Comments 72
Последний раз я использовал самбу 8 лет назад. Сегодняшнее развитие этого продукта вызывает слезы радости!
+5
Максимальный размер базы данных Samba ограничен 4 Гб
Ну, судя по тому, что это выяснилось спустя три года после выхода, можно сделать простой вывод: для инсталляций с одним доменом (а большего самба же толком и не умеет) этих 4 Гб более чем достаточно.
+9
Благодаря преемственности в подходах к реализации службы каталога Active Directory (разработчики Samba использовали открытые спецификации Microsoft), клиентами домена на базе Samba могут быть рабочие станции с операционными системами Microsoft Windows XP-2012R2...
А линуксовые станции отменили?..
0
линукс не может быть полноценным участником виндовс домена в связи с принципиально иной моделью безопасности. В каком-то упрощенном виде — безусловно.
0
Линуксовые станции удобнее заводить в «домен» FreeIPA, там действительно все политики заточены под Linux. А в FreeIPA настроить доверительные отношения с существующей AD (выглядит в AD как cross-forest trust). Таким образом, на линуксовых клиентов не нужны лицензии CAL, а все остальные плюшки в наличии. Недавно на OSSDEVCONF-2015 был хороший доклад по этой теме.
0
Можно еще несколько вопросов?
Как дела с Sites?
Может ли том с SYSVOL на SAMBA участвовать в доменном DFS Namespace?
Реализованы ли Application Partitions?
Как разрешаются коллизии объектов каталога и тома SYSVOL?
Можно ли авторитативно восстанавливать объекты?
Поддерживается ли резервное копирование/восстановление SAMBA в каких либо продуктах резервного копирования?
Как дела с Sites?
Может ли том с SYSVOL на SAMBA участвовать в доменном DFS Namespace?
Реализованы ли Application Partitions?
Как разрешаются коллизии объектов каталога и тома SYSVOL?
Можно ли авторитативно восстанавливать объекты?
Поддерживается ли резервное копирование/восстановление SAMBA в каких либо продуктах резервного копирования?
+1
- Сайты Active Directory поддерживаются — проверял.
- DFS — не реализован вообще.
- Application Partition реализованы.
- Что вы подрозумеваете под коллизией SYSVOL и объектов каталога?
- Авторитативное востановление не тестировал, но думаю, что с ним проблем возникнуть не должно.
- Насколько мне известно, нативного резевного копирования Samba ADDC нет, но т.к. вся конфигурация находится в «плоском» виде, настроить план резервного копирования и востановления вполне возможно, более того, разработчики Samba предлагают делать резервные копии путем выполненя простых операций копирования в реальном времени.
+1
Сайты Active Directory поддерживаются — проверял
Это хорошо. Вместе со всем прилагаемым — bridgehead, ISTG, расписанием репликации?
Или это просто объекты-пустышки?
Что вы подрозумеваете под коллизией SYSVOL и объектов каталога
Два администратора исправляют один объект GPO или LDAP
Авторитативное востановление не тестировал, но думаю, что с ним проблем возникнуть не должно
То есть имеет место что-то вроде ntdsutil?
0
Это хорошо. Вместе со всем прилагаемым — bridgehead, ISTG, расписанием репликации?
Или это просто объекты-пустышки?
bridgehead, ISTG на уровне объектов поддерживаются, но учитывая то, что KCC реализован в виде скрипта Python пока это рабоатет не коректно. Расписание репликации работает.
Два администратора исправляют один объект GPO или LDAP
Сущесвующий механизм репликации SYSVOL предполагает использование rsync и one way replication т.е. изменение должны выполняться на одном сервере и реплицироваться на другие. Если что-то пойдет не так, коллизии несомненно возникнут.
То есть имеет место что-то вроде ntdsutil?
Поторопился с ответом — данный сценарий не проверял, точно могу сказать, что аналогичных Windows механизмов авторитативного востановления в Samba нет. Постораюсь смоделировать процесс резервного копирования и востановления и подготовить небольшую статью.
+1
Отсутствие полноценной поддержки RODCА можно чуть подробнее, что работает, а что нет?
И еще вопрос, с 1С не тестировали (Windows аутентификация)?
0
«После установки Exchange могут возникнуть проблемы с репликацией». Уточните пожалуйста про проблемы. Там две ссылки. Первая за 2012 год и там ничего про Exchange. Вторая описывает ситуацию «в домен с AD на Samba ставят Exchange» и получают проблемы. А если у меня уже есть установленный Exchange и я поднимаю AD на Samba? Вроде нет криминала?
0
Microsoft Exchange требует для работы сервер глобального каталога в локальном сайте.
Для SAMBA может быть два варианта:
1. LDAP сервер вообще не отдает глобальный каталог через порт 3268
2. LDAP сервер отдает через порт 3268 нечто только отдаленно напоминающее GC. С учетом того, что PAS не поддерживается (хотя больше — не меньше), мало ли какие могут быть еще проблемы.
Если у вас уже стоит Exchange, то разбавлять имеющуюся сеть контроллерами SAMBA — дело сомнительное. CAL вы уже де-факто должны были купить, а серверная лицензия стоит довольно смешных 500$. Смешных потому что если вы не будете брать в штат Linux-специалиста под сугубо эту задачу, вы установите еще минимум 12 Windows серверов. )) Так проявляются Total cost of ownership.
Для SAMBA может быть два варианта:
1. LDAP сервер вообще не отдает глобальный каталог через порт 3268
2. LDAP сервер отдает через порт 3268 нечто только отдаленно напоминающее GC. С учетом того, что PAS не поддерживается (хотя больше — не меньше), мало ли какие могут быть еще проблемы.
Если у вас уже стоит Exchange, то разбавлять имеющуюся сеть контроллерами SAMBA — дело сомнительное. CAL вы уже де-факто должны были купить, а серверная лицензия стоит довольно смешных 500$. Смешных потому что если вы не будете брать в штат Linux-специалиста под сугубо эту задачу, вы установите еще минимум 12 Windows серверов. )) Так проявляются Total cost of ownership.
0
Внесу небольшую ясность:
1. LDAP сервер вообще не отдает глобальный каталог через порт 3268
По 3268 Samba отдает глобальный каталог — можно подключиться и посмотреть через ADSI.
2. LDAP сервер отдает через порт 3268 нечто только отдаленно напоминающее GC.
Тут согласен!
Стоит отметить, что Samba-сообщество активно работает над OpenLDAP реализацией базы и отдельным разделом для глобального каталога.
1. LDAP сервер вообще не отдает глобальный каталог через порт 3268
По 3268 Samba отдает глобальный каталог — можно подключиться и посмотреть через ADSI.
2. LDAP сервер отдает через порт 3268 нечто только отдаленно напоминающее GC.
Тут согласен!
Стоит отметить, что Samba-сообщество активно работает над OpenLDAP реализацией базы и отдельным разделом для глобального каталога.
0
Заузим задачу — в сайте с Exchange будут только виндовые сервера. Включая GC
0
Надо тестировать, вашу конкретную конфигурацию с конкретными настройками Exchange.
0
Вы так и хотите на ближайшем расширении схемы в CU Exchange завалить весь лес? )
Подумайте о горных лыжах, парашютном спорте, автогонках. )
Подумайте о горных лыжах, парашютном спорте, автогонках. )
0
Спасибо за разъяснение. Все это очень интересно, на самом деле.
С одной стороны, не реализована половина функционала Windows Server 2000.
С другой стороны, что хотеть от Open Source реализации — спасибо, что она вообще есть.
Но чем я больше всего восхищался в Microsoft, что они исхитряются взять какую-то довольно банальную технологию, сделать на ней прорывной продукт — и стричь купоны ДЕСЯТИЛЕТИЯМИ.
Ну что такого, в этой AD. LDAP каталог реплицируемый, Kerberos, капелька DFS, минимум репликации. Но какая реализация.
Сверху прилетает и multi-master DNS, и встроенная PKI, и чего-там-у-них-только-нет-в-этой-AD.
С одной стороны, не реализована половина функционала Windows Server 2000.
С другой стороны, что хотеть от Open Source реализации — спасибо, что она вообще есть.
Но чем я больше всего восхищался в Microsoft, что они исхитряются взять какую-то довольно банальную технологию, сделать на ней прорывной продукт — и стричь купоны ДЕСЯТИЛЕТИЯМИ.
Ну что такого, в этой AD. LDAP каталог реплицируемый, Kerberos, капелька DFS, минимум репликации. Но какая реализация.
Сверху прилетает и multi-master DNS, и встроенная PKI, и чего-там-у-них-только-нет-в-этой-AD.
0
> Стоит отметить, что Samba-сообщество активно работает над OpenLDAP реализацией базы и отдельным разделом для глобального каталога.
Разработчики вроде же говорили, что это никак невозможно?
Разработчики вроде же говорили, что это никак невозможно?
0
Уже лучше. В сайте с Exchange samba не будет. Самба будет в отдельных сайтах для регионах. И глобальный каталог на нее я не планировал.
Насчет экономики решения все значительно сложнее. В плане лицензирование по SPLA, а там никаких CAL — только куча денег за сервера. Если же просто тратить денег, то на 8 филиалов это уже $4K. В филиале 4-5 человек. Если вы считаете что это копейки — я рад за вас и вашу компанию.
Насчет экономики решения все значительно сложнее. В плане лицензирование по SPLA, а там никаких CAL — только куча денег за сервера. Если же просто тратить денег, то на 8 филиалов это уже $4K. В филиале 4-5 человек. Если вы считаете что это копейки — я рад за вас и вашу компанию.
0
По поводу копеек вопрос дискуссионный, предположим, что на одного годного инженера в Германии такую сумму компания потратит за месяц, но бизнес есть бизнес, не будем считать чужие деньги.
У Microsoft есть неприятное такое свойство — или вы продаетесь ей целиком, или никак. То есть если у вас Microsoft завелся в компании, они потихоньку вытянут из вас денег по максимуму. Всякие попытки схитрить обычно кончаются ничем. Эти господа уже давно за вас все продумали, чтобы вы в процессе не экономили и не соскочили по дороге.
У Microsoft есть неприятное такое свойство — или вы продаетесь ей целиком, или никак. То есть если у вас Microsoft завелся в компании, они потихоньку вытянут из вас денег по максимуму. Всякие попытки схитрить обычно кончаются ничем. Эти господа уже давно за вас все продумали, чтобы вы в процессе не экономили и не соскочили по дороге.
+2
А зачем вам в филиалах серверы Exchange? Разве нельзя держать одни сервер в центральном офисе и подключаться к нему удаленно через OWA и/или MAPI over HTTP? Вполне рабочее решение.
0
В филиалах (если внимательно читать мои пассажи) только DC и файл-сервер. DC потому что связь там где сидят филиалы такая «супекачественная» и провайдеры такие «надежные»…
0
я уже запутался. Если в филиалах у вас экченжа нет, то зачем считать цену его внедрения? И если есть сотовая связь, то этого хватит. Почта это не система мгновенных сообщений. Даже скорее нет, чем да.
0
Я тестировал аналогичный сценарий, с установленным Exchage и вводом Samba в Windows-домен. Одна из служб Exchange (не помню название) при обращении к Samba-контроллеру переходила в останов и репликация в направлении от Samba-контроллера к Windows завершалась с ошибкой werr_ds_dra_schema_mismatch при этом разделы schema были идентичны.
0
А вообще тут есть кто-нибудь у кого в одном домене AD на винде и на самбе? Очень хочу филиалы все на линукс перевести ибо при нынешних ценах на овес держать там WinServer'а просто неоправдано дорого. Сисадмины отбиваются и кричать «лучше тебя посадят, чем мы Линукс будем поднимать».
+1
Да, сисадмины — они такие СИСАДМИНЫ… :-)
0
Мы так сделали в одной организации для эксперимента (самба в виде Zentyal Community Edition). В общем, если AD нужен для централизованной аутентификации и политик, самбы достаточно. Всё управление с винсервера. Зентиал — это убунту с доппакетами, взял на себя ещё роль сервера, куда складываются резервные копии виндов (ntbackup-ом или как оно там называется).
0
Немного есть. Если получится решить возникшую проблему, я отпишу в отдельной статье про очень большой подводный камень, возникающий при определённых обстоятельствах.
0
в процессе работ была установлена экономическая выгода в сравнении ТОС винды и гибридной среды с самбой? Если да, то какая?
0
Берем стоимость серверной винды и множим на количество филиалов. Вот и выгода. Для себя я ее посчитал выше. И By the way c 1 сентября цены на винду на 15-20% поднимаются. Как объявил MS «в связи с огромным количеством новых фич»
0
По факту: цены не поднялись до сих пор, вроде ни на рубль! (Имею ввиду серверные Windows + CAL)
Очень интересно посмотреть как samba будет работать с сайтами!
Если у вас куча филиалов, вы реально думаете, что samba справится..?
Очень интересно посмотреть как samba будет работать с сайтами!
Если у вас куча филиалов, вы реально думаете, что samba справится..?
0
Цены не поднялись, ну и что? Оно и не было никогда особо дёшево.
0
Хм… уже анонсирован подъем с 1 января 2016. гугл вывалит кучу ссылок. Вот например.
lenta.ru/news/2015/11/03/microsoft
Рост за 2015-2016 год 30% с лишним. Вам этого мало?
Насчет филиалов — вот и проверим.
lenta.ru/news/2015/11/03/microsoft
Рост за 2015-2016 год 30% с лишним. Вам этого мало?
Насчет филиалов — вот и проверим.
+1
Не все так однозначно. С 1 января 2016 цены изменятся потому что рубль продолжает обесцениваться. Здесь MS можно сказать только спасибо, потому что держат ценник в рублях и сами принимают на себя курсовые риски партнеров. Если играется конкурс, и курс скакнет — у партнеров все будет в порядке.
В лоб экономию считать слишком просто. Всегда мы ходим вокруг TCO, а это и рабочее время, и безопасность, и функциональность. Продукты Microsoft в этом отношении зачастую — золотая середина в соотношении цена/качество(TCO).
В лоб экономию считать слишком просто. Всегда мы ходим вокруг TCO, а это и рабочее время, и безопасность, и функциональность. Продукты Microsoft в этом отношении зачастую — золотая середина в соотношении цена/качество(TCO).
-1
«Спасибо» MS можно сказать только за то что своей ценовой политикой она вышибает клиентов в неправовое поле. Если рубль упадет до 100 за бакс у меня контора только на MS лицензии работать будет. Спасибо можно сказать 1Су, который цену все-таки не поднимает. И, я понимаю, что проблемы негров шерифов из MS не волнуют. Но легче мне от этого не становиться.
+1
И кстати на лицензии на Axapta и прочий MBS цены не поднимают. Почему? Потому что есть конкуренция…
0
У МС цены в рублях и фиксируются до следующих анонсов
0
Это все очень хорошо. но падение курса они все равно активно отыгрывают.
0
если вы заключили контракт, никто вам ничего не отыграет. Повторюсь, МС она из немногих компаний, фиксирующих цену для региона на указанный период. И менять лицензии надо крайне редко. Например, сейчас и 2003 AD прекрасно выполняет свои функции. Функционал же 2012 R2 AD должен быть востребован. В ином случае он нафик не сдался.
0
Детский сад какой -то… «МС она из немногих компаний, фиксирующих цену для региона на указанный период». Период закончился — цены поднялись. По софтлайновским рассылкам можно даже отследить на сколько они поднимаются и как отыгрывается падение рубля. Вы хотите сказать что фиксация цен на период и есть отсутствие роста цен? По этой логике коммуналка в России тоже не растет. Она же фиксируется до следующего повышения…
0
согласен. Попробуйте представить, что за лицензии МС вы заплатили один раз. Это ведь не коммуналка, которая платится всегда.
0
Я могу не представлять. Я уже заплатил. Но в результате реорганизации, которую провели собственники, должен платить опять. И возможно через пару лет опять. Посему решил двинуть на SPLA. А там представлять совсем не выходит — надо платить всегда. И кстати, люди из MS, совсем не понимают как это можно без Software Assurance жить…
0
Но вы не получаете полный аналог. Поэтому такой подсчет несколько странен. Плюс вам нужен специалист по линуксу, который тоже не бесплатен. А толковый специалист стоит дорого.
0
Толковый специалист по AD не дешевле. А он всё равно нужен. Тут on par, и если функционал типа эксченджа не требуется, реально различается только стоимость софта.
0
Просматривая свои записки по подъему Lync2013 и Exch2013 хочу заметить, что то что винду легче и проще крутить чем Линукс давно стало мифом. И судя по последним анонсом от MS — дальше будет только хуже.
PS
Эх попробовать puppet или chef негде. Есть сильно подозрение что кроме AD и Office (ну и лени и инертности пользователей и ИТ стаффа) ничего у MS не осталось.
PS
Эх попробовать puppet или chef негде. Есть сильно подозрение что кроме AD и Office (ну и лени и инертности пользователей и ИТ стаффа) ничего у MS не осталось.
+1
Но получается, что к стоимости отсутствия функционала самбы надо еще прибавить з.п. специалиста, который будет ее обслуживать. Поэтому расчет выгоды исходя из «нет лицензий» ошибочный в своей сути. А если сюда добавить отсутствие каких-либо критериев кроме субъективных предыдущих работодателей качества линуксового специалиста, цена возрастает на порядок.
-2
Я не понимаю почему надо обязательно «прибавить з.п. специалиста, который будет ее обслуживать.». Потому что виндовс-специалистам лень учить Линукс? или потому что эту мантру постоянно повторяют люди из MS? Кто-то заметил у нас безумный спрос на виндовс-админов на рынке? Покажите где, пожалуйста.
PS
А главное я не понимаю почему вопрос по интеграции AD на samba и windows (как впрочем и любой вопрос на миграции на линукс) постоянно переходить в плоскость «а давайте посчитаем»?.. Причем реальных расчетов никто из поклонников Windows не дает (и, да, у меня сейчас корпоративная сеть на Winodws, но это не повод ничего другого не пробовать). Хабр технический ресурс — давайте тут поговорим про техническую часть. Про что кстати была и оригинальная статья.
PS
А главное я не понимаю почему вопрос по интеграции AD на samba и windows (как впрочем и любой вопрос на миграции на линукс) постоянно переходить в плоскость «а давайте посчитаем»?.. Причем реальных расчетов никто из поклонников Windows не дает (и, да, у меня сейчас корпоративная сеть на Winodws, но это не повод ничего другого не пробовать). Хабр технический ресурс — давайте тут поговорим про техническую часть. Про что кстати была и оригинальная статья.
+1
Могу прочитать мантру и про специализацию. Любой продукт той же Microsoft настолько сложен, что один специалист вряд ли будет экспертом более чем в одном, иногда двух продуктах.
Распыляя экспертизу на несколько продуктов, а в вашем случае платформ — получаем посредственные знания или в целом, или по направлению.
Техническая часть заключается в том, что домен AD на базе родных продуктов MS поднимается, расширяется, обслуживается значительно быстрее, чем на SAMBA. При этом качество продукта близко к безупречному, сравните с чудовищным списком недоделок у SAMBA.
Вам хочется неделями заниматься кроссплатформенным SAMBA/MS AD траблшутингом? С перспективой отката всех контроллеров на недельный бекап? Никто не в праве вам это запретить. Особенно если это ваш бизнес. Но если ваш бизнес в другом, не распыляйте усилия.
Действительность заключается в том, что AD SAMBA — все еще продукт для энтузиастов. И может никогда не станет другим. Да, в простой сети он вполне заменяет продукты MS. Прекрасно. Но в сложной сети он не работает. Досадно.
Распыляя экспертизу на несколько продуктов, а в вашем случае платформ — получаем посредственные знания или в целом, или по направлению.
Техническая часть заключается в том, что домен AD на базе родных продуктов MS поднимается, расширяется, обслуживается значительно быстрее, чем на SAMBA. При этом качество продукта близко к безупречному, сравните с чудовищным списком недоделок у SAMBA.
Вам хочется неделями заниматься кроссплатформенным SAMBA/MS AD траблшутингом? С перспективой отката всех контроллеров на недельный бекап? Никто не в праве вам это запретить. Особенно если это ваш бизнес. Но если ваш бизнес в другом, не распыляйте усилия.
Действительность заключается в том, что AD SAMBA — все еще продукт для энтузиастов. И может никогда не станет другим. Да, в простой сети он вполне заменяет продукты MS. Прекрасно. Но в сложной сети он не работает. Досадно.
+1
Вы статью с реальным описанием проблем сделайте на эту тему. Будем очень благодарны.
0
Использую samba4 в продакшене. Её, и только её. Скоро может напишу статью, про то, как можно очень круто попасть с samba4. То что и случилось у нас в общем то… — При том, мы попали в samba, и похоже по-настоящему попали, и теперь даже при желании с неё свалить будет очень не просто. Но в целом, samba4 — работает у нас уже не первый год. И так и будет продолжать работать. Для плоского домена, без эксченджей — она вполне подходит.
Если у вас используется эксчендж — то в филиалах, у вас будет только windows. Написано же в документации, что samba не сможет работать с изменённой схемой ldap.
Хотя чёрт его знает, если ничего кроме шар не надо, может и прокатит… Но… :)
Если у вас используется эксчендж — то в филиалах, у вас будет только windows. Написано же в документации, что samba не сможет работать с изменённой схемой ldap.
Хотя чёрт его знает, если ничего кроме шар не надо, может и прокатит… Но… :)
0
Я так понял при работающей samba схему менять не надо… А не вообще с измененной… Пойду еще раз перечитаю…
0
а если кратко, в чем попадалово? Разве с нее нельзя мигрировать на полноценный MS AD?
0
Но вы не используете ее в смешанной среде, иначе смысл.
Расскажите вашу историю, хотя бы коротко.
Расскажите вашу историю, хотя бы коротко.
0
так техническая часть не может отрываться от вопроса «оно тебе вообще зачем?». Самба в роли догоняющего и переход на нее обусловлен не техническими причинами, а лишь финансовыми. Или есть другие аргументы, кроме финансовых? Озвучите?
вернемся к специалистам. Если виндовс админ будет учить линукс, то за счет чего и кого? В нормальной ситуации компания должна будет приобрести для виндового админа курсы, на которые он будет ходить с отрывом от производства. Получается, что в будущее инвестируется за счет отсутствия админа на работе, но с сохранением ему з.п. плюс цена курсов (и не одних). И все это в итоге значительно повысит ценность сотрудника, которому придется платить з.п. ощутимо больше, т.к. держать его будет ощутимо меньше. И при таких наспех накиданных расходах что самба предложит взамен? Как окупит вложения?
вернемся к специалистам. Если виндовс админ будет учить линукс, то за счет чего и кого? В нормальной ситуации компания должна будет приобрести для виндового админа курсы, на которые он будет ходить с отрывом от производства. Получается, что в будущее инвестируется за счет отсутствия админа на работе, но с сохранением ему з.п. плюс цена курсов (и не одних). И все это в итоге значительно повысит ценность сотрудника, которому придется платить з.п. ощутимо больше, т.к. держать его будет ощутимо меньше. И при таких наспех накиданных расходах что самба предложит взамен? Как окупит вложения?
0
Sign up to leave a comment.
Возможности и ограничения Samba 4 как контроллера домена Active Directory