Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2941 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Active Directory sous Samba

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Active Directory sous Samba

n°162876
jackseg198​0
Posté le 01-05-2019 à 19:41:11  profilanswer
 

Bonjour,
 
Je test une configuration avec un mélange de Windows et Linux pour un domaine.
J'ai 3 serveurs Active Directory:
 
- AD01 (win2003R2)
- AD02 (Win2012R2)
- AD03 (Samba 4.7.6-Ubuntu)
 
Les 3 sont membre AD du domaine.
La réplication fonctionne correctement. (repadmin /showrepl et samba-tool drs showrepl).
 
AD01 et AD02 reprennent la main sans problème en cas de coupure de l'un de ces serveurs.
Par contre, si je coupe AD01 (Windows) et AD02 (Windows), AD03 (Linux) ne reprends pas et je ne peux pas me connecter sur le domaine avec un client.
 
Même sur le serveur AD03, je n'ai plus de réponse du domaine et autres entrées DNS qui étaient bien répliquées quand AD01 et AD02 fonctionnaient.
Un samba-tool drs showrepl ne fonctionne plus non plus.
Mon but est que tout AD membre du domaine puisse servir en cas de crash de tous les autres.
 
N'étant pas très à l'aise avec Samba, auriez-vous une piste ? J'ai un doute sur DFS-R mais je ne sais pas trop ou regarder pour régler ce problème.
 
Merci d'avance.
Jack


Message édité par jackseg1980 le 01-05-2019 à 19:44:27

---------------
youplà boum...
mood
Publicité
Posté le 01-05-2019 à 19:41:11  profilanswer
 

n°162890
Wolfman
Modérateur
Lobo'tomizado
Posté le 02-05-2019 à 16:33:26  profilanswer
 

J'ai du mal à comprendre : quel rapport entre Samba (un système de partage de fichiers Linux SMB), et des serveurs Active Directory (donc là pour gérer un annuaire LDAP++++ et des authentifications).
 
Tu ne te mélangerais pas les pinceaux ? Moi ça me parait normal que plus rien ne marche si tes deux contrôleurs de domaine tombent. AD03 ne peut pas être un contrôleur de domaine, c'est un Linux...

n°162892
ShonGail
En phase de calmitude ...
Posté le 02-05-2019 à 17:19:50  profilanswer
 

Samba permet de gérer un AD depuis quelques temps déjà : https://doc.ubuntu-fr.org/samba-active-directory

n°162894
HPIR40
Posté le 02-05-2019 à 18:01:06  profilanswer
 

Le problème de samba c'est qu'il va lire un AD Microsoft existant pour le traduire à sa sauce et le renvoyer sur les postes clients avec sa propre sauce.
 
D'ailleurs quand on entre un windows dans un domaine samba le protocole est totalement différent de celui d'un domaine AD 100% microsoft  
 
En plus, en aucun cas un domaine samba ne peut prendre le relais sur un AD Microsoft qui crash.
 
La où je bosse, quand je suis arrivé il y avait 2 domaines. Un domaine AD classique et un domaine samba. L'admin avant moi avait commencé à essayer de tout mettre sur samba (et n'avait pas fini, je devais donc prendre le relais!!!!). Pour être clair c'était une horreur, il fallait être dedans tous les jours pour avoir un semblant de stabilité.
 
J'ai viré le domaine samba pour tout remettre en 100% AD Microsoft et depuis tout roule et tout est stable.
 
J'ai 50% de users sous Microsoft 7/10 et 50% de users sous Ubuntu.

n°162898
sohiermdp
Posté le 02-05-2019 à 18:48:58  profilanswer
 

Je ne sais pas si tu connais : https://dev.tranquil.it/wiki/Samba4
Il y a un peu de doc pour mettre Samba4 en DC secondaire. J'ai pas testé.

n°162901
eusebius
Posté le 02-05-2019 à 19:29:59  profilanswer
 

Wolfman >> La solution existe depuis pas mal de temps déjà (5 ou 6 ans ?), étonnant que tu n'en ai pas entendu parler.  
Des boites comme Synology semblent désormais la trouver assez sérieuse/stable pour l’intégrer dans leur offre commerciale et en faire la promotion (Synology Active Directory Server)
 
Il y a pas mal de limitations (connues et documentées) mais pour de petits besoins (TPE, asso, écoles ...), c'est une solution qui n'est pas à exclure.
J'en ai mis en place à quelques reprises (samba 4 sous Ubuntu server ou Synology Active Directory Server) et pour le moment je n'ai pas eu de mauvaises surprises.
 
Je n'ai par contre jamais testé le mélange de contrôleurs Windows et Samba, faudrait que je test par curiosité mais ce n'est pas le genre de truc que j'aurais envie de mettre en prod. :spamafote:
 
A+

n°162902
jackseg198​0
Posté le 02-05-2019 à 19:59:11  profilanswer
 

Merci pour vos réponses.

 

Le but final est de passer tout sous Linux.
Il y avait au départ un serveur 2003 AD avec des clients sous XP et Seven mais depuis, ils ont migré le 90% des clients sous Linux.

 

Donc pour ne pas tout chambouler, je suis en train de tester la cohabitation de Windows et Linux pour les AD mais sans trop de succès pour le "disaster recovery".
J'ai laissé le niveau fonctionnel de la forêt et du domaine en 2003 mais j'ai quand même l'impression que Samba gère mieux le niveau fonctionnel de 2008 R2.

 

L'autre solution serait de laisser le domaine Windows sous 2003 et de créer un tout nouveau domaine avec du full Samba en AD mais là, ça demande un peu plus de planification pour la migration.
Est-ce que plusieurs AD Samba ont les mêmes problèmes ou c'est mieux gérer entre-eux ?
Ou mieux, passer totalement en OpenLDAP si on a plus de Windows. Ce ne serait pas plus simple ?

 

Pour le Synology, j'ai essayé l'Active Directory Server mais il est trop limité pour ce que je veux faire.
C'est un Samba "castré". On ne peut faire qu'un domaine, impossible de synchroniser les autres AD Synology, impossible de l'ajouter comme membre DC d'un domaine existant, .... C'est bien pour un petit groupe de travail (50 users max.)

 

Merci pour le lien https://dev.tranquil.it/wiki/Samba4
Je ne connais pas, je vais un peu lire tout ça.


Message édité par jackseg1980 le 03-05-2019 à 00:08:37

---------------
youplà boum...
n°162940
jackseg198​0
Posté le 04-05-2019 à 17:11:49  profilanswer
 

Bonjour,
 
J'ai continué les tests et en fait Samba remplace bien tous les DC qui tombent.
 
J'ai juste ajouté une zone slave DNS dans le sous-réseau pour pouvoir y avoir toujours accès et les clients windows et linux peuvent se connecter au domaine sans problème :-)
En fait non, pas besoin d'un autre serveur DNS. On peut utiliser bind9 ou l'interne à Samba en ajoutant l'option --dns-backend=SAMBA_INTERNAL quand on ajoute le DC au domaine.
Il y avait aussi une autre erreur. La timezone était fausse sur mon DC Samba, ce qui faisait que j'avais un décalage de 2 heures avec les autres DC. Pensez à configurer proprement le NTP.
 
Donc voilà, je confirme que ça fonctionne bien et qu'un Samba actuel peut remplacer sans problème un DC Windows.
Après je dois faire plus de tests pour voir si c'est fiable et stable mais c'est un bon début.


Message édité par jackseg1980 le 04-05-2019 à 20:33:02

---------------
youplà boum...
n°162941
dims
if it ain't brocken, mod it !
Posté le 05-05-2019 à 09:13:05  profilanswer
 

un AD sans DNS évidement, ça marche pas bien ;)
 
j'avais déjà fait des tests il y a quelques années avec les premières version de samba4, ça marche plutôt bien.
 
attention cependant, certains trucs ne fonctionnent pas (c'est documenté, a l'heure actuelle, c'est le DFSR qui est le plus gênant)
 
le plus gros point noir, c'est les éventuelles extensions de schéma qui peuvent ne pas être prises en charge (par exemple, exchange 2013+ qui ne peut être installé, pas très grave vu qu'aujourd'hui la tendance est a l'externalisation des mails) mais par contre, si un jour tu as un soft qui a besoin d'une extension, ça peut foirer lamentablement !!!!


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Active Directory sous Samba

 

Sujets relatifs
Synology Active Backup for Office365active directory
impossible de contacter un contrôleur de domaine active directory pourCentos samba+sssd+active directory et client OSX (oui je cumule)
Samba 4 et syncronisation ADRadius Samba Active directory
Plus de sujets relatifs à : Active Directory sous Samba


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR