Samba 指令介紹網頁:
建立新的網域:
sudo samba-tool domain provision --use-rfc2307 --use-xattrs=yes --function-level=2008_R2 --interactive
加入已存在的網域:
samba-tool domain join tw.company DC -U"TW\administrator" --dns-backend=BIND9_DLZ (相容 Windows AD DNS,可讓 Windows Client 動態更新 DNS 記錄)
設定 administrator 密碼不會過期:
sudo samba-tool user setexpiry administrator --noexpiry
sudo samba_upgradedns --dns-backend=BIND9_DLZ (相容 Windows AD DNS,可讓 Windows Client 動態更新 DNS 記錄)
建立 DNS 反解區域:
samba-tool dns zonecreate ubuntu-ad.tw.company tw.company -Uadministrator
samba-tool dns zonecreate ubuntu-ad.tw.company tw.company -Uadministrator
samba-tool dns zonecreate ubuntu-ad.tw.company 1.168.192.in-addr.arpa -Uadministrator
刪徐 DNS 反解區域:
samba-tool dns zonedelete ubuntu-ad.tw.company tw.company -Uadministrator
samba-tool dns zonedelete ubuntu-ad.tw.company 1.168.192.in-addr.arpa -Uadministrator
samba-tool dns zonedelete ubuntu-ad.tw.company 1.168.192.in-addr.arpa -Uadministrator
手動增加 host 記錄到 DNS Server 正解區域:
samba-tool dns add ubuntu-ad tw.company host_name A host_ip -Uadministrator
手動增加 host 記錄到 DNS Server 反解區域:
samba-tool dns add ubuntu-ad 1.168.192.in-addr.arpa host_ip PTR host_name.domain_name -Uadministrator
手動增加 DNS 記錄到 DNS Server:
samba-tool dns add ubuntu-ad tw.company @ NS ubuntu-ad.tw.company -Uadministrator
samba-tool dns add ubuntu-ad tw.company @ NS ubuntu-ad.tw.company -Uadministrator
samba-tool dns add ubuntu-ad 1.168.192.in-addr.arpa @ NS ubuntu-ad.tw.company -Uadministrator ( 設定為 ubuntu-ad.tw.company 為 Domain DNS 主機)
查詢 DNS ZONE 裡的記錄:
samba-tool dns query ubuntu-ad tw.company @ ALL -Uadministrator
samba-tool dns query ubuntu-ad 1.168.192.in-addr.arpa @ ALL -Uadministrator
查詢 五大角色 主機:
samba-tool fsmo show
ldbsearch --cross-ncs -H /usr/local/samba/private/sam.ldb '(fsmoroleowner=*)' | grep 'dn:' | sed 's|dn: ||'
ldbsearch --cross-ncs -H /usr/local/samba/private/sam.ldb -b "CN=Infrastructure,DC=ForestDnsZones,DC=tw,DC=company" -s base fsmoroleowner
ldbsearch --cross-ncs -H /usr/local/samba/private/sam.ldb -b "CN=Infrastructure,DC=DomainDnsZones,DC=tw,DC=company" -s base fsmoroleowner
取得 AD 五大角色:
samba-tool fsmo transfer --role=xxxxxxx -Uadministrator
如果上列指令無法取得 DomainDnsZones、ForestDnsZones 兩個角色,可利用:
samba-tool fsmo seize --force --role=domaindns -Uadministrator (強制奪取各角色 ForestDnsZones 、DomainDnsZones, 其他 DC 損壞或無法正常移轉角色時使用)
五大角色名稱:
rid=RidAllocationMasterRole
schema=SchemaMasterRole
pdc=PdcEmulationMasterRole
naming=DomainNamingMasterRole
infrastructure=InfrastructureMasterRole
domaindns=DomainDnsZonesMasterRole
forestdns=ForestDnsZonesMasterRole
all=all (一次取得所有角色)
查詢 樹系、網域類型:
samba-tool domain level show
查看 AD 抄寫設定資訊:
samba-tool drs showrepl
修改 樹系、網域類型:
samba-tool domain level raise
或
samba-tool domain level raise --domain-level=2012_R2 (Samba v4.5 後支援 2012_R2)
samba-tool domain level raise --forest-level=2012_R2 (Samba v4.5 後支援 2012_R2)
產生基本 smb.conf 建議設定值:
testparm
查詢 SAMBA DC DNS ZONE 資料:
samba-tool dns serverinfo ubuntu-ad -Uadministrator -d3 (-d3 -d5 debug message)
samba-tool dns zonelist ubuntu-ad -Uadministrator-d3 (-d3 -d5 debug message)
檢測 DNS 時的錯誤訊息:
samba-tool dns serverinfo ubuntu-ad -Uadministrator -d5
出現: startlmhosts: Can't open lmhosts file /usr/local/samba/etc/lmhosts. Error was No such file or directory
可以在 /usr/local/samba/etc 下建立個空的 lmhosts 檔案,再檢測一次就無此錯誤訊息了。
SysVol GPO ACL 權限檢查、重設:
samba-tool ntacl sysvolcheck
samba-tool ntacl sysvolreset
POLICY 抄寫、複製:
samba-tool drs replicate windows-ad ubuntu-ad dc=tw,dc=company # windows-ad 為目地端, ubuntu-ad 為來源端
samba-tool drs replicate ubuntu-ad windows-ad dc=tw,dc=company # ubuntu-ad 為目地端, windows-ad 為來源端
移除失效的 DC Server:
samba-tool domain demote -Uadministrator
(登入要退出的主機,正常狀態下退出 DC 網域。但....PDC 伺服器內還是會留下一些殘餘舊的 DC 記錄,可再用下一行指令清除乾淨)
samba-tool domain demote --remove-other-dead-server=windows-ad
(Samba v4.5 指令:死機的狀態下,清除 DC 記錄)
加入DC、刪除DC後,檢查資料庫的正確性:
samba-tool dbcheck --reindex
samba-tool dbcheck --fix
samba-tool dbcheck --cross-ncs --fix
編輯 Samba 資料庫 ldb 檔案:
ldbedit -e vim -H /usr/local/samba/private/sam.ldb --cross-ncs
查詢 DC 網域使用者、群組帳號:
wbinfo -u (查詢使用者清單)
wbinfo -g (查詢群組清單)
查詢用法、顯示 使用者 帳號:
samba-tool user add -h
samba-tool user list
新增 使用者 帳號:
samba-tool user add domain_username
samba-tool user add domain_username --given-name=小明 --surname=王 --mail-address=domain_username@example.com
刪除 Samba AD 網域使用者語法:
samba-tool user delete domain_username
重設 Samba 網域使用者密碼:
samba-tool user setpassword domain_username
關閉或啟用 使用者帳號:
samba-tool user disable domain_username
samba-tool user enable domain_username
顯示 群組 名稱:
samba-tool group list
新增 群組 名稱:
samba-tool group add domain_group_name
刪除 Samba AD 網域群組語法:
samba-tool group delete domain_group_name
顯示 群組成員 名稱:
samba-tool group listmembers domain_group_name
加入群組成員、刪除群組成員:
samba-tool group addmembers domain_group_name domain_username
samba-tool group remove members domain_group_name domain_username
查詢 密碼原則設定:
samba-tool domain passwordsettings -h
samba-tool domain passwordsettings show
設定 密碼原則:
samba-tool domain passwordsettings set --complexity=off
samba-tool domain passwordsettings set --history-length=0
samba-tool domain passwordsettings set --min-pwd-age=0
samba-tool domain passwordsettings set --max-pwd-age=0
samba-tool domain passwordsettings set --min-pwd-length=6
查詢、刪除 DNS SRV 記錄:
host -t SRV _ldap._tcp.tw.company
host -t SRV _kerberos._udp.tw.company
五大角色移轉,請以正常移轉步驟為主(最後的移轉方法):
從 Windows AD 移轉五大角色到 UBUNTU AD 時,有時移轉不一定會順利移轉 DomainDnsZonesMasterRole、ForestDnsZonesMasterRole,
個人從 WIndows 平台移轉到 UBUNTU 平台時直接下 --role=all 時,移轉到 DomainDnsZones 及 ForestDnsZoes 會出現錯誤訊,並清除 DomainDnsZones 及 ForestDnsZoes 內的值,
這時可利用 微軟的 RSAT AD 遠端管理工具裡的 ADSI 編輯器 修改。
DomainDnsZones 及 ForestDnsZoes 值:
CN=NTDS Settings,CN=WINDOWS-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tw,DC=company
連線點 輸入: CN=Infrastructure, DC=ForestDnsZones,DC=tw,DC=company 進行連線
修改 fSMORoleOwner 值裡不存在的 ForestDnsZones 錯誤主機為正確主機,編輯後儲存。
繼續新增連接點: 連線點 輸入: CN=Infrastructure, DC=DomainDnsZones,DC=tw,DC=company 進行連線
修改 fSMORoleOwner 值裡不存在的 DomainDnsZones 錯誤主機為正確主機,編輯後儲存。
再查詢確認:
samba-tool fsmo show
沒有留言:
張貼留言