2008年4月 9日

[samba-jp:20154]既存NTドメインの移行によるWindowsプロファイルの再作成について


はじめまして、nitも申します。お世話になります。

現在、既存のNT PDC(WindowsNT)からSamba+OpenLDAPで構築したPDC(同ドメイン
名)への移行テストを行っておりますがPDC移行後にWindowsクライアントにおい
てドメインに入り直すと、Windowsのプロファイルが新たに作成されてしまい、
それまで利用していたデスクトップやマイドキュメントを参照しなくなるため、
困っております。具体的には、


移行前に利用していた同ドメインのuserのプロファイルフォルダ(移行後も利用
したい)

C:\Documents and Settings\user.EXISTINGDOMAIN

が、移行後には、

C:\Documents and Settings\user.EXISTINGDOMAIN.000

というフォルダとして、別のプロファイルを参照してしまいます。Windowsは、
全く同じドメイン名にログインしようとした場合、SIDが異なると、別のプロファ
イルを作成するようです。Samba側のSIDは既存のPDCのSIDに設定したのですが……。

プロファイルフォルダを手動で元のフォルダに戻す方法もあるようですが、その
場合、レジストリに設定してあるプロファイルフォルダのpath・個々のアプリケー
ションがiniファイルなどに持つpathも別途変換しなければいけないと思います
ので、大変な手間になります。


# もう1つの症状として、net vampireで移行したアカウントが/etc/passwd に
ない(UNIXアカウントが存在しない)のですが、これは本件には絡まないですかね。。


どなたかご教示よろしくお願いいたします。


以下は環境と設定の手順、およびsmb.conf,slapd.confの内容です。
/var/log/samba/smbd.logにはエラーログは出ておりません。
------------------------------------------------------------------------

環境:
CentOS 4.4
samba-3.0.25b-1.el4_6.4
openldap-2.2.13-8.el4_6.4

クライアントOS:Windows XP Pro,2000 Pro

1:既存NTドメインのSIDを取得。取得後、Sambaサーバへ設定する。
 # net setlocalsid S-1-5-21-xxxxxxxxxxxxxxxxxxxxxxx

2:1で指定したSIDをsmbldap.confへ設定。
# vi smbldap.conf
SID="S-1-5-21-xxxxxxxxxxxxxxxxxxxxxxx"

3:smbldap-populateを利用し、LDAPサーバへ初期データを登録。
# service ldap start
# smbldap-populate -a administrator -b guest -k 998 -l 999 -m 512

4:Sambaサーバを既存NTドメインへBDCとして追加。
# net rpc join -S nt-server -U administrator%password
Joined domain EXISTINGDOMAIN.

5:追加後、「net rpc vampire」コマンドにてユーザ情報/グループ情報等を取得
# net rpc vampire -S nt-server -U administrator%password

6:既存NTドメインPDCをシャットダウン。

7:SambaサーバをPDCとして設定し、再起動

------------------------------------------------------------------
smb.conf

[global]
unix charset = EUCJP-MS
display charset = EUCJP-MS
dos charset = CP932
workgroup = EXISTINGDOMAIN
server string = Samba Server
netbios name = NEWDOMCOM
admin users = administrator
guest account = guest
ldap admin dn = cn=admin,dc=hoge.com
ldap suffix = dc=hoge.com
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Machines
ldap delete dn = yes
ldap passwd sync = yes
logon path =
hosts allow = 192.168.1. 127.
printcap name = /etc/printcap
load printers = no
disable spoolss = yes
cups options = raw
log file = /var/log/samba/%m.log
max log size = 50
security = user
passdb backend = ldapsam:ldap://localhost
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
local master = yes
os level =64
domain master = yes
preferred master = yes
domain logons = yes
dns proxy = no
add machine script = /usr/local/samba/bin/smbldap-useradd -w '%u'
add user script = /usr/local/samba/bin/smbldap-useradd -m '%u'
delete user script = /usr/local/samba/bin/smbldap-userdel -r '%u'
add group script = /usr/local/samba/bin/smbldap-groupadd -p '%g'
delete group script = /usr/local/samba/bin/smbldap-groupdel '%g'
add user to group script = /usr/local/samba/bin/smbldap-groupmod -m '%u' '%g'
delete user from group script = /usr/local/samba/bin/smbldap-groupmod -x '%u' '%g'
set primary group script = /usr/local/samba/bin/smbldap-usermod -g '%g' '%u'
idmap uid = ********-******** (伏せます)
idmap gid = ********-******** (伏せます)
template shell = /bin/false
winbind use default domain = no
[netlogon]
comment = Net Logon Share
path = /etc/samba/netlogon
writeable = No
[profiles]
path = /etc/samba/profiles
writeable = yes
browseable = no
profile acls = yes
[homes]
comment = Home Directories
browseable = no
writable = yes


----------------------------------------------------------
slapd.conf

include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba.schema
allow bind_v2
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
database bdb
suffix "dc=hoge,dc=com"
rootdn "cn=admin,dc=hoge,dc=com"
rootpw (暗号化パスです。伏せます)
index sambaSID eq
directory /var/lib/ldap
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub
access to attrs=userPassword
by dn="cn=admin,dc=hoge,dc=com" write
by anonymous auth
by self write
by * none
access to attrs=sambaLMPassword,sambaNTPassword
by dn="cn=admin,dc=hoge,dc=com" write
by self write
by * none
access to *
by dn="cn=admin,dc=hoge,dc=com" write
by * read


-----------------------------------------------------------


sys_nit@xxxxx
--------------------------------------
GANBARE! NIPPON! Win your ticket to Olympic Games 2008.
http://pr.mail.yahoo.co.jp/ganbare-nippon/

投稿者 xml-rpc : 2008年4月 9日 21:10
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/71957
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。