Różnice między wybraną wersją a wersją aktualną.
Poprzednia rewizja po obu stronachPoprzednia wersjaNowa wersja | Poprzednia wersja | ||
samba_-_domena_ad [2021/12/23 10:13] – kamil | samba_-_domena_ad [2022/06/14 09:46] (aktualna) – kamil | ||
---|---|---|---|
Linia 36: | Linia 36: | ||
</ | </ | ||
- | Podczas wykonania powyższego polecenia zostaniemy zapytani o nazwę domeny, moja domena to: test-ad.lan. Zostaniemy też zapytani o serwer DNS - wybieramy domyślny czyli SAMBA_INTERNAL - umożliwi to nam zarządzanie DNSami przystawką DNS z poziomu Windowsa. DNS Forwarder to serwery DNS, które będą odpytywane dla wszystkiego | + | Podczas wykonania powyższego polecenia zostaniemy zapytani o nazwę domeny, moja domena to: test-ad.lan. Zostaniemy też zapytani o serwer DNS - wybieramy domyślny czyli SAMBA_INTERNAL - umożliwi to nam zarządzanie DNSami przystawką DNS z poziomu Windowsa. DNS Forwarder to serwery DNS, które będą odpytywane dla wszystkiego |
Przykładowy log: | Przykładowy log: | ||
Linia 205: | Linia 205: | ||
* Start -> Ustawienia -> System -> Informacje -> Zaawansowane ustawienia systemu -> Nazwa komputera -> Zmień -> Domena: test-ad.lan (poprosi nas o podanie uprawnień - wpisujemy: administrator oraz hasło, które ustaliliśmy przy tworzeniu domeny - może to też być inny użytkownik, | * Start -> Ustawienia -> System -> Informacje -> Zaawansowane ustawienia systemu -> Nazwa komputera -> Zmień -> Domena: test-ad.lan (poprosi nas o podanie uprawnień - wpisujemy: administrator oraz hasło, które ustaliliśmy przy tworzeniu domeny - może to też być inny użytkownik, | ||
- | Po zrestartowaniu komputera domyślnie jest wybrany użytkownik lokalny, klikamy na Inny i wpisujemy nasz login i hasło do domeny. Poniżej pól tekstowych będzie napisane czy logujemy się do domeny (test-ad.lan) czy do komputera (PC123). Jak wpiszemy użytkownika takiego, który jest też lokalnie (np: administrator) to zmieni się miejsce logowania na komputer lokalny., aby wymusić logowanie na użytkownika domenowego należy login poprzedzić nazwą domeny, np: test-ad.lan\administrator. | + | Po zrestartowaniu komputera domyślnie jest wybrany użytkownik lokalny, klikamy na Inny i wpisujemy nasz login i hasło do domeny. Poniżej pól tekstowych będzie napisane czy logujemy się do domeny (test-ad.lan) czy do komputera (PC123). Jak wpiszemy użytkownika takiego, który jest też lokalnie (np: administrator) to zmieni się miejsce logowania na komputer lokalny., aby wymusić logowanie na użytkownika domenowego należy login poprzedzić nazwą domeny, np: test-ad\administrator. |
Po zalogowaniu należy sprawdzić czy czas jest synchronizowany z serwerem czasu domeny: | Po zalogowaniu należy sprawdzić czy czas jest synchronizowany z serwerem czasu domeny: | ||
Linia 212: | Linia 212: | ||
</ | </ | ||
- | ==== Konfiguracja zapasowego | + | ==== Konfiguracja zapasowego |
=== Instalacja === | === Instalacja === | ||
Linia 219: | Linia 219: | ||
=== Samba === | === Samba === | ||
+ | |||
+ | Stopujemy proces Samby oraz zachowujemy oryginalny plik konfiguracji: | ||
+ | < | ||
+ | / | ||
+ | mv / | ||
+ | </ | ||
Kopiujemy plik z PDC / | Kopiujemy plik z PDC / | ||
Linia 227: | Linia 233: | ||
dns_lookup_realm = false | dns_lookup_realm = false | ||
dns_lookup_kdc = true | dns_lookup_kdc = true | ||
+ | |||
+ | [realms] | ||
+ | TEST-AD.LAN = { | ||
+ | default_domain = test-ad.lan | ||
+ | } | ||
+ | |||
+ | [domain_realm] | ||
+ | dc1 = TEST-AD.LAN | ||
</ | </ | ||
- | Ustawiamy serwer DNS wskazujący na PDC (lub tam gdzie skonfigurowaliśmy | + | Ustawiamy serwer DNS wskazujący na PDC (lub tam gdzie skonfigurowaliśmy |
+ | < | ||
+ | domain test-ad.lan | ||
+ | search test-ad.lan | ||
+ | nameserver adresipPDC | ||
+ | nameserver 8.8.8.8 | ||
+ | </ | ||
+ | |||
+ | Sprawdzamy czy widać domenę w sieci: | ||
< | < | ||
- | root@pdc:~# / | + | root@dc2:~# kinit administrator |
- | [ ok ] Stopping smbd (via systemctl): smbd.service. | + | |
- | root@pdc2:~# kinit administrator | + | |
Password for administrator@TEST-AD.LAN: | Password for administrator@TEST-AD.LAN: | ||
- | Warning: Your password will expire in 41 days on wto, 21 mar 2017, 14:29:35 | + | Warning: Your password will expire in 41 days on wto, 21 mar 2021, 14:29:35 |
</ | </ | ||
- | Dodajemy | + | Dodajemy |
< | < | ||
- | root@pdc2:~# mv / | + | root@dc2:~# samba-tool domain join test-ad.lan DC -U" |
- | root@pdc2:~# samba-tool domain join test-ad.lan DC -U" | + | INFO 2021-12-22 14: |
- | Finding a writeable DC for domain ' | + | INFO 2021-12-22 14: |
- | Found DC pdc.test-ad.lan | + | |
Password for [TEST-AD\administrator]: | Password for [TEST-AD\administrator]: | ||
- | NO DNS zone information found in source domain, not replicating DNS | + | INFO 2021-12-22 14:18:01,355 pid:3401 / |
- | workgroup is TEST-AD | + | INFO 2021-12-22 14: |
- | realm is test-ad.lan | + | Adding CN=DC2,OU=Domain Controllers, |
- | checking sAMAccountName | + | Adding CN=DC2, |
- | Adding CN=PDC2,OU=Domain Controllers, | + | Adding CN=NTDS Settings, |
- | Adding CN=PDC2, | + | Adding SPNs to CN=DC2,OU=Domain Controllers, |
- | Adding CN=NTDS Settings, | + | Setting account password for DC2$ |
- | Adding SPNs to CN=PDC2,OU=Domain Controllers, | + | |
- | Setting account password for PDC2$ | + | |
Enabling account | Enabling account | ||
Calling bare provision | Calling bare provision | ||
- | Looking up IPv4 addresses | + | INFO 2021-12-22 14: |
- | Looking up IPv6 addresses | + | INFO 2021-12-22 14: |
- | No IPv6 address will be assigned | + | WARNING 2021-12-22 14: |
- | Setting up share.ldb | + | INFO 2021-12-22 14: |
- | Setting up secrets.ldb | + | INFO 2021-12-22 14: |
- | Setting up the registry | + | INFO 2021-12-22 14: |
- | Setting up the privileges database | + | INFO 2021-12-22 14: |
- | Setting up idmap db | + | INFO 2021-12-22 14: |
- | Setting up SAM db | + | INFO 2021-12-22 14: |
- | Setting up sam.ldb partitions and settings | + | INFO 2021-12-22 14: |
- | Setting up sam.ldb rootDSE | + | INFO 2021-12-22 14: |
- | Pre-loading the Samba 4 and AD schema | + | INFO 2021-12-22 14: |
- | A Kerberos configuration suitable for Samba 4 has been generated at / | + | Unable to determine the DomainSID, can not enforce uniqueness constraint on local domainSIDs |
+ | |||
+ | INFO 2021-12-22 14: | ||
+ | INFO 2021-12-22 14: | ||
Provision OK for domain DN DC=test-ad, | Provision OK for domain DN DC=test-ad, | ||
Starting replication | Starting replication | ||
- | Schema-DN[CN=Schema, | + | Schema-DN[CN=Schema, |
- | Schema-DN[CN=Schema, | + | Schema-DN[CN=Schema, |
- | Schema-DN[CN=Schema, | + | Schema-DN[CN=Schema, |
- | Schema-DN[CN=Schema, | + | Schema-DN[CN=Schema, |
+ | Schema-DN[CN=Schema, | ||
Analyze and apply schema objects | Analyze and apply schema objects | ||
- | Partition[CN=Configuration, | + | Partition[CN=Configuration, |
- | Partition[CN=Configuration, | + | Partition[CN=Configuration, |
- | Partition[CN=Configuration, | + | Partition[CN=Configuration, |
- | Partition[CN=Configuration, | + | Partition[CN=Configuration, |
- | Partition[CN=Configuration, | + | Partition[CN=Configuration, |
Replicating critical objects from the base DN of the domain | Replicating critical objects from the base DN of the domain | ||
- | Partition[DC=test-ad, | + | Partition[DC=test-ad, |
- | Partition[DC=test-ad, | + | Partition[DC=test-ad, |
Done with always replicated NC (base, config, schema) | Done with always replicated NC (base, config, schema) | ||
+ | Replicating DC=DomainDnsZones, | ||
+ | Partition[DC=DomainDnsZones, | ||
+ | Replicating DC=ForestDnsZones, | ||
+ | Partition[DC=ForestDnsZones, | ||
+ | Exop on[CN=RID Manager$, | ||
Committing SAM database | Committing SAM database | ||
- | Sending DsReplicaUpdateRefs for all the replicated partitions | + | Repacking database from v1 to v2 format (first record CN=ms-DS-Object-Reference, |
- | Setting isSynchronized and dsServiceName | + | Repack: re-packed 10000 records so far |
- | Setting up secrets database | + | Repacking database from v1 to v2 format (first record CN=trustedDomain-Display, |
- | Joined domain TEST-AD (SID S-1-5-21-3956395406-4288503155-3671512556) as a DC | + | Repacking database from v1 to v2 format (first record DC=DESKTOP-6HMOEBR, |
- | root@pdc2: | + | Repacking database from v1 to v2 format (first record DC=_ldap._tcp.dc, |
+ | Repacking database from v1 to v2 format (first record CN=networks, | ||
+ | INFO 2021-12-22 14: | ||
+ | INFO 2021-12-22 14: | ||
+ | INFO 2021-12-22 14: | ||
+ | INFO 2021-12-22 14: | ||
+ | INFO 2021-12-22 14: | ||
+ | Partition[DC=DomainDnsZones, | ||
+ | INFO 2021-12-22 14: | ||
+ | Partition[DC=ForestDnsZones, | ||
+ | INFO 2021-12-22 14: | ||
+ | INFO 2021-12-22 14: | ||
+ | INFO 2021-12-22 14: | ||
+ | INFO 2021-12-22 14: | ||
</ | </ | ||
- | Kopiujemy katalog / | + | Robimy |
< | < | ||
tdbbackup -s .bak / | tdbbackup -s .bak / | ||
</ | </ | ||
- | i podmieniamy go na PDC2. | + | i podmieniamy go na SDC. |
- | Resetujemy uprawnienia do katalogu | + | Dodajemy w /etc/samba/smb.conf: |
+ | < | ||
+ | [global] | ||
+ | ... | ||
+ | dns forwarder = 8.8.8.8 | ||
+ | ... | ||
+ | </ | ||
+ | Uruchamiamy: | ||
< | < | ||
- | samba-tool ntacl sysvolreset | + | systemctl stop smbd nmbd winbind |
+ | systemctl disable smbd nmbd winbind | ||
+ | systemctl unmask | ||
+ | systemctl start samba-ad-dc | ||
+ | systemctl enable samba-ad-dc | ||
</ | </ | ||
- | === Bind === | + | === Synchronizacja sysvol |
- | Na PDC szukamy wpisów PDC2: | + | Na PDC dopisujemy do / |
< | < | ||
- | root@pdc:~# ldbsearch -H / | + | / |
- | # record 1 | + | </ |
- | dn: CN=NTDS Settings,CN=PDC,CN=Servers, | + | |
- | objectGUID: 17387053-8b0b-40dc-abe7-3fb9d936b5f1 | + | |
- | # record 2 | + | Oraz na PDC wykonujemy przeładowanie usługi NFS: |
- | dn: CN=NTDS Settings, | + | < |
- | objectGUID: 468e9819-8b34-4fb7-85ab-34db6b83c789 | + | exportfs |
+ | / | ||
+ | </ | ||
- | # returned 2 records | + | Na SDC tworzymy katalog: |
- | # 2 entries | + | < |
- | # 0 referrals | + | mkdir / |
- | root@pdc:~# | + | |
</ | </ | ||
- | Zapamiętujemy objectGUID rekordu drugiego. | + | Na SDC dopisujemy do /etc/fstab zasób sieciowy NFS i montujemy: |
+ | < | ||
+ | echo " | ||
+ | mount / | ||
+ | </ | ||
- | Na PDC edytujemy plik / | + | Na SDC synchronizujemy oba katalogi: |
< | < | ||
- | pdc2 IN A 1.2.3.4 ;IP PDC2 | + | rsync -a / |
- | 468e9819-8b34-4fb7-85ab-34db6b83c789._msdcs CNAME pdc2 | + | |
</ | </ | ||
- | oraz na początku pliku zmieniamy serial. Plik zapisujemy oraz restartujemy Binda: | + | Resetujemy uprawnienia do sysvol: |
+ | < | ||
+ | samba-tool ntacl sysvolreset | ||
+ | </ | ||
+ | Dopisujemy do crona synchronizację do pliku / | ||
< | < | ||
- | /etc/init.d/bind9 restart | + | echo "15 * * * * root rsync -a /mnt/dc1_sysvol/ / |
</ | </ | ||
- | Sprawdzamy czy poprawnie są rozwiązywane nazwy: | + | Przeładowujemy crona: |
+ | < | ||
+ | / | ||
+ | </ | ||
+ | === DNS === | ||
+ | |||
+ | Zmieniamy / | ||
< | < | ||
- | root@pdc:~# host -t CNAME 17387053-8b0b-40dc-abe7-3fb9d936b5f1._msdcs.test-ad.lan. | + | domain |
- | 17387053-8b0b-40dc-abe7-3fb9d936b5f1._msdcs.test-ad.lan | + | search |
- | root@pdc:~# host -t CNAME 468e9819-8b34-4fb7-85ab-34db6b83c789._msdcs.test-ad.lan. | + | nameserver 127.0.0.1 |
- | 468e9819-8b34-4fb7-85ab-34db6b83c789._msdcs.test-ad.lan is an alias for pdc2.test-ad.lan. | + | nameserver 8.8.8.8 |
- | root@pdc:~# host -t A pdc2.test-ad.lan. | + | |
- | pdc2.test-ad.lan has address 1.2.3.4 | + | |
</ | </ | ||
- | === Samba uruchomienie i sprawdzenie | + | === NTP === |
- | Uruchomienia: | + | Edytujemy / |
< | < | ||
- | /etc/init.d/samba-ad-dc start | + | ... |
+ | server wlasnyserverntp | ||
+ | ... | ||
+ | ntpsigndsocket | ||
+ | ... | ||
+ | restrict default kod nomodify notrap nopeer limited mssntp | ||
+ | ... | ||
</ | </ | ||
- | Replikacja: | + | Uprawnienia do katalogu oraz restart usługi: |
+ | < | ||
+ | chown root:ntp / | ||
+ | chmod 750 / | ||
+ | / | ||
+ | </ | ||
+ | |||
+ | === Sprawdzenie replikacji === | ||
+ | |||
+ | Przykład: | ||
< | < | ||
- | root@pdc2:/ | + | root@sdc:/ |
Default-First-Site-Name\PDC2 | Default-First-Site-Name\PDC2 | ||
DSA Options: 0x00000001 | DSA Options: 0x00000001 | ||
Linia 491: | Linia 566: | ||
chown root:users / | chown root:users / | ||
</ | </ | ||
+ | |||
+ | === Problem z uprawnieniami udziału sieciowego - brak zakładki === | ||
+ | |||
+ | Jeśli nie widać zakładki z uprawnieniami udziału sieciowego w jego właściwościach to zapewne do serwera dostaliśmy się poprzez \\test-ad.lan - wystarczy wpisać po IP: \\1.2.3.4 lub po samej nazwie: \\dc1 | ||
+ | |||
+ | === Zbyt długie logowanie się do systemu === | ||
+ | |||
+ | Wiele może być przyczyn, ale u mnie pomogło usunięcie wszystkiego z Tempów: C: | ||
=== Zmiana danych użytkownika === | === Zmiana danych użytkownika === |