Внедерение Samba AD

3

2

Здравствуйте. Есть уже настроенная серверная часть. Осталось ввести компы и юзеров в домен, но вот тут как раз основная боль. Уже пару недель не решаюсь начать ибо до сих пор не уверен, что просчитал все подводные камни. Изначально имеется рабочая группа из примерно 100 win компов. Куча всяческих шар на них и общих принтеров, от которых так сразу не уйдешь, но для этого уже есть еще одна samba. То есть можно готовится к тому, что как минимум при вводе в домен и миграции локального профиля могут слететь сетевые пароли. Плюс вероятны временные проблемы с резолвом имен, потому что еще нужно переводить всех на новый dns сервер с измененным dns суффиксом ибо старый был а-ля .local По идее эти проблемы решаемы и тут только вопрос хватит ли мне, например, двух выходных для всего этого? Может кто нибудь есть с опытом внедрения AD? Понимаю, что моя тема в некотором смыле оффтопик, но вдруг кто нито поделится своим опытом и набитыми шишками?)

Ссылка

←	Fail2ban не добавляет бан в iptables

Как дать права за запуск скрипта от другого пользователя?

→

Если не уверен, скопируй образы 2-5 самых нагруженных рабочих мест в виртуалку,
подними там сеть, домен и прорабатывай все нюансы по списку. Если нет чёткого понимания что ты делаешь, то не берись.

bass ★★★★★
(21.03.17 17:07:46 MSK)

Ссылка

Даже если забыть про самбу АД, а говорить про родной вин АД, 100 компов на одного за выходные это слишком много. К гадалке не ходи всплывут подводные камни, а на все из них вас одного не хватит. И даже если успеете (по вашему мнению) то все равно что-то да пропустите (при учете полного плана). Т.е. надо быть готовым с утра понедельника (и еще долго потом) разгребать «остатки». А вам нужен такой трэш?
Переносите неспеша по отделам, сегодня один, завтра второй и т.д. При плавном переходе выполнять можно даже в-обед/отсутствие-юзера/вечером.

anc ★★★★★
(21.03.17 20:53:22 MSK)

Ответ на: комментарий от anc 21.03.17 20:53:22 MSK

Насчет плавного перехода я думаю вы правы. Но я туплю немного из-за потенциальной проблемки с новым dns сервером и новой зоной на контроллере домена. По моим расчетам, если я резко пропишу в опциях dhcp новый dns c еще пустой зоной, то для всех в сети случится что-то нехорошее...

А может быть и нет. Попробую такой финт - через dhcp отдавать оба dns суффикса(старый и новый), а затем прописать на DC в forwarders адрес старого dns, который будет отдавать старую зону еще не переведенным в домен компам. И переведенным тоже будет отдавать, если для новой зоны еще не будет нужной записи. По идее должно же работать, если я правильно понимаю как работает domain-name и domain-search опции)

N-N ★
(21.03.17 23:46:46 MSK) автор топика

Ответ на: комментарий от N-N 21.03.17 23:46:46 MSK

если я резко пропишу в опциях dhcp новый dns c еще пустой зоной, то для всех в сети случится что-то нехорошее...

Пропишите slave или туда или туда и будет счастье.

anc ★★★★★
(22.03.17 00:29:10 MSK)

Ответ на: комментарий от anc 22.03.17 00:29:10 MSK

Вот спасибо большое. Прописал на dc slave под старую зону. Это гораздо проще и правильней оказалось.

N-N ★
(22.03.17 11:37:55 MSK) автор топика

Ссылка

Введите samba как вторичный контроллер, покатайтесь, посмотрите, а потом отключите виндовый. Но учтите, вроде как низя в самбе групповые политики, хотя, если подумать, можно всё написать скриптами - оно вам надо этот геморой?

Glafir
(22.03.17 11:54:21 MSK)

Ответ на: комментарий от Glafir 22.03.17 11:54:21 MSK

Я в первом посте писал, что у меня сейчас только рабочая группа, т.е. самба будет пока что единственным dc. Ну перед настройкой я хорошо поизучал возможности самбы. Если грамотно настроить, то должно работать без особых проблем. GPO там есть, если управлять через RSAT. Понятно конечно что костыльно, но денег на трушный виндовый домен мне не дадут)

N-N ★
(22.03.17 12:33:15 MSK) автор топика

Ответ на: комментарий от N-N 22.03.17 12:33:15 MSK

Недавно читал, что в самбе не хватает каких-то схем для полноценной работы с win юзерами, и что нужно запустить сначала самбу вторичным контроллером виндового контроллера, чтоб схемы подтянулись.

Deleted
(22.03.17 12:50:02 MSK)