SMB Test Lab – DC1 als Domaincontroller mit Ubuntu und Samba4

Für mein SMB Test Lab gilt das Motto “Open Source first!”. Gerade für kleine und mittlere Betriebe kann diese Herangehensweise in Bezug auf Ihre IT-Infrastruktur massive Vorteile bedeuten. Neben den geringeren Anforderungen an die Hardware, entfallen teure Lizenzen für Windows Server und die Systeme können im Schnitt länger betrieben werden. Funktional stehen moderne Linus-Distributionen Windows Servern in nichts nach. Also stellen wir unser SMB Test Lab auf einen Domänen-Controller auf der Basis von Ubuntu Server 16.04 LTS und Samba4 um.

Prinzipiell hat sich am Entwurf des SMB Test Labs nichts geändert. Wir haben auch weiterhin ein CorpNet welches über den Server EDGE mit dem Rest der Welt verbunden ist. Der INET Server simuliert das große Internet. Auf ihm laufen schon das ERP-System Odoo und ein Mail Server mit Postfix und Dovecot.

DC1 war bis jetzt auf der Basis von Windows Server 2016 Essentials bereitgestellt worden. Hier werde ich jetzt diesen durch eine Lösung mit Ubuntu und Samba4 ablösen. Um den APP1 Server werde ich mich danach kümmern. Dieser Server soll später reine Groupware-Funktionalitäten für das CorpNet zur Verfügung stellen.

Installation DC1

Für meine kleine Musterfirma würde ich hier zum Dell T130 greifen und diesen mit einem XEON E3, 8 GB RAM und 4 x 1 TB Sata HDDs bestücken. Zusätzlich dazu würde ich mir gleich zwei 4 TB externe USB 3.0 Festplatten für die Datensicherung bestellen. Die vier internen Festplatten werden dann in einem RAID 5 zusammengefasst. Eine HotSwap-Funktionalität dürfte bei so einem Server nicht notwendig sein.

Dementsprechend habe ich auch die virtuelle Maschine unter VirtualBox konfiguriert. Hier reicht eine virtuelle Maschine mit einer CPU, 4 GB RAM und 4 virtuellen dynamischen Festplatten mit je 126 GB aus. Der Netzwerkadapter 1 wird mit dem Host-Only Adapter vboxnet0 verbunden.

Bei der Installation von Ubuntu Server 16.04 LTS müssen wir nur darauf achten, dass wir im Schritt Festplatten partitionieren, als Partitionierungsmethode manuell auswählen und dann hier ein Software RAID 5 konfigurieren. Ansonsten läuft die Installation wie gehabt durch. Als Rechnernamen sollten wir hier bei der Installation DC1 vergeben.

Die einzelnen Schritte der Installation habe ich am Ende des Beitrags als Screenshots angefügt.

Installation Samba4

Bevor wir Samba4 installieren und unseren Server DC1 zu einem Domaincontroller machen, müssen wir ein paar kleine Vorarbeiten erledigen. Dafür habe ich mich schon am neu installierten Rechner CLIENT1 angemeldet und dort das Terminal gestartet. Am DC1 habe ich über ifconfig vorher noch schnell die IP-Adresse des Servers abgefragt und mich mit dem folgenden Kommando dann mit diesem verbunden.

Mit dem nächsten Kommando können wir dann unser Netzwerkeinstellungen ändern.

Hier passen wir den Bereich ab # The primary network interface wie folgt an.

Mit STRG+O speichern wir die Konfigurationsdatei und mit STRG+X schließen wir sie. Anschließend können wir das ganze mit einem Reboot mit sudo reboot aktivieren.

Nach dem Neustart können wir uns jetzt mit ssh michael@192.168.56.10 wieder an dem Server anmelden. Mit dem folgenden Kommando holen wir uns jetzt die fälligen Updates.

Und mit dem nächsten Kommando installieren wir die Updates.

Mit dem Kommando sudo -i wechseln wir in den Root-Modus um jetzt Samba zu installieren. Dafür geben wir dann folgendes Kommando ein.

Während der Installation müssen wir 3 Eingaben machen. In der ersten geben wir den den voreingestellten Realm für Kerberos Version 5 ein. Hier geben wir in Großbuchstaben CONTOSO.LOCAL ein.

Anschließend müssen wir den Kerberos-Server für den Realm angeben. Hier geben wir contoso.local dc1.contoso.local ein.

Und zum Schluss müssen wir noch den Administrations-Server für den Kerberos-Realm angeben. Hier tragen wir ebenfalls contoso.local dc1.contoso.local ein.

Konfiguration des Domaincontrollers DC1

Im ersten Schritt sichern wir mit folgenden Kommando die Samba Konfigurationsdatei smb.conf uns weg.

Damit können wir auch schon das Provisioning des Domaincontrollers mit dem folgenden Kommando starten.

Als Realm geben wir CONTOSO.LOCAL ein, als Domain: CONTOSO, als Server Role: dc und als DNS backend: SAMBA_INTERNAL.

Danach drücken wir 4 Mal die Entertaste. Als DNS forwarder geben wir die IP-Adresse des Gateway-Servers EDGE 192.168.56.2 an und drücken die Entertaste.

Anschließend müssen wir noch ein geheimes Passwort für unseren Domain-Administrator hinterlegen und dieses bestätigen.

Danach sollte unsere Domain-Provisioning erfolgreich durchgelaufen sein.

Bevor wir jetzt zum Abschluss unseren Domaincontroller einmal neu starten, müssen wir noch den zweiten DNS-Server aus der Netzwerkkonfiguration herausnehmen. Dazu öffnen wir mit nano /etc/network/interfaces die Konfigurationsdatei und löschen in der Zeile dns-nameservers die IP-Adresse des Gateways 192.168.56.2 heraus.

Danach können wir den Domaincontroller mit dem Kommando reboot neu starten.

Test des Domaincontrollers

Mit den folgenden drei Kommandos können wir nach dem Reboot die Funktion unseres Domaincontrollers testen.

Mein Dank geht an dieser Stelle an Jim Shaver für seine hervorragende Anleitung auf seinem Blog. Hier habe ich die Lösung für meine Konfigurationsfehler gefunden. Leider ist die Anleitung an dieser Stelle im Buch von Stefan Kania Samba 4 erschienen im Rheinwerk-Verlag etwas überholt und auch missverständlich. Trotzdem auch hier in ein Dank für sein Buch mit den ansonsten guten Anleitungen.

Jetzt müssen wir uns noch ein Start-Skript für den Domaincontroller anlegen, damit dieser auch bei einem Neustart wieder funktioniert. Dazu legen wir im Verzeichnis /lib/systemd/system/ die Datei samba-ad-dc.service mit folgenden Inhalt an.

Mit STRG+O abspeichern und mit STRG+X die Datei schließen. Anschließend wir der Deamon mit folgenden Kommando neu gestartet.

Über das folgende Kommando können wir den Status unseres Skripts überprüfen.

Jetzt müssen wir unser Skript nur noch mit dem nächsten Kommando aktivieren.

Jetzt können wir nochmals mit systemctl list-init-files | greb samba überprüfen, ob unser Skript auch aktiviert wurde.

Einmal den Server zum Abschluss neu starten und im nächsten Schritt können wir die Funktion des Domaincontrollers überprüfen.

Screenshots Installation DC1

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.