Совместимость домена Samba4 и Active Directory?

Question

В настоящее время Samba 4.15 поддерживает толькоФункциональный уровень Server 2008, поэтому вы, скорее всего, не сможете добавить Samba DC в свой существующий домен. Вы также не сможете добавить новый домен в лес.

Кроме этого, могут быть некоторые проблемы совместимости в зависимости от версии Samba – я бы настоятельно рекомендовал 4.12 или более позднюю версию. Вот общий статус Samba 4.15:

Самбаделаетподдерживают присоединение к существующему домену в качестве контроллера домена и репликацию данных, но даже если вы начинаете с домена, поддерживающего только Samba, вам понадобится последняя версия со всеми исправлениями, связанными с репликацией.
СамбанеосуществлятьВеб-сервисы AD, что означает, что командлеты PowerShell AD не будут работать. Однако RSATделаетработает, так как для этого нужны только традиционные MS-RPC и LDAP. (Интерфейс PowerShell [adsi]также основан на LDAP, поэтому он тоже работает.)
- (Кажется, я припоминаю, что для продвижения Server2012+ в качестве контроллера домена по какой-то причине требуются веб-службы AD, так что это тоже не сработает... поэтому, если вы хотите перейти с Samba на Windows Server, вам, возможно, придется использовать Server2008 в качестве посредника.)
Списки контроля доступа к файламволяработают нормально, как и списки контроля доступа к реестру, списки контроля доступа к принтерам, списки контроля доступа к GPO и т. д. Все они применяются самими файловыми серверами, а не контроллерами домена (контроллер домена просто должен правильно сообщать о вашем членстве в группах).
Услуги сертификации ADволяработать, но это не функция DC и не включена в состав Samba — вам все равно понадобится Windows Server для фактического размещения центра сертификации.
- Также обратите внимание, что в старых версиях Samba DC (до 4.12) была ошибка, из-за которой компьютерам не предоставлялось автоматически "Домен Компьютер«SID», который влиял на все типы списков контроля доступа. Что наиболее важно, это означало, что автоматическая регистрация служб сертификации AD не будет работать, поскольку для многих стандартных шаблонов сертификатов ACL требуется «Домен компьютера». (Эта ошибка была исправлена в версии 4.13+, поэтому ADCS теперь работает правильно, как и все другие типы списков контроля доступа.)
Групповая политикаволяработа. Однако данные GPO не будут автоматически синхронизироваться между несколькими контроллерами домена (потому что Samba не поддерживает DFS-R), поэтому вам придется вручную копировать ваш Sysvol после каждого изменения. (Но обратите внимание на ошибку ACL «Domain Computer».)
Azure AD Connectвероятноне сработает.
Я не уверен, реализовано ли в полной мере ограниченное делегирование Kerberos, что может иметь отношение к кластерам Hyper-V.
Автономный Hyper-V работает. Репликация работает. Живая миграцияпочтиработает – есть небольшая ошибка (вплоть до версии 4.16), которая не позволяет контроллерам домена Samba правильно выдавать билеты Kerberos, если SPN содержит пробелы.

(К счастью, динамическая миграция Hyper-V — единственная служба, которая посчитала хорошей идеей добавлять пробелы в свои SPN. Однако есть способ обойти это вручную,и(Также есть патч для Bugzilla, но он пока не был применен.)
Не знаю, работает ли кластеризация Hyper-V или нет – на нее может влиять ошибка «пробелов в SPN», а также отсутствие ограниченного делегирования.

Answer 1

В настоящее время Samba 4.15 поддерживает толькоФункциональный уровень Server 2008, поэтому вы, скорее всего, не сможете добавить Samba DC в свой существующий домен. Вы также не сможете добавить новый домен в лес.

Кроме этого, могут быть некоторые проблемы совместимости в зависимости от версии Samba – я бы настоятельно рекомендовал 4.12 или более позднюю версию. Вот общий статус Samba 4.15:

Самбаделаетподдерживают присоединение к существующему домену в качестве контроллера домена и репликацию данных, но даже если вы начинаете с домена, поддерживающего только Samba, вам понадобится последняя версия со всеми исправлениями, связанными с репликацией.
СамбанеосуществлятьВеб-сервисы AD, что означает, что командлеты PowerShell AD не будут работать. Однако RSATделаетработает, так как для этого нужны только традиционные MS-RPC и LDAP. (Интерфейс PowerShell [adsi]также основан на LDAP, поэтому он тоже работает.)
- (Кажется, я припоминаю, что для продвижения Server2012+ в качестве контроллера домена по какой-то причине требуются веб-службы AD, так что это тоже не сработает... поэтому, если вы хотите перейти с Samba на Windows Server, вам, возможно, придется использовать Server2008 в качестве посредника.)
Списки контроля доступа к файламволяработают нормально, как и списки контроля доступа к реестру, списки контроля доступа к принтерам, списки контроля доступа к GPO и т. д. Все они применяются самими файловыми серверами, а не контроллерами домена (контроллер домена просто должен правильно сообщать о вашем членстве в группах).
Услуги сертификации ADволяработать, но это не функция DC и не включена в состав Samba — вам все равно понадобится Windows Server для фактического размещения центра сертификации.
- Также обратите внимание, что в старых версиях Samba DC (до 4.12) была ошибка, из-за которой компьютерам не предоставлялось автоматически "Домен Компьютер«SID», который влиял на все типы списков контроля доступа. Что наиболее важно, это означало, что автоматическая регистрация служб сертификации AD не будет работать, поскольку для многих стандартных шаблонов сертификатов ACL требуется «Домен компьютера». (Эта ошибка была исправлена в версии 4.13+, поэтому ADCS теперь работает правильно, как и все другие типы списков контроля доступа.)
Групповая политикаволяработа. Однако данные GPO не будут автоматически синхронизироваться между несколькими контроллерами домена (потому что Samba не поддерживает DFS-R), поэтому вам придется вручную копировать ваш Sysvol после каждого изменения. (Но обратите внимание на ошибку ACL «Domain Computer».)
Azure AD Connectвероятноне сработает.
Я не уверен, реализовано ли в полной мере ограниченное делегирование Kerberos, что может иметь отношение к кластерам Hyper-V.
Автономный Hyper-V работает. Репликация работает. Живая миграцияпочтиработает – есть небольшая ошибка (вплоть до версии 4.16), которая не позволяет контроллерам домена Samba правильно выдавать билеты Kerberos, если SPN содержит пробелы.

(К счастью, динамическая миграция Hyper-V — единственная служба, которая посчитала хорошей идеей добавлять пробелы в свои SPN. Однако есть способ обойти это вручную,и(Также есть патч для Bugzilla, но он пока не был применен.)
Не знаю, работает ли кластеризация Hyper-V или нет – на нее может влиять ошибка «пробелов в SPN», а также отсутствие ограниченного делегирования.

Совместимость домена Samba4 и Active Directory?

решение1

Связанный контент