admin/superdupersite
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Добавить c

Browse Source
This commit is contained in:
admin
2026-04-18 19:27:29 +00:00
parent ad065aa711
commit 5ae08d81a9
1 changed files with 112 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

112
c Normal file
View File

@@ -0,0 +1,112 @@
скомпануй всю информацию и оформи методичку-гайд.
1. Очистите DNS от записей старого Windows DC
В выводе samba-tool dns query всё ещё видны записи win-dc. Удалите их: [4/18/26 8:15PM] Дима ( Danger Master ): # Удалите A-запись win-dc (IP 192.168.1.2)
samba-tool dns delete localhost au.team win-dc A 192.168.1.2 -U administrator
# Удалите NS-запись win-dc
samba-tool dns delete localhost au.team @ NS win-dc.au.team. -U administrator
[4/18/26 8:15PM] Дима ( Danger Master ): После этого проверьте:
[4/18/26 8:15PM] Дима ( Danger Master ): samba-tool dns query localhost au.team @ ALL | grep -i win
[4/18/26 8:15PM] Дима ( Danger Master ): (Не должно ничего вывести)
⚠️ 2. Очистите остатки репликации с Windows DC
Ошибки WERR_DS_DRA_BUSY и WERR_DS_ADD_REPLICA_INHIBITED в логах означают, что Samba всё ещё пытается синхронизироваться с уже удалённым win-dc. Нужно удалить эти ссылки.
Выполните на lin-dc1:
[4/18/26 8:15PM] Дима ( Danger Master ): # 1. Проверьте текущие ссылки репликации
ldbsearch -H /var/lib/samba/private/sam.ldb --cross-ncs "(&(objectClass=nTDSDSA)(cn=*))" distinguishedName | grep -i win
# 2. Если найдёт что-то вроде CN=WIN-DC..., удалите этот объект:
# (замените DN на реальный из вывода выше)
ldbmodify -H /var/lib/samba/private/sam.ldb << 'EOF'
dn: CN=NTDS Settings,CN=WIN-DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=au,DC=team
changetype: delete
EOF
[4/18/26 8:15PM] Дима ( Danger Master ): Если ldbmodify не найдёт объект — значит он уже удалён, и ошибки исчезнут после перезагрузки.
🔄 3. Финальный перезапуск и проверка
[4/18/26 8:15PM] Дима ( Danger Master ): # Перезапустите Samba
systemctl restart samba.service
sleep 5
# Проверьте логи на наличие ошибок
journalctl -u samba.service -n 20 --no-pager | grep -i error
# Проверьте DNS (должен быть только lin-dc1)
host -t SRV _ldap._tcp.au.team 127.0.0.1
host -t SRV _kerberos._udp.au.team 127.0.0.1
# Проверьте репликацию (не должно быть ссылок на win-dc)
samba-tool drs showrepl
[4/18/26 8:16PM] Дима ( Danger Master ): ✅ Проверка работы Samba AD:
1. Проверка FSMO ролей (все должны быть на lin-dc1):
bash
[4/18/26 8:16PM] Дима ( Danger Master ): samba-tool fsmo show
[4/18/26 8:16PM] Дима ( Danger Master ): Должно показать все 5 ролей с владельцем CN=LIN-DC1,...
2. Проверка репликации:
bash
[4/18/26 8:16PM] Дима ( Danger Master ): samba-tool drs showrepl
[4/18/26 8:16PM] Дима ( Danger Master ): Не должно быть ошибок. Если Windows DC удалён, разделов репликации может не быть (это нормально для одного DC).
3. Проверка DNS:
[4/18/26 8:17PM] Дима ( Danger Master ): # Проверка SRV-записей
host -t SRV _ldap._tcp.au.team 127.0.0.1
host -t SRV _kerberos._udp.au.team 127.0.0.1
# Проверка списка зон
samba-tool dns zone list
# Проверка записей домена
samba-tool dns query localhost au.team @ ALL
[4/18/26 8:17PM] Дима ( Danger Master ): 4. Проверка пользователей и групп:
[4/18/26 8:17PM] Дима ( Danger Master ): # Список пользователей
samba-tool user list
# Список групп
samba-tool group list
# Проверка администратора
samba-tool user show administrator
[4/18/26 8:17PM] Дима ( Danger Master ): 5. Тест аутентификации:
[4/18/26 8:17PM] Дима ( Danger Master ): # Получите Kerberos билет
kinit administrator@AU.TEAM
# Проверьте билет
klist
# Проверьте подключение к домену
net ads testjoin
[4/18/26 8:17PM] Дима ( Danger Master ): 6. Проверка уровня домена:
[4/18/26 8:17PM] Дима ( Danger Master ): samba-tool domain level show
[4/18/26 8:17PM] Дима ( Danger Master ): . Проверка логов на ошибки:
[4/18/26 8:17PM] Дима ( Danger Master ): journalctl -u samba.service -n 50 --no-pager
[4/18/26 8:18PM] Дима ( Danger Master ): net time \\192.168.1.3 /set /y (windc)
[4/18/26 8:19PM] Дима ( Danger Master ): Вариант 1: Принудительная репликация перед удалением
На lin-dc1 выполните:
[4/18/26 8:19PM] Дима ( Danger Master ): # Принудительно реплицируем все разделы
samba-tool drs replicate lin-dc1 WIN-DC DC=DomainDnsZones,DC=au,DC=team --full
samba-tool drs replicate lin-dc1 WIN-DC DC=ForestDnsZones,DC=au,DC=team --full
samba-tool drs replicate lin-dc1 WIN-DC DC=au,DC=team --full
[4/18/26 8:20PM] Дима ( Danger Master ): samba-tool drs replicate lin-dc1 WIN-DC DC=ForestDnsZones,DC=au,DC=team
# Принудительно обновите все записи
samba_dnsupdate --all-names --verbose
# Проверьте, что теперь lin-dc1 в DNS
host -t SRV _kerberos._udp.au.team 127.0.0.1
host -t SRV _ldap._tcp.au.team 127.0.0.1
[global]
netbios name = LIN-DC1
realm = AU.TEAM
server role = active directory domain controller
workgroup = AU
# ИСПРАВЛЕННЫЙ СПИСОК (добавлено 'dns' в конец)
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns
# ВАЖНО: Укажите IP старого Windows DC или публичный DNS (не 127.0.0.1
!)
dns forwarder = 192.168.1.2
chronyc -a makestep