Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

В определённых ситуациях может оказаться, что необхотимо необходимо навсегда удалить контроллер домена.
В то время, как для обычного участника домена достаточно просто удалить соответствующую учетную запись, для удаления контроллера из домена требуется выполнить процедуру смещения (demoting).
При некорректном смещении контроллера домен может стать нестабильным. Например, например:

  • Могут могут начаться сбои репликации;
  • Оставшиеся оставшиеся контроллеры домена могут замедлять свою работу из-за ожидания ответов при неудачных попытках репликации;
  • Вход вход доменных пользователей может замедлиться, или стать невозможным.

...

Если подлежащий смещению контроллер работает нормально, то:

...

  1. Войти на контроллер, как локальный пользователь.

...

  1. Убедиться, что контроллер

...

  1. не владеет никакими ролями FSMO (flexible single master operations):
    Command
    samba-tool fsmo show

...

  1. Если удаляемый контроллер владеет одной или более ролью FSMO,

...

  1. то передать роли другому DC. См. Передача роли FSMO

...

  1. .
  2. Опционально,

...

  1. для того, чтобы после смещения контроллера удостовериться, что все соответствующие записи DNS

...

  1. удалены

...

  1. , запомнить реквизиты контроллера (имя, IP-адрес, objectGUID). Например, для хоста DC2 в домене smadom.example.com:
    Информация

    ldbsearch -H /var/lib/samba/private/sam.ldb '(invocationId=*)' --cross-ncs objectguid | grep -A1 DC2
    dn: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
    objectGUID: c14a774f-9732-4ec2-b9fa-2156c95c4e48

...

  1. Выполнить смещение контроллера:
    Command
    samba-tool domain demote -

...

  1. U administrator
    Примерный ответ команды:
    Раскрыть
    titleНажмите, чтобы развернуть

    Using DC1.samdom.example.com as partner server for the demotion
    Password for [SAMDOM\administrator]:
    Deactivating inbound replication
    Asking partner server DC1.samdom.example.com to synchronize from us
    Changing userControl and container
    Removing Sysvol reference: CN=DC2,CN=Enterprise,CN=Microsoft System Volumes,CN=System,CN=Configuration,DC=samdom,DC=example,DC=com
    Removing Sysvol reference: CN=DC2,CN=samdom.example.com,CN=Microsoft System Volumes,CN=System,CN=Configuration,DC=samdom,DC=example,DC=com
    Removing Sysvol reference: CN=DC2,CN=Domain System Volumes (SYSVOL share),CN=File Replication Service,CN=System,DC=samdom,DC=example,DC=com
    Removing Sysvol reference: CN=DC2,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=samdom,DC=example,DC=com
    Demote successful

...

  1. Остановить службу samba.
  2. Если

...

  1. смещаемый контроллер работал

...

  1. как доменный сервер DNS, то:

      ...

        1. Остановить службу DNS (если использовался BIND9_DLZ DNS)

      ...

        1. .

      ...

        1. Убедиться, что никакие участники домена на используют отключенную службу для разрешения

      ...

        1. имен DNS.

      Смещение отключенного контроллера домена

      В таких случаях, как, например, поломка оборудования, требуется сместить с роли контроллера неработающий контроллер домена, . При этом для смещения недоступного контроллера используется работающий контроллер. 

      Предупреждение

      Применяйте эту Эту процедуру следует применять только в тех случаях, когда смещаемый контроллер никогда более не присоединится к домену, и процедура, описанная в предыдущей части, невозможна.
      При описанной ниже процедуре все изменения (например, изменения паролей)  на не будут реплицированы на работающий DC.работающий контроллер. Повторное подключение контроллера, смещенного по данной процедуре (например, после восстановления электропитания) недопустимо. 

      Данная процедура Процедура не работает в версиях Samba 4.4 или младше.
      Обновите младшей, для её применения необходимо обновить Samba до версии 4.4.0 или более поздней. Подробности см. Обновление Samba.

      Чтобы сместить неработающий DCконтроллер домена:

      ...

      1. Войти на работающий контроллер домена.

      ...

      1. Убедиться, что установлена версия Samba 4.4 или более поздняя:
        Command
        samba --version

      ...

      1. Убедиться, что контроллер на владеет никакими ролями FSMO (flexible single master operations):
        Command
        samba-tool fsmo show
      2. В случае, если  смещаемый контроллер владеет одной или более ролями FSMO,

      ...

      1. захватить их на локальном контроллере.  См. Захват роли FSMO.

      ...

      1. Убедиться, что смещаемый контроллер выключен.
      2. Опционально

      ...

      1. , для того, чтобы после смещения контроллера удостовериться, что все соответствующие записи DNS

      ...

      1. удалены

      ...

      1. , запомнить реквизиты контроллера (имя, IP-адрес,

      ...

      1. objectGUID). Например, для хоста DC2 в домене smadom.example.com:
        Command

        ldbsearch -H /usr/local/samba/private/sam.ldb '(invocationId=*)' --cross-ncs objectguid | grep -A1 DC2


        dn: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
        objectGUID: c14a774f-9732-4ec2-b9fa-2156c95c4e48

      ...

      1. Выполнить смещение удаленного (remote) контроллера:
        Command
        samba-tool domain demote --remove-other-dead-server=DC2
        Примерный ответ команды:
        Раскрыть

        Removing nTDSConnection: CN=04baf417-eb41-4f31-a5f1-c739f0e92b1b,CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
        Removing nTDSDSA: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com (and any children)
        Removing RID Set: CN=RID Set,CN=DC2,OU=Domain Controllers,DC=samdom,DC=example,DC=com
        Removing computer account: CN=DC2,OU=Domain Controllers,DC=samdom,DC=example,DC=com (and any child objects)
        Removing Samba-specific DNS service account: CN=dns-DC2,CN=Users,DC=samdom,DC=example,DC=com
        updating samdom.example.com keeping 3 values, removing 1 values
        updating DC=_kerberos._tcp.Default-First-Site-Name._sites,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        updating DC=_ldap._tcp.Default-First-Site-Name._sites,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        updating DC=_gc._tcp.Default-First-Site-Name._sites,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        updating DC=_kerberos._tcp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        updating DC=_kerberos._udp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        updating DC=_kpasswd._tcp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        updating DC=_kpasswd._udp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        updating DC=_ldap._tcp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        updating DC=_gc._tcp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        updating DC=_ldap._tcp.4d5258b9-0cd7-4d78-bdd7-99ebe6b19751.domains,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        updating DC=_kerberos._tcp.Default-First-Site-Name._sites.dc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        updating DC=_ldap._tcp.Default-First-Site-Name._sites.dc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        updating DC=_ldap._tcp.Default-First-Site-Name._sites.gc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        updating DC=c14a774f-9732-4ec2-b9fa-2156c95c4e48,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 0 values, removing 1 values
        updating DC=_kerberos._tcp.dc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        updating DC=_ldap._tcp.dc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        updating DC=_ldap._tcp.gc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
        Removing Sysvol reference: CN=DC2,CN=Enterprise,CN=Microsoft System Volumes,CN=System,CN=Configuration,DC=samdom,DC=example,DC=com
        Removing Sysvol reference: CN=DC2,CN=samdom.example.com,CN=Microsoft System Volumes,CN=System,CN=Configuration,DC=samdom,DC=example,DC=com
        Removing Sysvol reference: CN=DC2,CN=Domain System Volumes (SYSVOL share),CN=File Replication Service,CN=System,DC=samdom,DC=example,DC=com
        Removing Sysvol reference: CN=DC2,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=samdom,DC=example,DC=com

      ...

      In case that the demoted DC ran a DNS service for the Active Directory (AD) zones, verify that domain members and DCs do no longer use this host to resolve the AD DNS zones.

      ...

      ...

      1. Если смещаемый контроллер работал, как доменный сервер DNS

      ...

      1. , то  убедиться, что никакие участники домена

      ...

      1. не используют

      ...

      1. его для разрешения имён DNS.