Projet Veille Technologique | AD Multisite Windows

Venez ici partager vos astuces et aides autour de Samba4
sgelineau
Messages : 4
Inscription : 11 janv. 2018 - 23:23
Localisation : Ancenis

11 janv. 2018 - 23:44

Bonjour,

J'ai 19 ans, je suis en contrat professionnel (alternance), en TSRIT (Bac +2) au sein de l'école informatique l'ENI.

J'ai un projet dit veille technologique : "Migration d'une infrastructure multisites Active Directory vers Samba", j'ai donc créé une maquette sous VMware Workstation.

- 3 sites active directory : France, Espagne, Allemagne (chacun dans un sous réseaux différents, 10.0.1.X, 10.0.2.X, 10.0.3.X)

- Site principal "France" : VM Debian : un serveur DHCP + DHCP Relay, Routeur (3 interfaces dans chaque sous-réseaux avec la fonction de "port forwarding")

- 1 PC client pour chaque sites

Et j'ai installé une VM sous CentOS 7, une fois tout configuré, hélas impossible de joindre le domaine (en tant que DC) malgré multiple tentative.

Après quelques recherches, je n'ai pas trouvé de réponse, alors je m'adresse à vous,
Samba 4.7.4 prend-il en charge le multisite ?

Merci d'avance !
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 285
Inscription : 18 juin 2014 - 09:58
Localisation : Nantes
Contact :

12 janv. 2018 - 16:57

En l’occurrence il n'y a pas de notion de "site" au sens Active Directory. Juste des sous-réseaux ip différents.

Si les serveurs peuvent se voir qu'il n'y a pas de filtrage et que les DNS sont correctement fait, il n'y a aucune raison d'avoir des problèmes.

Nous gérons des domaines avec plusieurs dizaines de contrôleurs de domaine, avec des "Sites et Services AD" bien configuré. Donc oui, ça marche bien.

Je pense que'il faut relire les docs et vérifier les paramètres IP, DNS et le routage.

Denis
Denis Cardon - Tranquil IT Systems
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le wiki WAPT
sgelineau
Messages : 4
Inscription : 11 janv. 2018 - 23:23
Localisation : Ancenis

14 janv. 2018 - 19:06

Merci pour votre réponse, oui ce que j'entendais par site, par exemple : un PC dans le sous-réseaux Allemagne va s'authentifier sur le DC de l'Allemagne, etc...

Pour les DCs initial (l'infrastructure Windows) j'utile des Windows Servers 2016, avec une forêt qui était initialement en 2016, je l'ai downgrader via powershell en 2008 R2, j'ai cru comprendre qu'une forêt avec un niveau fonctionnel en 2012/2012R2 n'était pas complètement supportée, est-ce bien le cas ?

Imaginons, nous utilisons une infrastructure Samba Active Directory, avec des clients sous Windows 10, pour prendre en charge les nouvelles GPO sous cet OS, l'importation de fichier ADMX contenant ses GPO fonctionne-t-elle ?

Merci pour votre aide
Dernière modification par sgelineau le 30 mars 2018 - 21:39, modifié 1 fois.
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 285
Inscription : 18 juin 2014 - 09:58
Localisation : Nantes
Contact :

15 janv. 2018 - 18:02

Bonjour sgelineau,

en effet Samba4 ne supporte pas le niveau de forêt 2k12 et supérieur. De plus il faut vraiment pas avoir de DC en 2k12 en contrôleur de domaine, car même si la forêt et le domaine est en 2k8r2, il y a quand même des choses qui ne sont pas supporté par Samba (probablement lié aux schémas).

Après avec un peu de technicité, on peut migrer un win2k12 ou win2k16 vers un Samba-AD. Mais on ne peut pas utiliser la procédure standard, et ça demande un peu de scripting et bien bien comprendre ce que l'on fait.

Pour le support win10, il est possible d'importer les schémas sur Samba. En effet les GPO sont interprétées sur le client, l'Active Directory sert principalement à stocker les définitions de GPO un peu comme le ferait un serveur de fichier. Si tu utilises un win10 pour gérer ton Samba4-AD, tu auras les mêmes définitions de GPO, et tu pourras importer d'autres ADMX.

Denis
Denis Cardon - Tranquil IT Systems
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le wiki WAPT
Avatar de l’utilisateur
agauvrit
Expert WAPT
Messages : 215
Inscription : 17 nov. 2016 - 10:25
Localisation : Nantes
Contact :

16 janv. 2018 - 12:19

Bonjour,

Une ressources récente et peu connue qui permet de trouver rapidement les ADMX et leur correspondance : https://getadmx.com/

Alexandre
sgelineau
Messages : 4
Inscription : 11 janv. 2018 - 23:23
Localisation : Ancenis

16 janv. 2018 - 14:11

Bonjour,

je vais donc reconstruire mon infrastructure sur Windows 2008 R2, je reviendrais vers vous si je rencontre à nouveau des difficultées d'installation.

J'en profite, si nous avons uniquement des serveurs Samba Active Directory que l'on administre via les outils RSAT sur un poste client Windows, avons-nous besoin de "licence d'accès client" (CAL/LAC) ?

Je vous remercie pour votre aide !

Sébastien
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 285
Inscription : 18 juin 2014 - 09:58
Localisation : Nantes
Contact :

17 janv. 2018 - 20:19

sgelineau a écrit :
16 janv. 2018 - 14:11
J'en profite, si nous avons uniquement des serveurs Samba Active Directory que l'on administre via les outils RSAT sur un poste client Windows, avons-nous besoin de "licence d'accès client" (CAL/LAC) ?
D'abord le disclaimer qui s'impose : je ne suis pas avocat ni juriste, juste un simple ingénieur qui essaye d'y comprendre quelque chose, et les remarques ci-après sont mes propres interprétations après de longues heures de lecture solitaire sur le site de Microsoft et sont fournies bien sûr sans aucunes garanties.

Les CAL sont nécessaires pour des accès à des services fournis par des serveurs et il y a différents types de CAL en fonction des services accédés.

Pour la CAL "fichier", qui est la plus courante et celle qui nous intéresse ici, elle vous permets de vous connecter à un service de type SMB. Même si vous êtes en Workgroup, si vous vous connecter à un serveur MS win2k12 en Workgroup, vous devez avoir une CAL pour cet accès. En gros ça n'a pas grand chose à voir avec le domaine, si ce n'est que quand on ouvre une session sur un domaine, on se connecte au partage SYSVOL, donc on fait une connexion SMB.

La CAL "fichier" vaut aussi pour un serveur d'impression. L'accès au spooler de connexion se fait aussi à travers le protocole SMB.

Cette CAL "fichier" est aussi valable pour le serveur WSUS, la connexion se fait là en HTTP, mais le licensing précise que si la connexion au serveur web IIS est authentifiée (et c'est le cas pour un WSUS car le client Windows s'authentifie sur le serveur WSUS), il faut une CAL "fichiers". Il y a une exemption pour le cas de Windows 2k3 Web Edition, mais je ne pense pas qu'il y a grand monde qui fait tourner cela encore.

Donc en résumé, si tu as un Samba-AD, un serveur de fichier Samba, que tu n'as pas de WSUS ou de serveur d'impression Windows, alors tu n'as pas besoin d'acheter des CAL.

Mais si tu as un serveur d'impression Windows, tu devras raquer. C'est limite vis à vis des lois antitrust de la commission européenne car il y a pas vraiment de fournisseur de photocopieur qui supporte toutes leurs fonctionnalités sur un serveur d'impression autre que Windows, mais bon.

Et même si tu as des clients Linux ou MAC, si ils se connectent à un serveur de fichier Windows, tu devras raquer.

Pour la gestion des mises à jour Windows, on peut soit se contenter de Windows Update, soit acheter un autre produit du marché, il y a plus d'options : IBM BigFix, Dell Kace, etc. D'ailleurs on a développé un PoC en interne chez TIS pour intégrer la gestion des mises à jour dans WAPT Enterprise Edition, j'espère avoir le temps de terminer ce module et l'intégrer durant le premier semestre 2018.
Denis Cardon - Tranquil IT Systems
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le wiki WAPT
sgelineau
Messages : 4
Inscription : 11 janv. 2018 - 23:23
Localisation : Ancenis

30 mars 2018 - 21:22

Bonsoir,

J'ai finalement réussi à effectuer la migration qui je rappelle était "Migration d'un domaine Active Directory 2012 Multisite vers SAMBA 4. Mon infrastructure était en Windows Server 2012R2. J'ai diminué le niveau fonctionnel du domaine/forêt en 2008R2, installé et intégrer un Windows Server 2008R2 en tant que DC. J'ai ensuite transféré les rôles FSMO, forcer la réplication (gpo, dns...) vers le nouveau serveur, puis j'ai downgrader les autres DC en tant que membre du domaine et par la suite supprimé entièrement de l'AD. J'ai pu sans problème poursuivre la migration de mon seul contrôleur de domaine WS200R8 vers deux nouveaux contrôleurs de domaine SAMBA AD (un pour chaque "site" comme dans l'infrastructure initiale)

Je vous remercie pour toutes les informations récoltées ci-dessus mais aussi sur votre site internet, wiki.
Répondre