[Samba-it] Migrazione di un dominio NT4 ad AD

Luigi Iotti luigi at iotti.biz
Mon May 20 08:01:24 UTC 2024


Buongiorno a tutta la lista.

Mi hanno chiesto di aggiornare un vecchio dominio Samba NT4 ad AD. Per
questo sto facendo un po' di test, anche perchè sono anni che non l'avevo
più fatto. Ho clonato l'OS (il vecchio server deve rimanere "vivo" per altre
funzioni), ho aggiornato ad Alma Linux 9, ho installato samba-4.20 ed ho
effettuato la procedura samba-tool domain classicupgrade. Sembra tutto a
posto. Mi sono procurato alcuni client virtuali, preesistenti e nuovi, ed ho
condotto qualche test, mettendo il server nuovo ed i client in una VLAN
separata dal vecchio server. I client Win 10 e 111 nuovi si aggregano
regolarmente al dominio e non esibiscono alcuna anomalia. L'anomalia arriva
quando provo a fare logon al dominio nuovo con un vecchio client che era già
membro del dominio NT4. Non riesco ad entrare (se non con account per cui ha
in cache la password) e mi viene detto che non è possibile contattare il
controller di dominio.
Come scrivevo è tanto che non faccio questo genere di upgrade, ma mi pare di
ricordare che invece la migrazione del client da dominio NT4 a
corrispondente AD dovrebbe essere trasparente.

Ho fatto qualche test. La cosa notevole che ho riscontrato è che se sul pc
lancio una prima volta il comando nltest /dsgetdc:SMB (SMB e' il nome
NetBIOS del dominio) ottengo l'errore:

Impossibile ottenere il nome del controller di dominio: Status = 1355 0x54b
ERROR_NO_SUCH_DOMAIN

Non mi sorprende che invece se cerco il nuovo nome DNS del dominio,
funziona:

C:\Windows\system32>nltest /dsgetdc:ad.smbsmb.com
           Controller di dominio: \\dc01.ad.smbsmb.com
      Indirizzo: \\192.168.1.11
     GUID dominio: 4f390390-4c37-4442-a9fd-7bd2bc9336e6
     Nome dominio: ad.smbsmb.com
  Nome foresta: ad.smbsmb.com
 Nome sito controller di dominio: Default-First-Site-Name
Nome sito interno: Default-First-Site-Name
        Contrassegni: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC
DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET
Esecuzione comando riuscita

Mentre invece mi sorprende il fatto che se rilancio adesso il comando
precedente con il nome NETBIOS, ora funziona:

C:\Windows\system32>nltest /dsgetdc:SMB
           Controller di dominio: \\DC01
      Indirizzo: \\192.168.1.11
     GUID dominio: 4f390390-4c37-4442-a9fd-7bd2bc9336e6
     Nome dominio: SMB
  Nome foresta: ad.smbsmb.com
 Nome sito controller di dominio: Default-First-Site-Name
Nome sito interno: Default-First-Site-Name
        Contrassegni: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE
DNS_FOREST CLOSE_SITE FULL_SECRET
Esecuzione comando riuscita

E a questo punto posso fare logon con gli utenti del dominio e le cose
sembrano essere andate a posto. Ho ripetuto il test diverse volte, con
reboot del client, senza reboot, riavviando i servizi, aspettando ore per
fare svanire eventuali cache, ma non cambia nulla: devo prima cercare
manualmente il nome DNS del dominio, e dopo le cose vanno a posto.

Visto che la rete e' piccola e ha quasi tutti indirizzi statici, posso anche
lanciare i due comandi quando andrò a cambiare l'impostazione del DNS, non è
un problema colossale. Ma sarei curioso di capire cosa può determinare
questo comportamento.

Per riferimento, il file smb.conf è quello di default prodotto da samba-tool
domain classicupgrade:

# Global parameters
[global]
        netbios name = DC01
        realm = AD.SMBSMB.COM
        server role = active directory domain controller
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl,
winbindd, ntp_signd, kcc, dnsupdate
        workgroup = SMB
        idmap_ldb:use rfc2307 = yes

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/ad.smbsmb.com/scripts
        read only = No

Se faccio un lookup dei nomi NetBIOS names, quelli necessari di tipo 1B e 1C
sembrerebbero esserci.

# nmblookup -A 192.168.1.11
Looking up status of 192.168.1.11
        DC01            <00> -         M <ACTIVE> 
        DC01            <03> -         M <ACTIVE> 
        DC01            <20> -         M <ACTIVE> 
        SMB             <1b> -         M <ACTIVE> 
        SMB             <1c> - <GROUP> M <ACTIVE> 
        SMB             <00> - <GROUP> M <ACTIVE> 
        __SAMBA__       <00> - <GROUP> M <ACTIVE> <PERMANENT> 
        __SAMBA__       <20> - <GROUP> M <ACTIVE> <PERMANENT> 

        MAC Address = A0-DD-F9-15-A7-7F

Se qualcuno ha idee... Grazie molte.




More information about the samba-it mailing list