web-dev-qa-db-ja.com

Samba 4(4.1.6)でWindows 8 / 8.1に参加して使用するためのトリックはありますか?

サンバは私をまったく好きではないようです。さまざまなチュートリアルを実行しましたが、ドメインコントローラーとしてUbuntuサーバーを使用してWindows8を正しく動作させることができません。今週はubuntu14.04 ltsをダウンロードし、高速ドメイン構成を設定しました。いつものように、他のすべてのWindowsバージョン(XPおよび7)は機能しますが、最新のM $の悪夢は機能しません。この試みでは、ドメインに参加することすらなく、私のユーザー名またはパスワードが間違っていると言い続けます。

私の/etc/samba/smb.conf

# Global parameters
[global]
        workgroup = DOMAIN
        realm = DOMAIN.LAN
        netbios name = DOM
        server role = Active Directory domain controller
        dns forwarder = 8.8.8.8
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /var/lib/samba/sysvol/domain.lan/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[test]
        path = /SHARES/test
        read only = no

誰かが本当に機能するチュートリアルを持っていますか?私は多くのことを試したので、それぞれが異なる構成で、それらを作成した人とのみ機能します。

また、すべてのコンピューターに再参加する必要がない方法で、古いADユーザー、コンピューター、およびIDをインポートする方法はありますか?

[編集]

現在、4.0.0(最終バージョン)から4.1.9までのさまざまなバージョンをテストしており、すべてWindows8.1で動作します。

aclおよびattrがインストールされ、/ etc/fstabファイルに設定されていることを確認してください。

# / was on /dev/sda1 during installation
/dev/sda1 /               ext4    user_xattr,acl,barrier=1,errors=remount-ro 0       1

以下を使用して再マウントします。

mount -o remount,rw /

また、winsオプションを/ etc/nsswitch.confファイルに追加します。

hosts:          files wins dns

ドメインのプロビジョニング:

$ samba-tool domain provision --domain=domain --adminpass=Abc12345 --server-role=dc --realm=domain.lan --dns-backend=SAMBA_INTERNAL

/etc/samba/smb.conf:

/etc/samba/smb.conf

# Global parameters
[global]
    workgroup = DOMAIN
    realm = DOMAIN.LAN
    netbios name = DOM
    server role = Active Directory domain controller
    dns forwarder = 8.8.8.8

[netlogon]
    path = /var/lib/samba/sysvol/domain.lan/scripts
    read only = No

[sysvol]
    path = /var/lib/samba/sysvol
    read only = No

/ etc/hostsで完全な名前を設定する:

127.0.1.1 dom
192.168.0.2 dom.domain.lan dom

および/ etc/hostname:

dom.domain.lan

静的IPアドレスの設定:

auto eth0
 iface eth0 inet static
 address 192.168.0.2
 netmask 255.255.255.0
 network 192.168.0.0
 broadcast 192.168.0.255
 gateway 192.168.0.1
 dns-nameserver 8.8.8.8 208.67.222.222
 dns-search domain.lan

生成された/var/lib/samba/private/krb5.confを/ etcにコピーします

windows-8sambaactive-directory
2
msmafra

異なるバージョンでの私のテストはすべてうまくいきました。 4.0.0beta2を含むベータ版ですら。システムを壊すことなく、Debianバックポートからバージョン4.1.11にアップグレードすることができました(おい)。いくつかの問題を解決しましたが、Windows 8 /8.1結合は解決しませんでした。したがって、テストの後にテストを行うと、問題が見つかりました。

私のテストで機能した理由は、VM上のDNSとしてSambaサーバーのIPアドレスのみを使用したためです。実稼働ネットワークにはプライマリDNSとセカンダリDNSがあり、これがレルムのために問題を引き起こしています。 DNSとしてSambaサーバーのIPのみを使用する場合、Windows8/81はドメインに参加するのに問題はありません。これは、イントラネットや一部の内部システムなどの内部ページ/サービスに移動できない場合に問題を引き起こします。

今、問題はより大きく、Windows 8/8,1とは何の関係もありません。レルム名を変更する必要があります。

Mysite.comのような外部サイトがある場合、それは間違っていると思われます。

samba-tool domain provision --realm=**mysite.com** --domain=mysite

代わりに、次のようになります。

samba-tool domain provision --realm=ad.mysite.com --domain=mysite

smb.conf

[global]
workgroup = MYSITE
realm = ad.mysite.com
netbios name = SHARES
dns forwarder = <one of your choice>
server role = Active Directory domain controller

みんな、ありがとう!

1
msmafra

Sambaにバージョンの問題がないと仮定して、クロックが許容しきい値内にあることを確認してください。時間は私にこれとまったく同じ問題を何度も引き起こしました。 4.1.7では、私の8と現在の8.1マシンが参加してログインできました。

構成を詳しく見ると、レルムが問題になる可能性があります。

Microsoftが新しいドメイン名ポリシーを提起するWindows8に問題があります。ドメインの名前(例:example.com)にドット( "。")が含まれている場合、Windows8はこの名前をActiveDirectory名として扱い、Kerberos/LDAPサーバーに接続しようとします。したがって、これはこのドメインに参加することは不可能であり、既知の修正または回避策はまだありません。

ソース: https://wiki.samba.org/index.php/Registry_changes_for_NT4-style_domains#Windows_8_and_classic_domain_.28NT-4_style.29_with_a_dot_in_its_name

1
driz

修正済み:デバッグオプションを使用してSambaを手動で起動したところ、クライアントとサーバー間の時間差が原因でパスワードの一致に失敗した(Kerberosチケットの有効期限が切れた)ことがわかりました。時差を修正した後、クライアントはドメインに参加します(samba 4.1.6でも)...

0
einnordlicht