admin/superdupersite
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
bc0a08d3071a01e301a2e9254e96507297193e8d
superdupersite/c
admin 5ae08d81a9 Добавить c
2026-04-18 19:27:29 +00:00

112 lines
6.1 KiB
Plaintext
Raw Blame History

This file contains invisible Unicode characters
This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
скомпануй всю информацию и оформи методичку-гайд.
1. Очистите DNS от записей старого Windows DC
В выводе samba-tool dns query всё ещё видны записи win-dc. Удалите их: [4/18/26 8:15PM] Дима ( Danger Master ): # Удалите A-запись win-dc (IP 192.168.1.2)
samba-tool dns delete localhost au.team win-dc A 192.168.1.2 -U administrator
# Удалите NS-запись win-dc
samba-tool dns delete localhost au.team @ NS win-dc.au.team. -U administrator
[4/18/26 8:15PM] Дима ( Danger Master ): После этого проверьте:
[4/18/26 8:15PM] Дима ( Danger Master ): samba-tool dns query localhost au.team @ ALL | grep -i win
[4/18/26 8:15PM] Дима ( Danger Master ): (Не должно ничего вывести)
⚠️ 2. Очистите остатки репликации с Windows DC
Ошибки WERR_DS_DRA_BUSY и WERR_DS_ADD_REPLICA_INHIBITED в логах означают, что Samba всё ещё пытается синхронизироваться с уже удалённым win-dc. Нужно удалить эти ссылки.
Выполните на lin-dc1:
[4/18/26 8:15PM] Дима ( Danger Master ): # 1. Проверьте текущие ссылки репликации
ldbsearch -H /var/lib/samba/private/sam.ldb --cross-ncs "(&(objectClass=nTDSDSA)(cn=*))" distinguishedName | grep -i win
# 2. Если найдёт что-то вроде CN=WIN-DC..., удалите этот объект:
# (замените DN на реальный из вывода выше)
ldbmodify -H /var/lib/samba/private/sam.ldb << 'EOF'
dn: CN=NTDS Settings,CN=WIN-DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=au,DC=team
changetype: delete
EOF
[4/18/26 8:15PM] Дима ( Danger Master ): Если ldbmodify не найдёт объект — значит он уже удалён, и ошибки исчезнут после перезагрузки.
🔄 3. Финальный перезапуск и проверка
[4/18/26 8:15PM] Дима ( Danger Master ): # Перезапустите Samba
systemctl restart samba.service
sleep 5
# Проверьте логи на наличие ошибок
journalctl -u samba.service -n 20 --no-pager | grep -i error
# Проверьте DNS (должен быть только lin-dc1)
host -t SRV _ldap._tcp.au.team 127.0.0.1
host -t SRV _kerberos._udp.au.team 127.0.0.1
# Проверьте репликацию (не должно быть ссылок на win-dc)
samba-tool drs showrepl
[4/18/26 8:16PM] Дима ( Danger Master ): ✅ Проверка работы Samba AD:
1. Проверка FSMO ролей (все должны быть на lin-dc1):
bash
[4/18/26 8:16PM] Дима ( Danger Master ): samba-tool fsmo show
[4/18/26 8:16PM] Дима ( Danger Master ): Должно показать все 5 ролей с владельцем CN=LIN-DC1,...
2. Проверка репликации:
bash
[4/18/26 8:16PM] Дима ( Danger Master ): samba-tool drs showrepl
[4/18/26 8:16PM] Дима ( Danger Master ): Не должно быть ошибок. Если Windows DC удалён, разделов репликации может не быть (это нормально для одного DC).
3. Проверка DNS:
[4/18/26 8:17PM] Дима ( Danger Master ): # Проверка SRV-записей
host -t SRV _ldap._tcp.au.team 127.0.0.1
host -t SRV _kerberos._udp.au.team 127.0.0.1
# Проверка списка зон
samba-tool dns zone list
# Проверка записей домена
samba-tool dns query localhost au.team @ ALL
[4/18/26 8:17PM] Дима ( Danger Master ): 4. Проверка пользователей и групп:
[4/18/26 8:17PM] Дима ( Danger Master ): # Список пользователей
samba-tool user list
# Список групп
samba-tool group list
# Проверка администратора
samba-tool user show administrator
[4/18/26 8:17PM] Дима ( Danger Master ): 5. Тест аутентификации:
[4/18/26 8:17PM] Дима ( Danger Master ): # Получите Kerberos билет
kinit administrator@AU.TEAM
# Проверьте билет
klist
# Проверьте подключение к домену
net ads testjoin
[4/18/26 8:17PM] Дима ( Danger Master ): 6. Проверка уровня домена:
[4/18/26 8:17PM] Дима ( Danger Master ): samba-tool domain level show
[4/18/26 8:17PM] Дима ( Danger Master ): . Проверка логов на ошибки:
[4/18/26 8:17PM] Дима ( Danger Master ): journalctl -u samba.service -n 50 --no-pager
[4/18/26 8:18PM] Дима ( Danger Master ): net time \\192.168.1.3 /set /y (windc)
[4/18/26 8:19PM] Дима ( Danger Master ): Вариант 1: Принудительная репликация перед удалением
На lin-dc1 выполните:
[4/18/26 8:19PM] Дима ( Danger Master ): # Принудительно реплицируем все разделы
samba-tool drs replicate lin-dc1 WIN-DC DC=DomainDnsZones,DC=au,DC=team --full
samba-tool drs replicate lin-dc1 WIN-DC DC=ForestDnsZones,DC=au,DC=team --full
samba-tool drs replicate lin-dc1 WIN-DC DC=au,DC=team --full
[4/18/26 8:20PM] Дима ( Danger Master ): samba-tool drs replicate lin-dc1 WIN-DC DC=ForestDnsZones,DC=au,DC=team
# Принудительно обновите все записи
samba_dnsupdate --all-names --verbose
# Проверьте, что теперь lin-dc1 в DNS
host -t SRV _kerberos._udp.au.team 127.0.0.1
host -t SRV _ldap._tcp.au.team 127.0.0.1
[global]
netbios name = LIN-DC1
realm = AU.TEAM
server role = active directory domain controller
workgroup = AU
# ИСПРАВЛЕННЫЙ СПИСОК (добавлено 'dns' в конец)
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns
# ВАЖНО: Укажите IP старого Windows DC или публичный DNS (не 127.0.0.1
!)
dns forwarder = 192.168.1.2
chronyc -a makestep
Reference in New Issue View Git Blame Copy Permalink