...
| Информация |
|---|
| Домены NT4 используют только один первичный контроллер домена (Primary Domain Controller, PDC) и, опционально, дополнительные резервные контроллеры (Backup Domain Controllers, BDC). В доменном лесу AD не существует разницы между различными DC, за исключением ролей FSMO, поэтому, когда речь идёт о домене AD, во избежание путаницы, используется единый термин "контроллер домена" или "DC". |
Подготовка установки
См. Samba как контроллер домена AD
Установка Samba
- Настроить статический IP-адрес хоста;
В качестве IP-адреса сервера DNS указать IP-адрес существующего сервера доменного DNS
Задать полное доменное имя хоста:
| Информация |
|---|
| hostnamectl set-hostname dc2.samdom.example.com |
- В файле /etc/hosts указать правильный адрес хоста, например:
| Информация |
|---|
| 10.0.2.253 dc2.samdom.example.com dc2 |
Подробности смСм. Samba как контроллер домена AD
Подготовка хоста к присоединению к домену
...
Установка локального сервера DNS
По умолчанию, первый контроллер домена (DC) в доменном лесу поддерживает собственный сервер DNS для зон AD. Для обеспечения отказоустойчивости рекомендуется иметь в сети несколько DC, работающих также и как серверы DNS.
Если планируется поддерживать дополнительный DNS, то:
...
| Предупреждение |
|---|
| Параметр 'nameserver' в файле настройки разрешения имён '/etc/resolv.conf' должен указывать на AD DC, иначе присоединяемый DC не сможет найти доменную службу Kerberos KDC |
Установка клиента Kerberos
Используйте для файла параметров Установите клиента Kerberos следующие настройки /etc/krb5.conf:
| Информация |
|---|
| apt-install rkb5-user |
Если в сети правильно настроен и работает служба DNS, параметры сервера Kerberos для подключения клиента будут получены автоматически.
Для проверки правильности настройки клиента используйте команду получения билета Kerberos kinit:
...
Чтобы просмотреть полученные билеты:
| Информация |
|---|
| klist |
Установка Samba
См. Samba как контроллер домена AD
Присоединение у домену AD в роли DC
| Предупреждение |
|---|
| Перед присоединением необходимо удалить автоматически создаваемый при установке пакета Samba файл /etc/samba/smb.conf |
Пример присоединения к домену samdom.example.com в роли контроллера домена (DC), дополнительно работающего как сервер DNS с использованием внутреннего сервиса DNS Samba BIND9_DLZ:
| Информация |
|---|
| samba-tool domain join samdom.example.com DC -U"SAMDOM\administrator" --dns-backend=SAMBABIND9_INTERNALDLZ |
После ввода команды будет запрошен пароль администратора домена, и выдана информациия о ходе присоединения:
...
| Информация |
|---|
После запуска DC, служба синхронизации данных (knowledge consistency checker, KCC) на Samba DC создаёт соглашения о репликациии с другими DC в этом доменном лесу AD. |
Проверка статуса репликации выполняется командой
| Информация |
|---|
| samba-tool drs showrepl |
При проверке может выдаваться предупреждение
| Информация |
|---|
| Warning: No NC replicated for Connection! |
Согласно документации Samba, это предупреждение можно игнорировать.
Подробности см. Проверка статусов репликации каталогов.
| Предупреждение |
|---|
Для оптимизации стоимости и времени репликации, KCC в Samba более не создаёт полносвязанную топологию репликации. Подпробности см. Samba KCC. |
Запуск BIND
Для успешного запуска доменного сервиса BIND9 нужно предоставить сервису права на чтение конфигурационного файла /var/lib/samba/bind-dns/named.conf, а, точнее, предоставить права на поиск этого файла в каталоге /var/lib/samba/bind-dns:
| Информация |
|---|
chmod 755 /var/lib/samba/bind-dns |
Перед запуском сервиса BIND проверьте, что все части каталогов DNS успешно реплицированы:
| Информация |
|---|
samba-tool drs showrepl |
Запуск сервиcа:
| Информация |
|---|
| service bind9 restart |
Тестирование Samba AD DC
Проверка файлового сервера
...