2.2. Создание домена

⁠2.2. Создание домена

Служба DNS в «Альт Домен» используется для:

разрешения имен;
обнаружения служб;
обнаружения контроллеров домена.

Для управления службой DNS Samba поддерживает работу с двумя DNS-бэкендами:

SAMBA_INTERNAL — встроенный сервер имен:
- поддерживает базовую функциональность, необходимую для работы домена;
- используется по умолчанию при подготовке нового домена, присоединении к существующему домену;
- прост в настройке и не требует дополнительного ПО или знаний о DNS;
- следует использовать для простых настроек DNS;
SAMBA_INTERNAL не поддерживает следующий функционал:
- роль кеширующего DNS-сервера (caching resolver);
- обработку рекурсивных запросов (но может пересылать их другому рекурсивному серверу DNS);
- аутентификацию DNS-транзакций с использованием общих ключей (TSIG);
- работу с зонами-заглушками (stub zones);
- передачу зон DNS (zone transfers);
- балансировку нагрузки циклического перебора между контроллерами домена (Round Robin load balancing among DC's);
- условную пересылку DNS-запросов (conditional DNS forwarding).
BIND9_DLZ — использует Samba AD для хранения информации о зоне:
- требуется BIND 9.8 или более поздняя версия, установленная и настроенная локально на контроллере домена (DC) Samba Active Directory (AD);
- необходимы знания о DNS-сервере BIND и о том, как настроить службу;
- следует использовать для сложных сценариев DNS, которые нельзя настроить во внутреннем DNS.

Примечание

Внутренний DNS-сервер Samba не управляет кешем, поэтому он будет отправлять запрос серверу пересылки для каждого DNS-запроса, который не соответствует его домену. Бэкенд BIND9_DLZ использует кеш Bind для рекурсивных запросов. Запросы на сам домен каждый раз передаются модулю DLZ, кеша на этом уровне у него нет.

Чтобы определить, какой вариант развертывания DNS-сервера выбрать, необходимо учесть следующие факторы:

необходимость условной пересылки DNS-запросов. Если не требуется — можно использовать встроенный сервер имен (SAMBA_INTERNAL). Если требуется и при этом нежелательно использовать выделенный DNS-сервер — DNS-сервер на основе BIND 9;
уже имеющаяся инфраструктура. В случае, если уже есть настроенные DNS-серверы, на которые могут быть возложены функции перенаправления, можно использовать выделенный DNS-сервер на основе BIND 9.

Важно

Бэкенд DNS BIND9_FLATFILE не поддерживается.

⁠2.2.1. Параметры команды разворачивания домена

Команда samba-tool domain provision имеет множество опций, которые можно использовать для предоставления дополнительной информации при установке сервера. Эти опции также можно использовать в скриптах.

Ниже описаны некоторые опции. Для получения более подробной информации следует обратиться к man странице samba-tool(8).

⁠

Таблица 2.2. Основные опции для samba-tool domain provision

Опция	Описание
-d DEBUGLEVEL, --debuglevel=DEBUGLEVEL	Включить отладку
--interactive	Запрашивать ввод данных у пользователя (интерактивное создание домена)
--domain=DOMAIN	Имя домена NetBIOS (имя рабочей группы)
--domain-guid=GUID	Установить domainguid (иначе используется случайное значение)
--domain-sid=SID	Установить domainsid (иначе используется случайное значение)
--ntds-guid=GUID	Установить GUID объекта NTDS (иначе используется случайное значение)
--host-name=HOSTNAME	Установить имя хоста
--host-ip=IPADDRESS	Установить IPv4 IP-адрес
--host-ip6=IP6ADDRESS	Установить IPv6 IP-адрес
--adminpass=PASSWORD	Пароль основного администратора домена (иначе используется случайное значение)
--krbtgtpass=PASSWORD	Пароль krbtgtpass (иначе используется случайное значение)
--dns-backend=NAMESERVER-BACKEND	Бэкенд DNS-сервера: SAMBA_INTERNAL — встроенный сервер имен (по умолчанию), BIND9_FLATFILE — использует текстовую базу данных bind9 для хранения информации о зоне, BIND9_DLZ — использует Samba AD для хранения информации о зоне, NONE — полностью пропускает настройку DNS (не рекомендуется).
--dnspass=PASSWORD	Пароль dns (иначе используется случайное значение)
--server-role=ROLE	Позволяет указать тип серверной роли: domain controller, dc (по умолчанию), member server, member или standalone
--function-level=FOR-FUN-LEVEL	Позволяет указать уровень домена и леса: 2000, 2003, 2008, 2008_R2 (по умолчанию) или 2016
--base-schema=BASE-SCHEMA	Версия базовой схемы домена. По умолчанию 2019
--use-rfc2307	Позволяет поддерживать расширенные атрибуты типа UID и GID в схеме LDAP и ACL на файловой системе Linux
--machinepass=PASSWORD	Пароль для машины (иначе используется случайное значение)
--plaintext-secrets	Сохранять конфиденциальные данные в виде обычного текста на диске (по умолчанию конфиденциальные данные шифруются)
--realm=REALM	Задаёт область Kerberos (LDAP), и DNS имя домена
--option=OPTION	Позволяет установить параметры `smb.conf` из командной строки
-s FILE, --configfile=FILE	Позволяет указать файл конфигурации