Samba 4 com GPO e cliente Windows 8



Direcionamento de carreira!


logo-samba

Segue mais um excelente artigo escrito pelo nosso amigo e profissional de TI Lucas França, os contatos dele estão no final do artigo.

“Samba is the standard Windows interoperability suite of programs for Linux and Unix.” Samba.org

O samba é um software livre, licenciado pela GPL (Generic Public License) criado em 1992, que permite o compartilhamento de arquivos/impressão entre máquinas Windows e Linux, além de outras funções. O Samba permite o compartilhamento de impressão “segura” e algumas de suas características são estabilidade e velocidade para garantir a total interoperabilidade entre os Sistemas Operacionais Unix e Windows.

“Samba é um componente importante para integrar servidores e desktops Linux / Unix em ambientes Active Directory. Ele pode funcionar tanto como um controlador de domínio ou como um membro de domínio regular.”

O Propósito deste artigo não é criar uma discussão (que não terá fim – acredite, tenho experiência com isso =/ ) sobre qual sistema ou software é melhor. Se é Windows (Active Directory) ou Linux (Samba).

O intuito é mostrar uma integração simples de máquinas Windows e o Samba, e também a criação de Unidades organizacionais, como Usuários Grupos e até mesmo GPO ( Políticas de Grupo )

Vamos então para a instalação e configuração do Cenário.

Este cenário, foi utilizando máquinas Linux com as versões CentOS 6.5 e clientes com Windows 8.1
Antes da instalação do samba propriamente dito, instale todas as dependências listadas abaixo:

1. gcc
2. libacl-devel
3. libblkid-devel
4. gnutls-devel
5. readline-devel
6. python-devel
7. gdb
8. pkgconfig
9. krb5-workstation
10. zlib-devel
11. setroubleshoot-server
12. setroubleshoot-plugins
13. policycoreutils-python
14. libsemanage-python
15. setools-libs-python
16. setools-libs popt-devel
17. libpcap-devel
18. sqlite-devel
19. libidn-devel
20. libxml2-devel
21. libacl-devel
22. libsepol-devel
23. libattr-devel
24. keyutils-libs-devel
25. cyrus-sasl-devel
26. cups-devel

1-install-samba

Após o Término das dependências instale esses componentes:
OBS: o “perl” é necessário para a compilação do samba.

1. perl
2. wget
3. ntpdate

2-install-sambaApós todas as instalações estiverem concluídas, Ajuste a hora e data do servidor:

3-install-sambaOBS: Agende o ntpdate, para manter a hora do servidor corretamente (com o crontab por exemplo)

Download do código fonte do samba 4:

Entre dentro do diretório /usr/src e faça o download do pacote do Samba 4 com o comando:
root# wget http://ftp.samba.org/pub/samba/stable/samba-4.0.4.tar.gz

4-install-sambaApós a Instalação:

5-install-sambaExtraia o arquivo compactado e entre na pasta do samba-4.0.4:

6-install-samba7-install-sambaInstalação do samba 4:

Preparando para a compilação:

8-install-sambaroot# ./configure – -enable-debug – -enable-selftest – -prefix=/opt/samba

O processo de preparação será iniciado:

9-install-sambaNo final, deverá estar uma tela como esta:

10-install-sambaA Compilação será feita com os comandos:

# make

# make install

Obs: O processo pode demorar um pouco, esta é uma boa hora de ir tomar um cafezinho =)

11-install-samba12-install-sambaE também “ make install ”

13-install-samba14-install-sambaConfigurando o samba 4:

Antes de começar a configuração, ajuste o arquivo /etc/resolv.conf apontando para seu  próprio servidor.

O motivo: Samba ( por default ) trabalha com um DNS interno para resolução de nomes e nomes Netbios. Em um próximo artigo, mostrarei como integrar Samba 4 com o Bind 9.

Vamos ajustar :

15-install-samba
16-install-samba

Entre no diretório principal do Samba: /opt/samba

17-install-samba

Dentro deste diretório foi criado uma estrutura com algumas pastas importantes, por exemplo etc, var, sbin e bin. Os arquivos de configuração do samba esta dentro de /opt/samba/etc/smb.conf a deamon principal para executar o samba está em /opt/samba/sbin/samba, a ferramenta principal do samba está em /opt/samba/bin/samba-tools .

Ou seja, o seu diretório de trabalho principal, será o /opt/samba/ .

Criando a Base de Dados:

18-install-samba

Com esse comando será preciso informar o nome do domínio, o nome Netbios do domínio, Forma e Tipo de resolução de Nomes DNS e senha do Administrador do Domínio. Veja:

19-install-samba

Se tudo estiver correto, o resultado será algo parecido com:

20-install-samba

Ou caso queira passar tudo em penas uma linha de comando:

bin/samba-tool domain provision – -realm=cooperati.com.br – -domain=cooperati – -adminpass=senha@123 – – server-role=dc

Iniciando o Samba:

21-install-samba

Podemos verificar na imagem acima que não existia nenhum processo samba sendo executado.

Para iniciar o samba digite: /opt/samba/sbin/samba

Após iniciar o samba, verifique novamente os processos:

22-install-sambaVerificando se está tudo funcionando:
23-install-samba

Ingressando Windows 8 no domínio:

Verifique se há comunicação entre a estação Windows ( ex: 172.23.200.100) e o Servidor Samba ( ex: 172.23.200.5)

24-install-samba

Clique com botão direito em “Meu computador” e sem seguida em “Propriedades” e “Nome do computador

Clique em “Alterar” e insira o nome do seu domínio. ( Neste Exemplo : Cooperati )

25-install-samba

Será solicitado as Credenciais de Administrador, então entre com a senha do Administrador do samba

(obs: foi a senha gerada com o comando “samba-tool domain provision” )

Neste Exemplo:

Usuário: Administrator

Senha: senha@123

26-install-samba

Caso encontre problemas com a senha de Administrator, reinicie o Samba e tente novamente :

27-install-samba

Bemvindo ao domínio. !!!! =)

28-install-samba

Assim que ingressar, reiniciar o computador e entre como Administrador do Domínio:

29-install-samba

No momento da efetuar o logon, selecione “Outro Usuário”:

30-install-samba

Veja que o logon será feito no domínio Cooperati, Acesse com a conta “Administrator”:

31-install-samba
32-install-samba

Instalação das Ferramentas Administrativas:

Acessando como Administrador do Domínio, faça a instalação das Ferramentas administrativas para gerenciar o Samba 4.

O Pacote de instalação – KB2693643 – das ferramentas administrativas da Microsoft poderá ser encontrado no link abaixo:

http://www.microsoft.com/pt-br/download/details.aspx?id=39296

33-install-samba
34-install-samba

Baixe e instale – Ferramentas Administrativas:

35-install-samba

Aceite os Termos da Micro$$oft

36-install-samba

37-install-samba

38-install-samba

Criação de Usuários, Grupos e OU:

Abra as ferramentas Administrativas:

39-install-samba

Entre muitas ferramentas encontradas, Abra “Usuários e Computadores do Active Directory”:

40-install-samba

Será que esta tela é familiar ?

41-install-samba

Daqui em diante o processo e idêntico com as versões do Windows Server

Criação de Unidade Organizacional: [Botão direito] Cooperati.com.br / Novo / OU

42-install-samba

Criação de Usuários: [Botão direito] OU / NOVO / usuário

43-install-samba

44-install-samba

Criação de Grupos :

45-install-samba

46-install-samba

Criação e Aplicando GPO:

47-install-samba

48-install-samba

49-install-samba

Abra as ferramentas administrativas / Gerenciamento de Política de Grupo

Criando compartilhamentos:

Pronto, O Samba configurado como Controlador de domínio já está funcionando.

Para criar os compartilhamentos edite o arquivo principal do samba:

50-install-samba

Crie os seus diretórios:

51-install-samba

Reinicie o Samba para aplicar as configurações

52-install-samba

Efetuando Teste com o Cliente:

53-install-samba

54-install-samba

Politicas de grupo funcionando perfeitamente

55-install-samba

56-install-samba

Considerações Finais

Esse foi um simples artigo para exemplificar a usabilidade do servidor Samba juntamente com suas opções.

Graças ao protocolo LDAP, é possível trabalhar de forma transparente com qualquer servidor Microsoft Active Directory. Novamente venho ressaltar que não tenho a intenção de levantar uma discussão sobre qual ferramenta é a melhor, lembre-se, a melhor é aquela que você vai ganhar mais dinheiro. =)

Finalizando este artigo, Algumas ponderações, entre elas eu destaco a utilização de um DNS externo e o Firewall que deverá passar por ajustes:As seguintes portas precisam ser abertas:

  • TCP → 53, 88, 135, 445, 464, 1024-5000, 3268
  • UDP → 53, 88, 123, 389, 464

Portas 1024-5000 são para os serviços RPC usadas pelo Samba, enquanto a porta TCP/53, é usado pelo BIND para receber atualizações de registro de DNS.

Adicione estas regras ao seu script de firewall do servidor Samba:

# Portas Samba 4
iptables -A INPUT -m state –state NEW -m tcp -p tcp -d 192.168.100.14 –dport 5666 -j ACCEPT
iptables -A INPUT -m state –state NEW -m tcp -p tcp -d 192.168.100.14 –dport 22 -j ACCEPT
iptables -A INPUT -m state –state NEW -m udp -p udp -d 192.168.100.14 –dport 53 -j ACCEPT
iptables -A INPUT -m state –state NEW -m tcp -p tcp -d 192.168.100.14 –dport 53 -j ACCEPT
iptables -A INPUT -m state –state NEW -m tcp -p tcp -d 192.168.100.14 –dport 88 -j ACCEPT
iptables -A INPUT -m state –state NEW -m udp -p udp -d 192.168.100.14 –dport 88 -j ACCEPT
iptables -A INPUT -m state –state NEW -m udp -p udp -d 192.168.100.14 –dport 123 -j ACCEPT
iptables -A INPUT -m state –state NEW -m tcp -p tcp -d 192.168.100.14 –dport 135 -j ACCEPT
iptables -A INPUT -m state –state NEW -m tcp -p tcp -d 192.168.100.14 –dport 389 -j ACCEPT
iptables -A INPUT -m state –state NEW -m udp -p udp -d 192.168.100.14 –dport 389 -j ACCEPT
iptables -A INPUT -m state –state NEW -m tcp -p tcp -d 192.168.100.14 –dport 445 -j ACCEPT
iptables -A INPUT -m state –state NEW -m tcp -p tcp -d 192.168.100.14 –dport 464 -j ACCEPT
iptables -A INPUT -m state –state NEW -m udp -p udp -d 192.168.100.14 –dport 464 -j ACCEPT
iptables -A INPUT -m state –state NEW -m tcp -p tcp -d 192.168.100.14 -m multiport –ports 1024:5000 -j ACCEPT
iptables -A INPUT -m state –state NEW -m tcp -p tcp -d 192.168.100.14 –dport 3268 -j ACCEPT

Um abraço, e até próximo artigo.

Espero que gostem do artigo do Lucas França e o incentivem a escrever mais. Comentem, testem e dêem seu feedback.

Os contatos dele são:
Lucas Marcelo França
Graduação: Tecnologia em Redes de Computadores
Contatos: e-mail: lucas_mfranca@hotmail.com / lucas.franca@bsd.com.br / LinkedIN: br.linkedin.com/pub/lucas-frança/6b/583/129/
Instrutor de Curso técnico em Redes – Senac Minas

  • Hudson

    Sensacional! Didática clara e direta – como deve ser. Parabéns pela iniciativa.

    • Lucas França

      Obrigado Hudson. Fico feliz com suas palavras.
      =)

  • JEAN

    Vagner, boa tarde.

    Perfeito seu materiaal.
    Eu ja fiz exatamente isso na distribuição Centos 6.5 i686.

    Mas preciso de sua ajuda.

    Tenho um servidor 172.16.1.1/16 que funciona os serviços:
    – DHCP;
    – BIND-CHROOT
    todos funciona muito bem.

    e em outro pc fisico esta istalado o samba4 também em um Centos 6.5 i686 com o ip: 172.16.1.4/16

    As minhas estações de trabalho eu configurei elas para receber os ips: 172.16.2.1 ao 100 também /16.

    Eu não estou conseguindo adicionar as estações ao dominio.

    Como resolver isso?
    Outra duvida que nao acho resposta… é…
    Na hora da instalação do samba4 eu aponto o ip do servidor do dns??

    Como resolver isso?

    Por favor, ja estou ha meses procurando essas resposta e nao acho.

    Muito, Muito, mas muito obrigado pela sua atenção!

    Forte abraço!

    Jean

    • Lucas França

      Jean.

      Samba Utiliza um DNS interno. Caso queira utiliza-lo com o Bind, no momento que digitar /opt/samba/samba-tools domain provision a opção default é SAMBA_INTERNAL altere para BIND9_DLZ.

      Edite o arquivo “named.conf” do seu bind, na sessão “OPTIONS” coloque a linha:

      ” tkey-gssapi-keytab “/opt/samba/private/dns.keytab ”

      Caso o seu arquivo dns.keytab não esteja no diretório padrão, basta alterar colocando o caminho correto 😉

      Edite o arquivo kerberos “/etc/krb5.conf ” Alterando as linhas da sessão [libdefaults]:

      “default_realm = seudomínio.com.br
      dns_lookup_kdc = true ”

      Ajuste as permissões da pasta /opt/samba/private/dns

      ” chown named:named /opt/samba/private/dns
      chown named:named /opt/samba/private/dns.keytab
      chmod -R 755 /opt/samba/private/dns ”

      Restart no DNS
      service named restart

      Restart no Samba
      killall -9 samba
      /opt/samba/sbin/samba

      Teste aí e qualquer dúvida poste aqui para todos !!!

      Forte abraço. Jesus abençoe =)

  • Maycon Nuvem

    Parabéns Lucas França, ótimo artigo com uma explicação bem clara e simples.

    • Lucas França

      “Conhecimento adquirido sem ser distribuído é conhecimento perdido” – A. BONAN

      obrigado Maycon 😉

  • eans

    Porque foram liberadas as conexões nas portas específicas com destino ao IP 192.168.100.14?
    Foi um erro? Qual a relação desse IP no ambiente acima?

    • Lucas França

      Amigo,
      O ip 192.168.100.14 refere-se ao servidor samba, que nesse cenário tinha 2 placas de rede. Um erro meu não mencionar =)

      Como no artigo foi mostrado apenas o ip 172.23.200.5, considere-se o tráfego INPUT como tráfego de entrada no Servidor.

      Basta substituir as regras pelo ip que você estiver utilizando no seu cenário.

      ex: ” iptables -A INPUT -m state – – state NEW -p tcp -d 172.23.200.5 – -dport 389 -j ACCEPT ”

      um abraço

      • EANS

        Grato!

  • Valdeci Martins

    Lucas , muito bom este artigo .
    Apenas algumas duvidas consegui realizar todos os passos da instalação, mas na hora de ingressar minha maquina no dominio .

    Observação: estas informações se destinam a administradores de rede. Caso você não seja um, contate o administrador de rede e notifique-o de que recebeu estas informações, que estão registradas no arquivo C:\Windows\debug\dcdiag.txt.

    O nome de domínio “vilayolanda” pode ser um nome de domínio NetBIOS. Se este for o caso, verifique se o nome de domínio está registrado corretamente no WINS.

    Se você tiver certeza de que o nome não é um nome de domínio NetBIOS, as informações a seguir podem ajudá-lo a solucionar o problema da configuração DNS.

    Erro ao consultar o DNS para obtenção de registro do recurso de serviço local (SRV) usado para localizar um Controlador de Domínio do Active Directory para o domínio “vilayolanda”:

    Erro: “O nome DNS não existe.”
    (código de erro 0x0000232B RCODE_NAME_ERROR)

    A consulta foi feita para o registro SRV para_ldap._tcp.dc._msdcs.vilayolanda

    As causas mais comuns deste erro são:

    -Os registros SRV de DNS, necessários para localizar um Controlador de Domínio do Active Directory não estão registrados no DNS. Esses registros são automaticamente registrados em um servidor DNS quando um Controlador de Domínio do Active Directory é adicionado a um domínio. Eles são atualizados pelo Controlador de Domínio do Active Directory em intervalos predefinidos. O computador é configurado para usar servidores DNS com os seguintes endereços IP:

    192.168.25.1

    – Uma ou mais das zonas a seguir não incluem delegação à zona filho:

    vilayolanda
    . (a zona raiz)

    Obs fiz um teste em vmware workstation, o servidor é um redhat
    [root@localhost samba]# /opt/samba/bin/samba-tool domain provision
    Realm [LOCALDOMAIN]: vilayolanda.com.br
    Domain [vilayolanda]: vilayolanda
    Server Role (dc, member, standalone) [dc]: dc
    DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
    DNS forwarder IP address (write ‘none’ to disable forwarding) [192.168.182.133]:
    Administrator password:
    Retype password:
    Looking up IPv4 addresses
    Looking up IPv6 addresses
    No IPv6 address will be assigned
    Setting up share.ldb
    Setting up secrets.ldb
    Setting up the registry
    Setting up the privileges database
    Setting up idmap db
    Setting up SAM db
    Setting up sam.ldb partitions and settings
    Setting up sam.ldb rootDSE
    Pre-loading the Samba 4 and AD schema
    Adding DomainDN: DC=vilayolanda,DC=com,DC=br
    Adding configuration container
    Setting up sam.ldb schema
    Setting up sam.ldb configuration data
    Setting up display specifiers
    Modifying display specifiers
    Adding users container
    Modifying users container
    Adding computers container
    Modifying computers container
    Setting up sam.ldb data
    Setting up well known security principals
    Setting up sam.ldb users and groups
    Setting up self join
    Adding DNS accounts
    Creating CN=MicrosoftDNS,CN=System,DC=vilayolanda,DC=com,DC=br
    Creating DomainDnsZones and ForestDnsZones partitions
    Populating DomainDnsZones and ForestDnsZones partitions
    Setting up sam.ldb rootDSE marking as synchronized
    Fixing provision GUIDs
    A Kerberos configuration suitable for Samba 4 has been generated at /opt/samba/private/krb5.conf
    Once the above files are installed, your Samba4 server will be ready to use
    Server Role: active directory domain controller
    Hostname: localhost
    NetBIOS Domain: VILAYOLANDA
    DNS Domain: vilayolanda.com.br
    DOMAIN SID: S-1-5-21-2470459890-1408567523-2393786297

    resolv.conf
    cat /etc/resolv.conf
    # Generated by NetworkManager
    domain vilayolanda
    search vilayolanda
    nameserver 192.168.182.133
    nameserver 192.168.182.2

    desde ja obrigado!!!

    • Lucas França

      Valdeci ,

      Vamos ver se eu entendi:

      As máquinas que estás tentando ingressar no domínio, elas estão configuradas com DNS primário 192.168.25.1 ? Se sim, é preciso alterar para o DNS interno do Samba. ( No momento você deu um “Enter” quando perguntado [SAMBA_INTERNAL]: )

      Para resolver, basta colocar o DNS das máquinas clientes apontando para o samba ( no seu caso 192.168.182.133 )

      Se você já tiver um DNS na rede ( mais comum ), reconfigure seu samba com o comando “/opt/samba/bin/samba-tool domain provision” e quando solicitado sobre o DNS Backend, digite:BIND9_DLZ”

      Depois disso siga os passos que eu disse para o nosso amigo Jean em alguns comentários acima !!

      Depois nos mantenha informado.

      Um abraço

      Lucas

  • Parabéns pelo Post Lucas.

    Muito bom o conteúdo.

    Att,
    Emerson

  • Edson J Bueno

    Bom dia, ótimo post, tenho duas duvidas se for possivel me responder agradeço desde já.
    O servidor dns dlz pode ser em outro maquina?
    E howto que você fez pode ser aplicado a versão 4.2?

    • Lucas França

      Pode sim Amigo Edson.

      Mas lembre-se de alterar o modo de operação do Samba, alternando para Bind9

      vlw

  • Allyson Ribeiro Costa

    toda vez que tento compilar aparece este erro Unable to find build target matching –-enable-debug

  • Eliel

    Encontrei um problema estranho com minha instalação do samba.
    Qualquer windows 8 que coloco no domínio ele não salva nenhuma senha. Senhas de nada, navegador, IE, outlook, Chrome.

    Não sei o que ocorre!

    Até mais!

  • Hugo Luiz

    A explicação ficou perfeita.

    Gostaria de tirar uma dúvida. Imaginando esse senário criado. A máquina Windows que está instalado a ferramentas administrativas da Microsoft e atrelada ao domínio. Ela irá manipular GPO nas as outras Máquinas clientes? Ou para usar o GPO teria que instalar em todas as máquinas clientes a ferramentas administrativas da Microsoft?

    • LUCAS FRANÇA

      Amigo Hugo, as GPO’s são aplicadas por Unidades Organizacionais (neste meu exemplo). Você consegue manipula-la porque estará logado como Administrador do domínio. 😉

      As outras máquinas não precisam ter as ferramentas (nem devem) administrativas instaladas.

  • william firmino

    Bom dia, esta configuração funciona com o centos 7 com o samba 4.1 disponível nos repositórios ? muda alguma coisa em relação a clientes windows 7 ?

    • william firmino

      Já vi que não rola, tem que usar o repositório da https://portal.enterprisesamba.com/

      • Jonnatha Faria

        Não testei por esse tutorial, mas funciona sim a compilação do samba com o CentOS7, verifique os passos e lembre-se do Firewalld e do SELinux.

  • Joallison

    Parabéns pelo artigo, muito bem explicativo !!

  • Thiago Ayslan

    Boa tarde Lucas!

    Gostaria de saber se tem algum problema eu ter um servidor linux unbutu com o samba com cliente windows 8.1?

    ouvi dizer que o samba 4.1 tem problema para gerenciar quando se trata de windows 8.1

  • Marcos Lins

    Sabia que esse dia chegaria. Parabéns pelo tuto, ficou show de bola. Já vai me ajudar em uma questão de um cliente.

  • Jean Freitas

    Boa tarde.
    Consegui colocar o computador no domínio, tudo certo. Instalei a ferramenta RSAT. Mas quando abro o Usuários e computadores do AD aparece a mensagem ” Não foi possível localizar informações de nomeação porque: Nome de usuário ou senha incorretos. Entre em contato com o administrador do sistema para verificar se o domínio está corretamente configurado e está online no momento.

  • Jean Freitas

    Boa tarde.
    Ao inicializar o Usuários e Computadores do AD aparece a mensagem “Não foi possível localizar informações de nomeação porque: nome de usuário ou senha incorretos.

    • willian

      Jean, conseguiu resolver este problema? eu estou com o mesmo.

  • william

    Olá, hoje no meu trabalho temos um servidor centos 5 com samba 3 instalado compartilhando arquivos entre 300 estações, é apenas compartilhamento simples com autenticação, nosso site e nosso servidor de e-mail também ficam em nossa rede onde fica nosso domínio empresa.br, o firewall hoje linux é também servidor dhcp e dns o firewall possui o ip válido, agora compramos novos servidores para migrar para uma solução mais robusta para ter mais controle sobre as estações, a intenção é instalar o samba4 como controlador de domínio, migrar o firewall para pfsense, o email para zimbra e o site permanecerá da mesma forma que esta, então com o meu cenário qual a melhor forma para implementação de um controlador de domínio com samba4? é melhor o dhcp e dns ficarem no pfsense, ou configurar no servidor samba4? se o samba4 for melhor como possuo meu domínio e meu site configurados na rede é melhor rodar o bind9 como é hoje no lugar do samba internal? enfim, qualquer dica será muito bem vinda.
    2) –

  • Thiago Virgilio

    Boa Tarde, gostaria de um help o executar o comando:

    ./configure –enable-debug –enable-selftest –prefix=/opt/samba

    ao terminar de executar apresenta o seguinte erro:

    /samba-4.3.1/source4/lib/tls/wscript:37: error: Building the AD DC requires GnuTLS (eg libgnutls-dev, gnutls-devel) for ldaps:// support and for the BackupKey protocol

    gostaria de saber o que poderia ser?

    • Rhudy

      Thiago bom dia falta instalar os pacotes eg libgnutls-dev, gnutls-devel.

  • William

    Bom dia, Lucas!
    Gostei muito do seu artigo! Claro, direto!
    Mas, tem algo que eu gostaria: um comparativo entre os recursos providos pelo Samba e pelo AD do Windows :). Para efeito de aprendizado! Thanks!

  • Jose Williamy

    Gostaria de parabenizar pelo artigo, está ótimo.
    Gostaria também de uma orientação. Após a instalação do AD incluímos uma estação cliente (Windows 8 Pro) no domínio e criamos uma GPO para compartilhamento de pastas, a politica foi aplicada a nível de usuário.
    Porém está apresentando um problema, que conforme log registrado no sistema do computador.
    Identificação do evento:1058
    Nível: erro
    Descrição:
    Falha no processamento da diretiva de grupo. O Windows tentou ler o arquivo \\”Id da GPO”\gpt.ini path de um controlador de domínio e não teve êxito.
    As configurações de diretiva de grupo não podem ser aplicadas até que esse evento seja resolvido. Esse problema pode ser temporário e pode ser causado por um ou mais destes procedimentos:
    a) conectividade de rede/resolução nome para o computador de domínio.
    b) latência de serviço de replicação de arquivo
    c) O cliente do sistema de arquivos distribuídos(DFS) foi desativado.

    Não conseguimos solucionar este problema, após ocorrido nenhuma GPO que seja criada posteriormente funciona no domínio.
    Em nossa pesquisa localizamos um artigo da Microsoft “https://support.microsoft.com/pt-br/kb/950876” informando que o erro refere-se a assinatura (SMB), este erro ocorre com Windows Vista SP1 e Windows Server 2008, foi disponibilizado um hotfix para correção, que deve ser aplicado no AD do Windows server 2008.
    Porém como estamos utilizando o AD do Samba 4 que procedimentos devemos adotar?
    Desde já agradeço atenção.
    Atenciosamente,
    Williamy

  • Reginaldo

    Artigo excelente, parabéns.

    Eu estou tentando alterar a senha de usuário no próprio computador do usuário, entretanto não funciona e me dá a seguinte mensagem: “Não é possível atualizar a senha. O valor fornecido para a nova senha não atende aos requerimentos de comprimento, complexidade ou histórico do domínio.”

    A senha atende sim aos requerimentos, acho que estou tendo outro problema com o samba4.
    Já até desativei a complexidade mas mesmo assim não funcionou.

    Alguém sabe algo respeito?

  • Parabéns, Excelente arquivo!!!

    Me tira uma dúvida, podemos então subir um file server e colocar as permissões baseadas nos usuários e grupos de AD?

    • Leandro,

      Exatamente isso e até criar GPO para dispositivos, softwares e acessos.

    • Marcos Lins

      Eu criei aqui na empresa e ficou show, nada perdendo para o Windows Server

  • junior

    Fiz todos passos ok, sem nenhum erro, porem a maquina cliente nao ingressa no dominio..

    meu ambiente é em virtualbox rede “host only” ja testei e ha comunicação entre as maquinas, atraves do ping

    o que pode ser?

    estação windows 7 centos 6,5 com o samba rodando, seguindo os passos do tutorial

  • junior

    Com relação ao erro acima descrito por mim, era o iptables, tive que desativar, surgiu um outro problema, a senha de administrador nao autentica para ingressar no domínio.
    através do ctrl+r \\10.1.254.4 (meu servidor samba) eu consigo acessar minhas pastas compartilhadas, mas ingressar a maquina cliente no domínio nao..
    insiro o domínio, ele encontra e solicita senha, coloco usuario e senha, demora um pouquinho mas nao da certo. ja matei o processo do samba e iniciei novamente e nada

  • junior

    resolvi tambem, agora o problema é que ele da a mensagem de que o SERVIDOR NAO ESTÁ OPERACIONAL, quando abro a ferramenta do active directory

  • Alex Rocha

    excelente! tudo funcional, mas to com um problema relacionado ao servidor listar os usuários do domínio, anteriormente eu tinha um samba+LDAP e conseguia setar todas as permissões no servidor relacionadas as ACLS, mas agora se executo um getent nada aparece… será que to fazendo algo errado pessoal, com relação as permissões de acesso aos arquivos como eu devo fazer… to apenas com essa pendência para trocar meu servidor aqui!
    obrigado pelo material!

  • eldimar souza

    Bom dia Vagner,

    Primeiramente, parabéns pelo tutorial, muito bom, segui e tudo funcionou normalmente, porem na hora de abrir o “usuários e computadores do active directory” recebo a seguinte mensagem de erro: Não foi possível localizar informações de nomeação porque: O Servidor RPC não esta disponível, tem alguma luz pra me dar?

  • Fabrício Firmino

    boa noite! onde fica os usuários e grupos criados através do Rsat?

    • Junior

      Cara meu cliente Xp onde controlo o ad quando abro o Ad diz que o servidor não está acessível algo assim
      Não aparece os usuários
      O seu deu algum erro?
      Entrei no domínio normal com senha de administrador etc .. Inclui normalmente a máquina no domínio
      Mas quando puxo o Ad da esse erro

    • Iguais aos criados no 2003/2008/2012 pois a ferramenta é para isso, gerenciar remotamente um AD.

  • Bruno

    Excelente post, porém estou me deparando com um problema que não consigo solucionar.

    Ao executar o comando /opt/samba/bin/samba-tool domain provision
    A mensagem abaixo aparece

    Unknown parameter encountered: “dns fowarder”
    Ignoring unknown parameter “dns fowarder”

  • Luciano Conde

    Olá Wagner tudo bem ? gostaria de saber se é possível eu criar um dominio samba4 e ingressar desktops ubuntu / mint logando usuários do ad e suas respectivas permissões.

    • Rodrigo José Petreça

      Olá Luciano, tudo bem?

      Sim, é possível ingressar máquinas linux, tenho um AD com samba 4 e 250 máquinas autenticando nele, acessando compartilhamento de arquivos etc, todas gerenciadas pelo RSAT, porém para poder administrá-las é necessário habilitar os recursos avançados, assim ao criar usuário terá uma caba com UNIX… GPO não funciona no linux, esse tipo de ajuste é necessário fazer via script.
      Obs: Essa opçaõ de recurso avançado só funciona no RSAT instalado em Windows 7 ou 8, windows 10 não rola.

  • Samuel

    Muito bom post!
    Muito simples e direto, excelente para quem está testando o SAMB 4 pela primeira vez.

    PARABENS!!!

  • Diogo SM

    Ótimo Post….parabéns

    Sabem me dizer como é possível implantar GPO’s ou algo que tenha função parecida para aplicar as mesmas regras de GPO em estações Debian com samba4 ?

    • Rodrigo José Petreça

      Olá Diogo tudo bem?

      Até onde estudei GPO do SAMBA 4 não funciona no linux, todos os ajustes que faço são via script mesmo, já vi algumas GPOs funcionando em linux, porém era um AD Microsoft com plugin da Centrify, Centeris ou Dell, mas para isso você precisaria de um AD Microsoft.

  • Rodrigo Araújo Cavalcante

    Olá Excelente Post!

    Muito prático, me ajudou bastante, agora se pudesse ajudar um pouco mais rs.
    vamos la! Fiz as mesma configuração , mas utilizando um servidor debian8. fiz todo o passo a passo.
    no entanto na hora da GPO ( utilizando uma maquina W7 para testes, tenho maquinas de W7,8.1 e 10 na minha rede.) eu criei uma U.O, dentro adicionei um usuario teste, e fui criar as GPO, coloquei ‘proibir acesso ao painel de controle’ ) salvei. fui no servidor (debian8) reiniciei o samba, fui para a maquina w7, efetuar o login na rede , em seguida cliquei em painel de controle. e abriu normal. o que não deveria acontecer.