Technologie-Beobachtungsprojekt | Windows Multisite AD

[sgelineau]

Hallo,

ich bin 19 Jahre alt und absolviere ein duales Studium (Arbeit und Studium) an der ENI-Informatikschule (zweijähriges Aufbaustudium nach dem Abitur).

Mein Projekt im Rahmen des Technology Watch-Programms trägt den Titel „Migration einer standortübergreifenden Active Directory-Infrastruktur zu Samba“. Ich habe einen Prototyp mit VMware Workstation erstellt. Dieser umfasst:

– drei Active Directory-Standorte: Frankreich, Spanien und Deutschland (jeweils in einem anderen Subnetz, 10.0.1.X, 10.0.2.X, 10.0.3.X)

– Der Hauptstandort „Frankreich“ ist eine Debian-VM mit DHCP-Server und DHCP-Relay sowie einem Router (drei Schnittstellen pro Subnetz mit Portweiterleitung)

– jeweils ein Client-PC pro Standort.

Zusätzlich habe ich eine VM mit CentOS 7 installiert. Nach der Konfiguration konnte ich die Domäne (als Domänencontroller) trotz mehrerer Versuche leider nicht beitreten.

Nach einiger Recherche habe ich keine Antwort gefunden, daher frage ich Sie:
Unterstützt Samba 4.7.4 Multisite?

Vielen Dank im Voraus!

[dcardon]

In diesem Fall gibt es kein Konzept eines „Standorts“ im Sinne von Active Directory. Es handelt sich lediglich um unterschiedliche IP-Subnetze.

Wenn die Server einander erreichen können, keine Filterung stattfindet und das DNS korrekt konfiguriert ist, gibt es keinen Grund für Probleme.

Wir verwalten Domänen mit Dutzenden von Domänencontrollern und optimal konfigurierten Active Directory-Standorten und -Diensten. Daher funktioniert es einwandfrei.

Ich empfehle Ihnen, die Dokumentation noch einmal zu lesen und die IP-, DNS- und Routing-Einstellungen zu überprüfen.

Denis

[sgelineau]

Vielen Dank für Ihre Antwort. Ja, mit „Standort“ meinte ich beispielsweise, dass sich ein PC im deutschen Subnetz am deutschen Domänencontroller authentifiziert usw.

Für die ursprünglichen Domänencontroller (die Windows-Infrastruktur) verwende ich Windows Server 2016 mit einer Gesamtstruktur, die ursprünglich unter Windows Server 2016 lief. Ich habe sie per PowerShell auf Windows Server 2008 R2 herabgestuft. Mir ist bekannt, dass eine Gesamtstruktur mit dem Funktionslevel 2012/2012 R2 nicht vollständig unterstützt wird. Stimmt das?

Angenommen, wir verwenden eine Samba Active Directory-Infrastruktur mit Clients unter Windows 10. Funktioniert der Import der ADMX-Datei mit den Gruppenrichtlinienobjekten (GPOs) unter diesem Betriebssystem, um die neuen GPOs zu unterstützen?

Vielen Dank für Ihre Hilfe.

[dcardon]

Hallo sgelineau,

Samba4 unterstützt tatsächlich keine Gesamtstrukturebenen ab Windows Server 2012. Außerdem sollten Sie keinen Domänencontroller mit Windows Server 2012 verwenden, da selbst bei einer Gesamtstruktur und Domäne unter Windows Server 2008 R2 einige Funktionen von Samba nicht unterstützt werden (wahrscheinlich im Zusammenhang mit Schemas).

Mit etwas technischem Know-how können Sie einen Windows Server 2012 oder Windows Server 2016 auf einen Samba-AD-Server migrieren. Hierfür ist jedoch nicht das Standardverfahren geeignet; es erfordert Skripterstellung und ein umfassendes Verständnis der Vorgehensweise.

Für die Unterstützung von Windows 10 ist es möglich, Schemas in Samba zu importieren. Gruppenrichtlinienobjekte (GPOs) werden clientseitig interpretiert; Active Directory dient hauptsächlich der Speicherung von GPO-Definitionen, ähnlich wie ein Dateiserver. Wenn Sie Windows 10 zur Verwaltung Ihres Samba4-AD verwenden, stehen Ihnen dieselben GPO-Definitionen zur Verfügung, und Sie können weitere ADMX-Dateien importieren.

Denis

[agauvrit]

Hallo,

eine neue und noch wenig bekannte Ressource, mit der man schnell ADMX-Dateien und die zugehörigen Werte finden kann: https://getadmx.com/

Alexandre

[sgelineau]

Hallo,

ich werde meine Infrastruktur auf Windows Server 2008 R2 neu aufbauen. Ich melde mich wieder, falls ich auf weitere Installationsschwierigkeiten stoße.

Da ich gerade dabei bin: Wenn wir ausschließlich Samba Active Directory-Server verwenden, die wir mit RSAT-Tools auf einem Windows-Client verwalten, benötigen wir dann Clientzugriffslizenzen (CALs/LACs)?

Vielen Dank für Ihre Hilfe!

Sébastien

[dcardon]

Ich möchte diese Gelegenheit nutzen, um zu fragen: Wenn wir nur Samba Active Directory-Server haben, die wir über RSAT-Tools auf einem Windows-Clientrechner verwalten, benötigen wir dann eine "Clientzugriffslizenz" (CAL/LAC)?

Zunächst der notwendige Disclaimer: Ich bin kein Anwalt oder Rechtsexperte, sondern nur ein einfacher Ingenieur, der versucht, etwas zu verstehen, und die folgenden Bemerkungen sind meine eigenen Interpretationen nach stundenlangem, einsamem Lesen auf der Microsoft-Website und werden selbstverständlich ohne jegliche Gewährleistung bereitgestellt.

CALs sind für den Zugriff auf Dienste erforderlich, die von Servern bereitgestellt werden, und es gibt verschiedene Arten von CALs, je nachdem, auf welche Dienste zugegriffen wird.

Die „Datei“-CAL, die am häufigsten verwendet wird und für die wir uns hier interessieren, ermöglicht die Verbindung zu einem SMB-Dienst. Selbst in einer Arbeitsgruppe benötigen Sie für den Zugriff auf einen Microsoft Windows Server 2012 innerhalb einer Arbeitsgruppe eine CAL. Im Grunde hat dies wenig mit der Domäne zu tun, außer dass Sie sich bei der Anmeldung an einer Domäne mit der SYSVOL-Freigabe verbinden, was eine SMB-Verbindung darstellt.

Die „Datei“-CAL gilt auch für einen Druckserver. Der Zugriff auf den Verbindungsspooler erfolgt ebenfalls über das SMB-Protokoll.

Diese Datei-CAL ist auch für den WSUS-Server gültig. Die Verbindung erfolgt über HTTP, aber die Lizenzbestimmungen schreiben vor, dass eine Datei-CAL erforderlich ist, wenn die Verbindung zum IIS-Webserver authentifiziert wird (was bei WSUS der Fall ist, da sich der Windows-Client beim WSUS-Server authentifiziert). Es gibt eine Ausnahme für Windows Server 2003 Web Edition, aber ich glaube nicht, dass diese Version derzeit weit verbreitet ist.

Zusammenfassend lässt sich also sagen: Wenn Sie über einen Samba-AD und einen Samba-Dateiserver verfügen, aber keinen WSUS- oder Windows-Druckserver besitzen, dann benötigen Sie keine CALs.

Wer jedoch einen Windows-Druckserver nutzt, muss dafür bezahlen. Das ist wettbewerbsrechtlich fragwürdig, da kaum ein Kopiererhersteller alle Funktionen auf einem anderen Betriebssystem als Windows unterstützt. Aber nun ja.

Und selbst wenn Sie Linux- oder MAC-Clients haben, müssen Sie bezahlen, wenn diese eine Verbindung zu einem Windows-Dateiserver herstellen.

Für die Verwaltung von Windows-Updates können Sie entweder Windows Update verwenden oder ein anderes Produkt erwerben. Es gibt verschiedene Optionen, beispielsweise IBM BigFix oder Dell Kace. Wir haben intern bei TIS einen Prototyp entwickelt, um die Updateverwaltung in die WAPT Enterprise Edition zu integrieren. Ich hoffe, dass ich dieses Modul im ersten Halbjahr 2018 fertigstellen und integrieren kann.

[sgelineau]

Guten Abend,

ich habe die Migration endlich abgeschlossen. Zur Erinnerung: Es handelte sich um die „Migration einer Windows Server 2012 Multisite Active Directory-Domäne zu Samba 4“. Meine Infrastruktur lief unter Windows Server 2012 R2. Ich habe die Domänen-/Gesamtstrukturfunktionsebene auf 2008 R2 herabgestuft, einen Windows Server 2008 R2 als Domänencontroller installiert und integriert. Anschließend habe ich die FSMO-Rollen übertragen, die Replikation (GPO, DNS usw.) auf den neuen Server erzwungen und die anderen Domänencontroller zu Domänenmitgliedern herabgestuft und schließlich vollständig aus Active Directory entfernt. Die Migration von meinem einzelnen WS200R8-Domänencontroller zu zwei neuen Samba-AD-Domänencontrollern (einer für jeden Standort, wie in der ursprünglichen Infrastruktur) verlief problemlos.

Vielen Dank für die Informationen, die ich oben sowie auf Ihrer Website und im Wiki gefunden habe.