展開到域控制器，你應(yīng)該看到兩個已注冊的 DC 服務(wù)器。 

驗(yàn)證 Samba4 域控制器

第 5 步：啟用 Samba4 AD DC 服務(wù)

21、要在整個系統(tǒng)啟用 Samba4 AD DC 的服務(wù)，首先你得禁用原來的不需要的 Samba 服務(wù)，然后執(zhí)行如下命令僅啟用 samba-ad-dc 服務(wù)：

# systemctl disable smbd nmbd winbind 
# systemctl enable samba-ad-dc  

啟用 Samba4 AD DC 服務(wù)

22、如果你從 Microsoft 客戶端遠(yuǎn)程管理 Samba4 域控制器，或者有其它 Linux 或 Windows 客戶機(jī)集成到當(dāng)前域中，請確保在它們的網(wǎng)卡 DNS 服務(wù)器地址設(shè)置中提及 adc2 服務(wù)器的 IP 地址，以實(shí)現(xiàn)某種程序上的冗余。

下圖顯示 Windows 和 Debian/Ubuntu 客戶機(jī)的網(wǎng)卡配置要求。 

配置 Windows 客戶端來管理 Samba4 DC 

配置 Linux 客戶端來管理 Samba4 DC

如果***臺 DC 服務(wù)器 192.168.1.254 網(wǎng)絡(luò)不通，則調(diào)整配置文件中 DNS 服務(wù)器 IP 地址的順序，以免先查詢這臺不可用的 DNS 服務(wù)器。

***，如果你想在 Linux 系統(tǒng)上使用 Samba4 活動目錄賬號來進(jìn)行本地認(rèn)證，或者為 AD LDAP 賬號授予 root 權(quán)限，請查看在 Linux 命令行下管理 Samba4 AD 架構(gòu) 這篇教程的 第 2 步和第 3 步。