いまさら聞けないWindows Server 2003⇒Samba4移行の極意(2015/02/28 OSC 2015 Tokyo/Spring)
- 2. 目的と対象者
目的
2015年7月のWindows Server 2003サポート終了
を控え…
SambaのActive Directoryドメインコントローラへの
移行を検討している方に対して、移行の方法、留意
点を解説する
対象者
Active Directory関連の基本的な用語、概念を理解
している方
Active Directoryの管理者
- 3. アジェンダ
Sambaとは
Samba4によるActive Directoryの機能
Samba4によるActive Directoryへの
Windows Server 2003からの移行
Samba4によるActive Directoryの運用
Sambaのインストール、DC構築の詳細手
順は、Webや書籍などを参照してください
- 11. Samba4によるADの機能-未サポート
SYSVOL共有の同期 → 別途作りこみ必須
SambaのDC同士は、rsyncなどで別途同期させる
WindowsのDCとの同期も何らか作りこみが必要
運用に際し、Samba固有の注意が必要
ADのディレクトリ
同期は実装
SYSVOL共有の
同期は未実装
GPO GPO
DC(Samba4) DC(Samba4 or
Windows Server)
Samba同士はrsync等で
別途共有内のファイルを
定期的に同期させる
ユーザ ユーザ
- 14. Samba4によるADの機能-サマリ
ADの機能のサポートを拡大していく方向
現状、単一ドメインに閉じた機能はほぼサポート
項目 Samba 4.0系列
ユーザ、グループ、認証 ◎サポート
グループポリシー、OU ◎サポート(ただし、Sambaサーバ自体の設定の制御はできない)
FSMO、機能レベル ◎サポート
ディレクトリ複製(DRS) ◎サポート
SYSVOL共有複製 ×(rsync等で別途対応必要)
DNSサーバ ○サポート(ADの動作上問題ないが、機能制限あり)
サイトによる制御 △(クライアント向け機能のみサポート)
RODC ×(サポート予定)
スキーマ拡張 △(手動拡張のみサポート)
追加のDC参加 △(Windows Server 2012以上は現在不可)
複数ドメイン ×(サポート予定)
外部信頼関係 △(信頼されることのみ可能。信頼することはできない)
- 15. Windows Server 2003からの移行
基本的にはローリングアップデート
SambaのDCを参加
samba-tool domain joinコマンド
ディレクトリの複製
ユーザやDNS情報が複製されていることを確認
samba-tool drs showreplコマンド
FSMOの移行
samba-tool fsmo [transfer|seize]
SYSVOL共有の内容を手作業で複製
複製後、samba-tool ntacl sysvolresetを実行して、アク
セス許可の情報を適切に設定する
- 16. Windows Server 2003からの移行
基本的にはローリングアップデート
SambaのDCの動作確認
Windows ServerのDCを降格
現状DCの降格は不安定→必要に応じ、強制降格
NTP(もしくは他の時刻同期機構)を構成
SambaはNTPサーバ機能を提供していないので、別途
ntpdなどを構成する
SYSVOL共有の同期を構成
rsyncでマスタースレーブ形態のファイル同期を構成の上
samba-tool ntacl sysvolresetでアクセス許可の再設定を
行うのが一般的
https://wiki.samba.org/index.php/Join_a_domain_as_a_DC
- 20. まとめ
Windows Server 2003のADからSamba4の
ADへの移行は……
✔
単一ドメイン環境であれば可能
✔
ただし、Samba4とWindowsのDCとの混在
は、SYSVOL共有複製の問題で現状難しい
✔
運用は、ほぼ従来と変わらずWindowsから可能