Samba AD DC: контроллер домена на Linux — полная замена Windows Server для офиса
Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15+ лет в корпоративной IT я развернул десятки доменов Active Directory — и на Windows Server, и на Samba. И когда в 2022-2024 годах встал вопрос импортозамещения, Samba оказалась тем инструментом, который позволил сохранить привычную для пользователей среду — AD, GPO, сетевые диски — без лицензий Microsoft. Покажу, как мы строим доменную инфраструктуру на Linux для офисов 30-300 рабочих мест.
Что умеет Samba AD DC из коробки
Проект Samba реализовал Active Directory Domain Services версии схемы 2008 R2 с некоторыми функциями 2012/2016. На практике это даёт:
- Хранение пользователей, компьютеров, групп в LDAP-совместимой базе.
- Kerberos-аутентификация с TGT и ST для SSO.
- DNS-сервер, интегрированный с AD (zone AD-integrated).
- Netlogon и SYSVOL с репликацией.
- GPO — создание, хранение, применение на Windows-клиентах.
- Репликация с другими Samba и Windows DC через DRS.
Того, что есть в Windows AD, но нет в Samba: AD FS, DFS-Replication (есть DFS-N), полноценный Read-Only DC, AAD Connect, продвинутые расширения схемы (Exchange, Skype).
Планирование: железо и сеть
Для контроллера домена я не жалею ресурсов — от него зависит вся корпоративная аутентификация. Минимальная конфигурация для 50 пользователей:
| Ресурс | Минимум | Рекомендую |
|---|---|---|
| CPU | 2 vCPU | 4 vCPU |
| RAM | 2 ГБ | 8 ГБ |
| Диск | 20 ГБ | 60 ГБ SSD |
| Сеть | 1 Gbit | 10 Gbit |
| ОС | Debian 12 / Ubuntu 24.04 / Astra | Debian 12 stable |
Обязательно два контроллера в разных гипервизорах или физических серверах — один DC всегда ломается не вовремя. У нас на продакшене оба DC живут в дата-центре МТС на Dell PowerEdge с Xeon Platinum 8280 и сетью 40G Mellanox.
Установка Samba 4.20 на Debian 12
# Устанавливаем пакеты
apt update && apt install -y samba smbclient krb5-user winbind libnss-winbind libpam-winbind
# На время provision убираем резолверы
systemctl disable --now smbd nmbd winbind
rm -f /etc/krb5.conf /etc/samba/smb.conf
# Настраиваем hostname и hosts
hostnamectl set-hostname dc01.corp.example.ru
cat >> /etc/hosts <Запуск и проверка
systemctl unmask samba-ad-dc
systemctl enable --now samba-ad-dc
# Проверка
smbclient -L localhost -U administrator
kinit administrator@CORP.EXAMPLE.RU
klist
host -t SRV _ldap._tcp.corp.example.ru
host -t SRV _kerberos._tcp.corp.example.ru
samba-tool user list
samba-tool group listDNS: свой сервер, интегрированный с AD
Samba использует встроенный DNS-бэкенд (DLZ или SAMBA_INTERNAL). Записи автоматически регистрируются в AD, клиенты находят сервисы через SRV-записи. В /etc/resolv.conf на DC и клиентах должен быть только адрес DC:
# /etc/resolv.conf на DC и клиентах
nameserver 10.10.10.10
nameserver 10.10.10.11
search corp.example.ru
# Проверка клиентом Windows
nslookup -type=SRV _ldap._tcp.corp.example.ruВторой DC и репликация
Для отказоустойчивости — добавляем второй контроллер:
# На dc02 после базовой установки samba
samba-tool domain join corp.example.ru DC \
-U'administrator' \
--dns-backend=SAMBA_INTERNAL \
--realm=corp.example.ru
# Проверка репликации
samba-tool drs showrepl
samba-tool drs replicate dc01 dc02 DC=corp,DC=example,DC=ruПрисоединение клиентов
Windows 10/11 присоединяется как к обычному AD: System → Domain → corp.example.ru, учётка administrator. Linux-клиенты через realmd:
apt install -y realmd sssd sssd-tools adcli
realm join --user=administrator corp.example.ru
id ivanov@corp.example.ruGPO с Samba
Групповые политики создаются через gpmc.msc с доменной Windows-машины. Samba хранит их в SYSVOL и отдаёт клиентам по netlogon. У нас на практике в среднем офисе настроено 15-25 GPO:
- Настройки прокси-сервера для Internet Explorer/Edge.
- Карты дисков (Drive Mapping) с автоматическим монтированием шар.
- Политики паролей — длина, сложность, срок.
- Автообновление BGInfo, Chrome, Firefox через startup-скрипты.
- Блокировка экрана после N минут простоя.
- Настройки Windows Defender и запрет USB-накопителей.
Реальный кейс: миграция с Windows Server 2012
В феврале 2025 мигрировали логистическую компанию. 143 рабочих места, один Windows Server 2012 R2 DC с истёкшей поддержкой, Exchange 2013 там же (не повторять!), антивирус не обновлялся 2 года. Задача — уйти с EOL-Windows без потери функциональности.
Что сделали за 10 рабочих дней:
- Развернули 2 Samba 4.20 DC на Debian 12 (Dell PowerEdge R650, Xeon Platinum 8280, 32 ГБ RAM, 960 ГБ NVMe, 40G Mellanox — всё в дата-центре МТС).
- Ввели оба Samba DC в существующий домен как DC и дождались репликации (8 часов на 143 объекта + 17 000 записей DNS).
- Перенесли FSMO-роли на dc01.corp.example.ru.
- Вывели Windows Server 2012 через dcpromo /forceremoval и physically wiped.
- Мигрировали Exchange на отдельный Linux-сервер с Postfix + Dovecot + Roundcube.
- Перенастроили GPO — всё через gpmc.msc с рабочей станции админа.
Экономия: Windows Server CAL + Exchange CAL на 143 ящика — ~1.2 млн ₽ за 3 года. Стоимость проекта — 380 000 ₽.
Типичные грабли
- Resolver указывает на интернет-DNS. Клиенты не находят SRV-записи, Kerberos не работает.
- Рассинхронизация времени. Kerberos работает в пределах 5 минут — всегда ставьте chrony с общим NTP-сервером.
- Samba под LDAP-бэкендом вместо AD-бэкенда. Это разные режимы, для AD DC нужен правильный provision.
- Только один DC. Упал сервер — все логины отваливаются. Всегда минимум два.
- Старая версия Samba (< 4.19). PrintNightmare, RCE уязвимости — обязательный апгрейд.
Бэкап и восстановление
# Ежедневный бэкап базы
samba-tool domain backup online \
--targetdir=/backup/samba \
--server=dc01
# Восстановление на новом сервере
samba-tool domain backup restore \
--backup-file=/backup/samba/samba-backup-2026-04-17.tar.bz2 \
--newservername=dc03 \
--targetdir=/var/lib/sambaРазвернём доменную инфраструктуру на Samba
Проектируем и внедряем Samba AD DC — с нуля или миграция с Windows Server. Два контроллера, DNS, GPO, подключение Linux и Windows клиентов, интеграция с файловыми шарами. Срок — от 5 рабочих дней.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по Samba AD DC
- Может ли Samba заменить Windows AD?
- На 90% задач — да. Пользователи, группы, DNS, Kerberos, GPO работают.
- Можно ли в смешанной среде с Windows Server?
- Да, через DRS-репликацию. Типовой сценарий миграции.
- Какие версии подходят для production?
- 4.19 LTS или 4.20+.
- Как настроить GPO?
- Через gpmc.msc с доменной Windows-машины.
- Нужна ли лицензия на Samba?
- Нет, GPL. Платная только коммерческая поддержка.