1.2. 安装 RHEL 10 副本

1. 列出您的 RHEL 9 环境中存在哪些服务器角色：

   [root@rhel9 ~]# ipa server-role-find --status enabled --server rhel9.example.com
   ----------------------
   3 server roles matched
   ----------------------
     Server name: rhel9.example.com
     Role name: CA server
     Role status: enabled
   
     Server name: rhel9.example.com
     Role name: DNS server
     Role status: enabled
   [... output truncated ...]

2. 可选：如果要对 rhel9.example.com 使用的 rhel10.example.com 使用同样的每服务器转发器，请查看 rhel9.example.com 的每服务器转发器：

   [root@rhel9 ~]# ipa dnsserver-show rhel9.example.com
   -----------------------------
   1 DNS server matched
   -----------------------------
     Server name: rhel9.example.com
     SOA mname: rhel9.example.com.
     Forwarders: 192.0.2.20
     Forward policy: only
   --------------------------------------------------
   Number of entries returned 1
   --------------------------------------------------

1. 使用 Web UI 查看复制拓扑 或 使用 CLI 查看拓扑后缀 以及 使用 CLI 查看拓扑段 中的步骤，查看复制协议拓扑。

2. 在 rhel10.example.com 上安装 IdM 服务器软件，来将其配置为 RHEL 9 IdM 服务器的副本，包括 rhel9.example.com 上存在的所有服务器角色。要安装上例中的角色，请使用 ipa-replica-install 命令的这些选项：

   • --setup-ca 用来设置证书系统组件

   • --setup-dns 和 --forwarder 配置集成的 DNS 服务器，并设置每服务器转发器来处理 IdM 域外的 DNS 查询

     注意

     另外，如果您的 IdM 部署与活动目录(AD)是信任关系，请将 --setup-adtrust 选项添加到 ipa-replica-install 命令中，来在 rhel10.example.com 上配置 AD 信任功能。

   • --ntp-server 指定一个 NTP 服务器或 --ntp-pool 指定一个 NTP 服务器池

     要设置其使用 IP 地址为 192.0.2.20 的每服务器转发器、IP 地址为 192.0.2.1 的 IdM 服务器 ，并与 ntp.example.com NTP 服务器同步：

     [root@rhel10 ~]# ipa-replica-install --setup-ca --ip-address 192.0.2.1 --setup-dns --forwarder 192.0.2.20 --ntp-server ntp.example.com

     您不需要指定 RHEL 9 IdM 服务器本身，因为如果 DNS 工作正常，rhel10.example.com 将会使用 DNS 自动发现找到它。

3. 可选：将外部 NTP 时间服务器的 _ntp._udp 服务(SRV)记录添加到新安装的 IdM 服务器 rhel10.example.com 的 DNS 中。IdM DNS 中时间服务器的 SRV 记录的存在确保将来的 RHEL 10 副本和客户端安装被自动配置为与 rhel10.example.com 使用的时间服务器同步。这是因为 ipa-client-install 会查找 _ntp._udp DNS 条目，除非在安装命令行界面(CLI)上提供了 --ntp-server 或 --ntp-pool 选项。
4. 使用 使用 Web UI 在两台服务器之间建立复制 或 使用 CLI 在两台服务器之间建立复制 中的步骤，创建重新创建之前的拓扑所需的复制协议。

验证

1. 验证 IdM 服务是否在 rhel10.example.com 上运行：

   [root@rhel10 ~]# ipactl status
   Directory Service: RUNNING
   [... output truncated ...]
   ipa: INFO: The ipactl command was successful

2. 验证 rhel10.example.com 的服务器角色是否与 rhel9.example.com 的一样：

   [root@rhel10 ~]# kinit admin
   [root@rhel10 ~]# ipa server-role-find --status enabled --server rhel10.example.com
   ----------------------
   2 server roles matched
   ----------------------
     Server name: rhel10.example.com
     Role name: CA server
     Role status: enabled
   
     Server name: rhel10.example.com
     Role name: DNS server
     Role status: enabled

3. 可选：显示 rhel9.example.com 和 rhel10.example.com 之间的复制协议的详情：

   [root@rhel10 ~]# ipa-csreplica-manage list --verbose rhel10.example.com
   Directory Manager password:
   
   rhel9.example.com
   last init status: None
   last init ended: 1970-01-01 00:00:00+00:00
   last update status: Error (0) Replica acquired successfully: Incremental update succeeded
   last update ended: 2019-02-13 13:55:13+00:00

4. 可选：如果您的 IdM 部署与 AD 存在信任关系，请验证它是否正常工作：

   1. 验证 Kerberos 配置

   2. 尝试解析 rhel10.example.com 上的 AD 用户：

      [root@rhel10 ~]# id aduser@ad.domain

5. 验证 rhel10.example.com 是否已与 NTP 服务器同步：

   [root@rhel9 ~]# chronyc tracking
   Reference ID    : CB00710F (ntp.example.com)
   Stratum         : 3
   Ref time (UTC)  : Wed Feb 16 09:49:17 2022
   [... output truncated ...]