2.5.2. Заведение дополнительного контроллера домена c бэкендом BIND9

⁠2.5.2. Заведение дополнительного контроллера домена c бэкендом BIND9_DLZ

Все действия, указанные ниже, выполняются на узле dc2.test.alt (192.168.0.123), если не указано иное.

Примечание

Для выполнения операции присоединения к домену требуется пароль администратора домена.

Этапы настройки сервера и присоединения к домену в роли контроллера домена:

Установить пакет task-samba-dc, который установит все необходимое:
```
# apt-get install task-samba-dc
```
Установить и настроить DNS-сервер BIND (см. Настройка BIND9 для работы с Samba AD);

На добавляемом DC в /etc/resolv.conf обязательно должен быть добавлен первый DC как nameserver:

# echo "name_servers=192.168.0.122" >> /etc/resolvconf.conf
# echo "search_domains=test.alt" >> /etc/resolvconf.conf
# resolvconf -u
# cat /etc/resolv.conf
search test.alt
nameserver 192.168.0.122
nameserver 8.8.8.8

Остановить конфликтующие службы krb5kdc и slapd, а также bind:

# for service in smb nmb krb5kdc slapd bind; do systemctl disable $service; systemctl stop $service; done

Очистить базы и конфигурацию Samba (домен, если он создавался до этого, будет удалён):
```
# rm -f /etc/samba/smb.conf
# rm -rf /var/lib/samba
# rm -rf /var/cache/samba
# mkdir -p /var/lib/samba/sysvol
```
На существующем контроллере домена завести IP-адрес для нового DC (команда выполняется на узле dc1.test.alt):
```
# samba-tool dns add 192.168.0.122 test.alt DC2 A 192.168.0.123 -Uadministrator
Password for [TEST\administrator]:
Record added successfully
```
Предупреждение
Указание аутентифицирующей информации (имени пользователя и пароля) обязательно!

Примечание
Синтаксис команды samba-tool dns add см. в разделе Администрирование DNS
На новом контроллере домена установить следующие параметры в файле конфигурации клиента Kerberos (/etc/krb5.conf):
```
[libdefaults]
default_realm = TEST.ALT
dns_lookup_realm = false
dns_lookup_kdc = true
```

Запросить билет Kerberos администратора домена:

# kinit administrator@TEST.ALT
Password for administrator@TEST.ALT:

Предупреждение

Имя домена должно быть указано в верхнем регистре.

Убедиться, что билет получен:

# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: administrator@TEST.ALT

Valid starting       Expires              Service principal
27.03.2024 14:14:36  28.03.2024 00:14:36  krbtgt/TEST.ALT@TEST.ALT
	renew until 28.03.2024 14:14:32

Ввести дополнительный DC в домен test.alt в качестве контроллера домена:
```
# samba-tool domain join test.alt DC -Uadministrator \
--realm=test.alt --dns-backend=BIND9_DLZ
```
Если всё нормально, в конце будет выведена информация о присоединении к домену:
```
Joined domain TEST (SID S-1-5-21-80639820-2350372464-3293631772) as a DC
```
Установить службы samba и bind по умолчанию и запустить их:
```
# systemctl enable --now samba
# systemctl enable --now bind
```