...
- Настроить статический IP-адрес хоста;
В качестве IP-адреса сервера DNS указать IP-адрес существующего сервера доменного DNS
Задать полное доменное имя хоста:
| Информацияcommand |
|---|
| hostnamectl set-hostname dc2.samdom.example.com |
...
Установите клиента Kerberos:
| Информацияcommand |
|---|
| apt-install rkb5-user |
Если в сети правильно настроен и работает служба DNS, параметры сервера Kerberos для подключения клиента будут получены автоматически.
Для проверки правильности настройки клиента используйте команду получения билета Kerberos kinit:
| Информацияcommand |
|---|
kinit administrator |
Чтобы просмотреть полученные билеты:
| Информацияcommand |
|---|
| klist |
Установка Samba
См. Samba как контроллер домена AD
...
Пример присоединения к домену samdom.example.com в роли контроллера домена (DC), дополнительно работающего как сервер DNS с использованием сервиса DNS BIND9_DLZ:
| Информацияcommand |
|---|
| samba-tool domain join samdom.example.com DC -U"SAMDOM\administrator" --dns-backend=BIND9_DLZ |
...
Другие часто используемые параметры команды samba-tool domain join:
| Параметр | Описание |
|---|---|
--site=SITE | Прямое указание хоста AD DC для присоединения. |
--option="interfaces=lo eth0" --option="bind interfaces only=yes" | Если хост имеет несколько сетевых интерфейсов, используйте эту опции для привязки Samba к нужным интерфейсам. Это позволит инструменту samba-tool в процессе присоединения зарегистрировать корректные IP-адреса хоста. |
--option='idmap_ldb:use rfc2307 = yes' | Если другие контроллеры были назначены с использованием опции --use-rfc2307, используйте эту опцию для присоединяемого контроллера. |
Подробности по команде samba-tool domain join см. в
| Информацияcommand |
|---|
samba-tool domain join --help |
...
- Создать актуальную резервную копию файла /var/lib/samba/private/idmap.ldb на ранее установленном DC командой:
| Информацияcommand |
|---|
tdbbackup -s .bak /var/lib/samba/private/idmap.ldb |
...
- Переместить резервную копию в каталог /var/lib/samba/private/ на новом присоединяемом DC, и переименовать, удалив суффикс .bak, чтобы заменить существующий файл.
- Обновить список контроля доступа (ACL) каталога Sysvol на новом DC:
| Информацияcommand |
|---|
samba-tool ntacl sysvolreset |
...
Проверка статуса репликации выполняется командой
| Информацияcommand |
|---|
| samba-tool drs showrepl |
При проверке может выдаваться предупреждение
...
Для успешного запуска доменного сервиса BIND9 нужно предоставить сервису права на чтение конфигурационного файла /var/lib/samba/bind-dns/named.conf, а, точнее, предоставить права на поиск этого файла в каталоге /var/lib/samba/bind-dns:
| Информацияcommand |
|---|
chmod 755 /var/lib/samba/bind-dns |
...
| Информация |
|---|
samba-tool drs showrepl |
Запуск сервиcа:
| Информацияcommand |
|---|
| service bind9 restart |
Тестирование Samba AD DC
...
Запрос у локального сервера разрешения доменного имени samdom.example.com:
| Информацияcommand |
|---|
host -t A samdom.example.com localhost Using domain server: samdom.example.com has address 10.99.0.1 |
...