Ubuntu DC + Samba4 AD 实现双域控主机模

第一步：为设置 Samba4 进行初始化配置

在开始把第二个 DC 服务器加入到 Samba4 AD DC 域环境之前，你需要注意一些初始化设置信息，首先，确保这个新系统的主机名包含描述性名称。

假设第一个域服务器的主机名叫做 adc1 ，你可以把第二个域服务器命名为 adc2，以保持域控制器名称的一致性。

执行下面来修改系统主机名：

#hostnamectlset-hostnameadc2

或者你也可以手动编辑 /etc/hostname 文件，在新的一行输入你想设置的主机名。

#nano/etc/hostname

这里添加主机名。

adc2

下一步，打开本地系统解析文件并添加一个条目，包含主域控制器的 IP 地址和 FQDN 名称。如下图所示：

在这篇教程中，主域控服务器的主机名为 adc1.tecmint.lan ，其对应的 IP 地址为 192.168.1.254 。

#nano/etc/hosts

添加如下行：

IP_of_main_DCFQDN_of_main_DCshort_name_of_main_DC

为 Samba4 AD DC 服务器设置主机名

下一步，打开 /etc/network/interfaces 配置文件并设置一个静态 IP 地址，如下图所示：

注意 dns-nameservers 和 dns-search 这两个参数的值。为了使 DNS 解析正常工作，需要把这两个值设置成主 Samba4 AD DC 服务器的 IP 地址和域名。

重启网卡服务以让修改的配置生效。检查 /etc/resolv.conf 文件，确保该网卡上配置的这两个 DNS 的值已更新到这个文件。

#nano/etc/network/interfaces

编辑并替换你自定义的 IP 设置：

• autoens33
• ifaceens33inetstatic
• address192.168.1.253
• netmask255.255.255.0
• brodcast192.168.1.1
• gateway192.168.1.1
• dns-nameservers192.168.1.254
• dns-searchtecmint.lan

重启网卡服务并确认生效。

#systemctlrestartnetworking.service
#cat/etc/resolv.conf

配置 Samba4 AD 服务器的 DNS

当你通过简写名称(用于构建 FQDN 名)查询主机名时， dns-search 值将会自动把域名添加上。

为了测试 DNS 解析是否正常，使用一系列 ping 测试，命令后分别为简写名， FQDN 名和域名，如下图所示：

在所有测试用例中，Samba4 AD DC DNS 服务器都应该返回主域控服务器的 IP 地址。

验证 Samba4 AD 环境 DNS 解析是否正常

最后你需要注意的是确保这个主机跟域控服务器时间同步。你可以通过下面的命令在系统上安装 NTP 客户端工具来实现时间同步功能：

#apt-getinstallntpdate

假设你想手动强制本地服务器与 samba4 AD DC 服务器时间同步，使用 ntpdate 命令加上主域控服务器的主机名，如下所示：

#ntpdateadc1

与 Samba4 AD 服务器进行时间同步

第 2 步：安装 Samba4 必须的依赖包

为了让 Ubuntu 16.04 系统加入到你的域中，你需要通过下面的命令从 Ubuntu 官方软件库中安装 Samba4 套件、 Kerberos 客户端 和其它一些重要的软件包以便将来使用：

#apt-getinstallsambakrb5-userkrb5-configwinbindlibpam-winbindlibnss-winbind

在 Ubuntu 系统中安装 Samba4

在安装的过程中，你需要提供 Kerberos 域名。输入大写的域名然后按回车键完成安装过程。

为 Samba4 配置 Kerberos 认证

所有依赖包安装完成后，通过使用 kinit 命令为域管理员请求一个 Kerberos 以验证设置是否正确。使用 klist 命令来列出已授权的 kerberos 信息。

#kinitdomain-admin-user@YOUR_DOMAIN.TLD#klist

在 Samba4 域环境中验证 Kerberos

第 3 步：以域控制器的身份加入到 Samba4 AD DC

在把你的机器集成到 Samba4 DC 环境之前，先把系统中所有运行着的 Samba4 服务停止，并且重命名默认的 Samba 配置文件以便从头开始。在域控制器配置的过程中， Samba 将会创建一个新的配置文件。

#systemctlstopsamba-ad-dcsmbdnmbdwinbind
#mv/etc/samba/smb.conf/etc/samba/smb.conf.initial

在准备加入域前，先启动 samba-ad-dc 服务，之后使用域管理员账号运行 samba-tool 命令将服务器加入到域。

#samba-tooldomainjoinyour_domain-U"your_domain_admin"

加入域过程部分截图:

#samba-tooldomainjointecmint.lanDC-U"tecmint_user"

输出示例：

• FindingawriteableDCfordomain'tecmint.lan'
• FoundDCadc1.tecmint.lan
• Passwordfor[WORKGROUP/tecmint_user]:
• workgroupisTECMINT
• realmistecmint.lan
• checkingsAMAccountName
• DeletedCN=ADC2,CN=Computers,DC=tecmint,DC=lan
• AddingCN=ADC2,OU=DomainControllers,DC=tecmint,DC=lan
• AddingCN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
• AddingCN=NTDSSettings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
• AddingSPNstoCN=ADC2,OU=DomainControllers,DC=tecmint,DC=lan
• SettingaccountpasswordforADC2$
• Enablingaccount
• Callingbareprovision
• LookingupIPv4addresses
• LookingupIPv6addresses
• NoIPv6addresswillbeassigned
• Settingupshare.ldb
• Settingupsecrets.ldb
• Settinguptheregistry
• Settinguptheprivilegesdatabase
• Settingupidmapdb
• SettingupSAMdb
• Settingupsam.ldbpartitionsandsettings
• Settingupsam.ldbrootDSE
• Pre-loadingtheSamba4andADschema
• AKerberosconfigurationsuitableforSamba4hasbeengeneratedat/var/lib/samba/private/krb5.conf
• ProvisionOKfordomainDNDC=tecmint,DC=lan
• Startingreplication
• Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan]objects[402/1550]linked_values[0/0]
• Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan]objects[804/1550]linked_values[0/0]
• Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan]objects[1206/1550]linked_values[0/0]
• Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan]objects[1550/1550]linked_values[0/0]
• Analyzeandapplyschemaobjects
• Partition[CN=Configuration,DC=tecmint,DC=lan]objects[402/1614]linked_values[0/0]
• Partition[CN=Configuration,DC=tecmint,DC=lan]objects[804/1614]linked_values[0/0]
• Partition[CN=Configuration,DC=tecmint,DC=lan]objects[1206/1614]linked_values[0/0]
• Partition[CN=Configuration,DC=tecmint,DC=lan]objects[1608/1614]linked_values[0/0]
• Partition[CN=Configuration,DC=tecmint,DC=lan]objects[1614/1614]linked_values[28/0]
• ReplicatingcriticalobjectsfromthebaseDNofthedomain
• Partition[DC=tecmint,DC=lan]objects[97/97]linked_values[24/0]
• Partition[DC=tecmint,DC=lan]objects[380/283]linked_values[27/0]
• DonewithalwaysreplicatedNC(base,config,schema)
• ReplicatingDC=DomainDnsZones,DC=tecmint,DC=lan
• Partition[DC=DomainDnsZones,DC=tecmint,DC=lan]objects[45/45]linked_values[0/0]
• ReplicatingDC=ForestDnsZones,DC=tecmint,DC=lan
• Partition[DC=ForestDnsZones,DC=tecmint,DC=lan]objects[18/18]linked_values[0/0]
• CommittingSAMdatabase
• SendingDsReplicaUpdateRefsforallthereplicatedpartitions
• SettingisSynchronizedanddsServiceName
• Settingupsecretsdatabase
• JoineddomainTECMINT(SIDS-1-5-21-715537322-3397311598-55032968)asaDC

把域加入到 Samba4 AD DC

在已安装了 Samba4 套件的 Ubuntu 系统加入域之后，打开 Samba 主配置文件添加如下行：

#nano/etc/samba/smb.conf

添加以下内容到 smb.conf 配置文件中。

• dnsforwarder=192.168.1.1
• idmap_ldb:userfc2307=yes
• template =/bin/bash
• winbindusedefaultdomain=true
• winbindofflinelogon=false
• winbindnssinfo=rfc2307
• winbindenumusers=yes
• winbindenumgroups=yes

使用你自己的 DNS 转发器 IP 地址替换掉上面 dns forwarder 地址。 Samba 将会把域权威区之外的所有 DNS 解析查询转发到这个 IP 地址。

最后，重启 samba 服务以使修改的配置生效，然后执行如下命令来检查活动目录复制功能是否正常。

#systemctlrestartsamba-ad-dc
#samba-tooldrsshowrepl

配置 Samba4 DNS

另外，还需要重命名原来的 /etc下的 kerberos 配置文件，并使用在加入域的过程中 Samba 生成的新配置文件 krb5.conf 替换它。

Samba 生成的新配置文件在 /var/lib/samba/private 目录下。使用 的符号链接将该文件链接到 /etc 目录。

#mv/etc/krb6.conf/etc/krb5.conf.initial
#ln-s/var/lib/samba/private/krb5.conf/etc/
#cat/etc/krb5.conf<

配置 Kerberos

同样，使用 samba 的 krb5.conf 配置文件验证 Kerberos 认证是否正常。通过以下命令来请求一个管理员账号信息。

#kinitadministrator
#klist

使用 Samba 验证 Kerberos 认证是否正常

第 4 步：验证其它域服务

你首先要做的一个测试就是验证 Samba4 DC DNS 解析服务是否正常。要验证域 DNS 解析情况，使用 host 命令，加上一些重要的 AD DNS 记录，进行域名查询，如下图所示：

每一次查询，DNS 服务器都应该返回两个 IP 地址。

#hostyour_domain.tld
#host-tSRV_kerberos._udp.your_domain.tld#UDPKerberosSRVrecord
#host-tSRV_ldap._tcp.your_domain.tld#TCPLDAPSRVrecord

Verify Samba4 DC DNS

*验证 Samba4 DC DNS *

这些 DNS 记录也可以从注册过的已安装了 RSAT 工具的 Windows 机器上查询到。打开 DNS 管理器，展开到你的域 tcp 记录，如下图所示：

通过 Windows RSAT 工具来验证 DNS 记录

下一个验证是检查域 LDAP 复制同步是否正常。使用 samba-tool 工具，在第二个域控制器上创建一个账号，然后检查该账号是否自动同步到第一个 Samba4 AD DC 服务器上。

在 adc2 上：

#samba-tooluseraddtest_user

在 adc1 上：

#samba-tooluserlist|greptest_user

在 Samba4 AD 服务器上创建账号

在 Samba4 AD 服务器上验证同步功能

你也可以从 Microsoft AD DC 控制台创建一个账号，然后验证该账号是否都出现在两个域控服务器上。

默认情况下，这个账号都应该在两个 samba 域控制器上自动创建完成。在 adc1 服务器上使用 wbinfo 命令查询该账号名。

从 Microsoft AD UC 创建账号

在 Samba4 AD 服务器上验证账号同步功能

实际上，打开 Windows 机器上的 AD DC 控制台，展开到域控制器，你应该看到两个已注册的 DC 服务器。

验证 Samba4 域控制器

第 5 步：启用 Samba4 AD DC 服务

要在整个系统启用 Samba4 AD DC 的服务，首先你得禁用原来的不需要的 Samba 服务，然后执行如下命令仅启用 samba-ad-dc 服务：

#systemctldisablesmbdnmbdwinbind
#systemctlenablesamba-ad-dc

启用 Samba4 AD DC 服务

如果你从 Microsoft 客户端远程管理 Samba4 域控制器，或者有其它 Linux 或 Windows 客户机集成到当前域中，请确保在它们的网卡 DNS 服务器地址设置中提及 adc2 服务器的 IP 地址，以实现某种程序上的冗余。

下图显示 Windows 和 Debian/Ubuntu 客户机的网卡配置要求。

配置 Windows 客户端来管理 Samba4 DC

配置 Linux 客户端来管理 Samba4 DC

如果第一台 DC 服务器 192.168.1.254 网络不通，则调整配置文件中 DNS 服务器 IP 地址的顺序，以免先查询这台不可用的 DNS 服务器。

最后，如果你想在 Linux 系统上使用 Samba4 活动目录账号来进行本地认证，或者为 AD LDAP 账号授予 root 权限，请查看在 Linux 命令行下管理 Samba4 AD 架构 这篇教程的 第 2 步和第 3 步。