スキップしてメイン コンテンツに移動

Samba4: 既存のidmap backedn adなドメインにDCを追加する その1

まず最初に、既存のドメイン・サーバに対してネットワークの疎通があること、IPv4/IPv6ともに名前解決ができていること、既存のドメインコントローラと追加のドメインコントローラの時刻があっていることが大前提で、これは、メンバーサーバ・メンバーマシンの前提条件とほぼ同じです。
具体的には、以前に投稿したドメインコントローラ sv63.mydomain.site, 10.1.4.63に対し、以下の前提条件をクリアする必要があります。

1. 同一サブネットにあること(異なるサブネット間でもネットワークの疎通があればOKですが本稿では触れません。)
2. /etc/resolv.confが適切にnameserver 10.1.4.63のエントリーを持ち、ドメイン情報を名前解決できること。
3. 時刻がntpで同期されていること。(5分以内ならOKということをどこかで読んだ記憶がありますが、ntpで同期させるのが確実です。)

今回は、同一サブネットに追加のidmap backend adのad dcを追加してみましたので、1は言わずもがなOKです。
なお、今回追加するAD DCは
sv64.mydomain.site
ipv4 addr: 10.1.4.64/24
ipv6 addr: 2www:xxxx:yyyy:zzzz::64
としています。
続いて2ですが、メンバーマシン・メンバーサーバと同様に/etc/resolv.confは具体的には以下の様になっていればOKです。
#/etc/resolv.conf
search mydomain.site
domain mydomain.site
nameserver 10.1.4.63
nameserver 2www:xxxx:yyyy:zzzz::63
なお、NetworkManagerがインストールされている環境では、前回同様、手動で以下の様に固定にしてみました。
$ sudo su

nmcli con show

nmcli con mod eth0 ipv4.method "manual"
nmcli con mod eth0 ipv4.addresses "10.1.4.64/24"
nmcli con mod eth0 ipv4.gateway "10.1.4.23"
nmcli con mod eth0 ipv4.dns '10.1.4.63'
nmcli con mod eth0 ipv4.dns-search 'mydomain.site'

nmcli con mod eth0 ipv6.method "auto"
nmcli con mod eth0 ipv6.addresses "2www:xxxx:yyyy:zzzz::64/60"
nmcli con mod eth0 ipv6.method "manual"
nmcli con mod eth0 ipv6.gateway "2www:xxxx:yyyy:zzzz::23"
nmcli con mod eth0 ipv6.dns '2www:xxxx:yyyy:zzzz::63'
nmcli con mod eth0 ipv6.dns-search 'mydomain.site'

nmcli con mod eth0 connection.autoconnect "yes"

ネットワークの設定がすんだら再起動し動作確認をします。これもメンバーサーバ・メンバーマシンの追加の場合と同じです。
ping -6 -c 4 sv63.mydomain.site
ping -4 -c 4 sv63.mydomain.site
$ nslookup sv61.dom01.local
Server:         10.1.4.63
Address:        10.1.4.63#53

Name:   sv63.mydomain.site
Address: 10.1.4.63

$ nslookup
> set type=SRV
> _ldap._tcp.mydomain.site.
Server:         10.1.4.63
Address:        10.1.4.63#53

_ldap._tcp.mydomain.site        service = 0 100 389 sv63.mydomain.site.
続いてntpの同期設定をおこないますが、メンバーサーバ・メンバーマシンとはことなり、最初に導入したFSMOマスタのAD DCの設定と同じにしておきますが、その前に、samba関連とntpなど必要なパッケージは先にインストールは済ませておいてください。
sudo apt-get install ntp samba smbclient krb5-config krb5-user \
winbind libpam-winbind libnss-winbind ldb-tools dnsutils rsync acl \
samba-dsdb-modules samba-vfs-modules 
ネットワークの設定などがすんでいたら、
Modify smb.conf to use WINS settings from DHCP?
ときいてくるので、No/いいえを選択してください。 さらに、 kerberos関連の設定を聞かれたら、
RELM: MYDOMAIN.SITE
と入力してください。
パッケージのインストールが済んだら、まず、以下の様にします。
sudo mkdir -p /var/lib/samba/ntp_signd
sudo chown root:ntp /var/lib/samba/ntp_signd/
sudo chmod 750 /var/lib/samba/ntp_signd/
続いて、/etc/ntp.confを編集します。(再掲)
#以下二行にmssntpを追加。
restrict -4 default kod notrap nomodify nopeer noquery limited mssntp
restrict -6 default kod notrap nomodify nopeer noquery limited mssntp

#以下をファイルの最後の方に追加
listen on 10.1.4.64
restrict 10.1.4.0 mask 255.255.255.0 nomodify notrap nopeer noquery

ntpsigndsocket /var/lib/samba/ntp_signd

tinker panic 0
ここまで出来たら、一旦ntpを再起動させておきます。
systemctl restart ntp
これで前提条件はクリアできました。
今回は以上です。次回は、追加dc設定を挙げたいと思います。それでは。

コメント