我正在家中運行一個測試 AD 實驗室,其中有一個具有單域的 AD 林。功能等級是 2016 年。在開始之前,我想知道它與現有 Windows 基礎架構的兼容性如何?目前的基礎設施如下:
- 一台 Windows Server 2019 網域控制站
- 一個森林(功能等級2019),一個域
- 幾個網站(目前我只使用一個)
- 幾台GPO(我想是10~20?)
- ADCS
- <= 5 個用戶
- SQL Server(安裝在具有 AD 驗證的已加入網域的 Windows Server 上)
- WSUS、NPS、SMB 檔案共享等(多個加入網域的伺服器)
- 兩個節點的 Hyper-V 故障轉移叢集。
- AAD 連接
- 目前沒有 System Center 產品。
- 一台或兩台 Windows 10 電腦。
- 使用 RSAT 進行管理。
如果我切換到 Samba DC,它們會按原樣工作嗎?文件 ACL 怎麼樣?管理成本怎麼樣(例如簡單的管理和故障排除、豐富的社區資源、輕鬆的升級等)?是否可以直接切換到 Samba 還是需要建立新的網域或林?謝謝。
答案1
目前Samba 4.15僅支援Server 2008功能級別,因此您很可能無法將 Samba DC 新增至現有網域。您也無法將新網域新增至林中。
除此之外,根據 Samba 版本可能會存在一些相容性問題 - 我強烈推薦 4.12 或更高版本。以下是 Samba 4.15 的整體狀態:
森巴舞做支援加入現有網域作為 DC 並複製數據,但即使您從僅 Samba 網域開始,您也需要一個包含所有與複製相關修復的最新版本。
森巴舞才不是實施廣告網路服務,這意味著 PowerShell AD cmdlet 將無法運作。然而,RSAT做因為它只需要傳統的 MS-RPC 和 LDAP。 (PowerShell 的
[adsi]介面也是基於 LDAP 的,因此它也可以工作。)- (我似乎記得將Server2012+提升為DC似乎出於某種原因需要AD Web Services,所以這也行不通......所以如果你想從Samba遷移到Windows Server,你可能需要使用Server2008作為一個中間人。
文件 ACL將要工作正常,註冊表 ACL、印表機 ACL、GPO ACL 等也是如此。
AD憑證服務將要可以工作,但它不是 DC 功能,也不包含在 Samba 中 - 您仍然需要 Windows Server 來實際託管憑證授權單位。
- 另請注意,較舊的 Samba DC 版本(最高 4.12)有一個錯誤,該錯誤會阻止電腦自動授予“域計算機「 SID,影響所有類型的ACL。最重要的是,這意味著AD 憑證服務自動註冊將無法運作,因為許多標準憑證範本ACL 需要「網域電腦」。(此錯誤已在4.13+ 中修復,因此ADCS現在可以正常運作,與所有其他 ACL 類型一樣。
團體政策將要工作。但是,GPO 資料不會在多個 DC 之間自動同步(因為 Samba 缺乏 DFS-R 支援),因此您需要在每次變更後手動自動複製 Sysvol。 (但請注意「網域電腦」ACL 錯誤。)
Azure AD 連線大概行不通的。
我不確定 Kerberos 約束委派是否已完全實現,這可能與 Hyper-V 叢集有關。
獨立的 Hyper-V 可以工作。複製有效。即時遷移幾乎有效 – 有一個小錯誤(一直到 4.16),如果 SPN 包含空格,則該錯誤會阻止 Samba DC 正確發出 Kerberos 票證。
(幸運的是,Hyper-V 即時遷移是唯一認為在其 SPN 中放置空格是個好主意的服務。不過,有一個手動解決方法,和Bugzilla 上也有一個補丁,但尚未應用。
不知道 Hyper-V 叢集是否有效 – 它可能受到「SPN 中的空格」錯誤以及缺乏約束委派的影響。