скомпануй всю информацию и оформи методичку-гайд. 1. Очистите DNS от записей старого Windows DC В выводе samba-tool dns query всё ещё видны записи win-dc. Удалите их: [4/18/26 8:15 PM] Дима ( Danger Master ): # Удалите A-запись win-dc (IP 192.168.1.2) samba-tool dns delete localhost au.team win-dc A 192.168.1.2 -U administrator # Удалите NS-запись win-dc samba-tool dns delete localhost au.team @ NS win-dc.au.team. -U administrator [4/18/26 8:15 PM] Дима ( Danger Master ): После этого проверьте: [4/18/26 8:15 PM] Дима ( Danger Master ): samba-tool dns query localhost au.team @ ALL | grep -i win [4/18/26 8:15 PM] Дима ( Danger Master ): (Не должно ничего вывести) ⚠️ 2. Очистите остатки репликации с Windows DC Ошибки WERR_DS_DRA_BUSY и WERR_DS_ADD_REPLICA_INHIBITED в логах означают, что Samba всё ещё пытается синхронизироваться с уже удалённым win-dc. Нужно удалить эти ссылки. Выполните на lin-dc1: [4/18/26 8:15 PM] Дима ( Danger Master ): # 1. Проверьте текущие ссылки репликации ldbsearch -H /var/lib/samba/private/sam.ldb --cross-ncs "(&(objectClass=nTDSDSA)(cn=*))" distinguishedName | grep -i win # 2. Если найдёт что-то вроде CN=WIN-DC..., удалите этот объект: # (замените DN на реальный из вывода выше) ldbmodify -H /var/lib/samba/private/sam.ldb << 'EOF' dn: CN=NTDS Settings,CN=WIN-DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=au,DC=team changetype: delete EOF [4/18/26 8:15 PM] Дима ( Danger Master ): Если ldbmodify не найдёт объект — значит он уже удалён, и ошибки исчезнут после перезагрузки. 🔄 3. Финальный перезапуск и проверка [4/18/26 8:15 PM] Дима ( Danger Master ): # Перезапустите Samba systemctl restart samba.service sleep 5 # Проверьте логи на наличие ошибок journalctl -u samba.service -n 20 --no-pager | grep -i error # Проверьте DNS (должен быть только lin-dc1) host -t SRV _ldap._tcp.au.team 127.0.0.1 host -t SRV _kerberos._udp.au.team 127.0.0.1 # Проверьте репликацию (не должно быть ссылок на win-dc) samba-tool drs showrepl [4/18/26 8:16 PM] Дима ( Danger Master ): ✅ Проверка работы Samba AD: 1. Проверка FSMO ролей (все должны быть на lin-dc1): bash [4/18/26 8:16 PM] Дима ( Danger Master ): samba-tool fsmo show [4/18/26 8:16 PM] Дима ( Danger Master ): Должно показать все 5 ролей с владельцем CN=LIN-DC1,... 2. Проверка репликации: bash [4/18/26 8:16 PM] Дима ( Danger Master ): samba-tool drs showrepl [4/18/26 8:16 PM] Дима ( Danger Master ): Не должно быть ошибок. Если Windows DC удалён, разделов репликации может не быть (это нормально для одного DC). 3. Проверка DNS: [4/18/26 8:17 PM] Дима ( Danger Master ): # Проверка SRV-записей host -t SRV _ldap._tcp.au.team 127.0.0.1 host -t SRV _kerberos._udp.au.team 127.0.0.1 # Проверка списка зон samba-tool dns zone list # Проверка записей домена samba-tool dns query localhost au.team @ ALL [4/18/26 8:17 PM] Дима ( Danger Master ): 4. Проверка пользователей и групп: [4/18/26 8:17 PM] Дима ( Danger Master ): # Список пользователей samba-tool user list # Список групп samba-tool group list # Проверка администратора samba-tool user show administrator [4/18/26 8:17 PM] Дима ( Danger Master ): 5. Тест аутентификации: [4/18/26 8:17 PM] Дима ( Danger Master ): # Получите Kerberos билет kinit administrator@AU.TEAM # Проверьте билет klist # Проверьте подключение к домену net ads testjoin [4/18/26 8:17 PM] Дима ( Danger Master ): 6. Проверка уровня домена: [4/18/26 8:17 PM] Дима ( Danger Master ): samba-tool domain level show [4/18/26 8:17 PM] Дима ( Danger Master ): . Проверка логов на ошибки: [4/18/26 8:17 PM] Дима ( Danger Master ): journalctl -u samba.service -n 50 --no-pager [4/18/26 8:18 PM] Дима ( Danger Master ): net time \\192.168.1.3 /set /y (windc) [4/18/26 8:19 PM] Дима ( Danger Master ): Вариант 1: Принудительная репликация перед удалением На lin-dc1 выполните: [4/18/26 8:19 PM] Дима ( Danger Master ): # Принудительно реплицируем все разделы samba-tool drs replicate lin-dc1 WIN-DC DC=DomainDnsZones,DC=au,DC=team --full samba-tool drs replicate lin-dc1 WIN-DC DC=ForestDnsZones,DC=au,DC=team --full samba-tool drs replicate lin-dc1 WIN-DC DC=au,DC=team --full [4/18/26 8:20 PM] Дима ( Danger Master ): samba-tool drs replicate lin-dc1 WIN-DC DC=ForestDnsZones,DC=au,DC=team # Принудительно обновите все записи samba_dnsupdate --all-names --verbose # Проверьте, что теперь lin-dc1 в DNS host -t SRV _kerberos._udp.au.team 127.0.0.1 host -t SRV _ldap._tcp.au.team 127.0.0.1 [global] netbios name = LIN-DC1 realm = AU.TEAM server role = active directory domain controller workgroup = AU # ИСПРАВЛЕННЫЙ СПИСОК (добавлено 'dns' в конец) server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns # ВАЖНО: Укажите IP старого Windows DC или публичный DNS (не 127.0.0.1 !) dns forwarder = 192.168.1.2 chronyc -a makestep