🏙️ 🛀🏽 ⏏️ विंडोज 2012R2 के AD डोमेन में एक दूसरे नियंत्रक के रूप में सांबा डीसी और विंडोज और लिनक्स पर क्लाइंट के लिए रोमिंग फ़ोल्डर 👨 🎅 🙎🏿

आयात मिश्रण में मुझे जो अहसास था, वह तुरंत नहीं आया। जब बोर्ड पर ऑल लिनक्स वितरण के साथ मूल संगठन से एक पीसी की ताजा आपूर्ति सख्ती से आने लगी, मुझे संदेह था कि कुछ गड़बड़ है।

हालांकि, अपरिहार्य को स्वीकार करने के चरणों से गुजरने की प्रक्रिया में, मैं शामिल हो गया और यहां तक कि प्रक्रिया का थोड़ा आनंद लेना शुरू कर दिया। और कुछ बिंदु पर मैंने सोचा कि, इतनी गति से, जल्दी या बाद में मुझे Microsoft निर्देशिका सेवा को व्यवस्थित करने और कुछ अधिक विदेशी की ओर बढ़ने के निर्णय को छोड़ना होगा। इसलिए, अपरिहार्य के लिए अग्रिम रूप से तैयार करने के लिए, और यदि संभव हो तो अधिक नुकसान को पकड़ने के लिए, एक परीक्षण बेंच को तैनात करने का निर्णय लिया गया, जिसमें शामिल हैं:

DC1 - विंडोज सर्वर 2012R2
DC2 - Alt सर्वर 8.2
फ़ाइल सर्वर - विंडोज सर्वर 2012R2
PC1 - विंडोज 7
PC2 - Alt वर्कस्टेशन 8.2

स्टैंड के कार्य:

W2k12r2 के आधार पर एक डोमेन तैनात करें। उपयोगकर्ता की कार्यशील फ़ोल्डर (डाउनलोड / दस्तावेज़ / डेस्कटॉप) को स्थानांतरित करने की नीति सहित समूह की नीतियों (काम के बुनियादी ढांचे में उपयोग किए जाने वाले लोगों के समान) का एक न्यूनतम सेट बनाएं। अंत में, मैं चाहता हूं कि जब कोई उपयोगकर्ता अपने कार्यस्थल को विंडोज से लिनक्स में बदले और इसके विपरीत, उसके पास अपने कामकाजी दस्तावेजों तक आरामदायक पहुंच हो।
दूसरे नियंत्रक द्वारा सांबा डीसी में प्रवेश करना। निर्देशिका सेवा और DNS प्रतिकृति की जाँच करना
रोमिंग फोल्डर्स के साथ लिनक्स ग्राहकों को कॉन्फ़िगर करना

कार्यान्वयन:

एक नया नियंत्रक स्थापित करें और दर्ज करें

MS Windows 2012R2 की स्थापना के साथ, सब कुछ सरल और कम स्पष्ट है। इंटरनेट पर GUI और Powershell दोनों का उपयोग करके विंडोज पर एक डोमेन तैनात करने के लिए 1001 मैनुअल है, इसलिए मैंने इसे फिर से नहीं दोहराया, मैं केवल एक लिंक को बंद कर दूंगा। जिज्ञासु के लिए प्रलेखन और जो लोग अपनी स्मृति को ताज़ा करना चाहते हैं।

हालांकि, इस पैराग्राफ में एक महत्वपूर्ण बिंदु है। आज तक, सांबा 2008R2 से ऊपर कैटलॉग योजनाओं के साथ काम करने में सक्षम नहीं है।

स्पायलर हेडिंग
बल्कि, इस समर्थन के डेवलपर्स को प्रयोगात्मक के रूप में घोषित किया गया है। लेकिन व्यवहार में, एक मौजूदा डीसी में 69 के साथ एक दूसरे डीसी के रूप में सांबा में प्रवेश करने का प्रयास आपको निम्न त्रुटि के साथ मिल जाएगा
DsAddEntry WERR_ACCESS_DENIED जानकारी (8567, 'WERR_DS_INCOMPATIBLE_VERSION') के साथ विफल रही

समस्या यह है कि Windows 2012 और 2012R2 डोमेन और जंगलों के साथ काम करने के लिए WMI टूल का उपयोग करते हैं, जिनमें से स्थिर समर्थन की घोषणा केवल सांबा संस्करण 4.11 के लिए की जाती है, जो इस वर्ष के अंत से पहले होने वाली है।
यह निम्नानुसार है कि 2012R2 सर्वर पर तैनात AD डोमेन में सांबा को पेश करने का एकमात्र विकल्प योजना को 69 से घटाकर 47 कर दिया गया है। बेशक, अच्छे कारण के बिना काम के बुनियादी ढांचे पर यह आवश्यक नहीं है, लेकिन हमारे यहां एक परीक्षण बेंच है, इसलिए क्यों वास्तव में नहीं।

हमने Alt Server 8.2 डाला। स्थापना के दौरान, प्रोफ़ाइल "सांबा-डीसी सर्वर (एडी नियंत्रक)" चुनें। परिनियोजित सर्वर पर, हम एक संपूर्ण सिस्टम अपडेट करते हैं और टास्क-सांबा-डीसी पैकेज स्थापित करते हैं, जो आपकी जरूरत की हर चीज को खींच लेगा
```
# apt-get install task-samba-dc 
```
यदि कार्य-सांबा-डीसी अचानक, प्रलेखन के आश्वासनों के विपरीत, अल्टा आवश्यक सब कुछ स्थापित करने से इनकार करता है।
```
 # apt-get install python-module-samba-DC samba-DC-common samba-DC-winbind-clients samba-DC-winbind samba-DC-common-libs libpytalloc-devel 
```
अगला, केर्बरोस को कॉन्फ़िगर करने और टिकट प्राप्त करने के लिए आगे बढ़ें। Krb5.conf फ़ाइल खोलें, [libdefaults] अनुभाग पर जाएँ, और इसे निम्न फ़ॉर्म में लाएँ:
```
 # vim /etc/krb5.conf 
```
```
  dns_lookup_kdc = true dns_lookup_realm = true default_realm = TEST.LOCAL 
```
टिकट का अनुरोध करें
```
 # kinit administrator Password for administrator@TEST.LOCAL: 
```
प्राप्त करबरोस टिकटों की सूची की जाँच करना
```
 # klist Ticket cache: KEYRING:persistent:0:0 Default principal: administrator@TEST.LOCAL Valid starting Expires Service principal 16.05.2019 11:51:38 16.05.2019 21:51:38 krbtgt/TEST.LOCAL@TEST.LOCAL renew until 23.05.2019 11:51:35 
```
अब मौजूदा सांबा कॉन्फिगर को हटाएं या नाम बदलें।
```
 # mv smb.conf smb.conf.bak1 
```
अंत में, हम AD डोमेन में दूसरा नियंत्रक दर्ज करते हैं:
```
 # samba-tool domain join test.local DC -U"TEST\administrator" 
```
निम्‍न लॉग के बाद सफल प्रविष्टि होगी
```
 Finding a writeable DC for domain 'test.local' Found DC DC1.TEST.LOCAL Password for [TEST\administrator]: Reconnecting to naming master e31d7da6-8f56-4420-8473-80f2b3a31338._msdcs.TEST. LOCAL DNS name of new naming master is DC1.TEST.LOCAL workgroup is TEST realm is TEST.LOCAL Adding CN=DC2,OU=Domain Controllers,DC=TEST,DC=LOCAL Adding CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC =TEST,DC=LOCAL Adding CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN =Configuration,DC=TEST,DC=LOCAL Adding SPNs to CN=DC2,OU=Domain Controllers,DC=TEST,DC=LOCAL Setting account password for DC2$ Enabling account Calling bare provision Looking up IPv4 addresses Looking up IPv6 addresses No IPv6 address will be assigned Setting up share.ldb Setting up secrets.ldb Setting up the registry Setting up the privileges database Setting up idmap db Setting up SAM db Setting up sam.ldb partitions and settings Setting up sam.ldb rootDSE Pre-loading the Samba 4 and AD schema A Kerberos configuration suitable for Samba AD has been generated at /var/lib/sa mba/private/krb5.conf Provision OK for domain DN DC=TEST,DC=LOCAL Starting replication Schema-DN[CN=Schema,CN=Configuration,DC=TEST,DC=LOCAL] objects[402/1426] linked _values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=TEST,DC=LOCAL] objects[804/1426] linked _values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=TEST,DC=LOCAL] objects[1206/1426] linke d_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=TEST,DC=LOCAL] objects[1608/1426] linke d_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=TEST,DC=LOCAL] objects[1743/1426] linke d_values[0/0] Analyze and apply schema objects Partition[CN=Configuration,DC=TEST,DC=LOCAL] objects[402/2240] linked_values[0/ 24] Partition[CN=Configuration,DC=TEST,DC=LOCAL] objects[804/2240] linked_values[0/ 24] Partition[CN=Configuration,DC=TEST,DC=LOCAL] objects[1206/2240] linked_values[0 /24] Partition[CN=Configuration,DC=TEST,DC=LOCAL] objects[1608/2240] linked_values[0 /24] Partition[CN=Configuration,DC=TEST,DC=LOCAL] objects[1772/2240] linked_values[2 4/24] Replicating critical objects from the base DN of the domain Partition[DC=TEST,DC=LOCAL] objects[109/110] linked_values[26/29] Partition[DC=TEST,DC=LOCAL] objects[394/5008] linked_values[29/29] Done with always replicated NC (base, config, schema) Replicating DC=DomainDnsZones,DC=TEST,DC=LOCAL Partition[DC=DomainDnsZones,DC=TEST,DC=LOCAL] objects[42/42] linked_values[0/0] Replicating DC=ForestDnsZones,DC=TEST,DC=LOCAL Partition[DC=ForestDnsZones,DC=TEST,DC=LOCAL] objects[20/20] linked_values[0/0] Exop on[CN=RID Manager$,CN=System,DC=TEST,DC=LOCAL] objects[3] linked_values[0] Committing SAM database Adding 1 remote DNS records for DC2.TEST.LOCAL Adding DNS A record DC2.TEST.LOCAL for IPv4 IP: 192.168.90.201 Adding DNS CNAME record 6ff1df40-cbb5-41f0-b7b3-53a27dde8edf._msdcs.TEST.LOCAL for DC2.TEST.LOCAL All other DNS records (like _ldap SRV records) will be created samba_dnsupdate on first startup Replicating new DNS records in DC=DomainDnsZones,DC=TEST,DC=LOCAL Partition[DC=DomainDnsZones,DC=TEST,DC=LOCAL] objects[1/42] linked_values[0/0] Replicating new DNS records in DC=ForestDnsZones,DC=TEST,DC=LOCAL Partition[DC=ForestDnsZones,DC=TEST,DC=LOCAL] objects[1/20] linked_values[0/0] Sending DsReplicaUpdateRefs for all the replicated partitions Setting isSynchronized and dsServiceName Setting up secrets database Joined domain TEST (SID S-1-5-21-3959064270-1572045903-2556826204) as a DC 
```
TEST.LOCAL डोमेन में नए DC के बारे में रिकॉर्ड ADUC स्नैप-इन में दिखाई देना चाहिए, और DNS2 में DC2 से संबंधित एक नया रिकॉर्ड रिकॉर्ड होना चाहिए।
नियंत्रकों के बीच प्रतिकृति

आरंभ करने के लिए, निर्देशिका प्रतिकृति सेवा (DRS) देखें
```
 # samba-tool drs showrepl 
```
आउटपुट में सभी प्रतिकृति प्रयास सफल होना चाहिए। KCC ऑब्जेक्ट्स की सूची में, प्रवेश करने के 15 मिनट के भीतर, विंडोज पर हमारा DC1 दिखाई देना चाहिए
```
 Default-First-Site-Name\DC2 DSA Options: 0x00000001 DSA object GUID: 0e9f5bce-ff59-401e-bdbd-fc69df3fc6bf DSA invocationId: 017997b5-d718-41d7-a3f3-e57ab5151b5c ==== INBOUND NEIGHBORS ==== DC=ForestDnsZones,DC=test,DC=local Default-First-Site-Name\DC1 via RPC DSA object GUID: 60fb339d-efa3-4585-a42d-04974e6601b7 Last attempt @ Mon May 27 12:56:31 2019 MSK was successful 0 consecutive failure(s). Last success @ Mon May 27 12:56:31 2019 MSK DC=DomainDnsZones,DC=test,DC=local Default-First-Site-Name\DC1 via RPC DSA object GUID: 60fb339d-efa3-4585-a42d-04974e6601b7 Last attempt @ Mon May 27 12:56:32 2019 MSK was successful 0 consecutive failure(s). Last success @ Mon May 27 12:56:32 2019 MSK CN=Schema,CN=Configuration,DC=test,DC=local Default-First-Site-Name\DC1 via RPC DSA object GUID: 60fb339d-efa3-4585-a42d-04974e6601b7 Last attempt @ Mon May 27 12:56:32 2019 MSK was successful 0 consecutive failure(s). Last success @ Mon May 27 12:56:32 2019 MSK DC=test,DC=local Default-First-Site-Name\DC1 via RPC DSA object GUID: 60fb339d-efa3-4585-a42d-04974e6601b7 Last attempt @ Mon May 27 12:56:32 2019 MSK was successful 0 consecutive failure(s). Last success @ Mon May 27 12:56:32 2019 MSK CN=Configuration,DC=test,DC=local Default-First-Site-Name\DC1 via RPC DSA object GUID: 60fb339d-efa3-4585-a42d-04974e6601b7 Last attempt @ Mon May 27 12:56:33 2019 MSK was successful 0 consecutive failure(s). Last success @ Mon May 27 12:56:33 2019 MSK ==== OUTBOUND NEIGHBORS ==== DC=ForestDnsZones,DC=test,DC=local Default-First-Site-Name\DC1 via RPC DSA object GUID: 60fb339d-efa3-4585-a42d-04974e6601b7 Last attempt @ Thu May 23 16:40:03 2019 MSK was successful 0 consecutive failure(s). Last success @ Thu May 23 16:40:03 2019 MSK DC=DomainDnsZones,DC=test,DC=local Default-First-Site-Name\DC1 via RPC DSA object GUID: 60fb339d-efa3-4585-a42d-04974e6601b7 Last attempt @ Thu May 23 16:40:03 2019 MSK was successful 0 consecutive failure(s). Last success @ Thu May 23 16:40:03 2019 MSK CN=Schema,CN=Configuration,DC=test,DC=local Default-First-Site-Name\DC1 via RPC DSA object GUID: 60fb339d-efa3-4585-a42d-04974e6601b7 Last attempt @ Thu May 23 16:40:08 2019 MSK was successful 0 consecutive failure(s). Last success @ Thu May 23 16:40:08 2019 MSK DC=test,DC=local Default-First-Site-Name\DC1 via RPC DSA object GUID: 60fb339d-efa3-4585-a42d-04974e6601b7 Last attempt @ Thu May 23 16:40:08 2019 MSK was successful 0 consecutive failure(s). Last success @ Thu May 23 16:40:08 2019 MSK CN=Configuration,DC=test,DC=local Default-First-Site-Name\DC1 via RPC DSA object GUID: 60fb339d-efa3-4585-a42d-04974e6601b7 Last attempt @ Mon May 27 12:12:17 2019 MSK was successful 0 consecutive failure(s). Last success @ Mon May 27 12:12:17 2019 MSK ==== KCC CONNECTION OBJECTS ==== Connection -- Connection name: 6d2652b3-e723-4af7-a19f-1ee48915753c Enabled : TRUE Server DNS name : DC1.test.local Server DN name : CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local TransportType: RPC options: 0x00000001 Warning: No NC replicated for Connection! 
```
चेतावनी "कोई नेकां कनेक्शन के लिए दोहराया!" सुरक्षित रूप से नजरअंदाज किया जा सकता है। यह इस तथ्य के कारण दिखाई देता है कि एक नया डीसी पंजीकरण करते समय, सांबा गलत तरीके से कुछ प्रतिकृति झंडे सेट करता है।

LDAP प्रतिकृति की जाँच करना भी एक अच्छा विचार है।
```
 # samba-tool ldapcmp ldap://dc1.test.local ldap://dc2.test.local -Uadministrator 
```
उपरोक्त कमांड DC1 और DC2 पर संपूर्ण निर्देशिका की वस्तुओं के विशेषता मूल्यों की तुलना करेगा।
सफल प्रतिकृति उदाहरण
```
 * Comparing [DOMAIN] context... * Objects to be compared: 249 * Result for [DOMAIN]: SUCCESS * Comparing [CONFIGURATION] context... * Objects to be compared: 1750 * Result for [CONFIGURATION]: SUCCESS * Comparing [SCHEMA] context... * Objects to be compared: 1739 * Result for [SCHEMA]: SUCCESS * Comparing [DNSDOMAIN] context... * Objects to be compared: 42 * Result for [DNSDOMAIN]: SUCCESS * Comparing [DNSFOREST] context... * Objects to be compared: 20 * Result for [DNSFOREST]: SUCCESS 
```
कुछ मामलों में, विभिन्न नियंत्रकों पर वस्तुओं की विशेषताएं भिन्न हो सकती हैं, और कमांड का आउटपुट आपको इसके बारे में बताएगा। लेकिन सभी मामलों में यह प्रतिकृति समस्या का संकेत नहीं होगा।

अगला कदम SysVol निर्देशिका की स्थिर प्रतिकृति को मैन्युअल रूप से कॉन्फ़िगर करना है।
तथ्य यह है कि सांबा अभी तक डीएफएस-आर का समर्थन नहीं करता है, हालांकि, क्योंकि यह पहले के एफआरएस का समर्थन नहीं करता था। इसलिए, डीसी सांबा और विंडोज के बीच प्रतिकृति के लिए, आज काम करने वाला एकमात्र समाधान विंडोज सर्वर 2003 रिसोर्स किट टूल्स से रोबोकॉपी उपयोगिता का उपयोग कर एकतरफा प्रतिकृति है।

सांबा डेवलपर्स, संगतता समस्याओं से बचने के लिए, नियमित वर्कस्टेशन पर पहले उपयोगिता किट स्थापित करने की सलाह देते हैं, और फिर फ़ोल्डर में कंट्रोलर को कॉपी कॉपी करते हैं "C: \ Program Files (x86) \ Windows संसाधन किट \ Tools \"

स्थापना के बाद, विंडोज नियंत्रक पर कार्य अनुसूचक में, हम निम्नलिखित मापदंडों के साथ प्रतिकृति के लिए एक कार्य बनाते हैं:

- सभी उपयोगकर्ताओं के लिए प्रदर्शन करें
- दिन के दौरान हर 5 मिनट में दैनिक निष्पादित करने के लिए ट्रिगर
- क्रियाओं में हम रोबोकॉपी उपयोगिता के लिए मार्ग लिखते हैं, हम तर्क के रूप में इंगित करते हैं:
```
 \\DC1\SYSVOL\test.local\ \\DC2\SYSVOL\test.local\ /mir /sec 
```
एक विशिष्ट मामले में, DC1 से DC2 तक SysVol निर्देशिका की सामग्री की प्रतिलिपि बनाएँ।
Pam_mount कॉन्फ़िगरेशन का उपयोग कर पोर्टेबल उपयोगकर्ता फ़ोल्डर

जाहिर है, मुझे इस समस्या को हल करने के लिए दो व्यवहार्य विकल्प मिले।
1. नेटवर्क से / होम सेक्शन तक प्रोफ़ाइल फ़ोल्डर की पूरी माउंटिंग
  
  एक सरल विकल्प। यह ठीक काम करता है अगर फ़ोल्डर का नाम मेरे दस्तावेज़, डाउनलोड और डेस्कटॉप दोनों ऑपरेटिंग सिस्टम पर समान हैं। यह समझा जाता है कि लिनक्स पीसी पहले ही डोमेन में दर्ज हो चुका है और उपयोगकर्ता प्रमाणीकरण और प्राधिकरण तंत्र के रूप में sssd का उपयोग करके अपने डोमेन खातों के तहत लॉग इन होते हैं।
```
 # vim /etc/security/pam_mount.conf.xml 
```
```
 <volume uid="100000000-2000000000" fstype="cifs" server="dfs" path="Profile_Users/%(USER)" mountpoint="~" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775"/> 
```
  जहां:
  - uid = "100000000-2000000000" - SSSD से डोमेन उपयोगकर्ताओं को दी गई UID श्रेणी
  - सर्वर = "dfs" - फ़ाइल सर्वर नाम
  - पथ = "प्रोफाइल_उजर /% (USER)" - होस्ट किए गए उपयोगकर्ता प्रोफ़ाइल के साथ फ़ाइल सर्वर पर एक संसाधन
  - माउंटपॉइंट = "~" - उपयोगकर्ता के होम फ़ोल्डर में माउंट पथ
  उपयोगकर्ता का लॉगिन हमारे नेटवर्क संसाधन को जोड़ने के लिए pam_mount द्वारा उपयोग किए जाने वाले मैक्रो वैरिएबल "% (USER)" में दिया जाता है, जिस रूप में यह डिस्प्ले मैनेजर में दर्ज किया जाता है। इसलिए, यह महत्वपूर्ण है कि डोमेन नाम के स्पष्ट संकेत के बिना डीएम लॉगिन दर्ज किया जाए।
  
  Sssd.conf में, यह टिप्पणी करके, या उपयोग के लिए गलत मान सेट करके उपयोग किया जाता है_उपयोगकर्ता_नाम विकल्प, जो उपयोगकर्ताओं और समूहों के लिए पूर्ण नाम मोड (डोमेन सहित) को चालू करता है।
2. दूसरी विधि कम सीधी और अनाड़ी है, और मेरी राय में अधिक सुविधाजनक और पसंदीदा है। Pam_mount कॉन्फ़िगरेशन में केवल पहले से अंतर
```
 # vim /etc/security/pam_mount.conf.xml 
```
```
 <volume uid="100000000-2000200000" fstype="cifs" server="dfs" path="Profile_Users/%(USER)/ " mountpoint="~/ " options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775"/> <volume uid="100000000-2000200000" fstype="cifs" server="dfs" path="Profile_Users/%(USER)/Downloads" mountpoint="~/" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775"/> <volume uid="100000000-2000200000" fstype="cifs" server="dfs" path="Profile_Users/%(USER)/ " mountpoint="~/" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775"/> 
```
  यही है, हम बस अपने प्रत्येक फोल्डर को अलग से संबंधित डायरेक्टरी में माउंट करते हैं

निष्कर्ष

एक परीक्षण बेंच पर काम के आधे महीने में, यह बंडल सफलतापूर्वक दोनों नियंत्रकों के कई वैकल्पिक दीर्घकालिक और अल्पकालिक शटडाउन से बच गया, जिसमें ग्राहकों के लिए व्यावहारिक रूप से कोई परिणाम नहीं था (एक बार विंडोज 7 पर एक ग्राहक ने विश्वास खो दिया)।

सामान्य तौर पर, मुझे इस उत्पाद के साथ काम करने की एक सुखद अनुभूति हुई, यहां तक कि उन सभी बारीकियों के बावजूद जिन्हें मुझे लेख में और पर्दे के पीछे दोनों का सामना करना पड़ा।

नुकसान हैं, उनमें से बहुत सारे हैं, और सांबा के साथ काम के दौरान उन्हें बड़ी मात्रा में पकड़ा जाना होगा। हालांकि, आज तक, कोई अन्य समाधान नहीं है जो आपको निर्देशिका सेवाओं का उपयोग करके और विंडोज का उपयोग किए बिना हाइब्रिड वातावरण को व्यवस्थित करने की अनुमति देता है।

स्टैंड के कार्य:

कार्यान्वयन:

More articles: