Смещение сервера с роли контроллера домена

Для смещения сервера с роли контроллера домена используется следующий формат вызова:

samba-tool domain demote [options]

Возможны два сценария смещения:

  • смещение работающего контроллера домена:

    • выполнить вход на смещаемый контроллер домена;

    • убедиться, что служба inno-samba запущена;

    • проверить наличие у контроллера FSMO-ролей и при необходимости передать их другим контроллерам домена (см. подробнее в разделе «Администрирование ролей FSMO»);

    • выполнить подкоманду samba-tool domain demote;

    • остановить службу inno-samba;

    • если на контроллер домена использовал DNS-модуль BIND9_DLZ для обслуживания зон DNS:

      • остановить службу bind9;

      • убедиться, что никто из участников домена не использует данный хост для разрешения зон DNS;

  • смещение неработоспособного контроллера домена, доступ к которому отсутствует:

    • выполнить вход на работающий контроллер домена в лесу:

    • проверить наличие у смещаемого контроллера FSMO-ролей и при необходимости выполнить захват этих ролей (см. подробнее в разделе «Администрирование ролей FSMO»);

    • выполнить подкоманду samba-tool domain demote с указанием имени смещаемого контроллера в качестве значения параметра --remove-other-dead-server=<dc-name>;

    • если контроллер домена также выполнял функции DNS-сервера для определенных зон DNS, необходимо убедиться, что участники домена и другие контроллеры домена больше не используют его для разрешения зон DNS.

    Смещение сервера с роли контроллера домена в удаленном режиме должно выполняться только в том случае, если он не подключен к домену (например, по причине выхода из строя аппаратной части) и восстанавливать подключение не планируется.

    В противном случае необходимо придерживаться первого сценария, который обеспечивает репликацию всех изменений со смещаемого контроллера на другие контроллеры домена.

Некорректное смещение сервера с роли контроллера домена может привести к нестабильной работе домена, включая следующие проблемы:

  • нестабильная работа процесса репликации;

  • замедление работы остальных контроллеров домена из-за ожидания ответов от некорректно смещенного контроллера и неудачных попыток репликации;

  • проблемы с входом в домен либо увеличение времени входа на участниках домена.

Параметры

Параметры вызова:

  • --server=SERVER — доступный для записи контроллер домена для фиксации изменений, связанных со смещением;

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; по умолчанию передается URI текущего хоста в формате ldap://<имя хоста>;

  • --remove-other-dead-server=REMOVE_OTHER_DEAD_SERVER — контроллер домена (имя или NTDS GUID), все ссылки на который должны быть удалены.

Примеры

Пример смещения текущего сервера:

samba-tool domain demote -UAdministrator

Пример смещения сервера в удаленном режиме:

samba-tool domain demote -UAdministrator \
    --remove-other-dead-server=DC2