Bueno una vez tenemos la red montada con un Controlador de active directory DC01 y sus respectivas maquinas añadidas al dominio, como un freenas8 y un server samba, montaremos un segundo controlador de active directory con windows 2003 -DC02- y verificaremos que las maquinas siguen pudiendo entrar al dominio, así como los cambios que seran necesarios (freenas 8 y un server samba)
Configuracion DC01
- IMPORTANTE: el DC01 debe tener las zonas del DNS integradas al ActiveDirectory, sino no se replicará en el DC02. Esta tonteria me tuvo 1 dia investigando de el porque no se replicaba las zonas del DNS.
- Para hacerlo: ir a la consola de dns - propiedades de la zona - boton CAMBIAR del tipo, dejarlo como zona principal pero activar el check de integrado en el Active directory. Idem para la zona de resolucion inversa.
Configuracion DC02
- Configuramos el TCP/IP del servidor con una IP fija y que tenga el DNS el servidor DC01
- Añadimos el servidor al dominio como una maquina normal y reiniciamos.
- Entramos como administrador del dominio
- Instalamos el servicio de DNS desde agregar/quitar programas - componentes de windows. Lo dejamos sin configurar.
- Ejecutamos dcpromo y seguimos el proceso. Simplemente seleccionar "Añadir controlador de dominio en dominio EXISTENTE".
- Reiniciar
- Al arrancar ya se le debería haber replicado todo con lo que vemos los usuarios y maquinas del dominio, así como las DNS.
- Ponemos el Servidor como Catalogo global en: Sitios y servicios de Active Directory - Sites - NombrePredeterminado - Servers - DC02 - NTDS Settings - Boton derecho propiedades - activar catalogo global.
- Cambiamos las propiedades TCP/IP para que el servidor DNS principal sea el mismo y el secundario sea DC01.
- Cambiar las maquinas clientes para que tengan como server DNS secundario el DC02.
FreeNas 8
Si DC01 peta para que funcione el FreeNas con el dominio hay que hacer lo siguiente ya que en su configuracion del active directory solo pones el servidor principal (o inicial):
- Paramos los servicios
- Ponemos DC02 como server DNS en Red - Configuracion Global
- Ponemos el servidor NTP el DC02 en Sistema - Configuracion
- En Servicios - AD cambiamos la configuración para indicar que el servidor ahora es DC02.
- Activamos servicios
- Reiniciamos.
- Comprobemos que todo funciona ok con net ads testjoin, wbinfo -u, wbinfo -g y que podamos acceder a los recursos compartidos (por ejemplo desde DC02 y las ACL de seguridad sean correctas).
Samba
- Paramos los servicios: stop smbd, stop nmbd, /etc/init.d/winbind stop
- Actualizamos /etc/resolv.conf y añadimos el nameserver IP_DC02. Quizas es buena idea ponerlo ANTES que el nameserver IP_DC01 en caso de que el dc01 este muerto (por ejemplo para testear que funciona bien solo con DC02, sino, prueba con dc01 cada peticion dns y espera el timeout antes de probar con dc02... lentitud...)
- cambiamos los archivos de configuracion de kerberos: /etc/krb5.conf y añadimos en el apartado [realms]:
- Verificamos que los recursos compartidos tienen las ACL correctamente con getfacl asi como el owner y el grupo bien.
En este caso es mas "facil" que FreeNas porque podemos indicar en el /etc/krb5.conf los 2 servidores del dominio así no hay que tocar nada (como mucho cambiar el orden de las dns) si falla alguno. Supongo que con FreeNAS, modificando a pelo el conf del kerberos tb funcionaría.
Configuracion DC01
- IMPORTANTE: el DC01 debe tener las zonas del DNS integradas al ActiveDirectory, sino no se replicará en el DC02. Esta tonteria me tuvo 1 dia investigando de el porque no se replicaba las zonas del DNS.
- Para hacerlo: ir a la consola de dns - propiedades de la zona - boton CAMBIAR del tipo, dejarlo como zona principal pero activar el check de integrado en el Active directory. Idem para la zona de resolucion inversa.
Configuracion DC02
- Configuramos el TCP/IP del servidor con una IP fija y que tenga el DNS el servidor DC01
- Añadimos el servidor al dominio como una maquina normal y reiniciamos.
- Entramos como administrador del dominio
- Instalamos el servicio de DNS desde agregar/quitar programas - componentes de windows. Lo dejamos sin configurar.
- Ejecutamos dcpromo y seguimos el proceso. Simplemente seleccionar "Añadir controlador de dominio en dominio EXISTENTE".
- Reiniciar
- Al arrancar ya se le debería haber replicado todo con lo que vemos los usuarios y maquinas del dominio, así como las DNS.
- Ponemos el Servidor como Catalogo global en: Sitios y servicios de Active Directory - Sites - NombrePredeterminado - Servers - DC02 - NTDS Settings - Boton derecho propiedades - activar catalogo global.
- Cambiamos las propiedades TCP/IP para que el servidor DNS principal sea el mismo y el secundario sea DC01.
- Cambiar las maquinas clientes para que tengan como server DNS secundario el DC02.
FreeNas 8
Si DC01 peta para que funcione el FreeNas con el dominio hay que hacer lo siguiente ya que en su configuracion del active directory solo pones el servidor principal (o inicial):
- Paramos los servicios
- Ponemos DC02 como server DNS en Red - Configuracion Global
- Ponemos el servidor NTP el DC02 en Sistema - Configuracion
- En Servicios - AD cambiamos la configuración para indicar que el servidor ahora es DC02.
- Activamos servicios
- Reiniciamos.
- Comprobemos que todo funciona ok con net ads testjoin, wbinfo -u, wbinfo -g y que podamos acceder a los recursos compartidos (por ejemplo desde DC02 y las ACL de seguridad sean correctas).
Samba
- Paramos los servicios: stop smbd, stop nmbd, /etc/init.d/winbind stop
- Actualizamos /etc/resolv.conf y añadimos el nameserver IP_DC02. Quizas es buena idea ponerlo ANTES que el nameserver IP_DC01 en caso de que el dc01 este muerto (por ejemplo para testear que funciona bien solo con DC02, sino, prueba con dc01 cada peticion dns y espera el timeout antes de probar con dc02... lentitud...)
- cambiamos los archivos de configuracion de kerberos: /etc/krb5.conf y añadimos en el apartado [realms]:
kdc = dc02.test.local- Reiniciamos los servicios o la maquina entera, ya funciona todo ok, lo podemos probar con el net ads testjoin, wbinfo -u, wbinfo -g
- Verificamos que los recursos compartidos tienen las ACL correctamente con getfacl asi como el owner y el grupo bien.
En este caso es mas "facil" que FreeNas porque podemos indicar en el /etc/krb5.conf los 2 servidores del dominio así no hay que tocar nada (como mucho cambiar el orden de las dns) si falla alguno. Supongo que con FreeNAS, modificando a pelo el conf del kerberos tb funcionaría.
Comentarios