Artikel Sebelumnya : http://www.imanudin.com/2013/05/22/tips-samba-migrating-from-windows-server-to-samba-4-part-1/

TESTING REPLIKASI

Check user yang ada pada Samba 4, seharusnya user yang ada sama dengan user pada Windows Server

/usr/local/samba/bin/samba-tool user list

list-user-samba4-imanudin.com

Testing membuat user pada Samba 4 dan check pada Windows Server

/usr/local/samba/bin/samba-tool user add ahmad Rahasia123

FSMO role transfer
Jalankan perintah berikut untuk menyalin FSMO dari Windows Server

/usr/local/samba/bin/samba-tool fsmo seize --role=all

MIGRASI GROUP POLICY OBJECT/GPO

Untuk melakukan migrasi GPO yang ada pada Windows server, kita dapat menggunakan perintah mount dan rsync pada Linux. Seperti kita ketahui bahwa GPO diletakkan pada file sharing sysvol, maka file sharing ini harus disalin pada Linux Samba4 Active Directory. Berikut tahapan yang dilakukan :

Mounting file sharing sysvol pada Linux

mount -t cifs //192.168.56.26/sysvol -o username=administrator /mnt/

Pastikan cifs-utils sudah terinstall. IP Address 192.168.56.26 diatas merupakan IP Windows Server. Salin isi dari file sharing tersebut dengan rsync

rsync -XAavz --delete-after /mnt/ /usr/local/samba/var/locks/sysvol/

KONFIGURASI DNS

DNS yang ada pada Samba 4 tidak bisa melakukan replikasi dengan Windows Server. Agar Linux Samba4 dapat digunakan, maka harus dibuat record yang sesuai dengan Windows Server. Berikut tahapannya :

yum install bind bind-sdb
vi /etc/named.conf

Tambahkan ip address server pada bagian listen-on port 53 dan any pada allow-query.

dns_query_imanudin.com

Tambahkan juga record domain pada baris paling bawah

dns-record-imanudin.com

Buat record dns domain yang baru saja dibuat

vi /var/named/dynamic/imanudin.com

Isi dengan isian seperti berikut :

$TTL 1W
@                       IN SOA  samba4.imanudin.com. root.imanudin.com. (
                                01              ; serial
                                2D              ; refresh
                                4H              ; retry
                                6W              ; expiry
                                1W )            ; minimum

@                       IN NS   ns1
ns1                     IN A    192.168.56.11
@                       IN A    192.168.56.11
samba4                  IN A    192.168.56.11

gc._msdcs               IN CNAME        samba4
${NTDSGUID}._msdcs     IN CNAME        samba4

_gc._tcp                IN SRV 0 100 3268       samba4
_gc._tcp.Default-First-Site-Name._sites IN SRV 0 100 3268       samba4
_ldap._tcp.gc._msdcs    IN SRV 0 100 389        samba4
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs     IN SRV 0 100 389 samba4

_ldap._tcp              IN SRV 0 100 389        samba4
_ldap._tcp.dc._msdcs    IN SRV 0 100 389        samba4
_ldap._tcp.pdc._msdcs   IN SRV 0 100 389        samba4
_ldap._tcp.${DOMAINGUID} IN SRV 0 100 389        samba4
_ldap._tcp.${DOMAINGUID}.domains._msdcs          IN SRV 0 100 389 samba4
_ldap._tcp.Default-First-Site-Name._sites               IN SRV 0 100 389 samba4
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs     IN SRV 0 100 389 samba4

_kerberos._tcp          IN SRV 0 100 88         samba4
_kerberos._tcp.dc._msdcs        IN SRV 0 100 88 samba4
_kerberos._tcp.Default-First-Site-Name._sites   IN SRV 0 100 88 samba4
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs IN SRV 0 100 88 samba4
_kerberos._udp          IN SRV 0 100 88         samba4

_kerberos-master._tcp           IN SRV 0 100 88         samba4
_kerberos-master._udp           IN SRV 0 100 88         samba4

_kpasswd._tcp           IN SRV 0 100 464        samba4
_kpasswd._udp           IN SRV 0 100 464        samba4

_kerberos               IN TXT  IMANUDIN.COM

Ganti ${NTDSGUID} dengan angka+huruf yang dihasilkan dengan perintah berikut :

/usr/local/samba/sbin/samba_dnsupdate --verbose | grep msdcs | grep CNAME

ntdsguid-record-imanudin.com
Lihat tulisan yang diberi warna
dan ganti ${DOMAINGUID} dengan angka+huruf yang dihasilkan dengan perintah berikut :

/usr/local/samba/sbin/samba_dnsupdate --verbose | grep msdcs | grep domains._msdcs

domainguid-record-imanudin.com
Sehingga hasilnya seperti berikut ini :

$TTL 1W
@                       IN SOA  samba4.imanudin.com. root.imanudin.com. (
                                01              ; serial
                                2D              ; refresh
                                4H              ; retry
                                6W              ; expiry
                                1W )            ; minimum

@                       IN NS   ns1
ns1                     IN A    192.168.56.11
@                       IN A    192.168.56.11
samba4                  IN A    192.168.56.11

gc._msdcs               IN CNAME        samba4
2a5e739f-ba80-4e03-b2ce-65bc3bd40c01._msdcs     IN CNAME        samba4

_gc._tcp                IN SRV 0 100 3268       samba4
_gc._tcp.Default-First-Site-Name._sites IN SRV 0 100 3268       samba4
_ldap._tcp.gc._msdcs    IN SRV 0 100 389        samba4
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs     IN SRV 0 100 389 samba4

_ldap._tcp              IN SRV 0 100 389        samba4
_ldap._tcp.dc._msdcs    IN SRV 0 100 389        samba4
_ldap._tcp.pdc._msdcs   IN SRV 0 100 389        samba4
_ldap._tcp.035ec24d-de7f-4e49-9370-2b093c0c56c3 IN SRV 0 100 389        samba4
_ldap._tcp.035ec24d-de7f-4e49-9370-2b093c0c56c3.domains._msdcs          IN SRV 0 100 389 samba4
_ldap._tcp.Default-First-Site-Name._sites               IN SRV 0 100 389 samba4
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs     IN SRV 0 100 389 samba4

_kerberos._tcp          IN SRV 0 100 88         samba4
_kerberos._tcp.dc._msdcs        IN SRV 0 100 88 samba4
_kerberos._tcp.Default-First-Site-Name._sites   IN SRV 0 100 88 samba4
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs IN SRV 0 100 88 samba4
_kerberos._udp          IN SRV 0 100 88         samba4

_kerberos-master._tcp           IN SRV 0 100 88         samba4
_kerberos-master._udp           IN SRV 0 100 88         samba4

_kpasswd._tcp           IN SRV 0 100 464        samba4
_kpasswd._udp           IN SRV 0 100 464        samba4

_kerberos               IN TXT  IMANUDIN.COM

Jangan lupa juga untuk mengganti nama domain imanudin.com dengan nama domain yang digunakan, dan samba4 dengan nama hostname server yang digunakan. Ganti hak akses agar dimiliki dengan user dan group named dan restart service dns-nya

chown named.named /var/named/dynamic/imanudin.com
chown named.named /var/named/
service named restart

Testing konfigurasi DNS

host -t SRV _ldap._tcp.imanudin.com.
host -t SRV _kerberos._udp.imanudin.com.
host -t A imanudin.com.

testing_bind_imanudin.com
Disable SELinux

SELinux merupakan security yang digunakan yang ada pada CentOS seperti halnya Apparmor pada Debian/Ubuntu. Agar konfigurasi dns dapat diload oleh DLZ, maka selinux harus di disable. Berikut cara disable selinux :

vi /etc/sysconfig/selinux

selinux_imanudin.com
Kemudian jalankan perintah berikut :

setenforce 0

Disable chroot directory

DNS pada samba4 tidak dapat berjalan jika menggunakan chroot dns, maka kita harus disable chroot dns terlebih dahulu pada file /etc/sysconfig/named dan berikan comment (#) pada ROOTDIR=/var/named/chroot

vi /etc/sysconfig/named

disable_chrootdns_imanudin.com
Konfigurasi kerberos DNS dynamic updates (Optional)

Untuk melakukan konfigurasi kerberos dynamic DNS updates, rekomendasi versi bind yang digunakan adalah versi 9.8 atau latest version, karena pada versi tersebut terdapat patches dari samba team secara langsung yang membuat DNS dynamic updates lebih bagus dan mudah dikonfigurasi. Tambahkan tkey-gssapi-keytab “/usr/local/samba/private/dns.keytab”; pada named.conf dan berada dalam konfigurasi options {…}.

vi /etc/named.conf

keytab_dns_imanudin.com

Setelah melakukan penambahan pada named.conf, ubah kepemilikannya

chgrp named /usr/local/samba/private/dns.keytab
chmod g+r /usr/local/samba/private/dns.keytab
chkconfig named on

check apakah ada update terbaru mengenai dynamic DNS updates

/usr/local/samba/sbin/samba_dnsupdate --verbose

Testing Windows Klien

Silakan coba matikan Windows Server dan arahkan DNS yang pertama pada Windows Klien agar mengarah pada IP Address Samba4. Testing Login dan GPO yang ada, apakah sama dengan settingan yang dilakukan pada Windows Server.

Silakan dicoba dan semoga bermanfaat 😀