...
В определённых ситуациях может оказаться, что необхотимо необходимо навсегда удалить контроллер домена.
В то время, как для обычного участника домена достаточно просто удалить соответствующую учетную запись, для удаления контроллера из домена требуется выполнить процедуру смещения (demoting).
При некорректном смещении контроллера домен может стать нестабильным. Например, например:
- Могут могут начаться сбои репликации;
- Оставшиеся оставшиеся контроллеры домена могут замедлять свою работу из-за ожидания ответов при неудачных попытках репликации;
- Вход вход доменных пользователей может замедлиться, или стать невозможным.
...
Если подлежащий смещению контроллер работает нормально, то:
...
- Войти на контроллер, как локальный пользователь.
...
- Убедиться, что контроллер
...
- не владеет никакими ролями FSMO (flexible single master operations):
Command samba-tool fsmo show
...
- Если удаляемый контроллер владеет одной или более ролью FSMO,
...
- то передать роли другому DC. См. Передача роли FSMO
...
- .
- Опционально,
...
- для того, чтобы после смещения контроллера удостовериться, что все соответствующие записи DNS
...
- удалены
...
- , запомнить реквизиты контроллера (имя, IP-адрес, objectGUID). Например, для хоста DC2 в домене smadom.example.com:
Информация ldbsearch -H /var/lib/samba/private/sam.ldb '(invocationId=*)' --cross-ncs objectguid | grep -A1 DC2
dn: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
objectGUID: c14a774f-9732-4ec2-b9fa-2156c95c4e48
...
- Выполнить смещение контроллера:
Command samba-tool domain demote -
...
Примерный ответ команды:U administrator Раскрыть title Нажмите, чтобы развернуть Using DC1.samdom.example.com as partner server for the demotion
Password for [SAMDOM\administrator]:
Deactivating inbound replication
Asking partner server DC1.samdom.example.com to synchronize from us
Changing userControl and container
Removing Sysvol reference: CN=DC2,CN=Enterprise,CN=Microsoft System Volumes,CN=System,CN=Configuration,DC=samdom,DC=example,DC=com
Removing Sysvol reference: CN=DC2,CN=samdom.example.com,CN=Microsoft System Volumes,CN=System,CN=Configuration,DC=samdom,DC=example,DC=com
Removing Sysvol reference: CN=DC2,CN=Domain System Volumes (SYSVOL share),CN=File Replication Service,CN=System,DC=samdom,DC=example,DC=com
Removing Sysvol reference: CN=DC2,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=samdom,DC=example,DC=com
Demote successful
...
- Остановить службу samba.
- Если
...
- смещаемый контроллер работал
...
- как доменный сервер DNS, то:
...
- Остановить службу DNS (если использовался BIND9_DLZ DNS)
...
- .
...
- Убедиться, что никакие участники домена на используют отключенную службу для разрешения
...
- имен DNS.
Смещение отключенного контроллера домена
В таких случаях, как, например, поломка оборудования, требуется сместить с роли контроллера неработающий контроллер домена, . При этом для смещения недоступного контроллера используется работающий контроллер.
Предупреждение Применяйте эту Эту процедуру следует применять только в тех случаях, когда смещаемый контроллер никогда более не присоединится к домену, и процедура, описанная в предыдущей части, невозможна.
При описанной ниже процедуре все изменения (например, изменения паролей) на не будут реплицированы на работающий DC.работающий контроллер. Повторное подключение контроллера, смещенного по данной процедуре (например, после восстановления электропитания) недопустимо.Данная процедура Процедура не работает в версиях Samba 4.4 или младше.
Обновите младшей, для её применения необходимо обновить Samba до версии 4.4.0 или более поздней. Подробности см. Обновление Samba.Чтобы сместить неработающий DCконтроллер домена:
...
- Войти на работающий контроллер домена.
...
- Убедиться, что установлена версия Samba 4.4 или более поздняя:
Command samba --version
...
- Убедиться, что контроллер на владеет никакими ролями FSMO (flexible single master operations):
Command samba-tool fsmo show - В случае, если смещаемый контроллер владеет одной или более ролями FSMO,
...
- захватить их на локальном контроллере. См. Захват роли FSMO.
...
- Убедиться, что смещаемый контроллер выключен.
- Опционально
...
- , для того, чтобы после смещения контроллера удостовериться, что все соответствующие записи DNS
...
- удалены
...
- , запомнить реквизиты контроллера (имя, IP-адрес,
...
- objectGUID). Например, для хоста DC2 в домене smadom.example.com:
Command ldbsearch -H /usr/local/samba/private/sam.ldb '(invocationId=*)' --cross-ncs objectguid | grep -A1 DC2
dn: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
objectGUID: c14a774f-9732-4ec2-b9fa-2156c95c4e48
...
- Выполнить смещение удаленного (remote) контроллера:
Примерный ответ команды:Command samba-tool domain demote --remove-other-dead-server=DC2 Раскрыть Removing nTDSConnection: CN=04baf417-eb41-4f31-a5f1-c739f0e92b1b,CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
Removing nTDSDSA: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com (and any children)
Removing RID Set: CN=RID Set,CN=DC2,OU=Domain Controllers,DC=samdom,DC=example,DC=com
Removing computer account: CN=DC2,OU=Domain Controllers,DC=samdom,DC=example,DC=com (and any child objects)
Removing Samba-specific DNS service account: CN=dns-DC2,CN=Users,DC=samdom,DC=example,DC=com
updating samdom.example.com keeping 3 values, removing 1 values
updating DC=_kerberos._tcp.Default-First-Site-Name._sites,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
updating DC=_ldap._tcp.Default-First-Site-Name._sites,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
updating DC=_gc._tcp.Default-First-Site-Name._sites,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
updating DC=_kerberos._tcp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
updating DC=_kerberos._udp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
updating DC=_kpasswd._tcp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
updating DC=_kpasswd._udp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
updating DC=_ldap._tcp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
updating DC=_gc._tcp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
updating DC=_ldap._tcp.4d5258b9-0cd7-4d78-bdd7-99ebe6b19751.domains,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
updating DC=_kerberos._tcp.Default-First-Site-Name._sites.dc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
updating DC=_ldap._tcp.Default-First-Site-Name._sites.dc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
updating DC=_ldap._tcp.Default-First-Site-Name._sites.gc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
updating DC=c14a774f-9732-4ec2-b9fa-2156c95c4e48,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 0 values, removing 1 values
updating DC=_kerberos._tcp.dc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
updating DC=_ldap._tcp.dc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
updating DC=_ldap._tcp.gc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
Removing Sysvol reference: CN=DC2,CN=Enterprise,CN=Microsoft System Volumes,CN=System,CN=Configuration,DC=samdom,DC=example,DC=com
Removing Sysvol reference: CN=DC2,CN=samdom.example.com,CN=Microsoft System Volumes,CN=System,CN=Configuration,DC=samdom,DC=example,DC=com
Removing Sysvol reference: CN=DC2,CN=Domain System Volumes (SYSVOL share),CN=File Replication Service,CN=System,DC=samdom,DC=example,DC=com
Removing Sysvol reference: CN=DC2,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=samdom,DC=example,DC=com
...
In case that the demoted DC ran a DNS service for the Active Directory (AD) zones, verify that domain members and DCs do no longer use this host to resolve the AD DNS zones.
...
...
- Если смещаемый контроллер работал, как доменный сервер DNS
...
- , то убедиться, что никакие участники домена
...
- не используют
...
- его для разрешения имён DNS.