Итак, задача- перевести компьютеры/серверы с Windows на что-нибудь отечественное. Хорошо бы, чтобы это можно было бы сделать как можно проще, быстрее и безболезненнее. Как мне кажется, проще всего это сделать, перейдя на АльтЛинукс.
Вкратце, план такой: все комп-ы, которые переводятся на Альт, работают в существующем домене под Windows. После перевода всех комп-ов на Альт, домен из AD переносится на контроллер на Samba- вместе с учетками комп-ов/пользователей, группами и прочим барахлом содержимым, при этом пользователи этот перенос не заметят.
Итак, N месяцев/лет назад вы начали перевод всех комп-ов на Альт, и вот сегодня вы переносите виндовую АД на Альтовскую Самбу.
Перед переходом обязательно сделайте образ всех виндовых контроллеров домена, т.к. очень может быть, что что-то пойдет не так и нужно будет делать все сначала. Еще лучше- если вы все это сначала проделаете в тестовой среде. Итак, имя нашего домена- xz.local
Т.к. при просмотре этой статьи строки могут переноситься, я в конце каждой строки поставлю звездочку- чтобы было понятно, где начинается и заканчивается каждая строка.
1. Понижаем контроллер виндового домена до версии 2008, т.к. с более поздними Самба работать не умеет(при попытке к нему присоединиться выдаст сообщение самый хитрый, что ли о неправильной версии). Идем в powershell_ise.exe и запускаем в нем команды(будет что-то спрашивать- говорим Да, для всех):
set-ADForestMode -Identity xz.local -ForestMode Windows2012R2Forest*
Set-ADDomainMode -Identity xz.local -DomainMode windows2012R2Domain*
set-ADForestMode -Identity xz.local -ForestMode Windows2008R2Forest*
Set-ADDomainMode -Identity xz.local -DomainMode windows2008R2Domain*
В конце перезагружаем.
2. На альтовском сервере в сетевых настройках прописываем статический IP/маску/шлюз. В настройках ДНС пока что пишем тот ДНС, который у вас прописан на комп-ах домена, а в серверах поиска- виндовый домен(xz.local). Устанавливаем самбу и вводим ее в виндовый домен:
apt-get install task-samba-dc*
Присоединяем к домену:
samba-tool domain join xz.local DC -W AD -U админ_домена*
cp /var/lib/samba/private/krb5.conf /etc/krb5.conf*
после перезагрузки заходим в терминал, вводим команду kinit пользователь_домена. Если попросит пароль и потом напишет, что пароль там когда-то истекает- значит- все нормально.
3. Теперь переносим роли с виндового КД(т.е. контроллера домена) на альтовский:
kinit админ_домена*
samba-tool fsmo transfer --role=all*
samba-tool fsmo seize --force --role=all*
Проверяем роли:
samba-tool fsmo show*
- что-нибудь выйдет.
4. После этого нам нужно прибить виндовый КД. Идем на нем в Диспетчер серверов, жмем Удалить роли и компоненты и снимаем галку с Active Directory. Откроется мастер, там ставим галку на Удалить принудительно, потом галку на Продолжить удаление, потом жмем на Понизить роль, потом со всем соглашаемся и т.д. В конце сервер перезагрузится, и в общем-то, можно его выключить- больше он нам вроде как и ни к чему. Если у вас в списке компонентов будет еще и Служба сертификатов Active Directory- то она вам не даст сделать всего того, что написано в этом пункте. Поэтому- сначала нужно удалить ее. Причем сразу ее удалить не получится- нужно раскрывать список ее компонентов и удалять по одному(при этом даже не по порядку, а как получится).
5. Переносим DNS с Samb-ы на Bind, потому что "родной" самбовский ДНС...в общем, нафиг его.
apt-get install bind bind-utils*
control bind-chroot disabled*
grep -q KRB5RCACHETYPE /etc/sysconfig/bind || echo 'KRB5RCACHETYPE="none"' >> /etc/sysconfig/bind*
grep -q 'bind-dns' /etc/bind/named.conf || echo 'include "/var/lib/samba/bind-dns/named.conf";' >> /etc/bind/named.conf*
mcedit /etc/bind/options.conf*
В разделе options добавить:
tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";*
minimal-responses yes;*
dnssec-validation no;*
Отредактировать параметры(192.168.0.111- IP вашего КД на Альте):
listen-on { 127.0.0.1; 192.168.0.111; };*
forward first;*
forwarders { 192.168.0.1;};* (192.168.0.1- сюда пересылаем днс-запросы к внешним ресурсам)
Закрываем
systemctl stop bind*
systemctl stop samba*
samba_upgradedns --dns-backend=BIND9_DLZ*
mcedit /etc/samba/smb.conf*
если в файле нет параметра server services, добавить в секцию global строку:
server services = -dns*
если в секции global есть параметр server services, удалить опцию dns
Закрываем
systemctl enable --now bind*
systemctl start samba*
6. Устанавливаем и настраиваем DHCP- сервер. Делаем по этой вот инструкции.
7. Заходим на КД, в терминале делаем kinit и потом вводим admc Здесь мы увидим все наши данные- комп-ы, пользователей и прочее. Для проверки можно войти в сеть на любом из комп-ов и убедиться, что все работает как и прежде.
На этом- все.