डेबियन 8 पर एसएएमबीए क्लासिकअपग्रेड अनुभव

प्रागितिहास

उद्यम का एक छोटा स्थानीय नेटवर्क है, जिसमें लगभग 10 साल पहले 3rd Samba + LDAP + BIND (गेटवे पर) पर एक डोमेन डेबियन 5 पर उठाया गया था। वास्तव में, उसे केवल उपयोगकर्ता प्रमाणीकरण और फ़ाइल बॉल्स की आवश्यकता थी। इन वर्षों में, सर्वर ने बिना किसी समस्या के डेबियन के नए संस्करणों में अपग्रेड किया है। फिलहाल, इसमें पैकेज से डेबियन 8 और सांबा 4.2 है।

विंडोज 7 के बाद से, डोमेन में कंप्यूटरों की शुरूआत, रजिस्ट्री को संपादित करने के साथ अच्छी तरह से ज्ञात बैसाखी के बिना काम नहीं किया। उसी बैसाखी ने विन 8 और विन 10 को संस्करण 1803 तक काम किया। डोमेन में कंप्यूटर में प्रवेश करने की अक्षमता के अलावा, अन्य समस्याएं जमा हो गईं, और परिणामस्वरूप, एक क्लासिकअपग्रेड करने का निर्णय लिया गया। LAN संरचना की सादगी के कारण, आंतरिक सांबा DNS का उपयोग करने का निर्णय लिया गया था।

मैं तुरंत कहना चाहता हूं कि लेख एक सटीक मार्गदर्शक नहीं है, बल्कि इस ऑपरेशन को अंजाम देने का अनुभव है। पूर्व-परीक्षण चरण अत्यधिक अनुशंसित है। मेरे मामले में, वर्चुअलबॉक्स आभासी मशीनों पर परीक्षण और तैनात करने के लिए सर्वर छवियां ली गईं। इसके अलावा, मौजूदा डोमेन क्लाइंट के व्यवहार का परीक्षण करने के लिए, विन एक्सपी एसपी 3 और विन 10 1709 और 1803 क्लाइंट मशीन बनाए गए।

मैं यह भी नोट करना चाहता हूं कि सामान्य टाइप्स के कारण बार-बार त्रुटियां हुईं। सावधान रहें।

पर्यावरण का वर्णन

ओएस: डेबियन 8
डोमेन: samdom.local
सर्वर का नाम: pdc
सर्वर आईपी: 10.10.1.220

संक्रमण की प्रक्रिया

नवीनतम संस्करणों के पैकेज को अद्यतन करना + लापता को स्थापित करना।

मेरे मामले में, अपडेट के बाद, केवल krb5-user को डिलीवर किया जाना था।

apt-get update apt-get upgrade apt-get install samba smbclient krb5-user winbind 

Krb5-user को स्थापित करते समय, सिस्टम सर्वर नाम और डोमेन नाम के बारे में कुछ प्रश्न पूछेगा। हम अपने सर्वर के डेटा को भरते हैं।

सांबा रुकें

 service samba-ad-dc stop service smbd stop service nmbd stop service winbind stop 

पुराने ठिकानों और सांबा विन्यास का स्थानांतरण

 mv /var/lib/samba /var/lib/samba.NT mv /etc/samba/smb.conf /etc/samba/smb.conf.NT 

मैंने पुराने डेटाबेसों को /var/lib/samba.NT में स्थानांतरित कर दिया ताकि आपको / var / lib / samba निर्देशिका को फिर से बनाने की आवश्यकता हो

 mkdir /var/lib/samba 

प्रलेखन सभी डेटाबेस को एक अलग फ़ोल्डर में ले जाने की सलाह देता है। मेरे मामले में, केवल gencache_notrans.tdb अलग से पड़े, इसलिए मुझे इसे केवल स्थानांतरित करना पड़ा।

 cp -p /run/samba/gencache_notrans.tdb /var/lib/samba.NT 

प्रलेखन यह भी कहता है कि केवल छह डेटाबेसों की जरूरत है:

secrets.tdb
schannel_store.tdb
passdb.tdb
gencache_notrans.tdb
group_mapping.tdb
account_policy.tdb

हालाँकि, फ़ोल्डर में अन्य फ़ाइलों की उपस्थिति ने संक्रमण प्रक्रिया को नहीं रोका।

क्लासिकअपग्रेड प्रक्रिया शुरू करना

 samba-tool domain classicupgrade —dbdir=/var/lib/samba.NT --realm=samdom.local --dns-backend=SAMBA_INTERNAL /etc/samba/smb.conf.NT 

मैं ध्यान देता हूं कि दस्तावेज़ शीर्ष-स्तरीय डोमेन स्थानीय का उपयोग करने की अनुशंसा नहीं करता है। लेकिन मेरे मामले में यह ऐतिहासिक रूप से हुआ।

स्क्रीन पर दिखाई देने वाली शीट में, व्यवस्थापक पासवर्ड फ्लैश होगा, जिसे आप चाहें तो नीचे लिख सकते हैं)।

यदि आपके पास समस्याएं हैं, तो क्लासिकअपग्रेड के नए प्रयासों से पहले, आपको डेटाबेस फ़ाइलों को हटाने और प्रक्रिया में निर्मित smb.conf को याद रखना होगा।

 rm -f /etc/samba/smb.conf rm -rf /var/lib/samba/* 

यदि सब कुछ ठीक रहा, तो आप अगले चरण पर जा सकते हैं।

सर्वर की जाँच और संपादन कॉन्फ़िगर करता है

/Etc/resolv.conf में होना चाहिए (यदि यह आपके लिए स्वचालित रूप से निर्मित नहीं है)

 domain samdom.local nameserver 10.10.1.220 

में / आदि / मेजबानों

 127.0.0.1 localhost localhost.localdomain 10.10.1.220 pdc.samdom.local pdc 

/ Etc / hostname फ़ाइल में संक्षिप्त होस्ट नाम होना चाहिए

 pdc 

में / आदि / नेटवर्क / इंटरफेस

 dns-nameservers 10.10.1.220 dns-search samdom.local 

अनुरोधों को पुनर्निर्देशित करना

यदि आपका सर्वर DNS क्वेरीज़ को इंटरनेट पर रीडायरेक्ट करेगा (और INTERNAL_DNS सांबा का उपयोग किया जाता है), तो आपको smb.conf में [वैश्विक] अनुभाग में अपने ISP आईपी से एक पंक्ति जोड़ने की आवश्यकता है:

 dns forwarder = ip 

"सांबा" 4.2 में, आप केवल एक आईपी निर्दिष्ट कर सकते हैं। निम्नलिखित में - कुछ, एक स्थान के साथ।
यदि आपके प्रवेश द्वार पर आउटगोइंग ट्रैफ़िक नियंत्रित है, तो सर्वर से पोर्ट 53 तक udp पैकेट के मार्ग को खोलना न भूलें।

कर्बरोस को कॉन्फ़िगर करें

हम /etc/krb5.conf को समान रूप में लाते हैं:

 [libdefaults] default_realm = SAMDOM.LOCAL dns_lookup_realm = false dns_lookup_kdc = true krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true v4_instance_resolve = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else } } fcc-mit-ticketflags = true [realms] SAMDOM.LOCAL = { kdc = pdc admin_server = pdc default_domain = SAMDOM.LOCAL } [domain_realm] .samdom.local = SAMDOM.LOCAL samdom.local = SAMDOM.LOCAL 

समय सिंक्रनाइज़ेशन

यदि ntp पैकेज इसके लायक नहीं है, तो सेट करें:

 apt-get install ntp 

मेरे मामले में कोई निर्देशिका / var / lib / samba / ntp_signd / नहीं थी। मैन्युअल रूप से बनाया गया।

अगला, आपको उसे अधिकार देने की आवश्यकता है:

 chown root:ntp /var/lib/samba/ntp_signd/ chmod 750 /var/lib/samba/ntp_signd/ 

इसके बाद, आपको /etc/ntp.conf फ़ाइल को समान रूप में लाना होगा:

 # Local clock (Note: This is not the localhost address!) server 127.127.1.0 fudge 127.127.1.0 stratum 10 # The source, where we are receiving the time from server 0.pool.ntp.org iburst prefer driftfile /var/lib/ntp/ntp.drift logfile /var/log/ntp ntpsigndsocket /var/lib/samba/ntp_signd/ # Access control # Default restriction: Only allow querying time (incl. ms-sntp) from this machine restrict default kod nomodify notrap nopeer mssntp # Allow everything from localhost restrict 127.0.0.1 # Allow that our time source can only provide time and do nothing else restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap nopeer noquery 

थप्पड़ को हटाकर रिबूट करना

 apt-get remove slapd reboot 

परीक्षण

प्रलेखन में, परीक्षण प्रशासक खाते से किया जाता है। हमने ऐतिहासिक रूप से विकसित किया है कि प्रशासनिक कार्य domain_admin से आते हैं। अगला, कमांड और उनका सही आउटपुट दिखाया जाएगा।

परीक्षण सांबा:

 root@debian:/root# smbclient -L localhost -U% Domain=[SAMDOM] OS=[Unix] Server=[Samba 4.1.17-Debian] Sharename Type Comment --------- ---- ------- netlogon Disk sysvol Disk IPC$ IPC IPC Service (Samba 4.1.17-Debian) Domain=[SAMDOM] OS=[Unix] Server=[Samba 4.1.17-Debian] Server Comment --------- ------- Workgroup Master --------- ------- 

यदि आपको यहाँ कोई त्रुटि मिलती है:

लोकलहोस्ट से कनेक्शन विफल हुआ (त्रुटि NT_STATUS_UNSUCCESSFUL)

जांचें कि क्या सांबा शुरू होता है। एक परीक्षण में, मैं थप्पड़ को हटाना (बंद करना) भूल गया और इस त्रुटि को भी देखा।

एक और जाँच:

 $ smbclient //localhost/netlogon -Udomain_admin -c 'ls' Enter Administrator's password: Domain=[SAMDOM] OS=[Unix] Server=[Samba xyz] . D 0 Tue Nov 1 08:40:00 2016 .. D 0 Tue Nov 1 08:40:00 2016 49386 blocks of size 524288. 42093 blocks available 

DNS का परीक्षण

 root@debian:/root# nslookup samdom.local Server: 10.10.1.220 Address: 10.10.1.220#53 Name: samdom.local Address: 10.10.1.220 

 $ host -t SRV _ldap._tcp.samdom.local. _ldap._tcp.samdom.example.com has SRV record 0 100 389 pdc.samdom.example.com. 

 $ host -t SRV _kerberos._udp.samdom.local. _kerberos._udp.samdom.example.com has SRV record 0 100 88 pdc.samdom.example.com. 

 $ host -t A pdc.samdom.local. dc1.samdom.example.com has address 10.10.1.220 

परीक्षण Kerberos

 root@debian:/root# kinit domain_admin@SAMDOM.LOCAL Password for domain_admin@SAMDOM.LOCAL: Warning: Your password will expire in 41 days on  27  2015 14:34:46 

 root@debian:/root# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: domain_admin@SAMDOM.LOCAL Valid starting Expires Service principal 16.10.2015 15:07:12 17.10.2015 01:07:12 krbtgt/SAMDOM.LOCAL@SAMDOM.LOCAL renew until 17.10.2015 15:07:07 

अतिरिक्त सेटअप

डोमेन नामों और समूहों को लिनक्स पर प्रदर्शित होने के लिए, आपको संख्याओं के बजाय /etc/nsswitch.conf को ठीक करना होगा

स्ट्रिंग्स को निम्न रूप में घटाया जाना चाहिए:

पासवार्ड: फाइल विंडबिन्ड
समूह: फाइलें विंडबाइंड

कृपया ध्यान दें कि winbind केवल इन पंक्तियों में जोड़ा जाता है। विवरण के लिए, प्रलेखन देखें।
मेरे मामले में, मैंने इस फ़ाइल से ldap का उल्लेख भी हटा दिया।

 reboot 

यदि आप, मेरी तरह, क्लासिकअपग्रेड डीएनएस से पहले, सर्वर एक अन्य मशीन पर स्थित था और आप डीएचसीपी सर्वर का उपयोग कर रहे हैं, तो DNS सर्वर की ओर इशारा करते हुए डीएचसीपी सर्वर सेटिंग्स को बदलना न भूलें

नेटवर्क फ़ोल्डर कॉन्फ़िगर करें

डेवलपर्स को फ़ाइल सर्वर के रूप में एडी डोमेन नियंत्रक का उपयोग करने की अनुशंसा नहीं की जाती है। हालांकि, मेरे मामले में कोई अन्य सर्वर नहीं थे।

"सांबा" के लिए प्रलेखन में सेटिंग बहुत अच्छी तरह से वर्णित है और आपको वहां देखने की आवश्यकता है। संक्षेप में, तब:

एसीएल सपोर्ट सांबा की जांच करना आवश्यक है।

 smbd -b | grep HAVE_LIBACL HAVE_LIBACL 

यह मत भूलो कि अनुभाग को user_xattr और acl विकल्पों के साथ माउंट किया जाना चाहिए।

केवल उपयोगकर्ता और SeDiskOperatorPrivilege वाले समूह गेंदों के अधिकारों को कॉन्फ़िगर कर सकते हैं:

उदाहरण के लिए, डोमेन एडमिन समूह को ऐसे अधिकार देने के लिए, आपको कमांड चलाने की आवश्यकता है:

 net rpc rights grant "Samdom\Domain Admins" SeDiskOperatorPrivilege -U "Samdom\domain_admin" 

सीधे आपको आवश्यक गेंदों को जोड़ने के लिए:

एक निर्देशिका बनाएं और आवश्यक अधिकार प्रदान करें:

 # mkdir -p /srv/samba/Demo/ # chown root:"Domain Admins" /srv/samba/Demo/ # chmod 0770 /srv/samba/Demo/ 

smb.conf में जोड़ें

 [Demo] path = /srv/samba/Demo/ read only = no 

उसके बाद, सांब को पुनः लोड करें कमांड से कॉन्फ़िगर करें:

 smbcontrol all reload-config 

पहले की तरह, गेंदों को अपने विवरण में जोड़कर छिपाया जा सकता है:

 browseable = no 

अगला, राइट्स को मशीन की खिड़कियों से, SeDiskOperatorPrivilege वाले खाते से वितरित किया जाता है । ऐसा करने के लिए, "कंप्यूटर प्रबंधन" पर जाएं।
एक दूरस्थ कंप्यूटर से चिपके रहना (हमारे मामले में pdc डोमेन नियंत्रक)। अधिकारों को वितरित करें: "साझा किए गए फ़ोल्डर" -> "साझा किए गए संसाधन"।

यह संभावना है कि जब आप "साझा फ़ोल्डर" आइटम पर जाते हैं, तो आपको एक त्रुटि मिलेगी "प्रक्रिया संख्या अनुमेय सीमा (1745) के बाहर है।" मैं इसे अनदेखा करता हूं, क्योंकि मुझे इंटरनेट पर कुछ भी समझदार नहीं मिला और इससे परीक्षण और संचालन के दौरान समस्याएं नहीं होती हैं।

यदि आप पुराने नेटवर्क फ़ोल्डर को इस तरह साझा करते हैं तो समस्याएँ संभव हो सकती हैं। क्लासिकअपग्रेड से पहले, गेंदों के अधिकार smb.conf, linux उपयोगकर्ताओं, समूह, अन्य और setfacl के माध्यम से निर्धारित किए गए थे। क्लासिकअपग्रेड के बाद, धीरे-धीरे बदलने, नाम बदलने आदि के अधिकार वाले स्कूल दिखाई देने लगे। पुनरावर्ती सेटफेकल ने मदद नहीं की, क्योंकि अधिकारों की विरासत के साथ जाम दिखाई दिया।

यह ध्यान देने योग्य है कि प्रलेखन में, मशीन की खिड़कियों से रिमोट एक्सेस के माध्यम से अधिकारों को वितरित करने की सिफारिश की जाती है।

परिणामस्वरूप, फ़ाइलों की बहुत बड़ी मात्रा नहीं होने के कारण, गैर-काम के घंटों के दौरान विंडोज़ मशीन में डेटा स्थानांतरित करने के लिए, सांबा डेवलपर्स की सिफारिशों के अनुसार नेटवर्क फ़ोल्डरों को फिर से बनाने और फ़ाइलों को फिर से अपलोड करने का निर्णय लिया गया था।

सर्वर पर उपयोगकर्ता होम फ़ोल्डर्स

उपयोगकर्ता होम फ़ोल्डर्स का प्रबंधन भी बदल गया है।
यह ध्यान देने योग्य है कि कॉन्फ़िगरेशन से प्रक्रिया भी प्रलेखन में बहुत अच्छी तरह से वर्णित है।
मैं अपने मामले के लिए केवल प्रमुख विशेषताओं का वर्णन करूंगा।

पहले, प्रत्येक उपयोगकर्ता को अपनी गेंद मिली। अब केवल साझा किए गए फ़ोल्डर को साझा किया गया है, और उपयोगकर्ताओं के पास केवल उनकी निर्देशिका तक पहुंच है।

Microsoft दूरस्थ सर्वर व्यवस्थापन उपकरण (RSAT) का उपयोग करके सेटअप किया जाता है। RSAT में एक अप्रिय विशेषता है। विन 10 को एक नए संस्करण में अपग्रेड करते समय, इसे पुनः इंस्टॉल किया जाना चाहिए।

उपयोगकर्ता और कंप्यूटर स्नैप-इन में उपयोगकर्ता गुणों के माध्यम से होम बॉल को मैन्युअल रूप से उठाया जा सकता है। प्रोफ़ाइल टैब। यू डिस्क: \\ पीडीसी \ उपयोगकर्ता-शेयर \ उपयोगकर्ता नाम

हालाँकि, डोमेन नीति के माध्यम से ऐसा करना अधिक सुविधाजनक है, जो कि "समूह नीति वरीयता का उपयोग करना" पैरा में उपरोक्त दस्तावेज में स्पष्ट रूप से वर्णित है।

यह मत भूलो कि आम गेंद को उसके विवरण में जोड़कर छिपाया जा सकता है:

 browseable = no 

डोमेन स्तर ऊपर

समस्या के बिना डोमेन को स्तर 2008_R2 में उन्नत किया गया था:

 samba-tool domain level raise --domain=2008_R2 --forest=2008_R2 

आप कमांड के साथ स्तर देख सकते हैं:

 samba-tool domain level show 

यदि smbd.log को CUPS त्रुटियों के साथ बमबारी किया जाता है

मेरे मामले में, यह समस्या सामने आई:

CUPS सर्वर लोकलहोस्ट से कनेक्ट करने में असमर्थ: 631

इस लघु लेख द्वारा ठीक किया गया।

इसके बाद डेबियन 9 मुद्दे और समाधान के लिए उन्नयन

पर

 apt-get dist-upgrade 

एक समस्या थी, जिसका नाम था, सांबा और विनबाइंड अपडेट नहीं होना चाहते थे। निर्भरता के संघर्ष में चला गया।

लेख से विधि ने उस लिंक की मदद की जिससे मैं दुर्भाग्य से नहीं बचा।
यहाँ से एक प्रत्यक्ष उद्धरण है:

अगर सांबा AD-DC मोड में है, तो यह विफल हो जाता है।
इन आदेशों को करें, फिर अपग्रेड को फिर से चलाने का प्रयास करें

systemctl stop smbd nmbd winbind
systemctl smbd nmbd winbind को निष्क्रिय करता है
systemctl अनमास्क samba-ad-dc
systemctl स्टार्ट सांबा-ऐड-डीसी
systemctl सक्षम करें सांबा-ऐड-डीसी

एसएएमबीए संस्करण को अपडेट करने के बाद, यह अनुशंसा की जाती है कि: "सांबा एडी डीसी डेटाबेस चेक"।

# samba-tool dbcheck --cross-ncs

चूंकि देब 9 एसएएमबीए संस्करण 4.5 में मुझे त्रुटियों की एक गुच्छा "replPropertyMetaData" मिला।
समस्या निवारण प्रक्रिया को दस्तावेज़ में वर्णित किया गया है:

wiki.samba.org/index.php/Updating_Samba#Fixing_replPropertyMetaData_Attributes

और यह कमांड के निष्पादन के लिए आता है:

samba-tool dbcheck --cross-ncs --fix --yes

उपयोग किए गए स्रोतों की सूची

SAMBA प्रलेखन:

सांबा NT4 डोमेन को सांबा AD (क्लासिक अपग्रेड) में माइग्रेट करना
सांबा को एक सक्रिय निर्देशिका डोमेन नियंत्रक के रूप में स्थापित करना
Windows ACL का उपयोग करके एक शेयर सेट करना
उपयोगकर्ता होम फोल्डर
महान लेख:
डेबियन 8 डोमेन नियंत्रक (... जिसका पहले से ही एक अंतर्निहित Samba4 है)
सांबा त्रुटि: सीयूपीएस सर्वर लोकलहोस्ट से कनेक्ट करने में असमर्थ: 631
एक अज्ञात अंग्रेजी लेखक का एक लेख जिसमें बताया गया है कि डेबियन 9 को कैसे अपग्रेड किया जाए