いまさら聞けないwindows server 2003⇒samba4移行の極意(2015/02/28 osc 2015...
TRANSCRIPT
目的と対象者 目的
2015年7月のWindows Server 2003サポート終了を控え…
SambaのActive Directoryドメインコントローラへの移行を検討している方に対して、移行の方法、留意点を解説する
対象者Active Directory関連の基本的な用語、概念を理解
している方
Active Directoryの管理者
アジェンダ Sambaとは
Samba4によるActive Directoryの機能
Samba4によるActive Directoryへの
Windows Server 2003からの移行
Samba4によるActive Directoryの運用
Sambaのインストール、DC構築の詳細手順は、Webや書籍などを参照してください
Sambaとは Linux(UNIX)系OS上でWindowsサーバの各
種機能を実現するオープンソースのソフトウェア
2012年12月リリースのSamba 4.0.0 以降(Samba4)では、
Active Directory(AD)のドメインコントローラ(DC)機能
を実装それ以前のSamba(Samba3)は、ADドメインのクラ
イアント機能のみ実装
Sambaとは サポートポリシー
9か月毎に新系列をリリース→最長27ヶ月サポート 最新系列(4.1):フルサポート
1つ前(4.0):メンテナンスサポート
2つ前(3.6):セキュリティ修正のみサポート
Windowsと比べると短いが…… ・バージョンアップが容易 ・サービスパック適用地獄がない
Sambaとは Windowsサーバのほぼすべての機能を網羅
ファイルサーバ(プリンタサーバ) スタンドアロンのサーバとして以外に、ドメインのクライア
ントとして認証統合も可能
ネットワーク機能(WINS、ブラウジングなど)
ADドメインのDC機能 → 今回解説
クライアント機能 LinuxからWindowsサーバのファイル共有にアクセス
DC機能以外は各所の情報を参照のこと
Samba4によるADの機能 認証機能
Windowsクライアントのドメイン参加をサポート
ユーザ、グループの各種属性、機能もサポート
DNSサーバ機能ADに必要なDNS機能を内蔵(BINDとの連携も可)
グループポリシー(GPO)、OUただし、Sambaサーバ自体はGPOで制御できない
FSMO、機能レベル(ドメイン、フォレスト)
基本はWindows Server 2008 R2互換
Samba4によるADの機能-メリデメ メリット
必要リソースが些少 最低限、メモリ256MB程度でも動作する
CAL等のライセンス費用が不要
各種設定ファイルがファイルベースなので、バックアップやリストアが容易
デメリットマイクロソフト社のサポートが受けにくい
各種機能制限がある
最低限Linuxサーバを管理できる要員が必須
Samba4によるADの管理 デモ
通常のADと同じく、Windowsの管理ツールを使って管理可能
参考:SambaとWindowsのDC混在 SambaのDCとWindowsのDCの混在
SambaとWindowsのDCが共存
Samba4によるADの機能-未サポート SYSVOL共有の同期 → 別途作りこみ必須
SambaのDC同士は、rsyncなどで別途同期させる
WindowsのDCとの同期も何らか作りこみが必要 運用に際し、Samba固有の注意が必要
ADのディレクトリ同期は実装
SYSVOL共有の同期は未実装
GPO GPO
DC(Samba4) DC(Samba4 or Windows Server)
Samba同士はrsync等で別途共有内のファイルを定期的に同期させる
ユーザ ユーザ
Samba4によるADの機能-未サポート フォレスト内の複数ドメイン、RODC
実装中であり、一部機能は動作する(してしまう)
Windows Server 2012以降のDC、Exchange Server等のインストールRPCによるスキーマ拡張をサポートしていないため※手作業でのスキーマ拡張は可能
SharePointやSQL Server(スキーマ拡張なし)は、インストール可能
Samba4によるADの機能-未サポート サイトを意識したDC間の複製の制御
クライアントの参照先DCの振り分け機能は有効
サイトリンク(サイトリンクブリッジ)等は機能しない
信頼関係
Samba4によるADの機能-サマリ ADの機能のサポートを拡大していく方向
現状、単一ドメインに閉じた機能はほぼサポート項目 Samba 4.0系列
ユーザ、グループ、認証 ◎サポート
グループポリシー、OU ◎サポート(ただし、Sambaサーバ自体の設定の制御はできない)
FSMO、機能レベル ◎サポート
ディレクトリ複製(DRS) ◎サポート
SYSVOL共有複製 ×(rsync等で別途対応必要)
DNSサーバ ○サポート(ADの動作上問題ないが、機能制限あり)
サイトによる制御 △(クライアント向け機能のみサポート)
RODC ×(サポート予定)
スキーマ拡張 △(手動拡張のみサポート)
追加のDC参加 △(Windows Server 2012以上は現在不可)
複数ドメイン ×(サポート予定)
外部信頼関係 △(信頼されることのみ可能。信頼することはできない)
Windows Server 2003からの移行 基本的にはローリングアップデート
SambaのDCを参加 samba-tool domain joinコマンド
ディレクトリの複製 ユーザやDNS情報が複製されていることを確認
samba-tool drs showreplコマンド
FSMOの移行 samba-tool fsmo [transfer|seize]
SYSVOL共有の内容を手作業で複製複製後、samba-tool ntacl sysvolresetを実行して、アク
セス許可の情報を適切に設定する
Windows Server 2003からの移行 基本的にはローリングアップデート
SambaのDCの動作確認
Windows ServerのDCを降格 現状DCの降格は不安定→必要に応じ、強制降格
NTP(もしくは他の時刻同期機構)を構成 SambaはNTPサーバ機能を提供していないので、別途
ntpdなどを構成する
SYSVOL共有の同期を構成 rsyncでマスタースレーブ形態のファイル同期を構成の上
samba-tool ntacl sysvolresetでアクセス許可の再設定を行うのが一般的
https://wiki.samba.org/index.php/Join_a_domain_as_a_DC
SambaによるADの運用 smb.confの設定はあまり必要でない
実はインストーラが生成したままでも使えてしまう
samba-toolやGUIによる動的設定増加AD周りの設定は、
ほぼコマンドorGUI
ファイルサーバのアクセス制御もGUIから行うのが基本
良くも悪くも、Windows的スキルが必要→いったん起動すれば、Windowsサーバと同等に管理可能
# Global parameters[global] workgroup = SAMBA40AD3 realm = SAMBA40AD3.SAMBA.LOCAL netbios name = SQUEEZE32-2 server role = active directory domain controller dns forwarder = 192.168.135.2 idmap_ldb:use rfc2307 = yes
[netlogon] path = /usr/local/samba/var/locks/sysvol/samba40ad3.samba.local/scripts read only = No
[sysvol] path = /usr/local/samba/var/locks/sysvol read only = No
スクリプトの生成したsmb.conf例
Samba4によるADの運用 基本的にはWindowsの管理ツールで管理する
ユーザ、グループの管理、GPO、OU関連、DNS rsyncを使っている場合、GPOを編集する際は、rsync複製元のDCに接続して行うこと
各種スクリプトによる設定も可能
samba-toolコマンドで設定することも可能samba-tool [user|group|gpo|...]
設定できない機能あり
Samba4によるADの運用 ADそのものや、Sambaサーバ自体の設定は、
基本的にLinux上から設定ドメインのアカウントポリシー
samba-tool domain password settingsコマンド
※Sambaサーバ自身はGPOをサポートしていないため
SambaのDC追加、削除 samba-tool domainコマンド
デモ
まとめ Windows Server 2003のADからSamba4の
ADへの移行は……✔ 単一ドメイン環境であれば可能
✔ ただし、Samba4とWindowsのDCとの混在は、SYSVOL共有複製の問題で現状難しい
✔ 運用は、ほぼ従来と変わらずWindowsから可能
ご清聴ありがとうございました