Samba（Active Directoryサーバ）

　Windows Server 2012(R2)が2023年10月10日でEOLになるので、Samba4でWindowsのActiveDirectoryサーバを構築してみた。

（前提条件）

• Samba4のインストール先    /opt/samba
• サーバのIPアドレス             192.168.1.1
• ホスト名                            ad.sec-portal.jp
• DNSサーバ                        192.168.2.1
• ADドメイン名                     sec-portal.jp

事前準備

既存パッケージの削除

　標準のSambaパッケージは、ADのサポートを行っていないので、インストールしている場合は、削除すること。

関連パッケージのインストール

OS環境準備

　ホスト名（FQDN）やIPアドレス・DNSサーバの設定は、事前に設定が完了していること。

以下をホスト設定「/etc/hosts」に追加する。

DNSリゾルバ設定「/etc/resolv.conf」を確認する。

Samba4 コンパイル＆インストール

環境・サービス設定

ドメイン準備

　DNSフォワーダーIPアドレス（DNS forwarder IP address）と管理者のパスワード（Windows初期パスワードポリシーに従う：英数字記号混在、3文字以上、ユーザ名を含まない）を入力する。

環境設定

　NTP（chronyd）サーバにクライアントの時刻同期を行うIPアドレスの追加とSamba連携の設定を行う。

　NTP（chronyd）サーバの再起動

　Samba設定ファイルの変更
　　・ 「server services」行の追加
　　・ 「utmp」行の追加

移動ユーザープロファイルを使用する場合の設定

サービの設定

　環境設定ファイル（EnvironmentFile）をシステム標準のファイル「/etc/sysconfig/samba」に変更する。

　この時点で、/etc/resolv.confの設定をlocalhostに変更する。
　なお、サーバは、SambaのDNSフォワード設定を行っているので問題ない。

　各サービスの起動

その他の設定

　ファイアウォールの環境設定
　　・ NTPの許可を追加
　　・ samba-dc サービスの追加（ポート番号は、以下を参考に設定）

　Sambaクライアントのセグメント単位で許可をどのように行うか検討すること。

サーバにおける動作確認

基本動作確認（Administratorでのログイン）

DNSのテスト

Kerberosのテスト

（注意） 指定するドメイン名は、大文字で指定すること。

ユーザの追加（移動プロファイル）

その他管理コマンド等

パスワード方針表示

ユーザ管理

クライアント側の準備

• クライアント側のDNSサーバの設定は、SambaサーバのIPアドレスを設定する。
• IPv6のDHCPサーバがある場合、ADサーバが見つからない（IPv6優先のため）ので注意。
• ドメインへの参加を行う。
• ドメインのAdministratorで準備作業を行う。

　Windows 10へのRSATインストールを行うと各管理ユーティリティが使用可能となる。
　　・ ActiveDirectoryユーザーとコンピュータ
　　・ グループポリシー管理ツール
　　・ DNS サーバツール

Active Directoryの管理検討

• グループポリシー管理エディターが使用可能となる。
• フォルダーリダイレクトの検討・設定を行う。
• サイトとゾーンの割り当てを検討
  AppdataをリダイレクトするとEdgeの起動などで「セキュリティの警告を表示」されるのでグループポリシーでADサーバをイントラネット ゾーンとして登録する必要があります。
• ローカルセキュリティポリシーの変更検討
  対話型ログオン：最後にサインインしたユーザを表示しない