2.5. Заведение вторичного DC и настройка репликации

⁠2.5. Заведение вторичного DC и настройка репликации

Все действия выполняются на узле dc2.test.alt (192.168.0.141), если не указано иное.

Для заведения вторичного DC выполняются следующие шаги:

Установить пакет task-samba-dc (этот шаг можно пропустить, если при установке системы на этапе «Установка системы» был выбран профиль Сервер Samba DC (контроллер AD)):
```
# apt-get install task-samba-dc
```

Остановить конфликтующие службы krb5kdc и slapd, а также bind:

# for service in smb nmb krb5kdc slapd bind; do systemctl disable $service; systemctl stop $service; done

Очистить базы и конфигурацию Samba:

# rm -f /etc/samba/smb.conf
# rm -rf /var/lib/samba
# rm -rf /var/cache/samba
# mkdir -p /var/lib/samba/sysvol

Задать имя компьютера (этот шаг можно пропустить, если имя компьютера было задано при установке системы на этапе «Настройка сети»):
```
# hostnamectl set-hostname dc2.test.alt
```
Примечание
После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
На вторичном DC в файле /etc/resolv.conf обязательно должен быть добавлен PDC как nameserver (этот шаг можно пропустить, если имя компьютера было задано при установке системы на этапе «Настройка сети»):
```
# echo "name_servers=192.168.0.122" >> /etc/resolvconf.conf
# echo "search_domains=test.alt" >> /etc/resolvconf.conf
# resolvconf -u
# cat /etc/resolv.conf
search test.alt
nameserver 192.168.0.122
nameserver 8.8.8.8
```
На Primary Domain Controller (PDC) проверить состояние службы bind:
```
# systemctl status bind
```
И, если она была включена, выключить службу bind и перезапустить службу samba:
```
# systemctl stop bind
# systemctl restart samba
```
На PDC завести IP-адрес для dc2:
Предупреждение
Указание аутентифицирующей информации (имени пользователя и пароля) обязательно!
```
# samba-tool dns add 192.168.0.122 test.alt DC2 A 192.168.0.141 -Uadministrator
Password for [TEST\administrator]:
Record added successfully
```
На вторичном DC установить следующие параметры в файле конфигурации клиента Kerberos (файл /etc/krb5.conf):
```
[libdefaults]
default_realm = TEST.ALT
dns_lookup_realm = false
dns_lookup_kdc = true
```

Для проверки настройки запросить билет Kerberos для администратора домена:

# kinit administrator@TEST.ALT
Password for administrator@TEST.ALT:

Убедиться, что билет получен:

# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: administrator@TEST.ALT

Valid starting       Expires              Service principal
27.03.2024 11:06:43  27.03.2024 21:06:43  krbtgt/TEST.ALT@TEST.ALT
	renew until 03.04.2024 11:06:39

Ввести вторичный DC в домен test.alt в качестве контроллера домена (DC):
```
# samba-tool domain join test.alt DC -Uadministrator --realm=test.alt --option="dns forwarder=8.8.8.8"
```
Если всё нормально, в конце будет выведена информация о присоединении к домену:
```
Joined domain TEST (SID S-1-5-21-80639820-2350372464-3293631772) as a DC
```
Запустить и сделать службу samba запускаемой по умолчанию:
```
# systemctl enable --now samba
```

Настройка репликации:

Произвести репликацию на вторичном DC (с первичного):
```
# samba-tool drs replicate dc2.test.alt dc1.test.alt dc=test,dc=alt -Uadministrator
Password for [TEST\administrator]:
Replicate from dc1.test.alt to dc2.test.alt was successful.
```
Сначала указывается приемник, затем источник, после этого реплицируемая ветка в LDAP.
Произвести репликацию на вторичном DC (на первичный):
```
# samba-tool drs replicate dc1.test.alt dc2.test.alt dc=test,dc=alt -Uadministrator
Password for [TEST\administrator]:
Replicate from dc2.test.alt to dc1.test.alt was successful.
```
Сначала указывается приемник, затем источник, после этого реплицируемая ветка в LDAP.
Просмотр статуса репликации на PDC:
```
# samba-tool drs showrepl
```