Настройка Резервного Контроллера Домена

Настройка Резервного Контроллера Домена 2008 R2
Настройка Резервного Контроллера Домена 2003
Настройка Резервного Контроллера Домена Windows Server 2008 R2

В этом разделе рассматривается настройка Samba в качестве первичного контроллера домена (PDC. Настройка аутентификации ssh по публичным ключам. Для настройки резервного контроллера. Подскажите пожалуйста, задача такова. Подняли Контроллер домена, хотим сделать резервный.

В этом разделе рассматривается настройка Samba в качестве первичного контроллера домена (PDC) с использованием smbpasswd в качестве хранилища данных. Первым делом установим Samba и libpam-smbpass для синхронизации учетных записей пользователей, введя в терминале: sudo apt-get install samba libpam-smbpass 2. Далее настроим Samba редактированием /etc/samba/smb.conf. Режим безопасности следует установить user, а рабочую группу следует назвать в соответствии с именем вашей организации: workgroup = EXAMPLE. Security = user 3. В закомментированной секции 'Domains' добавьте или раскомментируйте следующее: domain logons = yes logon path =%N%U profile logon drive = H: logon home =%N%U logon script = logon.cmd add machine script = sudo /usr/sbin/useradd -N -g machines -c Machine -d /var/lib/samba -s /bin/false%u. Add machine script: сценарий, который будет автоматически запущен при создании доверительной учетной записи машины при добавлении рабочей станции в домен.

В этом примере требуется создать группу machines с использованием утилиты addgroup. Подробности смотрите в разделе. Раскомментируйте ресурс homes чтобы указать домашний каталог для входа: homes comment = Home Directories browseable = no read only = no create mask = 0700 directory mask = 0700 valid users =%S 5. При настройке Samba в качестве доменного контроллера требуется настроить ресурс netlogon. Для включения ресурса раскомментируйте: netlogon comment = Network Logon Service path = /srv/samba/netlogon guest ok = yes read only = yes share modes = no.

Оригинальный путь для ресурса netlogon /home/samba/netlogon, но по стандарту иерархии файловых систем (FHS) правильным расположением для данных, касающихся данной системы, является каталог /srv. Теперь создадим каталог netlogon и пустой (пока) файл сценария logon.cmd: sudo mkdir -p /srv/samba/netlogon sudo touch /srv/samba/netlogon/logon.cmd Вы можете ввести любые обычные команды сценария входа для Windows в logon.cmd чтобы настроить клиентское окружение. Перезапустим Samba чтобы запустить контроллер нового домена: sudo restart smbd sudo restart nmbd 8. Наконец существует немного дополнительных команд, требуемых для установки соответствующих прав.

С заблокированным по умолчанию суперпользователем (root), чтобы присоединить рабочую станцию к домену, системная группа должна отображаться на Windows группу Domain Admins. С использованием утилиты net в терминале введите: sudo net groupmap add ntgroup='Domain Admins' unixgroup=sysadmin rid=512 type=d. Замените sysadmin на ту группу, которая вам подходит. Кроме того, пользователь, используемый для присоединения к домену, должен входить в группу sysadmin, также как и в системную группу admin.

Настройка Резервного Контроллера Домена 2008 R2

Группа admin позволяет использовать команду sudo. Если пользователь пока не имеет учетных записей Samba, вы можете добавить их с помощью утилиты smbpasswd, заменив имя пользователя sysadmin на требуемое: sudo smbpasswd -a sysadmin Также требуется явно предоставить права группе Domain Admins чтобы позволить выполнять сценарий добавления машин (и других административных функций). Это может быть достигнуто выполнением команды: net rpc rights grant -U sysadmin 'EXAMPLE Domain Admins' SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege SeRemoteShutdownPrivilege Теперь вы имеете возможность присоединять клиентов Windows к домену таким же образом, как присоединяли их к NT4 домену на Windows сервере. При наличии первичного контроллера домена (PDC) в сети лучше всего иметь также и резервный контроллер домена (BDC). Это позволяет авторизоваться клиентам когда PDC становится недоступен. Когда вы настраиваете Samba в качестве BDC, вам требуется выбрать способ синхронизации учетных записей с PDC.

Существует несколько вариантов достижения этого с помощью scp, rsync или использования LDAP в качестве базы passdb. Использование LDAP является наиболее правильным способом синхронизации учетных записей, поскольку оба контроллера домена смогут использовать одну и ту же информацию в режиме реального времени. Однако установка LDAP сервера может быть излишне сложной для небольшого количества учетных записей пользователей и компьютеров. Смотрите раздел для уточнения деталей. Сначала установим samba и libpam-smbpass. Введите в терминале: sudo apt-get install samba libpam-smbpass 2. Теперь отредактируем /etc/samba/smb.conf и снимем комментарий со следующих записей секции global: workgroup = EXAMPLE.

Security = user 3.В закомментированной секции Domains снимите комментарии или добавьте записи: domain logons = yes domain master = no 4. Убедитесь, что пользователь имеет права на чтение файлов в каталоге /var/lib/samba. Например, чтобы разрешить пользователям группы admin копировать файлы с помощью scp, введите: sudo chgrp -R admin /var/lib/samba 5. Далее синхронизируйте учетные записи пользователей, используя scp для копирования каталога /var/lib/samba с PDC: sudo scp -r username@pdc:/var/lib/samba /var/lib. Замените username на реальное имя пользователя, а pdc на сетевое имя или адрес вашего действующего PDC. Наконец, перезапустим Samba: sudo restart smbd sudo restart nmbd Вам надо проверить, что ваш резервный контроллер домена работает, остановив сервис Samba на PDC, и затем попытаться авторизоваться на Windows клиенте, входящем в домен. Другая вещь, о которой не стоит забывать: если вы настроили опцию logon home как каталог на PDC и он становится недоступен, доступ к домашнему каталогу пользователя также станет невозможным.

Именно поэтому лучше настроить logon home расположенным на отдельном файловом сервере, отличном от PDC и BDC.

Настройка Резервного Контроллера Домена 2003

Один из вариантов построения локальной сети – это сеть на основе сервера. Подобного рода сети используются в том случае, когда количество компьютеров превышает 15-20 штук. В такой ситуации уже неуместно использовать так называемые рабочие группы, поскольку одноранговая сеть с таким количеством узлов не может обеспечить необходимый уровень управляемости и контроля. В этом случае функции контроля лучше возложить на управляющий сервер – контроллер домена.

Для управления работой сервера используются специальные версии операционной системы с расширенными функциями администрирования. Примерами таких операционных систем являются Windows Server 2008 или Windows Server 2012. После установки на отдельный компьютер серверной операционной системы, прежде чем она сможет организовать работу локальной сети, требуется произвести определенные настройки. Серверная операционная система представляет собой универсальный механизм с очень широкими возможностями, или, как их часто называют, ролями. Одной из таковых ролей, причем, наверное, самой сложной и ответственной, является контроллер домена.

Если вы планируете получить эффективный механизм управления пользователями сети, его придется в любом случае настроить. Создание контроллера домена влечет за собой установку такого системного механизма, как Active Directory – основного средства создания, настройки и управления учетными записями пользователей и компьютеров локальной сети. Кроме того, как правило, на контроллер домена сразу же добавляются роли и, что делает сервер законченным и готовым к использованию продуктом. Одним из безусловных плюсов доменной системы является возможность гибкой настройки групповых политик, с помощью которых можно ограничивать доступ не только к программной, но и к аппаратной части компьютера.

Например, легко можно запретить использование DVD-привода, флеш-накопителей и т.д. Групповая политика начинается в момент входа пользователя в сеть, поэтому ему никак не удастся обойти эти ограничения.

Настройка Резервного Контроллера Домена Windows Server 2008 R2

Контроллер домена – наиболее важное и уязвимое место локальной сети, поэтому рекомендуется создавать резервный контроллер. В этом случае дополнительный контроллер домена получает название вторичного, а главный домен становится первичным контроллером домена. Периодически происходит синхронизация данных учетных записей и прав доступа, поэтому в случае выхода из строя первичного контроллера – сразу же подключается вторичный, и работа в сети не прерывается ни на секунду. Кроме того, необходимо обеспечивать пассивную защиту домена путем установки на сервер источника бесперебойного питания.