Присоединение к домену

Для присоединения к домену используется следующий формат вызова:

samba-tool domain join <dns-domain> [DC|RODC|MEMBER] [options]

При присоединении указываются имя домена и роль, которую будет выполнять в домене присоединяемый сервер.

Параметры

Параметры вызова:

  • <dns-domain> — имя домена;

  • [DC|RODC|MEMBER] — роль, в которой требуется выполнить присоединение:

    • DC — контроллер домена;

    • RODC — контроллер домена с копией базы AD, доступной только для чтения;

      Присоединение к домену в роли RODC реализовано частично.

    • MEMBER — участник домена;

  • --server=SERVER – контроллер домена для присоединения;

  • --site=SITE — сайт для присоединения;

  • --domain-critical-only — включать в репликацию только критически важные доменные объекты;

  • --dns-backend=NAMESERVER-BACKEND — DNS-сервер; возможные значения: SAMBA_INTERNAL | BIND9_DLZ | NONE;

  • --machinepass=PASSWORD — пароль учетной записи компьютера (если не указан, генерируется случайным образом);

  • --plaintext-secrets — хранение секретов в незашифрованном виде на диске; по умолчанию используется шифрование;

  • --backend-store=BACKENDSTORE — тип базы данных каталога; возможные значения: tdb | mdb; значение по умолчанию — tdb;

  • --backend-store-size=SIZE — максимальный размер файлов базы данных каталога; поддерживается только для баз данных LMDB (--backend-store=mdb); значение по умолчанию — 8 ГБ;

  • --target-dir=DIR — каталог для выполнения инициализации;

  • --no-dns-updates — выключение обновления данных DNS при присоединении; значение по умолчанию — False;

  • --no-gc — выключение роли Global Catalog (GC) для нового контроллера при присоединении к домену; значение по умолчанию — False;

  • --enablerecyclebin — включение функциональности корзины (см. подробнее в разделе «Включение корзины»); значение по умолчанию — False;

    Ключ предназначен для использования при присоединении сервера к домену AD, в котором уже включена функциональность корзины.

  • -v|--verbose — вывод детальной информации;

  • -q|--quiet — тихий режим (отключает вывод диагностических сообщений во время работы подкоманды).

Для обеспечения совместимости с существующим программным обеспечением в Samba по умолчанию разрешено использование устаревших алгоритмов шифрования и обмена ключами при подключении к серверу LDAP.

Чтобы повысить уровень безопасности, рекомендуется их отключить, добавив следующий параметр в раздел [global] конфигурационного файла smb.conf с помощью ключа --option:

[global]
    tls priority = NORMAL:-VERS-TLS1.0:-VERS-TLS1.1:-RSA

Параметр изменяет список приоритетов библиотеки GnuTLS по умолчанию (см. подробнее в документации на библиотеку).

По умолчанию при присоединении на контроллере домена включается механизм автоматического покрытия сайтов без контроллеров домена. Если в силу особенностей топологии сети присоединяемый сервер не должен использоваться службой каталогов для обслуживания сайтов в рамках данного механизма, он может быть отключен с помощью конфигурационного параметра --option="dns:auto site coverage = off".

Также при присоединении могут быть явно заданы сайты, которые должны обслуживаться присоединяемым контроллером домена, с помощью конфигурационных параметров --option="dns:all:site coverage = SiteName1, SiteNameN", --option="dns:gc:site coverage = SiteName1, SiteNameN", --option="dns:krb:site coverage = SiteName1, SiteNameN" и --option="dns:ldap:site coverage = SiteName1, SiteNameN".

Cм. подробнее в разделе «Настройка покрытия сайтов».

Примеры

Пример присоединения в роли контроллера домена с указанием функционального уровня и отключением устаревших алгоритмов шифрования:

samba-tool domain join samdom.example.com DC -UAdministrator \
    --dns-backend=BIND9_DLZ \
    --backend-store=mdb \
    --backend-store-size=16Gb \
    --option="ad dc functional level = 2012_R2" \
    --option="tls priority = NORMAL:-VERS-TLS1.0:-VERS-TLS1.1:-RSA"

Пример присоединения в роли контроллера домена в многодоменном лесу с отключением функциональности глобального каталога:

samba-tool domain join multidomain.com DC -UAdministrator \
   --option="ad dc functional level=2016" \
   --server=ad-dc-server \
   --dns-backend=BIND9_DLZ \
   --backend-store=mdb \
   --domain-critical-only \
   --no-gc

Пример присоединения в роли контроллера домена с отключением механизма автоматического покрытия сайтов:

samba-tool domain join samdom.example.com DC -UAdministrator \
   --dns-backend=BIND9_DLZ \
   --backend-store=mdb \
   --option="dns:auto site coverage = off"

Пример присоединения в роли RODC:

samba-tool domain join samdom.example.com RODC -UAdministrator \
    --dns-backend=BIND9_DLZ \
    --site=Site2 \
    --server=dc2.samdom.example.com

Пример присоединения в роли участника:

samba-tool domain join samdom.example.com MEMBER -UAdministrator