Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 4 Текущий »

Введение

Статья написана на основе материалов wiki.samba.com

В определённых ситуациях может оказаться, что необходимо навсегда удалить контроллер домена. В то время, как для обычного участника домена достаточно просто удалить соответствующую учетную запись, для удаления контроллера из домена требуется выполнить процедуру смещения (demoting). При некорректном смещении контроллера домен может стать нестабильным, например:

  • могут начаться сбои репликации;
  • оставшиеся контроллеры домена могут замедлять свою работу из-за ожидания ответов при неудачных попытках репликации;
  • вход доменных пользователей может замедлиться, или стать невозможным.

Смещение работающего контроллера домена

Если подлежащий смещению контроллер работает нормально, то:

  1. Войти на контроллер, как локальный пользователь.
  2. Убедиться, что контроллер не владеет никакими ролями FSMO (flexible single master operations):

    samba-tool fsmo show

  3. Если удаляемый контроллер владеет одной или более ролью FSMO, то передать роли другому DC. См. Передача роли FSMO.
  4. Опционально, для того, чтобы после смещения контроллера удостовериться, что все соответствующие записи DNS удалены , запомнить реквизиты контроллера (имя, IP-адрес, objectGUID). Например, для хоста DC2 в домене smadom.example.com:

    ldbsearch -H /var/lib/samba/private/sam.ldb '(invocationId=*)' --cross-ncs objectguid | grep -A1 DC2
    dn: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
    objectGUID: c14a774f-9732-4ec2-b9fa-2156c95c4e48

  5. Выполнить смещение контроллера:

    samba-tool domain demote -U administrator

    Примерный ответ команды:

    Using DC1.samdom.example.com as partner server for the demotion
    Password for [SAMDOM\administrator]:
    Deactivating inbound replication
    Asking partner server DC1.samdom.example.com to synchronize from us
    Changing userControl and container
    Removing Sysvol reference: CN=DC2,CN=Enterprise,CN=Microsoft System Volumes,CN=System,CN=Configuration,DC=samdom,DC=example,DC=com
    Removing Sysvol reference: CN=DC2,CN=samdom.example.com,CN=Microsoft System Volumes,CN=System,CN=Configuration,DC=samdom,DC=example,DC=com
    Removing Sysvol reference: CN=DC2,CN=Domain System Volumes (SYSVOL share),CN=File Replication Service,CN=System,DC=samdom,DC=example,DC=com
    Removing Sysvol reference: CN=DC2,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=samdom,DC=example,DC=com
    Demote successful

  6. Остановить службу samba.
  7. Если смещаемый контроллер работал как доменный сервер DNS, то:
    1. Остановить службу DNS (если использовался BIND9_DLZ DNS).
    2. Убедиться, что никакие участники домена на используют отключенную службу для разрешения имен DNS.

Смещение отключенного контроллера домена

В таких случаях, как, например, поломка оборудования, требуется сместить с роли контроллера неработающий контроллер домена. При этом для смещения недоступного контроллера используется работающий контроллер. 

Эту процедуру следует применять только в тех случаях, когда процедура, описанная в предыдущей части, невозможна. При описанной ниже процедуре все изменения (например, изменения паролей)  не будут реплицированы на работающий контроллер. Повторное подключение контроллера, смещенного по данной процедуре (например, после восстановления электропитания) недопустимо. 

Данная процедура не работает в версиях Samba 4.4 или младшей, для её применения необходимо обновить Samba до версии 4.4.0 или более поздней. Подробности см. Обновление Samba.

Чтобы сместить неработающий контроллер домена:

  1. Войти на работающий контроллер домена.
  2. Убедиться, что установлена версия Samba 4.4 или более поздняя:

    samba --version

  3. Убедиться, что контроллер на владеет никакими ролями FSMO (flexible single master operations):

    samba-tool fsmo show

  4. В случае, если  смещаемый контроллер владеет одной или более ролями FSMO, захватить их на локальном контроллере.  См. Захват роли FSMO.
  5. Убедиться, что смещаемый контроллер выключен.
  6. Опционально, для того, чтобы после смещения контроллера удостовериться, что все соответствующие записи DNS удалены , запомнить реквизиты контроллера (имя, IP-адрес, objectGUID). Например, для хоста DC2 в домене smadom.example.com:

    ldbsearch -H /usr/local/samba/private/sam.ldb '(invocationId=*)' --cross-ncs objectguid | grep -A1 DC2


    dn: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
    objectGUID: c14a774f-9732-4ec2-b9fa-2156c95c4e48

  7. Выполнить смещение удаленного (remote) контроллера:

    samba-tool domain demote --remove-other-dead-server=DC2

    Примерный ответ команды:

    Removing nTDSConnection: CN=04baf417-eb41-4f31-a5f1-c739f0e92b1b,CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
    Removing nTDSDSA: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com (and any children)
    Removing RID Set: CN=RID Set,CN=DC2,OU=Domain Controllers,DC=samdom,DC=example,DC=com
    Removing computer account: CN=DC2,OU=Domain Controllers,DC=samdom,DC=example,DC=com (and any child objects)
    Removing Samba-specific DNS service account: CN=dns-DC2,CN=Users,DC=samdom,DC=example,DC=com
    updating samdom.example.com keeping 3 values, removing 1 values
    updating DC=_kerberos._tcp.Default-First-Site-Name._sites,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    updating DC=_ldap._tcp.Default-First-Site-Name._sites,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    updating DC=_gc._tcp.Default-First-Site-Name._sites,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    updating DC=_kerberos._tcp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    updating DC=_kerberos._udp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    updating DC=_kpasswd._tcp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    updating DC=_kpasswd._udp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    updating DC=_ldap._tcp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    updating DC=_gc._tcp,DC=samdom.example.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    updating DC=_ldap._tcp.4d5258b9-0cd7-4d78-bdd7-99ebe6b19751.domains,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    updating DC=_kerberos._tcp.Default-First-Site-Name._sites.dc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    updating DC=_ldap._tcp.Default-First-Site-Name._sites.dc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    updating DC=_ldap._tcp.Default-First-Site-Name._sites.gc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    updating DC=c14a774f-9732-4ec2-b9fa-2156c95c4e48,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 0 values, removing 1 values
    updating DC=_kerberos._tcp.dc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    updating DC=_ldap._tcp.dc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    updating DC=_ldap._tcp.gc,DC=_msdcs.samdom.example.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=samdom,DC=example,DC=com keeping 1 values, removing 1 values
    Removing Sysvol reference: CN=DC2,CN=Enterprise,CN=Microsoft System Volumes,CN=System,CN=Configuration,DC=samdom,DC=example,DC=com
    Removing Sysvol reference: CN=DC2,CN=samdom.example.com,CN=Microsoft System Volumes,CN=System,CN=Configuration,DC=samdom,DC=example,DC=com
    Removing Sysvol reference: CN=DC2,CN=Domain System Volumes (SYSVOL share),CN=File Replication Service,CN=System,DC=samdom,DC=example,DC=com
    Removing Sysvol reference: CN=DC2,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=samdom,DC=example,DC=com

  8. Если смещаемый контроллер работал, как доменный сервер DNS, то  убедиться, что никакие участники домена не используют его для разрешения имён DNS.


  • Нет меток