Различия

Показаны различия между двумя версиями страницы.

--- russianway:astra_praktikum:aldpro [2025/04/01 18:58] – [aldppc01] root
+++ russianway:astra_praktikum:aldpro [2025/04/06 16:24] (текущий) – [Помогашки] root
@@ Строка 1: / Строка 1: @@
 ====== ALDPro ======
+===== aldpdc01 =====
-====== Реплика aldpdc02 ======
 Убедиться, что установлена Астра 1.7.6uu2 в режиме Смоленск.
 <code bash>
@@ Строка 30: / Строка 28: @@
 auto eth0
 iface eth0 inet static
-  address 10.2.0.11
+  address 10.2.0.10
   netmask 255.255.255.0
   gateway 10.2.0.1
-  dns-search ald.company.lan
-  dns-nameserver 77.88.8.8
 EOF
 </code>
+<code bash>
+sudo tee /etc/resolv.conf << EOF
+nameserver 10.2.0.10
+nameserver 10.2.0.11
+search ald.company.lan
+EOF
+</code>
 <code bash>
 sudo systemctl restart networking
@@ Строка 42: / Строка 46: @@
 Настроить имя хоста
 <code bash>
-sudo hostnamectl set-hostname aldpdc02.ald.company.lan
+sudo hostnamectl set-hostname aldpdc01.ald.company.lan
 </code>
 <code bash>
 sudo tee /etc/hosts << EOF
 .0.0.1 localhost.localdomain localhost
-.2.0.11 aldpdc02.ald.company.lan aldpdc02
+.2.0.10 aldpdc01.ald.company.lan aldpdc01
 EOF
 </code>
@@ Строка 72: / Строка 76: @@
 Установка пакетов ALDPro
 <code bash>
-sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client
+sudo DEBIAN_FRONTEND=noninteractive apt install -q -y aldpro-mp aldpro-gc aldpro-syncer
 </code>
-На этапе ввода в домен
+Ввод в домен
 <code bash>
-sudo tee /etc/resolv.conf << EOF
+sudo aldpro-server-install -d ald.company.lan -n aldpdc01 -p 'P@ssw0rd' --ip 10.2.0.10 --no-reboot --setup_syncer --setup_gc
-search ald.company.lan
-nameserver 10.2.0.10
-EOF
-</code>
-Заблокировать изменение файла
-<code bash>
-sudo chattr +i /etc/resolv.conf
 </code>
+Проверка статуса поднятия домена
-После ввода в домен
 <code bash>
-sudo chattr -i /etc/resolv.conf
+sudo aldproctl status
 </code>
 <code bash>
-sudo tee /etc/resolv.conf << EOF
+sudo ipactl status
-nameserver 127.0.0.1
-search ald.company.lan
-EOF
 </code>
-Ввод в домен
-<code bash>
-set +o history
-sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain ald.company.lan --account admin --password '1qaz@WSX' --host aldpdc02 --gui --force
-</code>
-Выполнить перезагрузку
-<code bash>
-sudo reboot
-</code>
 Отключение DNSSEC
@@ Строка 132: / Строка 99: @@
 sudo systemctl restart bind9-pkcs11.service
 </code>
+<code bash>
+sudo tee -a /etc/bind/ipa-options-ext.conf << EOF
+allow-recursion { any; };
+allow-query-cache { any; };
+EOF
+</code>
 Настройка глобального перенаправления DNS
     * Роли и службы сайта -> Служба разрешения имён -> Глобальная конфигурация DNS
@@ Строка 138: / Строка 110: @@
+Добавить права для УЗ admin
+<code bash>
-====== aldppc01 ======
+kinit
+ipa group-add-member 'ald trust admin' --user admin
+</code>
+===== aldppc01 =====
 Настроить имя хоста
 <code bash>
@@ Строка 181: / Строка 154: @@
 </code>
-====== aldpdc01 ======
+===== Реплика aldpdc02 =====
 Убедиться, что установлена Астра 1.7.6uu2 в режиме Смоленск.
@@ Строка 210: / Строка 184: @@
 auto eth0
 iface eth0 inet static
-  address 10.2.0.10
+  address 10.2.0.11
   netmask 255.255.255.0
   gateway 10.2.0.1
-  dns-search ald.company.lan
+EOF
-  dns-nameserver 77.88.8.8
+</code>
+<code bash>
+sudo tee /etc/resolv.conf << EOF
+nameserver 10.2.0.10
+nameserver 10.2.0.11
+search ald.company.lan
 EOF
 </code>
@@ Строка 222: / Строка 201: @@
 Настроить имя хоста
 <code bash>
-sudo hostnamectl set-hostname aldpdc01.ald.company.lan
+sudo hostnamectl set-hostname aldpdc02.ald.company.lan
 </code>
 <code bash>
 sudo tee /etc/hosts << EOF
 .0.0.1 localhost.localdomain localhost
-.2.0.10 aldpdc01.ald.company.lan aldpdc01
+.2.0.11 aldpdc02.ald.company.lan aldpdc02
 EOF
 </code>
@@ Строка 252: / Строка 231: @@
 Установка пакетов ALDPro
 <code bash>
-sudo DEBIAN_FRONTEND=noninteractive apt install -q -y aldpro-mp aldpro-gc aldpro-syncer
+sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client
 </code>
-Ввод в домен
+На этапе ввода в домен
 <code bash>
-sudo aldpro-server-install -d ald.company.lan -n aldpdc01 -p 'P@ssw0rd' --ip 10.2.0.10 --no-reboot --setup_syncer --setup_gc
+sudo tee /etc/resolv.conf << EOF
+search ald.company.lan
+nameserver 10.2.0.10
+EOF
+</code>
+Заблокировать изменение файла
+<code bash>
+sudo chattr +i /etc/resolv.conf
 </code>
-Проверка статуса поднятия домена
+После ввода в домен
 <code bash>
-sudo aldproctl status
+sudo chattr -i /etc/resolv.conf
 </code>
 <code bash>
-sudo ipactl status
+sudo tee /etc/resolv.conf << EOF
+nameserver 127.0.0.1
+search ald.company.lan
+EOF
 </code>
+Ввод в домен
+<code bash>
+set +o history
+sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain ald.company.lan --account admin --password '1qaz@WSX' --host aldpdc02 --gui --force
+</code>
+Выполнить перезагрузку
+<code bash>
+sudo reboot
+</code>
 Отключение DNSSEC
@@ Строка 281: / Строка 289: @@
+==== Поднять роль до резервного КД ====
+Продвижение резервного Контроллера Домена осуществляется с Портала Управления на странице Управление доменом > Сайты и службы > Контроллеры домена. \\
+  * Нажать кнопку [Новый контроллер домена],
+  * выбрать из списка сервер dc-2.ald.company.lan и
+  * остальные параметры, как показано на Добавление нового контроллера домена.
+{{ :russianway:astra_praktikum:pasted:20250402-171417.png }}
+Форсировать продвижение:
+<code bash>
+sudo aldpro-roles --iud --action install
+</code>
+===== Репозиторий Aldprepo01 =====
+Убедиться, что установлена Астра 1.7.6uu2 в режиме Смоленск.
+<code bash>
+cat /etc/astra/build_version
+sudo astra-modeswitch getname
+#sudo astra-modeswitch set 2
+</code>
+При необходимости увеличить таймайт запроса проля sudo c 15 минут до ...
+<code bash>
+#timestamp_timeout
+sudo nano /etc/sudoers
+</code>
+Вырезать networkmanager (в случае инсталляции fly-dm)
+<code bash>
+sudo systemctl stop NetworkManager && \
+sudo systemctl disable NetworkManager && \
+sudo systemctl mask NetworkManager && \
+sudo systemctl status NetworkManager
+</code>
+Установить статический IP
+<code bash>
+sudo tee /etc/network/interfaces << EOF
+auto lo
+iface lo inet loopback
+auto eth0
+iface eth0 inet static
+  address 10.2.0.12
+  netmask 255.255.255.0
+  gateway 10.2.0.1
+EOF
+</code>
+<code bash>
+sudo tee /etc/resolv.conf << EOF
+nameserver 10.2.0.10
+nameserver 10.2.0.11
+search ald.company.lan
+EOF
+</code>
+<code bash>
+sudo systemctl restart networking
+</code>
+Настроить имя хоста
+<code bash>
+sudo hostnamectl set-hostname aldprepo01.ald.company.lan
+</code>
+<code bash>
+sudo tee /etc/hosts << EOF
+.0.0.1 localhost.localdomain localhost
+.2.0.12 aldprepo01.ald.company.lan aldprepo01
+EOF
+</code>
+Добавить интернет репозитории
+<code bash>
+sudo tee /etc/apt/sources.list << EOF
+deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/repository-main/ 1.7_x86-64 main contrib non-free
+deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/repository-base/ 1.7_x86-64 main contrib non-free
+EOF
+</code>
+Добавить репозиторий ALDPro
+<code  bash>
+sudo tee /etc/apt/sources.list.d/aldpro.list << EOF
+deb [trusted=yes] https://dl.astralinux.ru/aldpro/frozen/01/2.4.1/ 1.7_x86-64 main base
+EOF
+</code>
+<code bash>
+sudo apt update && sudo apt list --upgradable && sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
+</code>
+Установка пакетов ALDPro
+<code bash>
+sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client
+</code>
+===Ввод в домен===
+<code bash>
+set +o history
+sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain ald.company.lan --account admin --password 'P@ssw0rd' --host aldprepo01 --gui --force
+</code>
+Выполнить перезагрузку
+<code bash>
+sudo reboot
+</code>
+===== Трасты с доменом AD=====
+Conditional forwarder
+<code bash>
+ipa dnsforwardzone-add win.ad --forwarder=10.2.0.21 --forward-policy=only --skip-overlap-check
+#test
+ipa dnsforwardzone-show win.ad
+ping windc.win.ad
+dig SRV _ldap._tcp.win.ad
+dig SRV _kerberos._tcp.win.ad
+</code>
+TimeSync
+<code bash>
+w32tm /config /reliable:yes /syncfromflags:manual /manualpeerlist:"ntp.msk-ix.ru" /update
+net stop w32time
+net start w32time
+w32tm /resync
+w32tm /monitor /computers:"ntp.msk-ix.ru"
+w32tm /stripchart /computer:ntp.msk-ix.ru
+</code>
+Подготовка к "доверительным отношениям", если вы понимаете о чем я...
+<code bash>
+#sudo ipa-adtrust-install
+ipa trustconfig-show
+</code>
+<code bash>
+ipa -d -v trust-add --type=ad win.ad --admin intern --password --two-way=true
+</code>
+===== Помогашки =====
+  * sudo aldpro-gpupdate --swp [--gp] - толкнуть групповые политики
+  * sudo aldpro-roles --iud --action install - толкнуть установку ролей