Удаление резервного контроллера домена

Подготовка к удалению

  1. Удалить контроллер домена (КД) из всех серверов мониторинга.

  2. Адреса контроллеров в файле /etc/resolv.conf

    1. На каждом компьютере в домене в файле /etc/resolv.conf необходимо изменить адрес удаляемого сервера на адрес любого другого.

    2. Данное действие можно выполнить при помощи задания автоматизации или групповой политикой. Пример кода:

    replace_string:
  file.replace:
      - name: /etc/resolv.conf
      - pattern: 10.2.0.11
      - repl: 10.2.0.12

  3. Адрес контроллера в файле /etc/sssd/sssd.conf. На каждом компьютере в домене, который вводился через удаляемый КД в файле /etc/sssd/sssd.conf необходимо изменить адрес удаляемого сервера на адрес любого другого. Пример:

[domain/ald.company.lan]
...
ipa_server = _srv_,<fqdn.НЕ.УДАЛЯЕМЫЙ.КД>
...

Важно помнить, что на контроллерах домена параметр будет содержать собственный адрес, его менять не следует.

  1. На всех клиентах (в т.ч. части серверной группировки), которые вводились в домен через удаляемый контроллер внести изменения в файл /etc/ldap/ldap.conf:

URI ldaps://<fqdn.НЕ.УДАЛЯЕМЫЙ.КД>

  1. На всех клиентах (в т.ч. части серверной группировки), которые вводились в домен через удаляемый контроллер внести изменения в файл /etc/ipa/default.conf (см. Конфигурационный файл FreeIPA /etc/ipa/default.conf):

[global]
...
server = <fqdn.НЕ.УДАЛЯЕМЫЙ.КД>
...
xmlrpc_uri = https://<fqdn.НЕ.УДАЛЯЕМЫЙ.КД>/ipa/xml
...

  1. Перезапустить службы sssd после изменения параметров:

sudo systemctl restart sssd

  1. Убедиться, что контроллер не является единственным связующим звеном сегментов топологии, то есть при удалении не должно возникнуть разрыва между любыми КД, это можно сделать через портал управления Управление доменом > Общая информация > Граф топологии.

Удаление контроллера домена

  1. От имени root'а на любом КД, отличном от удаляемого, выполнить команду

ipa-replica-manage del <fqdn.удаляемого.кд>

  1. Авторизоваться на портале управления по адресу https://<fqdn.первый.КД>

  2. Проверить успешность удаления можно на портале управления в разделе Управление доменом - Сайты и службы - Контроллеры домена. Удаленного контроллера домена не должно быть в списке

  3. Зайти в раздел Роли и службы сайта - Служба разрешения имён

  4. В списке Имя зоны кликнуть на имя своего домена

  5. В строке поиска набрать имя удаленного контроллера домена

  6. Галочкой выделить все появившиеся записи и нажать кнопку Удалить

  7. Пункты 6-7 повторить до полного удаления всех записей, относящихся к удаленному контроллеру домена

Внимание

Если после удаления контроллера домена подсистемы невозможно развернуть, необходимо проверить содержимое файла /etc/resolv.conf на компьютере, на котором будет развернута подсистема - в файле не должно быть адреса удалённого КД.