Настройка покрытия сайтов

Пакет inno-samba позволяет настраивать покрытие контроллером домена Samba сайтов с учетом особенностей топологии сети.

Состав SRV-записей, регистрируемых контроллером домена

По умолчанию каждый контроллер домена динамически регистрирует в DNS определенный набор SRV-записей, с помощью которых клиенты в домене обнаруживают необходимые им службы (LDAP, KDC) и выполняют запросы к ним.

Состав регистрируемых SRV-записей определяется ролью контроллера домена и заданными для него настройками.

Например:

  • сервер, выполняющий функции контроллера домена (не RODC) в домене DnsDomainName (с уникальным глобальным идентификатором DomainGuid) в лесу DnsForestName, регистрирует:

    • SRV-записи без привязки к сайту;

      Набор записей в формате _service._proto.name:

         _ldap._tcp.<DnsDomainName>
   _ldap._tcp.dc._msdcs.<DnsDomainName>
   _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName>
   _kerberos._tcp.<DnsDomainName>
   _kerberos._udp.<DnsDomainName>
   _kerberos._tcp.dc._msdcs.<DnsDomainName>
   _kpasswd._tcp.<DnsDomainName>
   _kpasswd._udp.<DnsDomainName>

    • SRV-записи с привязкой к сайту SiteName, включая:

      • SRV-записи для сайта, в котором находится контроллер домена;

      • если включен механизм автоматического покрытия сайтов — SRV-записи для дополнительных сайтов, обслуживаемых данным контроллером домена в соответствии с алгоритмом определения ближайшего контроллера домена для сайтов без собственных контроллеров домена;

      • если заданы конфигурационные параметры, явно задающие списки сайтов, которые должны обслуживаться данным контроллером домена, — SRV-записи для указанных в параметрах дополнительных сайтов.

        Набор записей (в формате _service._proto.name):

           _ldap._tcp.<SiteName>._sites.<DnsDomainName>
   _ldap._tcp.<SiteName>._sites.dc._msdcs.<DnsDomainName>
   _kerberos._tcp.<SiteName>._sites.<DnsDomainName>
   _kerberos._tcp.<SiteName>._sites.dc._msdcs.<DnsDomainName>

  • сервер, выполняющий наряду с функциями контроллера домена (не RODC) также и функции сервера глобального каталога в лесу DnsForestName, дополнительно регистрирует:

    • SRV-записи без привязки к сайту;

      Набор записей (в формате _service._proto.name):

         _ldap._tcp.gc._msdcs.<DnsForestName>
   _gc._tcp.<DnsForestName>

    • SRV-записи с привязкой к сайту с именем SiteName, включая:

      • SRV-записи для сайта, в котором находится контроллер домена;

      • если включен механизм автоматического покрытия сайтов (по умолчанию) — SRV-записи для дополнительных сайтов, обслуживаемых данным контроллером домена в соответствии с алгоритмом определения ближайшего контроллера домена для сайтов без собственных контроллеров домена;

      • если заданы конфигурационные параметры для настройки покрытия сайтов — SRV-записи для указанных в параметрах дополнительных сайтов.

        Набор записей в формате _service._proto.name:

        _ldap._tcp.<SiteName>._sites.gc._msdcs.<DnsForestName>
 _gc._tcp.<SiteName>._sites.<DnsForestName>

Настройка автоматического покрытия сайтов

По умолчанию при присоединении на контроллере домена включается функциональность автоматического покрытия сайтов без контроллеров домена (механизм Auto Site Coverage). Это означает, что контроллер домена может обслуживать не только тот сайт, в котором он находится, но и другие сайты в случае отсутствия в них собственных контроллеров домена.

Если в силу особенностей топологии сети присоединяемый сервер не должен использоваться службой каталогов для обслуживания других сайтов, функциональность может быть отключена. Для этого в раздел [global] конфигурационного файла smb.conf должен быть добавлен следующий параметр:

[global]
    dns:auto site coverage = off

При необходимости функциональность может быть снова включена в процессе эксплуатации контроллера домена. Для этого достаточно удалить параметр из smb.conf либо явно задать в нем значение on.

Применение изменения происходит без перезагрузки службы inno-samba: новое значение будет автоматически считано утилитой samba_dnsupdate, которая отвечает за запуск механизма автоматического покрытия сайтов, в ходе очередного цикла обновления записей DNS (по умолчанию интервал обновления составляет 10 минут).

Настройка покрытия для определенных сайтов

Пакет inno-samba позволяет явным образом задать перечень дополнительных сайтов, в которых контроллер домена может обслуживать клиентов в рамках своей роли наряду с клиентами в том сайте, где он сам находится, и для которых в DNS должны быть зарегистрированы соответствующи SRV-записи.

Для этого в раздел [global] конфигурационного файла smb.conf могут быть добавлены следующие параметры:

  • dns:all:site coverage — список сайтов через запятую, для которых в DNS должны быть зарегистрированы SRV-записи для всех доступных на сервере служб (LDAP, KDC, глобальный каталог);

  • dns:gc:site coverage (если контроллер домена выполняет функции сервера глобального каталога) — список сайтов через запятую, для которых в DNS должны быть зарегистрированы SRV-записи для обслуживания запросов к глобальному каталогу;

  • dns:krb:site coverage — список сайтов через запятую, для которых в DNS должны быть зарегистрированы SRV-записи для обслуживания клиентских запросов к KDC;

  • dns:ldap:site coverage — список сайтов через запятую, для которых в DNS должны быть зарегистрированы SRV-записи для обслуживания клиентских запросов к серверу LDAP.

По умолчанию параметры содержат пустые списки.

Пример задания параметров в smb.conf:

[global]
    dns:krb:site coverage = Site2,Site3
    dns:ldap:site coverage = Site2,Site3

Применение изменений происходит без перезагрузки службы inno-samba: заданные значения будут автоматически считаны утилитой samba_dnsupdate в ходе очередного цикла обновления записей DNS (по умолчанию интервал обновления составляет 10 минут).