Справочный центр ALD Pro 3.1.0
Установка резервного контроллера домена¶
Установка резервного контроллера домена выполняется в два этапа:
подготовка сервера к установке и ввод в домен как обычную рабочую станцию;
назначение серверу роли контроллера домена на портале управлении, повышение роли сервера происходит автоматически благодаря системе автоматизации.
Подготовка к установке резервного контроллера¶
Примечание
Разработчиками операционной системы Astra Linux рекомендовано использовать репозитории из ветки stable, которые соответствуют последней версии системы, но для корректной работы продукта ALD Pro требуется использовать репозитории frozen, чтобы гарантировать полную совместимость пакетов. Информация о поддержке очередных обновлений и возможности обновления операционной системы публикуется в Release Notes.
Для корректных установки и обновления ALD Pro необходимо задействовать репозитории main и update (при его наличии) от ОС Astra Linux, отключив репозитории base.
Для установки резервного контроллера dc-2.ald.company.lan нужно подготовить сервер с такими же техническими характеристиками, как и первый контроллер домена, т.к. реплика будет содержать в базе данных полную копию каталога и должна принять на себя всю нагрузку при отключении основного сервера.
Необходимо убедиться, что на сервере установлена ОС Astra Linux Special Edition с максимальным уровнем защищенности «Смоленск» (совместимость версий ОС и ALD Pro см. в Матрицы совместимости и обновлений). Сделать это можно с помощью следующих команд:
cat /etc/astra/build_version
sudo astra-modeswitch getname
Отключить службу NetworkManager на сервере:
sudo systemctl stop NetworkManager
sudo systemctl disable NetworkManager
sudo systemctl mask NetworkManager
sudo systemctl status NetworkManager
Назначить сетевому интерфейсу статический адрес и другие параметры в файле /etc/network/interfaces:
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 10.0.1.12
netmask 255.255.255.0
gateway 10.0.1.1
На момент установки резервного КД разрешение имен должно выполняться через первый КД, поэтому содержимое файла /etc/resolv.conf должно быть следующим:
search ald.company.lan
nameserver 10.0.1.11
Чтобы применить новые настройки, следует перезапустить службу Networking. Может потребоваться также очистить старое соединение командой flush утилиты ip:
sudo ip addr flush dev eth0
sudo systemctl restart networking
Если IP-адрес реплики будет находиться не в той же подсети, что и первый контроллер домена, то администратору нужно будет вручную добавить соответствующую обратную зону, т.к. автоматическое создание обратных зон отключено по соображениям безопасности (см. Руководство пользователя → Роли и службы сайта → Служба разрешения имен → Перенаправление запросов → Добавление зоны).
Далее необходимо установить имя хоста:
sudo hostnamectl set-hostname dc-2.ald.company.lan
Содержимое файла /etc/hosts на dc-2 должно выглядеть следующим образом:
10.0.1.12 dc-2.ald.company.lan dc-2
127.0.0.1 localhost.localdomain localhost
#127.0.1.1 dc-2 - закомментировать или удалить строку с адресом локальной петли
Проверить доступность контроллера домена dc-1 и сервера репозиториев dl.astralinux.ru можно следующими командами:
ping -c 4 dc-1
ping -c 4 dl.astralinux.ru
Подключение репозиториев ОС Astra Linux Special Edition 1.7.ххх и продукта ALD Pro 3.1.0 выполняется также, как в разделе Развертывание первого контроллера домена:
Содержание файла /etc/apt/sources.list должно быть следующим:
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.xxx/repository-main 1.7_x86-64 main non-free contrib
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.xxx/repository-update 1.7_x86-64 main contrib non-free
1.7.ххх - должно соответствовать оперативному обновлению, установленному на ПК.
При использовании 1.7.ххх с установленным срочным оперативным обновлением (UU) необходимо дополнительно указать frozen репозиторий, соответствующий обновлению.
Пример для 1.7.7.UU2:
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/uu/2/repository-main 1.7_x86-64 main non-free contrib
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/uu/2/repository-update 1.7_x86-64 main contrib non-free
Пример для 1.7.8:
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/repository-main 1.7_x86-64 main non-free contrib
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/repository-update 1.7_x86-64 main contrib non-free
Корректное одержимое файла /etc/apt/sources.list.d/aldpro.list:
deb https://dl.astralinux.ru/aldpro/frozen/01/3.1.0/ 1.7_x86-64 main base
Обновить списки пакетов и программное обеспечение можно следующими командами:
sudo apt update
sudo apt list --upgradable
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confold
Установить клиентскую часть продукта ALD Pro:
sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client
Ввести хост dc-2 в домен ald.company.lan можно следующими командами:
sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain ald.company.lan --account admin --host dc-2 --gui --force
После ввода команды система запросит ввести пароль администратора домена.
Для применения новых параметров требуется перезагрузить сервер:
sudo reboot
Повышение роли сервера до резервного контроллера домена¶
Повышение роли сервера до резервного КД выполняется через портал управления – Управление доменом → Сайты и службы → Контроллеры домена. Необходимо нажать кнопку [Новый контроллер домена] и установить следующие параметры:
Имя контроллера - целевой хост из списка;
Имя сайта - определить сайт, который нужно назначить контроллеру домена;
Назначить роль глобального контроллера - установить флажок, чтобы автоматически установить на сервере модуль глобального каталога;
Назначить роль pkiproxy - установить флажок, чтобы будущий контроллер мог обрабатывать запросы на выпуск сертификатов. Для успешного назначения этой роли на целевом хосте нужно заранее создать файл
/etc/ssl/freeipa/ca.keyи поместить в него закрытый ключ от доменного сертификата.
Рисунок 11 Повышение роли сервера до контроллера домена¶
Роль автоматически применится в течение 30 минут.
Результат установки роли можно увидеть в карточке хоста.
Дополнительную информацию о процессе установки можно получить на целевом хосте в журналах term.log и minion или воспользоваться утилитой journalctl с ключом -f, которая позволяет получить информацию напрямую из systemd:
sudo tail /var/log/apt/term.log
sudo tail /var/log/aldpro-salt/minion
sudo journalctl -f
После успешной установки резервного контроллера домена рекомендуется произвести действия по настройке конфигурационного файла /etc/bind/ipa-options-ext.conf согласно разделу Дополнительные настройки DNS.
Для форсирования установки подсистемы можно использовать следующую команду:
sudo aldpro-roles --iud
Процесс установки виден в выводе команды форсирования, результат установки отображается в карточке сервера на портале управления.
Если установка подсистемы завершится ошибкой, то повторную установку можно будет запустить следующей командой:
sudo aldpro-roles --iud --action install
После установки резервного контроллера домена начнется репликация данных, которая займет некоторое время. Информацию о завершении репликации можно будет увидеть в файле /var/log/dirsrv/slapd-ALD-COMPANY-LAN/errors.
sudo cat /var/log/dirsrv/slapd-ALD-COMPANY-LAN/errors | grep 'import userRoot'
[25/Nov/2024:09:40:09.407239382 +0300] - INFO - bdb_import_monitor_threads - import userRoot: Workers finished; cleaning up...
[25/Nov/2024:09:40:09.641808546 +0300] - INFO - bdb_import_monitor_threads - import userRoot: Workers cleaned up.
[25/Nov/2024:09:40:09.668458995 +0300] - INFO - bdb_public_bdb_import_main - import userRoot: Indexing complete. Post-processing...
[25/Nov/2024:09:40:09.684394481 +0300] - INFO - bdb_public_bdb_import_main - import userRoot: Generating numsubordinates (this may take several minutes to complete)...
[25/Nov/2024:09:40:09.756181641 +0300] - INFO - bdb_public_bdb_import_main - import userRoot: Generating numSubordinates complete.
[25/Nov/2024:09:40:09.770676960 +0300] - INFO - bdb_get_nonleaf_ids - import userRoot: Gathering ancestorid non-leaf IDs...
[25/Nov/2024:09:40:09.784493153 +0300] - INFO - bdb_get_nonleaf_ids - import userRoot: Finished gathering ancestorid non-leaf IDs.
[25/Nov/2024:09:40:09.799225688 +0300] - INFO - ldbm_get_nonleaf_ids - import userRoot: Starting sort of ancestorid non-leaf IDs...
[25/Nov/2024:09:40:09.815333717 +0300] - INFO - ldbm_get_nonleaf_ids - import userRoot: Finished sort of ancestorid non-leaf IDs.
[25/Nov/2024:09:40:09.846484631 +0300] - INFO - bdb_ancestorid_new_idl_create_index - import userRoot: Creating ancestorid index (new idl)...
[25/Nov/2024:09:40:09.893268580 +0300] - INFO - bdb_ancestorid_new_idl_create_index - import userRoot: Created ancestorid index (new idl).
[25/Nov/2024:09:40:09.907374703 +0300] - INFO - bdb_public_bdb_import_main - import userRoot: Flushing caches...
[25/Nov/2024:09:40:09.921178776 +0300] - INFO - bdb_public_bdb_import_main - import userRoot: Closing files...
[25/Nov/2024:09:40:10.723980460 +0300] - INFO - bdb_public_bdb_import_main - import userRoot: Import complete. Processed 3616 entries in 7 seconds. (516.57 entries/sec)