Product SiteDocumentation Site

12.7. Заведение вторичного DC

Присоединение дополнительного Samba DC к существующему AD отличается от инициализации первого DC в лесу AD.
Все действия выполняются на узле dc2.test.alt (192.168.0.106), если не указано иное.
  1. Установить пакет task-samba-dc, который установит все необходимое: 
    # apt-get install task-samba-dc
  2. Остановить конфликтующие службы krb5kdc и slapd, а также bind: 
    # for service in smb nmb krb5kdc slapd bind; do systemctl disable $service; systemctl stop $service; done
  3. Очистить базы и конфигурацию Samba (домен, если он создавался до этого, будет удалён): 
    # rm -f /etc/samba/smb.conf
# rm -rf /var/lib/samba
# rm -rf /var/cache/samba
# mkdir -p /var/lib/samba/sysvol
  4. На Primary Domain Controller (PDC) проверить состояние службы bind: 
    # systemctl status bind
    И, если она была включена, выключить службу bind и перезапустить службу samba: 
    # systemctl stop bind
# systemctl restart samba
  5. На PDC завести IP-адрес для dc2:

    Предупреждение

    Указание аутентифицирующей информации (имени пользователя и пароля) обязательно! 
    # samba-tool dns add 192.168.0.122 test.alt DC2 A 192.168.0.106 -Uadministrator
Password for [TEST\administrator]:
Record added successfully
  6. На вторичном DC установить следующие параметры в файле конфигурации клиента Kerberos /etc/krb5.conf): 
    [libdefaults]
default_realm = TEST.ALT
dns_lookup_realm = false
dns_lookup_kdc = true

    Примечание

    На вторичном DC в /etc/resolv.conf обязательно должен быть добавлен PDC как nameserver: 
    # echo "name_servers=192.168.0.122" >> /etc/resolvconf.conf
# echo "search_domains=test.alt" >> /etc/resolvconf.conf
# resolvconf -u
# cat /etc/resolv.conf
search test.alt
nameserver 192.168.0.122
nameserver 8.8.8.8
  7. Для проверки настройки запросить билет Kerberos для администратора домена: 
    # kinit administrator@TEST.ALT
Password for administrator@TEST.ALT:

    Предупреждение

    Имя домена должно быть указано в верхнем регистре
  8. Убедиться, что билет получен: 
    # klist
Ticket cache: KEYRING:persistent:0:0
Default principal: administrator@TEST.ALT

Valid starting       Expires              Service principal
14.09.2022 15:50:40  15.09.2022 01:50:40  krbtgt/TEST.ALT@TEST.ALT
	renew until 21.09.2022 15:50:34
  9. Ввести вторичный DC в домен test.alt в качестве контроллера домена (DC): 
    # samba-tool domain join test.alt DC -Uadministrator --realm=test.alt --option="dns forwarder=8.8.8.8"
    Если всё нормально, в конце будет выведена информация о присоединении к домену: 
    Joined domain TEST (SID S-1-5-21-80639820-2350372464-3293631772) as a DC
    Для получения дополнительной информации можно воспользоваться командой: 
    # samba-tool domain join --help
  10. Сделать службу samba запускаемой по умолчанию и запустить её: 
    # systemctl enable --now samba