- Вопрос или проблема
- Ответ или решение
- Внедрение сервера Active Directory на Linux с использованием Samba в сети Windows 11
- Введение
- 1. Подготовка сервера
- 2. Настройка конфигурации Samba
- 3. Проверка конфигурации Kerberos
- 4. Тестирование конфигурации
- 5. Журналы и диагностика
- 6. Проблемы с подключением Windows 11
- Заключение
Вопрос или проблема
У меня есть сеть с компьютерами на Windows 11 и сервером ActiveDirectory на Windows NT. Мой план – заменить сервер Windows NT на Linux (в частности, я использую Fedora Linux Server Edition – fedora 40). Старое пространство имен – SONCANALS. Я хочу заменить его на SCNG.
В основном я следую руководству Fedora Magazine. Моя конкретная конфигурация:
-
У моего сервера IP
10.216.1.16, а мой домен –scng.educaib -
Установите имя хоста моего сервера на
l1.scng.educaib -
Мой
samba.conf:cat /etc/samba/smb.conf # Глобальные параметры [global] dns forwarder = 1.1.1.1 netbios name = L1 realm = SCNG.EDUCAIB server role = active directory domain controller workgroup = SCNG idmap_ldb:use rfc2307 = yes ldap server require strong auth = no [sysvol] path = /var/lib/samba/sysvol read only = No [netlogon] path = /var/lib/samba/sysvol/scng/scripts read only = No -
Моя конфигурация kerberos:
# cat /etc/krb5.conf.d/samba-dc [libdefaults] default_realm = SCNG.EDUCAIB dns_lookup_realm = false dns_lookup_kdc = true [realms] SCNG.EDUCAIB = { default_domain = SCNG } [domain_realm] l1.scng.educaib = SCNG.EDUCAIB
У меня есть одна машина с Fedora 40, которую я использую для тестирования samba. Когда я тестирую, все в порядке (раздел “Тестирование” в учебном руководстве), но когда я запускаю realm discover, я получаю только старое пространство имен, а не новое:
realm discover -v
* Разрешение: _ldap._tcp.soncanals
* Выполнение LDAP DSE поиска на: 10.216.1.2
* Выполнение LDAP DSE поиска на: 10.216.1.10
* Выполнение LDAP DSE поиска на: 10.216.1.4
* Успешно обнаружено: soncanals
soncanals
тип: kerberos
имя-реаль: SONCANALS
имя-домена: soncanals
настроено: нет
серверное ПО: active-directory
клиентское ПО: sssd
необходимый пакет: sssd-common
необходимый пакет: oddjob
необходимый пакет: oddjob-mkhomedir
необходимый пакет: sssd-ad
необходимый пакет: adcli
необходимый пакет: samba-common-tools
В Windows, когда я пытаюсь присоединиться к SCNG, Windows распознает SCNG, потому что запрашивает логин администратора для присоединения, но когда я ввожу учетные данные, это занимает слишком много времени, и диалог исчезает.
Как я могу диагностировать проблему? Например, какие журналы я могу посмотреть (у меня много в /var/log/samba/)? Моя версия samba – 4.20.5.
Мой приоритет – присоединиться к новому домену и войти в Windows как обычный пользователь в этом домене. На данный момент я исключаю совместное использование каталогов.
Ответ или решение
Внедрение сервера Active Directory на Linux с использованием Samba в сети Windows 11
Введение
Ваша задача заключается в замене сервера Active Directory на базе Windows NT на сервер Fedora Linux 40 с использованием Samba для управления доменной инфраструктурой в новой доменной среде SCNG. Эта статья поможет вам понять, как правильно настроить Samba как контроллер домена и диагностировать проблемы с присоединением клиентов Windows 11.
1. Подготовка сервера
Убедитесь, что ваш сервер настроен правильно. Проверьте корректность IP-адреса и имени хоста. Ваши основные настройки:
- IP-адрес:
10.216.1.16 - Имя хоста:
l1.scng.educaib - Домен:
scng.educaib
2. Настройка конфигурации Samba
Ваш файл конфигурации Samba (/etc/samba/smb.conf) кажется правильным, однако важно убедиться, что в нем нет ошибок. Вот обновленная версия вашего файла:
[global]
dns forwarder = 1.1.1.1
netbios name = L1
realm = SCNG.EDUCAIB
server role = active directory domain controller
workgroup = SCNG
idmap_ldb:use rfc2307 = yes
ldap server require strong auth = no
[sysvol]
path = /var/lib/samba/sysvol
read only = No
[netlogon]
path = /var/lib/samba/sysvol/scng/scripts
read only = NoУбедитесь, что все параметры указаны верно, особенно realm и workgroup.
3. Проверка конфигурации Kerberos
Также проверьте ваш файл конфигурации Kerberos (/etc/krb5.conf.d/samba-dc). Он должен выглядеть следующим образом:
[libdefaults]
default_realm = SCNG.EDUCAIB
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
SCNG.EDUCAIB = {
default_domain = SCNG
}
[domain_realm]
l1.scng.educaib = SCNG.EDUCAIBОбратите внимание, что default_realm должен соответствовать SCNG.EDUCAIB.
4. Тестирование конфигурации
Вы уже провели тестирование с помощью realm discover, но он все еще показывает старый домен SONCANALS. Это может указывать на проблемы с DNS. Убедитесь, что ваш DNS-сервер (указанный в конфигурации) правильно перенаправляет запросы на новый домен.
Для этого проверьте, что вы можете выполнить следующие команды:
nslookup l1.scng.educaib
nslookup _ldap._tcp.scng.educaibЕсли DNS-записи отсутствуют или неправильны, вам нужно создать соответствующие DNS-записи для вашего нового домена.
5. Журналы и диагностика
В случае, если Windows 11 не может присоединиться к новому домену, необходимо исследовать логи Samba. Основные журналы, которые вам следует проверить:
/var/log/samba/log.samba/var/log/samba/log.l1(гдеl1— это ваш netbios name)
Используйте команду tail -f для просмотра журналов в реальном времени:
tail -f /var/log/samba/log.sambaПри попытке подключения Windows 11 следите за любыми ошибками или предупреждениями, которые могут помочь диагностировать проблему.
6. Проблемы с подключением Windows 11
Если при попытке присоединиться к домену Windows 11 наблюдается "долгая реакция", это может быть вызвано неверной конфигурацией сети или некорректной работой Kerberos.
Убедитесь, что вы вводите правильные учетные данные администратора домена, а также проверьте, нет ли блокировок на фаерволе или антивирусе, которые могут предотвращать соединение.
Заключение
Внедрение Linux-сервера с использованием Samba в качестве контроллера домена может быть сложной задачей, но с правильными шагами и диагностическими подходами это становится возможным. Проверьте ваши конфигурации, проведите тестирование и анализируйте журналы, чтобы выявить и устранить любые проблемы.
Если у вас возникнут дополнительные вопросы, не стесняйтесь их задавать, и удачи в настройке вашего нового домена SCNG!