Debian 10: Установка и настройка Samba Active Directory

Контроллер домена в компьютерных сетях построенных на Microsoft Server — сервер, контролирующий область компьютерной сети (домен).

Что это такое?

Наличие общих каталогов для доступа к определенным документам и файлам является важной проблемой в бизнес-среде. Системным администраторам необходимо найти удобное решение для обмена общими данными.

Distributed File System (DFS) (Распределенная файловая система) — это продукт Microsoft для упрощенного доступа пользователей к географически распределенным файлам. DFS позволяет создавать деревья виртуальных каталогов, объединяющих общие папки по всей сети.

Существует два типа DFS:

  1. Namespace DFS (Пространство имен DFS) — виртуальное дерево, объединяющее общие папки из всей сети. Возможно настроить несколько пространств имен DFS.
  2. Replication DFS (Репликация DFS) — создает реплицированную общую папку и отслеживает изменения в файлах.

Структуры в Active Directory

Структуру важно понимать для эффективного администрирования Active Directory, так как правильные методы хранения и организации являются ключом к построению безопасной иерархии. Ниже приведены некоторые основные структурные аспекты управления Active Directory:

  • Домены. Домен AD — это совокупность объектов, таких как пользователи или устройства, которые совместно используют политики, и базы данных. Домены содержат идентифицирующую информацию об этих объектах и имеют DNS-имя. Групповая политика может применяться ко всему домену или подгруппам, называемым организационными единицами (OU).
  • Деревья. Несколько доменов AD в одной группе называются деревьями. Они совместно используют конфигурацию сети, схему и глобальный каталог. Существует правило доверия с деревьями — когда новый домен присоединяется к дереву, ему сразу же доверяют другие домены в группе.
  • Леса. Лес — это группа деревьев, которые совместно используют одну базу данных. Это вершина организационной иерархии в AD. Один лес должен быть использован для каждого отдела. Важно отметить, что администраторы пользователей в одном лесу не могут автоматически получать доступ к другому лесу.
Читайте также:  4 причины отсутствия звука на компьютере или ноутбуке

Компоненты GPO

Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.

Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей”  называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.

Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.

Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

  • Централизованная настройка пакета программ Microsoft Office.
  • Централизованная настройка управлением питанием компьютеров.
  • Настройка веб-браузеров и принтеров.
  • Установка и обновление ПО.
  • Применение определенных правил в зависимости от местоположения пользователя.
  • Централизованные настройки безопасности.
  • Перенаправление каталогов в пределах домена.
  • Настройка прав доступа к приложениям и системным программам.

Установка DNS и DHCP

Устанавливаем DNS  и если нужно, то DHCP на новый сервер. Заходим в Установку и удаление программ (Add or Remove Programs) и выбираем пункт установка компонентов Windows (Add/Remove Windows Components). В разделе Сетевые службы (Network Services) ставим галочки напротив DNS и DHCP и устанавливаем их.

Вполне вероятно что при установке AD, заодно поставился и DNS, поэтому не пугайтесь если DNS уже установлен.

Установка DNS и DHCP

На обоих контроллерах домена выставляем в настройках DNS, адрес нового сервера.

 Цели, риски и этапы проекта:

 Основная цель проекта:

Перестроение ИТ-инфраструктуры в соответствии с нормами ИТ-безопасности, получение управляемой структуры.

Читайте также:  Служба ComProxy для Windows

 Потенциальные риски:

Перенос данных сервера возможен только в выходные дни. Необходимо уложится в сжатые сроки по настройке серверов.

Задачи проекта (этапы):

  • закупка оборудования,
  • развертывание системы виртуализации с переносом серверов,
  • настройка ролей серверов,
  • перенос данных пользователей,
  • настройка регламентов доступа к ресурсам.

Основные пункты и принципиальная схема реализации ТЗ на систему.

NN Описание работы трудозатраты

(час)

1 Составление ТЗ и настройка Cisco ASA. Перенастройка локальной сети на новые параметры (смена ip адреса сервера, перепрописание баз 1с каждому пользователю, смена IP у Dect-телефонов, принтеров.) 8
2 Перенос текущего сервера (контроллера домена) на виртуальную машину. Установка и конфигурирование RAID контроллера, сбор RAID массива. Установка гипервизора VMware ESXI 6
3 Перенос сервера на гипервизор VMware ESXI. Установка 4 виртуальных машин. 8
4 Установка Ролей на виртуальные машины — СУБД, Active Directory, Терминальный сервер, Файловый сервер. 16
Настройка планов резервного копирования. 4
5 Ввод пользователей. Создание групп безопасности. Настройка файлового сервера, связок пользователь 1С — пользователь Active Directory Windows Server 8
6 Перенос баз 1С в SQL. Настройка уровней доступа и планов обслуживания. Настройка мониторинговых отчетов. 4
7 Ввод пользователей в домен Active Directory. Перенос данных из локальных профилей в доменные. 16
8 Подключение компьютеров к сети через патч-корды, перенос сетевого оборудования в серверную, пусконаладка. Настройка wi-fi в отдельном vlan (отдельно от корпоративной сети). 4
Итого 74

Бэкап

В официальной документации подробно всё описано, поэтому первоначально стоит ознакомиться с информацией там.

После настройки благоразумно будет обеспечить резервное копирование Samba. Есть несколько типов резервирования: “Online” и “Offline”.

Online делает копию работающей базы DC:

samba-tool domain backup online —targetdir=<output-dir> —server=<DC-server> -UAdministrator

Offline создает резервные копии файлов Samba:

samba-tool domain backup offline —targetdir=<output-dir>

Каждая команда создает файл резервной копии , который содержит полную резервную копию домена (на основе данного DC). Затем файл резервной копии можно использовать для восстановления домена с помощью команды «samba-tool domain backup restore».

Использовать ту или иную схему бэкапа нужно в зависимости от ситуации. В обычных случаях Online-бэкап самый простой и быстрый, но в случае каких-то неполадок и для их расследования и устранения лучше подойдёт Offline-бэкап, т.к. содержит в себе дополнительные данные.

В идеале можно комбинировать оба способа, настроив бэкап по крону с созданием нужного кол-ва копий.

Современная техника - портал Миникод