Samba4 ドメインと Active Directory の互換性はありますか?

現時点では、Samba 4.15は以下をサポートしています。Server 2008 機能レベルそのため、既存のドメインに Samba DC を追加できない可能性が高くなります。また、フォレストに新しいドメインを追加することもできません。

それ以外にも、Samba のバージョンによっては互換性の問題が発生する場合があります。4.12 以降を強くお勧めします。Samba 4.15 の全体的な状況は次のとおりです。

• サンバする既存のドメインに DC として参加してデータを複製することをサポートしていますが、Samba のみのドメインで新しく開始する場合でも、レプリケーション関連の修正がすべて含まれた最新バージョンが必要になります。

• サンバではない埋め込むAD Web サービスつまり、PowerShell ADコマンドレットは機能しません。ただし、RSATする従来の MS-RPC と LDAP のみを必要とするため、機能します。(PowerShell の[adsi]インターフェイスも LDAP ベースなので、これも機能します。)

  • (Server2012+ を DC として昇格するには、何らかの理由で AD Web サービスが必要になるようなので、これも機能しないようです... そのため、Samba から Windows Server に移行する場合は、中間として Server2008 を使用する必要があるかもしれません。)

• ファイル ACL意思レジストリ ACL、プリンタ ACL、GPO ACL などと同様に、正常に動作します。これらはすべて、DC ではなくファイル サーバー自体によって適用されます (DC はグループ メンバーシップを正しく報告するだけです)。

• AD証明書サービス意思動作しますが、これは DC 機能ではなく、Samba の一部として含まれていません。証明機関を実際にホストするには、Windows Server が必要になります。

  • また、古いバージョンのSamba DC（4.12まで）には、コンピュータに自動的に権限が付与されないバグがあったことに注意してください。ドメインコンピュータ「SID」は、すべてのタイプの ACL に影響を及ぼしました。最も重要なことは、多くの標準証明書テンプレート ACL で「ドメイン コンピューター」が必要なため、AD 証明書サービスの自動登録が機能しなくなることです。(このバグは 4.13 以降で修正されたため、ADCS は他のすべての ACL タイプと同様に正常に動作するようになりました。)

• グループポリシー意思動作します。ただし、GPO データは複数の DC 間で自動的に同期されません (Samba には DFS-R サポートがないため)。そのため、変更のたびに Sysvol を手動で robocopy する必要があります。(ただし、「ドメイン コンピュータ」ACL のバグに注意してください。)

• Azure AD コネクトおそらく動作しません。

• Kerberos 制約委任が完全に実装されているかどうかはわかりませんが、これは Hyper-V クラスターに関係する可能性があります。

• スタンドアロンHyper-Vが機能。レプリケーションが機能。ライブマイグレーションほとんど動作しますが、SPN にスペースが含まれている場合、Samba DC が Kerberos チケットを正しく発行できないという小さなバグ (4.16 まで) があります。

  （幸いなことに、Hyper-Vライブマイグレーションは、SPNにスペースを入れるのが良いアイデアだと考えている唯一のサービスです。ただし、手動で回避する方法があります。そしてBugzilla にもパッチがありますが、まだ適用されていません。

• Hyper-V クラスタリングが機能するかどうかは不明です。制約付き委任の欠如や、「SPN 内のスペース」バグの影響を受ける可能性があります。