Sauvegarder et restaurer un domaine Samba

Renommer un domaine Samba

Renommer un domaine permet de conserver l’ensemble des objets d’un domaine, ainsi que les SID et les hashes de mot de passe. Dans l’état actuel, l’outil de renommage de domaine ne doit être utilisé que pour reproduire un domain en environnement de test. Cette fonctionnalité n’a pas encore été suffisamment testée pour être utilisée en production (2024-12-18).

Microsoft fournit aussi un outil de renommage de domaine, mais il n’est pas toujours très efficace.

Vu que l’objectif est ici de faire un clone du domaine de production dans un environnement de test, on ne va pas récupérer les hashes de mot de passe (paramètre --no-secrets). Il faudra fournir à la fois le nouveau nom NetBIOS et le nouveau nom Kerberos (suffixe DNS).

Il est important que le domaine soit propre afin de produire une bonne sauvegarde et d’assurer une bonne récupération. Par conséquent, un dbcheck doit être exécuté avant la sauvegarde pour s’assurer que la base de données ne contient aucun objet problématique. Nous allons également lancer un sysvolcheck pour vérifier qu’il n’y a pas de problèmes d’ACL ou de GPO sur le SYSVOL (sinon la sauvegarde peut échouer).

Le renommage s’effectue en deux phases :

  • D’abord on lance un samba-tool domain backup rename qui va effectuer un backup online tout en modifiant le nom de domaine sur chacun des objets au passage :

    samba-tool ntacl sysvolcheck
    samba-tool dbcheck --cross-ncs
    samba-tool domain backup rename testdomain testdomain.lan --server=srvads --target-dir=/root/backup_rename_20191107/
    
  • On fait ensuite une restauration du domaine avec un samba-tool domain backup restore sur une machine qui a été configurée avec le nouveau suffixe DNS :

    samba-tool domain backup restore --backup-file=/root/backup_rename/samba-backup-testdom.lan-2019-11-08T23-46-56.317881.tar.bz2 --targetdir=/var/lib/samba --newservername=srvads.testdom.lan --site="Default-First-Site-Name" --host-ip=192.168.10.10