Добавить в корзинуПозвонить
Найти в Дзене
Любитель Linux и настройки сетевого оборудования
6 подписчиков

Миграция

5
19 мин
Полный план выполнения задания «Миграция» Введение и условные обозначения Перед началом убедитесь, что на всех Linux-хостах выполнена базовая настройка сети (статический IP, шлюз) согласно таблице адресации. Далее это предполагается уже сделанным. Все команды выполняются от пользователя root, если не указано иное. Часть 1. Синхронизация времени (NTP) Задача: Настроить сервер времени на LIN-DC1 и клиентов на всех остальных хостах. 🔹 Хост: LIN-DC1 (NTP-сервер) 1. Установите пакет chrony: bash apt-get install chrony 2. Включите режим сервера: bash control chrony server 3. Настройте синхронизацию с российским пулом NTP, выполнив автоматическую замену в конфигурационном файле: bash sed -i -r 's/^(pool.*)/#\1\npool ru.pool.ntp.org iburst/' /etc/chrony.conf 4. Запустите службу и добавьте в автозагрузку: bash systemctl enable --now chronyd *Источник: [5.5. Настройка NTP-сервера - chrony]* 🔹 Хосты: LIN-DC2, LIN-SRV1, LIN-SRV2, LIN-CLI1, ADM (NTP-клиенты) 1. Установите пакет chrony (если ещё

Полный план выполнения задания «Миграция»

Введение и условные обозначения

Перед началом убедитесь, что на всех Linux-хостах выполнена базовая настройка сети (статический IP, шлюз) согласно таблице адресации. Далее это предполагается уже сделанным.

Все команды выполняются от пользователя root, если не указано иное.

Часть 1. Синхронизация времени (NTP)

Задача: Настроить сервер времени на LIN-DC1 и клиентов на всех остальных хостах.

🔹 Хост: LIN-DC1 (NTP-сервер)

1. Установите пакет chrony:

bash

apt-get install chrony

2. Включите режим сервера:

bash

control chrony server

3. Настройте синхронизацию с российским пулом NTP, выполнив автоматическую замену в конфигурационном файле:

bash

sed -i -r 's/^(pool.*)/#\1\npool ru.pool.ntp.org iburst/' /etc/chrony.conf

4. Запустите службу и добавьте в автозагрузку:

bash

systemctl enable --now chronyd

*Источник: [5.5. Настройка NTP-сервера - chrony]*

🔹 Хосты: LIN-DC2, LIN-SRV1, LIN-SRV2, LIN-CLI1, ADM (NTP-клиенты)

1. Установите пакет chrony (если ещё не установлен):

bash

apt-get install chrony

2. Добавьте в файл /etc/chrony.conf строку с адресом вашего NTP-сервера:

bash

echo "server 192.168.1.3 iburst" >> /etc/chrony.conf

3. Перезапустите службу для применения изменений:

bash

systemctl restart chronyd

Источник: 61.4. NTP

Часть 2. Развёртывание первого контроллера домена (PDC)

Задача: Создать домен semifinal.irpo с функциональным уровнем не ниже Windows Server 2016. DNS-сервер — BIND9_DLZ.

🔹 Хост: LIN-DC1

1. Установите необходимые пакеты:

bash

apt-get install task-samba-dc bind bind-utils

2. Остановите и отключите конфликтующие службы (если они были запущены):

bash

for service in smb nmb krb5kdc slapd bind; do systemctl disable --now $service; done

3. Удалите старые конфигурации Samba (если имеются):

bash

rm -f /etc/samba/smb.conf && rm -rf /var/lib/samba /var/cache/samba && mkdir -p /var/lib/samba/sysvol

4. Выполните создание домена в пакетном режиме с параметрами:

bash

samba-tool domain provision \

--realm=SEMIFINAL.IRPO \

--domain=SEMIFINAL \

--adminpass='P@ssw0rd' \

--server-role=dc \

--dns-backend=BIND9_DLZ \

--option="dns forwarder=8.8.8.8" \

--option="ad dc functional level = 2016" \

--use-rfc2307

Флаг --use-rfc2307 включает поддержку POSIX-атрибутов, что необходимо для корректной работы клиентов Linux.

5. Настройте BIND9 для работы с динамической зоной Samba:

o Отключите chroot:

bash

control bind-chroot disabled

o В файл /etc/sysconfig/bind добавьте строку (если её нет):

bash

grep -q '^KRB5RCACHETYPE=' /etc/sysconfig/bind || echo 'KRB5RCACHETYPE="none"' >> /etc/sysconfig/bind

o В конец файла /etc/bind/named.conf добавьте строку, подключающую зону Samba:

bash

echo 'include "/var/lib/samba/bind-dns/named.conf";' >> /etc/bind/named.conf

6. Скопируйте сгенерированный файл конфигурации Kerberos в системный каталог:

bash

cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

7. Запустите службы BIND9 и Samba:

bash

systemctl enable --now bind && systemctl enable --now samba

Источник: [5.8.3. Создание домена]

Часть 3. Развёртывание второго контроллера домена (BDC)

Задача: Ввести LIN-DC2 в домен в качестве дополнительного контроллера.

🔹 Хост: LIN-DC2

1. Установите пакеты:

bash

apt-get install task-samba-dc bind bind-utils

2. Остановите конфликтующие службы (аналогично LIN-DC1).

3. Удалите старые конфигурации Samba (аналогично LIN-DC1).

4. Настройте разрешение имён так, чтобы LIN-DC2 использовал LIN-DC1 в качестве первичного DNS. В файл /etc/resolvconf.conf добавьте строки:

text

name_servers=192.168.1.3

search_domains=semifinal.irpo

Примените изменения:

bash

resolvconf -u

5. Скопируйте файл krb5.conf с первого контроллера:

bash

scp root@192.168.1.3:/etc/krb5.conf /etc/krb5.conf

6. Получите билет Kerberos администратора домена:

bash

kinit administrator@SEMIFINAL.IRPO

7. Присоединитесь к домену как дополнительный DC:

bash

samba-tool domain join semimifinal.irpo DC -Uadministrator \

--dns-backend=BIND9_DLZ \

--option="dns forwarder=8.8.8.8" \

--option="ad dc functional level = 2016"

8. Настройте BIND9 на LIN-DC2 точно так же, как на LIN-DC1 (пункт 5 предыдущего раздела).

9. Запустите службы:

bash

systemctl enable --now bind && systemctl enable --now samba

Источник: [6.1. Заведение дополнительного контроллера домена c бэкендом BIND9_DLZ]

Часть 4. Повышение функционального уровня домена и роли FSMO

Задача: Установить функциональный уровень домена 2016 и передать все роли FSMO на LIN-DC1.

🔹 Хост: LIN-DC1

1. В файл /etc/samba/smb.conf в секцию [global] добавьте строку:

text

ad dc functional level = 2016

2. Перезагрузите службу Samba:

bash

systemctl restart samba

3. Выполните повышение уровня домена и леса:

bash

samba-tool domain level raise --domain-level=2016 --forest-level=2016

4. Передайте все роли FSMO на LIN-DC1 (если они ещё не там):

bash

samba-tool fsmo transfer --role=all -Uadministrator

Источник: [38.6. Повышение уровня схемы, функционального уровня домена]

Часть 5. Двунаправленная репликация SYSVOL (Rsync/Unison)

Задача: Обеспечить синхронизацию каталога SYSVOL между LIN-DC1 и LIN-DC2.

🔹 Хосты: LIN-DC1 и LIN-DC2

1. На обоих контроллерах установите пакеты:

bash

apt-get install rsync unison

2. На LIN-DC1 настройте беспарольный доступ по SSH к LIN-DC2:

bash

ssh-keygen -t ed25519 -N "" -f /root/.ssh/id_ed25519

ssh-copy-id root@192.168.1.2

3. На LIN-DC1 создайте конфигурационный файл /root/.unison/sysvol.prf со следующим содержимым:

text

# Локальный и удалённый корни

root = /var/lib/samba/sysvol

root = ssh://root@192.168.1.2//var/lib/samba/sysvol

# Автоматический режим без вопросов

auto = true

batch = true

# Сохранять владельца и группу

owner = true

group = true

# Не синхронизировать права (они задаются отдельно)

perms = -1

# Использовать rsync для ускорения

rsync = true

xattrbycopy = true

# Не обрабатывать символические ссылки

links = false

4. На LIN-DC1 добавьте задание в cron для автоматической синхронизации каждые 5 минут:

o Выполните crontab -e

o Добавьте строку:

text

*/5 * * * * /usr/bin/unison sysvol -silent

5. Выполните первую синхронизацию вручную для проверки:

bash

/usr/bin/unison sysvol

*Источник: [13.1. Настройка двунаправленной репликации SysVol на базе Rsync/Unison]*

Часть 6. Настройка DNS-записей (прямая и обратная зоны)

Задача: Создать A и PTR записи для всех хостов, включая служебные имена.

🔹 Хост: LIN-DC1 (можно выполнять с любого DC)

1. Добавьте прямые записи (A) для всех хостов:

bash

samba-tool dns add 192.168.1.3 semimifinal.irpo LIN-DC2 A 192.168.1.2 -Uadministrator

samba-tool dns add 192.168.1.3 semimifinal.irpo LIN-SRV1 A 192.168.1.4 -Uadministrator

samba-tool dns add 192.168.1.3 semimifinal.irpo LIN-SRV2 A 192.168.1.5 -Uadministrator

samba-tool dns add 192.168.1.3 semimifinal.irpo ADM A 192.168.1.99 -Uadministrator

# Для DHCP-клиентов записи добавятся автоматически.

2. Создайте обратную зону 1.168.192.in-addr.arpa (если ещё не создана):

bash

samba-tool dns zonecreate 192.168.1.3 1.168.192.in-addr.arpa -Uadministrator

3. Добавьте обратные записи (PTR) для хостов со статическими адресами:

bash

samba-tool dns add 192.168.1.3 1.168.192.in-addr.arpa 3 PTR LIN-DC1.semifinal.irpo -Uadministrator

samba-tool dns add 192.168.1.3 1.168.192.in-addr.arpa 2 PTR LIN-DC2.semifinal.irpo -Uadministrator

samba-tool dns add 192.168.1.3 1.168.192.in-addr.arpa 4 PTR LIN-SRV1.semifinal.irpo -Uadministrator

samba-tool dns add 192.168.1.3 1.168.192.in-addr.arpa 5 PTR LIN-SRV2.semifinal.irpo -Uadministrator

samba-tool dns add 192.168.1.3 1.168.192.in-addr.arpa 99 PTR ADM.semifinal.irpo -Uadministrator

Источник: 38.3. Управление DNS с помощью samba-tool

Часть 7. Настройка DHCP-сервера на LIN-DC2 с динамическим обновлением DNS

Задача: DHCP должен выдавать адреса клиентам и регистрировать их в DNS.

🔹 Хост: LIN-DC2

1. Установите DHCP-сервер:

bash

apt-get install dhcp-server

2. Создайте доменного пользователя для обновления DNS:

bash

samba-tool user create dhcpduser --random-password

samba-tool user setexpiry dhcpduser --noexpiry

samba-tool group addmembers DnsAdmins dhcpduser

3. Экспортируйте keytab для этого пользователя:

bash

samba-tool domain exportkeytab --principal=dhcpduser@SEMIFINAL.IRPO /etc/dhcp/dhcpduser.keytab

chown dhcpd:dhcp /etc/dhcp/dhcpduser.keytab && chmod 400 /etc/dhcp/dhcpduser.keytab

4. Создайте скрипт /usr/local/bin/dhcp-dyndns.sh со следующим содержимым (возьмите полный текст скрипта из документации). Сделайте его исполняемым:

bash

chmod 755 /usr/local/bin/dhcp-dyndns.sh

5. Полностью замените содержимое файла /etc/dhcp/dhcpd.conf на следующее (взяв за основу конфигурацию из документации, но подставив ваши сетевые параметры):

text

authoritative;

ddns-update-style none;

subnet 192.168.1.0 netmask 255.255.255.0 {

option routers 192.168.1.1;

option domain-name-servers 192.168.1.3, 192.168.1.2;

option domain-name "semifinal.irpo";

default-lease-time 3600;

pool {

max-lease-time 1800;

range 192.168.1.100 192.168.1.200;

}

}

on commit {

set ClientIP = binary-to-ascii(10, 8, ".", leased-address);

set ClientDHCID = concat (...); # Копируйте эту строку из документации

set ClientName = pick-first-value(option host-name, config-option host-name, client-name, noname);

log(concat("Commit: IP: ", ClientIP, " DHCID: ", ClientDHCID, " Name: ", ClientName));

execute("/usr/local/bin/dhcp-dyndns.sh", "add", ClientIP, ClientDHCID, ClientName);

}

on release {

# ... (аналогично из документации)

}

on expiry {

# ... (аналогично из документации)

}

6. Отключите chroot для DHCP-сервера и запустите его:

bash

control dhcpd-chroot disabled

systemctl enable --now dhcpd

*Источник: [46. Настройка DHCP-сервера для обновления DNS-записей]*

Часть 8. Установка административных шаблонов и создание объектов домена

Задача: Установить ADMX-шаблоны, создать пользователей, группу, подразделение.

🔹 Хост: LIN-DC1

1. Установите пакеты с шаблонами:

bash

apt-get install admx-basealt admx-chromium admx-msi-setup gpui

2. Загрузите шаблоны MSI (для Windows-политик):

bash

admx-msi-setup

3. Загрузите шаблоны в домен:

bash

samba-tool gpo admxload -U Administrator

Источник: [25. Установка административных шаблонов и административных инструментов]

4. Создайте пользователей:

bash

samba-tool user add LinUser1 P@ssw0rd

samba-tool user add LinUser2 P@ssw0rd

5. Создайте группу и добавьте в неё пользователей:

bash

samba-tool group add LinUsers

samba-tool group addmembers LinUsers LinUser1,LinUser2

6. Создайте подразделение LinOU:

bash

samba-tool ou add "OU=LinOU,DC=semifinal,DC=irpo"

7. Переместите пользователей в это OU:

bash

samba-tool user move "CN=LinUser1,CN=Users,DC=semifinal,DC=irpo" "OU=LinOU,DC=semifinal,DC=irpo"

samba-tool user move "CN=LinUser2,CN=Users,DC=semifinal,DC=irpo" "OU=LinOU,DC=semifinal,DC=irpo"

Часть 9. Создание и настройка групповых политик

Задача: Создать GPO IrpoStyle (тёмная тема) и ChromiumSSO (прозрачная аутентификация в браузере).

🔹 Хост: LIN-DC1 (или любой хост с GPUI)

1. Создайте объекты GPO:

bash

samba-tool gpo create IrpoStyle

samba-tool gpo create ChromiumSSO

2. Запустите редактор групповых политик:

bash

gpui

3. В открывшемся окне выберите политику IrpoStyle и перейдите в раздел:
Конфигурация пользователя → Административные шаблоны → ALT System Control → Оформление

o Включите параметр «Тема оформления» и выберите значение «Тёмная».

o Включите параметр «Запретить изменение темы оформления».

4. Выберите политику ChromiumSSO и перейдите в раздел:
Конфигурация компьютера → Административные шаблоны → Google Chrome → Настройки Kerberos

o Включите параметр «Включить аутентификацию Kerberos».

o В параметре «Список серверов, для которых разрешена аутентификация Kerberos» укажите:

text

*.semifinal.irpo

5. Сохраните изменения в каждой политике.
Источник: 29.2. Запуск GPUI для редактирования доменных политик

Часть 10. Настройка файлового сервера на LIN-SRV1

Задача: Обеспечить общий анонимный ресурс Share, хранилище перемещаемых профилей Windows Profiles и личные папки UserDocs.

🔹 Хост: LIN-SRV1

1. Установите Samba (файловый сервер):

bash

apt-get install task-samba

2. Создайте каталоги:

bash

mkdir -p /srv/share /opt/profiles /opt/userdocs

chmod 777 /srv/share

chmod 700 /opt/profiles

3. Создайте личные каталоги для всех существующих доменных пользователей:

bash

samba-tool user list | while read user; do

if [[ "$user" != "Administrator" && "$user" != "krbtgt" && "$user" != "Guest" && ! "$user" =~ \\$ ]]; then

mkdir -p "/opt/userdocs/$user"

chown "$user":"domain users" "/opt/userdocs/$user"

chmod 700 "/opt/userdocs/$user"

fi

done

4. Отредактируйте файл /etc/samba/smb.conf, добавив в конец следующие секции:

text

[Share]

path = /srv/share

guest ok = yes

read only = no

browsable = yes

[Profiles]

path = /opt/profiles

read only = no

browsable = no

create mask = 0700

directory mask = 0700

csc policy = disable

profile acls = yes

[UserDocs]

path = /opt/userdocs/%U

valid users = %U

read only = no

browsable = no

5. Запустите службу Samba:

bash

systemctl enable --now smb

Источник: 9. Файловый сервер Samba в домене

Часть 11. Настройка веб-сервера Apache с прозрачной аутентификацией (SSO)

Задача: Сайт http://web.semifinal.irpo должен авторизовывать доменных пользователей через Kerberos без ввода пароля.

🔹 Хост: LIN-SRV1

1. Установите Apache и модуль GSSAPI:

bash

apt-get install apache2 apache2-mod_auth_gssapi

2. Включите необходимые модули Apache:

bash

a2enmod auth_gssapi && a2enmod authn_core && a2enmod authz_user

3. Создайте Service Principal Name (SPN) для веб-сервера в домене:

bash

samba-tool spn add HTTP/web.semifinal.irpo@SEMIFINAL.IRPO LIN-SRV1$ -Uadministrator

samba-tool spn add HTTP/lin-srv1.semifinal.irpo@SEMIFINAL.IRPO LIN-SRV1$ -Uadministrator

4. Экспортируйте keytab-файл с ключами для HTTP-сервиса:

bash

samba-tool domain exportkeytab /etc/apache2/http.keytab --principal=HTTP/web.semifinal.irpo@SEMIFINAL.IRPO

samba-tool domain exportkeytab /etc/apache2/http.keytab --principal=HTTP/lin-srv1.semifinal.irpo@SEMIFINAL.IRPO

chown www-data:www-data /etc/apache2/http.keytab && chmod 600 /etc/apache2/http.keytab

5. Создайте конфигурацию виртуального хоста в файле /etc/apache2/sites-available/web.conf:

text

<VirtualHost *:80>

ServerName web.semifinal.irpo

DocumentRoot /var/www/web

<Location />

AuthType GSSAPI

AuthName "GSSAPI Login"

GssapiCredStore keytab:/etc/apache2/http.keytab

GssapiBasicAuth On

GssapiLocalName On

require valid-user

</Location>

</VirtualHost>

6. Создайте каталог для сайта и разместите в нём файл login.html (из /template):

bash

mkdir -p /var/www/web

cp /template/login.html /var/www/web/index.html

7. Активируйте сайт и перезагрузите Apache:

bash

a2ensite web.conf && systemctl reload apache2

*Источник: [56.1. Настройка аутентификации Kerberos для веб-сервера Apache]*

Часть 12. Ввод Linux-клиента в домен (LIN-CLI1)

Задача: LIN-CLI1 должен стать членом домена, применять GPO и автоматически монтировать ресурс UserDocs.

🔹 Хост: LIN-CLI1

1. Установите пакеты для аутентификации через AD и применения GPO:

bash

apt-get install task-auth-ad-sssd gpupdate systemd-settings-enable-kill-user-processes

2. Введите машину в домен:

bash

system-auth write ad semimifinal.irpo LIN-CLI1 SEMIFINAL Administrator P@ssw0rd --gpo

3. Перезагрузите компьютер:

bash

systemctl reboot

4. После перезагрузки установите компоненты для автомонтирования:

bash

apt-get install pam_mount cifs-utils

5. Добавьте модуль pam_mount в схему аутентификации. В файл /etc/pam.d/system-auth в секцию session добавьте строку:

text

session optional pam_mount.so disable_interactive

6. Настройте монтирование. В файле /etc/security/pam_mount.conf.xml перед закрывающим тегом </pam_mount> добавьте:

xml

<volume uid="10000-2000200000" fstype="cifs" server="lin-srv1.semifinal.irpo" path="UserDocs" mountpoint="~/DomainDocs" options="sec=krb5,vers=2.1,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />

Источник: 16.2. Подключение к домену с использованием SSSD

7. Переместите учётную запись компьютера LIN-CLI1 в подразделение LinOU (выполнить на контроллере домена):

bash

samba-tool computer move "CN=LIN-CLI1,CN=Computers,DC=semifinal,DC=irpo" "OU=LinOU,DC=semifinal,DC=irpo"

Часть 13. Ввод Windows-клиентов в домен и настройка RSAT

Задача: WIN-CLI1 уже в домене, WIN-CLI2 ввести сейчас. На WIN-CLI1 установить RSAT.

🔹 Хост: WIN-CLI2

1. Убедитесь, что компьютер получает IP-адрес от DHCP-сервера (LIN-DC2).

2. Откройте «Свойства системы» → «Имя компьютера» → «Изменить».

3. Выберите «Является членом домена», введите semifinal.irpo.

4. Введите учётные данные администратора домена (Administrator, P@ssw0rd).

5. Перезагрузите компьютер.

🔹 Хост: WIN-CLI1 (RSAT)

1. Откройте «Управление» → «Добавить роли и компоненты».

2. В разделе «Компоненты» найдите «Средства удалённого администрирования сервера» (RSAT).

3. Установите оснастки: Active Directory – пользователи и компьютеры, Управление групповыми политиками, DNS-сервер.

4. После установки оснастки будут доступны в меню «Администрирование».

Часть 14. Настройка мониторинга (Prometheus + Grafana) на LIN-SRV2

Задача: Сбор метрик с LIN-DC1, LIN-DC2, LIN-SRV1 и отображение на дашборде Grafana по адресу http://mon.semifinal.irpo.

🔹 Хост: LIN-SRV2

1. Установите Prometheus, Grafana и Node Exporter:

bash

apt-get install prometheus grafana prometheus-node-exporter

2. Запустите Node Exporter:

bash

systemctl enable --now prometheus-node-exporter

3. Настройте Prometheus для сбора метрик с трёх целевых хостов. В файле /etc/prometheus/prometheus.yml в секции scrape_configs добавьте:

yaml

- job_name: 'node'

static_configs:

- targets: ['192.168.1.3:9100', '192.168.1.2:9100', '192.168.1.4:9100']

4. Запустите Prometheus:

bash

systemctl enable --now prometheus

5. Запустите Grafana:

bash

systemctl enable --now grafana-server

6. Настройте дашборд Grafana:

o Откройте веб-интерфейс http://192.168.1.5:3000 (логин/пароль по умолчанию admin/admin).

o Добавьте источник данных Prometheus (URL: http://localhost:9090).

o Импортируйте готовый дашборд для Node Exporter (например, ID 1860 с grafana.com).

o Для доступа по адресу http://mon.semifinal.irpo добавьте соответствующую DNS-запись и настройте виртуальный хост в Apache.

🔹 Хосты: LIN-DC1, LIN-DC2, LIN-SRV1 (агенты)

1. Установите и запустите Node Exporter:

bash

apt-get install prometheus-node-exporter

systemctl enable --now prometheus-node-exporter

Часть 15. Резервное копирование (Кибер Бекап)

Задача: Настроить резервное копирование каталогов /opt/profiles и /opt/userdocs с LIN-SRV1 на хост ADM.

🔹 Хост: LIN-SRV1 (сервер управления)

1. Установите сервер управления Кибер Бекап, следуя инструкциям установщика из предоставленного ISO-образа.

2. Для доступа по доменному имени создайте DNS-запись:

bash

samba-tool dns add 192.168.1.3 semimifinal.irpo backup A 192.168.1.4 -Uadministrator

После этого веб-интерфейс будет доступен по адресу http://backup.semifinal.irpo:9877.

🔹 Хост: ADM (агент и узел хранения)

1. Установите агент Кибер Бекап из ISO-образа.

2. В процессе установки укажите IP-адрес сервера управления: 192.168.1.4.

3. После установки агента подключите его к серверу управления через веб-интерфейс.

4. На хосте ADM создайте каталог для хранения резервных копий:

bash

mkdir /backup

5. В веб-интерфейсе сервера управления:

o Создайте узел хранения с именем BackUpFolder, указав путь /backup на хосте ADM.

o Создайте план резервного копирования с именем DomDataBackUp.

o В плане укажите источник: папки /opt/profiles и /opt/userdocs на LIN-SRV1.

o Настройте расписание (например, ежедневно).

o Убедитесь, что план выполняется успешно.

Часть 16. Администрирование с хоста ADM (вне домена)

Задача: Обеспечить возможность управления доменом с помощью ADMC и GPUI без ввода хоста ADM в домен.

🔹 Хост: ADM

1. Установите инструменты управления:

bash

apt-get install admc gpui

2. Настройте Kerberos для работы вне домена. Файл /etc/krb5.conf должен содержать:

text

[libdefaults]

default_realm = SEMIFINAL.IRPO

dns_lookup_kdc = true

[realms]

SEMIFINAL.IRPO = {

kdc = 192.168.1.3

admin_server = 192.168.1.3

}

[domain_realm]

.semifinal.irpo = SEMIFINAL.IRPO

semifinal.irpo = SEMIFINAL.IRPO

3. Получите билет администратора домена:

bash

kinit administrator@SEMIFINAL.IRPO

4. Запустите ADMC или GPUI:

bash

admc &

gpui &

Источник: 29.2. Запуск GPUI для редактирования доменных политик

Часть 17. Миграция данных и отключение WIN-DC

Задача: Перенести все данные, создать резервную копию, затем удалить старый контроллер Windows и выключить его.

🔹 Хост: LIN-DC1 (действия выполняются после полной настройки инфраструктуры)

1. Перенесите содержимое SYSVOL со старого контроллера (WIN-DC) на новый, если оно ещё не было перенесено. Для этого можно временно подключить сетевую папку \\WIN-DC\SYSVOL и скопировать данные в /var/lib/samba/sysvol.

2. Перенесите профили пользователей Windows со старого файлового сервера (если они там были) в /opt/profiles на LIN-SRV1.

3. Убедитесь, что все существовавшие до миграции пользователи, группы и GPO корректно отображаются в новом домене (проверьте через ADMC или RSAT).

4. Выполните резервное копирование данных с помощью плана DomDataBackUp (дождитесь успешного завершения).

5. На контроллере LIN-DC1 выполните команду удаления WIN-DC из домена:

bash

samba-tool domain demote --remove-other-dead-server=WIN-DC -Uadministrator

6. Очистите старые DNS-записи, относящиеся к WIN-DC:

bash

samba-tool dns delete 192.168.1.3 semimifinal.irpo WIN-DC A -Uadministrator

7. Выключите виртуальную машину WIN-DC.

Часть 18. Проверка выполнения чек-листа

После завершения всех шагов проверьте каждый пункт требований заказчика:

  • Синхронизация времени: chronyc sources -v на любом клиенте показывает источник 192.168.1.3.
  • Разрешение имён DNS: nslookup lin-srv1.semifinal.irpo возвращает правильный IP, nslookup 192.168.1.4 возвращает lin-srv1.semifinal.irpo.
  • Выдача DHCP: WIN-CLI2 получает IP из диапазона, в DNS появляются его A и PTR записи.
  • Отсутствие WIN-DC: в оснастке ADUC контроллеров только LIN-DC1 и LIN-DC2.
  • Роли FSMO: samba-tool fsmo show показывает владельца LIN-DC1.
  • Уровень домена: samba-tool domain level show выводит 2016 или выше.
  • Репликация SYSVOL: создание тестового файла в /var/lib/samba/sysvol/semifinal.irpo/scripts на одном DC приводит к его появлению на другом в течение 5 минут.
  • Вход старых пользователей: пользователи, существовавшие до миграции, могут войти на Windows и Linux клиентах.
  • GUID групповых политик: проверяется через ADSI Edit (не изменились).
  • Применение GPO на Windows: gpresult /r показывает применение политик IrpoStyle и ChromiumSSO.
  • Наличие LinUser1/2, LinUsers, LinOU: проверяется через ADUC или ADMC.
  • Политика IrpoStyle: на Windows-клиенте тёмная тема, кнопка смены темы заблокирована.
  • Политика ChromiumSSO: в браузере Chromium на Windows-клиенте при открытии http://web.semifinal.irpo не запрашивается пароль.
  • Доступность Share: \\LIN-SRV1\Share открывается без аутентификации.
  • Перемещаемые профили: настройки рабочего стола сохраняются при входе на разных Windows-клиентах.
  • Разграничение UserDocs: пользователь видит только свою папку.
  • Автомонтирование DomainDocs: после входа на LIN-CLI1 в домашней папке появляется каталог DomainDocs с содержимым UserDocs.
  • Мониторинг: дашборд Grafana отображает метрики CPU, RAM, Disk для трёх хостов.
  • Резервное копирование: в веб-интерфейсе Кибер Бекап есть успешные задания плана DomDataBackUp.
  • Управление с WIN-CLI1 (RSAT): можно создать/изменить пользователя.
  • Управление с ADM: запускаются ADMC и GPUI, доступно редактирование объектов и политик.
  • Ввод WIN-CLI2: компьютер введён в домен, на него распространяются GPO.
  • DNS-записи: для всех включённых хостов существуют A и PTR записи.