Foro de TI tranquilo

Hola,

tengo 19 años y estoy en un contrato de trabajo-estudio (alternando trabajo y estudio) en un TSRIT (diploma de 2 años después de la escuela secundaria) en la escuela de ciencias de la computación ENI.

Tengo un proyecto de vigilancia tecnológica: "Migración de una infraestructura de Active Directory multisitio a Samba". Creé un prototipo usando VMware Workstation. Incluye:

- 3 sitios de Active Directory: Francia, España y Alemania (cada uno en una subred diferente, 10.0.1.X, 10.0.2.X, 10.0.3.X)

- El sitio principal, "Francia", es una VM Debian con un servidor DHCP + DHCP Relay, y un enrutador (3 interfaces en cada subred con redireccionamiento de puertos)

- 1 PC cliente para cada sitio.

También instalé una VM ejecutando CentOS 7. Una vez que todo estuvo configurado, desafortunadamente no pude unirme al dominio (como controlador de dominio) a pesar de múltiples intentos.

Tras buscar un poco, no he encontrado respuesta, así que les pregunto:
¿Samba 4.7.4 es compatible con multisitio? ¡

Gracias de antemano!

En este caso, no existe el concepto de "sitio" en el sentido de Active Directory. Simplemente son subredes IP diferentes.

Si los servidores pueden verse entre sí, no hay filtrado y el DNS está configurado correctamente, no hay motivo para problemas.

Administramos dominios con docenas de controladores de dominio, con Sitios y Servicios de AD bien configurados. Así que sí, funciona correctamente.

Creo que deberías releer la documentación y revisar la configuración de IP, DNS y enrutamiento.

Denis

Gracias por su respuesta. Sí, con "sitio" me refería a que, por ejemplo, un PC en la subred de Alemania se autenticaría en el controlador de dominio de Alemania, etc.

Para los controladores de dominio iniciales (la infraestructura de Windows), estoy usando Windows Server 2016, con un bosque que inicialmente era de 2016. Lo degradé a 2008 R2 mediante PowerShell. Entiendo que un bosque con un nivel funcional de 2012/2012R2 no es totalmente compatible. ¿Es correcto?

Digamos que estamos usando una infraestructura de Active Directory Samba, con clientes que ejecutan Windows 10. Para admitir las nuevas GPO en este sistema operativo, ¿funciona la importación del archivo ADMX que contiene estas GPO?

Gracias por su ayuda.

Hola sgelineau,

efectivamente, Samba4 no admite niveles de bosque 2012 y superiores. Además, no deberías tener un controlador de dominio 2012, ya que incluso si el bosque y el dominio son 2008 R2, todavía hay aspectos que Samba no admite (probablemente relacionados con los esquemas).

Con algunos conocimientos técnicos, puedes migrar un servidor Windows 2012 o Windows 2016 a un servidor Samba-AD. Sin embargo, no puedes usar el procedimiento estándar, y requiere cierta programación y un conocimiento profundo del proceso.

Para la compatibilidad con Windows 10, es posible importar esquemas a Samba. De hecho, los objetos de directiva de grupo (GPO) se interpretan en el lado del cliente; Active Directory se usa principalmente para almacenar definiciones de GPO, de forma similar a un servidor de archivos. Si usas Windows 10 para administrar tu Samba4-AD, tendrás las mismas definiciones de GPO y podrás importar otros archivos ADMX.

Denis

Hola,

un recurso reciente y poco conocido que permite encontrar rápidamente archivos ADMX y sus valores correspondientes: https://getadmx.com/

Alexandre

Hola,

voy a reconstruir mi infraestructura en Windows Server 2008 R2. Me pondré en contacto con ustedes si encuentro alguna dificultad adicional durante la instalación.

Aprovechando la ocasión, si solo tenemos servidores Samba Active Directory que administramos con las herramientas RSAT en una máquina cliente Windows, ¿necesitamos licencias de acceso de cliente (CAL/LAC)? ¡

Gracias por su ayuda!

Sébastien

sgelineau escribió: ↑16 de enero de 2018 - 14:11 Aprovecharé esta oportunidad para preguntar si, dado que solo tenemos servidores Samba Active Directory que administramos mediante herramientas RSAT en una máquina cliente Windows, ¿necesitamos una "licencia de acceso de cliente" (CAL/LAC)?

Primero, la advertencia necesaria: no soy un abogado ni un experto legal, solo un simple ingeniero que intenta comprender algo, y las observaciones a continuación son mis propias interpretaciones después de largas horas de lectura solitaria en el sitio web de Microsoft y se proporcionan, por supuesto, sin ninguna garantía.

Las CAL son necesarias para acceder a los servicios proporcionados por los servidores y existen diferentes tipos de CAL según los servicios a los que se acceda.

La CAL de archivo, la más común y la que nos interesa, permite conectarse a un servicio SMB. Incluso en un grupo de trabajo, si se conecta a un servidor MS Windows Server 2012 en un grupo de trabajo, necesita una CAL para acceder. En esencia, no tiene mucha relación con el dominio, salvo que al iniciar sesión en un dominio, se conecta al recurso compartido SYSVOL, que es una conexión SMB.

La licencia de acceso de archivo (CAL) también se aplica a un servidor de impresión. El acceso al administrador de colas de impresión también se realiza mediante el protocolo SMB.

Esta licencia de acceso de cliente (CAL) de archivo también es válida para el servidor WSUS; la conexión se realiza mediante HTTP, pero la licencia especifica que si la conexión al servidor web IIS está autenticada (como ocurre con WSUS, ya que el cliente Windows se autentica en el servidor WSUS), se requiere una CAL de archivo. Existe una excepción para Windows Server 2003 Web Edition, pero no creo que mucha gente la esté utilizando todavía.

En resumen, si tienes un Samba-AD, un servidor de archivos Samba, pero no un servidor de impresión WSUS o Windows, entonces no necesitas comprar CAL.

Pero si tienes un servidor de impresión Windows, tendrás que pagar. Es un límite en cuanto a las leyes antimonopolio de la Comisión Europea, ya que no hay ningún proveedor de fotocopiadoras que ofrezca compatibilidad con todas sus funciones en un servidor de impresión que no sea Windows, pero bueno.

E incluso si tienes clientes Linux o MAC, si se conectan a un servidor de archivos Windows, tendrás que pagar.

Para gestionar las actualizaciones de Windows, puede usar Windows Update o adquirir otro producto en el mercado; existen más opciones: IBM BigFix, Dell Kace, etc. De hecho, hemos desarrollado una prueba de concepto internamente en TIS para integrar la gestión de actualizaciones en WAPT Enterprise Edition. Espero tener tiempo para terminar este módulo e integrarlo durante el primer semestre de 2018.

Buenas noches,

finalmente logré completar la migración, que, como recordatorio, fue "Migración de un dominio de Active Directory multisitio de Windows Server 2012 a Samba 4". Mi infraestructura estaba ejecutando Windows Server 2012 R2. Degradé el nivel funcional del dominio/bosque a 2008 R2, instalé e integré un Windows Server 2008 R2 como controlador de dominio. Luego transferí los roles FSMO, forcé la replicación (GPO, DNS, etc.) al nuevo servidor y luego degradé los otros controladores de dominio a miembros del dominio y posteriormente los eliminé por completo de Active Directory. Pude continuar la migración sin problemas desde mi único controlador de dominio WS200R8 a dos nuevos controladores de dominio Samba AD (uno para cada "sitio", como en la infraestructura inicial).

Gracias por toda la información recopilada anteriormente, así como en su sitio web y wiki.