1. Для устранение большинства ошибок при использовании ndds-ctl необходимо:

- применить применить в соответсвии с инструкцией патч ndds-ctl_patch.sh (см. Бюллетень безопасности №20231023);

- перед первой операцией с ndds-ctl следует создать папку /etc/sssd.

2. Рекомендации по продлению/пересозданию сертификата сервера администрирования:

При работе ndds создается сертификат для nginx в момент выполнения `ndds-admin-srv-configure` (с проверкой на уже существующие файлы ndds.crt и ndds.key).
Для обновления сертификата достаточно удалить старые файлы (/etc/ssl/certs/ndds.crt и /etc/ssl/private/ndds.key) и выполнить команду `sudo ndds-admin-srv-configure`.
Примечание. Сертификат влияет только на работу графической утилиты управления доменом.

3. Особенности выполнения операций demote и unjoin:

При понижении уровня контроллера домена/выводе контроллера из состава домена может возникать ошибка при попытке понижения прав контроллера, это может быть вызвано следующими условиями:

- контроллер владеет одной или несколькими ролями, которые не переданы на другой контроллер;

- на момент выполнения команды выполнились не все репликации;

- возможная ошибка репликации на первичном контроллере до момента перезапуска сервисов (например ndds-ctl restart или точечно restart samba-ad-dc).

Статус репликаций можно проверить командой `samba-tool drs showrepl (--summary)`.
Для детального просмотра состояния можно выполнить `sudo samba-tool domain demote -U admin --password=admin_password`, в выводе команды будет указана причина ошибки понижения роли контроллера.

В случае завершения всех репликаций и отсутствия неразрешенных ролей, команды demote и unjoin работают штатно.

После выполнения demote необходимо выполнить команды:

systemctl enable winbind

systemctl start winbind

Данные решения необходимо применять до выпуска следующего кумулятивного обновления обновления.