среда, января 31, 2007

Перевод домена WINDOWS 2003 на Samba 3 PDC LDAP FreeBSD 6.1

По мотивам Linux Samba-OpenLDAP Howto + собственный опыт.
Итак, у нас есть домен: WIN2003
Netbios имя сервера: WIN2003_server

Настройка Samba 3 PDC LDAP FreeBSD 6.1
http://argo-uln.blogspot.com/2006/08/samba-3-pdc-ldap-freebsd-61.html

Останавливаемся в месте Настройка smbldap-tools
Net rpc getsid –S WIN2003_server WIN2003
Получаем sid домена винды
Далее опять по статье Настройка Samba 3 PDC LDAP FreeBSD 6.1

В smb.conf
###########
Workgroup = WIN2003
Domain master = No
Preferred master = no
Os level = 33
Local master = no
###########

В файле lmhosts прописать виндовый сервер.
###########
192.168.0.1 WIN2003_server
192.168.0.1 WIN2003
###########

Загоняем samba в домен WIN2003
Net rpc join –Uadministrator%password

Выдергиваем учетные записи пользователей и компов из домена.
Пришлось переименовать логины пользователей по английски.
Net rpc vampire –S WIN2003_server

Останавливаем виндовый сервак.

В smb.conf
###########
Workgroup = WIN2003
Domain master = YES
Preferred master = YES
Os level = 255
Local master = YES
###########

В файле lmhosts прописать samba сервер.

Прибиваем ненужные нам виндовые группы. У меня сервер win2003 был русский.
Пришлось группы Пользователи домена, Администраторы домена переименовывать по английски.
Компы в домене пришлось вывести из домена и ввести снова в него же, профили пользователей при этом сохранились.

P.S. Пишу по памяти, может чего нибудь и забыл.
Более подробно смотрим ресурс Все о Samba

17 комментариев:

Анонимный комментирует...

А если у меня домен находится в 2003 режиме, как тогда быть????

Рамиль комментирует...

Samba 3 аналог NT4 сервера, поэтому выход один, перевести домен Windows 2003 в native mode.

Анонимный комментирует...

Domain functional level Domain controllers supported:

Windows 2000 mixed (default)
Windows 2000 native Windows 2000
Windows Server 2003 interim
Windows Server 2003 family

я правильно понимаю, native mode - это Windows 2000 native Windows 2000
а то в конец запутался?
т.е. если контроллер в режиме "Windows Server 2003 family" то всё - никак?

Рамиль комментирует...

Windows 2000 mixed (default)

Анонимный комментирует...

"Компы в домене пришлось вывести из домена и ввести снова в него же, профили пользователей при этом сохранились."
- если не трудно, объясните по какой причине пришлось компы вывести/ввести в домен?
спасибо за уточнение по "Windows 2000 mixed (default)" - теперь буду менять domain/forest functional level

Рамиль комментирует...

"- если не трудно, объясните по какой причине пришлось компы вывести/ввести в домен?"
Без этого машины не видели контроллер домена. Почему, пока не разобрался.

Александр Кулишов комментирует...

lmhosts..мм.. где находится этот файл(т.е. подозреваю, что должен быть в /etc).. не совсем понятно.. и какова его роль.. т.е. для чего этот файл и то, что в нём прописыватся.

с уважением, Александр Кулишов

Рамиль комментирует...

В одной папке с smb.conf
Формат файла
ip_адрес имя_компьютера
ip_адрес Имя_компьютера
Роль таже, что у hosts
только для самбы

Анонимный комментирует...

>>Samba 3 аналог NT4 сервера, поэтому выход один, перевести домен Windows 2003 в native mode.

Тогда вопрос как перевести его на режим меньше, если он этого не дает!

Рамиль комментирует...

Осмыслите вопрос, потом сформулируйте и в google.
Я вот не понял вопроса.

Анонимный комментирует...

Режим работы домена Поддерживаемые контроллеры домена

Смешанный режим Windows 2000 (по умолчанию) Windows NT 4.0 Windows 2000 Семейство Windows Server 2003

Основной режим Windows 2000 Windows 2000 Семейство Windows Server 2003

Промежуточный режим Windows Server 2003 Windows NT 4.0 Семейство Windows Server 2003

Windows Server 2003 Семейство Windows Server 2003

Дак вот у меня домен в режиме Windows Server 2003. А мне для перехода максимум нужен Промежуточный режим Windows Server 2003. Как можно понизить домен до этого режима. Встроенными средствами ни как. По умолчанию запрещено переводить домен на режим ниже.
Либо как нить по другому перенести содержимое домена на Самбу. желательно с минимальными потерями.

Рамиль комментирует...

Значит данный вариант для вас не подходит.
Можно завести в лдап пользователей вручную (если их не очень много).
Для сохранения профилей пользователей придется в лдап поменять sidы пользователей на те что у них сейчас.
Но это муторно.

Анонимный комментирует...

подскажите пожалуйста, что будет если не создавать файл lmhosts?
разве netbios broadcast не сделает свое дело?или это потому что как раз таки nmbd будет выключен?

Рамиль комментирует...

Если корректно настроен DNS и прописан на компе с samba, lmhosts не нужен. Все сводится к тому чтобы самба увидела виндовый контроллер.

Князь комментирует...

Не могу вогнать в виндовый домен :/ у admin права Domain Admins. Что может быть?

#net rpc join -Uadmin%password
[2007/12/21 16:05:22, 0] utils/net_rpc_join.c:net_rpc_join_newstyle(304)
error setting trust account password: NT_STATUS_NO_SUCH_DEVICE
Unable to join domain DOMAIN.

mootal комментирует...

Здравствуйте.
пытаюсь сделать аналогично.
сервер Windows 2003 R2 SP1, режим домена - Windows 2000 (смешанный)

В домен ввёл успешно, однако при попытке сделать vampire отвечает:
root@nixpdc:/# net rpc vampire -S winpdc -U admin
[2009/04/07 06:45:23, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2645)
cli_rpc_pipe_open_schannel: failed to get schannel session key from server winpdc for domain MYDOMAIN.
[2009/04/07 06:45:23, 0] utils/net_rpc.c:run_rpc_command(162)
Could not initialise schannel netlogon pipe. Error was NT_STATUS_ACCESS_DENIED
Гуглением вроде бы как нарыл что возможно нужно включить в политиках безопастости Windows 2003 Server анонимный доступ к именованным каналам (named pipes) для netlogon. Включил. Однако результат прежний. Отключение всех возможных ограничений в политике безопасности тоже не помогает.

Рамиль комментирует...

У меня это сработало на win2003 без сервиспаков, возможно что то микрософт поменял