ActiveDirectory – 家鯖構築日記

我が家のインフラToDo 2017

そろそろ我が家のインフラも老朽化が著しく、リプレースを検討中。
今動いてる24時間運転マシンを2台に減らすべく構想中。

ネットワーク線も引き直して、外への出口はNuro光とフレッツ光VDSLの2本立てかな。（フレッツはグローバルIP用）

その１Linuxサーバ
セキュリティはガチガチ（基本グローバルからのインバウンドは全部禁止。必要最低限だけ開ける）
Samba＋Netatalkは必須
グローバルアドレス向けNICは必須
RAID Cardは新調。SSDキャッシュできるもの。６GBでいいかなぁ？
P●3カードは2枚入れる
（最近触ってないけどChinachuかなぁ？それともepgrecかなぁ？）
※BCASカードは3枚目投入・・・・いくら半額でもちょっと高いよなぁ・・・・
RAIDカードはキャリーオーバー
（ほんとはこの際に入れ替えたい。SSDのキャッシュも積んでみたい）
バックアップ用のHDDは別途検討（多分８TBか10TBを1本）
（内蔵RAIDの中身を単発の玉に毎日rsyncして、一朝有事の際にはそれだけ持って逃げようと画策中）
nginxでリバプロして、グローバルからのリクエスト振り分け
（wwwとかblogとかその他のサービス）
php-fpmで高速化を図る予定
apcupsd入れてちゃんとシャットダウンさせる
お試しでGuacamole(https://guacamole.incubator.apache.org/)も入れるか
Windows ActiveDirectory鯖新調
Win2016鯖にする予定（この際だから新規にADも作り直そうかな）
Office365も契約見直してEnterpriseにしちまうか。
有線ルーター（RT1200の設定見直し）
懐に余裕ができたらAWSとのインターネットVPN接続復活して、向こう側にドメコン置く予定
※懐具合ではフレッツは後回しかも
無線ルータのリプレース
Appleのヤツだと電波イマイチなので、どうしようか悩み中。
不要機器の処分
多分4台くらい廃棄。無料で回収してくれるところを探さないと・・・・
回線のリプレース
クソ遅いVDSLからNuro光に入れ替え予定
Nuro光。うちは8Fだけどファイバー引いてくれるらしい。
※契約して３ヶ月。工事の音沙汰は全くないわけですが。
http://nuro-h.com/index.html

さてさて・・・鯖に一体おいくら万円かかるのかしら・・・・。
ざっくりこんな感じ？
–2017/6/7追記　RAIDカード忘れてました

ADAPTEC ASA-7805H SGL HBAカード PCIe Gen3対応 7Hシリーズ SAS/SATA HBA PMC Sierra 日本正規代理店品 SC1384 2280800-R

ADAPTECジャパン ACK-I-mSAS4x4-4SATAx1-SB-0.7 R 2272300-R

Intel CPU Core i7-7700 3.6GHz 8Mキャッシュ 4コア/8スレッド LGA1151 BX80677I77700 【BOX】

ASUSTeK Intel Z270搭載マザーボード LGA1151対応 PRIME Z270M-PLUS 【microATX】

CORSAIR DDR4 メモリモジュール VENGEANCE LPX Series 8GB×2枚キット CMK16GX4M2A2666C16

SilverStone ATX対応ストレージPCケースホットスワップベイ8基 SST-CS380B 正規代理店品

Corsair RM650x 80PLUS GOLD認証取得 650W静音電源ユニット PS593 CP-9020091-JP

ENERMAX エナーマックス 3.5インチベイ内蔵モバイルラックホットスワップ対応【SSD/ SAS/ SATA6Gbps対応】 EMK3101

東芝 XG3シリーズ 256GB M.2 2280 PCI-Express 3.0 x4接続 NVMe SSD MLC Read 最大2516 MB/s Write 最大1572MB/Sec 超寿命MLC THNSN5256GPU7

アダプテックジャパン Adaptec RAID 5805 RoHS KIT / 2244100-R ASR-5805 RoHS KIT

WD SSD 内蔵SSD 2.5インチ 1TB WD Blue WDS100T1B0A/SATA3.0/3年保証

TP-Link WiFi 無線LAN ルーター 11ac/n/a/g/b デュアルバンド(866+300Mbps) Archer C55 (Nitendo Switch 動作確認済:利用推奨環境:4人/3LDK/2階建)

[`fc2` not found]

我が家のインフラToDo

WordPressでToDo管理出来るようなプラグインないかなぁ・・・・・。
Google Calendarと連動出来ればいうこと無いんだけど。
こうやって散発的に書いてると忘れるので。
（それにしてもやること多いな）

これまでSambaに挑戦したり、
netatalkに挑戦したり、
色々もんどり打ちましたが、何とか出来上がったようです。

今のところ、アカウントとDNSはActive Directoryが。
SMBは、Samba4が。AFPはNetatalkがやってくれてます。

が、残課題もあります。
こいつはちょっと時間のあるときに試してみようと思います。
・ネットワークゴミ箱機能
　（Sambaに有るのは何となく解ってるんですが、Netatalkにあったかな？）
・システムバックアップの取得
　　こいつはちょっとイケないことをしないとダメかも。TSMのお勉強がてら色々やってみますかね。流石にAIXじゃ無理なのでLinuxで。
　　でも肝心のStorage鯖のバックアップはどうするかな
・UPSの接続と設定
　　少なくともStorage鯖と追加するNAS分位はUPSで保護しないと。
　　VMwareの方は、まぁ最悪vCenterから落とす方向で。
・二次バックアップの実施
　　今Google Driveに１TB、OneDriveに１TBあるので、そいつらをStorage鯖から見えるようにして、定時バックアップを取るように。
・Muninでちゃんと統計を残す
　　やりかけで放ったらかしですが、そろそろちゃんとやって傾向見ないと。
・UPSをもう2台買い足す
　　500VAのUPSを後2台足したい。
　　こんだけ分ければ時間持つかな。
　　（バッテリー駆動時間を計算する必要がありますが）
・ESXiホストをもう一台追加する。
　　なんでこんな事やってるかって？
　　今はvSANやってみたいんです。（コレも結構な投資になるよなぁ・・・・・）
・AWSのVPCにもウチのドメイン伸ばしてやる
　　VPCのお勉強がてら、色々やってみたいんです。（VPNで繋がるトコまでは来ました）
　　1個1年間無償で使えるインスタンスはあるんで、そいつもADに参加させないと。
　　（此処は固定費が発生しますが、今のところ吸収できるかな。AWSに関するSkill付けないと）
・ｖShpere6を試す。
　　メモリさえ増えれば、ESXi on ESXiか物理鯖をもう一台足して・・・・・（電気代はさておき）
・Storage鯖のDisk周り見直し
　　３TB*7本に持って行きたいです。（RAID6+HotSpare）
　　後、FastPathやら高速化系を色々やりたいんです。

後は某社NAS見たいなWebGUIですかね。
コレはコマンドレベルで管理できるので、無くてもいいんですが。

それにしてもiSCSIをしゃべるNASがもう一個欲しい。
（VMware絡みのバックアップも、今のストレージ鯖の一次バックアップも取りたいんですよね）

よかったら、他の記事も見てやってくださいませませ。

[`fc2` not found]

CentOS７でSambaに挑戦 Part1 目標を決める。

[`fc2` not found]

sambaでActive DirectoryのDCになってみようとしてみた・・・

＃色々試行錯誤しましたが、やはりオフィシャルのドキュメントは鉄板です！
＃英語ですが、是非読んで下さい！！！

！！！！超重要！！！！

現行のsamba4（ウチでは4.3.0pre1）では、まだWindows2012モードがサポートされて
いないので、Windows20008R2モードを使用してください！！！
（私はコレでずいぶん時間を浪費してしまいました・・・orz）

sambaがひと通り入ってる事が前提です。
今運用中のDNSサーバを使います。
ローカルアドレス専用のDNSを用意してる状態です。

が・・・色々やっても動かなかったので、自前ビルドで行くことにしました(泣)
（samba-clientが何処探しても見つからなかったので・・・・）

ビルドにあたって足りないパッケージを入れます。
yum install python python-devel
yum install ncurses ncurses-devel
yum install systemd-devel

ビルドにあたって付けたオプションはこんだけです。
（RHEL7なんで、systemdは必須だったので）
./configure –prefix=/usr –bindir=/usr/bin –sbindir=/usr/sbin –libexecdir=/usr/libexec –localstatedir=/var/log –sysconfidir=/etc –with-systemd –enable-fhs

無事ドメインには参加するためにはkerberosが必要ですが、時刻同期が大切。
これを先にやっつけましょう。

[root@balthasar ~]# chown root:ntp /var/lib/samba/ntp_signd/

1	[root@balthasar ~]# chown root:ntp /var/lib/samba/ntp_signd/

bind周りの設定で、これを忘れるとbind起動しません！！
お忘れなきように！！

[root@balthasar dns]# chgrp named /var/lib/samba/private
[root@balthasar dns]# chmod 750 /var/lib/samba/private/

1 2	[root@balthasar dns]# chgrp named /var/lib/samba/private [root@balthasar dns]# chmod 750 /var/lib/samba/private/

ドメインに参加します。

Set-ADForestMode -Identity "admkazuya.org" -ForestMode Windows2008R2Forest
Set-ADDomainMode -Identity "admkazuya.org" -DomainMode Windows2008R2Domain

1 2	Set-ADForestMode -Identity "admkazuya.org" -ForestMode Windows2008R2Forest Set-ADDomainMode -Identity "admkazuya.org" -DomainMode Windows2008R2Domain

念のため、1台目のドメインコントローラーを再起動したあと、ドメインに参加させます。

[root@balthasar ~]# samba-tool domain join ADMKAZUYA.ORG DC -Uadministrator --realm="ADMKAZUYA.ORG" --option="interfaces=lo enp4s0"
Realm [ADMKAZUYA.ORG]: 
 Domain [ADMKAZUYA]: 
 Server Role (dc, member, standalone) [dc]: 
 DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: BIND9_DLZ
Administrator password: 
Retype password: 
Looking up IPv4 addresses
More than one IPv4 address found. Using 10.250.1.254
Looking up IPv6 addresses
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=admkazuya,DC=org
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=admkazuya,DC=org
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Setting up fake yp server settings
Once the above files are installed, your Samba4 server will be ready to use
Server Role:           active directory domain controller
Hostname:              balthasar
NetBIOS Domain:        ADMKAZUYA
DNS Domain:            admkazuya.org
DOMAIN SID:            S-1-5-21-2686527719-2870116341-1605591451

[root@balthasar ~]# samba-tool domain join ADMKAZUYA.ORG DC -Uadministrator --realm="ADMKAZUYA.ORG" --option="interfaces=lo enp4s0"

Realm [ADMKAZUYA.ORG]:

Domain [ADMKAZUYA]:

Server Role (dc, member, standalone) [dc]:

DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: BIND9_DLZ

Administrator password:

Retype password:

Looking up IPv4 addresses

More than one IPv4 address found. Using 10.250.1.254

Looking up IPv6 addresses

Setting up secrets.ldb

Setting up the registry

Setting up the privileges database

Setting up idmap db

Setting up SAM db

Setting up sam.ldb partitions and settings

Setting up sam.ldb rootDSE

Pre-loading the Samba 4 and AD schema

Adding DomainDN: DC=admkazuya,DC=org

Adding configuration container

Setting up sam.ldb schema

Setting up sam.ldb configuration data

Setting up display specifiers

Modifying display specifiers

Adding users container

Modifying users container

Adding computers container

Modifying computers container

Setting up sam.ldb data

Setting up well known security principals

Setting up sam.ldb users and groups

Setting up self join

Adding DNS accounts

Creating CN=MicrosoftDNS,CN=System,DC=admkazuya,DC=org

Creating DomainDnsZones and ForestDnsZones partitions

Populating DomainDnsZones and ForestDnsZones partitions

See /var/lib/samba/private/named.conf for an example configuration include file for BIND

and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates

Setting up sam.ldb rootDSE marking as synchronized

Fixing provision GUIDs

A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf

Setting up fake yp server settings

Once the above files are installed, your Samba4 server will be ready to use

Server Role: active directory domain controller

Hostname: balthasar

NetBIOS Domain: ADMKAZUYA

DNS Domain: admkazuya.org

DOMAIN SID: S-1-5-21-2686527719-2870116341-1605591451

が・・・動かない・・・・orz
色々時間の都合があって、今回はここまで。

[`fc2` not found]

Related posts:

Related posts:

Related posts:

Related posts: