Tout d’abord, je vous invite à désactiver votre bloqueur de pubs pour Infotrucs.fr. Je vous rassure vous ne serez pas inondé ! Et ça récompense mon travail đ
Samba 4 est un logiciel pour Linux qui permet de faire du simple partage de fichiers mais aussi de créer un contrôleur de domaine entièrement compatible avec Active Directory de Microsoft. Vous trouverez ici un gros dossier pour vous aider à monter un Contrôleur de domaine Samba Active Directory à partir de zéro.
Nous allons voir comment configurer un contrôleur de domaine Samba Active Directory sous Debian 11 Bullseye (11.1) sans interface graphique avec Samba 4, et intégrer un client Windows 10 Pro au domaine.
Si vous avez besoin d’installer SAMBA sur un Debian 9, suivez plutôt cette version du tuto : www.infotrucs.fr/tuto-configurer-samba-4-sous-debian-9/
Nous configurerons ensuite les outils RSAT, sur le client Windows 10, qui permettront d’administrer à distance les services de Samba 4 avec des outils graphiques.
->Préparez vous donc un Windows 10 Pro en parallèle car il servira également pour tester la bonne fonction du serveur DNS en cours de route.
Nous allons donc partir sur une configuration simple mais qui permettra de pratiquer la base de l’implémentation de Samba 4.
Ce document est réalisé sur des machines virtuelles dans un environnement VMWare Workstation.
Le niveau fonctionnel de Samba par défaut sera 2008_R2, ce qui veut dire que vous pourrez n’intégrer que des Windows server 2008_R2, ou n’intégrer votre Samba que dans une forêt au niveau 2008_R2. Ce niveau n’empêche pas d’intégrer des clients Windows 10 Pro ou n’importe quelle version compatible AD. Dans ce document, le serveur Samba 4 est le seul et unique contrôleur de domaine du réseau.
->Dans une configuration simple, le serveur nommé ici DCSRV fournira les service Active Directory ainsi qu’un service DNS intégré à Samba. Il n’est nul besoin d’installer un serveur DNS tiers.
->Le serveur DCSRV ne possède qu’une seule interface réseau.
->Partez d’une installation vierge, aucun service Samba ne doit être installé. Installez seulement le serveur SSH pour pouvoir prendre la main et éventuellement copier/coller les commandes, et les Utilitaires usuels du sytème. N’installez pas d’interface graphique !!!
->N’installez pas le paquet resolvconf et assurez-vous qu’il ne soit pas installé et en fonction.
–>Pensez à désactiver le lecteur de CD dans le fichier /etc/apt/sources.list.
Sommaire
->Configuration du réseau sur le serveur
->Installation de Samba et dépendances
->Promotion en contrôleur de domaine
->Le fichier krb5.conf
->Paramètres DNS du serveur
->Gérer le service samba
->Test du serveur DNS et création de zone inversée
->Test d’authentification Kerberos
->Configuration d’un poste d’administration Windows 10
->Installer RSAT
->Integrer le poste au domaine
->Se loguer en admin du domaine, test du DNS, test de RSAT
->Les outils RSAT
->Gestion d’utilisateurs
->Test d’une GPO
Aller, on commence par configurer le réseau au niveau du serveur. Page suivante.
Bonjour,
Tout d’abord super tuto, mais j’ai un soucis, je n’arrive pas Ă integrer mon client win10 PRO au domaine via mondomaine.fr il ne le trouve pas mais, si je met « mondomaine » alors il me demande les identifiants, je les rentre et il ne trouve plus le serveur, tout votre tuto a Ă©tĂ© suivi Ă la lettre et sans erreur, je suis sous debian 11
Merci pour votre aide,
Cordialement
Avez-vous testĂ© de faire des requetes nslookup vers le serveur DNS depuis le client ? Vous vous assurerez de cette façon que le serveur rĂ©pond et qu’il fonctionne.
Bonsoir Ben,
Pour rĂ©pondre, nslookup ne m’a rien retournĂ©, ensuite les commande DNS fonctionne bien, je le ping avec un autre pc sur le rĂ©seau, mais ce que je n’explique pas c’est le fait de lui rentrer le domaine « XXXXXX.YY » et qu’il me dise qu’il ne le trouve pas puis quand je lui rentre mon domaine en XXXXXX beh la il veux mes id et quand je lui donne beh il ne le trouve plus… j’ai tentĂ© avec n mot de passe erronĂ© et pareil mĂȘme pas d’erreur… pour le moment j’ai tout virĂ© et reinstallĂ© DEBIAN 11 a neuf et SSH…
Nslookup permet des commandes DNS, quand vous dites que les commandes DNS fonctionnent c’est Ă partir de quelle machine et avec quelles commandes ? Avant de tenter de rentrer le PC dans le domaine il faut d’abord ĂȘtre sĂ»r que le client ping le serveur, et que nslookup requĂȘte bien le serveur DNS depuis le client Windows.
vous avez bien mis le dns du serveur dans la carte reseau de votre client winsows ? sinon ce ne marchera pas,
Tout Ă fait ! Mais j’ose espĂ©rer que oui XD
moi sa marche bien, faut juste bien se connecter sur le client windows avec une session du domain, sinon un tuto pour intégrer bind9 avec samba4 dans le futur ?
Bonne question ! Je ne suis pas sĂ»r que ce soit une bonne pratique d’ailleurs. S’il existe dĂ©jĂ un DNS sur le rĂ©seau c’est probablement parce qu’il a un autre rĂŽle Ă jouer Ă la base. Vaudrait peut-ĂȘtre mieux mettre en relation les deux DNS, ou je ne sais pas. Quand j’aurais du temps je me pencherais sur la question !
un tuto pour intégrer bind9 dans le futur ?
Bonsoir,
Donc, je me suis remis a la mise en place d’un contrĂŽleur de domaine en suivant cette article, et cette fois ci je viens avec une rĂ©ponse Ă mon problĂšme qui m’a bouffĂ© du temps… en faite une fois la manip terminĂ©e, lorsque du pc client je lançais un nslookup, j’avais un unknown suis d’une adresse ipv6! et mon domaine Ă©tait donc introuvable, j’ai donc dans un premier temps dĂ©sactivĂ© l’ipv6 cotĂ© server, mais rien, alors j’ai fais de mĂȘme mais cotĂ© client, et lĂ … eureka !!! ça fonctionne nickel. Il faut donc penser Ă dĂ©sactiver l’ipv6 de la carte rĂ©seau sinon ça ne fonctionne pas đ
Merci de ta contribution. Je n’ai pas eu de problĂšme de ce cĂŽtĂ© lĂ personnellement et je ne me suis pas occupĂ© de IPv6. C’est assez Ă©tonnant, surtout si tu pingue et que ça rĂ©pond sans avoir encore dĂ©sactivĂ© IPv6. J’avoue que je reste perplexe đ
Bonsoir Ben,
Non justement le ping non plus sauf l’IP du AD,
Mais si je faisais ping mondomaine.local rien, ce qui m’a permis de chercher ailleurs … Et lorsque j’ai fais un nslookup mondomaine.local… il me rĂ©pondait unknown puis dessous l’IP V6 avec ensuite la petite phrase qui va bien me disant non-exixtant server…
Mais je vais refaire mon installation en propre maintenant que je sais … Alors petit dĂ©tail est win11 aussi qui a l’IP V6 activĂ© par dĂ©faut ? Ăa serait pas impossible… Je reste dans 15j et te dis. Enfin ton tuto est vraiment nickel merci pour ton boulot.
Bonne soirée à toi
Merci Ă toi. Oui je parlais du ping IP. Ok ça vaudrait le coup de retester avec windows 10 du coup, car si c’est la seule diffĂ©rence ça peut ĂȘtre le problĂšme en effet. Bonne journĂ©e.
Excellentes explications, trÚs bonne pédagogie.
Pour ma part mĂȘme problĂšme que pour @Christian_Couvrat, Ă un dĂ©tail prĂšs : le serveur est derriĂšre un VPN (OpenVPN en TAP). Les requĂȘtes DNS passent trĂšs bien sur IPv4 comme IPv6 en revanche l’accĂšs au domaine ne se fait pas : MONDOMAINE.LAN ne fonctionne pas et MONDOMAINE me demande des informations d’identification qui tournent dans le vide : une communication se fait donc bien.
Votre documentation Ă©tant trĂšs bien faite, je pense que le soucis vient davantage de ce que laisse passer ou non le VPN mais si vous aviez une idĂ©e immĂ©diate d’oĂč pourrait venir Ă coup sĂ»r le problĂšme, n’hĂ©sitez pas.
En vous remerciant.
Merci ça fait plaisir ! Et merci pour votre retour.
Bon 2 personnes avec le mĂȘme symptĂŽme je me demande si ça ne viendrait pas du fait que je n’ai pas mis de serveur de temps dans ce tuto.
Pouvez-vous essayer de l’ajouter comme dans le tuto pour Debian 9 (qu’il faudra peut-ĂȘtre adapter pour la partie NTP) ? Voir ici :
www.infotrucs.fr/tuto-configurer-samba-4-sous-debian-9/3/
Et ici :
www.infotrucs.fr/tuto-configurer-samba-4-sous-debian-9/12/
Car s’il y a un micro dĂ©calage de l’heure entre le serveur et le client possible que Kerberos puisse bloquer ou qq chose du genre. De mon cĂŽtĂ© je n’ai pas eu de problĂšme mais j’Ă©tais sur 2 invitĂ©s virtuels sur la mĂȘme machine.
Rebonjour,
Merci de votre rĂ©ponse rapide (en plus !). C’est deux pages que j’avais en effet consultĂ©es derniĂšrement et que j’ai donc appliquĂ©es Ă mon serveur sur votre recommandation. Je pense avoir compris d’oĂč vient mon problĂšme. Je suivais votre documentation dans l’idĂ©e de voir comment tout cela fonctionnait avant de l’appliquer professionnellement et donc je l’ai fait avec deux machines sur un rĂ©seau local familiale (entendre par lĂ : derriĂšre une box). Et le soucis doit venir de lĂ . Je pense que le DNS interne de Samba fonctionne, en revanche le DNS de la box a tout plantĂ© et fait qu’une requĂȘte « nslookup » (sur le PC W10 Pro) sur l’adresse du serveur rĂ©pond : « serveur.home » et non : « serveur.domaine.lan » comme il se devrait. En gros, la box fait autoritĂ© et on sait comment les box sont personnalisables… Bref, je vais me dĂ©brouiller.
D’autre part, une question m’est venue, pourquoi ne pas faire : « samba-tool dns zonecreate serveur.domaine.lan [adresse_ip] -U administrator » ? Samba le fait-il lui-mĂȘme automatiquement ? Je suis novice avec l’outil DNS de Samba que je ne connaissais pas, j’ai jusque lĂ utilisĂ© Bind9 et DNS Masq alors je suis perdu car je ne comprends pas oĂč sont Ă©crits les enregistrements.
Quoi qu’il en soit, merci !
Perso je ne me suis limitĂ© qu’Ă l’administration du DNS intĂ©grĂ© via RSAT et donc avec interface graphique et la zone Ă©tait bien crĂ©Ă©e. Il me semble que j’avais juste crĂ©Ă© la zone inversĂ©e via RSAT. On peut aussi ajouter des zones via samba-tool mais pas besoin de faire la zone principale.
C’est Ă©tonnant que le client windows requete le DNS de la box. Vous l’avez mise en redirecteur dans le serveur DNS de samba ? Avez-vous bien mis l’adresse du samba comme DNS sur le windows ?
Si le client windows requete le DNS samba et ne trouve pas votre domaine alors il demande au redirecteur. Ajoutez un enregistrement dans le DNS samba via RSAT et voyez si vous pouvez le resoudre via le Windows.
Dur de vous aidez Ă distance, je ne sais pas il faut tout essayer quoi ^^
DĂ©solĂ© de vous avoir fait perdre votre temps : comme @Christian_Couvrat, le problĂšme venait lĂ aussi de l’IPv6 mais chez moi pour une raison diffĂ©rente. En effet, la box est en IPv6 et les requĂȘtes DNS passent d’abord par l’IPv6 pour ĂȘtre rĂ©solue quand elles le peuvent, sinon c’est l’IPv4 qui prend le relais. Et le soucis dans mon rĂ©seau qui n’a rien de pro : le DNS de la box rĂ©pondait en IPv6 et avait nommĂ© mon serveur : « serveur.home ». « RequĂȘte rĂ©solue », on s’arrĂȘte lĂ mais ce n’est pas le comportement voulu. Or si l’on vĂ©rifiait la mĂȘme chose sur le DNS du serveur en IPv4 (ce que l’on peut faire automatiquement en dĂ©-configurant l’IPv6 de l’interface du W10 Pro) c’est bien le nom : « serveur.domaine.lan » qui ressortait du DNS du serveur ! Et donc ensuite tout fonctionne. DĂ©solĂ© de vous avoir fait perdre du temps sur mon problĂšme, toutefois j’ose espĂ©rer que cette information permettra Ă d’autres de comprendre que l’IPv6 en DNS peut poser problĂšme lors de la configuration d’un domaine Samba en IPv4.
Quoi qu’il en soit, merci ! Au plaisir de lire vos prochaines documentations.
Bon ben top si ça marche merci pour le retour.
Salut Ben,
PremiĂšrement, une bonne et heureuse annĂ©e 2022 Ă toi et surtout la santĂ© đ
Donc, me revoilĂ avec une installation toute neuve, et je te confirme que mĂȘme win10 Ă l’ip V6 activĂ©e par dĂ©faut, il faut donc le dĂ©sactiver pour que cela fonctionne, pour rĂ©pondre partiellement Ă @NanoZero, je vais mettre en place un VPN en passant par PFsense, j’ai mais, voici ma nouvelle install pour mieux comprendre et surement plus de facilitĂ© (une fois que tout fontionne):
– un serveur prolians ML350 G8V2 avec proxmox v7 installĂ© dessus
– un routeur secondaire qui me sert de switch eth et wifi
– un serveur prolians ML110 (oui il est vieux ah ah) qui me sert d’AD
PFsense est installé en VM sur proxmox
J’ai 2 interfaces rĂ©seau physique et 2 virtuelles vmbr0 et vmbr1, la zero est reliĂ© au WAN et la 1 au LAN, c’est important pour le bon fonctionnement. Mon LAN communique bien vers le WAN, ping et tout OK, mais du WAN vers le LAN nada… c’est ce qu’on recherche… donc vu que le pfsense communique avec le WAN on peut donc mettre en place un VPN, il faut aller voir cotĂ© rĂšgle de routage pour autoriser le traffic.
Mais j’ai un soucis que je vais poster sur ton tuto cotĂ© pfsense, il sera Ă la bonne place đ . sinon @ Ben tu fais du bon boulot đ encore merci.
Merci bien đ
Bonjour,
Votre tuto (remaquable d’ailleurs), mentionne l’utiliation de la Debian 11.1, dois je impĂ©rativement utiliser celle ci ou puis-je installer le 11.2 ?
Bonjour !
Et merci beaucoup đ
Je pense qu’il n’y a pas de problĂšme Ă l’utilisation de la 11.2 car je ne pense pas qu’il y aura de diffĂ©rence notable. C’est gĂ©nĂ©ralement quand on change de release qu’il peut y avoir de gros changements. A tester ! Votre retour est bienvenu Ă ce sujet.
Bon montage!
Salut j’ai exĂ©cutĂ© les commandes susmentionnĂ©es mais mon serveur samba n’est toujours pas activĂ©. Que faire alors?
Bonjour, c’est un peu vague ! Vous en ĂȘtes oĂč ? Quelle Ă©tape ne fonctionne pas ?
bonjour, j’ai suivi votre tuto et quand j’entre la commande kinit administrator cela me marque une erreur:
kinit: cannot find KDC for realm « nom de mon serveur » while getting initial credentials.
seriez d’oĂč vient cette erreur ? merci pour votre rĂ©ponse
Je ne peux pas trop savoir là comme ça, je vous invite à reprendre au début !
Bonjour, tout d’abord merci pour ce tuto qui m’aide bien. J’ai un problĂšme lors de la premiĂšre commande host cela m’affiche not found: 3(NXDOMAIN). Auriez-vous une idĂ©e de pourquoi ? Merci Ă vous
c’est peut-ĂȘtre Ă cause d’IPv6, dĂ©sactivez IPv6 et re-testez.