ЛР 4.4 - Резервный контроллер на Samba DC

Подготовка существующего контроллера MS AD

1. Перейдите на машину win-dc и от имени администратора домена запустите powershell:
   
2. Определите уровни леса и домена:
   Get-ADForest
Get-ADDomain
   
3. Понизьте уровни леса и домена, затем повторите п.2
   Set-ADForestMode –Identity "lab.lan" -ForestMode Windows2008R2Forest
Set-ADDomainMode –Identity "lab.lan" –DomainMode Windows2008R2Domain
   

Настройка резервного контроллера Samba DC

1. Склонируйте ВМ tmpl-ubuntu24-server в lin-dc (в процессе сгенерируйте новый mac-адрес).
   
2. Запустите lin-dc, переименуйте хост в lin-dc.lab.lan и пропишите статический ip 10.20.30.5/24. После перезагрузки включите синхронизацию времени по ntp.
   
3. Установите пакеты samba и winbind, затем удалите дефолтный конфиг:
   apt install -y samba winbind
rm /etc/samba/smb.conf
   
4. Установите клиента kerberos и получите TGT:
   apt install krb5-user
kinit Administrator
   
5. Подключите lin-dc к домену в качестве резервного контроллера:
   samba-tool domain join lab.lan DC -k yes --dns-backend=SAMBA_INTERNAL --option="dns forwarder=77.88.8.8"
   
6. Отключите службу файлового сервиса samba и сконфигурируйте службу samba-dc:
   systemctl disable smbd
systemctl unmask samba-ad-dc.service
systemctl enable samba-ad-dc.service
   
7. Отредактируйте конфиг /etc/samba/smb.conf:

[global]
        ldap server require strong auth = no
...

8. Отредактируйте настройку сетевого адаптера, указав в качестве dns 127.0.0.1.
   
9. Замените конфиг krb5.conf на созданный samba:
   cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
   
10. Отключите systemd-resolved:
    systemctl disable systemd-resolved
    
11. Перезапустите lin-dc.
    
12. Проверьте статус репликации:
    samba-tool drs showrepl
    

Тестирование работоспособности

1. На ВМ gwX в настройках /etc/dhcp/dhcpd.conf добавьте второй dns, выдаваемый клиентам:

option domain-name-servers 10.20.30.5, 10.20.30.10;

2. Перезапустите службу dhcp:
   systemctl restart isc-dhcp-server
   
3. В настройках сетевого адаптера gwX укажите новый dns-сервер.
   
4. Выключите win-dc, затем на lin-dc проверьте наличие списка доменных пользователей:
   samba-tool user list
   
5. Запустите win-client и авторизуйтесь под любым доменным пользователем.
   
6. Включите win-dc.

Управление пользователями домена

1. В консоли lin-dc создайте нового доменного пользователя:
   samba-tool user create support 'Specialist1!' --given-name 'Tech' --surname 'Support'
   
2. В консоли lin-dc удалите существующего пользователя:
   samba-tool user delete manager
   
3. В консоли lin-dc заблокируйте существующего пользователя:
   samba-tool user disable director
   
4. Проверьте статус пользователей в оснастке на win-dc
   
5. Авторизуйтесь под новым пользователем на любой из машин, введенных в домен.