Присоединение к домену

Для присоединения к домену используется следующий формат вызова:

samba-tool domain join <dns-domain> [DC|RODC|MEMBER] [options]

При присоединении указываются имя домена и роль, которую будет выполнять в домене присоединяемый сервер.

Параметры

Параметры вызова:

  • <dns-domain> — имя домена;

  • [DC|RODC|MEMBER] — роль, в которой требуется выполнить присоединение:

    • DC — контроллер домена;

    • RODC — контроллер домена с копией базы AD, доступной только для чтения;

      Присоединение к домену в роли RODC реализовано частично.

    • MEMBER — участник домена;

  • --server=SERVER — контроллер домена для присоединения;

    При вводе нового контроллера в дочерний домен в многодоменном лесу в качестве прокси используется один из существующих контроллеров домена (proxy DC). Он отвечает за внесение изменений в соответствующие записи, которые затем должны реплицироваться на контроллер домена с ролью FSMO Naming Master.

    Если опция --server не указана, такой прокси-контроллер выбирается автоматически по определенному алгоритму. В случае использования опции в качестве прокси выступает указанный в ней сервер.

    Для корректной работы механизма проксирования необходимо, чтобы существовал такой контроллер домена, с которого контроллер домена с ролью FSMO Naming Master мог бы получить раздел Configuration посредством репликации. Если такой контроллер отсутствует, то в логе операции присоединения будет содержаться следующее сообщение:

    Site to search connections is: Default-First-Site-Name
Connecting to FSMO Domain Naming Master st01-win-r-dc1.ROOTST01.LAN
Error during extra server search, might not be critical: (8419, 'No replication partners found: WERR_DS_CANT_FIND_DSA_OBJ, check if intrasite replication is enabled and use repadmin or samba-tool on Naming Master to check replication status')
DC st01-win-r-dc1.ROOTST01.LAN will be used

    Оно указывает на то, что у контроллера домена с ролью FSMO Naming Master нет подходящих партнеров по репликации.

    Чтобы решить данную проблему, необходимо:

    1. На контроллере домена с ролью FSMO Naming Master создать контракт на репликацию с одним из контроллеров в том домена, в который требуется ввести новый контроллер.

    2. Перезапустить процедуру присоединения. При этом можно как явно указать целевой прокси-контроллер вручную с помощью опции --server, так и задействовать механизм автоматического определения.

    В случае успешного завершения операции в логе должно содержаться сообщение вида:

    Site to search connections is: Default-First-Site-Name
Connecting to FSMO Domain Naming Master st01-win-r-dc1.ROOTST01.LAN
DCs suitable for join in a domain CHILDST01.ROOTST01.LAN
* st01-win-c-dc1.CHILDST01.ROOTST01.LAN in a site Default-First-Site-Name
* st01-win-c-dc2.CHILDST01.ROOTST01.LAN in a site Default-First-Site-Name
Testing if server st01-win-c-dc1.CHILDST01.ROOTST01.LAN is alive
The site of the proxy DC (st01-win-c-dc1.CHILDST01.ROOTST01.LAN) is equal to the specified one (Default-First-Site-Name)
Determined proxy DC with Naming Master replication contract: st01-win-c-dc1.CHILDST01.ROOTST01.LAN

    Сообщение имеет следующую структуру:

    • список подходящих контроллеров в домене, которые указаны в контрактах на репликацию раздела Configuration, а также сайты, в которых они расположены;

    • описание процесса перебора контроллеров в порядке указания с информацией о результатах тестирования их доступности;

    • дополнительная (некритичная) проверка на совпадение контроллера по сайту.

    При выполнении всех прочих условий в ходе перебора предпочтение отдается контроллеру, находящемуся в том сайте, в который вводится новый контроллер.

    В общем случае при указании сервера в качестве прокси для операции присоединения рекомендуется выбирать ближайший, то есть находящийся в том же сайте и в том же домене, а также наиболее производительный и/или менее нагруженный контроллер.

  • --site=SITE — сайт для присоединения;

  • --domain-critical-only — включать в репликацию только критически важные доменные объекты;

  • --dns-backend=NAMESERVER-BACKEND — DNS-сервер; возможные значения: SAMBA_INTERNAL | BIND9_DLZ | NONE;

  • --machinepass=PASSWORD — пароль учетной записи компьютера (если не указан, генерируется случайным образом);

  • --plaintext-secrets — хранение секретов в незашифрованном виде на диске; по умолчанию используется шифрование;

  • --backend-store=BACKENDSTORE — тип базы данных каталога; возможные значения: tdb | mdb; значение по умолчанию — tdb;

  • --backend-store-size=SIZE — максимальный размер файлов базы данных каталога; поддерживается только для баз данных LMDB (--backend-store=mdb); значение по умолчанию — 8 ГБ;

  • --target-dir=DIR — каталог для выполнения инициализации;

  • --no-dns-updates — выключение обновления данных DNS при присоединении; значение по умолчанию — False;

  • --no-gc — выключение роли Global Catalog (GC) для нового контроллера при присоединении к домену; значение по умолчанию — False;

  • --enablerecyclebin — включение функциональности корзины (см. подробнее в разделе «Включение и просмотр состояния функциональности корзины»); значение по умолчанию — False;

    Ключ предназначен для использования при присоединении сервера к домену AD, в котором уже включена функциональность корзины.

  • -v|--verbose — вывод детальной информации;

  • -q|--quiet — тихий режим (отключает вывод диагностических сообщений во время работы подкоманды).

Для обеспечения совместимости с существующим программным обеспечением в Эллес по умолчанию разрешено использование устаревших алгоритмов шифрования и обмена ключами при подключении к серверу LDAP.

Чтобы повысить уровень безопасности, рекомендуется их отключить, добавив следующий параметр в раздел [global] конфигурационного файла smb.conf с помощью ключа --option:

[global]
    tls priority = NORMAL:-VERS-TLS1.0:-VERS-TLS1.1:-RSA

Параметр изменяет список приоритетов библиотеки GnuTLS по умолчанию (см. подробнее в документации на библиотеку).

По умолчанию при присоединении на контроллере домена включается механизм автоматического покрытия сайтов без контроллеров домена. Если в силу особенностей топологии сети присоединяемый сервер не должен использоваться службой каталогов для обслуживания сайтов в рамках данного механизма, он может быть отключен с помощью конфигурационного параметра --option="dns:auto site coverage = off".

Также при присоединении могут быть явно заданы сайты, которые должны обслуживаться присоединяемым контроллером домена, с помощью конфигурационных параметров --option="dns:all:site coverage = SiteName1, SiteNameN", --option="dns:gc:site coverage = SiteName1, SiteNameN", --option="dns:krb:site coverage = SiteName1, SiteNameN" и --option="dns:ldap:site coverage = SiteName1, SiteNameN".

Cм. подробнее в разделе «Покрытие сайтов контроллерами домена».

Примеры

Пример присоединения в роли контроллера домена с указанием функционального уровня и отключением устаревших алгоритмов шифрования:

samba-tool domain join samdom.example.com DC -UAdministrator \
    --dns-backend=BIND9_DLZ \
    --backend-store=mdb \
    --backend-store-size=16Gb \
    --option="ad dc functional level = 2012_R2" \
    --option="tls priority = NORMAL:-VERS-TLS1.0:-VERS-TLS1.1:-RSA"

Пример присоединения в роли контроллера домена в многодоменном лесу с отключением функциональности глобального каталога:

samba-tool domain join multidomain.com DC -UAdministrator \
   --option="ad dc functional level=2016" \
   --server=ad-dc-server \
   --dns-backend=BIND9_DLZ \
   --backend-store=mdb \
   --domain-critical-only \
   --no-gc

Пример присоединения в роли контроллера домена с отключением механизма автоматического покрытия сайтов:

samba-tool domain join samdom.example.com DC -UAdministrator \
   --dns-backend=BIND9_DLZ \
   --backend-store=mdb \
   --option="dns:auto site coverage = off"

Пример присоединения в роли RODC:

samba-tool domain join samdom.example.com RODC -UAdministrator \
    --dns-backend=BIND9_DLZ \
    --site=Site2 \
    --server=dc2.samdom.example.com

Пример присоединения в роли участника:

samba-tool domain join samdom.example.com MEMBER -UAdministrator