Версия:
======= 
docs-alt-domain-11.0-alt1

Шаги:
=====
1) ⁠В документации: Глава 12. Контроллер домена, доступный только для чтения (RODC)
Фактический результат:
1. при получении RODC запроса на аутентификацию от пользователя, он перенаправляет этот запрос на ближайший RWDC;
2. DNS служба на RODС работает только на чтение.

Ожидаемый результат:
1. Необходимо убрать запятую после "пользователя": при получении RODC запроса на аутентификацию от пользователя он перенаправляет этот запрос на ближайший RWDC;
2. Необходимо добавить дефис: DNS-служба на RODС работает только на чтение.

2) ⁠В документации: п. 12.1. Установка и настройка RODC
Ожидаемый результат:⁠
После предложения "Присоединения сервера к домену в роли RODC:"
1. Добавить первым пунктом с гиперссылкой на пункт спецификации:
Установить и настроить DNS-сервер SAMBA_INTERNAL (см. 10.8.2. Создание домена);
2. После шага "5. Ввести данный DC в домен test.alt в качестве контроллера домена, доступного только для чтения (RODC):" необходимо добавить следующий шаг:
После успешного ввода в домен в resolvconf необходимо сменить адрес первого DC на собственный адрес (в примере 192.168.0.134). Для этого следует внести изменения в файл /etc/net/ifaces/enp0s3/resolv.conf и выполнить:
# resolvconf -u

Фактический результат:
Примечание: При использовании SAMBA_INTERNAL, необходимо указать значение dns forwarder, чтобы на новом сервере была настроена пересылка запросов. Форвардером может быть как вышестоящий DNS-сервер организации, так и публичные от google или yandex, например:

Ожидаемый результат:
Необходимо убрать запятую перед "необходимо": При использовании SAMBA_INTERNAL необходимо указать значение dns forwarder, чтобы на новом сервере была настроена пересылка запросов. Форвардером может быть как вышестоящий DNS-сервер организации, так и публичные от google или yandex, например:

3) ⁠В документации: п. 12.2. Политики репликации и кеширования паролей на RODC
Ожидаемый результат:
1. Для поддержания общего стиля текста, в конца пунктов списка необходимо поставить";"
Участники группы Denied RODC Password Replication Group по умолчанию:
Cert Publishers;
Domain Admins;
Domain Controllers;
Enterprise Admins;
Group Policy Creator Owners;
Read-only Domain Controllers;
Schema Admins;
учётная запись krbtgt.
2. Необходимо убрать запятую перед "либо": --file — файл со списком реплицируемых объектов либо «-» для ввода списка через стандартный поток ввода (stdin);

4) ⁠В документации: п. 13.1. Повышение уровня схемы и функционального уровня домена
Ожидаемый результат:
Добавить "Windows" к пояснениям:
# samba-tool domain schemaupgrade --schema=<SCHEMA>
где SCHEMA — целевой уровень схемы (по умолчанию (Windows) 2019).
# samba-tool domain functionalprep --function-level=<FUNCTION_LEVEL>
где FUNCTION_LEVEL — функциональный уровень, к которому нужно подготовиться (по умолчанию (Windows) 2016).

5) ⁠В документации: п. 13.3.1. Миграция с SAMBA_INTERNAL на BIND9_DLZ
Установить и настроить DNS-сервер BIND (см. Настройка DNS-сервера BIND);
Возможно кривая гиперссылка, должна быть на название/начало главы 10.9.1. Настройка DNS-сервера BIND

6) ⁠В документации: п. 15.2. Понижение автономного (недоступного) контроллера домена
Фактический результат:
В определенных ситуациях, например, при сбое оборудования, из домена необходимо удалить контроллер домена, который больше недоступен. В этом случае понизить уровень контроллера домена, можно на оставшемся работающем контроллере домена Samba.
Ожидаемый результат:
Необходимо убрать запятые после "оборудования" и "домена": В определенных ситуациях, например, при сбое оборудования из домена необходимо удалить контроллер домена, который больше недоступен. В этом случае понизить уровень контроллера домена можно на оставшемся работающем контроллере домена Samba.

7) ⁠В документации: п. 15.3. Проверка после понижения
Фактический результат:
1. Проверить, что контроллер домена был понижен, можно также в RSAT (см. Установка административных инструментов (машина Windows)). Для этого на машине Windows введённой в домен:
2. Открыть приложение Сайты и службы Active Directory, и убедиться, что контроллер домена с пониженным статусом больше не указан ни в одной записи сайта Active Directory:
3. Открыть приложение DNS, и убедиться, что имя хоста, IP-адрес и objectGUID контроллера домена больше не используются ни в одной записи DNS в любой зоне AD DNS. Например:

Ожидаемый результат:
Фактический результат:
1. Необходимо добавить запятую после "Windows": Проверить, что контроллер домена был понижен, можно также в RSAT (см. Установка административных инструментов (машина Windows)). Для этого на машине Windows, введённой в домен:
2. Необходимо убрать лишнюю запятую после "Active Directory": Открыть приложение Сайты и службы Active Directory и убедиться, что контроллер домена с пониженным статусом больше не указан ни в одной записи сайта Active Directory:
3. Необходимо убрать лишнюю запятую после "DNS": Открыть приложение DNS и убедиться, что имя хоста, IP-адрес и objectGUID контроллера домена больше не используются ни в одной записи DNS в любой зоне AD DNS. Например:

8) ⁠В документации: п. 17.1. Отображение статуса репликации на контроллере домена Sam
Фактический результат:
1. В разделе KCC CONNECTION OBJECTS должен быть приведён список всех контроллеров домена, чьи KCC установили соглашения о репликации с текущим контроллером домена. В случае когда контроллер домена был добавлен в домен и запущен, может пройти до 15 минут до того, как соглашения будут установлены.
2. Примечание: можно игнорировать. Оно появляется из-за того, что, при регистрации нового DC, Samba неверно устанавливает некоторые флаги репликации.

Ожидаемый результат:
1. Необходимо поставить запятую перед "когда":В разделе KCC CONNECTION OBJECTS должен быть приведён список всех контроллеров домена, чьи KCC установили соглашения о репликации с текущим контроллером домена. В случае, когда контроллер домена был добавлен в домен и запущен, может пройти до 15 минут до того, как соглашения будут установлены.
2. Необходимо убрать запятые после "что" и "DC": можно игнорировать. Оно появляется из-за того, что при регистрации нового DC Samba неверно устанавливает некоторые флаги репликации.

9) ⁠В документации: Глава 18. Двунаправленная репликация SysVol
Фактический результат:
1. Samba в своем текущем состоянии не поддерживает репликацию SysVol через DFS-R (репликация распределенной файловой системы) или более старую FRS (службу репликации файлов), используемую в Windows Server 2000/2003 для репликации SysVol. В настоящее время для репликации SysVol можно использовать один из следующих обходных путей:
2. Важно
Cинхронизировать idmap.ldb (см. раздел Синхронизация idmap.ldb) необходимо при первом присоединении к новому контроллеру домена, а затем периодически (для того чтобы гарантировать постоянство идентификаторов не нужно синхронизировать idmap.ldb каждый раз при синхронизации SysVol, но это следует делать периодически).

Ожидаемые результат:
1. Необходимо поставить в именительный падеж слово "службу": более старую FRS (служба репликации файлов)
2. Необходимо поставить запятую перед "чтобы":Cинхронизировать idmap.ldb (см. раздел Синхронизация idmap.ldb) необходимо при первом присоединении к новому контроллеру домена, а затем периодически (для того, чтобы гарантировать постоянство идентификаторов не нужно синхронизировать idmap.ldb каждый раз при синхронизации SysVol, но это следует делать периодически).

10) ⁠В документации: п. ⁠18.1. Настройка двунаправленной репликации SysVol на базе Rsync/Unison
Фактический результат:
1. ⁠настроено беспарольное взаимодействие между rootами всех контроллеров домена
2. При низких скоростях в сети, unison может некорректно работать. Для того чтобы при повторной работе unison использовал существующее SSH-соединение вместо установки нового, необходимо выполнить следующие команды:
3. # /usr/bin/rsync -XAavz --log-file /var/log/sysvol-sync.log \
--delete-after -f"+ */" -f"- *" /var/lib/samba/sysvol \
root@dc2.test.alt:/var/lib/samba && /usr/bin/unison
Выдается ошибка: Error: Profile "default" (file "/root/.unison/default.prf"), line 19: `copyquoterem' is not a valid option

Ожидаемый результат:
1. ⁠Необходимо поставить апостроф для множественного числа от root: ⁠настроено беспарольное взаимодействие между root'ами всех контроллеров домена
2. Unison — название программы является именем собственным, поэтому пишется с заглавной буквы, необходимо убрать запятую после слова "сети" и добавить запятую после - "того": При низких скоростях в сети Unison может некорректно работать. Для того, чтобы при повторной работе Unison использовал существующее SSH-соединение вместо установки нового, необходимо выполнить следующие команды:
3. Необходимо из примера содержимого файла конфигурации /root/.unison/default.prf удалить строки с copyquoterem, потому что copyquoterem не существует в Unison

11) ⁠В документации: п. 18.2. Настройка двунаправленной репликации SysVol на базе Rsync/osync
Фактический результат:
⁠настроено беспарольное взаимодействие между rootами всех контроллеров домена

Ожидаемый результат:
⁠Необходимо поставить апостроф для множественного числа от root: ⁠настроено беспарольное взаимодействие между root'ами всех контроллеров домена

12) ⁠В документации: п. 18.3. Синхронизация idmap.ldb
Во время выполнения команды:
# rsync -a dc1:/var/lib/samba/private/idmap.ldb.bak /var/lib/samba/private/idmap.ldb
Необходимо беспарольное взаимодействие между рутами контролера:
The authenticity of host 'dc1 (2a0c:88c0:2:2000:907e:72ff:fe78:e18d)' can't be established.
ED25519 key fingerprint is SHA256:Te+VQT22/3WpfLqBk6mfzWIGS5uT7KFPCjiNvYebtVE.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'dc1' (ED25519) to the list of known hosts.
Предлагаю добавить эту информацию в документацию:
настроено беспарольное взаимодействие между root'ами всех контроллеров домена (см. Настройка беспарольного доступа по SSH).

13) ⁠В документации: п. 19.1.2. Winbind
Фактический результат:
1. server — устаревший вариант, при котором Samba делегирует аутентификацию другому серверу, но, если тот откажет, пробует локальную проверку;
2. user — стандартный режим, когда учетные данные проверяются на самом сервере Samba, без обращения к домену.

Ожидаемый результат:
1. Необходимо убрать запятую перед "если":server — устаревший вариант, при котором Samba делегирует аутентификацию другому серверу, но если тот откажет, пробует локальную проверку;
2. Необходимо убрать запятую перед "без": user — стандартный режим, когда учетные данные проверяются на самом сервере Samba без обращения к домену.

14) ⁠В документации: п. 19.3.1. SSSD
Фактический результат:
1. Чтобы пользователи могли входить в систему даже если провайдер идентификации недоступен, можно включить кеширование учетных данных, установив параметр cache_credentials = true в файле /etc/sssd/sssd.conf.
2. Параметр cache_credentials — определяет, должны ли учетные данные пользователя также сохраняться в локальном кеше LDB.
3. Это не относится к запросам на аутентификацию, которые всегда обрабатываются в реальном времени, если только не включена опция оффлайн-аутентификации Winbind

Ожидаемый результат:
1. Необходимо поставить запятую перед "даже если":Чтобы пользователи могли входить в систему, даже если провайдер идентификации недоступен, можно включить кеширование учетных данных, установив параметр cache_credentials = true в файле /etc/sssd/sssd.conf.
2. Необходимо убрать тире: Параметр cache_credentials определяет, должны ли учетные данные пользователя также сохраняться в локальном кеше LDB.
3. Необходимо заменить "оффлайн" на "офлайн", согласно ИИ это зафиксировано в «Русском орфографическом словаре» РАН https://gramota.ru/poisk?query=%D0%BE%D1%84%D0%BB%D0%B0%D0%B9%D0%BD&mode=slovari

15) В документации: п. 19.4.1. Поддержка групповых политик ALT Linux
Фактический результат:
В дистрибутивах ALT реализована поддержка групповых политик (Group Policy Objects, GPO), что позволяет централизованно управлять настройками и конфигурациями систем, аналогично средам Windows. Для применения групповых политик используется утилита gpupdate, предназначенная для работы на машинах, введённых в домен, как с помощью SSSD, так и с помощью Winbind.

Ожидаемый результат:
Необходимо убрать запятую перед "аналогично" и "как": В дистрибутивах ALT реализована поддержка групповых политик (Group Policy Objects, GPO), что позволяет централизованно управлять настройками и конфигурациями систем аналогично средам Windows. Для применения групповых политик используется утилита gpupdate, предназначенная для работы на машинах, введённых в домен как с помощью SSSD, так и с помощью Winbind.

16) В документации: п. 19.4.2.1. SSSD
Фактический результат:
1. Если он определен указанные пользователи и группы не могут входить в систему.
2. Применение политики. После того как политика была загружена и ее содержание проанализировано, механизм принудительного применения GPO обеспечивает контроль доступа, проверяя политику против белого или черного списка, который может содержать разрешения или запреты для определенных групп.

Ожидаемый результат:
1. Необходимо поставить запятую перед "указанные": Если он определен, указанные пользователи и группы не могут входить в систему.
2. Необходимо поставить запятую перед "как": Применение политики. После того, как политика была загружена и ее содержание проанализировано, механизм принудительного применения GPO обеспечивает контроль доступа, проверяя политику против белого или черного списка, который может содержать разрешения или запреты для определенных групп.

17) В документации: п. 19.5. Обновление DNS
Фактический результат:
При вводе машины в домен, в DNS-записи на DNS-сервере прописывается текущий IP-адрес машины.

Ожидаемый результат:
Необходимо убрать лишнюю запятую перед "DNS-записи": При вводе машины в домен в DNS-записи на DNS-сервере прописывается текущий IP-адрес машины.

18) В документации: п. ⁠19.5.1. SSSD
Для включения обновления IP-адресов службой sssd существует несколько способов. Подробнее см. Обновление IP-адресов службой sssd.
Фактический результат: Указана некорректная гиперссылка file:///usr/share/doc/alt-domain/ru-RU/index.html#dns-sssd
Ожидаемый результат: Указать корректную ссылку, возможно имелось в виду ссылка на пункт - ⁠44.5.1.1. SSSD.

19) В документации: п. 19.5.2. Winbind
Samba Winbind не поддерживает возможность динамического обновления DNS-записей. Для обхода этой проблемы была разработана программа, реализующая динамическое обновление адресов на DNS-сервере при использовании winbind в качестве клиента домена — winbind-dnsupdate. Подробнее см. winbind-dnsupdate.
Фактический результат: Указана некорректная ссылка file:///usr/share/doc/alt-domain/ru-RU/index.html#dns-winbind
Ожидаемый результат: Указать корректную ссылку, возможно имелось в виду ссылка на пункт - 44.5.1.2. Samba Winbind

20) В документации: п. 20.2. Настройка DNS
Фактический результат:
Для ввода компьютера в домен, на нём должен быть доступен сервер DNS, имеющий записи про контроллер домена.

Ожидаемый результат:
Необходимо убрать запятую перед "на нем": Для ввода компьютера в домен на нём должен быть доступен сервер DNS, имеющий записи про контроллер домена.

21) В документации: п. 20.2.1. Настройка клиентов для использования DNS-серверов вручную
В качестве первичного DNS должен быть указан DNS-сервер домена. Для этого необходимо создать файл /etc/net/ifaces/enp1s0/resolv.conf со следующим содержимым:
nameserver 192.168.0.132
Вопрос: Нужно ли указывать также "nameserver 8.8.8.8" ? В графических примерах ниже указывается.

22) В документации: п. 21.2. Подключение к домену с использованием SSSD
Фактический результат:
SSSD используется для доступа к пользовательскому каталогу для аутентификации и авторизации через общую структуру с кешированием пользователей, чтобы разрешить автономный вход в систему.

Ожидаемый результат:
Необходимо поставить запятую после "каталогу": SSSD используется для доступа к пользовательскому каталогу, для аутентификации и авторизации через общую структуру с кешированием пользователей, чтобы разрешить автономный вход в систему.

23) В документации: ⁠Глава 23. Отображение глобальных групп на локальные
Фактический результат:
Просмотр сопоставлений ролей::

Ожидаемый результат:
Необходимо убрать одно двоеточие.

24) В документации: п. 24.3. Команда getent не показывает доменных пользователей и групп
Фактический результат:
1. Используя команды getent passwd и getent group нельзя увидеть доменных пользователей и группы. Этот функционал отключен по умолчанию, для того чтобы сократить нагрузку на серверы.
2. Если эта команда работает, а первая нет, в файл smb.conf необходимо добавить строку:

Ожидаемый результат:
1. Необходимо убрать запятую после "по умолчанию" и поставить после "для того" и "getent group": Используя команды getent passwd и getent group, нельзя увидеть доменных пользователей и группы. Этот функционал отключен по умолчанию для того, чтобы сократить нагрузку на серверы.
2. Необходимо поставить дефис после "первая": Если эта команда работает, а первая - нет, в файл smb.conf необходимо добавить строку:

25) В документации: Глава 25. Удаление клиента из домена
Фактический результат:
1. Чтобы указать пользователя следует использовать параметр-U:

Ожидаемый результат:
1. Необходимо поставить запятую после "пользователя": Чтобы указать пользователя, следует использовать параметр-U:
2. Необходимо добавить информацию, что для удаления клиента из домена, нужно установить пакет:
# apt-get install realmd