Samba4 도메인 및 Active Directory 호환성?

Question

현재 Samba 4.15는 Samba 4.15만 지원합니다.Server 2008 기능 수준이므로 기존 도메인에 Samba DC를 추가할 수 없을 가능성이 높습니다. 또한 포리스트에 새 도메인을 추가할 수 없습니다.

그 외에는 Samba 버전에 따라 일부 호환성 문제가 있을 수 있습니다. 저는 4.12 이상을 강력히 권장합니다. Samba 4.15의 전반적인 상태는 다음과 같습니다.

삼바하다기존 도메인을 DC로 가입하고 데이터 복제를 지원하지만 Samba 전용 도메인으로 새로 시작하더라도 모든 복제 관련 수정 사항이 포함된 최신 버전이 필요합니다.
삼바하지 않습니다구현하다AD 웹 서비스이는 PowerShell AD cmdlet이 작동하지 않음을 의미합니다. 그러나 RSAT는하다전통적인 MS-RPC와 LDAP만 필요하므로 작동합니다. (PowerShell의 [adsi]인터페이스도 LDAP 기반이므로 작동합니다.)
- (Server2012+를 DC로 승격하려면 어떤 이유로 AD 웹 서비스가 필요한 것 같아서 그것도 작동하지 않는 것으로 기억하는 것 같습니다. 따라서 Samba에서 Windows Server로 마이그레이션하려면 Server2008을 다음과 같이 사용해야 할 수도 있습니다. 중개인.)
파일 ACL~ 할 것이다레지스트리 ACL, 프린터 ACL, GPO ACL 등과 마찬가지로 잘 작동합니다. 모두 DC가 아닌 파일 서버 자체에 의해 적용됩니다(DC는 그룹 멤버십을 올바르게 보고해야 합니다).
AD 인증서 서비스~ 할 것이다작동하지만 이는 DC 기능이 아니며 Samba의 일부로 포함되지 않습니다. 실제로 인증 기관을 호스팅하려면 여전히 Windows Server가 필요합니다.
- 또한 이전 Samba DC 버전(4.12까지)에는 컴퓨터에 자동으로 권한이 부여되지 않는 버그가 있었습니다.도메인 컴퓨터" 모든 유형의 ACL에 영향을 미치는 SID. 가장 중요한 것은 많은 표준 인증서 템플릿 ACL에 "도메인 컴퓨터"가 필요하기 때문에 AD 인증서 서비스 자동 등록이 작동하지 않는다는 것을 의미합니다. (이 버그는 4.13+에서 수정되었으므로 ADCS는 이제 올바르게 작동합니다. , 다른 모든 ACL 유형과 마찬가지로)
그룹 정책~ 할 것이다일하다. 그러나 GPO 데이터는 여러 DC에서 자동으로 동기화되지 않으므로(Samba에는 DFS-R 지원이 부족하기 때문에) 모든 변경 후에는 Sysvol을 수동으로 robocopy해야 합니다. (그러나 "도메인 컴퓨터" ACL 버그에 유의하십시오.)
Azure AD 연결아마작동하지 않습니다.
Kerberos 제한 위임이 완전히 구현되었는지 여부는 확실하지 않습니다. 이는 Hyper-V 클러스터와 관련이 있을 수 있습니다.
독립 실행형 Hyper-V가 작동합니다. 복제가 작동합니다. 실시간 마이그레이션거의작동합니다. SPN에 공백이 포함된 경우 Samba DC가 Kerberos 티켓을 올바르게 발행하지 못하게 하는 작은 버그(4.16까지)가 있습니다.

(다행히 Hyper-V 실시간 마이그레이션은 SPN에 공백을 넣는 것이 좋다고 생각한 유일한 서비스입니다. 하지만 수동으로 해결하는 방법이 있습니다.그리고Bugzilla에도 패치가 있지만 아직 적용되지 않았습니다.)
Hyper-V 클러스터링이 작동하는지 여부는 알 수 없습니다. "SPN의 공백" 버그와 제한된 위임 부족의 영향을 받을 수 있습니다.

Answer 1

현재 Samba 4.15는 Samba 4.15만 지원합니다.Server 2008 기능 수준이므로 기존 도메인에 Samba DC를 추가할 수 없을 가능성이 높습니다. 또한 포리스트에 새 도메인을 추가할 수 없습니다.

그 외에는 Samba 버전에 따라 일부 호환성 문제가 있을 수 있습니다. 저는 4.12 이상을 강력히 권장합니다. Samba 4.15의 전반적인 상태는 다음과 같습니다.

삼바하다기존 도메인을 DC로 가입하고 데이터 복제를 지원하지만 Samba 전용 도메인으로 새로 시작하더라도 모든 복제 관련 수정 사항이 포함된 최신 버전이 필요합니다.
삼바하지 않습니다구현하다AD 웹 서비스이는 PowerShell AD cmdlet이 작동하지 않음을 의미합니다. 그러나 RSAT는하다전통적인 MS-RPC와 LDAP만 필요하므로 작동합니다. (PowerShell의 [adsi]인터페이스도 LDAP 기반이므로 작동합니다.)
- (Server2012+를 DC로 승격하려면 어떤 이유로 AD 웹 서비스가 필요한 것 같아서 그것도 작동하지 않는 것으로 기억하는 것 같습니다. 따라서 Samba에서 Windows Server로 마이그레이션하려면 Server2008을 다음과 같이 사용해야 할 수도 있습니다. 중개인.)
파일 ACL~ 할 것이다레지스트리 ACL, 프린터 ACL, GPO ACL 등과 마찬가지로 잘 작동합니다. 모두 DC가 아닌 파일 서버 자체에 의해 적용됩니다(DC는 그룹 멤버십을 올바르게 보고해야 합니다).
AD 인증서 서비스~ 할 것이다작동하지만 이는 DC 기능이 아니며 Samba의 일부로 포함되지 않습니다. 실제로 인증 기관을 호스팅하려면 여전히 Windows Server가 필요합니다.
- 또한 이전 Samba DC 버전(4.12까지)에는 컴퓨터에 자동으로 권한이 부여되지 않는 버그가 있었습니다.도메인 컴퓨터" 모든 유형의 ACL에 영향을 미치는 SID. 가장 중요한 것은 많은 표준 인증서 템플릿 ACL에 "도메인 컴퓨터"가 필요하기 때문에 AD 인증서 서비스 자동 등록이 작동하지 않는다는 것을 의미합니다. (이 버그는 4.13+에서 수정되었으므로 ADCS는 이제 올바르게 작동합니다. , 다른 모든 ACL 유형과 마찬가지로)
그룹 정책~ 할 것이다일하다. 그러나 GPO 데이터는 여러 DC에서 자동으로 동기화되지 않으므로(Samba에는 DFS-R 지원이 부족하기 때문에) 모든 변경 후에는 Sysvol을 수동으로 robocopy해야 합니다. (그러나 "도메인 컴퓨터" ACL 버그에 유의하십시오.)
Azure AD 연결아마작동하지 않습니다.
Kerberos 제한 위임이 완전히 구현되었는지 여부는 확실하지 않습니다. 이는 Hyper-V 클러스터와 관련이 있을 수 있습니다.
독립 실행형 Hyper-V가 작동합니다. 복제가 작동합니다. 실시간 마이그레이션거의작동합니다. SPN에 공백이 포함된 경우 Samba DC가 Kerberos 티켓을 올바르게 발행하지 못하게 하는 작은 버그(4.16까지)가 있습니다.

(다행히 Hyper-V 실시간 마이그레이션은 SPN에 공백을 넣는 것이 좋다고 생각한 유일한 서비스입니다. 하지만 수동으로 해결하는 방법이 있습니다.그리고Bugzilla에도 패치가 있지만 아직 적용되지 않았습니다.)
Hyper-V 클러스터링이 작동하는지 여부는 알 수 없습니다. "SPN의 공백" 버그와 제한된 위임 부족의 영향을 받을 수 있습니다.

Samba4 도메인 및 Active Directory 호환성?

답변1

관련 정보