Введение
Начиная с версии 4.0 (выпущенной в 2012 г.) Samba может выступать в качестве контроллера домена (DC) Active Directory (AD). Samba может работать на функциональном уровне леса Windows Server 2008 R2, которого более чем достаточно для управления сложными предприятиями, использующих Windows 10/11 со строгими требованиями соответствия (включая NIST 800-171).
Samba как AD DC поддерживает только:
- Интегрированный сервер LDAP в качестве серверной части AD.
- Центр распространения ключей Heimdal Kerberos (KDC).
- Размещение и администрирование объектов групповой политики, которые будут использоваться для управления парком предприятия
Примечание: Установка Samba и связанная с этим подготовка контроллера домена не переводятся автоматически в функциональность групповой политики. Имейте это в виду и ожидайте обновления этого флага в smb.conf после подготовки
В этом руководстве предполагается, что планируется «чистая» установка Samba на свежеустановленную операционную систему
Важно отметить, что существует различие между установкой Samba и инициализацией Samba. В общем, весь процесс настройки контроллера домена Samba состоит из 5 относительно простых шагов
Эти шаги заключаются в следующем:
- Установка Samba и сопутствующих пакетов
- Удаление предварительно настроенных файлов конфигурации заполнителей Samba и Kerberos.
- Инициализация Samba с помощью инструмента автоматической инициализации
- Редактирование smb.conf по мере необходимости (включение групповой политики и/или других функций по мере необходимости)
- Любая другая конфигурация среды на основе дистрибутива Unix/Linux.
Эта страница охватывает много информации об установке Samba как в системах Unix, так и в Linux. Процесс установки немного различается в зависимости от среды, поэтому на протяжении всего чтения следите за связанными веб-страницами на нескольких вкладках. В оставшейся части этого руководства используется следующий пример информации:
- Имя хоста = DC1
- Локальный IP-адрес контроллера домена = 10.99.0.1
- Домен аутентификации = SAMDOM.EXAMPLE.COM
- Домен верхнего уровня = EXAMPLE.COM
Повышение уровня сервера до контроллера домена
Щелкните желтый предупреждающий знак в правом верхнем углу и щелкните Повысить уровень этого сервера до контроллера домена .
Мы добавим этот контроллер домена в наш существующий домен Adlukashin.loc , поэтому мы выбираем опцию « Добавить контроллер домена в существующий домен », вводим имя нашего домена в поле « Домен » и нажимаем « Выбрать » .
Введите любые учетные данные, имеющие права администратора в домене . Учетные данные должны быть введены в форме Domain\Username . Нажмите ОК .
Выберите домен , в котором будет находиться новый контроллер домена. Поскольку у нас есть только один домен, у нас должен быть только один вариант на выбор. Нажмите ОК .
Поскольку это наш второй контроллер домена, у нас есть возможность сделать его содержащим глобальный каталог (GC) или нет, а также сделать его контроллером домена только для чтения (RODC) или нет.В этом случае я выберу настройки по умолчанию, то есть контроллер домена должен иметь возможности DNS и GC и не быть контроллером домена только для чтения .
Поскольку мы еще не создали никаких сайтов Active Directory , мы оставим имя сайта как Default-First-Site-Name .Введите пароль DSRM и нажмите « Далее» .
Предупреждение DNS можно смело игнорировать, нажмите Next .
Теперь нам нужно выбрать, откуда реплицировать. Мы нажимаем раскрывающееся меню и выбираем наш первый контроллер домена , в данном случае DC1.adlukashin.loc . Нажмите «Далее» .
Оставьте расположение папок по умолчанию и нажмите «Далее».
Проверьте выбранные параметры и нажмите « Далее » .
Дождитесь завершения проверки предварительных условий. Убедитесь, что вы получили зеленую галочку, указывающую на то, что все проверки предварительных требований прошли успешно .Теперь мы готовы повысить уровень сервера до контроллера домена и добавить его в наш существующий домен. Щелкните Установить .
New-ADOrganizationalUnit: создание организационной единицы в AD
Чтобы быстро создать типичную структуру организационной единицы в AD, вы можете использовать сценарий PowerShell. Предположим, вы хотите создать несколько подразделений с именами состояний и создать в них типичные контейнеры объектов. Создание этой структуры AD вручную с помощью графической оснастки ADUC занимает довольно много времени. Модуль AD для PowerShell позволяет сделать это за секунды (кроме времени на написание скрипта):
$fqdn = Get-ADDomain
$fulldomain = $fqdn.DNSRoot
$domain = $fulldomain.split(".")
$Dom = $domain
$Ext = $domain
$Sites = ("Nevada","Texas","California","Florida")
$Services = ("Users","Admins","Computers","Servers","Contacts","Service Accounts")
$FirstOU ="USA"
New-ADOrganizationalUnit -Name $FirstOU -Description $FirstOU -Path "DC=$Dom,DC=$EXT" -ProtectedFromAccidentalDeletion $false
ForEach-Object ($S in $Sites)
{
New-ADOrganizationalUnit -Name $S -Description "$S" -Path "OU=$FirstOU,DC=$Dom,DC=$EXT" -ProtectedFromAccidentalDeletion $false
ForEach-Object ($Serv in $Services)
{
New-ADOrganizationalUnit -Name $Serv -Description "$S $Serv" -Path "OU=$S,OU=$FirstOU,DC=$Dom,DC=$EXT" -ProtectedFromAccidentalDeletion $false
}
}
После запуска сценария в Active Directory появляется следующая структура подразделений.
Windows server 2008 понизить контроллер домена до рядового сервера
Как переименовать контроллер домена Windows Server 2008 R2
Всем привет, ранее я уже рассказывал как переименовать контроллер домена в Windows Server 2008 R2 часть через утилиту netdom или графический метод, существует еще один метод, слегка требующий побольше телодвижений, но очень эффективный, а именно как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена.
Как видим, у меня есть контроллер домена dc03.msk.pyatilistnik.org, требуется его переименовать в dc02.msk.pyatilistnik.org. Хочу сказать, что есть небольшие требования к понижению:
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-026
Посмотрим топологию в Active Directory, и видим dc01 и dc03
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-028
Открываем пуск и пишем dcpromo.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-027
Открывается мастер установки доменных служб, жмем далее
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-029
Видим, что выскочило предупреждение
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-030
Чтобы это исправить открываем оснастку Active Directory Сайты и Службы. Идем в Default-First-Site-Name-Servers-NTDS Settings. И на вкладке Общие снимаем галку Глобальный каталог.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-038
Снова запускаем мастер и видим, предупреждения нет, нас следующем шаге галку Удалить этот домен не ставим, так как у нас это не последний домен контроллер.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-039
Ставим галку Удалить делегирование DNS.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-040
вас попросят вести дополнительные данные
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-041
Вводим пароль администратора восстановления, который мы задавали при установке контроллера домена.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-042
Смотрим сводные данные установки и жмем Далее.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-043
Начнется процесс установки, ставим галку перезагрузка, чтобы она была автоматической.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-044
После перезагрузки, открываем на первом контроллере ACtive Directory Пользователи и компьютеры и в топологии видим, только dc01
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-045
Проверяем не осталось ли лишнего в DNS, конкретно интересуют NS записи
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-046
Все контроллер домена был понижен, теперь через свойства системы переименуем сервер.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-047
после чего перезагружаемся. Если хотите чтобы сервер снова стал DC, то смотрите Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2.
Вот так вот просто переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена.
Создание домена с SAMBA_INTERNAL
Создание домена одной командой
Создание контроллера домена domain.alt с паролем администратора Pa$$word:
# samba-tool domain provision --realm=domain.alt --domain domain --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --server-role=dc
Примечание: В команду можно добавить параметр, который позволяет указать внешний DNS-сервер, чтобы DC мог разрешать внешние доменные имена:
--option="dns forwarder="xxx.xxx.xxx.xxx"
Интерактивное создание домена
Примечание: У Samba свой собственный DNS-сервер. В DNS forwarder IP address нужно указать внешний DNS-сервер, чтобы DC мог разрешать внешние доменные имена.
В примере показано создание домена domain.alt.
Запустите samba-tool domain provision:
# samba-tool domain provision Realm : Domain : Server Role (dc, member, standalone) : DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) : DNS forwarder IP address (write 'none' to disable forwarding) : Administrator password: Retype password: Looking up IPv4 addresses More than one IPv4 address found. Using 192.168.1.1 Looking up IPv6 addresses No IPv6 address will be assigned Setting up share.ldb Setting up secrets.ldb Setting up the registry Setting up the privileges database Setting up idmap db Setting up SAM db Setting up sam.ldb partitions and settings Setting up sam.ldb rootDSE Pre-loading the Samba 4 and AD schema Adding DomainDN: DC=domain,DC=alt Adding configuration container Setting up sam.ldb schema Setting up sam.ldb configuration data Setting up display specifiers Modifying display specifiers Adding users container Modifying users container Adding computers container Modifying computers container Setting up sam.ldb data Setting up well known security principals Setting up sam.ldb users and groups Setting up self join Adding DNS accounts Creating CN=MicrosoftDNS,CN=System,DC=domain,DC=alt Creating DomainDnsZones and ForestDnsZones partitions Populating DomainDnsZones and ForestDnsZones partitions Setting up sam.ldb rootDSE marking as synchronized Fixing provision GUIDs A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf Once the above files are installed, your Samba4 server will be ready to use Server Role: active directory domain controller Hostname: c228 NetBIOS Domain: DOMAIN DNS Domain: domain.alt DOMAIN SID: S-1-5-21-80639820-2350372464-3293631772
При запросе ввода нажимайте Enter за исключением запроса пароля администратора («Administrator password:» и «Retype password:»).
Примечание: Пароль администратора должен быть не менее 7 символов и содержать символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем регистрах, чисел и других небуквенно-цифровых символов.
Параметры —use-rfc2307 —use-xattrs=yes позволяют поддерживать расширенные атрибуты типа UID и GID в схеме LDAP и ACL на файловой системе Linux.
Запуск службы
Установите службу по умолчанию и запустите её:
# systemctl enable --now samba
Примечание: Если служба после установки никаким способом не запускается, перезагрузите сервер
Доверительные отношения (и типы доверия)
Как упоминалось выше, доверительные отношения используются для облегчения связи между доменами. Трасты обеспечивают аутентификацию и доступ к ресурсам между двумя объектами. Трасты могут быть односторонними или двусторонними по своей природе. В рамках доверия два домена делятся на доверяющий домен и доверенный домен.
В одностороннем доверии, доверяющий домен получает доступ к деталям аутентификации доверенного домена, чтобы пользователь мог получить доступ к ресурсам из другого домена. При двустороннем доверии оба домена принимают данные аутентификации другого. Все домены в лесу доверяют друг другу автоматически, но вы также можете установить отношения доверия между доменами в разных лесах для передачи информации.
Вы можете создавать трасты через Мастер новых трестов. Мастер нового доверия это мастер настройки, который позволяет создавать новые доверительные отношения Здесь вы можете просмотреть Доменное имя, Тип доверия, и переходный статус существующих трастов и выберите тип доверия, которое вы хотите создать.
Типы доверия
Существует несколько типов доверия в Active Directory. Мы перечислили их в таблице ниже:
| Родитель и ребенок | переходный | Двусторонний | да | Родительское и дочернее доверие устанавливается при добавлении дочернего домена в дерево доменов.. |
| Дерево-корень | переходный | Двусторонний | да | Доверие к корню дерева устанавливается в момент создания дерева домена в лесу. |
| внешний | Нетранзитивных | Односторонний или двусторонний | нет | Предоставляет доступ к ресурсам в домене Windows NT 4.0 или домене, расположенном в другом лесу, который не поддерживается доверием леса. |
| область | Транзитивный или нетранзитивный | Односторонний или двусторонний | нет | Формирует доверительные отношения между областью Kerberos, отличной от Windows, и доменом Windows Server 2003. |
| лес | переходный | Односторонний или двусторонний | нет | Делит ресурсы между лесами. |
| кратчайший путь | переходный | Односторонний или двусторонний | нет | Сокращает время входа пользователей между двумя доменами в лесу Windows Server 2003. |
События Active Directory для мониторинга
Как и все виды инфраструктуры, Active Directory необходимо отслеживать, чтобы оставаться защищенным
Мониторинг службы каталогов имеет важное значение для предотвращения кибератак и обеспечения наилучшего взаимодействия с конечным пользователем.
Ниже мы перечислим некоторые из наиболее важных сетевых событий, на которые вам следует обратить внимание. Если вы видите какое-либо из этих событий, вам следует провести дальнейшее расследование как можно скорее, чтобы убедиться, что ваша служба не была скомпрометирована
| 4618 | N / A | Шаблон событий безопасности был распознан. |
| 4649 | N / A | Обнаружена повторная атака (возможно, ложноположительный). |
| 4719 | 612 | Политика системного аудита была изменена. |
| 4765 | N / A | История SID добавлена в аккаунт. |
| 4766 | N / A | Не удалось добавить историю SID в учетную запись. |
| 4794 | N / A | Попытка запустить режим восстановления служб каталогов. |
| 4897 | 801 | Разделение ролей включено. |
| 4964 | N / A | Специальным группам был назначен новый вход. |
| 5124 | N / A | Безопасность обновлена в службе ответов OCSP. |
| N / A | 550 | Потенциальная DoS-атака. |
| +1102 | 517 | Журнал аудита был очищен. |
Дополнительная информация
Чтобы настроить конфигурацию пользователя на компьютер, выполните следующие действия:
- В консоли управления групповой политикой Microsoft (MMC) выберите конфигурацию компьютера.
- Найдите административные шаблоны, выберите System, выберите групповую политику, а затем вйдите в параметр Loopback Policy.
Эта политика направляет систему применять набор GPOs для компьютера к любому пользователю, который входит на компьютер, затронутый этой политикой. Эта политика предназначена для компьютеров специального использования, на которых необходимо изменить политику пользователя на основе используемого компьютера. Например, компьютеры в общественных местах, в лабораториях и в классах.
Примечание
Loopback поддерживается только в среде Active Directory. Учетная запись компьютера и учетная запись пользователя должны быть в Active Directory. Если контроллер домена microsoft Windows NT 4.0 управляет любой учетной записью, циклбэк не функционирует. Клиентский компьютер должен быть запущен одной из следующих операционных систем:
- Windows XP Professional
- Windows 2000 Professional
- Windows 2000 Server
- Windows 2000 Advanced Server
- Windows Server 2003
При работе с рабочими станциями пользователям может потребоваться применить параметры групповой политики в зависимости от расположения объекта пользователя. Поэтому мы рекомендуем настроить параметры политики на основе организационного подразделения, в котором находится учетная запись пользователя. Если объект компьютера находится в определенном организационном подразделении, параметры политики пользователя должны применяться в зависимости от расположения объекта компьютера, а не объекта пользователя.
Примечание
Нельзя фильтровать параметры пользователя, которые применяются путем отказа или удаления прав AGP и Read с объекта компьютера, указанного для политики loopback.
Обычная обработка групповой политики пользователей указывает, что компьютеры, расположенные в их организационном подразделении, имеют GPOs, применяемые в порядке во время запуска компьютера. Пользователи в своем организационном подразделении имеют GPOs, применяемые в порядке во время logon, независимо от того, на какой компьютер они войдите.
В некоторых случаях этот порядок обработки может оказаться не подходящим. Например, если вы не хотите, чтобы приложения, которые были назначены или опубликованы пользователям в их организационном подразделении, устанавливались при входе пользователя на компьютер в определенном организационном подразделении. С помощью функции поддержки циклов групповой политики можно указать два других способа получения списка GPOs для любого пользователя компьютеров в этом конкретном организационном подразделении:
-
Режим слияния
В этом режиме при входе пользователя список GPOs пользователя обычно собирается с помощью функции GetGPOList. Затем функция GetGPOList снова вызвана с помощью расположения компьютера в Active Directory. Затем список GPOs для компьютера добавляется в конец GPOs для пользователя. Это приводит к более высокому приоритету для GPOs компьютера, чем КПД пользователя. В этом примере список GPOs для компьютера добавляется в список пользователя.
-
Замените режим
В этом режиме список пользовательских GPOs не собирается. Используется только список GPOs, основанный на объекте компьютера.
Проверьте запись хоста
Выберите инструменты управления — DNS
У по умолчанию будет иметь область contoso.com, запись хоста указывает, что контроль домена dc.contoso.com правильно зарегистрировал свое имя хоста на IP-адрес на DNS-сервер.
Если контроллер домена правильно зарегистрирован в DNS-сервере, должна быть такая папка, как _tcp _udp. После нажатия на папку _tcp вы можете увидеть запись типа данных типа данных в качестве местоположения службы (SRV), указывающее, что DC1.contoso.com был должным образом зарегистрирован в качестве контроллера домена. Также можно увидеть, что глобальный каталог также играет DC1.contoso.com.
Настройка репликации между новым и имеющимся контроллером домена
Мы почти закончили, теперь проверим и запустим репликацию между первичным DC (DC01.vmblog.ru) и новым DC (DC02.vmblog.ru). При копировании информации между этими двумя контроллерами домена данные базы Active Directory будут скопированы из DC01.vmblog.ru в DC02.vmblog.ru. После завершения процесса все данные корневого контроллера домена появятся на новом контроллере домена.
В «Server Manager» выберите вкладку «Tools» затем пункт «Active directory sites and services».
Щелкните правой кнопкой мыши по элементу с именем «automatically generated». Нажмите «Replicate now». Появится предупреждение о запуске репликации между корневым контроллером домена и новым контроллером домена.
Сделайте то же самое для DC01. Разверните вкладку DC01 и нажмите «NTDS Settings». Щелкните правой кнопкой мыши на «automatically generated», затем нажмите «Replicate now». Оба сервера реплицируются друг с другом, и все содержимое DC01 будет скопировано в DC02.
Итак, мы закончили! Вы успешно добавили новый DC и принудительно запустили репликацию между двумя контроллерами домена.
Резервный контроллер домена Linux — Подготовка к установке Samba
-
Проверяем содержимое файла hosts
sudo nano /etc/hosts
Для сервера с именем ag-dc-2, содержимое должно выглядеть следующим образом:
127.0.0.1 localhost.localdomain localhost 192.168.1.101 ag-dc-2.adminguide.lan ag-dc-2
Убеждаемся что команды
ping ag-dc-2 -c 4 ping ag-dc-2.adminguide.lan -c 4
резолвятся на IP 192.168.1.101
ping localhost -c 4
резолвится на 127.0.0.1
-
Проверяем что IP адрес сервера статический.
sudo nano /etc/netplan/*.yaml
Для сервера с IP адресом 192.168.1.101, шлюзом расположенном на роутере 192.168.1.1 и днс сервером на контроллере домена, они должны выглядеть следующим образом:
network: ethernets: ens160: dhcp4: no dhcp6: no addresses: [192.168.1.101/24, ] gateway4: 192.168.1.1 nameservers: addresses: version: 2
-
Резервный контроллер домена Linux — Валидный resolv.conf
Никакие утилиты не должны модифицировать файл /etc/resolv.conf. Команда
ls -l /etc/resolv.conf
должна выводить следующее. Полноценный независимый фаел:
-rw-r--r-- 1 root root 47 окт 16 20:07 /etc/resolv.conf
Если вместо нормального вывода вы видите симлинк:
lrwxrwxrwx 1 root root 39 Nov 6 10:24 /etc/resolv.conf -> ../run/systemd/resolve/stub-resolv.conf
Необходимо отключить и убрать из автозапуска systemd-resolved
sudo service systemd-resolved stop sudo systemctl disable systemd-resolved.service
Убить симлинк
sudo rm /etc/resolv.conf
И создать чистый файл
sudo nano /etc/resolv.conf
Указав в нём адрес локального DNS сервера способного разрешать имена локальной зоны. Для сервера ag-dc-2, находящегося в домене adminguide.lan. Под управлением контроллера с именем ag-dc-1 и IP 192.168.1.100. На данном этапе, содержимое /etc/resolv.conf должно быть следующим:
nameserver 192.168.1.100 search adminguide.lan
192.168.1.100 — адрес уже работающего в сети DNS сервера поднятого на первом контроллере домена. Обязательно перезагрузите сервер и убедитесь что resolv.conf и его содержимое остались на месте.
-
-
Если что-то есть — на нож. Весь сервер. Потом переходим к пункту «Устанавливаем Ubuntu Server 18.04»
-
Убеждаемся что вы настраиваете Ubuntu Server 18.04.
Чистый, только что установленный. Который не использовался ранее ни под какие нужды. Что это не ваша домашняя станция на какой-нибудь богомерзкой макоси. Не сервер в продакшене под полезной нагрузкой. Что вы знаете что делаете и зачем это делаете. А то мало ли. Были прецеденты. Потом люди обижаются. В стиле «У вас тут написано «На только что развёрнутом сервере, зайдите в домашнюю папку и выполните sudo rm rf ./*». Я сделал ровно это же только на своём домашнем NAS сервере в папке где у меня хранятся все все все мои самые ценные данные за всю мою жизнь и всё удалилось! Как вы можете писать такое в мануалах!». Потому убедитесь что это ваш чистый, только что поднятый сервер. Если вы делаете всё в первые, убедитесь что это не прод!
Диагностика состояния нового контроллера домена на Server Core
После окончания установки контроллера домена выполним несколько базовых проверок, чтобы убедится, что новый контроллер домена успешно добавлен в домен, и участвует в репликации.
Вы можете управлять контроллером домена на Windows Server Core с помощью стандартных графических Active Directory () оснасток с другого сервера или компьютера Windows 10 с установленным RSAT ().
На любом компьютере откройте консоль ADUC и проверьте, что в OU Domain Controllers появился новый DC.
После перезагрузки сервера Windows Server Core вам нужно авторизоваться на сервере под учетной записью с правами администратора домена.
С помощью комнадлета Get-ADDomainController проверьте, что контроллер домена определяется в правильном сайте:
Проверьте, что службы Active Directory запущены:
Get-Service adws,kdc,netlogon,dns
Кроме скрытых админских шар должны быть опубликованы сетевые каталоги SYSVOL и Netlogon:
Проверьте, что в Event Viewer есть события от служб ADDS:
Затем выполните тест командой dcdiag (все этапы должны быть Passed), и проверьте репликацию между DC командой:
или
Проверьте где в домене и лесу находятся FSMO роли. Если нужно передайте FSMO роли на новый DC: