Добавление подчиненного домена

Данная функциональность доступна только в версии Эллес 1.11.1.

Для добавления подчиненного домена в лес Active Directory с помощью утилиты samba-tool используется подкоманда domain add.

Для запуска подкоманды требуются права суперпользователя (root/sudo).

Общие сведения

Подчиненный домен (поддомен) — логическое объединение пользователей, компьютеров, групп и других объектов в лесе Active Directory, образующее единое пространство имен DNS и использующее общую схему и конфигурацию каталога с родительским доменом в рамках иерархической структуры дерева доменов.

Такой домен:

  • наследует пространство имен родительского домена, добавляя префикс к его имени для создания уникального DNS-имени в пределах леса;

  • имеет двусторонние транзитивные доверительные отношения с родительским доменом, которые устанавливаются автоматически при добавлении в лес;

  • наследует некоторые объекты и политики безопасности родительского домена;

  • имеет свою собственную базу данных каталога;

  • может иметь своих собственных администраторов, которым делегируются полномочия по управлению объектами в домене, и собственные политики безопасности;

  • может иметь свои собственные групповые политики, которые могут дополнять или переопределять политики родительского домена;

  • может иметь свою собственную зону DNS, соответствующую его пространству имен.

Предварительные требования

Для успешного добавления подчиненного домена должны быть выполнены следующие требования:

  1. Развернут лес доменов на базе Microsoft Active Directory Domain Services и/или Эллес.

  2. В лесу доступен контроллер домена с FSMO-ролью Domain Naming Master.

  3. На сервере, который будет использоваться для развертывания подчиненного домена, установлены требуемые пакеты и выполнена настройка синхронизации времени, службы DNS и аутентификации Kerberos, обеспечивающая разрешение имен и получение билетов в рамках сетевого взаимодействия с родительским доменом (см. «Руководство по установке»).

  4. При выполнении операции добавления используются учетные данные пользователя с административными полномочиями в родительском домене.

Формат вызова

samba-tool domain add <child-dnsdomain-name> <parent-dnsdomain-name> [options]

Подкоманда создает подчиненный домен с указанным именем (child-dnsdomain-name) в указанном родительском домене в соответствии с переданными дополнительными параметрами.

В случае успешного завершения операции в конце вывода отображается объект DCInfo с информацией о развернутом контроллере домена.

Параметры

Параметры вызова:

  • <child-dnsdomain-name> — DNS-имя подчиненного домена, состоящее из префикса и DNS-имени родительского домена; должно быть уникальным в пределах леса;

  • <parent-dnsdomain-name> — DNS-имя родительского домена.

Дополнительные параметры:

  • --site=SITE — сайт, в который должен быть добавлен контроллер домена;

  • --server=SERVER — имя сервера контроллера домена, который должен выступать в качестве прокси для операции добавления подчиненного домена;

  • --domain-critical-only — включать в репликацию только критически важные доменные объекты;

  • --dns-backend=NAMESERVER-BACKEND — DNS-сервер, который будет использоваться на развертываемом контроллере домена; возможные значения: SAMBA_INTERNAL | BIND9_DLZ | NONE; значение по умолчанию — SAMBA_INTERNAL;

  • --machinepass=PASSWORD — пароль учетной записи компьютера (если не указан, генерируется случайным образом);

  • --plaintext-secrets — хранение секретов в незашифрованном виде на диске; по умолчанию используется шифрование;

  • --backend-store=BACKENDSTORE — тип базы данных каталога; возможные значения: tdb | mdb; значение по умолчанию — tdb;

  • --backend-store-size=SIZE — максимальный размер файлов базы данных каталога; поддерживается только для баз данных LMDB (--backend-store=mdb); значение по умолчанию — 8 ГБ;

  • --targetdir=DIR — каталог для выполнения инициализации;

  • --no-dns-updates — выключение обновления данных DNS при добавлении подчиненного домена; значение по умолчанию — False;

  • --no-gc — выключение роли Global Catalog (GC) для нового контроллера при добавлении подчиненного домена; значение по умолчанию — False;

  • --option="<parameter name> = <parameter value>" — добавление параметра в конфигурационный файл smb.conf;

  • --ipaddress — IP-адрес сервера контроллера домена в родительском домене;

  • -v|--verbose — вывод подробной информации в процессе выполнения операции;

  • -q|--quiet — отключение вывода диагностических сообщений в процессе выполнения операции.

Примеры

Пример добавления подчиненного домена (samdom) в родительский домен (example.com):

samba-tool domain add samdom.example.com example.com -U Administrator@EXAMPLE.COM \
    --option="ad dc functional level = 2016" \
    --ipaddress=10.0.9.100 \
    --dns-backend=BIND9_DLZ \
    --backend-store=mdb

В случае успешного завершения операции в конце вывода отображается информация о контроллере домена:

...
INFO 2024-12-27 12:54:05,913 pid:1024 /app/inno-samba/lib/python3.7/site-packages/samba/add.py #1452: DCInfo:
    dn: DC=samdom,DC=example,DC=com
    netbios: SAMBA-DC-1
    dns: samba.example.com
    realm: samba.example.com
    sid: S-1-5-21-207620958-708556064-199204346
    guid: 9787cfe6-eb29-4abb-81a5-d40e664a839c
    schema dn: CN=Schema,CN=Configuration,DC=example,DC=com
    config dn: CN=Configuration,DC=example,DC=com
    domain dns zone: DC=DomainDnsZones,DC=samdom,DC=example,DC=com
    forest dns zone: DC=ForestDnsZones,DC=example,DC=com
    partition: CN=SAMDOM,CN=Partitions,CN=Configuration,DC=example,DC=com

При этом в списке доверительных отношений:

  • на контроллере Эллес в подчиненном домене доступна запись о двустороннем транзитивном доверительном отношении с родительским доменом:

    samba-tool domain trust list
Type[Parent]    Transitive[Yes] Direction[BOTH]     Name[example.com]

  • на контроллере Эллес в родительском домене доступна запись о двустороннем транзитивном доверительном отношении с подчиненным доменом:

    samba-tool domain trust list
Type[Child]    Transitive[Yes] Direction[BOTH]     Name[samdom.example.com]

  • на контроллере на ОС Windows Server в родительском домене в оснастке Active Directory Domains and Trusts на вкладке Trusts окна свойств домена доступна запись о двустороннем транзитивном доверительном отношении типа Parent-Child с подчиненным доменом.