LINUX.ORG.RU
ФорумAdmin

Перевод AD + файлового сервера на samba

 , ,


0

4

Всем добры день! В организации имеется два сервера Win2008R2, назовём их сервер1 и сервер2. На обоих поднят контроллер домена с репликацией, если падает один, продолжает работать второй как ни в чём не бывало, то есть можно вводить в домен, добавлять пользователей, управлять политиками и тд. Так же на сервере1 поднят файловый сервер с разграничением прав через AD. На сервере2 этот файловый ресурс бекапится вместе с правами архиватором 7zip. Всё естественно на ntfs. Файловый ресурс и бекапы лежат на отдельных дисках. По переводу домена с винды на linux и по поднятию нового домена всё понятно. Собираюсь всё сделать на дебиане. Вопросы такие: 1. Откуда лучше ставить самбу? Из git или репозиториев? 2. Какой лучше днс сервер выбрать, встроенный в самбу или бинд9? Почему? 3. Как сделать репликацию между двумя доменами, чтобы в случае смерти одного контроллера домена, всё работало через другой. Как быть с днс? 4. Файловый сервер сейчас на ntfs. Так вот лучше его и оставить на ntfs или же перевести на другую файловую систему? Что будет с правами на папки, скопируются ли они если, допустим, перевести файловый ресурс на ext4 или нужно будет выставлять заново? Если на ext4, получится ли управлять правами на папки из виндовой машины? Если всё оставить на ntfs, нормально ли будет в дальнейшем работать такая связка? 5. Чем можно реализовать бекапы в архивы файлового сервера, чтобы бекапились и права доступа на папки?

Пользую в продуктиве 1. CentOS 7 + Sernet samba 4.2.3 (Контроллер домена+dns) DNS Bind9, на встроенном не обновлялись записи компов в обратную зону. Возможно уже исправлено, так как samba изначально была 4.0 2. FreeBSD + ZFS + Samba 4.2.3 (Файл сервер) AD не поднялось, валился скрипт. FreeBSD из-за нативного zfs, zfs из-за сжатия, дедубликации и нормальной работы со снапшотами. Все права можно сохранить, если копировать с сохранением этих самых прав. С сохранением прав снапшоты, просто файлы внешнее хранилище и bareos. ну и https://wiki.samba.org/index.php/Rsync_based_SysVol_replication_workaround

beermashin ()
Ответ на: комментарий от beermashin

Из вики понял что два одинаковых домена на самбе не сделать? Всегда будет один главный сервер, где происходят все изменения, настройки, и будет второстепенный, в который всё реплицируется, но в случае краха главного, в домен комп не ввести на второстепенном сервере, политики не назначить, поправить, так? Репликация в виндовых серверах это чисто отказоустойчивость (своеобразный бекап), и снятие образа системы не поможет в случае падения сервера, если он один. Возможно ли снимать полные образы системы, например через remastersys, или архивировать всё систему в tar и потом всё это дело восстанавливать на чистый диск. Заведётся ли потом домен и будут ли работать с ним компы? Мне кажется да, может быть кто нибудь использует такой метод бекапа?

Pavben ()

По переводу домена с винды на linux и по поднятию нового домена всё понятно.

А смысл?

DALDON ★★★★★ ()
Ответ на: комментарий от Pavben

воркгруп в таком случае имхо лучше будет... Это в случае маленькой сети, а в случае 100+ машин директора не так сложно будет развести на 30-50тыщ на винду...

А городить корявый самбодомен, не имеющий и сотой части функционала 2008 имхо полный бред...

crabssss ()
Ответ на: комментарий от crabssss

Давайте не будем спорить какой домен лучше. Самба 4 вполне хороший вариант, всё что нужно для нас есть. В случае 100 машин 30-50 тысячами не обойдёшься, не забываете про cal лицензии.

Pavben ()

1. Репозитории 2. bind 3. Почти в каждой статье, поясвященной сабжу описывается настройка и PDC и BDC. Там же описана перекачка зон между днсами, так же есть еще куча полезностей типа динамического обновления зон DHCP и т.д. Мб перед тем как писать сюда надо было почитать что-то? ;) 4. Скорее да чем нет. Да По идее да. 5. man tar

crabssss ()
Ответ на: комментарий от crabssss

Спасибо! А чем основан выбор bind? Чем он лучше самбовского? DHCP поднят на шлюзе pfsense. Про PDC и BDC читал, но решил здесь всё же уточнить про бекап. В моей ситуации главное бекап, а не два контроллера домена. Что можете сказать про полный бекап системы образом? Всё ли потом будет нормально, не пробовали так? Про 4 вопрос можно поразвёрнутей ответ? :)

Pavben ()
Ответ на: комментарий от Pavben

Я пользовал samba4 в продакшене, в целом всё было ок! Только не надо забывать, что: samba4, не умеет доверять! Для тебя, это будет означать, то, что, если, у тебя, появится филиал - ты не сможешь там поднять никакого связанного домена. Сейчас тебе это может кажется ерундой. Но, вот если у тебя появится офис удалённый, и тебе потребуется туда сделать им корпоративный SSO - с самбой ты попадёшь конкрентно. Впрочем, с неё можно свалить на 2008R2 домен. И плюс, к тому: samba не умеет никаких API/http и прочих плюшек. Только: LDAP и политики, по сути.

DALDON ★★★★★ ()
Ответ на: комментарий от Pavben

Всё будет работать. Самбовый DNS не юзал, юзал и юзаю бинд. Полёт отличный.

DALDON ★★★★★ ()
Ответ на: комментарий от Pavben

Bind мне ближе, да и функционал у него побольше будет. Бекап образом... Ну сделай разок, дабы потом руками не собирать все демоны, а каждый день сливать его - тупая трата времени. Лучше уж все таки bdc, он на себя же возьмет роль вторичного dns'a, и в случае отказа первого ДС примет на себя авторизацию юзеров.

По 4 пункту проще попробовать (это я про конвертацию). В любом случае никто не отменял

cp -ax
. Что лучше: нтфс или ехт4? Смотря какая схема у тебя, какие из разрешений нтфс используются. Почитай их отличия, там сам поймешь что ближе.

crabssss ()
Ответ на: комментарий от crabssss

Забыл еще предупредить, переливать юзеров надо из 2008го домена напрямую, а не руками создавать в самбе.

crabssss ()

А что по поводу windows search protocol? Есть решение?

targitaj ★★★★★ ()
Ответ на: комментарий от DALDON

А, кстати, samba умеет, быть: master-master?

У меня два DC в режиме PDC и ADC, не знаю что имеется ввиду под master-master, но изменения которые я делаю с пользователями\группами на одном DC отображаются и на другом

menzoberronzan ()
Последнее исправление: menzoberronzan (всего исправлений: 1)
Ответ на: комментарий от menzoberronzan

Ух блин. Аж дух захватывает. Но реально, в продакшен мне уже стало страшно с таким лезть... Когда фичи надо искать по майл листам. Решил мигрировать... :)

DALDON ★★★★★ ()
Ответ на: комментарий от DALDON

Ну конечно, у меня оба КД на samba4. Реплицируется почти все из коробки, кроме групповых политик(sysvol) - для них дополнительно использую rsync

menzoberronzan ()
Ответ на: комментарий от menzoberronzan

В общем, меня сильно опечалило то, что надо периодически искать фичи и ошибки в мейл листах самбы, и отсутствие доверительных отношений.

DALDON ★★★★★ ()
Ответ на: комментарий от Pavben

не знаю, вроде как два равнозначных сервера и прекрасно все реплицируется, только политики через rsync. Я бэкаплю tar, даже пробовал откатывать, все ок. Только бэкап был «холодный» с погашенной самбой.

beermashin ()

Всем спасибо за ответы! Возник ещё вопрос, сейчас подразделения в винде на кириллице. Как лучше сделать, отставить на русском или переименовать в латиницу? Не будет ли косяков, если оставить на кириллице? Оффтоп: как написать сообщение на форуме, не отвечая не на чей комментарий?

Pavben ()
Ответ на: комментарий от DALDON

появится филиал - ты не сможешь там поднять никакого связанного домена

Кстати, даже MS рекомендует не плодить для филиалов отдельные домены или даже поддомены, а обходиться сайтами.

thesis ★★★★★ ()
Ответ на: комментарий от Pavben

Оффтоп: как написать сообщение на форуме, не отвечая не на чей комментарий?

А как ты его только что написал?

thesis ★★★★★ ()
Ответ на: комментарий от beermashin

А вы пробовали выключить pdc и попробовать ввести комп в домен, создать пользователей, порулить политиками? На вики как то не ясно написано будет оно всё работать или нет.

Pavben ()
Ответ на: комментарий от thesis

Уже понял как, плохо что кнопки редактирования нет.

Pavben ()
Ответ на: комментарий от thesis

Спорить не посмею. Ибо я нуб. А что есть сайт? В терминологии ихней не силён. Но это же не сайты в стиле Sharepoint. Или они самые? Как вход в систему, они рекомендуют делать то?

DALDON ★★★★★ ()
Ответ на: комментарий от DALDON

Сайт это site, «местонахождение». Это отдельная сеть (возможно, что в жопе мира за GPRS-линком) со своим контроллером того же домена.

Как вход в систему, они рекомендуют делать то?

Не понял вопроса. А как обычно?

thesis ★★★★★ ()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

Сайт это site, «местонахождение». Это отдельная сеть (возможно, что в жопе мира за GPRS-линком) со своим контроллером того же домена.

Круто! Понял, спасибо. А samba, так умеет?

DALDON ★★★★★ ()
Ответ на: комментарий от thesis

Спасибо. Теперь понятно для чего и зачем это нужно. :)

DALDON ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.