_{Обновлено 08.06.2026 дополнена настройка DNS-сервера}

Переход на отечественные операционные системы не ограничивается заменой Windows на Linux. Для нормального функционирования сети предприятия необходимо множество служб от DHCP и файлового сервера до серверов доменных служб, которые будут контролировать доступ к ресурсам сети.

Долгое время адекватной, альтернативы Microsoft Active Directory Domain Services не существовало. Всё изменилось с появлением и развитием проекта Samba, который поначалу позволял просто предоставлять доступ с ПК и серверов под управлением Linux к сетевым папкам, размещенным на серверах MS.

Со временем появилась поддержка доменных служб и в настоящее время возможно создание полноценных контролеров домена на базе Samba.

Для использования на предприятии РЕД СОФТ разработал свой аналог AD DC и назвал его РЕД АДМ. Ядром РЕД АДМ является контролер домена построенный на Samba, а для управления используется отдельных сервер с подсистемой Управление, представляющий собой web-интерфейс управления доменными службами, DNS, DHCP, файловыми серверами, установкой РЕДОС на ПК по сети и многое другое.

Сегодня мы рассмотрим установку и инициализацию контролера домена РЕД АДМ, а так же проверим результат.

Мы будем устанавливать на виртуальную машину с установленным РЕДОС Linux 8.

Обратите внимание! Службы каталогов должны устанавливаться на сервер, при установке которого был выбран вариант установки пакетов - «Сервер минимальный»! Это важно!

Загрузка пакетов РЕД АДМ

Загрузить пакеты можно из центра загрузок РЕДОС:

https://update-center.red-soft.ru/

Для доступа у вас должен быть лицензионный ключ, который выдается после покупки лицензий на РЕДАДМ. Так же ключи выдаются на время тестирования продукта.

На момент написания статьи актуальной версией является 2.1.

Вам нужно загрузить указанные пакеты:

Для этой статьи нам потребуется только один файл:

reddc-2.1.0-0.red80.x86_64.rpm

Загрузите файл на сервер в папку ~/

Исходные данные

Мы будем настраивать домен для виртуальной организации SkySoft.

Имя домена:

skysoft

Полное имя домена:

skysoft.altuninvv.ru

Адрес сервера контролера домена:

192.168.1.6

Адрес DNS-сервера провайдера:

192.168.1.254

Адрес локального NTP-сервера:

192.168.1.254

Имя сервера контролера домена:

sd-server1.skysoft.altuninvv.ru

Отключаем IPv6

Для того, чтобы избежать проблем в локальной сети, лучше всего сразу отключить IPv6, если только вы не используете его в своей сети.

Обратите внимание! Идентификаторы (GUID) подключений уникальны для каждого сервера, поэтому всегда проверяйте их командой!

Обязательно перезапустим NetworkManager:

sudo systemctl restart NetworkManager

Проверим все подключения:

sudo nmcli connection show

NAME UUID TYPE DEVICE
enp1s0 15ed314a-077d-306f-aaa6-8a086b85b1fe ethernet enp1s0
lo f84eeae2-bd6e-4ff5-bc2f-414da5be5b4e loopback lo

Здесь у нас сетевому подключению назначен GUID:

15ed314a-077d-306f-aaa6-8a086b85b1fe

Эти идентификаторы назначаются при установки операционной системы и всегда уникальны! Поэтому в команде nmcli намного безопасней использовать GUID вместо имени!

IPv6 имеет приоритет перед IPv4 и может принести немало проблем и ошибок в случае, если  вашей сети не используется протокол IPv6! 

Я рекомендую отключать протокол IPv6 на всех сетевых интерфейсах на серверах и ПК в вашей сети.

Отключим IPv6 для подключения:

sudo nmcli connection modify 15ed314a-077d-306f-aaa6-8a086b85b1fe ipv6.method "disabled"

Ручная настройка сети

Для корректной работы контролера домена, сетевые интерфейсы должны быть настроены вручную!

Запустим:

sudo nmcli con modify 15ed314a-077d-306f-aaa6-8a086b85b1fe \
ipv4.method manual \
ipv4.addresses "192.168.1.6/24" \
ipv4.gateway "192.168.1.254" \
ipv4.dns "192.168.1.254"

Обратите внимание! Мы указываем DNS-провайдера! В процессе инициализации домена настройки будут автоматически изменены на локальный DNS!

Перезапустим службу сети:

sudo systemctl restart NetworkManager

Проверим настройки сети:

ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host noprefixroute
valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.6/24 brd 192.168.1.255 scope global noprefixroute enp1s0
valid_lft forever preferred_lft forever

Проверим настройки DNS:

resolvectl status

Global
Protocols: LLMNR=resolve -mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Link 2 (enp1s0)
Current Scopes: DNS LLMNR/IPv4
Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 192.168.1.254
DNS Servers: 192.168.1.254

Проверим работоспособность DNS и доступность сети:

ping ya.ru

PING ya.ru (77.88.44.242) 56(84) bytes of data.
64 bytes from ya.ru (77.88.44.242): icmp_seq=1 ttl=55 time=135 ms
64 bytes from ya.ru (77.88.44.242): icmp_seq=2 ttl=55 time=135 ms
64 bytes from ya.ru (77.88.44.242): icmp_seq=3 ttl=55 time=135 ms

Всё работает.

Устанавливаем имя сервера (имя хоста)

Обязательно установим имя сервера контролера домена для этого запустим:

sudo hostnamectl set-hostname sd-server1.skysoft.altuninvv.ru

Установка часового пояса

Нужно обязательно поменять часовой пояс на сервере. Для этого запустим:

sudo timedatectl set-timezone Asia/Magadan

Синхронизацию времени мы настроем после инициализации домена!

Обновление сервера

Перед установкой обязательно полностью обновим сервер! 

sudo dnf makecache && sudo dnf update -y

Установим несколько пакетов, которые нам потребуются позже:

sudo dnf install linuxptp policycoreutils-python-utils -y

Запуск установки пакетов

Запустим:

sudo dnf install reddc-2.1.0-0.red80.x86_64.rpm -y

После окончания установки нужно обязательно перезагрузить сервер, чтобы избежать проблем с обновлением пакетов и служб:

sudo reboot

Отключение SeLinux

SELinux мешает первоначальной инициализации, поэтому мы его временно отключим.

Запустим:

sudo setenforce 0

Проверим результат:

sudo sestatus | grep mode
Current mode: permissive

Режим должен быть:

permissive

Инициализация домена

Для инициализации домена skysoft.altuninvv.ru запустим:

sudo /opt/reddc/bin/samba-tool domain provision --auto \
--use-rfc2307 --backend-store=mdb --backend-store-size=60Gb \
--realm=skysoft.altuninvv.ru --domain=skysoft --server-role=dc \
--dns-backend=BIND9_DLZ --adminpass=Admin_PaSsW0Rd --time-protocol=ptp

Здесь:

--realm=skysoft.altuninvv.ru – полное имя домена

--domain=skysoft – краткое имя домена

--adminpass=Admin_PaSsW0Rd – пароль администратора. Будет автоматически создан пользователь Administrator. Вы будете использовать эту учетную запись для доступа к панели управления, а также для ввода ПК и серверов в домен.

Процесс инициализации занимает некоторое время.

Когда всё будет завершено будет выведено сообщение:

INFO 2026-05-05 04:02:24,683 pid:1062 /opt/reddc/lib/tool/samba-tool.py #92: Once the above files are installed, your Samba AD server will be ready to use
INFO 2026-05-05 04:02:24,683 pid:1062 /opt/reddc/lib/tool/samba-tool.py #92: Server Role: active directory domain controller
INFO 2026-05-05 04:02:24,684 pid:1062 /opt/reddc/lib/tool/samba-tool.py #92: Hostname: sd-server1
INFO 2026-05-05 04:02:24,684 pid:1062 /opt/reddc/lib/tool/samba-tool.py #92: NetBIOS Domain: SKYSOFT
INFO 2026-05-05 04:02:24,684 pid:1062 /opt/reddc/lib/tool/samba-tool.py #92: DNS Domain: skysoft.altuninvv.ru
INFO 2026-05-05 04:02:24,684 pid:1062 /opt/reddc/lib/tool/samba-tool.py #92: DOMAIN SID: S-1-5-21-998209886-2339011171-1171360709

Установка всех необходимых служб завершена.

Проверка настроек сети

Проверим конфигурацию DNS. У нас должен быть настроен локальный DNS - это очень важно!

resolvectl status

Protocols: LLMNR=resolve -mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Link 2 (enp1s0)
Current Scopes: DNS LLMNR/IPv4
Protocols: +DefaultRoute LLMNR=resolve -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 192.168.1.6
DNS Servers: 192.168.1.6

У нас установлен локальный DNS.

Настройка DNS сервера

Откроем файл конфигурации DNS сервера:

sudo mcedit /etc/named.conf

В блок

options {

перед

};

Добавим строку:

forwarders { 192.168.1.254; };

Где 192.168.1.254 адрес ДНС сервера провайдера, на который будут перенаправляться запросы к сети Internet.

Заменим строку:

listen-on port 53 { 127.0.0.1; };

на

listen-on port 53 { 192.168.1.6; };

Заменим строку:

allow-query     { localhost; };

на

allow-query     { 192.168.1.0/24; };

Сохраним файл.

Перезапустим named:

sudo systemctl restart named

Проверим

ping vk.ru

PING vk.ru (87.240.137.164) 56(84) bytes of data.
64 bytes from srv164-137-240-87.vk.com (87.240.137.164): icmp_seq=1 ttl=54 time=144 ms
64 bytes from srv164-137-240-87.vk.com (87.240.137.164): icmp_seq=2 ttl=54 time=144 ms
64 bytes from srv164-137-240-87.vk.com (87.240.137.164): icmp_seq=3 ttl=54 time=145 ms
64 bytes from srv164-137-240-87.vk.com (87.240.137.164): icmp_seq=4 ttl=54 time=145 m

DNS и сеть работает нормально!

Настройка сервера времени chrony

В процессе инициализации контролера домена был установлен сервер chrony.

Разрешим другим серверам использовать данный сервер как сервер времени.

Откроем файл конфигурации:

sudo mcedit /etc/chrony.conf

заменим содержимое файла на:

server 192.168.1.254 iburst

allow 192.168.1.0/24

driftfile /var/lib/chrony/drift
makestep 1.0 3
rtcsync
keyfile /etc/chrony.keys
ntsdumpdir /var/lib/chrony
leapsectz right/UTC
logdir /var/log/chrony

Здесь 192.168.1.254 – адрес локального сервера времени, в моем случае это маршрутизатор с поддержкой NTP.

Если у вас нет локального сервера времени вы можете использовать установленные по умолчанию:

server ntp1.vniiftri.ru iburst
server ntp2.vniiftri.ru iburst
server ntp3.vniiftri.ru iburst
server ntp4.vniiftri.ru iburst

Строка:

allow 192.168.1.0/24

Разрешает всем ПК из подсети 192.168.1.0/24 синхронизировать время с этим сервером.

Сохраним файл конфигурации и перезапустим службу:

sudo systemctl restart chronyd

Запустим синхронизацию:

sudo chronyc makestep

200 OK

Проверим результат:

sudo chronyc tracking

Reference ID : XXXXXXXX (_gateway)
Stratum : 4
Ref time (UTC) : Thu May 05 21:50:42 2026
System time : 0.000000014 seconds slow of NTP time
Last offset : +0.000014103 seconds
RMS offset : 0.000014103 seconds
Frequency : 30.260 ppm fast
Residual freq : -0.961 ppm
Skew : 0.095 ppm
Root delay : 0.147274762 seconds
Root dispersion : 0.069487728 seconds
Update interval : 2.0 seconds
Leap status : Normal

Если вы получили такой результат:

Reference ID    : 00000000 ()
Stratum         : 0
Ref time (UTC)  : Thu Jan 01 00:00:00 1970
System time     : 0.000000000 seconds slow of NTP time
Last offset     : +0.000000000 seconds
RMS offset      : 0.000000000 seconds
Frequency       : 22.775 ppm slow
Residual freq   : +0.000 ppm
Skew            : 0.000 ppm
Root delay      : 1.000000000 seconds
Root dispersion : 1.000000000 seconds
Update interval : 0.0 seconds
Leap status     : Not synchronised

Проверьте правильность ip-адреса сервера времени и повторите шаги описанные выше или просто подождите пару минут. Иногда синхронизация не происходит мгновенно!

Синхронизация времени настроена.

Настройка SELinux для запуска служб РЕД АДМ

Для корректной работы bind-dns внесем изменения в настройки SELinux

sudo semanage fcontext -a -t named_cache_t "/opt/reddc/bind-dns/dns(/.*)?"
sudo semanage fcontext -a -t samba_var_t "/opt/reddc/var/run(/.*)?"
sudo restorecon -R -v /opt/reddc/bind-dns/dns

Перезапустим сервер для проверки работоспособности:

sudo reboot

Заходим как администратор домена

Обязательно зайдем на сервер как администратор домена, для создания домашних папок:

Запустим:

su - Administrator

Укажем пароль, который мы задали при инициализации домена:

Admin_PaSsW0Rd

Creating home directory for administrator.
[administrator@sd-server1 ~]$

Запустим:

exit

Заходим на сервер по SSH как администратор домена

После установки контролера домена, мы можем использовать механизм доменной авторизации для доступа к серверу через протокол SSH.

Теперь вы также можете зайти на сервер по SSH с использованием логина

Administrator

и пароля

Admin_PaSsW0Rd

Запустим:

ssh -l Administrator 192.168.1.6

The authenticity of host '192.168.1.6 (192.168.1.6)' can't be established.
ED25519 key fingerprint is SHA256:JpVaifmTV6EHWfo4AYZBjLfOy3MiW1v3kcUTKVHoLYE.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.1.6' (ED25519) to the list of known hosts.
Administrator@192.168.130.6's password:
Last login: Thu May 5 21:42:06 2026
[administrator@sd-server1 ~]$

Авторизация через домен работает!

Проверяем работоспособность контролера домена РЕД АДМ

Проведем ряд простых тестов, чтобы убедится, что все службы работают правильно!

Проверяем статус служб

Запустим:

sudo systemctl status reddc named sssd | grep Active

Active: active (running) since Thu 2026-05-05 21:51:19 +11; 2min 15s ago
Active: active (running) since Thu 2026-05-05 21:51:19 +11; 2min 15s ago
Active: active (running) since Thu 2026-05-05 21:51:18 +11; 2min 16s ago

Все строки должны показывать

active (running)

Проверка информации о домене

Войдем как администратор домена:

su - Administrator

Пароль:

Admin_PaSsW0Rd

Запустим:

samba-tool domain info 127.0.0.1

Forest : skysoft.altuninvv.ru
Domain : skysoft.altuninvv.ru
Netbios domain : SKYSOFT
DC name : sd-server1.skysoft.altuninvv.ru
DC netbios name : SD-SERVER1
Server site : Default-First-Site-Name
Client site : Default-First-Site-Name

Выйдем:

exit

Проверка предоставляемых служб

Запустим:

smbclient -L localhost -Uadministrator

Password for [SKYSOFT\administrator]:

Пароль:

Admin_PaSsW0Rd

Sharename Type Comment
--------- ---- -------
sysvol Disk
netlogon Disk
IPC$ IPC IPC Service (Samba 4.19.0)
SMB1 disabled -- no workgroup available

Проверка выдачи билетов при авторизации

Запустим:

kinit administrator@SKYSOFT.ALTUNINVV.RU

Password for administrator@SKYSOFT.ALTUNINVV.RU:

Пароль:

Admin_PaSsW0Rd

Warning: Your password will expire in 41 days on Чт 14 июн 2026 21:40:38

Проверим полученный билет:

klist

Ticket cache: KEYRING:persistent:1000:1000
Default principal: administrator@SKYSOFT.ALTUNINVV.RU
Valid starting Expires Service principal
05.05.2026 21:59:18 05.05.2026 18:59:18 krbtgt/SKYSOFT.ALTUNINVV.RU@SKYSOFT.ALTUNINVV.RU
renew until 12.05.2026 21:59:12

Домен настроен и готов к установке сервера подсистемы Управление!

Заключение

Сегодня мы рассмотрели установку контролера домена на базе РЕД АДМ в РЕДОС Linux 8:

1. Загрузили пакеты, необходимые для установки из центра загрузок РЕД СОФТ;
2. Отключили IPv6 на сетевых интерфейса сервера;
3. Вручную задали настройки для сетевого интерфейса сервера;
4. Установили имя хоста;
5. Установили часовой пояс;
6. Обновили сервер;
7. Установили дополнительные пакеты;
8. Установили пакет reddc;
9. Временно отключили SELinux;
10. Произвели инициализацию домена;
11. Проверили конфигурацию DNS;
12. Настроили пересылку для DNS;
13. Настроили сервер времени Chrony;
14. Проверили авторизацию через доменные службы;
15. Настроили SELinux для запуска named;
16. Провели ряд тестов, чтобы убедиться, что доменные службы работают корректно!