Product SiteDocumentation Site

49.4. Присоединение к домену в роли контроллера домена

Для обеспечения отказоустойчивости и балансировки нагрузки в домен могут добавляться дополнительные контроллеры домена.
Заведение дополнительного контроллера домена выполняется путём присоединения дополнительного DC к существующему домену.

Примечание

Уровни леса и домена на существующем DC и дополнительном DC должны совпадать.
На добавляемом DC в /etc/resolv.conf обязательно должен быть добавлен первый DC как nameserver: 
# echo "name_servers=192.168.0.132" >> /etc/resolvconf.conf
# echo "search_domains=test.alt" >> /etc/resolvconf.conf
# resolvconf -u
# cat /etc/resolv.conf
search test.alt
nameserver 192.168.0.132
nameserver 8.8.8.8
где enp0s3 — имя интерфейса.

Примечание

После успешного присоединения настройка nameserver должна быть изменена таким образом, чтобы использовать IP-адрес нового DC.
Все действия, указанные ниже, выполняются на узле dc2.test.alt (192.168.0.133), если не указано иное.
Этапы настройки сервера и присоединения к домену в роли контроллера домена:
  1. Установить установить компонент samba-dc: 
    # alteratorctl components install samba-dc
    или пакет task-samba-dc: 
    # apt-get install task-samba-dc
  2. Остановить конфликтующие службы krb5kdc и slapd, а также bind: 
    # for service in smb nmb krb5kdc slapd bind; do systemctl disable $service; systemctl stop $service; done
  3. Очистить базы и конфигурацию Samba (домен, если он создавался до этого, будет удалён): 
    # rm -f /etc/samba/smb.conf
# rm -rf /var/lib/samba
# rm -rf /var/cache/samba
# mkdir -p /var/lib/samba/sysvol
  4. На существующем контроллере домена завести IP-адрес нового DC (команда выполняется на узле dc1.test.alt): 
    # samba-tool dns add 192.168.0.132 test.alt DC2 A 192.168.0.133 -Uadministrator
Password for [TEST\administrator]:
Record added successfully

    Предупреждение

    Указание аутентифицирующей информации (имени пользователя и пароля) обязательно!
  5. На новом контроллере домена установить следующие параметры в файле конфигурации клиента Kerberos (/etc/krb5.conf): 
    [libdefaults]
default_realm = TEST.ALT
dns_lookup_realm = false
dns_lookup_kdc = true
  6. Для проверки настройки запросить билет Kerberos для администратора домена: 
    # kinit administrator@TEST.ALT
Password for administrator@TEST.ALT:

    Предупреждение

    Имя домена должно быть указано в верхнем регистре.
  7. Убедиться, что билет получен: 
    # klist
Ticket cache: KEYRING:persistent:0:0
Default principal: administrator@TEST.ALT

Valid starting       Expires              Service principal
25.03.2025 12:23:59  25.03.2025 22:23:59  krbtgt/TEST.ALT@TEST.ALT
	renew until 01.04.2025 12:23:56
  8. Ввести дополнительный DC в домен test.alt в качестве контроллера домена: 
    # samba-tool domain join test.alt DC -Uadministrator --realm=test.alt --option="dns forwarder=8.8.8.8"
    Если всё нормально, в конце будет выведена информация о присоединении к домену: 
    Joined domain TEST (SID S-1-5-21-1303430852-2161078951-3079987082) as a DC
    Для получения дополнительной информации можно воспользоваться командой: 
    # samba-tool domain join --help
  9. После успешного ввода в домен в resolvconf необходимо сменить адрес первого DC на адрес второго DC (в примере 192.168.0.133).
  10. Сделать службу samba запускаемой по умолчанию и запустить её: 
    # systemctl enable --now samba