我在家里运行一个测试 AD 实验室,该实验室有一个包含单个域的 AD 林。功能级别是 2016。我正尝试迁移到 Samba4 域控制器以解决许可问题并测试新内容。在开始之前,我想知道它与现有 Windows 基础架构的兼容性如何?当前的基础架构如下所示:
- 一个 Windows Server 2019 域控制器
- 一个林(功能级别 2019),一个域
- 几个网站(目前我只使用一个)
- 几个 GPO (我想是 10 到 20 个?)
- 抗体偶联受体
- <= 5 个用户
- SQL Server(安装在已加入域且具有 AD 身份验证的 Windows Server 上)
- WSUS、NPS、SMB 文件共享等(多个加入域的服务器)
- 双节点 Hyper-V 故障转移群集。
- AAD 连接
- 目前没有 System Center 产品。
- 一台或两台 Windows 10 PC。
- 使用 RSAT 进行管理。
如果我切换到 Samba DC,它们会按原样工作吗?还是会存在兼容性问题?文件 ACL 怎么样?管理成本怎么样(例如简单的管理和故障排除、丰富的社区资源、轻松升级等)?是否可以直接切换到 Samba,还是我需要创建新的域或林?谢谢。
答案1
目前,Samba 4.15 仅支持Server 2008 功能级别,因此您很可能无法将 Samba DC 添加到现有域。您也无法将新域添加到林中。
除此之外,根据 Samba 版本不同,可能存在一些兼容性问题 - 我强烈建议使用 4.12 或更高版本。以下是 Samba 4.15 的总体状态:
桑巴做支持将现有域作为 DC 加入并复制数据,但即使您从仅限 Samba 的域开始,您也需要具有所有与复制相关的修复的最新版本。
桑巴才不是实施AD Web 服务,这意味着 PowerShell AD cmdlet 将不起作用。但是,RSAT做因为它只需要传统的 MS-RPC 和 LDAP。(PowerShell 的
[adsi]
界面也是基于 LDAP 的,所以它也可以工作。)- (我似乎记得,出于某种原因,推广 Server2012+ 作为 DC 似乎需要 AD Web 服务,所以这也行不通……所以如果您想从 Samba 迁移到 Windows Server,您可能需要使用 Server2008 作为中介。)
文件 ACL将要工作正常,注册表 ACL、打印机 ACL、GPO ACL 等也是如此。所有这些都是由文件服务器本身强制执行的,而不是由 DC 强制执行(DC 只需正确报告您的组成员身份)。
AD 证书服务将要可以工作,但它不是 DC 功能并且不包含在 Samba 中 - 您仍然需要 Windows Server 来实际托管证书颁发机构。
- 还请注意,较旧的 Samba DC 版本(最高 4.12)有一个错误,导致计算机无法自动获得“域计算机“SID,它影响了所有类型的 ACL。最重要的是,这意味着 AD 证书服务自动注册将不起作用,因为许多标准证书模板 ACL 都需要“域计算机”。(此错误已在 4.13+ 中修复,因此 ADCS 现在可以正常工作,所有其他 ACL 类型也是如此。)
组策略将要可以工作。但是,GPO 数据不会自动在多个 DC 之间同步(因为 Samba 缺乏 DFS-R 支持),因此每次更改后您都需要手动 robocopy 您的 Sysvol。(但请注意“域计算机”ACL 错误。)
Azure AD 连接大概不起作用。
我不确定 Kerberos 约束委派是否已完全实现,这可能与 Hyper-V 集群有关。
独立 Hyper-V 运行正常。复制运行正常。实时迁移几乎有效 - 存在一个小错误(一直到 4.16),如果 SPN 包含空格,则会导致 Samba DCs 无法正确颁发 Kerberos 票证。
(幸运的是,Hyper-V 实时迁移是唯一一个认为在 SPN 中添加空格是个好主意的服务。不过,有一个手动解决方法,和Bugzilla 上也有一个补丁,但尚未应用。
不知道 Hyper-V 集群是否有效 —— 它可能受到“SPN 中的空格”错误以及缺乏约束委派的影响。