Migration Samba NT vers Active Directory - FRsAG

30 Sep 2022


      Salut la liste,
Ayant l'impression d'avoir épluché la moitié du web et m'étant arraché 
pas mal de cheveux, je viens chercher quelques lumières auprès de vous :-)
Je suis en train de migrer un Samba en mode NT4 vers un domaine AD en 
Samba 4 (mode ad-dc), voir [1].
C'est une opération que je connais bien pour l'avoir déjà réalisée une 
dizaine de fois, c'est pas très drôle mais en général ça se passe pas 
trop mal.
En gros, on installe une nouvelle machine pour y installer samba 4, et 
on utilise le script "classicupgrade" pour convertir l'ancien LDAP et 
fichiers TDB en un AD.
Modulo les histoires de duplicats de SID et autres joyeusetés, ça 
fonctionne et on a un bel AD tout neuf qui fonctionne parfaitement.
Tout l'enjeu, c'est de ne pas avoir besoin de migrer les postes à la 
main dans le nouveau domaine (y'en a plusieurs centaines tendance un 
joli millier).
Normalement (#enthéorie), les postes windows qui étaient membres du 
domaine NT4 migrent automatiquement dans le domaine AD sous quelques 
conditions :
* Le nouveau domaine AD doit conserver le même nom court que l'ancien
    domaine NT (ex: SAMDOM devient SAMDOM.EXAMPLE.COM)
  * On change le résolveur DNS des postes via le DHCP pour qu'ils
    utilisent le nouveau contrôleur de domaine AD
  * La résolution DNS des noms type _ldap._tcp.samdom.example.com doit
    être fonctionnelle (cf le point précédent).
Dans le passé, je n'ai jamais eu de soucis à ce niveau là. Mais 
aujourd'hui je suis confronté à un comportement curieux :
* Le domaine est pleinement fonctionnel, on peut intégrer manuellement
    des postes quelque soit la version de windows
  * Les postes sous windows 11 migrent parfaitement en autonomie au
    premier reboot (comportement attendu)
  * Les postes sous windows 7 ou 10 ne migrent pas sans action manuelle
    : aucun log sur le contrôleur de domaine samba, ni la console
    windows du poste, la résolution DNS est bien OK, on dirait que les
    postes ne tentent pas du tout de joindre un contrôleur de domaine AD
    au démarrage.
J'ai tenté de baisser le niveau de sécurité minimum exigé par le serveur 
AD ("server min protocol = NT1" dans /etc/samba/smb.conf), mais rien à 
faire.
Avez-vous déjà rencontré une telle situation ? Vu que je suis plutôt 
team manchot, je touche un peu aux limites de mes connaissances en crosoft.
Mes questions en deux temps :
1/ Avez-vous une idée de comment aider les postes Win7 et Win10 à migrer 
automatiquement ?
2/ Si la migration automatique ne fonctionne pas, je cherche une idée de 
comment scripter la sortie/réintégration au domaine.
J'ai tenté des trucs en powershell [2] mais une fois le poste sorti du 
domaine, je perds la main pour la réintégration...
Je vous colle ma conf samba du contrôleur de domaine (très courte, vu 
que tous les partages & co sont sur une autre machine) :
[global]
     netbios name = DC1
     realm = SAMDOM.EXAMPLE.COM
     server role = active directory domain controller
     workgroup = SAMDOM
     idmap_ldb:use rfc2307 = yes
     log level = 4
     dns forwarder = 10.X.X.X
     allow insecure wide links = yes
     client min protocol = NT1
     server min protocol = NT1
     lanman auth=yes
     ntlm auth=yes
     time server = yes
[sysvol]
     path = /var/lib/samba/sysvol
     read only = No
[netlogon]
     path = /var/lib/samba/sysvol/samdom.example.com/scripts
     read only = No
Merci d'avance pour vos retours ou conseils éventuels :)
Bonne soirée,
Fabien
[1] 
https://wiki.samba.org/index.php/Migrating_a_Samba_NT4_Domain_to_Samba_AD_(C...)
[2] 
https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.man...