Добавление подчиненного домена
| Данная функциональность доступна только в версии Эллес 1.11.1. |
Для добавления подчиненного домена в лес Active Directory с помощью утилиты samba-tool используется подкоманда domain add.
Общие сведения
Подчиненный домен (поддомен) — логическое объединение пользователей, компьютеров, групп и других объектов в лесе Active Directory, образующее единое пространство имен DNS и использующее общую схему и конфигурацию каталога с родительским доменом в рамках иерархической структуры дерева доменов.
Такой домен:
-
наследует пространство имен родительского домена, добавляя префикс к его имени для создания уникального DNS-имени в пределах леса;
-
имеет двусторонние транзитивные доверительные отношения с родительским доменом, которые устанавливаются автоматически при добавлении в лес;
-
наследует некоторые объекты и политики безопасности родительского домена;
-
имеет свою собственную базу данных каталога;
-
может иметь своих собственных администраторов, которым делегируются полномочия по управлению объектами в домене, и собственные политики безопасности;
-
может иметь свои собственные групповые политики, которые могут дополнять или переопределять политики родительского домена;
-
может иметь свою собственную зону DNS, соответствующую его пространству имен.
Предварительные требования
Для успешного добавления подчиненного домена должны быть выполнены следующие требования:
-
Развернут лес доменов на базе Microsoft Active Directory Domain Services и/или Эллес.
-
В лесу доступен контроллер домена с FSMO-ролью Domain Naming Master.
-
На сервере, который будет использоваться для развертывания подчиненного домена, установлены требуемые пакеты и выполнена настройка синхронизации времени, службы DNS и аутентификации Kerberos, обеспечивающая разрешение имен и получение билетов в рамках сетевого взаимодействия с родительским доменом (см. «Руководство по установке»).
-
При выполнении операции добавления используются учетные данные пользователя с административными полномочиями в родительском домене.
Формат вызова
samba-tool domain add <child-dnsdomain-name> <parent-dnsdomain-name> [options]
Подкоманда создает подчиненный домен с указанным именем (child-dnsdomain-name) в указанном родительском домене в соответствии с переданными дополнительными параметрами.
В случае успешного завершения операции в конце вывода отображается объект DCInfo с информацией о развернутом контроллере домена.
Параметры
Параметры вызова:
-
<child-dnsdomain-name>— DNS-имя подчиненного домена, состоящее из префикса и DNS-имени родительского домена; должно быть уникальным в пределах леса; -
<parent-dnsdomain-name>— DNS-имя родительского домена.
Дополнительные параметры:
-
--site=SITE— сайт, в который должен быть добавлен контроллер домена; -
--server=SERVER— имя сервера контроллера домена, который должен выступать в качестве прокси для операции добавления подчиненного домена; -
--domain-critical-only— включать в репликацию только критически важные доменные объекты; -
--dns-backend=NAMESERVER-BACKEND— DNS-сервер, который будет использоваться на развертываемом контроллере домена; возможные значения:SAMBA_INTERNAL | BIND9_DLZ | NONE; значение по умолчанию —SAMBA_INTERNAL; -
--machinepass=PASSWORD— пароль учетной записи компьютера (если не указан, генерируется случайным образом); -
--plaintext-secrets— хранение секретов в незашифрованном виде на диске; по умолчанию используется шифрование; -
--backend-store=BACKENDSTORE— тип базы данных каталога; возможные значения:tdb | mdb; значение по умолчанию —tdb; -
--backend-store-size=SIZE— максимальный размер файлов базы данных каталога; поддерживается только для баз данных LMDB (--backend-store=mdb); значение по умолчанию — 8 ГБ; -
--target-dir=DIR— каталог для выполнения инициализации; -
--no-dns-updates— выключение обновления данных DNS при добавлении подчиненного домена; значение по умолчанию —False; -
--no-gc— выключение роли Global Catalog (GC) для нового контроллера при добавлении подчиненного домена; значение по умолчанию —False; -
--option="<parameter name> = <parameter value>"— добавление параметра в конфигурационный файл smb.conf; -
--ipaddress— IP-адрес сервера контроллера домена в родительском домене; -
-v|--verbose— вывод подробной информации в процессе выполнения операции; -
-q|--quiet— отключение вывода диагностических сообщений в процессе выполнения операции.
Примеры
Пример добавления подчиненного домена (samdom) в родительский домен (example.com):
samba-tool domain add samdom.example.com example.com -U Administrator@EXAMPLE.COM \
--option="ad dc functional level = 2016" \
--ipaddress=10.0.9.100 \
--dns-backend=BIND9_DLZ \
--backend-store=mdb
В случае успешного завершения операции в конце вывода отображается информация о контроллере домена:
...
INFO 2024-12-27 12:54:05,913 pid:1024 /app/inno-samba/lib/python3.7/site-packages/samba/add.py #1452: DCInfo:
dn: DC=samdom,DC=example,DC=com
netbios: SAMBA-DC-1
dns: samba.example.com
realm: samba.example.com
sid: S-1-5-21-207620958-708556064-199204346
guid: 9787cfe6-eb29-4abb-81a5-d40e664a839c
schema dn: CN=Schema,CN=Configuration,DC=example,DC=com
config dn: CN=Configuration,DC=example,DC=com
domain dns zone: DC=DomainDnsZones,DC=samdom,DC=example,DC=com
forest dns zone: DC=ForestDnsZones,DC=example,DC=com
partition: CN=SAMDOM,CN=Partitions,CN=Configuration,DC=example,DC=com
При этом в списке доверительных отношений:
-
на контроллере Эллес в подчиненном домене доступна запись о двустороннем транзитивном доверительном отношении с родительским доменом:
samba-tool domain trust list Type[Parent] Transitive[Yes] Direction[BOTH] Name[example.com]
-
на контроллере Эллес в родительском домене доступна запись о двустороннем транзитивном доверительном отношении с подчиненным доменом:
samba-tool domain trust list Type[Child] Transitive[Yes] Direction[BOTH] Name[samdom.example.com]
-
на контроллере на ОС Windows Server в родительском домене в оснастке Active Directory Domains and Trusts на вкладке Trusts окна свойств домена доступна запись о двустороннем транзитивном доверительном отношении типа
Parent-Childс подчиненным доменом.