Kompatibilität mit Samba4-Domäne und Active Directory?

Question

Zurzeit unterstützt Samba 4.15 nurServer 2008 Funktionsebene, daher können Sie höchstwahrscheinlich keine Samba-DCs zu Ihrer vorhandenen Domäne hinzufügen. Sie können dem Forest auch keine neue Domäne hinzufügen.

Abgesehen davon kann es je nach Samba-Version zu Kompatibilitätsproblemen kommen – ich würde dringend 4.12 oder höher empfehlen. Hier ist der allgemeine Status zu Samba 4.15:

Sambatutunterstützt den Beitritt zu einer vorhandenen Domäne als DC und die Replikation von Daten, aber selbst wenn Sie mit einer Nur-Samba-Domäne neu beginnen, werden Sie eine aktuelle Version mit allen replikationsbezogenen Korrekturen wünschen.
SambanichtimplementierenAD-Webdienste, was bedeutet, dass PowerShell AD-Cmdlets nicht funktionieren. RSATtutfunktioniert, da nur herkömmliches MS-RPC und LDAP erforderlich sind. ( [adsi]Die Schnittstelle von PowerShell basiert ebenfalls auf LDAP und funktioniert daher auch.)
- (Ich meine mich zu erinnern, dass für die Förderung von Server2012+ als DC aus irgendeinem Grund AD Web Services erforderlich zu sein scheinen, also wird das auch nicht funktionieren... wenn Sie also von Samba zu Windows Server migrieren möchten, müssen Sie möglicherweise Server2008 als Vermittler verwenden.)
Datei-ACLsWillefunktionieren einwandfrei, ebenso wie Registrierungs-ACLs, Drucker-ACLs, GPO-ACLs usw. Sie alle werden von den Dateiservern selbst erzwungen, nicht von den DCs (der DC muss nur Ihre Gruppenmitgliedschaften korrekt melden).
AD-ZertifikatsdiensteWillefunktioniert, ist aber keine DC-Funktion und nicht in Samba enthalten – Sie benötigen weiterhin Windows Server, um die Zertifizierungsstelle tatsächlich zu hosten.
- Beachten Sie auch, dass ältere Samba DC-Versionen (bis 4.12) einen Fehler hatten, der verhinderte, dass Computer automatisch "Domänencomputer" SID, was sich auf alle Arten von ACLs auswirkte. Vor allem bedeutete es, dass die automatische Registrierung der AD-Zertifikatdienste nicht funktionierte, da viele ACLs mit Standardzertifikatsvorlagen "Domänencomputer" erfordern. (Dieser Fehler wurde in 4.13+ behoben, sodass ADCS jetzt ordnungsgemäß funktioniert, ebenso wie alle anderen ACL-Typen.)
GruppenrichtlinienWillefunktioniert. Allerdings werden die GPO-Daten nicht automatisch über mehrere DCs hinweg synchronisiert (da Samba keine DFS-R-Unterstützung bietet), sodass Sie Ihr Sysvol nach jeder Änderung manuell per Robocopy kopieren müssen. (Beachten Sie jedoch den ACL-Fehler „Domänencomputer“).
Azure AD Verbindenwahrscheinlichwird nicht funktionieren.
Ich bin nicht sicher, ob die eingeschränkte Kerberos-Delegierung vollständig implementiert ist, was für Hyper-V-Cluster relevant sein könnte.
Standalone-Hyper-V funktioniert. Replikation funktioniert. Live-Migrationfastfunktioniert – es gibt einen kleinen Fehler (bis 4.16), der Samba-DCs daran hindert, Kerberos-Tickets korrekt auszustellen, wenn der SPN Leerzeichen enthält.

(Glücklicherweise ist Hyper-V Live Migration der einzige Dienst, der es für eine gute Idee hielt, Leerzeichen in seine SPNs einzufügen. Es gibt jedoch einen manuellen Workaround,Undes gibt auch einen Patch für Bugzilla, dieser wurde aber noch nicht angewendet.)
Keine Ahnung, ob das Hyper-V-Clustering funktioniert oder nicht. Es könnte vom Fehler „Leerzeichen in SPN“ sowie von fehlender eingeschränkter Delegierung betroffen sein.

Answer 1

Zurzeit unterstützt Samba 4.15 nurServer 2008 Funktionsebene, daher können Sie höchstwahrscheinlich keine Samba-DCs zu Ihrer vorhandenen Domäne hinzufügen. Sie können dem Forest auch keine neue Domäne hinzufügen.

Abgesehen davon kann es je nach Samba-Version zu Kompatibilitätsproblemen kommen – ich würde dringend 4.12 oder höher empfehlen. Hier ist der allgemeine Status zu Samba 4.15:

Sambatutunterstützt den Beitritt zu einer vorhandenen Domäne als DC und die Replikation von Daten, aber selbst wenn Sie mit einer Nur-Samba-Domäne neu beginnen, werden Sie eine aktuelle Version mit allen replikationsbezogenen Korrekturen wünschen.
SambanichtimplementierenAD-Webdienste, was bedeutet, dass PowerShell AD-Cmdlets nicht funktionieren. RSATtutfunktioniert, da nur herkömmliches MS-RPC und LDAP erforderlich sind. ( [adsi]Die Schnittstelle von PowerShell basiert ebenfalls auf LDAP und funktioniert daher auch.)
- (Ich meine mich zu erinnern, dass für die Förderung von Server2012+ als DC aus irgendeinem Grund AD Web Services erforderlich zu sein scheinen, also wird das auch nicht funktionieren... wenn Sie also von Samba zu Windows Server migrieren möchten, müssen Sie möglicherweise Server2008 als Vermittler verwenden.)
Datei-ACLsWillefunktionieren einwandfrei, ebenso wie Registrierungs-ACLs, Drucker-ACLs, GPO-ACLs usw. Sie alle werden von den Dateiservern selbst erzwungen, nicht von den DCs (der DC muss nur Ihre Gruppenmitgliedschaften korrekt melden).
AD-ZertifikatsdiensteWillefunktioniert, ist aber keine DC-Funktion und nicht in Samba enthalten – Sie benötigen weiterhin Windows Server, um die Zertifizierungsstelle tatsächlich zu hosten.
- Beachten Sie auch, dass ältere Samba DC-Versionen (bis 4.12) einen Fehler hatten, der verhinderte, dass Computer automatisch "Domänencomputer" SID, was sich auf alle Arten von ACLs auswirkte. Vor allem bedeutete es, dass die automatische Registrierung der AD-Zertifikatdienste nicht funktionierte, da viele ACLs mit Standardzertifikatsvorlagen "Domänencomputer" erfordern. (Dieser Fehler wurde in 4.13+ behoben, sodass ADCS jetzt ordnungsgemäß funktioniert, ebenso wie alle anderen ACL-Typen.)
GruppenrichtlinienWillefunktioniert. Allerdings werden die GPO-Daten nicht automatisch über mehrere DCs hinweg synchronisiert (da Samba keine DFS-R-Unterstützung bietet), sodass Sie Ihr Sysvol nach jeder Änderung manuell per Robocopy kopieren müssen. (Beachten Sie jedoch den ACL-Fehler „Domänencomputer“).
Azure AD Verbindenwahrscheinlichwird nicht funktionieren.
Ich bin nicht sicher, ob die eingeschränkte Kerberos-Delegierung vollständig implementiert ist, was für Hyper-V-Cluster relevant sein könnte.
Standalone-Hyper-V funktioniert. Replikation funktioniert. Live-Migrationfastfunktioniert – es gibt einen kleinen Fehler (bis 4.16), der Samba-DCs daran hindert, Kerberos-Tickets korrekt auszustellen, wenn der SPN Leerzeichen enthält.

(Glücklicherweise ist Hyper-V Live Migration der einzige Dienst, der es für eine gute Idee hielt, Leerzeichen in seine SPNs einzufügen. Es gibt jedoch einen manuellen Workaround,Undes gibt auch einen Patch für Bugzilla, dieser wurde aber noch nicht angewendet.)
Keine Ahnung, ob das Hyper-V-Clustering funktioniert oder nicht. Es könnte vom Fehler „Leerzeichen in SPN“ sowie von fehlender eingeschränkter Delegierung betroffen sein.

Kompatibilität mit Samba4-Domäne und Active Directory?

Antwort1

verwandte Informationen