samba/2ndDC をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
ドメインコントローラを複数建てて、冗長構成を取ってみる
参照 [[https://wiki.samba.org/index.php/Joining_a_Samba_D...
***2台目DCの構築 [#e4aaa76a]
既存のsybyl.localドメインに2台目のドメインコントローラを...
IPアドレスの設定はDHCP由来ではなく、staticに設定します
|BGCOLOR(YELLOW):役目|BGCOLOR(YELLOW):ホスト名|BGCOLOR(YE...
|1台目 DC|c.sybyl.local|192.168.0.3|CentOS7.3|c.sybyl.lo...
|2台目 DC|2nd.sybyl.local|192.168.0.33|CentOS7.3|&color(...
&color(red){*};&size(10){DC作成完了後に変更されます};
/etc/hostsファイルは、自身のアドレスのみで可
#code(nonumber){{
[root@2nd ~]# cat /etc/hosts
127.0.0.1 localhost.localdomain localhost
192.168.0.33 2nd.sybyl.local 2nd
[root@2nd ~]#
}}
/etc/resolv.confファイルは、まずは既設DCを参照させる。
変更は nmtui で行って systemctl restart NetworkManager で...
#code(nonumber){{
[root@2nd ~]# cat /etc/resolv.conf
# Generated by NetworkManager
search sybyl.local
nameserver 192.168.0.3
[root@2nd ~]# host -t A c.sybyl.local
c.sybyl.local has address 192.168.0.3
[root@2nd ~]#
}}
***sambaのインストール [#e1460d0d]
[[samba]] や [[samba/update]] を参考に、インストールまで...
まず、既存のyumでインストールされているsmaba関係を削除し...
#code(nonumber){{
[root@2nd ~]# yum remove samba samba-common samba-client-...
[root@2nd ~]# vi /etc/yum.conf
:
exclude=samba samba-common samba-client-libs samba-common...
}}
そして、
#code(nonumber){{
[root@2nd ~]# mkdir /opt/src && cd /opt/src
[root@2nd src]# curl -O https://download.samba.org/pub/sa...
[root@2nd src]# gzip -cd samba-4.5.5.tar.gz | tar xf - &&...
[root@2nd samba-4.5.5]# export PATH=/sbin:/bin:/usr/sbin:...
[root@2nd samba-4.5.5]# ./configure --prefix=/opt/samba &...
[root@2nd samba-4.5.5]# cp ./packaging/systemd/samba.sysc...
[root@2nd samba-4.5.5]# cp ./packaging/systemd/samba.serv...
}}
と自動起動ファイルを用意して、インストール場所に合わせて...
#code(diff,nonumber){{
[root@2nd samba-4.5.5]# diff -u ./packaging/systemd/samb...
--- ./packaging/systemd/samba.service 2016-08-11 16:51:...
+++ /etc/systemd/system/samba.service 2017-02-09 07:59:...
@@ -5,10 +5,10 @@
[Service]
Type=notify
NotifyAccess=all
-PIDFile=/run/samba.pid
+PIDFile=/opt/samba/var/run/samba.pid
LimitNOFILE=16384
EnvironmentFile=-/etc/sysconfig/samba
-ExecStart=/usr/sbin/samba $SAMBAOPTIONS
+ExecStart=/opt/samba/sbin/samba $SAMBAOPTIONS
ExecReload=/usr/bin/kill -HUP $MAINPID
[Install]
[root@2nd samba-4.5.5]#
}}
systemctlに読み込ませて
#code(nonumber){{
[root@2nd samba-4.5.5]# systemctl daemon-reload
[root@2nd samba-4.5.5]# systemctl status samba.service
● samba.service - Samba AD Daemon
Loaded: loaded (/etc/systemd/system/samba.service; dis...
Active: inactive (dead)
[root@2nd samba-4.5.5]#
}}
自動起動はこの段階では無効にします。&size(10){あとで有効...
***Kerberosの設定 [#k76b2cbc]
/etc/krb5.confファイルは、既設DCと同じにする。dnsの動的更...
ただ、DNS Backendにinternal DNSを使用しているなら不要かな...
#code(nonumber){{
[root@2nd ~]# cat /etc/krb5.conf
[libdefaults]
default_realm = SYBYL.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = true
[root@2nd ~]# kinit administrator
Password for administrator@SYBYL.LOCAL:
[root@2nd ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@SYBYL.LOCAL
Valid starting Expires Service principal
2017-02-12T00:54:00 2017-02-12T10:54:00 krbtgt/SYBYL.LO...
renew until 2017-02-13T00:53:55
[root@2nd ~]#
}}
***既設ドメインへDCとして参加 [#t2415456]
SYBYL.LOCALドメインに DC として参加。この新設DCで使用する...
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool domain join SYBYL...
Finding a writeable DC for domain 'SYBYL.LOCAL'
Found DC c.sybyl.local
Password for [WORKGROUP\administrator]: <--- 既設DC...
workgroup is SYBYL
realm is sybyl.local
Adding CN=2ND,OU=Domain Controllers,DC=sybyl,DC=local
Adding CN=2ND,CN=Servers,CN=Default-First-Site-Name,CN=Si...
Adding CN=NTDS Settings,CN=2ND,CN=Servers,CN=Default-Firs...
Adding SPNs to CN=2ND,OU=Domain Controllers,DC=sybyl,DC=l...
Setting account password for 2ND$
Enabling account
(中略)
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partit...
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain SYBYL (SID S-1-5-21-2388220492-3765384844-3...
[root@2nd ~]#
}}
「&color(red){Password for [WORKGROUP\administrator]:};」...
登録できたかをリモートサーバ管理ツールの「ActiveDirectory...
&ref(2015y12m29d_220939315.png,nolink);
一応ドメインコントローラとして登録されたようだ。
&color(red){*};失敗して、再実行するには
#code(nonumber){{
[root@2nd ~]# rm -rf /opt/samba/etc/smb.conf
[root@2nd ~]# rm -rf /opt/samba/private/*
[root@2nd ~]# rm -rf /opt/samba/var/{cache,lib,lock,locks...
}}
としてから samba-tool domain join を行う
***Aレコード確認 [#k35ad4ac]
さらに別に視点からドメインコントローラが登録されたかを確...
まず、2nd.sybyl.localにてDNSレコードを確認します
&color(red){*};&size(10){/etc/resolv.confは、c.sybyl.loca...
#code(nonumber){{
[root@2nd ~]# host -t A 2nd.sybyl.local
2nd.sybyl.local has address 192.168.0.33
[root@2nd ~]#
}}
とDNSに登録されてます。
&color(red){*};&size(10){以前はできなかったのだが、改修さ...
もし登録されていないなら下記コマンドを実行してAレコード...
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool dns add C sybyl.l...
}}
***CNAMEレコード確認 [#h364e244]
次に、2nd.sybyl.localのobjectGUIDのCNAMEを確認します。
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/ldbsearch -H /opt/samba/priv...
# record 1
dn: CN=NTDS Settings,CN=2ND,CN=Servers,CN=Default-First-S...
objectGUID: 3b7b40ad-0ff4-45c6-ba25-d7f9df05f89d
# record 2
dn: CN=NTDS Settings,CN=C,CN=Servers,CN=Default-First-Sit...
objectGUID: 9a0ca03e-d59f-41fe-a627-5c407fb56064
# returned 2 records
# 2 entries
# 0 referrals
[root@2nd ~]#
}}
これから 2nd.sybyl.localのobjectGUIDは&color(red){3b7b40a...
このobjectGUIDのCNAMEがあるかを確認してみる。
#code(nonumber){{
[root@2nd ~]# host -t CNAME 3b7b40ad-0ff4-45c6-ba25-d7f9d...
Host 3b7b40ad-0ff4-45c6-ba25-d7f9df05f89d._msdcs.sybyl.lo...
[root@2nd ~]#
}}
こちらは残念ながら存在しない。なので手動でDCに登録して、...
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool dns add C _msdcs....
CNAM...
Password for [SYBYL\administrator]: <--- 既設DC...
Record added successfully
[root@2nd ~]# host -t CNAME 3b7b40ad-0ff4-45c6-ba25-d7f9d...
3b7b40ad-0ff4-45c6-ba25-d7f9df05f89d._msdcs.sybyl.local i...
[root@2nd ~]#
}}
***Built-in Groups GID Mappings [#ie968714]
ガイドによれば、既設DCにて
#code(nonumber){{
[root@c ~]# /opt/samba/bin/tdbbackup -s .bsk /opt/samba/p...
[root@c ~]# ls -l /opt/samba/private/idmap.ldb*
-rw------- 1 root root 1609728 2月 2 00:10 /opt/samba/p...
-rw------- 1 root root 114688 2月 12 07:00 /opt/samba/p...
[root@c ~]#
}}
と行って、 &color(red){/opt/samba/private/idmap.ldb.bsk};...
#code(number){{
[root@c ~]# scp /opt/samba/private/idmap.ldb.bsk root@...
[root@c ~]# rm /opt/samba/private/idmap.ldb.bsk
}}
そして、sysvolのaclを調整します。だが、、、エラーが発生する
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool ntacl sysvolreset
open: error=2 (No such file or directory)
ERROR(runtime): uncaught exception - (-1073741823, 'Undet...
File "/opt/samba/lib64/python2.7/site-packages/samba/ne...
return self.run(*args, **kwargs)
File "/opt/samba/lib64/python2.7/site-packages/samba/ne...
lp, use_ntvfs=use_ntvfs)
File "/opt/samba/lib64/python2.7/site-packages/samba/pr...
set_gpos_acl(sysvol, dnsdomain, domainsid, domaindn, ...
File "/opt/samba/lib64/python2.7/site-packages/samba/pr...
use_ntvfs=use_ntvfs, skip_invalid_chown=True, passdb=...
File "/opt/samba/lib64/python2.7/site-packages/samba/nt...
smbd.set_nt_acl(file, security.SECINFO_OWNER | securi...
[root@2nd ~]#
}}
エラーの最終行からどこかのフォルダのアクセス権なのかと思...
気になる点は、新設DCに /opt/samba/var/locks/sysvol/sybyl....
回避方法は、既設DCの''sysvol''フォルダ以下を全て新設DCに...
&size(10){参照先 https://wiki.samba.org/index.php/Rsync_b...
#code(nonumber){{
[root@c ~]# rsync -XAavz --delete-after /opt/samba/var/lo...
root@ad's password:
building file list ... done
./
sybyl.local/
sybyl.local/Policies/
sybyl.local/Policies/{31B2F340-016D-11D2-945F-00C04FB984F...
sybyl.local/Policies/{31B2F340-016D-11D2-945F-00C04FB984F...
sybyl.local/Policies/{31B2F340-016D-11D2-945F-00C04FB984F...
sybyl.local/Policies/{31B2F340-016D-11D2-945F-00C04FB984F...
sybyl.local/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F...
sybyl.local/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F...
sybyl.local/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F...
sybyl.local/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F...
sybyl.local/scripts/
sent 10047 bytes received 122 bytes 4067.60 bytes/sec
total size is 40 speedup is 0.00
[root@c ~]#
}}
コピー後に、新設DCにて
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool ntacl sysvolreset
}}
エラーなく完了する
&color(white,blue){留意};rsyncの時に「rsync: rsync_xal_se...
***新設DCの samba を起動 [#r9e59244]
&color(white,blue){留意};
-sambaの起動の前に既設DCの /opt/samba/etc/smb.conf の内容...
[global]、[netlogon]、[sysvol]セクションのみ。[global]セ...
&size(10){新設DCでは「netbios name = 2ND」と初期smb.conf...
-既設DCで guest アカウントの運用があるなら、その項目を外...
そして起動。
#code(nonumber){{
[root@2nd ~]# systemctl start samba
}}
&color(red){*};&size(10){journalctl -u sambaでエラーがな...
&color(red){*};&size(10){起動ファイルの設定は[[samba]]参...
***同期確認 [#mc3004ce]
新設DCを稼働すると、自動的に他のDCから情報を引っ張ってく...
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool drs showrepl
Default-First-Site-Name\2ND
DSA Options: 0x00000001
DSA object GUID: 3b7b40ad-0ff4-45c6-ba25-d7f9df05f89d
DSA invocationId: c78e4070-2135-49de-98ee-bc9b7a8bbcc3
==== INBOUND NEIGHBORS ====
CN=Schema,CN=Configuration,DC=sybyl,DC=local
Default-First-Site-Name\C via RPC
DSA object GUID: 9a0ca03e-d59f-41fe-a627-...
Last attempt @ Sun Feb 12 10:07:12 2017 J...
0 consecutive failure(s).
Last success @ Sun Feb 12 10:07:12 2017 JST
(略)
==== OUTBOUND NEIGHBORS ====
CN=Schema,CN=Configuration,DC=sybyl,DC=local
Default-First-Site-Name\C via RPC
DSA object GUID: 9a0ca03e-d59f-41fe-a627-...
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
(略)
==== KCC CONNECTION OBJECTS ====
Connection --
Connection name: 2c316e21-d6df-4b5e-9cd4-8737b5ad...
Enabled : TRUE
Server DNS name : c.sybyl.local
Server DN name : CN=NTDS Settings,CN=C,CN=Server...
TransportType: RPC
options: 0x00000001
Warning: No NC replicated for Connection!
[root@2nd ~]#
}}
と「&color(darkorange){==== INBOUND NEIGHBORS ====};」 と...
&color(red){*};&size(10){同期に3分くらい掛かりました};
&color(red){*};&size(10){3分以上経っても同期しないのなら...
&color(white,blue){留意};
同期されず、「/opt/samba/sbin/samba -i -d3」とかで稼動さ...
「&color(red){GSS server Update(krb5)(1) Update failed: ...
***新設DCの/etc/resolv.confを再設定 [#ac7bae2c]
新設DCの samba internal DNS の動作確認を先ずは行ってみる
#code(nonumber){{
[root@2nd ~]# host -t A 2nd.sybyl.local localhost
Using domain server:
Name: localhost
Address: 127.0.0.1#53
Aliases:
2nd.sybyl.local has address 192.168.0.33
[root@2nd ~]#
}}
と引けたので大丈夫だろう。/etc/resolv.confを再設定する。n...
&ref(2015y12m29d_230514107.png,nolink);
NetworkManagerの再起動で/etc/resolv.confが書き代わる
#code(nonumber){{
[root@2nd ~]# systemctl restart NetworkManager
[root@2nd ~]# cat /etc/resolv.conf
# Generated by NetworkManager
search sybyl.local
nameserver 127.0.0.1
nameserver 192.168.0.3
[root@2nd ~]#
}}
既設DCもプライマリDNSは自分自身、セカンドDNSは新設DCを示...
ここで、再度sambaを再起動する。
#code(nonumber){{
[root@2nd ~]# systemctl restart samba
}}
***SYSVOL複製 [#xc0c3e95]
windowsならDC間で自動で複製してくれるのだが、sambaにはま...
参照 https://wiki.samba.org/index.php/Rsync_based_SysVol_...
***FSMOの移動 [#f7b5cbc9]
&color(white,red){注意}; こちらの環境でsamba-4.5ではエラ...
折角複数のDCができたので、fsmoを移動してみる。
現在、fsmoの担当は
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=C,CN=Servers,...
InfrastructureMasterRole owner: CN=NTDS Settings,CN=C,CN=...
RidAllocationMasterRole owner: CN=NTDS Settings,CN=C,CN=S...
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=C,CN=Se...
DomainNamingMasterRole owner: CN=NTDS Settings,CN=C,CN=Se...
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=C,CN=...
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=C,CN=...
[root@2nd ~]#
}}
と既設DCの c.sybyl.local が担当している。これを全部新設DC...
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool fsmo transfer --r...
FSMO transfer of 'rid' role successful
FSMO transfer of 'pdc' role successful
FSMO transfer of 'naming' role successful
FSMO transfer of 'infrastructure' role successful
FSMO transfer of 'schema' role successful
ERROR: Failed to delete role 'domaindns': LDAP error 50 L...
> <>
[root@2nd ~]#
}}
となり、&color(orangered){domaindns};(DomainDnsZonesMaste...
そうなると、これと&color(orangered){forestdns};(ForestDns...
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=2ND,CN=Server...
InfrastructureMasterRole owner: CN=NTDS Settings,CN=2ND,C...
RidAllocationMasterRole owner: CN=NTDS Settings,CN=2ND,CN...
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=2ND,CN=...
DomainNamingMasterRole owner: CN=NTDS Settings,CN=2ND,CN=...
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=C,CN=...
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=C,CN=...
[root@2nd ~]#
}}
これら2つは、ユーザを指定して実行すれば移行できるようだ。
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool fsmo transfer --r...
Password for [SYBYL\administrator]:
FSMO transfer of 'domaindns' role successful
[root@2nd ~]#
[root@2nd ~]# /opt/samba/bin/samba-tool fsmo transfer --r...
Password for [SYBYL\administrator]:
FSMO transfer of 'forestdns' role successful
[root@2nd ~]#
[root@2nd ~]# /opt/samba/bin/samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=2ND,CN=Server...
InfrastructureMasterRole owner: CN=NTDS Settings,CN=2ND,C...
RidAllocationMasterRole owner: CN=NTDS Settings,CN=2ND,CN...
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=2ND,CN=...
DomainNamingMasterRole owner: CN=NTDS Settings,CN=2ND,CN=...
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=2ND,C...
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=2ND,C...
[root@2nd ~]#
}}
これでようやく全てのfsmoが新設DC(2nd.sybyl.local)に移動で...
元の既設DC(c.sybyl.local)に戻すには、上記を踏まえて
#code(nonumber){{
[root@c ~]# /opt/samba/bin/samba-tool fsmo transfer --rol...
FSMO transfer of 'rid' role successful
FSMO transfer of 'pdc' role successful
FSMO transfer of 'naming' role successful
FSMO transfer of 'infrastructure' role successful
FSMO transfer of 'schema' role successful
FSMO transfer of 'domaindns' role successful
FSMO transfer of 'forestdns' role successful
[root@c ~]#
}}
として移行を行う。
***DCの降格 [#s4739511]
&size(10){参照 https://wiki.samba.org/index.php/Demote_a_...
ドメインに参加したDCを降格させるには、FSMOの担当でない事...
#code(nounmber){{
[root@2nd ~]# /opt/samba/bin/samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=C,CN=Servers,...
InfrastructureMasterRole owner: CN=NTDS Settings,CN=C,CN=...
RidAllocationMasterRole owner: CN=NTDS Settings,CN=C,CN=S...
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=C,CN=Se...
DomainNamingMasterRole owner: CN=NTDS Settings,CN=C,CN=Se...
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=C,CN=...
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=C,CN=...
[root@2nd ~]#
}}
と7つとも&color(magenta){CN=C};が担当している。
なので追加した新規DC(2nd.sybyl.local)は降格可能で、そのマ...
&color(red){*};&size(10){GPOの連携でrsyncを行っているのな...
#code(nounmber){{
[root@2nd ~]# /opt/samba/bin/samba-tool domain demote -Ua...
Using c.sybyl.local as partner server for the demotion
Password for [SYBYL\administrator]:
Deactivating inbound replication
Asking partner server c.sybyl.local to synchronize from us
Changing userControl and container
Demote successful
[root@2nd ~]#
}}
として降格される。
&ref(2015y12m31d_165329331.png,nolink);
でもドメインには参加したままです。
&ref(2015y12m31d_165433299.png,nolink);
***DNSのお掃除 [#ffeb3a07]
...ただ、このように降格してもDNSやらにはエントリーが残り...
sybyl.localゾーンの「2nd」エントリー以外の全てのゾーンに...
&ref(2015y12m31d_165914267.png,nolink);
削除は、エントリーを選択して右クリックから「削除」を選ん...
GUIの操作で消せないエントリー(NSが消せなかった)はコマンド...
#code(nonumber){{
[root@c ~]# /opt/samba/bin/samba-tool dns delete C sybyl....
Record deleted successfully
[root@c ~]# /opt/samba/bin/samba-tool dns delete C _msdc...
Record deleted successfully
[root@c ~]#
}}
***DCの降格(その2) [#m632740d]
DCが物理的に使えない状態とかで降格させたい場合、上記のsam...
上記は正しく稼働しているDCを降格させる場合である。
その際は、参照に示されたMicrosoft提供のツールを使う。
場所は[[ここ>+https://gallery.technet.microsoft.com/scrip...
このファイルの実行は、ドメインに参加したwindowsマシンで、...
&ref(2015y10m19d_233853029.png,nolink);
ファイルをダブルクリックすると、下記の画面が表示される。
現在のDCが列挙され、削除対象を入力欄に入力して、「OK」...
ここではDCとして「C」と「AD」があるが、「AD」を降...
&ref(2015y10m19d_234042658.png,nolink);
すると警告が表示されるが、確認して「はい」ボタンをクリッ...
&ref(2015y10m19d_234234677.png,nolink);
暫くすると、完了の知らせが届く。「OK」ボタンを押して完...
&ref(2015y10m19d_234444474.png,nolink);
終了行:
ドメインコントローラを複数建てて、冗長構成を取ってみる
参照 [[https://wiki.samba.org/index.php/Joining_a_Samba_D...
***2台目DCの構築 [#e4aaa76a]
既存のsybyl.localドメインに2台目のドメインコントローラを...
IPアドレスの設定はDHCP由来ではなく、staticに設定します
|BGCOLOR(YELLOW):役目|BGCOLOR(YELLOW):ホスト名|BGCOLOR(YE...
|1台目 DC|c.sybyl.local|192.168.0.3|CentOS7.3|c.sybyl.lo...
|2台目 DC|2nd.sybyl.local|192.168.0.33|CentOS7.3|&color(...
&color(red){*};&size(10){DC作成完了後に変更されます};
/etc/hostsファイルは、自身のアドレスのみで可
#code(nonumber){{
[root@2nd ~]# cat /etc/hosts
127.0.0.1 localhost.localdomain localhost
192.168.0.33 2nd.sybyl.local 2nd
[root@2nd ~]#
}}
/etc/resolv.confファイルは、まずは既設DCを参照させる。
変更は nmtui で行って systemctl restart NetworkManager で...
#code(nonumber){{
[root@2nd ~]# cat /etc/resolv.conf
# Generated by NetworkManager
search sybyl.local
nameserver 192.168.0.3
[root@2nd ~]# host -t A c.sybyl.local
c.sybyl.local has address 192.168.0.3
[root@2nd ~]#
}}
***sambaのインストール [#e1460d0d]
[[samba]] や [[samba/update]] を参考に、インストールまで...
まず、既存のyumでインストールされているsmaba関係を削除し...
#code(nonumber){{
[root@2nd ~]# yum remove samba samba-common samba-client-...
[root@2nd ~]# vi /etc/yum.conf
:
exclude=samba samba-common samba-client-libs samba-common...
}}
そして、
#code(nonumber){{
[root@2nd ~]# mkdir /opt/src && cd /opt/src
[root@2nd src]# curl -O https://download.samba.org/pub/sa...
[root@2nd src]# gzip -cd samba-4.5.5.tar.gz | tar xf - &&...
[root@2nd samba-4.5.5]# export PATH=/sbin:/bin:/usr/sbin:...
[root@2nd samba-4.5.5]# ./configure --prefix=/opt/samba &...
[root@2nd samba-4.5.5]# cp ./packaging/systemd/samba.sysc...
[root@2nd samba-4.5.5]# cp ./packaging/systemd/samba.serv...
}}
と自動起動ファイルを用意して、インストール場所に合わせて...
#code(diff,nonumber){{
[root@2nd samba-4.5.5]# diff -u ./packaging/systemd/samb...
--- ./packaging/systemd/samba.service 2016-08-11 16:51:...
+++ /etc/systemd/system/samba.service 2017-02-09 07:59:...
@@ -5,10 +5,10 @@
[Service]
Type=notify
NotifyAccess=all
-PIDFile=/run/samba.pid
+PIDFile=/opt/samba/var/run/samba.pid
LimitNOFILE=16384
EnvironmentFile=-/etc/sysconfig/samba
-ExecStart=/usr/sbin/samba $SAMBAOPTIONS
+ExecStart=/opt/samba/sbin/samba $SAMBAOPTIONS
ExecReload=/usr/bin/kill -HUP $MAINPID
[Install]
[root@2nd samba-4.5.5]#
}}
systemctlに読み込ませて
#code(nonumber){{
[root@2nd samba-4.5.5]# systemctl daemon-reload
[root@2nd samba-4.5.5]# systemctl status samba.service
● samba.service - Samba AD Daemon
Loaded: loaded (/etc/systemd/system/samba.service; dis...
Active: inactive (dead)
[root@2nd samba-4.5.5]#
}}
自動起動はこの段階では無効にします。&size(10){あとで有効...
***Kerberosの設定 [#k76b2cbc]
/etc/krb5.confファイルは、既設DCと同じにする。dnsの動的更...
ただ、DNS Backendにinternal DNSを使用しているなら不要かな...
#code(nonumber){{
[root@2nd ~]# cat /etc/krb5.conf
[libdefaults]
default_realm = SYBYL.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = true
[root@2nd ~]# kinit administrator
Password for administrator@SYBYL.LOCAL:
[root@2nd ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@SYBYL.LOCAL
Valid starting Expires Service principal
2017-02-12T00:54:00 2017-02-12T10:54:00 krbtgt/SYBYL.LO...
renew until 2017-02-13T00:53:55
[root@2nd ~]#
}}
***既設ドメインへDCとして参加 [#t2415456]
SYBYL.LOCALドメインに DC として参加。この新設DCで使用する...
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool domain join SYBYL...
Finding a writeable DC for domain 'SYBYL.LOCAL'
Found DC c.sybyl.local
Password for [WORKGROUP\administrator]: <--- 既設DC...
workgroup is SYBYL
realm is sybyl.local
Adding CN=2ND,OU=Domain Controllers,DC=sybyl,DC=local
Adding CN=2ND,CN=Servers,CN=Default-First-Site-Name,CN=Si...
Adding CN=NTDS Settings,CN=2ND,CN=Servers,CN=Default-Firs...
Adding SPNs to CN=2ND,OU=Domain Controllers,DC=sybyl,DC=l...
Setting account password for 2ND$
Enabling account
(中略)
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partit...
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain SYBYL (SID S-1-5-21-2388220492-3765384844-3...
[root@2nd ~]#
}}
「&color(red){Password for [WORKGROUP\administrator]:};」...
登録できたかをリモートサーバ管理ツールの「ActiveDirectory...
&ref(2015y12m29d_220939315.png,nolink);
一応ドメインコントローラとして登録されたようだ。
&color(red){*};失敗して、再実行するには
#code(nonumber){{
[root@2nd ~]# rm -rf /opt/samba/etc/smb.conf
[root@2nd ~]# rm -rf /opt/samba/private/*
[root@2nd ~]# rm -rf /opt/samba/var/{cache,lib,lock,locks...
}}
としてから samba-tool domain join を行う
***Aレコード確認 [#k35ad4ac]
さらに別に視点からドメインコントローラが登録されたかを確...
まず、2nd.sybyl.localにてDNSレコードを確認します
&color(red){*};&size(10){/etc/resolv.confは、c.sybyl.loca...
#code(nonumber){{
[root@2nd ~]# host -t A 2nd.sybyl.local
2nd.sybyl.local has address 192.168.0.33
[root@2nd ~]#
}}
とDNSに登録されてます。
&color(red){*};&size(10){以前はできなかったのだが、改修さ...
もし登録されていないなら下記コマンドを実行してAレコード...
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool dns add C sybyl.l...
}}
***CNAMEレコード確認 [#h364e244]
次に、2nd.sybyl.localのobjectGUIDのCNAMEを確認します。
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/ldbsearch -H /opt/samba/priv...
# record 1
dn: CN=NTDS Settings,CN=2ND,CN=Servers,CN=Default-First-S...
objectGUID: 3b7b40ad-0ff4-45c6-ba25-d7f9df05f89d
# record 2
dn: CN=NTDS Settings,CN=C,CN=Servers,CN=Default-First-Sit...
objectGUID: 9a0ca03e-d59f-41fe-a627-5c407fb56064
# returned 2 records
# 2 entries
# 0 referrals
[root@2nd ~]#
}}
これから 2nd.sybyl.localのobjectGUIDは&color(red){3b7b40a...
このobjectGUIDのCNAMEがあるかを確認してみる。
#code(nonumber){{
[root@2nd ~]# host -t CNAME 3b7b40ad-0ff4-45c6-ba25-d7f9d...
Host 3b7b40ad-0ff4-45c6-ba25-d7f9df05f89d._msdcs.sybyl.lo...
[root@2nd ~]#
}}
こちらは残念ながら存在しない。なので手動でDCに登録して、...
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool dns add C _msdcs....
CNAM...
Password for [SYBYL\administrator]: <--- 既設DC...
Record added successfully
[root@2nd ~]# host -t CNAME 3b7b40ad-0ff4-45c6-ba25-d7f9d...
3b7b40ad-0ff4-45c6-ba25-d7f9df05f89d._msdcs.sybyl.local i...
[root@2nd ~]#
}}
***Built-in Groups GID Mappings [#ie968714]
ガイドによれば、既設DCにて
#code(nonumber){{
[root@c ~]# /opt/samba/bin/tdbbackup -s .bsk /opt/samba/p...
[root@c ~]# ls -l /opt/samba/private/idmap.ldb*
-rw------- 1 root root 1609728 2月 2 00:10 /opt/samba/p...
-rw------- 1 root root 114688 2月 12 07:00 /opt/samba/p...
[root@c ~]#
}}
と行って、 &color(red){/opt/samba/private/idmap.ldb.bsk};...
#code(number){{
[root@c ~]# scp /opt/samba/private/idmap.ldb.bsk root@...
[root@c ~]# rm /opt/samba/private/idmap.ldb.bsk
}}
そして、sysvolのaclを調整します。だが、、、エラーが発生する
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool ntacl sysvolreset
open: error=2 (No such file or directory)
ERROR(runtime): uncaught exception - (-1073741823, 'Undet...
File "/opt/samba/lib64/python2.7/site-packages/samba/ne...
return self.run(*args, **kwargs)
File "/opt/samba/lib64/python2.7/site-packages/samba/ne...
lp, use_ntvfs=use_ntvfs)
File "/opt/samba/lib64/python2.7/site-packages/samba/pr...
set_gpos_acl(sysvol, dnsdomain, domainsid, domaindn, ...
File "/opt/samba/lib64/python2.7/site-packages/samba/pr...
use_ntvfs=use_ntvfs, skip_invalid_chown=True, passdb=...
File "/opt/samba/lib64/python2.7/site-packages/samba/nt...
smbd.set_nt_acl(file, security.SECINFO_OWNER | securi...
[root@2nd ~]#
}}
エラーの最終行からどこかのフォルダのアクセス権なのかと思...
気になる点は、新設DCに /opt/samba/var/locks/sysvol/sybyl....
回避方法は、既設DCの''sysvol''フォルダ以下を全て新設DCに...
&size(10){参照先 https://wiki.samba.org/index.php/Rsync_b...
#code(nonumber){{
[root@c ~]# rsync -XAavz --delete-after /opt/samba/var/lo...
root@ad's password:
building file list ... done
./
sybyl.local/
sybyl.local/Policies/
sybyl.local/Policies/{31B2F340-016D-11D2-945F-00C04FB984F...
sybyl.local/Policies/{31B2F340-016D-11D2-945F-00C04FB984F...
sybyl.local/Policies/{31B2F340-016D-11D2-945F-00C04FB984F...
sybyl.local/Policies/{31B2F340-016D-11D2-945F-00C04FB984F...
sybyl.local/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F...
sybyl.local/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F...
sybyl.local/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F...
sybyl.local/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F...
sybyl.local/scripts/
sent 10047 bytes received 122 bytes 4067.60 bytes/sec
total size is 40 speedup is 0.00
[root@c ~]#
}}
コピー後に、新設DCにて
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool ntacl sysvolreset
}}
エラーなく完了する
&color(white,blue){留意};rsyncの時に「rsync: rsync_xal_se...
***新設DCの samba を起動 [#r9e59244]
&color(white,blue){留意};
-sambaの起動の前に既設DCの /opt/samba/etc/smb.conf の内容...
[global]、[netlogon]、[sysvol]セクションのみ。[global]セ...
&size(10){新設DCでは「netbios name = 2ND」と初期smb.conf...
-既設DCで guest アカウントの運用があるなら、その項目を外...
そして起動。
#code(nonumber){{
[root@2nd ~]# systemctl start samba
}}
&color(red){*};&size(10){journalctl -u sambaでエラーがな...
&color(red){*};&size(10){起動ファイルの設定は[[samba]]参...
***同期確認 [#mc3004ce]
新設DCを稼働すると、自動的に他のDCから情報を引っ張ってく...
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool drs showrepl
Default-First-Site-Name\2ND
DSA Options: 0x00000001
DSA object GUID: 3b7b40ad-0ff4-45c6-ba25-d7f9df05f89d
DSA invocationId: c78e4070-2135-49de-98ee-bc9b7a8bbcc3
==== INBOUND NEIGHBORS ====
CN=Schema,CN=Configuration,DC=sybyl,DC=local
Default-First-Site-Name\C via RPC
DSA object GUID: 9a0ca03e-d59f-41fe-a627-...
Last attempt @ Sun Feb 12 10:07:12 2017 J...
0 consecutive failure(s).
Last success @ Sun Feb 12 10:07:12 2017 JST
(略)
==== OUTBOUND NEIGHBORS ====
CN=Schema,CN=Configuration,DC=sybyl,DC=local
Default-First-Site-Name\C via RPC
DSA object GUID: 9a0ca03e-d59f-41fe-a627-...
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
(略)
==== KCC CONNECTION OBJECTS ====
Connection --
Connection name: 2c316e21-d6df-4b5e-9cd4-8737b5ad...
Enabled : TRUE
Server DNS name : c.sybyl.local
Server DN name : CN=NTDS Settings,CN=C,CN=Server...
TransportType: RPC
options: 0x00000001
Warning: No NC replicated for Connection!
[root@2nd ~]#
}}
と「&color(darkorange){==== INBOUND NEIGHBORS ====};」 と...
&color(red){*};&size(10){同期に3分くらい掛かりました};
&color(red){*};&size(10){3分以上経っても同期しないのなら...
&color(white,blue){留意};
同期されず、「/opt/samba/sbin/samba -i -d3」とかで稼動さ...
「&color(red){GSS server Update(krb5)(1) Update failed: ...
***新設DCの/etc/resolv.confを再設定 [#ac7bae2c]
新設DCの samba internal DNS の動作確認を先ずは行ってみる
#code(nonumber){{
[root@2nd ~]# host -t A 2nd.sybyl.local localhost
Using domain server:
Name: localhost
Address: 127.0.0.1#53
Aliases:
2nd.sybyl.local has address 192.168.0.33
[root@2nd ~]#
}}
と引けたので大丈夫だろう。/etc/resolv.confを再設定する。n...
&ref(2015y12m29d_230514107.png,nolink);
NetworkManagerの再起動で/etc/resolv.confが書き代わる
#code(nonumber){{
[root@2nd ~]# systemctl restart NetworkManager
[root@2nd ~]# cat /etc/resolv.conf
# Generated by NetworkManager
search sybyl.local
nameserver 127.0.0.1
nameserver 192.168.0.3
[root@2nd ~]#
}}
既設DCもプライマリDNSは自分自身、セカンドDNSは新設DCを示...
ここで、再度sambaを再起動する。
#code(nonumber){{
[root@2nd ~]# systemctl restart samba
}}
***SYSVOL複製 [#xc0c3e95]
windowsならDC間で自動で複製してくれるのだが、sambaにはま...
参照 https://wiki.samba.org/index.php/Rsync_based_SysVol_...
***FSMOの移動 [#f7b5cbc9]
&color(white,red){注意}; こちらの環境でsamba-4.5ではエラ...
折角複数のDCができたので、fsmoを移動してみる。
現在、fsmoの担当は
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=C,CN=Servers,...
InfrastructureMasterRole owner: CN=NTDS Settings,CN=C,CN=...
RidAllocationMasterRole owner: CN=NTDS Settings,CN=C,CN=S...
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=C,CN=Se...
DomainNamingMasterRole owner: CN=NTDS Settings,CN=C,CN=Se...
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=C,CN=...
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=C,CN=...
[root@2nd ~]#
}}
と既設DCの c.sybyl.local が担当している。これを全部新設DC...
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool fsmo transfer --r...
FSMO transfer of 'rid' role successful
FSMO transfer of 'pdc' role successful
FSMO transfer of 'naming' role successful
FSMO transfer of 'infrastructure' role successful
FSMO transfer of 'schema' role successful
ERROR: Failed to delete role 'domaindns': LDAP error 50 L...
> <>
[root@2nd ~]#
}}
となり、&color(orangered){domaindns};(DomainDnsZonesMaste...
そうなると、これと&color(orangered){forestdns};(ForestDns...
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=2ND,CN=Server...
InfrastructureMasterRole owner: CN=NTDS Settings,CN=2ND,C...
RidAllocationMasterRole owner: CN=NTDS Settings,CN=2ND,CN...
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=2ND,CN=...
DomainNamingMasterRole owner: CN=NTDS Settings,CN=2ND,CN=...
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=C,CN=...
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=C,CN=...
[root@2nd ~]#
}}
これら2つは、ユーザを指定して実行すれば移行できるようだ。
#code(nonumber){{
[root@2nd ~]# /opt/samba/bin/samba-tool fsmo transfer --r...
Password for [SYBYL\administrator]:
FSMO transfer of 'domaindns' role successful
[root@2nd ~]#
[root@2nd ~]# /opt/samba/bin/samba-tool fsmo transfer --r...
Password for [SYBYL\administrator]:
FSMO transfer of 'forestdns' role successful
[root@2nd ~]#
[root@2nd ~]# /opt/samba/bin/samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=2ND,CN=Server...
InfrastructureMasterRole owner: CN=NTDS Settings,CN=2ND,C...
RidAllocationMasterRole owner: CN=NTDS Settings,CN=2ND,CN...
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=2ND,CN=...
DomainNamingMasterRole owner: CN=NTDS Settings,CN=2ND,CN=...
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=2ND,C...
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=2ND,C...
[root@2nd ~]#
}}
これでようやく全てのfsmoが新設DC(2nd.sybyl.local)に移動で...
元の既設DC(c.sybyl.local)に戻すには、上記を踏まえて
#code(nonumber){{
[root@c ~]# /opt/samba/bin/samba-tool fsmo transfer --rol...
FSMO transfer of 'rid' role successful
FSMO transfer of 'pdc' role successful
FSMO transfer of 'naming' role successful
FSMO transfer of 'infrastructure' role successful
FSMO transfer of 'schema' role successful
FSMO transfer of 'domaindns' role successful
FSMO transfer of 'forestdns' role successful
[root@c ~]#
}}
として移行を行う。
***DCの降格 [#s4739511]
&size(10){参照 https://wiki.samba.org/index.php/Demote_a_...
ドメインに参加したDCを降格させるには、FSMOの担当でない事...
#code(nounmber){{
[root@2nd ~]# /opt/samba/bin/samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=C,CN=Servers,...
InfrastructureMasterRole owner: CN=NTDS Settings,CN=C,CN=...
RidAllocationMasterRole owner: CN=NTDS Settings,CN=C,CN=S...
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=C,CN=Se...
DomainNamingMasterRole owner: CN=NTDS Settings,CN=C,CN=Se...
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=C,CN=...
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=C,CN=...
[root@2nd ~]#
}}
と7つとも&color(magenta){CN=C};が担当している。
なので追加した新規DC(2nd.sybyl.local)は降格可能で、そのマ...
&color(red){*};&size(10){GPOの連携でrsyncを行っているのな...
#code(nounmber){{
[root@2nd ~]# /opt/samba/bin/samba-tool domain demote -Ua...
Using c.sybyl.local as partner server for the demotion
Password for [SYBYL\administrator]:
Deactivating inbound replication
Asking partner server c.sybyl.local to synchronize from us
Changing userControl and container
Demote successful
[root@2nd ~]#
}}
として降格される。
&ref(2015y12m31d_165329331.png,nolink);
でもドメインには参加したままです。
&ref(2015y12m31d_165433299.png,nolink);
***DNSのお掃除 [#ffeb3a07]
...ただ、このように降格してもDNSやらにはエントリーが残り...
sybyl.localゾーンの「2nd」エントリー以外の全てのゾーンに...
&ref(2015y12m31d_165914267.png,nolink);
削除は、エントリーを選択して右クリックから「削除」を選ん...
GUIの操作で消せないエントリー(NSが消せなかった)はコマンド...
#code(nonumber){{
[root@c ~]# /opt/samba/bin/samba-tool dns delete C sybyl....
Record deleted successfully
[root@c ~]# /opt/samba/bin/samba-tool dns delete C _msdc...
Record deleted successfully
[root@c ~]#
}}
***DCの降格(その2) [#m632740d]
DCが物理的に使えない状態とかで降格させたい場合、上記のsam...
上記は正しく稼働しているDCを降格させる場合である。
その際は、参照に示されたMicrosoft提供のツールを使う。
場所は[[ここ>+https://gallery.technet.microsoft.com/scrip...
このファイルの実行は、ドメインに参加したwindowsマシンで、...
&ref(2015y10m19d_233853029.png,nolink);
ファイルをダブルクリックすると、下記の画面が表示される。
現在のDCが列挙され、削除対象を入力欄に入力して、「OK」...
ここではDCとして「C」と「AD」があるが、「AD」を降...
&ref(2015y10m19d_234042658.png,nolink);
すると警告が表示されるが、確認して「はい」ボタンをクリッ...
&ref(2015y10m19d_234234677.png,nolink);
暫くすると、完了の知らせが届く。「OK」ボタンを押して完...
&ref(2015y10m19d_234444474.png,nolink);
ページ名:
1