Сисадмин Михалыч 

Миграция действующего контроллера домена под управление ОС Wondows 2008 R2 на сервер Samba 4.19 под управлением ОС Альт 10

srv2k8dc1 - Действующий контроллер домена ORGAN.LAN (ОС Windows 2008 R2)

srvalt10dc1 - Новый контроллер домена на который будут перенесены роли FSMO и DNS-зона домена ORGAN.LAN (ОС Альт 10)

Стартеркиты 10-й платформы:

https://nightly.altlinux.org/p10/archive/

LIN:

apt-get update && apt-get dist-upgrade -y && update-kernel -y && apt-get install chrony task-samba-dc bind-utils tdb-utils installer-feature-sambaDC-stage3 -y && reboot

Настройка службы синхронизации времени и режима работы в роли NTP-сервера:

mcedit /etc/chrony.conf

Закоментировать pool pool.ntp.org iburst и конец файла добавить:

server ntp1.vniiftri.ru

server ntp2.vniiftri.ru

server ntp3.vniiftri.ru

server ntp4.vniiftri.ru

allow 0.0.0.0/0

systemctl enable --now chronyd

mcedit /etc/krb5.conf

[libdefaults]

default_realm = ORGAN.LAN

dns_lookup_realm = false

dns_lookup_kdc = true

kinit Администратор@ORGAN.LAN

klist

kdestroy

rm -f /etc/samba/smb.conf

samba-tool domain join organ.lan DC -U Администратор --realm=organ.lan

Добавить сервер пересылки в [Global]:

medit /etc/samba/smb.conf

dns forwarder = 77.88.8.88

systemctl enable samba --now

WIN:

Перезагрузить srv2k8dc1

Открыть оснастку Active Directory - сайты и службы

Проверить наличие созданных автоматически подключений направлений репликации

Проверить репликацию в обе стороны.

LIN:

В видео допущена ошибка направления откуда куда реплицировать. Формат репликации такой: samba-tool drs replicate Назначение Источник
Однако на сам процесс и цели видеоурока это не влияет.
Репликация с винды на Альт:
samba-tool drs replicate srvalt10dc1.organ.lan srv2k8dc1.organ.lan dc=organ,dc=lan -U Администратор
Репликация с Альта на винду: 

samba-tool drs replicate srv2k8dc1.organ.lan srvalt10dc1.organ.lan dc=organ,dc=lan -U Администратор

WIN:

netdom query fsmo

Открыть оснастку Active Directory - пользователи и компьютеры

Сменить контроллер домена на который переносятся роли и перенести роли.

regsvr32 schmmgmt.dll

Добавить оснастку: Схема Active Directory

Открыть оснастку Схема Active Directory

Сменить контроллер домена на который переносятся роль и перенести роль.

Открыть оснастку Active Directory - домены и доверие

Изменить контроллер домена на который переносятся роль и перенести роль.

Проверка:

netdom query fsmo

LIN:

samba-tool fsmo show

Захват ролей хозяина зоны DNS:

samba-tool fsmo seize --role=domaindns

samba-tool fsmo seize --role=forestdns

WIN:

Навести порядок в DNS

dcpromo

Понижение роли КД не работает, поэтому необходимо выключить srv2k8dc1 и удалить как не рабочий из samba

LIN:

samba-tool domain demote --remove-other-dead-server=SRV2K8DC1

Проверить записи DNS на отсутствие srv2k8dc1 и при наличии удалить.

Политика паролей устанавливается непосредственно через samba-tool (через доменные политики не работает)

Текущая политика паролей:

samba-tool domain passwordsettings show

Устанавливаем как надо:

samba-tool domain passwordsettings set параметр

Возможные параметры:

--complexity=on|off|default — должен ли пароль отвечать требованиям сложности (по умолчанию on);

--store-plaintext=on|off|default — хранить пароли используя обратимое шифрование (по умолчанию off);

--history-length=целое число|default — число хранимых предыдущих паролей пользователей (требование неповторяемости паролей) (по умолчанию 24);

--min-pwd-length=целое число|default — минимальное количество символов в пароле (по умолчанию 7);

--min-pwd-age=целое число|default — минимальный срок действия пароля (по умолчанию 1);

--max-pwd-age=целое число|default — максимальный срок действия пароля (по умолчанию 43);

--account-lockout-duration=целое число|default — интервал времени (в минутах), в течение которого возможность аутентификации для пользователя, превысившего количество попыток входа, будет заблокирована (по умолчанию 30);

--account-lockout-threshold=целое число|default — допустимое количество неудачных попыток ввода пароля перед блокировкой учетной записи (по умолчанию 0 — никогда не блокировать);

--reset-account-lockout=целое число|default — интервал времени (в минутах), по истечении которого записанное количество попыток начинается заново (по умолчанию 30)

samba-tool user setexpiry Администратор --noexpiry

samba-tool domain passwordsettings set --max-pwd-age=180

samba-tool domain passwordsettings set --account-lockout-duration=10

samba-tool domain passwordsettings set --reset-account-lockout=10

!!! На счёт миграции доменных групповых политик можно попробовать после ввода второго контроллера в домен скопировать содержимое SYSVOL и NETLOGON с первого КД на второй. Но как оно поедет я не знаю, нужно проверять.