From 5ae08d81a91794cdac542b99826c051b1993a0f8 Mon Sep 17 00:00:00 2001 From: admin Date: Sat, 18 Apr 2026 19:27:29 +0000 Subject: [PATCH] =?UTF-8?q?=D0=94=D0=BE=D0=B1=D0=B0=D0=B2=D0=B8=D1=82?= =?UTF-8?q?=D1=8C=20c?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- c | 112 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 112 insertions(+) create mode 100644 c diff --git a/c b/c new file mode 100644 index 0000000..291eb99 --- /dev/null +++ b/c @@ -0,0 +1,112 @@ +скомпануй всю информацию и оформи методичку-гайд. + +1. Очистите DNS от записей старого Windows DC +В выводе samba-tool dns query всё ещё видны записи win-dc. Удалите их: [4/18/26 8:15 PM] Дима ( Danger Master ): # Удалите A-запись win-dc (IP 192.168.1.2) +samba-tool dns delete localhost au.team win-dc A 192.168.1.2 -U administrator + +# Удалите NS-запись win-dc +samba-tool dns delete localhost au.team @ NS win-dc.au.team. -U administrator +[4/18/26 8:15 PM] Дима ( Danger Master ): После этого проверьте: +[4/18/26 8:15 PM] Дима ( Danger Master ): samba-tool dns query localhost au.team @ ALL | grep -i win +[4/18/26 8:15 PM] Дима ( Danger Master ): (Не должно ничего вывести) +⚠️ 2. Очистите остатки репликации с Windows DC +Ошибки WERR_DS_DRA_BUSY и WERR_DS_ADD_REPLICA_INHIBITED в логах означают, что Samba всё ещё пытается синхронизироваться с уже удалённым win-dc. Нужно удалить эти ссылки. +Выполните на lin-dc1: +[4/18/26 8:15 PM] Дима ( Danger Master ): # 1. Проверьте текущие ссылки репликации +ldbsearch -H /var/lib/samba/private/sam.ldb --cross-ncs "(&(objectClass=nTDSDSA)(cn=*))" distinguishedName | grep -i win + +# 2. Если найдёт что-то вроде CN=WIN-DC..., удалите этот объект: +# (замените DN на реальный из вывода выше) +ldbmodify -H /var/lib/samba/private/sam.ldb << 'EOF' +dn: CN=NTDS Settings,CN=WIN-DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=au,DC=team +changetype: delete +EOF +[4/18/26 8:15 PM] Дима ( Danger Master ): Если ldbmodify не найдёт объект — значит он уже удалён, и ошибки исчезнут после перезагрузки. +🔄 3. Финальный перезапуск и проверка +[4/18/26 8:15 PM] Дима ( Danger Master ): # Перезапустите Samba +systemctl restart samba.service +sleep 5 + +# Проверьте логи на наличие ошибок +journalctl -u samba.service -n 20 --no-pager | grep -i error + +# Проверьте DNS (должен быть только lin-dc1) +host -t SRV _ldap._tcp.au.team 127.0.0.1 +host -t SRV _kerberos._udp.au.team 127.0.0.1 + +# Проверьте репликацию (не должно быть ссылок на win-dc) +samba-tool drs showrepl +[4/18/26 8:16 PM] Дима ( Danger Master ): ✅ Проверка работы Samba AD: +1. Проверка FSMO ролей (все должны быть на lin-dc1): +bash +[4/18/26 8:16 PM] Дима ( Danger Master ): samba-tool fsmo show +[4/18/26 8:16 PM] Дима ( Danger Master ): Должно показать все 5 ролей с владельцем CN=LIN-DC1,... +2. Проверка репликации: +bash +[4/18/26 8:16 PM] Дима ( Danger Master ): samba-tool drs showrepl +[4/18/26 8:16 PM] Дима ( Danger Master ): Не должно быть ошибок. Если Windows DC удалён, разделов репликации может не быть (это нормально для одного DC). +3. Проверка DNS: +[4/18/26 8:17 PM] Дима ( Danger Master ): # Проверка SRV-записей +host -t SRV _ldap._tcp.au.team 127.0.0.1 +host -t SRV _kerberos._udp.au.team 127.0.0.1 + +# Проверка списка зон +samba-tool dns zone list + +# Проверка записей домена +samba-tool dns query localhost au.team @ ALL +[4/18/26 8:17 PM] Дима ( Danger Master ): 4. Проверка пользователей и групп: +[4/18/26 8:17 PM] Дима ( Danger Master ): # Список пользователей +samba-tool user list + +# Список групп +samba-tool group list + +# Проверка администратора +samba-tool user show administrator +[4/18/26 8:17 PM] Дима ( Danger Master ): 5. Тест аутентификации: +[4/18/26 8:17 PM] Дима ( Danger Master ): # Получите Kerberos билет +kinit administrator@AU.TEAM + +# Проверьте билет +klist + +# Проверьте подключение к домену +net ads testjoin +[4/18/26 8:17 PM] Дима ( Danger Master ): 6. Проверка уровня домена: +[4/18/26 8:17 PM] Дима ( Danger Master ): samba-tool domain level show +[4/18/26 8:17 PM] Дима ( Danger Master ): . Проверка логов на ошибки: +[4/18/26 8:17 PM] Дима ( Danger Master ): journalctl -u samba.service -n 50 --no-pager +[4/18/26 8:18 PM] Дима ( Danger Master ): net time \\192.168.1.3 /set /y (windc) +[4/18/26 8:19 PM] Дима ( Danger Master ): Вариант 1: Принудительная репликация перед удалением +На lin-dc1 выполните: +[4/18/26 8:19 PM] Дима ( Danger Master ): # Принудительно реплицируем все разделы +samba-tool drs replicate lin-dc1 WIN-DC DC=DomainDnsZones,DC=au,DC=team --full +samba-tool drs replicate lin-dc1 WIN-DC DC=ForestDnsZones,DC=au,DC=team --full +samba-tool drs replicate lin-dc1 WIN-DC DC=au,DC=team --full +[4/18/26 8:20 PM] Дима ( Danger Master ): samba-tool drs replicate lin-dc1 WIN-DC DC=ForestDnsZones,DC=au,DC=team + + + + + +# Принудительно обновите все записи +samba_dnsupdate --all-names --verbose +# Проверьте, что теперь lin-dc1 в DNS +host -t SRV _kerberos._udp.au.team 127.0.0.1 +host -t SRV _ldap._tcp.au.team 127.0.0.1 + +[global] + netbios name = LIN-DC1 + realm = AU.TEAM + server role = active directory domain controller + workgroup = AU + + # ИСПРАВЛЕННЫЙ СПИСОК (добавлено 'dns' в конец) + server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns + + # ВАЖНО: Укажите IP старого Windows DC или публичный DNS (не 127.0.0.1 +!) + dns forwarder = 192.168.1.2 + +chronyc -a makestep \ No newline at end of file