Какие есть best practices при переходе с AD на контроллер домена на Linux?

Question

[bigazzzz]

Добрый день!
Коллеги, есть Active Directory на 500 пользователей. Есть желание мигрировать на Linux-овый контроллер домена.
Была идея поднять secondary DC на Samba, но при миграции данных идет ошибка по какому-то старому ключу, связанному с Exchange (у нас не используется) и потом переключить его на Primary. Возникли мысли, а нужно ли весь этот хлам тащить на новый сервер.
Возник вопрос
А как вы мигрировали? Есть ли какие-то best practices для этой задачи?

Comments

[roswell]

Кесарю -- кесарево. Если есть задача поднять АД, лучше делать это под виндой. Был опыт поднятия и руления аналога из связки samba + slapd + к этому хозяйству был прикручен внутренний мессенжер на openfire с общим ростером, но такого опыта врагу не пожелаешь.

[CityCat4]

Это добровольно-принудительно в связи с "импортозамещение бу-бу-бу"? Сначала хотя бы тестовый полигон развернули и попробовали сами немного посидеть. Потому что Самба - это все-таки сильно другое, может повылазить зиллион разных косяков в тех местах, где не ждали совершенно.

Answer 1

[Владимир Коротенко]

Лучшая практика не делать этого. Ад очень хороший инструмент, ну а самба это кривое поделие. Причём очень старое. В общем не ввязывайтесь, через полгода вернётесь к тому что было. ИМХО

ADD

Для каждой задачи используйте свой инструмент.

Comments

[Дмитрий Александров]

Обеими руками поддерживаю, набор инструментов гораздо удобнее и стабильнее. Да и кроме того скорее всего большая часть парка опять же на win машинах. В общем одумайтесь пока не поздно, в этой ситуации лучше жить скучно и горя не знать, чем в постоянном веселье.

[bigazzzz]

Спасибо. Вы подтвердили мои опасения =)

Answer 2

[aleks-th]

Это очень плохая идея.
---
Тут только один Бэст практика.
Не лепить горбатого к стене и продолжать пользоватся Windows.
---
Ибо ад под линухом совсем не равноценная замена ад под виндой.
---
Если таки замените
Предвижу вопросы
А почему оно отваливается...
А почему оно не авторизует ...
А почему самбовские шары работают сильно медленнее чем под виндой и почему с этим ничего нельзя сделать....
И так далее.
---
Ну и если потерять 500 учеток юзеров а потом бегать вытаскивать данные из профилей в экстренной порядке не критично. То можно ниче не тащить :) А по новой АД настроить с нуля )
Логин+Пароль - не равно юзеру ад в общем-то.

Comments

[bigazzzz]

Спасибо. Вы подтвердили мои опасения =)

Answer 3

[ky0]

Есть ли какие-то best practices для этой задачи?

Сразу после миграции AD на линукс и все пользовательские компы тоже перевести на линукс, а Самбу потом выключить к чертям.

Answer 4

[TOParh]

Я бы к решению этого вопроса зашёл с другой стороны, более долгий путь.
1) Начал бы перевод компов на линукс с подключением к существующему AD у фокус-группы (20-30 штук)
2) Потом бы поднял FreeIPA и связал его с контроллером домена. Посмотрел как будут себя вести компы в домене и линуксовые и виндовые, а то много всяких косяков может вылезти.
3) Если мелкие проблемы будут решены, продолжил бы постепенный перевод ПК на линукс.
4) И только когда все сервисы и пользователи будут перенесены на линукс системы и будет стабильная работа, только тогда выводим виндовый контроллер домена