instantlinux/samba-dc

instantlinux

自动构建

这是一个Samba域控制器Docker镜像，支持域的创建（provision）和加入（join），需配置静态IP和持久化卷，运行于host网络模式并具备CAP_SYS_ADMIN权限，适用于构建Active Directory环境，提供域管理、DNS服务及用户认证功能。

29 次收藏下载次数: 0状态：自动构建维护者：instantlinux仓库类型：镜像最近更新：29 天前

让 AI 帮你使用轩辕镜像？ · 展开查看说明 · 点击收起说明

如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具，协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题，请先让 AI 阅读并遵守轩辕镜像的规则文档。

只需在 AI 对话中先发送下面这句话即可：

请先完整阅读并严格遵守以下文档中的全部规则与要求：

https://xuanyuan.cloud/agents.md

在未充分阅读并理解该文档前，不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。

查看 agents.md 用法指南与完整示范。国内用户首推元宝 AI、DeepSeek 的深度思考模式，不推荐豆包 AI；Cursor 等编辑器可在对话 @ 该链接，或加入 User Rules。若 AI 无法访问外链，可打开说明文档复制全文粘贴。文档会随站点更新，复制内容可能过期，建议定期检查。

镜像标签列表与下载命令

samba-dc

https://img.shields.io/docker/v/instantlinux/samba-dc?sort=date](https://hub.docker.com/r/instantlinux/samba-dc/tags "版本徽章") https://img.shields.io/docker/image-size/instantlinux/samba-dc?sort=date](https://github.com/instantlinux/docker-tools/tree/main/images/samba-dc "镜像大小徽章") https://img.shields.io/badge/dockerfile-latest-blue](https://gitlab.com/instantlinux/docker-tools/-/blob/main/images/samba/Dockerfile "Dockerfile链接")

镜像概述和主要用途

samba-dc是一个Samba域控制器Docker镜像，用于搭建Active Directory（AD）环境。它支持域的初始化创建（provision）和加入现有域（join），提供域管理、用户认证、DNS服务等核心功能。该镜像需配置静态IP和持久化DNS记录，运行于host网络模式并具备CAP_SYS_ADMIN权限，适用于企业内部网络的域环境构建。

核心功能和特性

域操作支持：支持域初始化创建（provision）和加入现有域（join），可作为独立域控制器或辅助域控制器
网络与权限：需运行于host网络模式，具备CAP_SYS_ADMIN权限，确保网络协议栈和系统资源访问
持久化存储：需挂载/etc/samba和/var/lib/samba作为持久化卷，保存域配置和数据
灵活配置：支持通过环境变量设置常用参数，或通过/etc/samba/conf.d目录下的配置文件进行高级自定义
多平台支持：兼容amd64、arm64、arm/v6、arm/v7等架构
DNS服务：集成DNS服务，支持DNS更新、转发器配置，满足域环境的名称解析需求

使用场景和适用范围

企业内部Active Directory域环境搭建
替代Windows Server域控制器，降低部署成本
与Windows客户端（如Windows 7）和其他Samba域控制器集成
需集中管理用户、权限和文件共享的网络环境

使用方法和配置说明

基本要求

域控制器必须配置静态IP地址和持久化DNS记录
容器需运行于network_mode:host模式，并添加cap_add:CAP_SYS_ADMIN权限
必须指定NETBIOS_NAME或主机名作为NETBIOS名称
需挂载/etc/samba和/var/lib/samba作为持久化卷（首次运行时/var/lib/samba为空将触发DOMAIN_ACTION指定的操作）

环境变量配置

变量	默认值	描述
ADMIN_PASSWORD_SECRET	samba-admin-password	管理员密码密钥名称（见下方"Secrets"部分）
ALLOW_DNS_UPDATES	secure	启用DNS更新（取值：secure、nonsecure、no）
BIND_INTERFACES_ONLY	yes	是否仅绑定指定IP地址或接口
DNS_FORWARDER	(none)	`smb.conf`中`dns forwarder`配置值
DOMAIN_ACTION	provision	域操作类型（provision：创建域；join：加入域）
DOMAIN_LOGONS	yes	是否支持工作组登录
DOMAIN_MASTER	no	WAN范围浏览列表整理（详见https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html%EF%BC%89
INTERFACES	lo eth0	IP地址或接口列表
LOG_LEVEL	1	日志详细程度（数值越高日志越详细）
MODEL	standard	进程模型（single：单进程；standard：标准；thread：线程）
NETBIOS_NAME	(hostname -s)	NETBIOS名称
REALM	ad.example.com	AD DNS域（使用小写字母）
SERVER_STRING	Samba Domain Controller	服务器标识字符串
TZ	UTC	本地时区
WINBIND_USE_DEFAULT_DOMAIN	yes	是否允许用户名不带域名前缀
WORKGROUP	AD	工作组（域前缀，文档较少）

Secrets配置

仅在首次运行（域创建或加入）时需要，请勿在其他时间保留域控制器管理员密钥。密钥为Docker Secret，包含初始Samba管理员密码（需足够复杂）。

密钥	描述
samba-admin-password	域管理员密码

Secrets可通过Kubernetes Secrets、文件（详见示例https://github.com/instantlinux/docker-tools/blob/main/images/samba-dc/docker-compose.yml%EF%BC%89%E6%88%96Swarm Secrets指定。

部署示例

Docker Run命令

bash
docker run -d \
  --name samba-dc \
  --network=host \
  --cap-add=CAP_SYS_ADMIN \
  -v /path/to/etc/samba:/etc/samba \
  -v /path/to/var/lib/samba:/var/lib/samba \
  -e REALM=ad.example.com \
  -e WORKGROUP=AD \
  -e NETBIOS_NAME=DC01 \
  -e DOMAIN_ACTION=provision \
  -e TZ=Asia/Shanghai \
  --secret samba-admin-password \
  instantlinux/samba-dc

Docker Compose配置（示例片段）

yaml
version: '3.8'
services:
  samba-dc:
    image: instantlinux/samba-dc
    network_mode: host
    cap_add:
      - CAP_SYS_ADMIN
    volumes:
      - /path/to/etc/samba:/etc/samba
      - /path/to/var/lib/samba:/var/lib/samba
    environment:
      - REALM=ad.example.com
      - WORKGROUP=AD
      - NETBIOS_NAME=DC01
      - DOMAIN_ACTION=provision
      - TZ=Asia/Shanghai
    secrets:
      - samba-admin-password
    restart: always

secrets:
  samba-admin-password:
    file: ./samba-admin-password.txt

状态说明

"join"命令已在Windows Server 2008 Active Directory和其他Samba4域控制器上测试通过
"provision"已在Windows 7客户端环境中作为Samba4域控制器测试通过
"BIND_INTERFACES_ONLY"选项当前可用
多实例samba-dc复制功能存在困难（版本4.8.8及以上未解决，未来版本可能修复）

注意事项

DNS配置

首次创建域控制器后需手动添加DNS记录：

bash
export LDB_MODULES_PATH=/usr/lib/samba/ldb
ldbsearch -H /var/lib/samba/private/sam.ldb '(invocationid=*)' \
 --cross-ncs objectguid|grep -i -B 1 -A 1 <新DC主机名>
samba-tool dns add dc01 _msdcs.ether.ci.net <上述命令获取的GUID> \
 CNAME <新DC的FQDN> -UAdministrator

复制问题排查

若与旧版本Samba存在LDAP SASL复制错误，在/etc/samba/conf.d/0global.conf中添加：

ldap server require strong auth = no

检查复制状态：samba-tool drs showrepl
检查本地数据库：samba-tool dbcheck、samba-tool drs kcc

双向复制测试（替换<NC>为drs showrepl输出中的命名上下文）：

bash
samba-tool drs replicate dc1 dc2 dc=<foo>,dc=<suffix> --full-sync
samba-tool drs replicate dc2 dc1 dc=<foo>,dc=<suffix> --full-sync

DNS记录管理

使用nslookup或host验证DC的FQDN DNS记录（应仅包含一个正确IP），添加/删除记录：

bash
samba-tool dns add <dc> <domain> <dc> A <ip> -Uadministrator
samba-tool dns delete <dc> <domain> <dc> A <ip> -Uadministrator

其他常见问题

日志中出现"samba_dnsupdate tsig verify failure"：在每个控制器上执行samba_dnsupdate --all-names --use-samba-tool

域加入失败提示"LDAP error 10 LDAP_REFERRAL"：清理所有域控制器上的 stale DNS记录：

bash
for DC in dc1 dc2 dc3; do
  samba-tool dns delete $DC _msdcs.<domain> <错误中的GUID> CNAME <主机> -Uadministrator
done

清理secondary DC复制状态：关闭secondary DC，清空/var/lib/samba/private卷，在primary DC执行：

bash
samba-tool domain demote --remove-other-dead-server=<badhost>
samba-tool dbcheck --cross-ncs --fix

然后重启secondary DC并设置DOMAIN_ACTION=join

贡献指南

如需改进此镜像，请参考https://github.com/instantlinux/docker-tools/blob/main/CONTRIBUTING.md%E3%80%82

https://img.shields.io/badge/license-GPL--3.0-red.svg](https://choosealicense.com/licenses/gpl-3.0/ "许可证徽章") https://img.shields.io/badge/code-samba_team%2Fsamba-blue.svg](https://gitlab.com/samba-team/samba "代码仓库")

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 samba-dc 镜像标签

docker pull docker.xuanyuan.run/instantlinux/samba-dc:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull instantlinux/samba-dc:<标签>

轩辕镜像配置手册

按平台快速找到配置文档

Docker

登录仓库拉取

登录认证 · 私有仓库

专属域名拉取

免登录 · 高速拉取

Linux

Docker 镜像配置

Windows / Mac

Docker Desktop 配置

MacOS OrbStack

OrbStack 容器

Docker Compose

Compose 项目配置

NAS

群晖

Synology 配置

飞牛

fnOS 镜像配置

绿联

绿联 NAS

威联通

QNAP 配置

极空间

极空间 NAS

企业仓库

其他仓库

ghcr · Quay · nvcr

Harbor 镜像源

Proxy Repository 对接

Portainer 镜像源

Registries 配置

Nexus 镜像源

Docker Proxy 缓存

开发工具

Dev Containers

VS Code 开发容器

Podman

Podman 配置指南

Singularity / Apptainer

HPC 科学计算容器

Kubernetes

K8s Containerd

Kubernetes · Containerd

K3s

轻量级集群

面板 / 网络

爱快路由

iKuai 镜像加速

宝塔面板

一键配置镜像源

AI

用 AI 使用轩辕镜像

agents.md · AI 对话 · 提示词

一键安装

一键安装 Docker

Linux Docker 一键安装

需要其他帮助？请查看我们的常见问题Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

功能

版本功能对比

功能对比 · 版本选择

支持的镜像仓库

Docker Hub · GCR · GHCR

新手拉取配置

docker search 限制

专属域名 · Hub 搜索

不支持 push

仅支持 pull · 不支持

拉取速度原因

带宽 · 缓存 · 冷热镜像

错误码

402 与流量用尽

402 · 流量包 · 充值

401 认证失败

401 · docker login

manifest unknown

标签错误 · 镜像不存在

410 Gone 排查

410 · Docker 升级

429 限流

免费版 · 请求频率

其他报错

DNS 超时

DNS 解析 · 网络超时

TLS 证书失败

no matching manifest（架构）

账号

失败是否计费

manifest · blob · 计费

申请开发票（企业 / 个人）

企业 · 个人 · 工单

修改登录密码

网站 · 仓库 · 重置

注销账户

工单 · 数据 · 注销

原理

mirrors 不生效

daemon.json · 重启

去掉域名前缀

docker tag · 重命名

指定架构拉取

ARM64 · AMD64 · 多架构

latest 与「最新」

digest · 版本号 · 标签

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"