Целью является репликация контроллера домена MS AD (Windows server 2012) на новый контроллер домена Samba4 AD, а затем миграция пользователей в новый домен Samba. Это наш первый раз, и различные документы в Интернете не очень обнадеживают.
Есть только один лес и уникальный AD DC.
Задача состоит в том, чтобы убедиться, что все необходимые объекты из исходного AD DC будут скопированы в новый каталог Samba.
Вики-страница Samba, Присоединяйтесь к домену как DC, ясно указывает, что «объединение» будет работать максимум только для Windows Server 2008 R2 (у нас есть версия 2012 года). Тогда, вероятно, лучше начать с нуля на Samba, импортировав различные объекты MS AD из сценария / samba-tool.
Каковы ваши рекомендации, предупреждения, для перехода с MS 2012 AD DC на Samba 4 AD DC, и, в частности, как обеспечить максимальную передачу информации с компьютера Windows на Samba4, другими словами, генерировать наименьшее количество неудобства для пользователей. (DNS, пользователи, группы, компьютеры, ...)
Я бы посоветовал следовать этой общей процедуре:
0) резервное копирование всего
1) подумайте о том, что вы планируете делать с DNS и DHCP (если они находятся на одном сервере Windows)
2) понизить схему с 2012 до 2008 R2
3) добавить сервер Samba4 в качестве вторичного контроллера домена (возможно, используя внутренний DNS)
4) дождитесь, пока схема (и DNS) реплицируются на сервер Samba4
5) перенесите все роли FSMO на сервер Samba4 (это рискованно, поскольку, по моему опыту, серверу Windows это может не понравиться)
6) при необходимости обновите DNS-имена
7) не забудьте обновить / установить DHCP-сервер
После этого вы сможете выключить свой сервер Windows, и ваши пользователи ничего не заметят.
Обратите внимание, что вся эта операция на самом деле не является «лучшим сценарием», и есть много вещей, которые могут пойти не так, поэтому делайте это ночью и заранее продумайте план аварийного восстановления, когда все внезапно перестанет работать без какого-либо разумного вывода журнала. Я однажды проделал это с Windows 2008, и это сработало, но я помню, что это было очень неприятным опытом. Так что удачи :)