инструкции, вроде взлетело, но в продакшн не пошло. управлять сразу говорю лучше виндовым RSAT, как вариант ещё слышал много хороших отзывов о freeipa, погугли. Если самба, то вот мой мануал (подставишь естественно свои ip и имена)
#######################################################
Базовый контроллер домена
#######################################################
https://adminguide.ru/2018/10/08/контроллер-домена-на-ubuntu-18-04-ad-dc/
###
192.168.1.10 - DC1 = первый и главный контроллер домена, он же локальный DNS-сервер
192.168.1.11 - DC2 = RODC
192.168.1.20 - внешний DNS
###
sudo apt update && sudo apt upgrade -y && sudo apt install vim htop mc ntp nmap -y
sudo cp /usr/share/zoneinfo/Asia/Yekaterinburg /etc/localtime
### Отключаем systemd-resolved
sudo service systemd-resolved stop
sudo systemctl disable systemd-resolved.service
sudo rm /etc/resolv.conf
sudo vim /etc/resolv.conf # тут данные свои конечно
search testdomain.companyname.ru
nameserver 192.168.1.10
nameserver 192.168.1.20
### Настраиваем файл /etc/hosts
sudo vim /etc/hosts
127.0.0.1 localhost.testdomain.companyname.ru localhost
192.168.1.10 dc1.testdomain.companyname.ru dc1 #контроллер домена должен быть и DNS-сервером
# The following lines are desirable for IPv6 capable hosts
#::1 ip6-localhost ip6-loopback
#fe00::0 ip6-localnet
#ff00::0 ip6-mcastprefix
#ff02::1 ip6-allnodes
#ff02::2 ip6-allrouters
### Устанавливаем Samba
sudo apt install samba krb5-config winbind smbclient krb5-user ldb-tools
#Область по умолчанию для Kerberos версии 5
TESTDOMAIN.COMPANYNAME.RU
#Серверы Kerberos для вашей области
DC1.TESTDOMAIN.COMPANYNAME.RU
#Управляющий сервер вашей области Kerberos
DC1.TESTDOMAIN.COMPANYNAME.RU
### Бэкапим стандартную конфигурацию Samba
sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.bkp
### Инициируем контроллер домена
# Запускаем инициализацию в интерактивном режиме
sudo samba-tool domain provision --use-rfc2307 --interactive
#Если в процессе настройки не было допущено ошибок, все необходимые данные установщик поместит в квадратные скобки в виде стандартных значений:
Realm [TESTDOMAIN.LAN]: ### !!! вот здесь меня смущает LAN, не помню такого если честно, при неудаче попробовать заменить на другое значение
Domain [TESTDOMAIN]:
Server Role (dc, member, standalone) [dc]:
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
DNS forwarder IP address (write 'none' to disable forwarding) [192.168.1.20]: # это я так понял "куда будет обращаться контроллер за днсками"
Administrator password:
Retype password:
#вывод примерно такой
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=testdomain,DC=lan ### !!! смотри 48 строку
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=testdomain,DC=lan ### !!! смотри 48 строку
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba AD has been generated at /var/lib/samba/private/krb5.conf
Setting up fake yp server settings
Once the above files are installed, your Samba AD server will be ready to use
Server Role: active directory domain controller
Hostname: dc1
NetBIOS Domain: TESTDOMAIN
DNS Domain: testdomain.lan ### !!! смотри 48 строку
DOMAIN SID: S-1-5-21-xxxxxxxxx-xxxxxxxxx-xxxxxxxxxx
### Настройка DC
#Контроллер домена на Ubuntu, реализованный с помощью Samba сам автоматически запускает необходимые сервисы. Поэтому если они будут запущены не Samba DC, а например вручную пользователем, это может привести к необратимым последствиям и домен перестанет функционировать как должен. Поэтому на всякий случай, необходимо сделать эти сервисы недоступными для ручного запуска и отключить их автозапуск:
sudo systemctl stop smbd nmbd winbind
sudo systemctl disable smbd nmbd winbind
sudo systemctl mask smbd nmbd winbind
#Делаем samba-ad-dc доступным для запуска, включаем сервис и включаем его автозапуск
sudo systemctl unmask samba-ad-dc
sudo systemctl start samba-ad-dc
sudo systemctl enable samba-ad-dc
### Настройка DNS
sudo vim /etc/netplan/50-cloud-init.yaml
# This file is generated from information provided by the datasource. Changes
# to it will not persist across an instance reboot. To disable cloud-init's
# network configuration capabilities, write a file
# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:
# network: {config: disabled}
network:
ethernets:
enp0s3:
dhcp4: no
dhcp6: no
addresses: [192.168.1.10/24, ]
gateway4: 192.168.1.1
nameservers:
addresses: [192.168.1.20, ]
version: 2
sudo vim /etc/resolv.conf ### проверить что данные корректны
search testdomain.companyname.ru
nameserver 192.168.1.10
nameserver 192.168.1.20
###Настройка Kerberos
sudo cp /var/lib/samba/private/krb5.conf /etc/
###Проверка
smbclient -L localhost -U%
#должно быть
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.7.6-Ubuntu)
Reconnecting with SMB1 for workgroup listing.
Server Comment
--------- -------
Workgroup Master
--------- -------
WORKGROUP BUHI
smbclient //localhost/netlogon -UAdministrator -c 'ls'
#должно быть
. D 0 Sat Mar 14 14:10:05 2020
.. D 0 Sat Mar 14 14:10:07 2020
15413192 blocks of size 1024. 8681340 blocks available
### если какие-то ошибки, то лучше всё заново
#################################################################
Резервный контроллер домена
#################################################################
sudo apt update && sudo apt upgrade -y && sudo apt install vim htop mc ntp nmap ntpdate -y
sudo cp /usr/share/zoneinfo/Asia/Yekaterinburg /etc/localtime
sudo vim /etc/hosts
127.0.0.1 localhost.testdomain.companyname.ru localhost
192.168.1.11 dc2.testdomain.companyname.ru dc2
192.168.1.10 dc1.testdomain.companyname.ru dc1
# The following lines are desirable for IPv6 capable hosts
#::1 ip6-localhost ip6-loopback
#fe00::0 ip6-localnet
#ff00::0 ip6-mcastprefix
#ff02::1 ip6-allnodes
#ff02::2 ip6-allrouters
sudo vim /etc/netplan/50-cloud-init.yaml
# This file is generated from information provided by the datasource. Changes
# to it will not persist across an instance reboot. To disable cloud-init's
# network configuration capabilities, write a file
# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:
# network: {config: disabled}
network:
ethernets:
enp0s3:
dhcp4: no
dhcp6: no
addresses: [192.168.1.11/24, ]
gateway4: 192.168.1.1
nameservers:
addresses: [192.168.1.10, 192.168.1.20, ]
version: 2
sudo ntpdate dc1
#если так то всё гуд
16 Mar 10:51:26 ntpdate[1349]: adjust time server 192.168.1.10 offset -0.000764 sec
### Устанавливаем Samba
sudo apt install samba krb5-config winbind smbclient krb5-user ldb-tools
###вводим в домен
kinit administrator@TESTDOMAIN.COMPANYNAME.RU
#проверяем
klist
sudo systemctl stop samba-ad-dc smbd nmbd winbind
sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
sudo service systemd-resolved stop
sudo systemctl disable systemd-resolved.service
sudo rm /etc/resolv.conf
sudo vim /etc/resolv.conf
search testdomain.companyname.ru
nameserver 192.168.1.10
nameserver 192.168.1.20
sudo samba-tool domain join TESTDOMAIN.COMPANYNAME.RU DC -Uadministrator
#вывод должен быть примерно такой
Finding a writeable DC for domain 'TESTDOMAIN.COMPANYNAME.RU'
Found DC dc1.testdomain.companyname.ru
Password for [WORKGROUP\administrator]:
workgroup is TESTDOMAIN
realm is testdomain.companyname.ru
Deleted CN=DC2,OU=Domain Controllers,DC=testdomain,DC=companyname,DC=ru
Deleted CN=RODC Connection (FRS),CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=testdomain,DC=companyname,DC=ru
Deleted CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=testdomain,DC=companyname,DC=ru
Deleted CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=testdomain,DC=companyname,DC=ru
Adding CN=DC2,OU=Domain Controllers,DC=testdomain,DC=companyname,DC=ru
Adding CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=testdomain,DC=companyname,DC=ru
Adding CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=testdomain,DC=companyname,DC=ru
Adding SPNs to CN=DC2,OU=Domain Controllers,DC=testdomain,DC=companyname,DC=ru
Setting account password for DC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba AD has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=testdomain,DC=companyname,DC=ru
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=testdomain,DC=companyname,DC=ru] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=testdomain,DC=companyname,DC=ru] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=testdomain,DC=companyname,DC=ru] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=testdomain,DC=companyname,DC=ru] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=testdomain,DC=companyname,DC=ru] objects[402/1620] linked_values[0/1]
Partition[CN=Configuration,DC=testdomain,DC=companyname,DC=ru] objects[804/1620] linked_values[0/1]
Partition[CN=Configuration,DC=testdomain,DC=companyname,DC=ru] objects[1206/1620] linked_values[0/1]
Partition[CN=Configuration,DC=testdomain,DC=companyname,DC=ru] objects[1608/1620] linked_values[0/1]
Partition[CN=Configuration,DC=testdomain,DC=companyname,DC=ru] objects[1620/1620] linked_values[30/30]
Replicating critical objects from the base DN of the domain
Partition[DC=testdomain,DC=companyname,DC=ru] objects[97/97] linked_values[23/23]
Partition[DC=testdomain,DC=companyname,DC=ru] objects[367/270] linked_values[23/23]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=testdomain,DC=companyname,DC=ru
Partition[DC=DomainDnsZones,DC=testdomain,DC=companyname,DC=ru] objects[42/42] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=testdomain,DC=companyname,DC=ru
Partition[DC=ForestDnsZones,DC=testdomain,DC=companyname,DC=ru] objects[19/19] linked_values[0/0]
Exop on[CN=RID Manager$,CN=System,DC=testdomain,DC=companyname,DC=ru] objects[3] linked_values[0]
Committing SAM database
Adding 1 remote DNS records for DC2.testdomain.companyname.ru
Adding DNS A record DC2.testdomain.companyname.ru for IPv4 IP: 192.168.1.11
Adding DNS CNAME record e86e019e-c1c8-4a68-9be1-37ce82675691._msdcs.testdomain.companyname.ru for DC2.testdomain.companyname.ru
All other DNS records (like _ldap SRV records) will be created samba_dnsupdate on first startup
Replicating new DNS records in DC=DomainDnsZones,DC=testdomain,DC=companyname,DC=ru
Partition[DC=DomainDnsZones,DC=testdomain,DC=companyname,DC=ru] objects[3/3] linked_values[0/0]
Replicating new DNS records in DC=ForestDnsZones,DC=testdomain,DC=companyname,DC=ru
Partition[DC=ForestDnsZones,DC=testdomain,DC=companyname,DC=ru] objects[2/2] linked_values[0/0]
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TESTDOMAIN (SID S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx) as a DC
sudo systemctl stop smbd nmbd winbind
sudo systemctl disable smbd nmbd winbind
sudo systemctl mask smbd nmbd winbind
#Делаем samba-ad-dc доступным для запуска, включаем сервис и включаем его автозапуск
sudo systemctl unmask samba-ad-dc
sudo systemctl start samba-ad-dc
sudo systemctl enable samba-ad-dc