ブランクがあるインフラエンジニアの備忘録

SAMBAのクライアント機能③（net）

◆net コマンド
　netコマンドは、多数のサブコマンドを提供する多機能なコマンドです。以下にLinuxマシンからリモートのWindowsマシンを操作するサブコマンドを取り上げます。

【書式】 net 共有オプション … プロトコル　サブコマンド　サブコマンド固有のオプション

□共通オプション
・netコマンドの主な共通オプション

オプション	説明
-U ユーザー名 --user ユーザー名	認証時に使用するWindowsユーザー名
-W ドメイン名 --workgroup	認証に使用するドメイン名
-I IPアドレス	接続先マシンのIPアドレス
-S サーバー名 --server サーバー名	接続先のサーバー名

□プロトコル
・プロトコルの種類

引数	説明
ads	Kerberos認証を使用する（Active Directoryが前提）
rpc	通常の認証方式を使用する。（MS-RPC）
rap	古い認証方式を使用。

□サブコマンド

・netコマンドの主なリモート管理用サブコマンド
コマンド	なし	RAP	RPC	ADS	機能
【状況表示】
net session	〇	〇	－	－	セッションの状況表示
net status	〇	－	－	－	共有アクセス状況の表示
【リモートマシン上のユーザー、グループの管理】
net user	〇	〇	〇	〇	ユーザーの追加、削除、変更など
net group	〇	〇	〇	〇	グループの追加、削除、変更など
net password member	〇	〇	〇	〇	リモートマシン上のユーザーのパスワードの変更
【リモートマシン上のファイル・プリンタ共有】
net share	〇	〇	〇	－	共有の作成、削除など
net file	〇	〇	〇	－	ファイルの使用状況の確認など
net printq	〇	〇	－	－	サーバーの印刷キューの管理
【リモートマシンの管理】
net service	〇	〇	－	－	対象マシン上で動作しているサービスの管理
net rpc abortshutdown	×	×	〇	×	対象マシンのリモートシャットダウン中断
net rpc shutdown	×	×	〇	×	対象マシンのリモートシャットダウン

□リモートマシンのユーザーの管理

# net -S WINSV2022AD -U Administrator%Passw0rd rpc user

Administrator

aduser01

aduser02

Guest

kenniti

krbtgt

kunio

・主なユーザー管理コマンド用サブコマンド

コマンド	機能
net user	該当マシン（ドメイン）上のユーザー一覧
net user info ユーザー名	ユーザーの所属グループの表示
net user add ユーザー名	ユーザーの追加
net user delete ユーザー名	ユーザーの削除
net user rename ユーザー名新しいユーザー名	ユーザー名の変更

□リモートマシンのグループ管理

# net -S WINSV2022AD -U Administrator%Passw0rd rpc group　#Windowsサーバのグループ一覧

Cloneable Domain Controllers

DnsUpdateProxy

Domain Admins

Domain Computers

Domain Controllers

Domain Guests

Domain Users
（略）

・主なグループ管理コマンド

コマンド	機能
net group	該当マシン（ドメイン）上のグループ一覧の表示
net group members グループ名	グループメンバーの一覧の表示
net group add グループ名	グループ追加
net group delete グループ名	グループ削除
net groupmember add グローバルグループ名ユーザー名	グローバルグループへのユーザー追加
net groupmember delete グローバルグループ名ユーザー名	グローバルグループからのユーザー削除

□リモートマシンの共有の管理

# net -S WINSV2022AD -U Administrator%Passw0rd rpc share　#Windowsサーバの共有一覧

ADMIN$

IPC$

kyouyuu

NETLOGON

SYSVOL

temp

民俗学研究

□まとめ

net share ：

ローカルリソースの公開や、公開した共有リソースの確認、変更、公開削除を行うためのコマンド。

net use ：

共有リソースとして公開されているネットワークドライブの確認や、共有リソースをローカルで使用するためのドライブへのマッピングの作成、削除を行うためのコマンド。

net view ：

特定のコンピューターが公開している共有リソースの一覧を調べるためのコマンド。

net file ：

公開したローカルリソースのうち、外部のコンピューターで使用されているファイルの一覧の表示、強制終了を行うためのコマンド。

net session ：

ローカルの共有リソースにアクセスしているクライアントの一覧表示や強制終了を行うためのコマンド。

net print ：

共有プリンタの情報や印刷キューの情報の表示や設定を行うためのコマンド。

例題
問題集139頁問8
Windowsクライアントの操作 - Linux技術者認定 LinuC | LPI-Japan
Windowsクライアントの操作 - Linux技術者認定 LinuC | LPI-Japan

SAMBAのクライアント機能➁(mount、smbcacls、smbcquotas、rdesktop)

◆Windowsマシンのファイル共有のマウント
□事前作業
# mkdir smb1　　　　　　#共有のマウント先を作成
# dnf install cifs-utils　　　#cifsをインストールしないとエラーになる

# mount -t cifs -o rw,user=aduser01 //WINSV2022AD/temp smb1

Password for aduser01@//WINSV2022AD/temp:

[root@pro ~]# df

ファイルシス 1K-ブロック使用使用可使用% マウント位置

devtmpfs 4096 0 4096 0% /dev

tmpfs 900988 0 900988 0% /dev/shm

tmpfs 360396 5588 354808 2% /run

/dev/mapper/almalinux-root 17141760 5136636 12005124 30% /

/dev/sda2 983040 517524 465516 53% /boot

/dev/sda1 613160 7228 605932 2% /boot/efi

tmpfs 180196 52 180144 1% /run/user/42

tmpfs 180196 36 180160 1% /run/user/0

//WINSV2022AD/temp 51709948 12044728 39665220 24% /root/smb1 #マウントを確認

# cd smb1/　　　　#以下、動作確認

# ls

test.txt testdir

# mkdir mounttest

# cd mounttest/

# touch success.txt | echo '成功！' > success.txt

# cat success.txt

成功！

Windows共有のtempフォルダ以下にmounttestフォルダが作成され、mounttest内の success.txtが作成されており、「成功！」と書かれていることを確認します。

□アンマウント

# umount smb1/

# df

ファイルシス 1K-ブロック使用使用可使用% マウント位置

devtmpfs 4096 0 4096 0% /dev

tmpfs 900988 0 900988 0% /dev/shm

tmpfs 360396 5584 354812 2% /run

/dev/mapper/almalinux-root 17141760 5132640 12009120 30% /

/dev/sda2 983040 517524 465516 53% /boot

/dev/sda1 613160 7228 605932 2% /boot/efi

tmpfs 180196 52 180144 1% /run/user/42

tmpfs 180196 36 180160 1% /run/user/0　#//WINSV2022AD/temp の行が無くなっていることを確認。

□cifsの主なオプション

オプション	説明
user=ユーザー名	認証時に使用するWindowsユーザー名
password=パスワード	認証時に使用するパスワード
domain=ドメイン名	認証時に使用するドメイン名
guest	空のパスワードを指定
credentials=ファイル名	認証時に使用するWindowsユーザー名、パスワードを格納したファイル
uid=ユーザー名	マウントしたファイル共有内のファイル、ディレクトリに設定する所有者ユーザー名もしくはUID
gid=グループ名	マウントしたファイル共有内のファイル、ディレクトリに設定する所有グループ名もしくはGID
file_mode	マウントしたファイル共有内のファイル、ディレクトリに設定するパーミッション
dir_mode	マウントしたファイル共有内のディレクトリに設定するパーミッション
noperm	パーミッションによる制御を無効化するか
setuids	新規に作成するファイル所有者や所有グループをLinuxの通常動作に準じて設定するか

□認証情報の入力
　-o userオプションで指定するユーザー名を「user=ユーザー名%パスワード」という構文を記載することで、Windowsパスワードを同時に入力することが出来ますが、credentialsオプションを指定したファイルから読み取る方が、セキュリティ的には望ましい。

# touch /etc/cifs-utils/.credentials | echo -e "user=aduser01\npassword=Passw0rd" > /etc/cifs-utils/.credentials　　　#「\n」は改行コード。改行しないと対話式ログインになってしまう。

# cat /etc/cifs-utils/.credentials　　#ユーザー名とパスワードが2行で作成されていることを確認

user=aduser01

password=Passw0rd

# mount -t cifs -o rw,credentials=/etc/cifs-utils/.credentials //WINSV2022AD/temp smb1　#パスワード抜きでログイン出来ることを確認。

# df

ファイルシス 1K-ブロック使用使用可使用% マウント位置

devtmpfs 4096 0 4096 0% /dev

（略）

//WINSV2022AD/temp 51709948 12045876 39664072 24% /root/smb1　#マウントされている事を確認。

◆リモートマシン上のアクセス許可の操作

# smbcacls -U Administrator%Passw0rd //WINSV2022AD/temp test.txt　　#Windowsサーバ上の共有ファイル「temp.txr」のアクセス許可の表示

REVISION:1

CONTROL:SR|DI|DP

OWNER:BUILTIN\Administrators

GROUP:NORA\Domain Users

ACL:NORA\Administrator:ALLOWED/I/FULL

ACL:BUILTIN\Administrators:ALLOWED/I/FULL

ACL:NT AUTHORITY\SYSTEM:ALLOWED/I/FULL

ACL:NORA\aduser01:ALLOWED/I/FULL

ACL:NORA\aduser02:ALLOWED/I/READ

◆リモートマシン上のクォーター設定の操作

# smbcquotas //WINSV2022AD/C$ -U Administrator%Passw0rd -F　#Windowsサーバ上のディスククォータの表示

File System QUOTAS:

Limits:

Default Soft Limit: 18446744073709551615

Default Hard Limit: 18446744073709551615

Quota Flags:

Quotas Enabled: Off

Deny Disk: Off

Log Soft Limit: Off

Log Hard Limit: Off

□smbcquotasコマンドの主なオプション

引数	説明
-L --list	各ユーザーのクォータ設定を表示
-F --fs	各ボリュームのクォータ設定を表示
-S クォータ設定 --set クォータ設定	各ボリュームのクォータ設定を変更

◆リモートマシンのGUIへの接続
　WindowsマシンではRDPというプロトコルにより、リモートのWindowsマシンに接続できる。RDPプロトコルはTCPポート3389番を使う。

【書式】rdesktop IPアドレス:[ポート番号] オプション

例題
問題集138~139頁問4,5,7
ファイルサービス - Linux技術者認定 LinuC | LPI-Japan
ファイルサービス - Linux技術者認定 LinuC | LPI-Japan
CIFS連携 - Linux技術者認定 LinuC | LPI-Japan
CIFS連携 - Linux技術者認定 LinuC | LPI-Japan

SAMBAのクライアント機能➀（smbclient、smbtar、smbget）

◆smbclientコマンドによるファイル伝送
□Windowsサーバ（ファイルサーバー）側の設定
・Cドライブ直下に共有フォルダ「temp」を作成
・「temp」フォルダに「aduser01」の「読み取り／書き込み」の権限を付与します。
・「temp」フォルダ内に「test.txt」ファイルを設置します。
・「temp」フォルダ直下に「testdir」フォルダを作成します。

　上記共有フォルダにLinuxクライアントからアクセスし、「test.txt」の取得及び、「testdir」フォルダに「smb.conf」ファイルを設置します。

【書式】smbclient //サーバー名/共有名 -U ユーザー名

# smbclient //WINSV2022AD/temp -U aduser01　#WINSV2022ADの共有フォルダへアクセス

Password for [NORA\aduser01]:

Try "help" to get a list of possible commands.

smb: \> get test.txt

getting file \test.txt of size 19 as test.txt (1.4 KiloBytes/sec) (average 1.4 KiloBytes/sec)

smb: \> cd testdir\

smb: \testdir\> put /etc/samba/smb.conf smb.conf

putting file /etc/samba/smb.conf as \testdir\smb.conf (26.0 kb/s) (average 26.0 kb/s)

smb: \testdir\> quit

・Linuxクライアント側でtest.txtを取得したことを確認します。

# ls

test.txt

・WindowsサーバのtestdirフォルダにLinuxクライアントから設置したsmb.confファイルが存在することを確認します。

上記確認後、次の検証のためにtestdir上の「smb.conf」ファイルを削除します。

□バッチ処理でファイル転送
　パスワード入力を自動化したうえで、-cオプションに続いて操作コマンドを記述することで、smbclientによるバッチ処理を実現できます。複数の操作コマンドを記述する場合は「;」で区切る為、「'」で囲むのを忘れないように。上記の例と同じ操作をバッチ処理で実行するには以下のようになります。

# smbclient //WINSV2022AD/temp -U aduser01%Passw0rd -c 'dir; get TEST.TXT; cd testdir; put /etc/samba/smb.conf smb.conf; quit'

. D 0 Thu Oct 24 23:49:13 2024

.. DHS 0 Thu Oct 24 23:40:36 2024

test.txt A 19 Thu Oct 24 23:36:46 2024

testdir D 0 Fri Oct 25 00:00:22 2024

12927487 blocks of size 4096. 9922252 blocks available

getting file \TEST.TXT of size 19 as TEST.TXT (3.7 KiloBytes/sec) (average 3.7 KiloBytes/sec)

putting file /etc/samba/smb.conf as \testdir\smb.conf (199.4 kb/s) (average 199.4 kb/s)

・Linuxクライアント側でTEST.TXT を取得したことを確認します。

# ls

TEST.TXT test.txt

・WindowsサーバのtestdirフォルダにLinuxクライアントから設置したsmb.confファイルが存在することを確認します。

◆Windowsマシンのプリンタ共有へ印刷
　smbclientではプリンタ共有に対する印刷も出来ます。印刷だけでなく印刷キューの制御も可能です。次の例では¥¥WINSV2022AD¥printerというWindowsマシンのプリンタ共有に対してaduser02がWindowsユーザーとして接続を行い、tiger.psというファイルを印刷します。

# smbclient //WINSV2022AD/printer -c 'print tiger.ps' -U aduser02%Passw0rd

◆smbtarスクリプトによるファイルの一括バックアップ、リストア
　smbtarはWindows共有からファイルの一括バックアップ・リストアを実施します。

□smbtarの主なオプション

オプション	説明
-r	サーバーへのリストアを指定。本オプションが指定されていない場合はバックアップ設定。
-v	冗長モード
-u ユーザー名	認証時に使用するWindowsユーザー名
-p パスワード	認証時に使用するパスワード
-s サーバー名	接続先のサーバー名
-x 共有名	接続先の共有名
-d フォルダ名	バックアップ・リストア対象のフォルダ名
-t ファイル名	バックアップ先のファイル

以下はWINSV2022AD サーバーの共有フォルダtempをbackup.tarというファイル名でバックアップを取得しています。

# smbtar -s WINSV2022AD -x temp -u aduser01 -p Passw0rd -t backup.tar

# ls

TEST.TXT backup.tar

◆smbgetコマンドによるファイルの一括転送
　smbgetはWindowsマシンの共有フォルダからファイルの一括ダウンロードを実現するコマンド。smbclientでも同様なことが出来ますが、より簡単。

【書式】smbget -R smb://ユーザー名:パスワード@サーバー名/共有名

□smbgetの主なオプション

オプション	説明
-u ユーザー名 --username=ユーザー名	認証時に使用するWindowsユーザー名
-p パスワード --password=パスワード	認証時に使用するパスワード
-w ドメイン名 --workgroup=ドメイン名	認証時に使用するドメイン名
-a guest	ゲスト認証を指定
-R --recursive	再起的にファイルを取得

【重要】smbclientとsmbgetで同じ意味を表す引数の名称や文法が微妙に異なっているので混同しないように注意。

# smbget -R smb://aduser01:Passw0rd@WINSV2022AD/temp

例題
問題集138頁問1～3,6
CIFS連携 - Linux技術者認定 LinuC | LPI-Japan

トラブルシューティング④　メール

◆メールの問題の切り分け
□送信と受信
　メールは、送信と受信で異なるプロトコルを使っています。そのため、トラブルの原因を分析する際は、送信トラブルか受信トラブルかを区別します。メールソフトの多くは、ワンタッチで送信と受信を行えるようになっているので、一見すると区別がつきませんが、エラーメッセージを確認するといずれのエラーかを区別出来ます。
　受信と送信の両方に異常がある場合は、メール受信を先に復旧させます。その理由は２つあります。
　1点目は、メール送信でPOP before SMTPを利用している場合があるからです。この場合、メールを送信するには、メール受信の処理で正常に認証される必要があります。
　2点目は、運用面での問題回避の為です。メール送信は、その内容に問題がなければ他の人が代わって送ってもらうことも可能ですが、メール受信は必ず本人のメールアカウントでなければ受信できません。

□エラーが発生する処理の特定
　トラブルの原因分析の際は、メール処理の流れをイメージします。

　前段階の処理の成功が確認できていない状態で、後の処理を調査しても意味がありません。例えば、メールアカウントやパスワードをチェックする前に、メールサーバーへの接続は必ず確認されている必要があります。

□認証関係
　メールサーバーに接続できても、IDやパスワードの誤りによってエラーとなる場合があります。メールサーバーに接続する為のIDを、メールアドレスまたは回線に接続するためのIDと誤っている場合があります。またメールアドレスをIDとして利用する場合も、”@”以降を付ける場合と付けない場合があります。まず、正確なIDやパスワードを使っているのかを確認します。
　また、付加的な認証機能についても注意します。具体的には次の点がメールサーバーに合っているかを確認します。
●APOP
●SMTP認証
●POP before SMTP

□メールのサイズ
　メールサーバーによって、扱える最大サイズが異なります。ファイルを添付する場合には注意が必要です。特に受信メールサーバーは、サイズ超過を通知しないことが多いので注意します。受信メールサーバーが通知しないのはDoS攻撃対策の為です。
　送信時のサイズの見積もりにも注意が必要です。ファイルはそのままの形ではメールに添付することはできません。そのため、添付可能な形に変換されます。このときにサイズが膨らみます。したがって、上限に近いサイズのファイルは送信できなくなります。

□文字化け
　文字化けが発生している場合は、大半はコード系のミスマッチが原因です。コード系とは、文字を内部形式で表現する方式のことです。コード系が異なれば、同じ文字でも内部的に表現される数値が異なります。たとえば「愛」は、シフトJISコードでは16進数の88A4、EUCコードではA6B0 となります。通常は、メールソフトがコード系を自動的に判断しています。この自動判定がうまくいかないと、文字化けが発生します。このような場合は、メールソフトでコード系を変更すると、正常に表示できます。

トラブルシューティング③　インターネット接続

◆インターネット接続の問題の切り分け
□近くから遠くへの原則
　インターネット接続の異常を調べる際には、近くから遠くへの原則が特に重要になります。インターネットを利用したネットワークでは、組織内や家庭内のネットワークに原因があるのか、インターネットに原因があるのかという点から切り分けを始める必要があります。インターネットが原因であると判断する為には、まずLANが正常であることが前提になります。家庭での利用であれば、ルーターとパソコンの接続がLANに相当します。

□正常な範囲の確認
　まず、正常に動作している範囲を正確に把握します。正常な範囲を特定するだけでも原因分析が進むこともあります。例えば、ネットワーク内に複数のパソコンがある場合は、1台でもインターネット接続できれば、ルーターの全般的な設定や回線は正常です。

□性能の問題
　性能に関するトラブルには、tracertコマンドが役立ちます。tracertコマンドは、宛先までのネットワーク経路を表示するコマンドです。

　途中で経由するIPアドレスの他に、応答時間がミリ秒単位で表示されています。応答時間が３つ表示されているのは、1回だけの測定では誤差があるので3回測定しているためです。もし、応答時間が急増しているポイントがあれば、そこが性能を低下させている原因です。このように、全体の性能を低下させている原因をボトルネックと呼びます。
　ボトルネックが回線やインターネットの中にあれば、技術的対処は出来ません。ボトルネックがISPのルーターならば、ISPに性能改善を依頼し改善されるのを待つか、ISPを変更するかのいずれかしか対応方法がありません。
　ボトルネックが組織内または家庭内のネットワークにあれば、性能低下の原因を分析します。
主な性の低下の原因は以下になります。

階層	性能低下の原因
アプリケーション層プレゼンテーション層　セッション	パソコンの処理性能ファイアウォールの処理性能
トランスポート層	セッション管理の負荷
ネットワーク層	ルーターの性能
データリンク層	LANスイッチの性能無線LANの暗号化処理の負荷
物理層	電磁波ノイズ、ケーブルの不良無線LANにおける電波干渉

◆パソコンの異常
□設定の確認
　パソコンから見て、最も近くにあるのは自分自身です。したがって、パソコン自身の設定の確認をまず行います。インターネット接続においては、特に次の4点をipconfig/allコマンドで確認します。
●IPアドレス
●サブネットマスク
●デフォルトゲートウェイ
●DNSサーバーのIPアドレス

□デフォルトゲートウェイが間違っている場合の現象
　デフォルトゲートウェイの設定が間違っていると、ルーターより遠くへの通信が出来ません。デフォルトゲートウェイの異常は、LAN側インターフェイスと回線側インターフェイスがそれぞれについて、pingによるルーターへの接続確認を行うことにより発見できます。ルーターの回線側インターフェイスは、ルーターの状態表示画面などで確認出来ます。

　デフォルトゲートウェイに異常があれば、LAN側インターフェイスへの接続確認は成功しますが、回線側インターフェイスへの接続確認は失敗します。なお、ルーター自身がセキュリティ対策の為にICMPを遮断していると、同じ現象が起きるので注意してください。
　ルーターの回線側インターフェイスのIPアドレスが0.0.0.0の場合は、回線接続に失敗しています。この場合は、ルーターを起点にして近くから遠くへ設定を確認していきます。

□DNSサーバーの指定が誤っている場合の現象
　DNSサーバーの指定が誤っていると、名前解決が出来なくなります。この場合の名前解決とは、ホスト名からIPアドレスの対応づけです。IPアドレスとホスト名の両方でpingを実行し、IPアドレスで接続確認が成功する一方、ホスト名で接続確認が失敗する場合は、DNS関係の設定が原因です。
　ただし、DNS関係の設定が原因だとして特定できても、それがパソコンに設定されているとは限りません。ルーターのDNSリレー機能を利用している場合は、ルーターに設定されているDNSサーバーのアドレスを確認する必要があります。

◆ルーターや回線の異常
□ルーターの状況表示
　ルーターや回線に異常がある事が疑われたら、ルーターの状態表示画面で状況を確認します。状態表示画面で異常があれば、ルーターの設定を確認します。

　例えば「PPPoE状態」が「異常」となっていれば、これは接続が失敗している状態です。ルーターによっては、状態表示画面で原因が表示されるものもあります。ルーターの状態表示で原因が表示されない場合は、ルーターのログを確認します。

□回線の動作確認
　ルーターと、ONUやADSLモデムとの問題の切り分けは簡単ではありません。Windowsの標準機能であるPPPoE機能を使用すると、ルーターを介さずにパソコンをONUやADSLモデムと直接接続してインターネット接続出来るので、PPPoE機能で接続できればルーターに問題があり、回線やONUまたはADSLモデムに異常がないことが確認出来ます。

□ルーターのセキュリティ設定
　家庭向けブロードバンドルーターは、出来るだけ少ない設定で使用できるように、工場出荷の時の状態で様々な設定がなされています。場合によっては、セキュリティ向上のために一部の通信を遮断するように設定されています。
　例えば、ICMPプロトコルが遮断されている場合があります。この場合は、ルーターを越えてpingによる応答確認をすることはできません。そのため、pingを使って外部との接続確認を行うためには、セキュリティ設定を確認します。
　なお、ルーターのセキュリティ設定を変更する場合は、その影響範囲を慎重に確認することが必要です。安易な変更はセキュリティレベルを低下させます。

◆インターネットサーバーとの接続確認
□pingコマンドの限界
　インターネットで利用するWebサーバーやメールサーバーへの接続確認にpingコマンドが使えないことがあります。これはサーバーがDoS攻撃対策のためにpingへの応答を止めている場合です。また、セキュリティ対策のために、ルーターがICMPの通信をすべて遮断している場合もあります。このような場合は、正常に接続されていてもpingへの応答はありません。

トラブルシューティング➁　ネットワーク

◆ネットワークのトラブルの原因分析のポイント

□原因分析の優先順位付け
　全ての範囲を見ることは、原因分析の効率的な作業をするためにも必要です。
　原因分析は、「近くから遠くへ」の原因に則って調査していきます。

　　ここでは、3台のPC1～3がインターネットに接続しており、このネットワークで、左のPC1でインターネットが利用出来なくなるトラブルが発生した場合を想定します。ここで異常が起きている経路だけ調べようとするのは、正しい分析方法ではありません。まず、どこで異常でどこが正常なのかを把握します。
　PC1だけが異常で他のパソコンは正常ならば、ルーターや回線は正常です。この場合は、パソコンに異常があると考え、パソコンを起点にして近くから遠くへ分析します。逆に、PC1だけでなく他の全てのパソコンも異常ならば、全てのパソコンが一度に異常をきたすことは稀である為、先ずはルーターや回線等の共通部分に異常がある事を考えます。この場合は、ルーターを拠点にして近くから遠くへ分析します。
　このように、最初にすべてを見て状況を把握しないと、原因分析の起点を見誤ってしまいます。すべてを見て状況把握することの目的の一つは、原因分析の正しい優先づけを行うことです。

◆状況の分析
□結線の確認
　下から上への原則によると、最下層にあるのは物理層です。物理層では結線のトラブルがよく発生します。
　結線の確認をする際には、ネットワーク構成図を用意します。まずは机上で正しい結線状態を整理してから、実機での確認を行います。ネットワーク構成図を用意せずに、考えながら結線確認を行うと、思わぬ見落としが出ます。
　ネットワーク構成図が存在しない場合は、現状の構成からネットワーク構成図を起こします。その際には、次の点も整理します。
　●機器の接続関係
　●ケーブルを接続するポート（ルーターのLAN側ポート、HUBのアップリンクポート）
　●ケーブルの種類（ストレートケーブルとクロスケーブル）
　なお、IPアドレスなどの情報または記紀の配置の情報が必要な場合は、別途、構成図を作成します。異なる階層の情報を一つの構成図にまとめると煩雑になります。

□IPインターフェイスの状況
　IPレベルでのインターフェイスの状況を確認するには、コマンドプロンプトの画面でipconfigコマンドを利用します。「/all」オプションを付けることにより、詳細な情報を表示できます。DNSサーバーのIPアドレスやコンピューター名を確認する場合には、「/all」オプションが必要です。IPアドレスを手動で設定している場合と、自動で取得している場合では表示内容が異なります。自動で取得している場合は、DHCPサーバーのIPアドレスや、IPアドレスのリース開始/終了事項も表示されます。ipconfigコマンドで得られた情報を基に、以下の項目が適切に設定されているか確認します。

IPアドレス	・値は正しいか・他のコンピューターと重複していないか
サブネットマスク	・値は正しいか
デフォルトゲートウェイ	・同一ネットワーク上のルーターアドレスが指定されているか
DNSサーバーのIPアドレス	・正しいアドレスが指定されているか
コンピューター名	・他のコンピューターと重複していないか
DHCPサーバーのIPアドレス	・適切なサーバーアドレスになっているか
IPアドレスのリース開始時刻	・有効期限が切れていないか
IPアドレスのリース終了時刻	・「169.254」で始まるIPアドレスが設定されていないか

□APIPA（Auto Private IP Address）
　DHCPサーバーからのIPアドレスの自動取得に失敗した場合は、ローカルPC同士でネゴシエートし、IPアドレスを自動的に割り当てます。その範囲が169.254.1.0~169.254.254.255となります。ipconfigコマンドを実行し、「169.254」で始まるIPアドレスが設定されている場合は、DHCPサーバーのIPアドレスの再取得を行うか、手動でIPアドレスの設定を行います。
　DHCPサーバーからIPアドレスの再取得を行う場合は、以下のコマンドを実行します。

　ipconfig /release　：　IPアドレスの返却
　ipconfig /renew　：　IPアドレスの再要求

　なお、LANケーブルに接続されていない場合、または無線LANでアクセスポイントに接続されていない場合は、「イーサネット　アダプター　ローカル　エリア接続」で「メディアは接続されていません」と表示されます。

□タスクバーへの状況表示
　ネットワーク接続が切れやすい状況では、ネットワークへの接続状態を常に表示できると便利です。Windowsでは通知領域アイコンの設定で、ネットワークについて「アイコンと通知の表示」に設定すれば、タスクバーの通知領域にネットワークの接続状況をアイコンで表示できます。この機能を有効にすると、ネットワークのトラブルがあった場合、警告のアイコンやメッセージが表示されます。

◆接続の確認
□有線ＬＡＮにおける接続の確認
　有線LAＮにおける接続は、ネットワーク機器のリンクランプで確認可能。
　また、LANの伝送性能を示すリンクスピードを確認出来ます。リンクスピードは、100BASE-TXならば100Mbps、1000BASE-Tならば１Gbpsです。LEDの色でどのリンクスピードで接続しているかを確認出来ます。

□無線LANの接続
　無線LANを使用している場合、[設定]→[ネットワークとインターネット]→[Wi-Fi]を選ぶと、以下のように接続状態が表示されます。また、タスクバーのネットワークアイコンをクリックしても確認出来ます。「接続」の表示によって、無線LANレベルでは正常である事を確認出来ます。

□無線LANにおける接続の確認
　無線LANには物理的なポートが無い為、アクセスポイントの外観を見るだけでは接続が正常であるか確認出来ません。しかし、多くのアクセスポイントでは、設定画面の中で接続相手の無線LAN端末の一覧を表示する機能を持っています。
　無線LANでの接続状況を確認する際には、電波状況やリンクスピードについても確認が必要です。電波状況が悪い場合は、ノイズ源を調べて可能な限り除去します。ノイズ源が外部にある場合には、チャネルの見直しを行います。
　無線LANでの接続に異常がある場合は、物理層とデータリンク層に分けて分断します。簡単にいえば、物理層では電波が届く事の確認、データリンク層では届いた電波に乗せてデータが届いていることを確認します。なぜなら、無線LANのセキュリティ対策に誤りがあると、電波が届いても、利用できない場合があるからです。したがって、原因分析を進める際には、一時的にセキュリティ機能を無効にして、単純に接続できるか確認します。なお、セキュリティ昨日を無効にする際は、不正侵入による被害を抑えるためにアクセスポイントをLANから切り離します。

□IPレベルでの接続の確認
　ネットワークの接続状況を確認するには、pingコマンドを使います。インターネットに接続している場合は、pingコマンドが使えない場合があります。
　pingコマンドの書式は、次の通りです。
　ping 127.0.0.1　　　　　　→TCP/IPが正しく動いている
　ping ルーターのアドレス　→LANインターフェイスが正しく動作している
　ping <リモートホストのIPアドレス>　→正しくルーティングが出来ている
　ping <リモートホストのコンピューター名>　→DNSによる名前解決が出来ている。

□パソコン以外からの接続の確認
　ルターや無線LAN、アクセスポイントなどもpingを実装している。

□ping使用時の注意
　パソコンやネットワーク機器によっては、pingを返さないものもあります。これはセキュリティの為に、pingに応答しない様に設定している為です。
　パソコンの場合は、Windowsファイアウォール機能によりICMPが遮断されていると、このような現象が発生します。Windowsファイアウォール機能は、インストール直後の状態ではpingを返さないように設定されています。市販のパーソナルファイアウォール製品でも、インストール直後の状態でpingを返さないものが多く存在します。
　ICMPをすべて遮断することによるセキュリティ的なメリットより、トラブル発生時にpingが使えないデメリットの方が大きければ、pingへの応答をするように設定します。また、pingへの応答を許可する場合は、できるだけ組織内LANからの接続確認要求にのみ応答するように設定します。

注意）Windows10の場合、ファイルとプリンターの共有（エコー要求）を有効化にしても、pingが通らない場合があります。その際は、一旦Windowsファイアウォールを無効化して確認します。その場合はネットワークが安全である事を確認してから操作します。

トラブルシューティング➀　ファイル共有

◆ファイル共有の問題の切り分け

□状況把握のポイント
　原因分析の際は、次のどの箇所に異常があるかを意識します。
　　●サービスを利用する側のPC（クライアント）の設定
　　●サービスを利用する側のPC（サーバー）のフォルダに関する設定
　　●サービスを利用する側のPC（サーバー）のユーザーアカウントに関する設定
　ファイル共有の異常が発生したら、先ずは次の点を確認します。
　　●全てのクライアントか、一部のクライアントか
　　●全てのユーザーアカウントか、一部のユーザーアカウントか

　例えば、全てのクライアントと全てのユーザーアカウントで異常が発生したら、ほぼサーバー側の原因と特定出来ます。

◆ファイル共有の場合の階層
　ファイル共有の異常と判断する為には、最低限、IPレベルでの通信が確認出来ていなければなりません。これは、下から上への原理の一つです。ファイル共有の異常を分断する場合は、階層を次の様に考えます。

◆コンピュータ名の表示のトラブル
□コンピュータ名の表示方法
　コンピューター名の表示を確認するにはコンピュータの検索を利用。コンピュータの検索を行っても表示されない場合には異常があると判断します。

□名前解決
　名前解決の有無を確認するにはコンピューター名とIPアドレスの両方で接続確認を行います。pingでIPアドレス、コンピューター名のそれぞれで宛先の接続確認を行います。

　名前解決に異常がある場合は、次の点をチェックします。
　●コンピューター名の設定
　●ネットワーク構成の確認
　●hostsファイルの内容

　1点目のコンピューター名の設定では、正しいコンピューター名が設定されているか確認します。他のコンピューターが誤って重複した名前を付けている場合も、名前解決に異常が発生する場合があります。
　2点目は、ネットワークを越えてファイル共有を行っている場合の注意点です。ファイル共有における名前解決はおもにブロードキャストを使っています。そのため、他のネットワークのコンピュータに対しては名前解決を行えません。ネットワークの変更によって、クライアントとサーバーが異なるネットワークに変更されると、ブロードキャストによる名前解決が行えなくなります。このような場合は、hostsファイルやDNSサーバーにより名前解決を行う必要があります。
　●hostnameコマンドで確認可能。
　3点目は、上記のhostsファイルについての注意点です。hostsファイルを利用している場合、コンピューター名やIPアドレスに変更があればhostsファイルも修正する必要があります。
　●nslookupコマンドで確認可能

□ファイル共有の異常
　IPアドレスレベルで接続できない場合、ファイル共有レベルで接続の異常が発生しています。この場合、次の点などを確認します。
　●サーバー側のファイル共有機能
　●Windowsファイアウォールの設定
　1点目は、共有フォルダーが置かれているサーバー側で、ファイル共有の機能が有効になっていることの確認です。次に示すように「Microsoftネットワーク用ファイルとプリンター共有」が無効になっていると、ファイル共有は利用できません。

　2点目のWindowsファイアウォール設定では、ファイル共有の通信が遮断されていないかを確認します。Windowsファイアウォールをはじめとして、パーソナルファイアウォール製品には、インストール直後の条立ちでファイル共有を禁止しているものがあります。そのような場合には、パーソナルファイアウォールの設定を変更する必要があります。
　Windowsファイアウォールでは次のように「ファイルとプリンターの共有」を有効にします。

　ファイアウォール製品でファイル共有を許可する設定は、製品によって異なります。すべて地力で設定しなくてはならない場合、ファイル共有が使用する宛先ポート番号を許可する様に設定します。ファイル共有が使用するポート番号は次の通りです。

機能名ポート番号プロトコル

netbios-ns　 137 TCP,UDP

netbios-dgm　 138 UDP

netbios-ssn　 139 TCP

netbios-ds　 445 TCP,UDP

◆共有フォルダーへのアクセスのトラブル
□アクセス権
　コンピューター名の一覧から共有フォルダーの一覧までは表示出来る一方、共有フォルダーの中には表示できない場合には、アクセス権を確認します。
　以下の流れで確認作業をします。

１．共有フォルダーのあるコンピューターを操作し、エクスプローラで、対象フォルダーの「セキュリティ」の「詳細設定」を開きます。

２．「有効なアクセス」タブを開き、アクセス権の設定状況を確認します。

3．共有フォルダーのアクセス権を一旦「everyone:フルコントロール」の設定にし、再度他のコンピューターからアクセスします。

□同時接続数
　ドメインに参加しておらず、ワークグループ環境の場合、同時接続数の上限は20です。20を超える場合はドメインに参加する必要があります。
　なお、同時接続では、一度、共有フォルダーにアクセスすると、ログオフするまで接続状態は継続します。共有フォルダーを閉じても接続は切れないので注意が必要です。

□0文字パスワードのユーザーアカウント
　Windowsのデフォルト設定では、パスワードが0文字（空白パスワード）のユーザーアカウントは、ファイルやプリンターを共有はできません。0文字パスワードを持つユーザーアカウントは、セキュリティ敵に危険な存在しとして扱われるため、ユーザーアカウントには適切なパスワードを設定します。
samba-toolによるActive Directory運用➁　ユーザー及びグループの管理

◆samba-toolでユーザー管理の設定

〇ユーザー登録
【書式】samba-tool user add ユーザー名パスワード [オプション]

$ sudo samba-tool user add test1 Passw0rd
User 'test1' added successfully

〇ユーザーの削除
【書式】samba-tool user delete ユーザー名 [オプション]

$ sudo samba-tool user delete test1

Deleted user test1

〇ユーザーの無効化
【書式】samba-tool user disable ユーザー名 | --フィルター  <フィルター>  [オプション]

$ sudo samba-tool user disable test1

〇ユーザーの有効化
【書式】samba-tool user enable ユーザー名 | --フィルター  <フィルター>  [オプション]

$ sudo samba-tool user enable test1

Enabled user 'test1

〇ユーザーに有効期限を設定
【書式】samba-tool user setexpiry ユーザー名 | --フィルター <フィルター>  [オプション]

$ sudo samba-tool user setexpiry --day=1 test1

Expiry for user 'test1' set to 1 days.

〇ユーザーに無期限を設定
【書式】samba-tool user setexpiry --noexpiry ユーザー名 | --フィルター <フィルター>  [オプション]

$ sudo samba-tool user setexpiry --noexpiry test1

Expiry for user 'test1' disabled.

〇ユーザーのパスワード変更
【書式】samba-tool user setpassword --フィルター <フィルター>  [オプション]  ユーザー名

$ sudo samba-tool user setpassword --newpassword=User123 test1

WARNING: Using passwords on command line is insecure. Installing the setproctitle python module will hide these from shortly after program start.

Changed password OK

〇パスワードポリシーの確認

$ sudo samba-tool domain passwordsettings show

Password information for domain 'DC=dm,DC=co,DC=jp'

Password complexity: on　　　　#パスワードの複雑性

Store plaintext passwords: off　　#暗号化を元に戻せる状態でパスワードを保存

Password history length: 24　　　#パスワードの履歴保持

Minimum password length: 7　　　#パスワードの長さ

Minimum password age (days): 1　　　#パスワードの変更禁止期間(日)

Maximum password age (days): 42　　　#パスワードの有効期間(日)

Account lockout duration (mins): 30

Account lockout threshold (attempts): 0

Reset account lockout after (mins): 30

〇パスワードポリシーの変更

$ sudo samba-tool domain passwordsettings set \

> --complexity=off \

> --store-plaintext=on \

> --history-length=12 \

> --min-pwd-length=4 \

> --min-pwd-age=2 \

> --max-pwd-age=15

Password complexity deactivated!

Plaintext password storage for changed passwords activated!

Password history length changed!

Minimum password length changed!

Minimum password age changed!

Maximum password age changed!

All changes applied successfully!

＊Linuxで設定できるポリシーはパスワードポリシーぐらいで、他のグループポリシーの設定にはRSATが必要。

◆samba-toolでグループ管理の設定
〇グループを登録
【書式】samba-tool group add グループ名 [オプション]

$ sudo samba-tool group add group1

Added group group1

〇グループの削除
【書式】samba-tool group delete グループ名 [オプション]

$ sudo samba-tool group delete group1

Deleted group group1

〇グループにメンバーを追加
【書式】samba-tool group addmembers グループ名 <リストのメンバー> [オプション]

$ sudo samba-tool group addmembers group1 dc1user

Added members to group group1

〇グループメンバーの一覧
【書式】samba-tool group listmembers グループ名

$ sudo samba-tool group listmembers group1

dc1user
dc2user

〇グループメンバーの削除
【書式】samba-tool group removemembers グループ名リストメンバーオプション

$ sudo samba-tool group removemembers group1 dc1user

Removed members from group group1

$ sudo samba-tool group listmembers group1

dc2user　　　#dc1userが消えていることを確認。

〇グループのリスト
【書式】samba-tool group list

$ sudo samba-tool group list

Pre-Windows 2000 Compatible Access

Enterprise Read-only Domain Controllers

DnsAdmins

Domain Computers

group1
（以下略）

　なお、OUはSambaでは作成できないらしいです。LDIFファイルを作成してldbmodifyコマンドで準備したOU作成用のLDIFを適用すればOUの作成も出来なくはないようですが、そのような手間をかけるのであればWindowsクライアントPCにRSATをインストールした方が良さそうです。

例題
ユーザアカウントとグループアカウントの管理 - Linux技術者認定 LinuC | LPI-Japan
Samba4のAD互換ドメインコントローラ - Linux技術者認定 LinuC | LPI-Japan

samba-toolによるActive Directory運用➀ ドメイン、及びアカウントポリシーの設定

◆samba-toolによるADドメイン管理
・samba-tool domainコマンドの主なサブコマンド

サブコマンド	意味
provision	新規ドメインコントローラーの構築。
join	既存ドメインへ追加のドメインコントローラーやメンバサーバーとしての参加。
classicupgrade	Samabaで構築したNTドメインからのアップグレード。
demote	ドメインコントローラーの降格。
level	フォレストやドメインの機能レベルの上昇。
passwordsettings	アカウントポリシーの設定。

◆DCの降格。
　DCを追加すると、AD各所に関連する設定が追加されます。その為、不要になったDCを単に停止しておくと、同名のDCが追加できない。複製エラーが発生し続けるといった問題が発生します。
　こうした問題はAD機能不全に直結するものではないので、意味を理解したうえで無視することも出来ますが、不要になったDCを降格して、これらの設定を削除することが強く推奨されています。
　SamabaのDC降格は、samba-tool domain demote コマンドを使用します。このコマンドは必ず降格するDC上で実行する必要があります。

$ sudo samba-tool domain demote -Uadministrator

WARNING: Using passwords on command line is insecure. Installing the setproctitle python module will hide these from shortly after program start.

Using dc1.ad.co.jp as partner server for the demotion

Password for [AD\administrator]:

Deactivating inbound replication

Asking partner server dc1.ad.co.jp to synchronize from us
【中略】

INFO 2024-10-29 08:01:54,980 pid:1162 /usr/lib/python3/dist-packages/samba/remove_dc.py #212: updating DC=_ldap._tcp.dc,DC=_msdcs.ad.co.jp,CN=MicrosoftDNS,DC=ForestDnsZones,DC=ad,DC=co,DC=jp keeping 1 values, removing 1 values

Demote successful

◆アカウントポリシーの設定
【書式】sudo samba-tool domain passwordsettings {show | set --設定名=値}

　Samabaの実装上の制限で、パスワードの最低長や有効期限といったADドメインのアカウントポリシーについては、グループポリシーの設定が反映されません。
　その為、samba-tool passwordsettingsコマンドで設定を行う必要はあります。

〇パスワードのアカウントポリシーの確認。

$ sudo samba-tool domain passwordsettings show　　#設定の表示

Password information for domain 'DC=ad,DC=co,DC=jp'

Password complexity: on

Store plaintext passwords: off

Password history length: 24

Minimum password length: 7

Minimum password age (days): 1

Maximum password age (days): 42

Account lockout duration (mins): 30

Account lockout threshold (attempts): 0

Reset account lockout after (mins): 30

〇パスワードの複雑性の強制オプションの無効化

$ sudo samba-tool domain passwordsettings set --complexity=off　　#パスワードの複雑性強制オプションの無効化

Password complexity deactivated!

All changes applied successfully!

$ sudo samba-tool domain passwordsettings show　　#設定が反映されていることを確認。

Password information for domain 'DC=ad,DC=co,DC=jp'

Password complexity: off　　#無効化されていることを確認。
（以下略）

◆機能レベルの制御
【書式】samba-tool domain level {show | raise {--forest-level=レベル | --domain-level=レベル }}

〇現在の機能レベルの確認

$ sudo samba-tool domain level show

Domain and forest function level for domain 'DC=ad,DC=co,DC=jp'

Forest function level: (Windows) 2008 R2

Domain function level: (Windows) 2008 R2

Lowest function level of a DC: (Windows) 2008 R2

〇機能レベルのアップ
$ sudo samba-tool domain level raise
All changes applied successfully!

# 下位のドメインコントローラーには下げられない（Samabaでは非サポート）
$ sudo samba-tool domain level raise --domain-level=2008 --forest-level=2008
ERROR: Domain function level can't be smaller than or equal to the actual one!

# 2008R2位上のレベルには設定できない。

$ sudo samba-tool domain level raise --domain-level=2012 --forest-level=2012

ERROR: Domain function level can't be higher than the lowest function level of a DC!

◆FSMOの管理
【書式】samba-tool fsmo {show | transfer | seize } [--role=FSMOロール名]

　ADドメインのDCはNTドメイン時のPDとBDの関係と違い、基本的に対等の関係ですが、例外としてFSMOと呼ばれる５つの特殊な役割をDCに割り当てる必要があります。
　デフォルトでは最初に構築したDCがすべてのFSMOを保持しており、小規模なドメインであれば設定を変更する必要はありません。

〇samba-tool fsmoコマンドの主なオプション

コマンド名	説明
transfer	指定したFSMOを転送する
seize	指定したFSMOを強制する
show	現在FSMOとなっているDCを表示する

$ sudo samba-tool fsmo show　　　#FSMOを所持しているサーバを確認。

SchemaMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp

InfrastructureMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp

RidAllocationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp

PdcEmulationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp

DomainNamingMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp

DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp

ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp

$ sudo samba-tool fsmo transfer --role=all　　#すべてのFSMOの転送。

FSMO transfer of 'rid' role successful

FSMO transfer of 'pdc' role successful

FSMO transfer of 'naming' role successful

FSMO transfer of 'infrastructure' role successful

FSMO transfer of 'schema' role successful

This DC already has the 'domaindns' FSMO role

This DC already has the 'forestdns' FSMO role

◆DNSの管理
〇samba-tool dnsコマンドのサブコマンド

サブコマンド	意味
add	DNSレコードの追加
delete	DNSレコードの削除
query	DNS名の照会
roothinits	ルートヒントの照会
serverinfo	サーバ情報の照会
update	DNSレコードの更新
zonecreate	DNSゾーンの追加
zonedelete	DNSゾーンの削除
zoneinfo	DNSゾーン情報の照会
zonelist	DNSゾーン一覧の照会

$ sudo samba-tool dns serverinfo localhost -U administrator　　#DNSサーバの各種設定確認。

WARNING: Using passwords on command line is insecure. Installing the setproctitle python module will hide these from shortly after program start.

Password for [AD\administrator]:

dwVersion : 0xece0205

fBootMethod : DNS_BOOT_METHOD_DIRECTORY

fAdminConfigured : FALSE

fAllowUpdate : TRUE

fDsAvailable : TRUE

pszServerName : DC1.ad.co.jp

pszDsContainer : CN=MicrosoftDNS,DC=DomainDnsZones,DC=ad,DC=co,DC=jp
（略）

$ sudo samba-tool dns add localhost ad.co.jp testA A 10.0.1.12 -U Administrator　　#Aレコードの追加

WARNING: Using passwords on command line is insecure. Installing the setproctitle python module will hide these from shortly after program start.

Password for [AD\Administrator]:

Record added successfully

$ sudo samba-tool dns query localhost ad.co.jp testA A -U Administrator　　#追加したレコードの参照

WARNING: Using passwords on command line is insecure. Installing the setproctitle python module will hide these from shortly after program start.

Password for [AD\Administrator]:

Name=, Records=1, Children=0

A: 10.0.1.12 (flags=f0, serial=30, ttl=900)

例題
問題集106頁問16,17
ユーザアカウントとグループアカウントの管理 - Linux技術者認定 LinuC | LPI-Japan
アクティブディレクトリの名前解決 - Linux技術者認定 LinuC | LPI-Japan
アクティブディレクトリの名前解決 - Linux技術者認定 LinuC | LPI-Japan
アクティブディレクトリの名前解決 - Linux技術者認定 LinuC | LPI-Japan

SamabaでActive Directory構築②　ドメインコントローラーの追加

前回作成したドメインコントローラーに、もう一台のドメインコントローラーを追加します。

◆ドメインコントローラー2の設計

OS:Ubuntu24.04

ホスト名：dc2

ドメイン名：ad.co.jp

NIC1:10.0.1.11/24　　　　　　#設定用　　　　　　　

NIC2:192.168.128.11/24　　　

DNS1:192.168.128.1　　　　#インストール時のみ使用。以降DNS2の設定に変更
DNS2:192.168.128.10　　　#インストール終了後、一台目のドメインコントローラーに変更

GW:192.168.128.1

◆インストール及び設定

$ sudo vi /etc/timezone

Asia/Tokyo

$ sudo reboot

$ sudo apt install samba krb5-config winbind smbclient kinit heimdal-clients -y

realm設定

Configuring Kerberos Authentication

Default Kerberos version 5 realm:

⑴ AD.CO.JP

Kelrberos server for your realm:

⑵ dc1.ad.co.jp

Admin server for your kelrberos realm:

⑶ dc1.ad.co.jp

$ sudo vi /etc/hosts

192.168.128.10 dc1.ad.co.jp dc1

192.168.128.11 dc2.ad.co.jp dc2

$ sudo mv /etc/samba/smb.conf{,.org}

$ sudo vi /etc/netplan/50-cloud-init.yaml
(前略)

nameservers:

addresses: [192.168.128.10]　　#一台目のドメインコントローラーを指定

$ sudo netplan apply

$ sudo rm /etc/resolv.conf

$ sudo vi /etc/resolv.conf
nameserver 192.168.128.10

$ sudo samba-tool domain join ad.co.jp DC -U "AD\administrator"

WARNING: Using passwords on command line is insecure. Installing the setproctitle python module will hide these from shortly after program start.

INFO 2024-10-14 15:22:16,010 pid:1332 /usr/lib/python3/dist-packages/samba/join.py #106: Finding a writeable DC for domain 'ad.co.jp'

INFO 2024-10-14 15:22:16,070 pid:1332 /usr/lib/python3/dist-packages/samba/join.py #108: Found DC dc1.ad.co.jp

Password for [AD\administrator]:
（中略）
#1631: Joined domain AD (SID S-1-5-21-786217063-2420120778-1459337713) as a DC
Joined domain～と出れば成功。

$ sudo vi /etc/nsswitch.conf　　　　#winbind機構をNSSに設定

passwd: files systemd winbind

group: files systemd winbind

$ init 6　　　#再起動しないと次の動作確認が上手くいかない？

◆動作確認
　以下のコマンドで出力された結果が「 0 consecutive failure(s).」かつ「 Last success」であることを確認します。

$ sudo samba-tool drs showrepl

Default-First-Site-Name\DC2

DSA Options: 0x00000001

DSA object GUID: 98e7bda9-8798-467a-af7c-09730e37d75c

DSA invocationId: 1b1f0c87-a141-41d3-a43a-f6ab6e0a16ad

==== INBOUND NEIGHBORS ====

CN=Configuration,DC=ad,DC=co,DC=jp

Default-First-Site-Name\DC1 via RPC

DSA object GUID: 06ad6afd-f1b2-48ad-b819-053a8b0e9211

Last attempt @ Mon Oct 14 15:36:41 2024 UTC was successful

0 consecutive failure(s).

Last success @ Mon Oct 14 15:36:41 2024 UTC

（中略）

==== KCC CONNECTION OBJECTS ====

Connection --

Connection name: 0104ccb2-06ec-49cf-8b22-93d7b6397278

Enabled : TRUE

Server DNS name : dc1.ad.co.jp

Server DN name : CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp

TransportType: RPC

options: 0x00000001

Warning: No NC replicated for Connection!　　　　　#この警告は無視して良いらしい

◆一台目のドメインコントローラーの設定追加

　hostsファイルに二台目のドメインコントローラーの情報を追記します。（忘れると同期しない？）

dc1:~$ sudo vi /etc/hosts
192.168.128.11 dc2.ad.co.jp dc2

◆DC間のデータ複製の確認

　先ずは一台目のドメインコントローラーのユーザーを確認します。

dc1:~$ sudo samba-tool user list

krbtgt

Guest

testuser1

Administrator

　続いて二台目のドメインコントローラーにユーザーが複製されているのか確認します。

dc2:~$ sudo samba-tool user list

krbtgt

Guest

testuser1

Administrator

　二台とも同じユーザーであることを確認後、一台目のドメインコントローラーにユーザーを追加します。

dc1:~$ sudo samba-tool user add dc1user Passw0rd

User 'dc1user' added successfully

　暫くしてから二台目のドメインコントローラーからユーザーリストを確認し、一台目のドメインコントローラーで作成したユーザーが追加されていることを確認します。

dc2:~$ sudo samba-tool user list

dc1user

krbtgt

Guest

testuser1

Administrator

　次は二台目のドメインコントローラーからユーザーを追加します。

dc2:~$ samba-tool user add dc2user Passw0rd
User 'dc2user' added successfully

　暫くしてから一台目のドメインコントローラーからユーザーリストを確認し、二台目のドメインコントローラーで作成したユーザーが追加されていることを確認します。

dc1:~$ sudo samba-tool user list

dc1user
dc2user

krbtgt

Guest

testuser1

Administrator

また、以下のコマンドでも同期が取れていることが確認出来ます。

dc1:~$ sudo samba-tool drs kcc AD.CO.JP

Consistency check on AD.CO.JP successful.

◆sysvolの共有
　Samba4ではドメインコントローラーを冗長化した場合、Windowsのドメインコントローラーと違い、デフォルトではsysvolを冗長化しないので、sysvolを自動的にコピーさせる設定を行う必要があります。

#dc2にsysvol共有がコピーされていないことを確認します。

dc2:~# ls -al /var/lib/samba/sysvol

total 12

drwxrwx---+ 2 root 3000000 4096 Nov 1 17:38 .

drwxr-xr-x 9 root root 4096 Nov 1 14:54 ..

#続いてdc1のsysvolを確認します。

dc1:~# ls -al /var/lib/samba/sysvol

total 20　　　　　#dc2よりも多いことが確認出来る。

drwxrwx---+ 3 root 3000000 4096 Oct 14 17:54 .

drwxr-xr-x 9 root root 4096 Nov 1 15:08 ..

drwxrwx---+ 4 root 3000000 4096 Oct 14 17:54 ad.co.jp　　#ad.co.jp以下をコピーする

# crontabを使用するので、dc1,dc2のrootを有効化します。
dc2:~$ sudo passwd root
New password:

Retype new password:

passwd: password updated successfully

dc2:~$ su -

Password:

dc2:~#

dc2:~# mkdir ~/bin #シェルスクリプトの設置ディレクトリを作成します。

dc2:~# vi ~/bin/replication.sh　　#sysvolをレプリケーションするスクリプトを作成します。

#!/bin/bash

SYSVOLDIR=/var/lib/samba/sysvol

DCNAME=dc1

DOMAINNAME=ad.co.jp

# 時刻の同期

net time set -S ${DCNAME}

# ローカルのSYSVOL共有内の内容を一旦削除

cd ${SYSVOLDIR}

rm -rf *

# SYSVOL共有に接続し、内容をフルコピー

smbclient //${DCNAME}/sysvol -A /etc/samba/.dcpass -D ${DOMAINNAME} -Tcag - | tar xf -

# SYSVOL共有のアクセス許可を再設定

samba-tool ntacl sysvolreset
;EOF

# Administratorのパスワードを格納した隠しファイルを作成します。
dc2:~# touch /etc/samba/.dcpass | echo -e "username=Administrator\npassword=Passw0rd" > /etc/samba/.dcpass

dc2:~# chmod 600 /root/bin/replication.sh

dc2:~# ls -al /root/bin/replication.sh

-rw------- 1 root root 409 Nov 1 16:33 /root/bin/replication.sh

dc2:~# chmod 600 /etc/samba/.dcpass

dc2:~# ls -al /etc/samba/.dcpass

-rwx------ 1 root root 41 Nov 1 15:15 /etc/samba/.dcpass

dc2:~# crontab -e

no crontab for root - using an empty one

Select an editor. To change later, run 'select-editor'.

1. /bin/nano <---- easiest

2. /usr/bin/vim.basic

3. /usr/bin/vim.tiny

4. /bin/ed

Choose 1-4 [1]: 2　　　　# vimが慣れているので。好みで選んで良い。

*/5 * * * * /bin/bash /root/bin/replication.sh　　　#末尾に追記。今回はテストの為、5分ごとに実行
;EOF

dc2:~# crontab -l | grep replication.sh

*/5 * * * * /bin/bash /root/bin/replication.sh　　　　　#crontabが設定されていることを確認。

# sysvol以下のディレクトリがdc1と同じになっていることを確認します。

dc2:~# ls -al /var/lib/samba/sysvol/

total 20

drwxrwx---+ 3 root 3000000 4096 Nov 1 17:30 .

drwxr-xr-x 9 root root 4096 Nov 1 14:54 ..

drwxrwx---+ 4 root 3000000 4096 Nov 1 17:30 ad.co.jp

例題
問題集102頁問3、105頁問11
Samba4のAD互換ドメインコントローラ - Linux技術者認定 LinuC | LPI-Japan

プロフィール

HN：

のらくら

性別：

非公開

自己紹介：

介護と自身の手術でブランクが出来たインフラエンジニアの学習メモ。VirtualBOXで仮想サーバーを建て、GNS3でCiscoルーター＆スイッチによるネットワークのエミュレーションもしています。GNS3ネットワーク内に仮想サーバーと連携させて、実際のネットワーク環境におけるサーバーをシミュレートする他、LinuC level3 300の対策もしています。

機能名	ポート番号	プロトコル
netbios-ns	137	TCP,UDP
netbios-dgm	138	UDP
netbios-ssn	139	TCP
netbios-ds	445	TCP,UDP

ブランクがあるインフラエンジニアの備忘録

プロフィール

カテゴリー

最新記事

RSS

リンク

P R