Samba4 jako dodatkowy kontroler istniejącej domeny

Kilka osób zapytało mnie ostatnio jak dołączyć serwer z Sambą do istniejącej już domeny jako dodatkowy kontroler a przy okazji też jako dodatkowy DNS. Informacje na ten temat można znaleźć na stronie https://wiki.samba.org/index.php/Samba4/HOWTO/Join_a_domain_as_a_DC. Żeby jednak wszystko było jasne i zrozumiałe, pokusiłem się o szybki test i spieszę z podzieleniem się zdobytą wiedzą.

Za bazę do testów posłużył mi skonfigurowany wcześniej podstawowy kontroler domeny wg tego tutarialu: http://www.samba.org.pl/2013/09/active-directory-na-linuxie-kompletny.html. Zatem podłączyłem Sambę do Samby :)

A teraz o tym co trzeba robić po kolei.

Na początku należy otworzyć wspomniany wyżej tutorial i skonfigurować system, kończąc na punkcie III. 3. Oczywiście należy nadać komputerowi inną nazwę i numer IP.

Przy instalacji kerberosa pola Kerberos servers for your realm i Administrative server for your Kerberos realm można zostawić puste. Należy jednak pamiętać aby poprawnie wpisać nazwę domeny.

Kolejnym krokiem jest wyedytowanie pliku /etc/krb5.conf. Należy usunąć całą jego zawartość, pozostawiając tylko poniższą treść:

[libdefaults]
   default_realm = NAZWA.NASZEJ.DOMENY
   dns_lookup_realm = true
   dns_lookup_kdc = true

Następnie trzeba wyedytować plik /etc/resolv.conf wg wzoru:

nameserver 192.168.0.1
nameserver 192.168.0.2
domain nazwa.naszej.domeny
search nazwa.naszej.domeny

Jako pierwszy musi być wpisany DNS rozpoznający nazwy w domenie, czyli np. adres głównego kontrolera. Jako drugi podajemy adres konfigurowanego drugiego serwera.

Po dwóch powyższych krokach należy wykonać polecenie, które doda nowy kontroler do istniejącej domeny:

# /usr/local/samba/bin/samba-tool domain join nazwa.naszej.domeny DC -Uadministrator --realm=nazwa.naszej.domeny --dns-backend=BIND9_DLZ

Konfigurator zapyta o hasło administratora domeny a po jego wpisaniu rozpocznie się proces dodawania dodatkowego kontrolera. Po tej operacji powinien się wyświetlić komunikat taki jak ten:

Joined domain SAMBA (SID S-1-5-21-3565189888-2228146013-2029845409) as a DC

Oznacza on, że nigdzie nie popełniliśmy błędu :)

W kolejnych krokach wykonujemy punkty III. 6., III. 8. i III. 9. tutoriala.

Następnie możemy zalogować się do komputera z systemem Windows podpiętego do naszej domeny, na którym mamy zainstalowane narzędzia administracji serwerem. Po otwarciu przystawki "Użytkownicy i komputery usługi Active Directory" wchodzimy w Domain Controllers i po odświeżeniu powinniśmy zobaczyć dwa kontrolery naszej domeny:

Podobnie wybierając przystawkę "DNS":

Podczas otwierania przystawki "DNS" może wyświetlić się pytanie o to, z którym serwerem chcemy się połączyć. Należy wpisać którąś z nazw. Jeśli na liście brakuje któregoś serwera, należy kliknąć po lewej stronie na ikonę DNS i wybrać Podłącz do serwera DNS...

I to wszystko jeśli chodzi o instalację dodatkowego kontrolera domeny :)