Debian - Sevidor Secundario do AD não assume (Samba)

nextoblivion
(usa Outra)

Enviado em 22/11/2022 - 16:57h

Olá, eu montei dois servidores Samba4, um DC01 e um DC02, o DC02 eu ingressei ele como secundário, na placa de rede da estação no DNS coloquei os dois IPs, no primário o IP do DC01 e no secundário o do DC02, mais quando eu desligo o DC01 o DC02 não assume, ou seja meu domínio para de funcionar.
Quando eu pingo o meu domínio, eu recebo o IP do DC01, ai quando eu desligo ele da esgotado tempo limite.
Eu queria ter um domínio secundário funcional, para caso o primário dar algum problema a rede não parar, mas não estou conseguindo, tenho quase certeza que o meu problema é de DNS, mais não sei como resolver, alguém pode me ajudar?
Obs.: Estou usando o DNS interno do Samba.

distromaialinux
(usa Debian)

Enviado em 22/11/2022 - 19:57h

Oi amigo, vou tentar te explicar o que eu sei ok. Quando a gente monta um servidor controlador de dominio, é porque se tem uma necessidade de centralização e de controle de uma rede.

Se é esse o caso, então só pode haver 1 Domain Controler na rede e os outros como Member DOMAIN. O Porquê disso:

Em qualquer Linux, a comunicação é feita mais ou menos assim:

Exemplo de rede local:

Dominio.local

Para informar os pcs da rede que existe o servidor de dominio chamado dominio.local, a gente precisa ter configurado o HOSTNAME, IP, DNS. Dentre os serviços que compõem o Samba, existe o Kerberos, Ldap , Winbind, e o Netbiosname. Os arquivos de configuração que nós sabemos que são importantes são o Kerberos e o Winbind, certo! Toda a rede quando precisa se comunicar com o servidor local precisa do serviço de DNS. Para os computadores acharem o servidor na rede é preciso que o Serviço de DHCP esteja configurado de acordo, e apontando para o servidor que libera a rede para ser acessada, digamos que seja o Servidor controlador de dominio.

Você deve estar agora compreendendo então a configuração da placa de rede funcionaria assim:

192.168.2.5 IP Server FIX
255.255.255.0 Máscara de Rede
192.168.2.1 IP GateWay, é a rota até uma rede de nat. Em rede local na configuração do DHCP, este ip se torna o buscador do seu dominio principal.
192.168.2.5 DNS Primário: este tem que vir em primeiro lugar para reconhecer a conexão de do servidor de dominio.
8.8.8.8 DNS Secundario, para encontrar a internet ou outro servidor na rede.

É importante configurar o arquivo /etc/hosts , nele colocar todos os outros servidores que estão na rede.
Exemplo:

192.168.2.5 servidor.dominio.local servidor
192.168.2.6 servidor2.dominio.local servidor2

Mas eu aconselho você a virtualizar o seu servidor. Assim você, conseguirá gerenciar muito mais fácil os servidores da rede. Alem de que é possivel fazer backup de iso imagem Vm. Assim se der qualquer problema futuramente é possivel apenas restaurar com imagem iso.

Por favor, dê uma olhada no sistema VmWare ESXI

Link na descrição: https://www.vmware.com/br/products/esxi-and-esx.html

vchacal
(usa Debian)

Enviado em 22/11/2022 - 21:12h

Acho que ele está se referindo à um segundo DC mesmo. No samba 4 é comum, funciona legal.
Vc ingressa um novo servidor como DC no domínio, assim ele replica todos usuários, grupos, unidades e etc. Menos o sysvol c/ as GPO's, isso tem que ser manual ainda ... direcional c/ rsync por exemplo.
Se o primeiro DC ficar indisponível, o segundo continua em produção ... após o primeiro DC subir novamente eles replicam um p/ o outro.

No cliente vc adicionar os dois DNS ... DNS primário c/ endereço DC1 e DNS secundário c/ endereço DC2. No windows é naquela configuração da placa de rede, no linux é no resolv.conf ... provável que vc já tenha adicionado o dc1, senão nem estaria ingressado, então adiciona o segundo dc tmb. Se tiver DHCP na rede configura ele p/ atribuir os dns sendo os DC's.

Com isso é p/ resolver de boas as consultas p/ o dominio e o que for p/ fora ele faz o forward p/ dns que vc configurou qdo provisionou o domínio "dns google por exemplo".

O distromaialinux comentou a respeito do kerberos, aproveita e faz um kinit administrator e klist em ambos os DC's. Pra atualizar os tickets.

Faz um teste ai, espero que de certo. Depois retorna p/ gente saber blz.

nextoblivion
(usa Outra)

Enviado em 23/11/2022 - 13:26h

Blz amigo, eu uso a VMWare, é que tenho alguns clientes, que tem um segundo servidor (físico) dentro da mesma empresa mais em salas diferentes, para fazer redundância de alguns serviços, a questão de fazer uma cópia do arquivo da VmWare é que até onde eu sei, para cada alteração que eu fizer no AD eu deveria fazer uma cópia do arquivo da VM, e tem duas empresas que tem mais de 150 usuários, então eu teria que rodar muitas vezes está cópia para não ficar desatualizado, mais muito obrigado pela dica.

nextoblivion
(usa Outra)

Enviado em 23/11/2022 - 13:27h

Amigo, tive que sair do laboratório para fazer um atendimento presencial, assim que eu voltar vou testar a sua dica, muito obrigado.

Carlos_Cunha
(usa Linux Mint)

Enviado em 23/11/2022 - 14:25h

Algumas coisas que vc precisa saber, em controladores de domínio padrão AD(da MS) , que é qual o Samba4 "Simula" não existe isso de assumir, todos os seus DCs são Master e vão/devem respondem na rede, ou seja se tudo estiver OK, tanto DC1 quanto o DC2 devem funcionar ao mesmo tempo, ao desligar um, vc vai ter problemas isso é fato, dependendo do tipo de serviço vai ficar fora sim, lentidão em casos assim é muito comum.

Quando resolve o nome do dominio ele precisa apontar para todos os Dcs, se não esta assim, esta faltando algo e precisa resolver, essa parte de dns é muito importante e revise tudo, se isso estiver errado ou faltando coisas, o seu dominio não funcionara correto.

Pode começar por aqui:


Edit:

Recomendo olhar bem o "How To" oficial:



#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

vchacal
(usa Debian)

Enviado em 25/11/2022 - 11:36h

Provisionei um domínio no mesmo esquema, usando backend dns samba_internal e com dois DC's.
Ocorreu o mesmo problema e só funcionou qdo eu migrei o backend dns p/ bind.

Então faz uns testes c/ o seu dns, já verifica em ambos os DC's p/ desencargo.
$ host -t SRV _ldap._tcp.samdom.example.com.
$ host -t SRV _kerberos._udp.samdom.example.com.
$ host -t A dc1.samdom.example.com.

No servidor que estiver c/ problemas, no seu caso o DC2 ... veja se o samba reconfigura o dns.
$ samba_upgradedns --dns-backend=SAMBA_INTERNAL

Faz um updade do dns e veja se apresenta erro.
$ samba_dnsupdate --verbose

Estando tudo ok, derruba um dos servidores p/ testes ... no caso o dc1. O cliente ainda vai estar fazendo pesquisas p/ este dc1 ... então reinicia a maquina e faz um novo teste, que ele pesquisar pelo dc2. Nem precisa ajustar o resolv.conf ... só reinicia e testa.

Em ultimo caso, eu migraria o backend dns.