Różnice

Różnice między wybraną wersją a wersją aktualną.

--- samba_-_domena_ad [2020/05/06 15:28] – [Group Policy] kamil
+++ samba_-_domena_ad [2022/06/14 09:46] (aktualna) – kamil
@@ Linia 4: / Linia 4: @@
 **PDC** - Primary Domain Controler
+**SDC** - Secondary Domain Controler
 **PC** - komputer
-Na PDC instalujemy Ubuntu serwer - minimalna/czysta instalacja + serwer OpenSSH. Na PC instalujemy wersję Windowsa Pro - w moim przykładzie wykorzystałem wersję 7.
+Na PDC/SDC instalujemy Debiana - minimalna/czysta instalacja + serwer OpenSSH. Na PC instalujemy wersję Windowsa Pro - w moim przykładzie wykorzystałem wersję 10 21H2.
 ==== Instalacja PDC ====
-Instalujemy program aptitude:
+I instalujemy pakiety:
 <file>
-apt-get install aptitude
+apt install samba samba-client winbind krb5-user ldb-tools acl net-tools rsync nfs-kernel-server ntp
 </file>
-Uaktualniamy system:
+Podczas instalacji zostaniemy zapytanie o Realm dla Kerberosa - nie wpisujemy nic i zatwierdzamy enterem.
+==== Konfiguracja PDC ====
+=== Samba ===
+Stopujemy proces Samby po instalacji oraz zachowujemy aktualny poinstalacyjny plik konfiguracji:
 <file>
-aptitude upgrade
+/etc/init.d/smbd stop
+mv /etc/samba/smb.conf /etc/samba/smb.conf.original
 </file>
-Wykonujemy reboot PDC i instalujemy Sambe i Binda:
+Tworzymy domenę AD:
 <file>
-aptitude install samba smbclient bind9 krb5-user winbind ldb-tools acl
+samba-tool domain provision --use-rfc2307 --interactive
 </file>
-Podczas instalacji zostaniemy zapytanie o Realm dla Kerberosa - nie wpisujemy nic i zatwierdzamy enterem.
+Podczas wykonania powyższego polecenia zostaniemy zapytani o nazwę domeny, moja domena to: test-ad.lan. Zostaniemy też zapytani o serwer DNS - wybieramy domyślny czyli SAMBA_INTERNAL - umożliwi to nam zarządzanie DNSami przystawką DNS z poziomu Windowsa. DNS Forwarder to serwery DNS, które będą odpytywane dla wszystkiego co nie jest naszą domeną - czyli na potrzeby internetu.
-==== Konfiguracja PDC ====
-=== Samba ===
+Przykładowy log:
 <file>
-root@pdc:~# mv /etc/samba/smb.conf /etc/samba/smb.conf.original
+Realm:  test-ad.lan
-root@pdc:~# samba-tool domain provision --use-rfc2307 --interactive
+Domain [test-ad]:
-Realm: test-ad.lan
+Server Role (dc, member, standalone) [dc]:
- Domain [test-ad]:
+DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
- Server Role (dc, member, standalone) [dc]:
+DNS forwarder IP address (write 'none' to disable forwarding) [8.8.8.8]:  8.8.8.8
- DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: BIND9_FLATFILE
 Administrator password:
 Retype password:
-Looking up IPv4 addresses
+INFO 2021-12-22 11:36:41,699 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2122: Looking up IPv4 addresses
-Looking up IPv6 addresses
+INFO 2021-12-22 11:36:41,699 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2139: Looking up IPv6 addresses
-No IPv6 address will be assigned
+WARNING 2021-12-22 11:36:41,700 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2146: No IPv6 address will be assigned
-Setting up share.ldb
+INFO 2021-12-22 11:36:41,992 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2290: Setting up share.ldb
-Setting up secrets.ldb
+INFO 2021-12-22 11:36:42,339 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2294: Setting up secrets.ldb
-Setting up the registry
+INFO 2021-12-22 11:36:42,518 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2299: Setting up the registry
-Setting up the privileges database
+INFO 2021-12-22 11:36:43,137 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2302: Setting up the privileges database
-Setting up idmap db
+INFO 2021-12-22 11:36:43,568 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2305: Setting up idmap db
-Setting up SAM db
+INFO 2021-12-22 11:36:43,783 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2312: Setting up SAM db
-Setting up sam.ldb partitions and settings
+INFO 2021-12-22 11:36:43,832 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #897: Setting up sam.ldb partitions and settings
-Setting up sam.ldb rootDSE
+INFO 2021-12-22 11:36:43,833 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #909: Setting up sam.ldb rootDSE
-Pre-loading the Samba 4 and AD schema
+INFO 2021-12-22 11:36:43,899 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1322: Pre-loading the Samba 4 and AD schema
-Adding DomainDN: DC=test-ad,DC=lan
+Unable to determine the DomainSID, can not enforce uniqueness constraint on local domainSIDs
-Adding configuration container
-Setting up sam.ldb schema
-Setting up sam.ldb configuration data
-Setting up display specifiers
-Modifying display specifiers
-Adding users container
-Modifying users container
-Adding computers container
-Modifying computers container
-Setting up sam.ldb data
-Setting up well known security principals
-Setting up sam.ldb users and groups
-Setting up self join
-Adding DNS accounts
-Creating CN=MicrosoftDNS,CN=System,DC=test-ad,DC=lan
-rndc: connect failed: 127.0.0.1#953: connection refused
-rndc: connect failed: 127.0.0.1#953: connection refused
-See /var/lib/samba/private/named.conf for an example configuration include file for BIND
-and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
-Setting up sam.ldb rootDSE marking as synchronized
-Fixing provision GUIDs
-A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
-Setting up fake yp server settings
-Once the above files are installed, your Samba4 server will be ready to use
-Server Role:           active directory domain controller
-Hostname:              pdc
-NetBIOS Domain:        TEST-AD
-DNS Domain:            test-ad.lan
-DOMAIN SID:            S-1-5-21-3956395406-4288503155-3671512556
-root@pdc:~# rm /etc/krb5.conf
+INFO 2021-12-22 11:36:43,984 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1400: Adding DomainDN: DC=test-ad,DC=lan
-root@pdc:~# ln -s /var/lib/samba/private/krb5.conf /etc/krb5.conf
+INFO 2021-12-22 11:36:44,033 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1432: Adding configuration container
-root@pdc:/var/log# /etc/init.d/samba-ad-dc restart
+INFO 2021-12-22 11:36:44,152 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1447: Setting up sam.ldb schema
-[ ok ] Restarting samba-ad-dc (via systemctl): samba-ad-dc.service.
+INFO 2021-12-22 11:36:47,137 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1465: Setting up sam.ldb configuration data
+INFO 2021-12-22 11:36:47,257 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1506: Setting up display specifiers
+INFO 2021-12-22 11:36:49,112 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1514: Modifying display specifiers and extended rights
+INFO 2021-12-22 11:36:49,145 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1521: Adding users container
+INFO 2021-12-22 11:36:49,147 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1527: Modifying users container
+INFO 2021-12-22 11:36:49,148 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1530: Adding computers container
+INFO 2021-12-22 11:36:49,149 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1536: Modifying computers container
+INFO 2021-12-22 11:36:49,151 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1540: Setting up sam.ldb data
+INFO 2021-12-22 11:36:49,273 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1570: Setting up well known security principals
+INFO 2021-12-22 11:36:49,326 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1584: Setting up sam.ldb users and groups
+INFO 2021-12-22 11:36:49,452 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1592: Setting up self join
+Repacking database from v1 to v2 format (first record CN=ms-DS-Object-Reference,CN=Schema,CN=Configuration,DC=test-ad,DC=lan)
+Repack: re-packed 10000 records so far
+Repacking database from v1 to v2 format (first record CN=trustedDomain-Display,CN=412,CN=DisplaySpecifiers,CN=Configuration,DC=test-ad,DC=lan)
+Repacking database from v1 to v2 format (first record CN=ab402345-d3c3-455d-9ff7-40268a1099b6,CN=Operations,CN=DomainUpdates,CN=System,DC=test-ad,DC=lan)
+INFO 2021-12-22 11:36:50,778 pid:3479 /usr/lib/python3/dist-packages/samba/provision/sambadns.py #1143: Adding DNS accounts
+INFO 2021-12-22 11:36:50,875 pid:3479 /usr/lib/python3/dist-packages/samba/provision/sambadns.py #1177: Creating CN=MicrosoftDNS,CN=System,DC=test-ad,DC=lan
+INFO 2021-12-22 11:36:50,892 pid:3479 /usr/lib/python3/dist-packages/samba/provision/sambadns.py #1190: Creating DomainDnsZones and ForestDnsZones partitions
+INFO 2021-12-22 11:36:50,980 pid:3479 /usr/lib/python3/dist-packages/samba/provision/sambadns.py #1195: Populating DomainDnsZones and ForestDnsZones partitions
+Repacking database from v1 to v2 format (first record DC=k.root-servers.net,DC=RootDNSServers,CN=MicrosoftDNS,DC=DomainDnsZones,DC=test-ad,DC=lan)
+Repacking database from v1 to v2 format (first record DC=_ldap._tcp.dc,DC=_msdcs.test-ad.lan,CN=MicrosoftDNS,DC=ForestDnsZones,DC=test-ad,DC=lan)
+INFO 2021-12-22 11:36:51,470 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2026: Setting up sam.ldb rootDSE marking as synchronized
+INFO 2021-12-22 11:36:51,491 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2031: Fixing provision GUIDs
+INFO 2021-12-22 11:36:52,176 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2364: A Kerberos configuration suitable for Samba AD has been generated at /var/lib/samba/private/krb5.conf
+INFO 2021-12-22 11:36:52,176 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2366: Merge the contents of this file with your system krb5.conf or replace it with this one. Do not create a symlink!
+INFO 2021-12-22 11:36:52,255 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2096: Setting up fake yp server settings
+INFO 2021-12-22 11:36:52,394 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #489: Once the above files are installed, your Samba AD server will be ready to use
+INFO 2021-12-22 11:36:52,394 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #494: Server Role:           active directory domain controller
+INFO 2021-12-22 11:36:52,394 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #495: Hostname:              dc1
+INFO 2021-12-22 11:36:52,394 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #496: NetBIOS Domain:        TEST-AD
+INFO 2021-12-22 11:36:52,395 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #497: DNS Domain:            test-ad.lan
+INFO 2021-12-22 11:36:52,395 pid:3479 /usr/lib/python3/dist-packages/samba/provision/__init__.py #498: DOMAIN SID:            S-1-5-21-1844402430-801422403-354558641
+</file>
+Kopiujemy nadpisując plik /etc/krb5.conf:
+<file>
+cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
 </file>
-=== Bind ===
+Włączamy usługę:
+<file>
+systemctl stop smbd nmbd winbind
+systemctl disable smbd nmbd winbind
+systemctl unmask samba-ad-dc
+systemctl start samba-ad-dc
+systemctl enable samba-ad-dc
+</file>
+Sprawdzamy czy Samba się uruchomiła:
 <file>
-echo "include \"/var/lib/samba/private/named.conf\";" >> /etc/bind/named.conf
+systemctl status samba-ad-dc
 </file>
-Edytujemy plik /etc/apparmor.d/usr.sbin.named i dopisujemy do niego na samym końcu przed }:
+=== DNS ===
+Modyfikujemy plik /etc/hosts:
 <file>
-  # Samba
+.0.0.1       dc1.test-ad.lan dc1
-  /var/lib/samba/private/named.conf r,
-  /var/lib/samba/private/named.conf.update r,
-  /var/lib/samba/private/dns/test-ad.lan.zone r,
 </file>
-I wykonujemy restart AppArmora i Binda:
+Gdzie dc1 to nazwa naszego serwera.
+Edytujemy nasze DNSy w /etc/resolv.conf:
 <file>
-/etc/init.d/apparmor reload
+domain test-ad.lan
-/etc/init.d/bind9 restart
+search test-ad.lan
+nameserver 127.0.0.1
+nameserver 8.8.8.8
 </file>
-Zmieniamy serwer DNS na lokalny.
+=== NTP ===
+Edytujemy /etc/ntp.conf (plik serwera czasu):
+<file>
+...
+server wlasnyserverntp
+...
+ntpsigndsocket /var/lib/samba/ntp_signd/
+...
+restrict default kod nomodify notrap nopeer limited mssntp
+...
+</file>
+Uprawnienia do katalogu oraz restart usługi:
+<file>
+chown root:ntp /var/lib/samba/ntp_signd/
+chmod 750 /var/lib/samba/ntp_signd/
+/etc/init.d/ntp restart
+</file>
 === Udziały sieciowe ===
@@ Linia 130: / Linia 166: @@
 Następnie na systemie plików ustawiamy domyślne uprawnienia:
 <file>
+chmod 775 /path/to/udzial
+chown root:users /path/to/udzial
 setfacl -m g:3000014:rwx /path/to/udzial
 </file>
-Gdzie 3000014 wskazuje na grupę Domain Admins, może być ona inna:
+Gdzie 3000014 wskazuje na grupę Domain Admins, może być ona inna - przykład:
 <file>
-root@pdc:~# wbinfo -n "Domain Admins"
+root@dc1:~# wbinfo -n "Domain Admins"
 S-1-5-21-2989454373-3082771434-955187009-512 SID_DOM_GROUP (2)
-root@pdc:~# wbinfo -Y S-1-5-21-2989454373-3082771434-955187009-512
+root@dc1:~# wbinfo -Y S-1-5-21-2989454373-3082771434-955187009-512
 3000014
 </file>
-Wszystkie grupy mozna wyświetlić za pomocą polecenia:
+Wszystkie grupy można wyświetlić za pomocą polecenia:
 <file>
 samba-tool group list
 </file>
-=== Autostart usługi ===
+Generalnie przydatne polecenie w zarządzaniu Sambą to:
 <file>
-systemctl stop smbd nmbd winbind
+samba-tool
-systemctl disable smbd nmbd winbind
-systemctl unmask samba-ad-dc
-systemctl start samba-ad-dc
-systemctl enable samba-ad-dc
 </file>
@@ Linia 165: / Linia 197: @@
   * Windows 7: [[http://www.microsoft.com/en-us/download/details.aspx?id=7887]]
   * Windows Vista: [[http://www.microsoft.com/en-us/download/details.aspx?id=21090]]
+Aktualnie dla Windows 10 instalowanie narzędzi odbywa się z poziomu: Start -> Ustawienia -> Aplikacje -> Funkcje opcjonalne i dodajemy wyszukując: active directory, zasadami grupy i DNS.
 Podłączenie do domeny:
-Panel sterowania -> System -> Zaawansowane ustawienia systemu -> Nazwa komputera -> Zmień -> Domena: test-ad.lan, OK i restart komputera.
+  * w DNSach ustawiamy adres IP naszego PDC, w sufiks przeszukiwania ustawiamy test-ad.lan
+  * Start -> Ustawienia -> System -> Informacje -> Zaawansowane ustawienia systemu -> Nazwa komputera -> Zmień -> Domena: test-ad.lan (poprosi nas o podanie uprawnień - wpisujemy: administrator oraz hasło, które ustaliliśmy przy tworzeniu domeny - może to też być inny użytkownik, którego stworzyliśmy i jest dodany do odpowiednich grup).
-==== Konfiguracja zapasowego PDC ====
+Po zrestartowaniu komputera domyślnie jest wybrany użytkownik lokalny, klikamy na Inny i wpisujemy nasz login i hasło do domeny. Poniżej pól tekstowych będzie napisane czy logujemy się do domeny (test-ad.lan) czy do komputera (PC123). Jak wpiszemy użytkownika takiego, który jest też lokalnie (np: administrator) to zmieni się miejsce logowania na komputer lokalny., aby wymusić logowanie na użytkownika domenowego należy login poprzedzić nazwą domeny, np: test-ad\administrator.
+Po zalogowaniu należy sprawdzić czy czas jest synchronizowany z serwerem czasu domeny:
+<file>
+w32tm /monitor
+</file>
+==== Konfiguracja zapasowego kontrolera domeny (SDC) ====
 === Instalacja ===
@@ Linia 177: / Linia 219: @@
 === Samba ===
+Stopujemy proces Samby oraz zachowujemy oryginalny plik konfiguracji:
+<file>
+/etc/init.d/smbd stop
+mv /etc/samba/smb.conf /etc/samba/smb.conf.original
+</file>
 Kopiujemy plik z PDC /etc/krb5.conf, w naszym przypadku powinien on wyglądać tak:
@@ Linia 185: / Linia 233: @@
         dns_lookup_realm = false
         dns_lookup_kdc = true
+[realms]
+TEST-AD.LAN = {
+        default_domain = test-ad.lan
+}
+[domain_realm]
+        dc1 = TEST-AD.LAN
+</file>
+Ustawiamy serwer DNS wskazujący na PDC (lub tam gdzie skonfigurowaliśmy DNSy) w pliku /etc/resolv.conf:
+<file>
+domain test-ad.lan
+search test-ad.lan
+nameserver adresipPDC
+nameserver 8.8.8.8
 </file>
-Ustawiamy serwer DNS wskazujący na PDC (lub tam gdzie skonfigurowaliśmy Binda). Sprawdzamy czy widać domenę w sieci:
+Sprawdzamy czy widać domenę w sieci:
 <file>
-root@pdc2:~# kinit administrator
+root@dc2:~# kinit administrator
 Password for administrator@TEST-AD.LAN:
-Warning: Your password will expire in 41 days on wto, 21 mar 2017, 14:29:35
+Warning: Your password will expire in 41 days on wto, 21 mar 2021, 14:29:35
 </file>
-Dodajemy PDC2 do domeny:
+Dodajemy SDC do domeny:
 <file>
-root@pdc2:~# mv /etc/samba/smb.conf /etc/samba/smb.conf.original
+root@dc2:~# samba-tool domain join test-ad.lan DC -U"TEST-AD\administrator" --dns-backend=SAMBA_INTERNAL
-root@pdc2:~# samba-tool domain join test-ad.lan DC -U"TEST-AD\administrator" --dns-backend=SAMBA_INTERNAL
+INFO 2021-12-22 14:17:55,161 pid:3401 /usr/lib/python3/dist-packages/samba/join.py #107: Finding a writeable DC for domain 'test-ad.lan'
-Finding a writeable DC for domain 'test-ad.lan'
+INFO 2021-12-22 14:17:55,167 pid:3401 /usr/lib/python3/dist-packages/samba/join.py #109: Found DC dc1.test-ad.lan
-Found DC pdc.test-ad.lan
 Password for [TEST-AD\administrator]:
-NO DNS zone information found in source domain, not replicating DNS
+INFO 2021-12-22 14:18:01,355 pid:3401 /usr/lib/python3/dist-packages/samba/join.py #1543: workgroup is TEST-AD
-workgroup is TEST-AD
+INFO 2021-12-22 14:18:01,356 pid:3401 /usr/lib/python3/dist-packages/samba/join.py #1546: realm is test-ad.lan
-realm is test-ad.lan
+Adding CN=DC2,OU=Domain Controllers,DC=test-ad,DC=lan
-checking sAMAccountName
+Adding CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test-ad,DC=lan
-Adding CN=PDC2,OU=Domain Controllers,DC=test-ad,DC=lan
+Adding CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test-ad,DC=lan
-Adding CN=PDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test-ad,DC=lan
+Adding SPNs to CN=DC2,OU=Domain Controllers,DC=test-ad,DC=lan
-Adding CN=NTDS Settings,CN=PDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test-ad,DC=lan
+Setting account password for DC2$
-Adding SPNs to CN=PDC2,OU=Domain Controllers,DC=test-ad,DC=lan
-Setting account password for PDC2$
 Enabling account
 Calling bare provision
-Looking up IPv4 addresses
+INFO 2021-12-22 14:18:02,523 pid:3401 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2122: Looking up IPv4 addresses
-Looking up IPv6 addresses
+INFO 2021-12-22 14:18:02,524 pid:3401 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2139: Looking up IPv6 addresses
-No IPv6 address will be assigned
+WARNING 2021-12-22 14:18:02,524 pid:3401 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2146: No IPv6 address will be assigned
-Setting up share.ldb
+INFO 2021-12-22 14:18:02,798 pid:3401 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2290: Setting up share.ldb
-Setting up secrets.ldb
+INFO 2021-12-22 14:18:03,185 pid:3401 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2294: Setting up secrets.ldb
-Setting up the registry
+INFO 2021-12-22 14:18:03,280 pid:3401 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2299: Setting up the registry
-Setting up the privileges database
+INFO 2021-12-22 14:18:03,955 pid:3401 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2302: Setting up the privileges database
-Setting up idmap db
+INFO 2021-12-22 14:18:04,354 pid:3401 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2305: Setting up idmap db
-Setting up SAM db
+INFO 2021-12-22 14:18:04,499 pid:3401 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2312: Setting up SAM db
-Setting up sam.ldb partitions and settings
+INFO 2021-12-22 14:18:04,530 pid:3401 /usr/lib/python3/dist-packages/samba/provision/__init__.py #897: Setting up sam.ldb partitions and settings
-Setting up sam.ldb rootDSE
+INFO 2021-12-22 14:18:04,531 pid:3401 /usr/lib/python3/dist-packages/samba/provision/__init__.py #909: Setting up sam.ldb rootDSE
-Pre-loading the Samba 4 and AD schema
+INFO 2021-12-22 14:18:04,556 pid:3401 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1322: Pre-loading the Samba 4 and AD schema
-A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
+Unable to determine the DomainSID, can not enforce uniqueness constraint on local domainSIDs
+INFO 2021-12-22 14:18:04,618 pid:3401 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2364: A Kerberos configuration suitable for Samba AD has been generated at /var/lib/samba/private/krb5.conf
+INFO 2021-12-22 14:18:04,618 pid:3401 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2366: Merge the contents of this file with your system krb5.conf or replace it with this one. Do not create a symlink!
 Provision OK for domain DN DC=test-ad,DC=lan
 Starting replication
-Schema-DN[CN=Schema,CN=Configuration,DC=test-ad,DC=lan] objects[402/1550] linked_values[0/0]
+Schema-DN[CN=Schema,CN=Configuration,DC=test-ad,DC=lan] objects[402/1739] linked_values[0/0]
-Schema-DN[CN=Schema,CN=Configuration,DC=test-ad,DC=lan] objects[804/1550] linked_values[0/0]
+Schema-DN[CN=Schema,CN=Configuration,DC=test-ad,DC=lan] objects[804/1739] linked_values[0/0]
-Schema-DN[CN=Schema,CN=Configuration,DC=test-ad,DC=lan] objects[1206/1550] linked_values[0/0]
+Schema-DN[CN=Schema,CN=Configuration,DC=test-ad,DC=lan] objects[1206/1739] linked_values[0/0]
-Schema-DN[CN=Schema,CN=Configuration,DC=test-ad,DC=lan] objects[1550/1550] linked_values[0/0]
+Schema-DN[CN=Schema,CN=Configuration,DC=test-ad,DC=lan] objects[1608/1739] linked_values[0/0]
+Schema-DN[CN=Schema,CN=Configuration,DC=test-ad,DC=lan] objects[1739/1739] linked_values[0/0]
 Analyze and apply schema objects
-Partition[CN=Configuration,DC=test-ad,DC=lan] objects[402/1612] linked_values[0/0]
+Partition[CN=Configuration,DC=test-ad,DC=lan] objects[402/1624] linked_values[0/1]
-Partition[CN=Configuration,DC=test-ad,DC=lan] objects[804/1612] linked_values[0/0]
+Partition[CN=Configuration,DC=test-ad,DC=lan] objects[804/1624] linked_values[0/1]
-Partition[CN=Configuration,DC=test-ad,DC=lan] objects[1206/1612] linked_values[0/0]
+Partition[CN=Configuration,DC=test-ad,DC=lan] objects[1206/1624] linked_values[0/1]
-Partition[CN=Configuration,DC=test-ad,DC=lan] objects[1608/1612] linked_values[0/0]
+Partition[CN=Configuration,DC=test-ad,DC=lan] objects[1608/1624] linked_values[0/1]
-Partition[CN=Configuration,DC=test-ad,DC=lan] objects[1612/1612] linked_values[20/0]
+Partition[CN=Configuration,DC=test-ad,DC=lan] objects[1624/1624] linked_values[30/30]
 Replicating critical objects from the base DN of the domain
-Partition[DC=test-ad,DC=lan] objects[98/98] linked_values[23/0]
+Partition[DC=test-ad,DC=lan] objects[97/97] linked_values[23/23]
-Partition[DC=test-ad,DC=lan] objects[372/274] linked_values[23/0]
+Partition[DC=test-ad,DC=lan] objects[274/274] linked_values[24/24]
 Done with always replicated NC (base, config, schema)
+Replicating DC=DomainDnsZones,DC=test-ad,DC=lan
+Partition[DC=DomainDnsZones,DC=test-ad,DC=lan] objects[41/41] linked_values[0/0]
+Replicating DC=ForestDnsZones,DC=test-ad,DC=lan
+Partition[DC=ForestDnsZones,DC=test-ad,DC=lan] objects[18/18] linked_values[0/0]
+Exop on[CN=RID Manager$,CN=System,DC=test-ad,DC=lan] objects[3] linked_values[0]
 Committing SAM database
-Sending DsReplicaUpdateRefs for all the replicated partitions
+Repacking database from v1 to v2 format (first record CN=ms-DS-Object-Reference,CN=Schema,CN=Configuration,DC=test-ad,DC=lan)
-Setting isSynchronized and dsServiceName
+Repack: re-packed 10000 records so far
-Setting up secrets database
+Repacking database from v1 to v2 format (first record CN=trustedDomain-Display,CN=412,CN=DisplaySpecifiers,CN=Configuration,DC=test-ad,DC=lan)
-Joined domain TEST-AD (SID S-1-5-21-3956395406-4288503155-3671512556) as a DC
+Repacking database from v1 to v2 format (first record DC=DESKTOP-6HMOEBR,DC=test-ad.lan,CN=MicrosoftDNS,DC=DomainDnsZones,DC=test-ad,DC=lan)
-root@pdc2:~#
+Repacking database from v1 to v2 format (first record DC=_ldap._tcp.dc,DC=_msdcs.test-ad.lan,CN=MicrosoftDNS,DC=ForestDnsZones,DC=test-ad,DC=lan)
+Repacking database from v1 to v2 format (first record CN=networks,CN=ypServ30,CN=RpcServices,CN=System,DC=test-ad,DC=lan)
+INFO 2021-12-22 14:18:09,664 pid:3401 /usr/lib/python3/dist-packages/samba/join.py #1116: Adding 1 remote DNS records for DC2.test-ad.lan
+INFO 2021-12-22 14:18:09,690 pid:3401 /usr/lib/python3/dist-packages/samba/join.py #1179: Adding DNS A record DC2.test-ad.lan for IPv4 IP: 10.100.1.135
+INFO 2021-12-22 14:18:09,828 pid:3401 /usr/lib/python3/dist-packages/samba/join.py #1207: Adding DNS CNAME record 8bd398ee-2314-45b9-941a-136ee7b81ea4._msdcs.test-ad.lan for DC2.test-ad.lan
+INFO 2021-12-22 14:18:09,967 pid:3401 /usr/lib/python3/dist-packages/samba/join.py #1232: All other DNS records (like _ldap SRV records) will be created samba_dnsupdate on first startup
+INFO 2021-12-22 14:18:09,968 pid:3401 /usr/lib/python3/dist-packages/samba/join.py #1238: Replicating new DNS records in DC=DomainDnsZones,DC=test-ad,DC=lan
+Partition[DC=DomainDnsZones,DC=test-ad,DC=lan] objects[2/2] linked_values[0/0]
+INFO 2021-12-22 14:18:10,026 pid:3401 /usr/lib/python3/dist-packages/samba/join.py #1238: Replicating new DNS records in DC=ForestDnsZones,DC=test-ad,DC=lan
+Partition[DC=ForestDnsZones,DC=test-ad,DC=lan] objects[2/2] linked_values[0/0]
+INFO 2021-12-22 14:18:10,084 pid:3401 /usr/lib/python3/dist-packages/samba/join.py #1253: Sending DsReplicaUpdateRefs for all the replicated partitions
+INFO 2021-12-22 14:18:10,214 pid:3401 /usr/lib/python3/dist-packages/samba/join.py #1283: Setting isSynchronized and dsServiceName
+INFO 2021-12-22 14:18:10,241 pid:3401 /usr/lib/python3/dist-packages/samba/join.py #1298: Setting up secrets database
+INFO 2021-12-22 14:18:10,313 pid:3401 /usr/lib/python3/dist-packages/samba/join.py #1560: Joined domain TEST-AD (SID S-1-5-21-1844402430-801422403-354558641) as a DC
 </file>
-Kopiujemy katalog /var/lib/samba/sysvol z PDC do PDC2 oraz robimy backup pliku na PDC:
+Robimy backup pliku na PDC:
 <file>
 tdbbackup -s .bak /var/lib/samba/private/idmap.ldb
 </file>
-i podmieniamy go na PDC2.
+i podmieniamy go na SDC.
-Resetujemy uprawnienia do katalogu /var/lib/samba/sysvol:
+Dodajemy w /etc/samba/smb.conf:
+<file>
+[global]
+...
+        dns forwarder = 8.8.8.8
+...
+</file>
+Uruchamiamy:
 <file>
-samba-tool ntacl sysvolreset
+systemctl stop smbd nmbd winbind
+systemctl disable smbd nmbd winbind
+systemctl unmask samba-ad-dc
+systemctl start samba-ad-dc
+systemctl enable samba-ad-dc
 </file>
-=== Bind ===
+=== Synchronizacja sysvol ===
-Na PDC szukamy wpisów PDC2:
+Na PDC dopisujemy do /etc/exports:
 <file>
-root@pdc:~# ldbsearch -H /var/lib/samba/private/sam.ldb '(invocationId=*)' --cross-ncs objectguid
+/var/lib/samba/sysvol adresIPSDC(ro,no_root_squash,subtree_check)
-# record 1
+</file>
-dn: CN=NTDS Settings,CN=PDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test-ad,DC=lan
-objectGUID: 17387053-8b0b-40dc-abe7-3fb9d936b5f1
-# record 2
+Oraz na PDC wykonujemy przeładowanie usługi NFS:
-dn: CN=NTDS Settings,CN=PDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test-ad,DC=lan
+<file>
-objectGUID: 468e9819-8b34-4fb7-85ab-34db6b83c789
+exportfs -a
+/etc/init.d/nfs-kernel-server reload
+</file>
-# returned 2 records
+Na SDC tworzymy katalog:
-# 2 entries
+<file>
-# 0 referrals
+mkdir /mnt/dc1_sysvol
-root@pdc:~#
 </file>
-Zapamiętujemy objectGUID rekordu drugiego.
+Na SDC dopisujemy do /etc/fstab zasób sieciowy NFS i montujemy:
+<file>
+echo "adresIPPDC:/var/lib/samba/sysvol /mnt/dc1_sysvol nfs defaults 0 0" >> /etc/fstab
+mount /mnt/dc1_sysvol
+</file>
-Na PDC edytujemy plik /var/lib/samba/private/dns/test-ad.lan.zone i dodajemy na końcu linie:
+Na SDC synchronizujemy oba katalogi:
 <file>
-pdc2        IN A    1.2.3.4 ;IP PDC2
+rsync -a /mnt/dc1_sysvol/ /var/lib/samba/sysvol/
-e9819-8b34-4fb7-85ab-34db6b83c789._msdcs CNAME pdc2
 </file>
-oraz na początku pliku zmieniamy serial. Plik zapisujemy oraz restartujemy Binda:
+Resetujemy uprawnienia do sysvol:
+<file>
+samba-tool ntacl sysvolreset
+</file>
+Dopisujemy do crona synchronizację do pliku /etc/crontab:
 <file>
-/etc/init.d/bind9 restart
+echo "15 * * * *      root    rsync -a /mnt/dc1_sysvol/ /var/lib/samba/sysvol/ && samba-tool ntacl sysvolreset" >> /etc/crontab
 </file>
-Sprawdzamy czy poprawnie są rozwiązywane nazwy:
+Przeładowujemy crona:
+<file>
+/etc/init.d/cron reload
+</file>
+=== DNS ===
+Zmieniamy /etc/resolv.conf:
 <file>
-root@pdc:~# host -t CNAME 17387053-8b0b-40dc-abe7-3fb9d936b5f1._msdcs.test-ad.lan.
+domain test-ad.lan
-17387053-8b0b-40dc-abe7-3fb9d936b5f1._msdcs.test-ad.lan is an alias for pdc.test-ad.lan.
+search test-ad.lan
-root@pdc:~# host -t CNAME 468e9819-8b34-4fb7-85ab-34db6b83c789._msdcs.test-ad.lan.
+nameserver 127.0.0.1
-e9819-8b34-4fb7-85ab-34db6b83c789._msdcs.test-ad.lan is an alias for pdc2.test-ad.lan.
+nameserver 8.8.8.8
-root@pdc:~# host -t A pdc2.test-ad.lan.
-pdc2.test-ad.lan has address 1.2.3.4
 </file>
-=== Samba uruchomienie i sprawdzenie ===
+=== NTP ===
-Uruchomienia:
+Edytujemy /etc/ntp.conf (plik serwera czasu):
 <file>
-/etc/init.d/samba-ad-dc start
+...
+server wlasnyserverntp
+...
+ntpsigndsocket /var/lib/samba/ntp_signd/
+...
+restrict default kod nomodify notrap nopeer limited mssntp
+...
 </file>
-Replikacja:
+Uprawnienia do katalogu oraz restart usługi:
+<file>
+chown root:ntp /var/lib/samba/ntp_signd/
+chmod 750 /var/lib/samba/ntp_signd/
+/etc/init.d/ntp restart
+</file>
+=== Sprawdzenie replikacji ===
+Przykład:
 <file>
-root@pdc2:/var/lib/samba/sysvol# samba-tool drs showrepl
+root@sdc:/var/lib/samba/sysvol# samba-tool drs showrepl
 Default-First-Site-Name\PDC2
 DSA Options: 0x00000001
@@ Linia 446: / Linia 565: @@
 chmod 775 /path/to/share
 chown root:users /path/to/share
+</file>
+=== Problem z uprawnieniami udziału sieciowego - brak zakładki ===
+Jeśli nie widać zakładki z uprawnieniami udziału sieciowego w jego właściwościach to zapewne do serwera dostaliśmy się poprzez \\test-ad.lan - wystarczy wpisać po IP: \\1.2.3.4 lub po samej nazwie: \\dc1
+=== Zbyt długie logowanie się do systemu ===
+Wiele może być przyczyn, ale u mnie pomogło usunięcie wszystkiego z Tempów: C:\Users\user\AppData\Local\Temp
+=== Zmiana danych użytkownika ===
+Służą do tego narzędzia takie jak:
+<file>
+ldbsearch
+ldbedit
+ldbrename
+</file>
+Najpierw wyszukujemy:
+<file>
+ldbrename -H /var/lib/samba/private/sam.ldb 'sAMAccountName=loginuzytkownika'
+</file>
+Edycja danych - uwaga, nie wszystkie dane da radę edytować i należy robić to z rozwagą!!!:
+<file>
+ldbedit -H /var/lib/samba/private/sam.ldb 'sAMAccountName=loginuzytkownika'
+</file>
+Zmiana nazwy użytkownika (imię i nazwisko):
+<file>
+ldbrename -H /var/lib/samba/private/sam.ldb "CN=User Name,OU=Spedycja,DC=test-ad,DC=lan" "CN=NewUser NewName,OU=Spedycja,DC=test-ad,DC=lan"
 </file>

kamil.orchia.pl

Narzędzia użytkownika

Narzędzia witryny

Różnice

Narzędzia strony