Redundanz und Failover für den Primary Directory Node

3.2. Redundanz und Failover für den Primary Directory Node#

Der Primary Directory Node ist die zentrale Schreibinstanz für den Verzeichnisdienst in einer Nubus für UCS Domäne. Einen Überblick über die Systemrollen finden Sie unter Systemrollen verstehen.

Eine Störung dieses einzelnen Systems stellt ein kritisches Risiko mit erheblichen Folgen dar:

  • Benutzer können sich nicht in der Domäne authentifizieren.

  • Administratoren können keine Benutzer und Gruppen erstellen oder ändern.

  • Passwort-Zurücksetzen und Verwaltungsvorgänge für Benutzerkonten schlagen fehl.

  • Neue Systeme können der Domäne nicht beitreten.

  • Mail-Dienste, Dateifreigabe und andere integrierte Anwendungen können keine Domänenbenutzer bedienen.

  • Alle Domänenmitglieder verlieren die Fähigkeit, kritische Verzeichnisdaten zu ändern und Ressourcen in der Domänen zu verwalten.

Diese Seite beschreibt zwei ergänzende Strategien, um dieses Risiko zu verringern:

Redundanz

Verteilen Sie Verzeichnisdaten auf Backup und Replica Directory Nodes, um sicherzustellen, dass der Lesezugriff fortgesetzt wird, wenn der Primary nicht verfügbar ist.

Failover

Verwandeln Sie einen Backup Directory Node in einen Primary Directory Node, um die Schreibfähigkeit wiederherzustellen, wenn der aktuelle Primary ausfällt.

Ob Sie eine Infrastruktur von Grund auf planen oder sich von einem Ausfall erholen, diese Seite führt Sie durch das Aufbauen und Beibehalten eines ausfallsicheren Verzeichnisdienstes.

3.2.1. Einrichtung einer fehlertoleranten Domäne#

Eine Nubus für UCS Domäne vertraut auf kritische Dienste wie LDAP, DNS, Kerberos, DHCP und Active Directory-kompatible Domain Controller. Um sicherzustellen, dass diese Dienste bei Hardwarefehlern oder Wartungen verfügbar bleiben, verteilen Sie sie auf mehrere Directory Nodes.

Beachten Sie das Folgende bei der Planung der Redundanz:

Mindestens ein Backup Directory Node

Bietet vollständige Datenreplikation und die Fähigkeit zur Umwandlung in einen Primary Directory Node. Wesentlich für Produktionsumgebungen.

Geografische Verteilung

Platzieren Sie Backup und Replica Directory Nodes an verschiedenen Orten für Notfallwiederherstellung und lokalen Zugriff.

Netzwerkkonnektivität

Stellen Sie sicher, dass alle Systeme zuverlässig mit dem Primary Directory Node kommunizieren können.

Verteilung von Diensten

Planen Sie, welche Dienste auf welchen Systemen laufen, wie LDAP, DNS, Kerberos, DHCP und Samba.

Das Aufbauen einer fehlertoleranten Domäne erfordert zwei Schritte:

  1. Redundante Directory Nodes installieren

    Fügen Sie Backup und Replica Directory Nodes zu Ihrer Domäne hinzu. Weitere Informationen finden Sie unter Domänenbeitritt im UCS Handbuch [3].

  2. Dienst-Redundanz konfigurieren

    Konfigurieren Sie LDAP, Kerberos, DNS, DHCP und Samba, um mehrere Server zu verwenden.

Der Artikel KB 6682 - Fail-safe domain setup in der Univention Support-Datenbank bietet detaillierte Konfigurationsanleitungen für jeden Dienst. Befolgen Sie die Verfahren im Artikel nach der Installation Ihrer Backup und Replica Directory Nodes, um Ihre fehlertolerante Domain-Konfiguration abzuschließen.

LDAP-Server-Failover

Konfigurieren Sie zusätzliche LDAP-Server mit UCR-Variablen, damit Clients automatisch ein Failover durchführen, wenn der Primary Directory Node nicht verfügbar wird.

Kerberos-Schlüsselverteilungszentren

Richten Sie mehrere Kerberos KDCs für Authentifizierungsredundanz ein.

DNS Nameserver

Konfigurieren Sie mehrere Nameserver, um sicherzustellen, dass die Namensauflösung während Wartungen oder Ausfällen fortgesetzt wird.

DHCP-Redundanz

Installieren Sie die DHCP-Server-App auf zusätzlichen Systemen, um sicherzustellen, dass die Netzwerkkonfiguration verfügbar bleibt.

Active Directory-kompatible Domain Controller

Wenn Sie Active Directory Funktionalität benötigen, stellen Sie die Samba-Komponente auf Backup und Replica Directory Nodes bereit, um redundante Domain-Controller-Funktionalität zu bieten.

3.2.2. Umwandlung von Backup zu Primary#

Eine Nubus für UCS Domäne besteht aus nur einem Primary Directory Node, hat aber keine Grenze bei der Anzahl der Backup Directory Nodes. Im Gegensatz zum Primary Directory Node kann der Backup Directory Node Änderungen an den Domänendaten nicht schreiben. Für Beschreibungen der Systemrollen siehe die folgenden Abschnitte:

Sie können jeden Backup Directory Node zu einem Primary Directory Node umwandeln. Die folgenden Szenarien zur Umwandlung existieren:

Notfall

In einem Notfall, z. B. wenn die Hardware des Primary Directory Node ausfällt.

Austausch

Um einen vollständig funktionierenden Primary Directory Node durch moderne Hardware zu ersetzen.

3.2.2.1. Backup zu Primary Umwandlung vorbereiten#

Die Umwandlung beinhaltet in erster Linie die Übertragung von Diensten relevant für die Authentifizierung wie LDAP, DNS, Kerberos und Samba. Sie müssen die installierte Software manuell über die Verwaltungsmodule App Center und Paketverwaltung anpassen.

Wenn beispielsweise der vorherige Primary Directory Node die Mail-Komponente installiert hat, installiert der Umwandlungsprozess keine App auf dem umgewandelten Primary Directory Node. Um manuelle Änderungen nach der Umwandlung zu minimieren, beachten Sie Einrichtung einer fehlertoleranten Domäne.

Vorsicht

Die Umwandlung eines Backup Directory Node zu einem Primary Directory Node ist eine ernsthafte und irreversible Konfigurationsänderung.

Vor der Umwandlung:

  • Fahren Sie den Primary Directory Node herunter und halten Sie ihn während und nach der Umwandlung ausgeschaltet.

  • Vergleichen Sie installierte Pakete, siehe LDAP-Schema-Pakete synchronisieren, und Konfiguration, siehe Univention Configuration Registry vergleichen, zwischen Primary und Backup Directory Nodes.

  • Wenn der Primary in einem Notfall nicht verfügbar ist, verwenden Sie ein Datei-Backup zum Vergleich.

Nach der Umwandlung, siehe Validieren Sie die Umwandlung:

  • Entfernen oder aktualisieren Sie alle Verweise auf den alten Primary Directory Node in der gesamten Domäne.

Folgen Sie diesen Schritten, um die Backup zu Primary Umwandlung vorzubereiten:

LDAP-Schema-Pakete synchronisieren

Wenn der Primary Directory Node zusätzliche LDAP-Schema-Pakete installiert hat, müssen Sie diese vor der Umwandlung auf dem Backup Directory Node installieren.

  1. Speichern Sie die Paketliste vom Primary Directory Node

    Um die Paketliste zu erstellen, führen Sie den Befehl in Listing 3.1 aus.

    Listing 3.1 Speichern Sie die Paketliste#
    $ dpkg --get-selections \* > dpkg.selection

  2. Pakete mit LDAP-Schema auf dem Primary Directory Node auflisten

    Um alle Pakete auf dem Primary Directory Node mit LDAP-Schema aufzulisten, führen Sie den Befehl in Listing 3.2 aus.

    Listing 3.2 Liste von Paketen mit LDAP-Schema#
    $ dpkg -S /etc/ldap/schema/*.schema \
  /usr/share/univention-ldap/schema/*.schema

  3. Vergleichen Sie die Paketlisten auf dem Backup Directory Node

    Vergleichen Sie die Datei dpkg.selection mit der Ausgabe desselben Befehls auf dem Backup Directory Node. Stellen Sie sicher, dass sich die Paketliste nur in den Paketen univention-server-master und univention-server-backup unterscheidet.

    Wenn der Vergleich andere fehlende Pakete enthüllt, müssen Sie diese auf dem Backup Directory Node installieren. Besonders wichtig sind Pakete, die ein LDAP-Schema installieren.

  4. Installieren Sie dieselben Pakete auf dem Backup Directory Node

    Verwenden Sie die auf dem Primary Directory Node erstellte Datei dpkg.selection in Listing 3.1 und führen Sie den Befehl in Listing 3.3 auf dem Backup Directory Node aus.

    Listing 3.3 Installieren Sie dieselben Pakete auf dem Backup Directory Node#
    $ dpkg --set-selections < dpkg.selection
$ apt-get dselect-upgrade
Univention Configuration Registry vergleichen

Sie müssen das Univention Configuration Registry Inventar speichern, damit Sie die Konfigurationsanpassungen auf dem umgewandelten Primary Directory Node vergleichen können.

  1. Vergleichen Sie die folgenden Dateien auf dem Primary Directory Node mit denen auf dem Backup Directory Node:

    • /etc/univention/base.conf

    • /etc/univention/base-forced.conf

  2. UCS speichert jede Nacht eine Kopie dieser Dateien unter /var/univention-backup/ucr-backup_%Y%m%d.tgz.

3.2.2.2. Führen Sie die Backup zu Primary Umwandlung aus#

Um einen Backup Directory Node in einen Primary Directory Node umzuwandeln, führen Sie den Befehl /usr/lib/univention-ldap/univention-backup2master auf dem Backup Directory Node aus. Das Backup Directory Node System muss nach der Umwandlung neu gestartet werden. Der Umwandlungsprozess protokolliert in der Log-Datei /var/log/univention/backup2master.log.

Der Befehl univention-backup2master führt die folgenden Schritte aus:

  1. Überprüfen der Umgebung:

    • Das System muss ein Backup Directory Node sein, der bereits der Domäne beigetreten ist.

    • Der Backup Directory Node kann den Primary Directory Node über DNS auflösen und den Repository-Server erreichen.

    • Der Primary Directory Node ist offline und nicht mehr erreichbar.

  2. Ausführen der Skripte von Komponenten im Verzeichnis /usr/lib/univention-backup2master/pre vor Beginn der Umwandlung aus. Das Verzeichnis enthält ausführbare Skripte für Komponenten, die eine benutzerdefinierte Behandlung für den Primary Directory Node erfordern.

  3. Rekonfigurieren der kritischen Dienste:

    • Beenden der wichtigsten Dienste OpenLDAP, Samba, Kerberos, Univention Directory Notifier und Directory Listener.

    • Ändern wichtiger UCR-Variablen wie ldap/master und server/role.

    • Bereitstellen des UCS Root CA Zertifikat über den Webserver auf dem Backup Directory Node.

    • Starten der Dienste OpenLDAP, Samba, Kerberos, Univention Directory Notifier und Listener.

  4. Aktualisieren des DNS-Service-Record kerberos-adm vom alten Primary Directory Node zum umgewandelten Primary Directory Node.

  5. Falls vorhanden, Entfernen des Univention Univention S4 Connector aus dem Computerobjekt des alten Primary Directory Node und Einplanen für die Neukonfiguration auf dem umgewandelten Primary Directory Node.

  6. Ändern der Serverrolle des umgewandelten Primary Directory Node auf domaincontroller_master im OpenLDAP-Verzeichnisdienst. Entsprechendes Anpassen des DNS-Service-Record _domaincontroller_master._tcp.

  7. Falls vorhanden, Entfernen aller Einträge des alten Primary Directory Node aus dem lokalen Samba-Verzeichnisdienst. Zusätzliche Übertragung der FSMO-Rollen auf den umgewandelten Primary Directory Node.

  8. Löschen des Computerobjekts des alten Primary Directory Node aus dem OpenLDAP-Verzeichnis.

  9. Durchsuchen des OpenLDAP-Verzeichnisdienstes nach verbleibenden Verweisen auf den alten Primary Directory Node. Anzeigen aller gefundenen Verweise wie DNS-Records und Vorschlag von Korrekturen vor.

    Sie müssen die vorgeschlagenen Korrekturen einzeln überprüfen und bestätigen.

  10. Zum Abschluss, Ersetzen des Pakets univention-server-backup durch univention-server-master.

  11. Ausführen der Skripte von Komponenten im Verzeichnis /usr/lib/univention-backup2master/post nach Abschluss der Umwandlung aus. Das Verzeichnis enthält ausführbare Skripte für Komponenten, die eine benutzerdefinierte Behandlung für den Primary Directory Node erfordern.

3.2.2.3. Validieren Sie die Umwandlung#

Entfernen oder aktualisieren Sie nach Abschluss der Umwandlung alle Verweise auf den alten Primary Directory Node in der gesamten Domäne.

Der Artikel Univention Help 19514 - „How To: backup2master“ bietet detaillierte Verfahren zur Validierung für:

  • Überprüfung von UCR-Variablen auf allen Systemen der Domänen auf alte Rechnernamen- und IP-Verweise.

  • Überprüfung und Aktualisierung von DNS-Einträgen für Rechnernamen in LDAP.

  • Überprüfung und Aktualisierung von Domänen-Richtlinien in der Management UI.

Testen Sie reguläre Vorgänge in der Domäne nach der Validierung, um die korrekte Funktionalität sicherzustellen.

Auf dieser Seite