обновляем и ставим необходимые пакеты

apt update
apt install samba samba-dsdb-modules krb5-config krb5-user winbind libpam-winbind libnss-winbind smbclient acl ldap-client net-tools iftop htop

по идее можно вообще удалить

mv /etc/samba/smb.conf /etc/samba/smb.conf.orig
mv /etc/krb5.conf /etc/krb5.conf.orig

эти службы самба запустит сама если ей будет надо

systemctl stop smbd nmbd winbind
systemctl disable smbd nmbd winbind

Разворачиваем домен

samba-tool domain provision --use-rfc2307 --interactive

3221.RU
3221
dc
SAMBA_INTERNAL
192.168.1.2 ! не свой, а реальный днс или шлюз
P@ssw0rd

выдал SID // записал, вдруг пригодится

вот теперь меняем в /etc/resolv.conf на свой ip

в /etc/krb5.conf

[libdefaults]
        default_realm = 3221.RU
		dns_lookup_realm = false
		dns_lookup_kdc = true

[realms]
        3221.RU = {
                kdc = dc.3221.ru
                admin_server = dc.3221.ru
        }

в /etc/samba/smb.conf

# Global parameters
[global]
        dns forwarder = 192.168.1.2
        netbios name = DC
        realm = 3221.RU
        server role = active directory domain controller
        workgroup = 3221
        idmap_ldb:use rfc2307 = yes
        map to guest = Bad User

        dos charset = 866
        unix charset = UTF-8
        preserve case = yes
        short preserve case = yes

        ldap server require strong auth = yes
        tls enabled  = yes
        tls keyfile  = tls/dc.3221.ru.key
        tls certfile = tls/dc.3221.ru.crt
        tls cafile   = tls/rootCA.crt

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/3221.ru/scripts
        read only = No

[share]
        path = /home/share
        read only = no
        guest ok = yes
        create mask = 0777
        browseable = yes
        comment = Общий доступ

ненужное блочим, нужное запускаем

systemctl stop smbd nmbd winbind
systemctl disable smbd nmbd winbind
systemctl enable samba-ad-dc
systemctl start samba-ad-dc