Creating_a_trust_relationship_between_Samba4_domain_controllers(RedOS_7.3.2_Server)_and_Windows_Server_2012R2

Создание доверительных отношений между контроллерами домена Samba (RedOS 7.3.2 Server) и Windows Server 2012R2
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Все описанные ниже действия выполнялись под пользователем root
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
План действий:
1) Создать контроллер домена на ОС Windows Server 2012R2;
2) Создать контроллер домена на ОС Linux RedOS 7.3.2 Server;
3) Подготовить контроллер домена на ОС Windows Server 2012R2 для создания доверительных отношений с контроллером домена на ОС Linux RedOS 7.3.2 Server;
4) Подготовить контроллер домена на ОС Linux RedOS 7.3.2 Server для создания доверительных отношений с контроллером домена на ОС Windows Server 2012R2;
5) Создать доверительные отношения.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Адресация уже настроенной ВМ с ОС Windows Server 2012R2
Hostname: dcd.domenok.ru
IP-address: 10.10.10.222
Mask: 255.255.255.0
Gateway: 10.10.10.253
DNS: 127.0.0.1
------------
Адресация уже настроенной ВМ с ОС RedOS 7.3.2 Server
Hostname: dcc.vir.ru
IP-address: 10.10.10.111
Mask: 255.255.255.0
Gateway: 10.10.10.253
DNS: 10.10.10.111
DNS: 10.10.10.222
Поисковый домен: domenok.ru
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Предисловие:
------------
КД - контроллер домена.
------------
Nano - это консольный текстовый редактор для UNIX и Unix-подобных операционных систем, основанный на библиотеке curses и распространяемый под лицензией 
GNU GPL.
------------
Samba4 - это многофункциональный серверный продукт, предоставляющий как реализацию файлового сервера, сервиса печати, так и сервера идентификации(winbind).
------------
Winbind - это демон («служба» в терминах Windows), работающий на клиентах Samba и действующий как прокси для связи между PAM и NSS, работающими на 
компьютере Linux, с одной стороны, и Active Directory, работающей на контроллере домена, с другой.
------------
NMTUI - это инструмент командной строки, который используется для настройки сети в системах Gnu / Linux. При запуске он вызывает графический текстовый 
интерфейс, который помогает пользователям легко и эффективно настраивать сетевые интерфейсы.
------------
Active Directory (AD) — это службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. С помощью AD можно объединить различные 
объекты сети (серверы, принтеры и различные сервисы) в единую систему, наладить удобный поиск и использование необходимых данных.
------------
Сервер - это компьютер, выполняющий определённые роли в домене.
------------
Контроллер домена - это сервер, хранящий каталог и обслуживающий запросы пользователей к каталогу. Помимо хранения данных контроллер домена может выступать 
в качестве одной из FSMO-ролей.
------------
Домен - это минимальная структурная единица организации Active Directory(может состоять из пользователей, компьютеров, принтеров, прочих общих ресурсов).
------------
Дерево доменов - это иерархическая система доменов, имеющая единый корень(корневой домен).
------------
Лес доменов - это множество деревьев доменов, находящихся в различных формах доверительных отношений.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
1) Ни для кого не секрет, как настраивается ВМ с ОС Windows Server 2012R2 и как поднимается контроллер домена. И для того, чтобы не захламлять интсрукцию,
я предпочту не рассказывать о том, как настраивается ВМ с ОС Windows Server 2012R2.
Но вот что нужно знать при создании КД. КД должен быть с таким функционалом:
------------
1 - Forest functional level: Windows Server 2008R2;
2 - Domain functional level: Windows Server 2008R2.
------------
Если создадите с другим функционалом, то работать ничего не будет.
ТАКЖЕ!!! Не забудьте добавить обратные DNS-зоны.
В моём примере обратная DNS-зона будет выглядеть следующим образом: 10.10.10.in-addr.arpa
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
https://redos.red-soft.ru/base/server-configuring/domain-config/install-samba-dc/
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
2) При создании ВМ минимально рекомендуется выделить: Sockets: 2; Cores: 2; Memory(MiB): 8192.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
После установки рабочей станции, обязательно нужно прописать статику. После того, как статическая адресация будет прописана, нужно будет перезагрузить
сетевой интерфейс:
------------
ifdown ens18 && ifup ens18 |#|#| Перезапуск сетевого интерфейса.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
yum update -y && yum upgrade -y |#|#| Поиск и обновление пакетов.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
reboot |#|#| Перезагрузка системы.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
yum install samba-client*.x86_64 samba-common.noarch samba-common*x86_64 samba-dc*.x86_64 samba-libs*.x86_64 samba-winbind*.x86_64 -y |#|#| Установка необходимых пакетов
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
smbd -b | grep HAVE_LIBKADM5SRV_MIT |#|#| Проверка Samba на наличие Kerberos Heimdal. Если команда выдаёт "HAVE_LIBKADM5SRV_MIT", тогда нужно установить Samba с  поддержкой Kerberos Heimdal.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
mv /etc/krb5.conf /etc/krb5.conf.bak |#|#| Переименование дефолтного файла Kerberos.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
mv /etc/samba/smb.conf /etc/samba/smb.conf.bak |#|#| Переименование дефолтного файла Samba.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
smbd -V |#|#| Команда проверки установленной версии Samba.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
nano /etc/selinux/config |#|#| В файле config нужно поменять статус SElinux. Заменить текст SELINUX=enforcing на SELINUX=permissive.
setenforce 0
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
hostnamectl set-hostname dcc.vir.ru |#|#| Смена имени сервера.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
nano /etc/hosts |#|#| В файле hosts нужно добавить ниже IP-адрес сервера, его полное и короткое имя.
Пример: 10.10.10.111 dcc.vir.cu dcc
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
systemctl restart NetworkManager |#|#| Перезагразка сетевого интерфейса.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
cat /etc/resolv.conf |#|#| Проверка файла resolv.conf в прописанными dns-адресами.
Вывод должнен быть таким:
# Generated by NetworkManager
search vir.ru
nameserver 77.88.8.88
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
samba-tool domain provision --use-rfc2307 --interactive |#|#| Запуск конфигурирования Samba в роли контроллера домена в интерактивном режиме.

Realm [VIR.RU]:
Domain [VIR]:
Server Role (dc, member, standalone) [dc]: dc
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
DNS forwarder IP address (write 'none' to disable forwarding) [77.88.8.88]: 10.10.10.111
Administrator password:
Retype password:
INFO 2023-02-03 12:55:46,492 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2108: Looking up IPv4 addresses
INFO 2023-02-03 12:55:46,494 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2125: Looking up IPv6 addresses
WARNING 2023-02-03 12:55:46,495 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2132: No IPv6 address will be assigned
INFO 2023-02-03 12:55:46,755 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2274: Setting up share.ldb
INFO 2023-02-03 12:55:46,771 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2278: Setting up secrets.ldb
INFO 2023-02-03 12:55:46,783 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2283: Setting up the registry
INFO 2023-02-03 12:55:46,825 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2286: Setting up the privileges database
INFO 2023-02-03 12:55:46,847 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2289: Setting up idmap db
INFO 2023-02-03 12:55:46,862 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2296: Setting up SAM db
INFO 2023-02-03 12:55:46,867 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #880: Setting up sam.ldb partitions and settings
INFO 2023-02-03 12:55:46,868 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #892: Setting up sam.ldb rootDSE
INFO 2023-02-03 12:55:46,871 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1305: Pre-loading the Samba 4 and AD schema
Unable to determine the DomainSID, can not enforce uniqueness constraint on local domainSIDs

INFO 2023-02-03 12:55:46,909 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1383: Adding DomainDN: DC=vir,DC=ru
INFO 2023-02-03 12:55:46,922 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1415: Adding configuration container
INFO 2023-02-03 12:55:46,933 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1430: Setting up sam.ldb schema
INFO 2023-02-03 12:55:49,421 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1448: Setting up sam.ldb configuration data
INFO 2023-02-03 12:55:49,554 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1489: Setting up display specifiers
INFO 2023-02-03 12:55:51,254 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1497: Modifying display specifiers and extended rights
INFO 2023-02-03 12:55:51,287 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1504: Adding users container
INFO 2023-02-03 12:55:51,288 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1510: Modifying users container
INFO 2023-02-03 12:55:51,289 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1513: Adding computers container
INFO 2023-02-03 12:55:51,290 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1519: Modifying computers container
INFO 2023-02-03 12:55:51,291 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1523: Setting up sam.ldb data
INFO 2023-02-03 12:55:51,397 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1553: Setting up well known security principals
INFO 2023-02-03 12:55:51,435 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1567: Setting up sam.ldb users and groups
INFO 2023-02-03 12:55:51,552 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1575: Setting up self join
Repacking database from v1 to v2 format (first record CN=ms-SPP-Installation-Id,CN=Schema,CN=Configuration,DC=vir,DC=ru)
Repack: re-packed 10000 records so far
Repacking database from v1 to v2 format (first record CN=interSiteTransport-Display,CN=C04,CN=DisplaySpecifiers,CN=Configuration,DC=vir,DC=ru)
Repacking database from v1 to v2 format (first record CN=ipsecNFA{59319BE2-5EE3-11D2-ACE8-0060B0ECCA17},CN=IP Security,CN=System,DC=vir,DC=ru)
INFO 2023-02-03 12:55:52,602 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/sambadns.py #1200: Adding DNS accounts
INFO 2023-02-03 12:55:52,619 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/sambadns.py #1234: Creating CN=MicrosoftDNS,CN=System,DC=vir,DC=ru
INFO 2023-02-03 12:55:52,634 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/sambadns.py #1247: Creating DomainDnsZones and ForestDnsZones partitions
INFO 2023-02-03 12:55:52,677 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/sambadns.py #1252: Populating DomainDnsZones and ForestDnsZones partitions
Repacking database from v1 to v2 format (first record DC=j.root-servers.net,DC=RootDNSServers,CN=MicrosoftDNS,DC=DomainDnsZones,DC=vir,DC=ru)
Repacking database from v1 to v2 format (first record DC=_kerberos._tcp.Default-First-Site-Name._sites.dc,DC=_msdcs.vir.ru,CN=MicrosoftDNS,DC=ForestDnsZones,DC=vir,DC=ru)
INFO 2023-02-03 12:55:52,849 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2012: Setting up sam.ldb rootDSE marking as synchronized
INFO 2023-02-03 12:55:52,852 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2017: Fixing provision GUIDs
INFO 2023-02-03 12:55:53,923 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2348: A Kerberos configuration suitable for Samba AD has been generated at /var/lib/samba/private/krb5.conf
INFO 2023-02-03 12:55:53,923 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2350: Merge the contents of this file with your system krb5.conf or replace it with this one. Do not create a symlink!
INFO 2023-02-03 12:55:53,967 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2082: Setting up fake yp server settings
INFO 2023-02-03 12:55:54,024 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #487: Once the above files are installed, your Samba AD server will be ready to use
INFO 2023-02-03 12:55:54,024 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #492: Server Role:           active directory domain controller
INFO 2023-02-03 12:55:54,024 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #493: Hostname:              dcc
INFO 2023-02-03 12:55:54,024 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #494: NetBIOS Domain:        VIR
INFO 2023-02-03 12:55:54,024 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #495: DNS Domain:            vir.ru
INFO 2023-02-03 12:55:54,024 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #496: DOMAIN SID:            S-1-5-21-25273870-955602320-113037211
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
После окончания конфигурирования контроллера домена, нужно зайти в настройки сетевого интерфейса и встроке "Серверы DNS" поменять адрес 77.88.8.88 на 10.10.10.111.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
nano /etc/samba/smb.conf |#|#| В файле smb.conf, раздел [global] нужно привести к следующему виду:
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
[global]
        log level = 3
        dns forwarder = 10.10.10.111
        netbios name = DCC
        realm= VIR.RU
        server role = active directory domain controller
        workgroup= VIR
        idmap_ldb:use rfc2307 = yes
        vfs objects = dfs_samba4 acl_xattr
        map acl inherit = yes
        store dos attributes = yes
        allow dns updates = nonsecure
        nsupdate command = /usr/bin/nsupdate -g
        dsdb:schema update allowed = true
        security = user
        map to guest = bad user
        wins support = no
        dns proxy = no

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
	path = /var/lib/samba/sysvol/vir.ru/scripts
        read only = No

[public]
        path = /samba/public
        guest ok = yes
        force user = nobody
        browsable = yes
        writable = yes

[private]
	path = /samba/private
        valid users = @smbgrp
        guest ok = no
        browsable = yes
        writable = yes
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
testparm |#|#| Команда для проверки работоспособности файла "smb.conf" в каталоге "/etc/samba/"
При хорошем раскладе вывод должен быть таким: 
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Load smb config files fr om /etc/samba/smb.conf
Loaded services file OK.
Weak crypto is allowed
Server role: ROLE_ACTIVE_DIRECTORY_DC
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
cp /var/lib/samba/private/krb5.conf /etc/ |#|#| Копирование сконфигурированного файла Kerberos.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
nano /etc/krb5.conf |#|#| Файл нужно привести к следующему виду:
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
[libdefaults]
default_realm = VIR.RU
dns_lookup_realm = false
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes

[realms]
VIR.RU = {
  default_domain = vir.ru
}

[domain_realm]
  dcc = VIR.RU
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
systemctl status samba.service |#|#| Проверка статуса Samba.
systemctl start samba.service |#|#| Запуск службы Samba.
systemctl enable samba.service --now |#|#| Добавление в автозапуск сервиса Samba
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
reboot |#|#| Перезапуск системы
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
ping ya.ru |#|#| Команда проверки dns
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
ps ax | egrep "samba|smbd|nmbd|winbindd" |#|#| Команда проверки запущенных процессов
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
wbinfo --ping-dc |#|#| Команда для проверки подключения службы Winbind к контроллеру домена
При упешном подключении Winbind 
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
wbinfo -u |#|#| Команда для показа доменных пользователей
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
wbinfo -g |#|#| Команда для показа доменных групп
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
yum install -y redadm |#|#| Команда для установки Web-интерфейса, для управления для управления доменом Samba
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
nano /etc/redadm/server.conf |#|#| Команда для настройки конфигурационного файла Samba-сервера
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Пример настройки конфигурационного файла:
-----------------------------------------
[SETTINGS]
name= vir.ru |#|#| Имя вашего домена
ldap_url= ldaps://10.10.10.111:636 |#|#| ldaps-адрес к нужному контроллеру домена, в нашем случае это Samba DC
cert_path= /etc/pki/ca-trust/source/anchors/ca.pem |#|#| адрес сертификата TLS(SSL) (создается автоматически при установке, можете указать свой)
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
nano /etc/redadm/client.conf
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
[SETTINGS]
IP=10.10.10.111 |#|#| IP-адрес вашего сервера RedAdm, к которому будут подключаться клиенты
PORT=8989 |#|#| Порт, к которому будут подключаться клиенты РЕД АДМ
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
systemctl enable redadm.service redis.service redadm-celery-worker.service redadm-celery-beat.service --now |#|#| Команда для добавления в автозагрузку
сервисов ПО RedAdm
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
systemctl restart redadm
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Вход осуществляется с помощью доменной учетной записи Linux RedOS 7.3.2 Workstation
Ссылка для входа: http://ip-address:8989
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
3) Подготовка КД на ОС Windows Server 2012R2 для создания доверительных отношений с контроллером домена на ОС Linux RedOS 7.3.2 Server
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Настройка DNS на сервере Windows
------------
Нужно создать сервер условной пересылки, для этого откройте "Диспетчер DNS" и перейдите на вкладку «Серверы условной пересылки».
Далее впишите DNS домен сервера SAMBA "vir.ru" и его IP-адрес "10.10.10.111". Также нужно поставить галочку рядом с надписью "Сохранять условный сервер пересылки
в Active Directory и реплецировать её следующим образом". Выберите «Все DNS серверы в этом лесу» и нажмите "ОК".
||
dnscmd /zoneadd vir.ru /forwarder 10.10.10.111
------------
Также необходимо добавить глобальный «Сервер пересылки» в свойствах DNS сервера Windows.
Для этого в диспетчере DNS нажмите правой кнопкой мыши на сервере DNS (DCD) и в выпадающем меню выберите «Свойства», перейдите на вкладку «Сервер пересылки», 
нажмите на кнопку «Изменить» и в открывшемся окне введите IP-адрес сервера "10.10.10.111".
------------
Чтобы убедиться, что сервер AD "domenok.ru" может корректно видеть Samba "vir.ru", проверьте, правильно ли разрешены записи SRV в командной строке на сервере "DCD".
------------
C:\> nslookup.exe
 > set type=srv
 > _ldap._tcp.vir.ru
 > _kerberos._tcp.vir.ru
 > exit
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
4) Подготовка КД на ОС Linux RedOS 7.3.2 Server для создания доверительных отношений с контроллером домена на ОС Windows Server 2012R2
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
В настройках сетевого интерфейса, укажите два IP-адреса, адрес КД "domenok.ru" и адрес КД "vir.ru". Также указите поисковый домен: domenok.ru. Полсе чего  не забудьте
перезагрузить сетевой интерфейс.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
cat /etc/resolv.conf |#|#| Команда вывода содержимого файла "resolv.conf", который находится в каталоге "/etc/"
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Вывод должен быть таким:
------------
# Generated by NetworkManager
search domenok.ru vir.ru
nameserver 10.10.10.222
nameserver 10.10.10.111
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Далее идём в файл "smb.conf", который находится по пути "/etc/samba/" и меняем IP-адрес в строке "dns forwarder" на адрес домена "domenok.ru"
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
nano /etc/samba/smb.conf |#|#| Команда для редактирования файла "smb.conf", который находится в каталоге "/etc/samba/"
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Затем нужно отредактировать файл "krb5.conf", который находится в каталоге "/etc/", добавив в него строки в группу "[realms]"
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Строки, которые нужно добавить в группу "[realms]"
------------
DOMENOK.RU = {
        kdc = dcd.domenok.ru
        admin_server = dcd.domenok.ru
}
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
cat /etc/krb5.conf |#|#| Команда вывода содержимого файла "krb5.conf", который находится в каталоге "/etc/"
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Вывод должен быть таким:
------------
[libdefaults]
	default_realm = VIR.RU
	dns_lookup_realm = false
	dns_lookup_kdc = true
	ticket_lifetime = 24h
	forwardable = yes

[realms]
VIR.RU = {
	default_domain = vir.ru
}
DOMENOK.RU = {
	kdc = dc.domenok.ru
	admin_server = dc.domenok.ru
}

[domain_realm]
	dcc = VIR.RU
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
kinit Администратор@DOMENOK.RU |#|#| Команда для проверки запроса билета
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
klist |#|#| Команда для проверки тикета
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Проверка успешно полученного тикета:
------------
klist 
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Администратор@DOMENOK.RU

Valid starting		Expires			Service principal
03.02.2023  15:15:12	03.02.2023  01:15:12	krbtgt/DOMENOK.RU@DOMENOK.RU
	renew until  04.02.2023  15:15:12
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
5) Настройка доверительных отношений
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
samba-tool domain trust create domenok.ru -U Администратор@domenok.ru |#|#| Команда для настройки доверительных отношений между контроллерами домена
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Если после введения пароля все прошло успешно, то вывод будет таким:
------------
GENSEC backend 'gssapi_spnego' registered
GENSEC backend 'gssapi_krb5' registered
GENSEC backend 'gssapi_krb5_sasl' registered
GENSEC backend 'spnego' registered
GENSEC backend 'schannel' registered
GENSEC backend 'naclrpc_as_system' registered
GENSEC backend 'sasl-EXTERNAL' registered
GENSEC backend 'ntlmssp' registered
GENSEC backend 'ntlmssp_resume_ccache' registered
GENSEC backend 'http_basic' registered
GENSEC backend 'http_ntlm' registered
GENSEC backend 'http_negotiate' registered
GENSEC backend 'krb5' registered
GENSEC backend 'fake_gssapi_krb5' registered
Using binding ncalrpc:DCC[,auth_type=ncalrpc_as_system]
LocalDomain Netbios[VIR] DNS[vir.ru] SID[S-1-5-21-25273870-955602320-113037211]
resolve_lmhosts: Attempting lmhosts lookup for name _ldap._tcp.DOMENOK.RU<0x0>
RemoteDC Netbios[DCD] DNS[dcd.domenok.ru] ServerType[PDC,GC,LDAP,DS,KDC,TIMESERV,CLOSEST,WRITABLE,GOOD_TIMESERV,FULL_SECRET_DOMAIN_6,ADS_WEB_SERVICE,DS_8,__unknown_00008000__]
Using binding ncacn_np:dcd.domenok.ru
resolve_lmhosts: Attempting lmhosts lookup for name dcd.domenok.ru<0x20>
Password for [Администратор@DOMENOK.RU]:
Cannot reach a KDC we require to contact (null) : kinit for Администратор@DOMENOK.RU failed (Cannot contact any KDC for requested realm)

gensec_spnego_client_negTokenInit_step: gssapi_krb5: creating NEG_TOKEN_INIT for cifs/dcd.domenok.ru failed (next[ntlmssp]): NT_STATUS_NO_LOGON_SERVERS
Got challenge flags:
Got NTLMSSP neg_flags=0x62898215
NTLMSSP: Set final flags:
Got NTLMSSP neg_flags=0x62088215
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x62088215
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x62088215
RemoteDomain Netbios[DOMENOK] DNS[domenok.ru] SID[S-1-5-21-615651707-2160561468-1044660757]
Using binding ncalrpc:DCC[,auth_type=ncalrpc_as_system]
Using binding ncacn_np:dcd.domenok.ru
resolve_lmhosts: Attempting lmhosts lookup for name dcd.domenok.ru<0x20>
Cannot reach a KDC we require to contact (null) : kinit for Администратор@DOMENOK.RU failed (Cannot contact any KDC for requested realm)

gensec_spnego_client_negTokenInit_step: gssapi_krb5: creating NEG_TOKEN_INIT for cifs/dcd.domenok.ru failed (next[ntlmssp]): NT_STATUS_NO_LOGON_SERVERS
Got challenge flags:
Got NTLMSSP neg_flags=0x62898215
NTLMSSP: Set final flags:
Got NTLMSSP neg_flags=0x62088215
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x62088215
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x62088215
Creating remote TDO.
Remote TDO created.
Setting supported encryption types on remote TDO.
Creating local TDO.
Local TDO created
Setting supported encryption types on local TDO.
Validating outgoing trust...
OK: LocalValidation: DC[\\dcd.domenok.ru] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
Validating incoming trust...
OK: RemoteValidation: DC[\\dcc.vir.ru] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
Success.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
samba-tool domain trust show domenok.ru |#|#| Команда для проверки установленных доверительных отношений между КД
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Вывод команды должен быть таким:
------------
GENSEC backend 'gssapi_spnego' registered
GENSEC backend 'gssapi_krb5' registered
GENSEC backend 'gssapi_krb5_sasl' registered
GENSEC backend 'spnego' registered
GENSEC backend 'schannel' registered
GENSEC backend 'naclrpc_as_system' registered
GENSEC backend 'sasl-EXTERNAL' registered
GENSEC backend 'ntlmssp' registered
GENSEC backend 'ntlmssp_resume_ccache' registered
GENSEC backend 'http_basic' registered
GENSEC backend 'http_ntlm' registered
GENSEC backend 'http_negotiate' registered
GENSEC backend 'krb5' registered
GENSEC backend 'fake_gssapi_krb5' registered
Using binding ncalrpc:DCC[,auth_type=ncalrpc_as_system]
LocalDomain Netbios[VIR] DNS[vir.ru] SID[S-1-5-21-25273870-955602320-113037211]
TrustedDomain:

NetbiosName:    DOMENOK
DnsName:        domenok.ru
SID:            S-1-5-21-615651707-2160561468-1044660757
Type:           0x2 (UPLEVEL)
Direction:      0x3 (BOTH)
Attributes:     0x4 (QUARANTINED_DOMAIN)
PosixOffset:    0x00000000 (0)
kerb_EncTypes:  0x18 (AES128_CTS_HMAC_SHA1_96,AES256_CTS_HMAC_SHA1_96)
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
На этом инструкция закончена! Спасибо за внимание!)