staging.inyokaproject.org

via DuckDuckGo

Windows Domänencontroller gegen Samba + Active Directory Services ersetzen ?

Status: Ungelöst | Ubuntu-Version: Ubuntu 22.04 (Jammy Jellyfish)
Antworten |

Mike_Machine

Anmeldungsdatum:
9. September 2006

Beiträge: 21
Zitieren
12. April 2023 08:12

Hallo zusammen,

wir haben hier am Standort ein kleines Active Directoy (~ 10 Benutzer) auf Basis eines alten Windows Server 2012 - neben dem AD leistet der Server noch DNS und DHCP. Ich darf den Spaß quasi nebenher administrieren und stehe jetzt vor der Entscheidung wie es mit dem Verzeichnisdienst weitergeht. Noch streube ich mich dagegen den herkömmlichen Microsoft Weg zu gehen bzw. einen aktuellen Windows Server als Domänencontroller zu installieren, um dann den alten 2012er herabzustufen und in die Wüste schicken zu können.

Daher erstmal der Blick über den Tellerrand ob wir mit Samba 4 und den Active Directory Services nicht auch unser Ziel erreichen könnten. Unsere Anforderungen an den Verzeichnisdienst sind mit 10 Benutzern ja eher überschaubar, einzig die (beidseitige) Vertrauensstellung zu einer entfernten Domäne sollte mit Samba eben auch wieder funktionieren. Was nach meiner Recherche wohl auch problemlos möglich sein sollte.

Mir ist die Vorgehensweise allerdings nicht ganz klar bzw. habe ich wenig Erfahrung in diesem Thema und will aktuell die Möglichkeiten ausloten ... was mich stutzig macht ist die Tatsache so wenig darüber im Netz zu finden, außer im offiziellen Samba-Wiki:

https://wiki.samba.org/index.php/Joining_a_Samba_DC_to_an_Existing_Active_Directory

Die andere Möglichkeit wäre auf eine fertige Lösung zu setzen wie zum Beispiel auf den Univention Server und die Migration (aka "Takeover") quasi auf Knopfdruck zu erledigen (so wirds beworben)

Wie würdet ihr das Ganze angehen bzw. habt ihr Erfahrung damit ? bin über jeden Tipp dankbar.

Newubunti

Anmeldungsdatum:
16. Februar 2008

Beiträge: 4768
Zitieren
13. April 2023 12:30

Hallo,

gleich eines vorweg: Ich betreue beruflich keinen Samba ADC. Habe also in der Dauerbetreuung eines Samba ADC im beruflichen Umfeld keine Erfahrung.

Das Thema interessiert mich rein privat und ich hatte auch schon einen Bekannten, der in ähnlicher Situation auf mich zugekommen ist und mich dazu befragt hat, einfach weil der auch gar keine Ahnung zum Thema hatte und ich im Vergleich dazu relativ schon.

Also die folgenden Rückfragen und Meinungen kommen also nicht von einem beruflich ausgewiesenen Samba-Experten!

Mike_Machine schrieb:

... Noch streube ich mich dagegen den herkömmlichen Microsoft Weg zu gehen bzw. einen aktuellen Windows Server als Domänencontroller zu installieren, um dann den alten 2012er herabzustufen und in die Wüste schicken zu können.

Darf ich fragen was Motivation bzw. Gründe für das "Streuben" sind? Denn die Motivation, dass man privat Linux bevorzugt und Windows ablehnt, steht in einem Unternehmen nicht an erster Stelle.

Die entscheidende Frage ist auch nicht, ob Ihr 10 oder 100 Arbeitsplätze habt.

IMO entscheidende Fragen sind:

  • Sind das bei Euch alles Windows-Clients?

  • Sind das "da arbeitet mal einer nebenbei dran"- oder sind das "Brot und Butter"-Clients für den Standort?

  • Ist der jetzige Server der einzige Microsoft-Server oder habt Ihr noch einen anderen?

  • Könnt Ihr wirklich - falls Ihr keinen anderen Microsoft-Server habt - in Eurer Infrastruktur auf einen solchen verzichten oder setzt irgend eine Software bei Euch - und sei es auch nur für Lizenz-Kram - einen Microsoft-Server voraus?

  • Wieviel Zeit bleibt Dir, bis das Projekt umgesetzt werden soll?

  • Welches Vorwissen bringst Du mit?

  • Was passiert, wenn Du Dich in das Thema hineinarbeitest und das alles sauber aufgesetzt bekommst, Du aber dann mal länger erkrankst? Gibt es dann im Unternehmen oder in der Umgebung jemanden, der das übernehmen kann?

Im beruflichen Umfeld würde ich - gerade auch als Nebenbei-Admin - im Fall der Fälle auf professionellen Support zurückgreifen können.

Das alles soll und muss nicht gegen einen Samba-AD-Server sprechen, aber häufig ist die Motivation ja vom Sparen der Lizenzkosten getrieben oder auch ideologisch aus Microsoft-Ablehnung heraus. Als primäre Triebfedern im betrieblichen Umfeld sind das aber keine guten Motivatoren.

Also an sich Kosten sparen wäre natürlich aus betrieblicher Sicht schon toll, ist nur die Frage ob man dann am Ende auch Kosten spart.

Professioneller Linux-Support kostet auch und AFAIK nicht zu knapp.

Vertrauensstellungen wurden AFAIK bei Samba erst mit der Version 4.7 oder 4.8 eingeführt und sind damit noch relativ neu. Womit ich nicht sagen will und kann, dass das nicht trotzdem vernünftig funktioniert! Das könnte aber erklären, warum Du noch nicht so viel darüber im Netz findest.

Wobei Du damit aber auch schon eines der Samba-AD-Probleme erkannt hast: Im Vergleich zu Windows-AD findest Du da halt relativ weniger, womit Du schneller auf Dich alleine gestellt bist.

Aber natürlich auch klar: Der Windows-AD-Server administriert sich auch nicht von alleine!

Wenn Du Dich dazu entschließt, rate ich aber vorab auf alle Fälle zu einer Testumgebung.

LG, Newubunti
Antworten |