Salut la liste,
Ayant l'impression d'avoir épluché la moitié du web et m'étant arraché pas mal de cheveux, je viens chercher quelques lumières auprès de vous :-)
Je suis en train de migrer un Samba en mode NT4 vers un domaine
AD en Samba 4 (mode ad-dc), voir [1].
C'est une opération que je connais bien pour l'avoir déjà réalisée
une dizaine de fois, c'est pas très drôle mais en général ça se
passe pas trop mal.
En gros, on installe une nouvelle machine pour y installer samba
4, et on utilise le script "classicupgrade" pour convertir
l'ancien LDAP et fichiers TDB en un AD.
Modulo les histoires de duplicats de SID et autres joyeusetés, ça
fonctionne et on a un bel AD tout neuf qui fonctionne
parfaitement.
Tout l'enjeu, c'est de ne pas avoir besoin de migrer les postes à
la main dans le nouveau domaine (y'en a plusieurs centaines
tendance un joli millier).
Normalement (#enthéorie), les postes windows qui étaient membres du domaine NT4 migrent automatiquement dans le domaine AD sous quelques conditions :
Dans le passé, je n'ai jamais eu de soucis à ce niveau là. Mais aujourd'hui je suis confronté à un comportement curieux :
J'ai tenté de baisser le niveau de sécurité minimum exigé par le serveur AD ("server min protocol = NT1" dans /etc/samba/smb.conf), mais rien à faire.
Avez-vous déjà rencontré une telle situation ? Vu que je suis plutôt team manchot, je touche un peu aux limites de mes connaissances en crosoft.
Mes questions en deux temps :
1/ Avez-vous une idée de comment aider les postes Win7 et Win10 à
migrer automatiquement ?
2/ Si la migration automatique ne fonctionne pas, je cherche une
idée de comment scripter la sortie/réintégration au domaine.
J'ai tenté des trucs en powershell [2] mais une fois le poste
sorti du domaine, je perds la main pour la réintégration...
Je vous colle ma conf samba du contrôleur de domaine (très courte, vu que tous les partages & co sont sur une autre machine) :
[global] netbios name = DC1 realm = SAMDOM.EXAMPLE.COM server role = active directory domain controller workgroup = SAMDOM idmap_ldb:use rfc2307 = yes log level = 4 dns forwarder = 10.X.X.X allow insecure wide links = yes client min protocol = NT1 server min protocol = NT1 lanman auth=yes ntlm auth=yes time server = yes
[sysvol] path = /var/lib/samba/sysvol read only = No [netlogon] path = /var/lib/samba/sysvol/samdom.example.com/scripts read only = No
Merci d'avance pour vos retours ou conseils éventuels :)
Bonne soirée,
Fabien
[1]
https://wiki.samba.org/index.php/Migrating_a_Samba_NT4_Domain_to_Samba_AD_(Classic_Upgrade)
[2]
https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.management/add-computer?view=powershell-5.1#example-9-add-a-computer-to-a-domain-using-predefined-computer-credentials