Администрирование роли Global Catalog

Для администрирования роли Global Catalog (GC) в домене Эллес с помощью утилиты samba-tool используется группа подкоманд gc.

Получение списка контроллеров домена с ролью Global Catalog

Для получения списка контроллеров домена с ролью GC используется следующий формат вызова:

samba-tool gc list [options]

Подкоманда выводит список DN-имен или DNS-имен контроллеров домена, являющихся или становящихся серверами глобального каталога (GC Server) в текущем домене, сайте или лесу.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --dns — вывод DNS-имен серверов глобального каталога;

  • --scope=domain|forest|site — ограничение области поиска текущим доменом, сайтом или лесом (по умолчанию — domain).

Примеры

Пример получения списка DN-имен контроллеров домена с ролью GC в текущем домене:

samba-tool gc list \
   -H ldap://dc03.samdom.example.com
CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
CN=DC02,CN=Servers,CN=Site2,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com

Пример получения списка DNS-имен контроллеров домена с ролью GC в текущем сайте:

samba-tool gc list \
   --dns \
   --scope=site \
   -H ldap://dc03.samdom.example.com
dc02.samdom.example.com

Включение роли Global Catalog для контроллера домена

Для включения роли GC для контроллера домена используется следующий формат вызова:

samba-tool gc enable [options]

Подкоманда включает роль GC для текущего контроллера домена.

При необходимости (например, при выполнении операции на контроллере домена RODC) с помощью опции --server может быть указан контроллер домена RWDC для фиксации изменений, связанных с включением роли GC.

Если контроллеру домена уже назначена FSMO-роль Infrastructure Master, он не должен совмещать ее с функциями сервера глобального каталога. Для завершения операции в этом случае требуется дополнительное подтверждение.

Для безусловного выполнения подкоманды может использоваться опция --force.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • -f|--force — принудительное включение роли GC без дополнительных проверок и запроса подтверждения выполнения операции;

  • --server=SERVER — доступный для записи контроллер домена (RWDC) для фиксации изменений, связанных с включением роли GC.

Примеры

Пример включения роли GC:

samba-tool gc enable \
   -H ldap://dc03.samdom.example.com

Пример включения роли GC для текущего контроллера домена с указанием контроллера домена RWDC, через который должна выполняться операция:

samba-tool gc enable \
   --server=DC01 \
   --U Administrator

Выключение роли Global Catalog для контроллера домена

Для выключения роли GC для контроллера домена используется следующий формат вызова:

samba-tool gc disable [options]

Подкоманда выключает роль GC для текущего контроллера домена.

При необходимости (например, при выполнении операции на контроллере домена RODC) с помощью опции --server может быть указан контроллер домена RWDC для фиксации изменений, связанных с выключением роли GC.

Если в лесу отсутствуют другие контроллеры домена, выполняющие роль серверов глобального каталога, в результате выполнения подкоманды пользователи не смогут выполнять вход в домен. Для завершения операции в этом случае требуется дополнительное подтверждение.

Для безусловного выполнения подкоманды может использоваться опция --force.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • -f|--force — принудительное выключение роли GC без дополнительных проверок и запроса подтверждения выполнения операции;

  • --server=SERVER — доступный для записи контроллер домена (RWDC) для фиксации изменений, связанных с выключением роли GC.

Примеры

Пример выключения роли GC:

samba-tool gc disable \
   -H ldap://dc03.samdom.example.com

Пример выключения роли GC для текущего контроллера домена с указанием контроллера домена RWDC, через который должна выполняться операция:

samba-tool gc disable \
   --server=DC01 \
   -U Administrator

Управление разделами в глобальном каталоге

Для управления разделами на контроллерах домена с ролью сервера глобального каталога с помощью утилиты samba-tool используется группа подкоманд gc partition.

Подкоманды предназначены для работы с разделами, копии которых доступны только для чтения. Например, они могут использоваться для удаления или восстановления копий доменных разделов дочерних доменов на контроллерах домена с ролью сервера глобального каталога в родительском домене.

Пользователь, от имени которого вызываются подкоманды, должен быть включен в группу Domain Admins.

Восстановление раздела в глобальном каталоге

Для восстановления раздела на сервере глобального каталога используется следующий формат вызова:

samba-tool gc partition rehost <dc> <naming_context> <from_dc> [options]

Подкоманда ожидает следующие обязательные аргументы:

  • dc — имя хоста или доменное имя контроллера домена с ролью глобального каталога, на котором необходимо восстановить раздел каталога;

  • naming_context — уникальное имя (DN) восстанавливаемого раздела каталога;

    Операция может выполняться для разделов, копии которых доступны только для чтения на указанном контроллере домена с ролью сервера глобального каталога. Ее нельзя использовать для восстановления раздела, копия которого доступна для записи (например, раздела схемы или раздела конфигурации).

  • from_dc — имя хоста контроллера домена, на котором имеется доступная для записи копия восстанавливаемого раздела каталога.

В результате работы подкоманды:

  1. На сервере глобального каталога удаляется доступная для чтения копия раздела каталога.

  2. Выполняется синхронизация данных раздела с контроллером домена, на котором имеется доступная для записи его копия.

Операция может занять продолжительное время. Время ожидания завершения для каждого из двух этапов операции составляет 90 минут.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример восстановления раздела дочернего домена на сервере глобального каталога в родительском домене:

samba-tool gc partition DC01.samdom.example.com DC=child,DC=samdom,DC=example,DC=com DC02.child.samdom.example.com
removing NC DC=child,DC=samdom,DC=example,DC=com - this operation can take a long time
removing NC DC=child,DC=samdom,DC=example,DC=com - done!
replicating NC DC=child,DC=samdom,DC=example,DC=com - this operation can take a long time
replicating NC DC=child,DC=samdom,DC=example,DC=com - done!

Удаление раздела из глобального каталога

Для удаления раздела на сервере глобального каталога используется следующий формат вызова:

samba-tool gc partition unhost <dc> <naming_context> [options]

Подкоманда ожидает следующие обязательные аргументы:

  • dc — имя хоста, DNS-имя или IP-адрес контроллера домена с ролью глобального каталога, на котором необходимо удалить копию раздела каталога;

  • naming_context — уникальное имя (DN) удаляемого раздела каталога, доступного только для чтения.

    Операция не может быть выполнена для разделов, копии которых на указанном контроллере домена с ролью сервера глобального каталога доступны для записи (например, разделы схемы и конфигурации).

В результате работы подкоманды на сервере глобального каталога удаляется доступная для чтения копия раздела каталога.

Операция может занять продолжительное время. Время ожидания ее завершения составляет 90 минут.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример удаления раздела дочернего домена на сервере глобального каталога в родительском домене:

samba-tool gc partition DC01.samdom.example.com DC=child,DC=samdom,DC=example,DC=com
removing NC DC=child,DC=samdom,DC=example,DC=com - this operation can take a long time
removing NC DC=child,DC=samdom,DC=example,DC=com - done!