Objetivo
Descrever os procedimentos envolvidos na configuração de um servidor Linux como Controlador de Domínio Somente Leitura (RODC) de um servidor Windows com os serviços de domínio do Active Directory (AD DS).
Benefícios
– Redução de custos
Empresas com necessidade de implantar servidores de domínio em departamentos e/ou filiais integrados aos servidores da matriz precisam obter uma nova licença para os casos da plataforma Windows. Com a instalação do Linux no papel de servidor de domínio somente leitura é possível obter os serviços sem custo com obtenção de uma nova licença, visto que o Linux possui licenciamento open-source.
– Integração e segurança das redes
Um dos maiores benefícios da integração das redes entre matriz e filial é a centralização das informações, contribuindo para administração eficaz da rede.
Observe como ficará a topologia das redes após a implementação desta solução:
Definições
Samba – É um conjunto de ferramentas UNIX que permite o compartilhamento de serviços entre redes heterogêneas.
AD DS – (do inglês Active Directory Domain Services) é um serviço para autenticação e gerenciamento de objetos nos servidores Windows
RODC – (Servidor de domínio somente leitura) serviço de servidores que não possuem base de dados para autenticação.
Kerberos – Protocolo de rede que permite a comunicação segura e identificadas entre servidores.
Requisitos
Windows Server 2008 com o papel AD DS e DNS devidamente instalados e configurados.
Linux distribu Debian 6 com os serviços Samba 3.5.6, Kerberos, Bind9 devidamente instalados.
Dados:
Nome do domínio para o servidor Windows: contoso.com
Nome do servidor Windows Server: contosowin – IP: 10.0.0.11
Nome do servidor Linux: contosolnx – IP: 10.0.0.21
Nome do desktop Windows XP: contosoxp – IP: 10.0.0.31
Descrição das etapas
Configurações do Linux (contosolnx)
Arquivo /etc/resolv.conf
Adicionar:
nameserver 10.0.0.11
domain contoso.com
search contoso.com
Arquivo /etc/hosts
Adicionar:
10.0.0.11 contoso.com
10.0.0.11 contosowin
Arquivo /etc/krb5.conf
[libdefaults]
default_realm = CONTOSO.COM
[realms]
CONTOSO.COM = {
kdc = contosowin.contoso.com
admin_server = contosowin.contoso.com
default_domain = contoso.com
}
[domain_realm]
.contosowin.contoso.com = CONTOSO.COM
contosowin.contoso.com = CONTOSO.COM
Arquivo /etc/samba/smb.conf
[global]
workgroup = CONTOSO
realm = CONTOSO.COM
map to guest = bad user
server string = %h contosolnx
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
security = ads
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = no
unix password sync = yes
passwd program = /usr/bin/passwd %u
Adicionando servidor Linux ao Active Directory
Antes de adicionar o servidor, sincronize a data/hora entre os servidores:
root@contosolnx: net time set –I 10.0.0.11
Adicionar ao domínio:
root@contosolnx: net ads join –U Administrador
Entrar com a senha do administrador do domínio.
Pronto, agora você tem uma rede integrada!
Atenção:
1. Acesso aos compartilhamentos
Com o comando “security = ads” os computadores que estiverem fora do domínio não conseguirão acessar compartilhamentos do Samba e este comando é necessário para adicionar o servidor Linux ao domínio Windows. Depois de adicionar o servidor este comando poderá ser substituído por “security = user” caso o administrador de rede deseje que o compartilhamento seja acessado por qualquer computador.
2. Adicionar computador ao domínio
Para adicionar os computadores da filial indique o DNS do servidor Linux (contosolnx), pois caso haja indisponibilidade do servidor da matriz, a rede da filial não sofre com isso.
3. Aplicação de GPO
Para que a GPO seja implementada com sucesso nos computadores e usuários rede da filial, o computador cliente precisa estar configurado com o Servidor de DNS preferencial apontado para o Linux e o Servidor de DNS secundário apontado para o servidor Windows.
Referências:
MCTS 70-640 Configuração do Windows Server 2008 – Active Directory