Salut la liste,
Ayant l'impression d'avoir épluché la moitié du web et m'étant arraché
pas mal de cheveux, je viens chercher quelques lumières auprès de vous :-)
Je suis en train de migrer un Samba en mode NT4 vers un domaine AD en
Samba 4 (mode ad-dc), voir [1].
C'est une opération que je connais bien pour l'avoir déjà réalisée une
dizaine de fois, c'est pas très drôle mais en général ça se passe pas
trop mal.
En gros, on installe une nouvelle machine pour y installer samba 4, et
on utilise le script "classicupgrade" pour convertir l'ancien LDAP et
fichiers TDB en un AD.
Modulo les histoires de duplicats de SID et autres joyeusetés, ça
fonctionne et on a un bel AD tout neuf qui fonctionne parfaitement.
Tout l'enjeu, c'est de ne pas avoir besoin de migrer les postes à la
main dans le nouveau domaine (y'en a plusieurs centaines tendance un
joli millier).
Normalement (#enthéorie), les postes windows qui étaient membres du
domaine NT4 migrent automatiquement dans le domaine AD sous quelques
conditions :
* Le nouveau domaine AD doit conserver le même nom court que l'ancien
domaine NT (ex: SAMDOM devient
SAMDOM.EXAMPLE.COM)
* On change le résolveur DNS des postes via le DHCP pour qu'ils
utilisent le nouveau contrôleur de domaine AD
* La résolution DNS des noms type
_ldap._tcp.samdom.example.com doit
être fonctionnelle (cf le point précédent).
Dans le passé, je n'ai jamais eu de soucis à ce niveau là. Mais
aujourd'hui je suis confronté à un comportement curieux :
* Le domaine est pleinement fonctionnel, on peut intégrer manuellement
des postes quelque soit la version de windows
* Les postes sous windows 11 migrent parfaitement en autonomie au
premier reboot (comportement attendu)
* Les postes sous windows 7 ou 10 ne migrent pas sans action manuelle
: aucun log sur le contrôleur de domaine samba, ni la console
windows du poste, la résolution DNS est bien OK, on dirait que les
postes ne tentent pas du tout de joindre un contrôleur de domaine AD
au démarrage.
J'ai tenté de baisser le niveau de sécurité minimum exigé par le serveur
AD ("server min protocol = NT1" dans /etc/samba/smb.conf), mais rien à
faire.
Avez-vous déjà rencontré une telle situation ? Vu que je suis plutôt
team manchot, je touche un peu aux limites de mes connaissances en crosoft.
Mes questions en deux temps :
1/ Avez-vous une idée de comment aider les postes Win7 et Win10 à migrer
automatiquement ?
2/ Si la migration automatique ne fonctionne pas, je cherche une idée de
comment scripter la sortie/réintégration au domaine.
J'ai tenté des trucs en powershell [2] mais une fois le poste sorti du
domaine, je perds la main pour la réintégration...
Je vous colle ma conf samba du contrôleur de domaine (très courte, vu
que tous les partages & co sont sur une autre machine) :
[global]
netbios name = DC1
realm =
SAMDOM.EXAMPLE.COM
server role = active directory domain controller
workgroup = SAMDOM
idmap_ldb:use rfc2307 = yes
log level = 4
dns forwarder = 10.X.X.X
allow insecure wide links = yes
client min protocol = NT1
server min protocol = NT1
lanman auth=yes
ntlm auth=yes
time server = yes
[sysvol]
path = /var/lib/samba/sysvol
read only = No
[netlogon]
path = /var/lib/samba/sysvol/samdom.example.com/scripts
read only = No
Merci d'avance pour vos retours ou conseils éventuels :)
Bonne soirée,
Fabien
[1]
https://wiki.samba.org/index.php/Migrating_a_Samba_NT4_Domain_to_Samba_AD_(…
[2]
https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.ma…