Перенос AD с Win2012R2 на Samba4 Ubuntu Server 14.04

Ввести samba4 как дополнительный контроллер домена, дождаться репликации, убрать контроллер домена на win2012r2.
С политиками - скорее всего придется вручную перебивать.

Репликации пользователей будут с профилями домашних папок или тоже придётся перебивать в ручную?

Самба4 не умеет многое из того, что умеет 2012r2. Читай документацию.

Спасибо, ман курить придётся в любом случае. В принципе требования у меня небольшие, нужна авторизация через AD на сетевых ресурсах вот и всё в принципе. Компов не так много локальные политики можно и ручками раскидать.

перенести контроллер домена с Win2012R2 на Ubuntu Server 14.04

А это разве вообще, «passible»? Схема samba4, это: win2008. Вроде, можно подняться до 2008r2.

Только вот в сентябре вышла SAMBA 4.3. В которой значимыми изменениями были поддержка Win10 и всех ролей FSMO.

На wiki.samba.org пока пишут, что с 2012 сервером от мягких не очень работает. Так что не спеши.

И в чём причина переезда?

Как раз закончил месячные танцы с бубном. Samba не поддерживает Windows-like GP. У нее есть свой механизм политики стойкости паролей доменных пользователей и только. Остальные политики перенести не получится. Также logon-скрипты придется переписывать в Samba-формат.

Сорри, совсем забыл что, как заметили выше, samba4 вообще не дружит с windows 2012.

Хотя вроде как у некоторых умельцев получилось сделать downgrade схемы AD до win 2008 r2 уровня и затем ввести samba4 как дополнительный КД.
Link - https://forum.zentyal.org/index.php?topic=18786.0

Действительно, понизить уровень функционирования домена можно, при условии, что он не использует новых фишек 2012 (которые на самом деле редко используются), но, как я уже писал, политики не переедут.

Наплевать на политики. Нужны юзвери и группы.

Сделал на виртуалке PDC существующего контроллера, передал ему роли AD и DNS, затем отключил от реальной сети и попытался понизить до уровня 2008r2 по выше указанной инструкции. Бананза. Отказ в понижении хоть ты тресни. Буду копать почему.

причина переезда банальна до визга - отсутствие желание платить за CAL лицензии при увеличении парка ПК, мало того что мелкомягкие на ОС цены взвинтили так ещё надо за каждое подключение к серваку платить? Да пошли они в ..., на ... и прочие занимательные путешествия. К тому же они уже задрали с своей программой контроля лицензирования которая в OLP указана. Подавай им и структуру сети, и сколько компов и сколько серверов, разве что админские пароли не просят. В попу... :)

2012R2 по структуре вообще не совместим с 2008R2. Политики и куча вещей работают через одно место. Если нет реальной необходимости, лучше возьми убунту, настрой kvm перенеси нынешний 2012r2 в виртуалку на бубунте, и при приходе проверки показывай samba на убунте уверяя, что именно она и есть контроллер.

в планах вообще вывести мелкомягке серваки из работы в качестве контроллеров домена. Бесспорно у кого денег лом то подобной проблемы не возникает, башляй мелкомягким и всё будет в шоколаде, софт у них нормальный, в умелых руках работает отлично. Но всё упирается именно в соотношении цена-количество-качество. Так что скорей всего серваки от мелкомягких останутся только в роли терминальных, всё остальное буду делать на свободном ПО.

если у тебя терминальник на 2012, ты потом сам себя прколянёшь с переездом на dc с самбой. Поверь, столько гемора, сколько у тебя будет потом с терминальником ты в жизни не видел. Может 4 самба и лучше третьей, но она 2008R2 по факту, и 2012 ещё уже говном считает. Думаешь госу просто так по столько денег тратят на переходы чуть что?

пару годков назад такой фокус бы прокатил на ура :) но в службе теперь тоже не дураки сидят, при проверке лицензий ПО установленного на UNIX они запросто раскопают и виртуалку, и то что на ней крутится. Да и не моё это, я законопослушный гражданин... :) Да и уже на принцип пошло, так сказать профессиональная гордость не позволяет сдаться перед столь банальной задачей. Вопрос лишь в том как сделать, срестить 2012 с SAMBA или тупо заново поднять AD на SAMBA с нуля. Пока времени и терпелки хватает на эксперементы по впихиванию пингвина в форточку :)

тогда переноси всё на самбу, и терминальники тоже, увы и ах, но перенести что-то одно нормально не получится, либо всё либо ничего.

незнаю что у вас там за проблемы с терминалками, у меня в одной конторе до сих пор 2003 тий терминал и AD на SAMBA. всё пашет на ура. Я же говорю, проблема не в том что такая схема не работает или плохо работает, проблема в том что нет штатных средств миграции служб с 2012R2 на 2008R2, по заявлению специалистов техподдержки мелкомягких (звонил им по этому вопросу) понижение уровня домена или леса с 2012 на 2008 в принципе не предусмотрено как не имеющее смысла. По поводу обновления ПО в госу... Я не знаю где вы живёте, но у нас до сих пор куча госу не может выбить денег не то что на обновление, на сами лицензии :))) Так и работают на старой, доброй, пиратке :))) Но их то служба не проверяет, они же госу...

вот именно 2003 и самба, они похожи, особенно если там 3 самба, а 2012R2 в домене 2008R2 сам понимаешь как будет себя вести.

Поэтому и говорю, что либо переводить всё, либо ничего.

Так вот я и бьюсь над задачей чтобы понизить 2012R2 до роли 2008R2 с сохранением работоспособности служб AD,DNS и DHCP, для дальнейшей работы с SAMBA. Я же говорю, либо заново всё подымать на SAMBA, либо понизить до 2008 и потом просто сделать миграцию на SAMBA.

В инструкции описано понижение 2012 схемы до 2008. У вас же 2012R2, думаю ее нельзя понизить до 2008. Попробуйте понижение до 2008R2.

Set-ADForestMode -Identity "your.domain.com" -ForestMode Windows2008R2Forest

пробовал, отказ. Пробовал до праздников, что он мне там писал в причине отказа уже забыл, я ту виртуалку убил, что то намудрил там до того как нашёл инфу по понижению через Set-ADForestMode. Подниму заново, сделаю миграцию и попробую ещё разок. Может прокатит.

PS C:\Users\Администратор.BMUS> Set-ADForestMode -Identity «xxx.ru» -ForestMode Windows2008R2Forest

Подтверждение Вы действительно хотите выполнить это действие? Выполнение операции «Set» над целевым объектом «CN=Partitions,CN=Configuration,DC=xxx,DC=ru». [Y] Да - Y [A] Да для всех - A [N] Нет - N [L] Нет для всех - L Приостановить - S [?] Справка (значением по умолчанию является «Y»): Set-ADForestMode : Сервер возвратил ссылку строка:1 знак:1 + Set-ADForestMode -Identity «xxx.ru» -ForestMode Windows2008R2Forest + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ResourceUnavailable: (xxx.ru:ADForest) [Set-ADForestMode], ADReferralException + FullyQualifiedErrorId : ActiveDirectoryServer:8235,Microsoft.ActiveDirectory.Management.Commands.SetADForestMode

«Запустить от Администратора» указал для PShell?

P.S. И почему зачёркнуто?