Salut la liste,

Ayant l'impression d'avoir épluché la moitié du web et m'étant arraché pas mal de cheveux, je viens chercher quelques lumières auprès de vous :-)

Je suis en train de migrer un Samba en mode NT4 vers un domaine AD en Samba 4 (mode ad-dc), voir [1].
C'est une opération que je connais bien pour l'avoir déjà réalisée une dizaine de fois, c'est pas très drôle mais en général ça se passe pas trop mal.

En gros, on installe une nouvelle machine pour y installer samba 4, et on utilise le script "classicupgrade" pour convertir l'ancien LDAP et fichiers TDB en un AD.
Modulo les histoires de duplicats de SID et autres joyeusetés, ça fonctionne et on a un bel AD tout neuf qui fonctionne parfaitement.

Tout l'enjeu, c'est de ne pas avoir besoin de migrer les postes à la main dans le nouveau domaine (y'en a plusieurs centaines tendance un joli millier).

Normalement (#enthéorie), les postes windows qui étaient membres du domaine NT4 migrent automatiquement dans le domaine AD sous quelques conditions :

• Le nouveau domaine AD doit conserver le même nom court que l'ancien domaine NT (ex: SAMDOM devient SAMDOM.EXAMPLE.COM)
  
• On change le résolveur DNS des postes via le DHCP pour qu'ils utilisent le nouveau contrôleur de domaine AD
• La résolution DNS des noms type _ldap._tcp.samdom.example.com doit être fonctionnelle (cf le point précédent).

Dans le passé, je n'ai jamais eu de soucis à ce niveau là. Mais aujourd'hui je suis confronté à un comportement curieux :

• Le domaine est pleinement fonctionnel, on peut intégrer manuellement des postes quelque soit la version de windows
  
• Les postes sous windows 11 migrent parfaitement en autonomie au premier reboot (comportement attendu)
• Les postes sous windows 7 ou 10 ne migrent pas sans action manuelle : aucun log sur le contrôleur de domaine samba, ni la console windows du poste, la résolution DNS est bien OK, on dirait que les postes ne tentent pas du tout de joindre un contrôleur de domaine AD au démarrage.

J'ai tenté de baisser le niveau de sécurité minimum exigé par le serveur AD ("server min protocol = NT1" dans /etc/samba/smb.conf), mais rien à faire.

Avez-vous déjà rencontré une telle situation ? Vu que je suis plutôt team manchot, je touche un peu aux limites de mes connaissances en crosoft.

Mes questions en deux temps :

1/ Avez-vous une idée de comment aider les postes Win7 et Win10 à migrer automatiquement ?

2/ Si la migration automatique ne fonctionne pas, je cherche une idée de comment scripter la sortie/réintégration au domaine.
J'ai tenté des trucs en powershell [2] mais une fois le poste sorti du domaine, je perds la main pour la réintégration...

Je vous colle ma conf samba du contrôleur de domaine (très courte, vu que tous les partages & co sont sur une autre machine) :

[global]
    netbios name = DC1
    realm = SAMDOM.EXAMPLE.COM
    server role = active directory domain controller
    workgroup = SAMDOM
    idmap_ldb:use rfc2307 = yes
    log level = 4
    dns forwarder = 10.X.X.X
    allow insecure wide links = yes
    client min protocol = NT1
    server min protocol = NT1
    lanman auth=yes
    ntlm auth=yes
    time server = yes

[sysvol]
    path = /var/lib/samba/sysvol
    read only = No

[netlogon]
    path = /var/lib/samba/sysvol/samdom.example.com/scripts
    read only = No

Merci d'avance pour vos retours ou conseils éventuels :)

Bonne soirée,

Fabien

[1] https://wiki.samba.org/index.php/Migrating_a_Samba_NT4_Domain_to_Samba_AD_(Classic_Upgrade)
[2] https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.management/add-computer?view=powershell-5.1#example-9-add-a-computer-to-a-domain-using-predefined-computer-credentials