はじめに

当初、Sambaは、SMB / CIFSプロトコルを使用してさまざまなオペレーティングシステム上のネットワークドライブとプリンターにアクセスできるソフトウェアパッケージでしたが、Sambaのバージョン4以降、Active Directoryサービスのドメインコントローラーとして機能することができました。



Samba 4はActive Directoryドメインサービスを置き換えるための優れたソリューションであり、AD機能の重要な部分を実装しているという事実にもかかわらず、生産的な環境でソリューションを実装および運用する際に重要になる可能性のある多くの重大な制限があります。



この記事では、このような交換がどれほど優れているか、またどのような問題や制限に遭遇するかという質問に答えようとします。

Sambaの機能

Linuxディストリビューションの1つにSambaと基本的なネットワークサービス（DNS、NTP、Kerberosなど）をインストールすると、次の機能が得られます。

1. Active Directoryドメインコントローラー：
   
   •Kerberos v5に基づく認証サービス。
   
   •DRSレプリケーション機能を備えたLDAP準拠のディレクトリサービス。
   
   •グループポリシー管理サーバー。
   
   •安全で動的な名前登録を提供するBINDベースのDNSサーバー。
2. ファイルサーバー。
3. プリントサーバー

Active Directoryディレクトリサービスを実装するアプローチが継続しているため（Samba開発者はMicrosoftのオープン仕様を使用）、Microsoft Windows XP-2012R2オペレーティングシステムを搭載したワークステーションはSambaベースのドメインクライアントにできます。 Sambaに実装されたActive Directoryドメインサービスを管理するためのツールとして、システム管理者に馴染みのあるMicrosoftリモートサーバー管理ツールを使用できます。



さらに、SambaはGPLの下で配布されるオープンソースソフトウェアであり、これにより最終的に次のことが可能になります。

1. インポートされたソフトウェアの使用に関連するリスクを減らすため（政府機関の場合、これは特に2016年1月1日から当てはまります）。
2. 情報システムの総所有コストを削減します。

情報システムのオブジェクトに関する情報を保存および検索するためのドメインを編成することを計画している中小規模の組織、および何らかの理由でオープンソースソフトウェアに切り替えることを計画している組織にとって、SambaはMicrosoft Active Directoryに代わる優れた選択肢です。



しかし、Sambaは誰にとっても非常に優れており、Active Directoryの機能を完全に閉じることができますか？ この質問に答えようとします。

Sambaの制限

Samba実装でのAD機能の制限に関する一般情報は、wiki.samba.orgのwikiナレッジベースでも見つけることができますが、そこにあるデータは少しずつ収集する必要があり、すべての制限が言及されるわけではありません。



説明されている制限は、Samba 4.3.1の記事バージョンを書いている時点で、現在のものに有効です。



それでは、機能制限から始めましょう。

Sambaデータベースの最大サイズは4 GBに制限されています

Sambaデータベースの最大サイズ制限は、32ビットtdbアーキテクチャに関連しています。 Active Dirtectoryディレクトリに数十万のオブジェクトがある大規模な組織では、Sambaへの切り替えができない場合があります。 （ちなみに、この制限に関する情報は、Samba 4.0のリリースからほぼ3年後の2015年11月13日に掲載されました。これは主にメーリングリストでの活発な議論によるものです）。

信頼関係（フォレスト/ドメインの信頼）

信頼関係の最も完全な実装はSamba 4.3で登場しましたが、いくつかの重要な制限があります。

• 二国間信託のみがサポートされています。
• SIDフィルタリング機能はありません。これを拒否すると、信頼関係を整理する際のセキュリティレベルが大幅に低下します。
• 信頼できるドメイン「A」からドメイン「B」のグループへのユーザーまたはグループの追加はサポートされていません。 この制限により、信頼関係を必要とする大規模なインストールでSamba 4を使用できなくなります。

マルチドメイン構造のサポート/サブドメインのサポート

コードレベルとSambaデータベースレベルの両方で、マルチドメイン構造はサポートされていません。 実際、Sambaにはグローバルカタログの実装がありません（グローバルカタログが要求されると、共有LDAPディレクトリにリダイレクトされます）。



Sambaに基づいてサブドメインを作成したり、Sambaを第2レベルのドメインに導入したりすると、他のドメインとルートドメインに関するレコードが失われ、ファントムオブジェクトのサポートにおける「原因」の制限により、マルチドメイン環境での作業が非常に不安定になる可能性があります。 残念ながら、メーリングリストでコミュニティに質問がある場合は、次のような回答を受け取ります。

「Sambaを改善してスケールアップし、より多様なドメイン構造をサポートしたいと考えていますが、それは小さな作業ではありません。

ごめんなさい」

SYSVOLレプリケーション

グループポリシーは、特定の組織単位に割り当てられたパスワードポリシーを除き、Sambaで完全に動作しますが、DFS-RおよびFRSプロトコルのサポートがないため、SYSVOLレプリケーションは手動またはスクリプトを使用して実行する必要があります。 Sambaコントローラー間のレプリケーションのrsync設定に関する情報は、wiki.samba.orgで入手できます。



Windowsドメインコントローラーとsamba間のSYSVOLレプリケーションの実装について-私のメールに書き込むことができます。

KCCサポート

Samba 4.3.0のリリースノートには、開発者がオープンなMicrosoft仕様に従ってKCC実装にアプローチしたことが記載されており、実際、イベントログの多数のエラーに備え、レプリケーショングラフを手動で作成/更新する価値があります。

その他の制限

• RODCの完全なサポートの欠如。
• AD DCの役割でのSambaとWindows Server 2012およびWindows 2012 R2に基づくドメインコントローラーのサポートの欠如。
• MIT Kerberosのサポートの欠如。
• DRS *レプリケーションモジュールの実装に関する問題。
• スキーマ拡張の複製に関する問題**。

* DRSの実装に関しては、ほとんどの機能が正しく動作しますが、 DRS_TODO_Listページにはいくつかの制限があります。



**スキームの拡張は通常の操作であるという事実にもかかわらず、その実装後、結果は非常に予期しないものになる可能性があります。 たとえば、werr_ds_dra_schema_mismatchエラーが表示される場合があります。 一般に、このエラーはスキームが一致する場合でも発生する可能性がありますが、このトピックの開示には個別に書かれた記事が必要なので、ここではこれに焦点を合わせません。



すでに実装されている機能モジュールにはバグがすでに存在し、メーリングリストの活発な対応から判断すると、それらのかなりの数があることに留意する必要があります（詳細はbugzilla.samba.orgで見つけることができます）。

さまざまなアプリケーションのサポート

機能上の制限に加えて、Samba AD DCには、多数のアプリケーションとサービスの操作に関連する制限もあります。 テストサイトでは、いくつかの基本的なインフラストラクチャサービスをテストしました。 テスト結果は以下にあります。



すべてのアプリケーションは、基本構成でテストされています。 エラーの発生の性質の徹底的な分析は行われませんでした。

アプリ	試験結果	チェックリスト
Microsoft Exchange Server 2003/2010/2013	サポートされていません*	設置 サービス開始
Microsoft SQL Server 2012R2	でサポート	インストール（フェールオーバークラスターを使用したフェールオーバー構成を含む） 可用性グループを作成する ユーザー認証
Citrix Xen App 6.5	サポート対象*	設置 公開アプリケーションの起動 Citrixポリシーの施行 移動ユーザープロファイルの使用
Microsoft System Center Configuration Manger 2007	サポート対象*	設置 レポート機能 リモートデスクトップアクセス

*コメント：

• Microsoft Exchange Server 2003/2010/2013

Exchangeのインストール後、レプリケーションの問題が発生する場合があります。 Exchangeの機能に必要なサービスは、開始しませんでした。 問題に関する詳細は、 リンク1およびリンク2のリンクを参照してください 。

• Citrix Xen App 6.5

Citrix Xen Appを正常にインストールした後、レプリケーションに問題がありました 。問題はSPNレコードの無効なレジスターにあることが判明しました（同様の問題の説明はこちらにあります ）。

• Microsoft System Center Configuration Manger 2007

DCOMの認証エラーが原因で、デスクトップへのリモートアクセスが機能しませんでした。



一般に、認証専用にActive Directoryを使用するアプリケーションは、Sambaドメインで問題なく動作するはずですが、トレーニング現場で作業をテストする価値があります。

結論

要約すると、Samba AD DCにはかなりの制限があり、大規模な展開では深刻な問題になる可能性があります。 同時に、Sambaは、現時点では、Active Directoryとディレクトリサービス全体の最も成熟したオープンな代替品です。 このソリューションは、外国企業からの商用サポートの存在、クラウドサービスとの統合（ AmazonのSambaを使用 ）、およびインテグレーターからの製品への関心のために積極的に開発されています。これは、すべての既存の問題の早期解決と必要な機能の完了を期待する理由になります。