De eerste hit in Google - in mijn search bubble in ieder geval - is als volgt:

Setting up Samba as an Active Directory Domain Controller -https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller

Dus ik zou bijna zeggen, ja dat moet kunnen.

Ik ben het in de "echte wereld" niet tegen gekomen, bij bedrijven in Nederland. (Maarja ben niet representatief voor de hele wereld).

Wel vraag ik mij persoonlijk af waarom je dit zou willen?
Wat is het voordeel tegenover bv. Windows Server 2019 Core (minimale versie zonder GUI) : https://docs.microsoft.com/en-us/windows-server/administration/server-core/what-is-server-core

Voor mijn persoonlijk nieuwsgierigheid zou ik willen weten wat een beweegreden zou zijn.
Ik lees iets over meer "veiligheid"... na hardenen...
Hoe zit dat als je een Windows Server 2019 Core zou hardenen? Microsoft Security Baselines kan je deze ook al strakker zetten.

Puur uit nieuwsgierigheid, vind wel interessant.

dat het kan, wil niet zeggen dat je het moed doen.

De eigenaar van een MKB bedrijf zal dat bedrijf niet snel verlaten, en kan daarmee als ict'er deze keuze wel maken, gegeven dat hij of zij er veel verstand van heeft. Maar als het moeilijk stuk gaat, wie bel je dan?
Maar als je dit laat bouwen door een medewerker, die het bedrijf kan verlaten, dan loop je als eigenaar een groot risico dat een core-applicatie in je netwerk door niemand meer begrepen of beheerd kan worden.

Is het mogelijk. Zeker weten. Zie je het vaak voorkomen? Eigenlijk niet. Ondersteuning vanuit leveranciers is 0. Dus voor grote bedrijven is dit al een no go. Bij kleine bedrijven zou het een mogelijkheid zijn. Maar vaak wil je bijvoorbeeld ook iets van WSUS hebben draaien, wat hiermee al niet mogelijk is.
Standaard Windows Backup oplossing, of Azure backup werken goed.
Printer mogelijkheden zitten ingebouwd. met SAMBA moet je iets van CUPS er naast zetten. Wat meestal wel goed werkt, maar wat als het niet werkt imc de print drivers?

Daarnaast sysvol replicatie wordt bijvoorbeeld niet ondersteund https://wiki.samba.org/index.php/SysVol_replication_(DFS-R)
Dus als met meerdere SAMBA domain controllers wilt werken, moet je hier al weer iets voor bouwen.

Daarnaast, wat wil je er mee bereiken?
Kosten besparing? Hoeveel bespaar je werkelijk op de lange termijn? Licenties kosten zeker geld, maar als je dit over 5 jaar uitstrekt of nog langer, valt het wel weer mee.
Je kunt gemakkelijk naar een andere leverancier overstappen. Bijna iedere ICT beheerder kan Windows beheren en dus gemakkelijk overstappen. Bied je dus veel flexibiliteit
inrichting is ook zeer gemakkelijk en snel te doen, alles werkt bijna out of the box standaard, zonder veel configuraties die je zelf allemaal moet doen. Er zit natuurlijk wel het nodige werk in. Maar je hoeft niet zelf verschillende applicaties te installeren en te Configureren om deze samen te laten werken.

Als je in SAMBA AD een gebruiker verwijderd, probeer die maar eens te restoren. Hoeveel tijd/geld kost dit dan?
Printen, moet je er ook nog compleet naast zetten en beheren.
Idem voor DNS en DHCP. Werkt vanuit een domain controller allemaal out of the box.

Je spreekt erg over hardening. Dat is natuurlijk een goede, maar een Windows domain controller kan je ook zeer goed hardenen en veilig neer zetten. Veel van de problemen die voorkomen, zitten in de configuratie en zijn vrij gemakkelijk te voorkomen. Je ziet dat bijvoorbeeld de Universiteit Maastricht daar nu de problemen van heeft. Daar zijn een paar basis best practice volkomen overgeslagen en je ziet de ellende.
Je weet dat dit ook allemaal ondersteund is/wordt. Denk hierbij aan SMB, sysvol, NTLM en zo zijn er nog diverse hardening maatregelen die je kunt treffen om de veiligheid te verhogen. Maar werken die ook allemaal met en SAMBA DC? En is het dan alleen wel ondersteund en blijf het werken? Als het al werkt met SAMBA.

Als de standaard hardening uitvoert, heb je al een hele veilig omgeving op Windows.

Als je dan later misschien naar Office 365 wilt gaan. Dan wordt een SAMBA DC weer niet ondersteund, en zul je als nog minimaal 1 Windows server er naar moeten zetten. Of misschien andere integratie mogelijkheden die samen werken met AD.

Wat is dan de toegevoegde waarden van een SAMBA DC?

Is het mogelijk =>zeker weten.
Zie je het bij bedrijven draaien? Eigenlijk niet. Maar ze zijn er natuurlijk wel. Het komt alleen niet vaak voor.

Ik heb een paar jaar geleden een Windows 2003 AD gemigreerd naar SAMBA 4 omdat de fysieke server waarop dat draaide
end-of-life was en we geen zin hadden een nieuwe fysieke server te kopen (er was al een VMware ESXi host).
Windows onder ESXi draaien zou weer een hoop licentiekosten geven en Windows gaf al koppijn genoeg.

Het draaide prima. Er hingen 80 Windows Vista werkstations aan en nog enkele XP. We gebruikten de standaard beheer
tools (op een XP VM) om de AD te configureren, daarbij kon je niet of nauwelijks zien dat het geen Windows AD was.
Het systeem is uitgefaseerd toen die dingen ook EOL waren en het project waarvoor ze nodig waren afgelopen was.

Ik weet nog wel dat er in de tijd dat ik dit deed ook officiele support voor was te kopen bij een bedrijfje in Duitsland.
Maar dat hadden we zelf niet.

Twee fouten in een zin - het is dus tock mogelijk...
De eerste, meest fundamentele fout is er een die heel vaak gemaakt wordt. "Bij MS werkt het out of the box". Nee.

MS geeft een bak aan foute defaults. MS Windows is heus niet eenvoudiger dan Linux of welk OS dan ook. Er bestaat een fout concept, waardoor men *denkt* dat MS Windows eenvoudiger is - en dus zie je legio configuratiefouten, met alle gevolgen van dien.

De tweede fout is er een van MS: stapel alles maar op elkaar. Een Domain Controller, Access en Identity management, Name resolving, etc, etc. Hoort niet bij elkaar op een box. Fundamenteel verschillend. Grote fout.

Kostenbesparing bijvoorbeeld. Dat die licentiekosten voor een (middel)groot bedrijf niet uitmaken snap ik. Maar voor een Klein bedrijf zou het een reden kunnen zijn. Ik was gewoon benieuwd naar alternatieven en toen kwam ik hierop en ik vroeg me af of het ook echt gebruikt wordt en of dat dat verstandig is. Het is altijd handig om alternatieven te hebben. Qua veiligheid snap ik dat dat bij Windows Server ook wel kan natuurlijk. Maar daar twijfel ik ook niet over. Ik will alleen niet hebben dat ik dan een Samba 4 server heb maar dat die qua beveiligingsupdates achter loopt of wat dan ook. En doordat het op Linux loopt lijkt het mij dat veel Windows Exploits niet zullen werken. Alhoewel het natuurlijk nog altijd veel van dezelfde protocollen gebruikt.

Hangt er vanaf in wat voor een omgeving je werkt. DNS kan ook op andere servers draaien, je verliest alleen een heel hoop functionaliteit, maar het kan ook inderdaad op specifieke appliances draaien bijvoorbeeld op een Infoblox.

Maar DNS werkt standaard icm een domain controller goed en werkt icm activedirectory replicatie juist heel goed.
Het is zeker nog verder te finetunen, maar of dat een noodzaak is, is een tweede. Hangt allemaal van de omgeving (en requirements). Voor de meeste bedrijven is de standaard omgeving vrij goed. Voor een universiteit absoluut niet.

Ik zie het voornamelijk fout gaan, als het juist niet op de domain controllers actief is. Dan komen meestal pas de problemen naar voren. Maar het is wel mogelijk en werkt heel erg goed out of the box met een standaard installatie.

DHCP wil je ook liever niet op je domain controllers hebben draaien vanuit security. Helemaal niet onder de standaard configuratie.

Maar op een domain controller wil je ook geen geen file/printer shares aanbieden. Maar bij veel bedrijven draaien er maar 1 of 2 servers, maar zelfs met meer servers, kan dit nog steeds een goede opzet zijn. Helemaal op het oogpunt van TS zijn vraag. Want bij grote bedrijven zal TS zijn vraag niet eens gevraagd worden, daar is het een nobrainer.

Maar voor een MKB klant, waar je een aantal werkstations hebt draaien, is dit nog steeds een mogelijke goede oplossing die goed integreert in 1 product lijn en gemakkelijk en goed te beheren is.

Ga je naar grotere omgevingen toe, dan zet je hier dedicated (virtuele) machines neer welke je DHCP in failover setup neer zet. Daar heb je ook niet 1 domain controller draaaien, maar meerdere.
(liefst nog 1 in een aparte site met een minder snelle replicatie, achter firewalls en met de standaard Windows Backup oplossing welke meerdere backups per dag maakt. Juist voor AD recovery doeleinden).

Maar bij veel MKB bedrijven heb je 1 a 2 servers draaien, waarbij de AD server vaak alles aanbied. Je moet het klein bedrijf niet vergelijken met groter bedrijven, waar veel meer mogelijk is, of waar veel meer eisen zijn.

Kosten vallen vaak heel erg mee als je ze door rekent. Je hebt inderdaad de aanschaf kosten van de licenties.
Maar die schrijf je ook al over meerdere jaren af.
Als je de licentie in 5 jaar zou afschrijving is het voor een gebruikers licentie ongeveer een euro per maand en de server licentie ongeveer 20 euro per maand.
Maar als je aanschaf kosten zou bekijken van de Server licentie... Als ik daar in die 5 jaar 1 keer een dag voor zou moeten troubleshooten op SAMBA, dan zou ik al meer kosten, dan de server licentie. En dan reken ik nog niet eventueel downtime voor het bedrijf mee.

Maar je kunt bijvoorbeeld ook Microsoft Windows Server Essentials nemen, waardoor de licentie kosten aanzienlijk lager zijn.
Of je er blij van wordt van deze versie, is een tweede. Maar het is wel een goedkope mogelijkheid, en zou ik altijd als voorkeur geven bovenop een SAMBA domain controller.

Maar licentie kosten is zeker een verschil, met SAMBA als domain controller heb je deze gewoon niet.
Maar op lange termijn hoeft dit weer niet goedkoper te zijn. Je hoeft maar 1 keer een probleem te hebben en een dag plat te liggen met je bedrijf. Overstappen naar een ander bedrijf, kennis om te troubleshooten.

Een goede eigenschap. Het wordt alleen eigenlijk nergens gebruikt in productie gebruik bij bedrijven. Maar het kan wel.

Zeker weten. Kan altijd van pas komen. En je ziet ook zeker samba servers in (grote / kleine) netwerk voorbij komen. Maar eigenlijk nooit als domain controller.

Ook SAMBA heeft wat mega security issues gehad, dus ook die moet je inderdaad goed updaten. Net als alle software die je gebruikt.
Ik zie nog heel vaak veel legacy SAMBA voorbij komen in enterprise omgeving, waardoor je bijvoorbeeld bepaalde security beveiligingen niet kan toepassen. NTLMv1 ellende is daar een goed voorbeeld van, maar ook SMB1.

Hier zit wel een kleine nuance is. SMB is bijvoorbeeld reverse engineered. Meestal levert dit geen problemen op. Maar vanuit Microsoft is hier natuurlijk geen enkele garantie op.

Maar een standaard Windows virus kan niet zoveel op je SAMBA domain controller. Maar cryptomalware op een SAMBA share, zal net zo goed alle bestanden encrypten op de file share. Dat los je nog steeds niet op met een SAMBA domain controller.

Voor kleine bedrijven is bijvoorbeeld Azure AD ook een goede mogelijkheid, want je hebt dan geen investeringen meer, maar je betaald per maand. Juist voor kleine bedrijven kan dit een goede oplossing zijn. Helaas werkt nog niet alles zo goed als een on-prem setup, maar een alternatief.

Dat is niet zo moeilijk. Als serverbeheerder wil je niet afhankeljik zijn van een desktop-OS om je servers te kunnen beheren. Wellicht heb je nog een roedel servers met linux (of andere Unix-smaakjes) en die wil je ook allemaal via kereros benaderbaar laten zijn en zodra daar windows bij komt kijken heb je de compatibiliteit met de "embrace and extend"-uitbreidingen van microsoft nodig.

Het is geen windows, en de gebruikelijke scripting-tools zijn ervoor beschikbaar, in plaats van dat je afhankelijk bent van wat microsoft je toestopt met hun GUI-loze GUI-OS.

Samba is software die het mogelijk maakt dat windows mee kan doen met "echte computers" (zie Dilbert), dus samba-als-AD, net zo. Als je alleen maar in microsoft denkt, dan heb je het niet nodig.


Dat geldt voor wel meer software.

Dan bel je minder vaak dan als het makkelijk stuk gaat.

Maar er zijn best wel freelancers en bedrijfjes die je support kunnen leveren. Je kan het ook als voordeel zien: Als de ene het niet goed doet kun je overstappen op een andere, zonder van een enkele fabrikant afhankelijk te zijn. Je huurt ze liever niet pas bij een calamiteit in. Je zorgt dat je weet wat ze kunnen en dat zij jouw infrastructuur kennen en je betaalt ze dus een beetje voor het stand-by staan en bijvoorbeeld patches bijhouden en andere administratrivia, en wat meer als ze moeten komen opdraven als er iets is.

Dan huur je een nieuwe. Of je belt zo'n support-bedrijfje.

Idem dito met een microsoft-monocultuur-infrastructuur, want je belt microsoft niet zelf, daar huur je "most valued partners" voor in. Je kan hooguit roepen dat daar de kennis of dan tenminste de certificaathouders makkelijker te vinden en dus in te huren zijn, maar ik heb daar geen cijfers van gezien.

Trouwens, in de enterprise-wereld kun je net zo goed een red hat enterprise linux inzetten, compleet met onderhoudscontracten en gecertificeerd personeel en weetikhet. Dus support daar is ook prima te regelen.

Je hebt wel gelijk dat als je (enige, met het bedrijf vergroeide) ITer ophoepelt er "core infrastructuur" op het spel staat, maar aanwezigheid van een clickibunti-GUI is geen garantie dat de achterblijvers het automatisch wel snappen. Obscure kaartenhuizen zijn altijd een risico. Daar doe je wat aan door secuur te (laten) documenteren, en iemand anders de documentatie te laten testen. Ongeacht het systeem wat je inzet.

Iets met een commandolijn heeft hier de voorkeur, want dat scheelt eindeloze bergen screenshots om je op allerlei miniscule belangrijke grafische details te wijzen.


Van microsoft ga je geen samba-updates krijgen. Die komen van samba, meestal via je linux distributie. Dat is dus appels met peren vergelijken.

Er bestaan wel multi-platform-exploits maar die zijn heel erg zeldzaam. Als je iets weet van hoe dat met de exploits werkt dan snap je vanzelf waarom het niet zomaar multiplatform zal werken. Het is best interessant er wat te vinden en te kijken hoe en waarom ze wel werken.

Maar alleen al het feit dat samba een compleet andere code base is dan de microsoft smb/wins/ad/... implementatie betekent dat een exploit in de code niet automatisch overdraagbaar is. Ook al zijn het dezelfde protocollen, en als er misbruik wordt gemaakt van een protocol-feature dan moet je alle implementaties langslopen om te kijken of ze kwetsbaar zijn.

Tenzij het bijvoorbeeld een probleem is in de kerberos- of ldap-code die microsoft ongewijzigd heeft overgenomen. Dan ben je wellicht nog beter af met open source omdat de turnaround op bekend worden en patchen daar veel korter kan zijn. Je kan als je er goed inzit zelfs zelf de patches aanbrengen, of zelfs schrijven als je weet wat het probleem is. Dat is een hogere school die wel beschikbaar is met open source en met closed source veel minder. Maargoed, niet iedereen doet aan hogere school-IT.

kijk eens naar nethserver

https://community.nethserver.org/t/howto-install-nethserver-as-samba-ad-domain-controller-v0-2/9076

https://www.nethserver.org/


gebaseerd op CentOS en krijgt dus ook netjes alle updates en je kunt dus rustig een yum-cron opzetten (zodat je niet in de interface telkens hoeft te 'updaten') zonder stabiliteits zorgen dat een update je systeem kaput macht.

Ja daag! Ga je nu verdedigen dat Microsoft geen openheid van zaken geeft over een (oud) gesloten protocol? Ik vind het schandalig dat een dergelijk protocol niet gewoon een open standaard is en dat alle betrokken partijen volledige openheid van zaken verschaffen! WERKELIJK SCHANDALIG!

Het zijn wel feiten. En een risico voor bedrijven als je SAMBA gebruikt voor zoiets belangrijks, is het een groot risico, valt mee. maar we hebben met onze niet Windows filers toch echt mega shit gehad in de omgeving. Maar onze oude Windows Cluster draaide zonder enige problemen.

En oud.... Het is een redelijk modern. SMB v3 bied moderne mogelijkheden voor performance en werkt gewoon goed.

Wat zit je nu weer te zeuren? Ga dit ergens ander doen. Op je geloof preken zitten we hier niet te wachten, mocht je dat nog niet door hebben.

Dat is waar. Maargoed, microsoft geeft op meer dingen geen enkele garantie (meer), onder andere software die ze zelf verkocht hebben maar die nog wel overal en nergens in gebruik is.

Het is ook een feit dat de EU vond dat microsoft SMB maar eens moest specifiëren en ook een feit dat microsoft moest toegeven dat ze eigenlijk geen idee hadden, anders dan wat er in de kluwen aan broncode stond.

Sterker nog, microsoft spiekt zelf ook wel eens in de samba code, want makkelijker leesbaar.

Je krijgt er nog steeds geen support op van microsoft, daar niet van. Maar het wil wel zeggen dat simpelweg declareren dat je geen support krijgt van microsoft lang zo veel niet betekent als het lijkt te betekenen. Die krijg je vaak genoeg toch al niet en dan ben je beter af met iets waar onafhankelijke experts meer mee kunnen dan op de knopjes drukken en constateren dat het nog steeds niet werkt. Erin duiken, het probleem vinden, en oplossen of omheen werken gaat nou eenmaal beter als je de broncode ter beschikking hebt. Alweer, dat is iets voor experts, maar waarom zou je jezelf en eventueel later in te huren experts die toegang vooraf al ontzeggen?

Gesloten protocollen moeten per definitie niet worden gedoogd. Dat versterkt alleen maar het beleid van sommige bedrijven om het toch weer te proberen.


Er is geen 'we', mocht je dat nog niet doorhebben. Het is geen 'geloof' maar het zijn feiten! (Je zegt nota bene zelf dat het protocol gereverse engineered moest worden). En hoe dan ook wordt censuur niet en nooit gedoogd! Op dat gepreek van jou zit trouwens niemand te wachten.

Ik draai al jaren een Zentyal ( www.zentyal.org ) server in een kleine onderneming.. GPO's etc via de RSAT tools. User management en shares ook. Omdat een exchange server niet mogelijk is in zentyal gebruik ik exchange365. Windows 10 clients trouwens. In het verleden een windows 2012 server maar kan nu niet echt zeggen dat het met zentyal minder draait.

Zucht.... Predikant is weer bezig met zijn geloof te preken. Dit bedoelen we met je geloof en preken. Als een protocol het beste werk in een bepaalde omgeving, dan gebruik je dit.

Het is hoe je iets brengt je.

Censuur is heel wat anders dan stoppen met preken of doordrammen van je standpunten, die je met oogkleppen iedere keer probeert te verdedigen.

Je bent weer aan het preken, mocht je het nog niet door hebben.
Ik preek niet mijn geloof. Ik heb helemaal niets met geloof. Ik heb wel een hoop ervaring bij bedrijven, waarbij zowel Microsoft als Linux draait. Het maakt mij helemaal niet uit wat iemand draait of gebruikt. Ik zie het zowel aan Linux als Microsoft fout gaat. Ik schuif het alleen niet af op een OS of ik heb tegen een ander OS. Ik ben wel tegen personen die met oogkleppen kijken naar iets. Daar heb je namelijk in het bedrijfsleven helemaal niets aan. Het zijn stoorzenders en leveren alleen maar ellende en vertragingen op. Sorry maar je zou er zo tussen passen.

Als een bepaalt OS het meest geschikt is voor de applicaties, dan draai en gebruik ik dat.
Ik heb de afgelopen dagen thuis ook heerlijk met FreeBSD omgevingen bezig. Beetje Debian of Ubuntu LTS draaien icm mijn monitoring setup of dominicz icm IOT omgeving. Als dit het beste draait op Linux, dan gebruik ik daar toch Linux (of liever BSD) voor?
Wat is daar mis mee?

Ik kijk een stukje verder dan een OS, of source type. Ik gebruik (en adviseer) wat het beste is voor de oplossing. En wat er gebruikt wordt, zal mij een rotzorg zijn.

En pssst: Misschien een mooi topic voorbeeld voor je: https://www.security.nl/posting/637563/FOSS_MS_Troll+topic. Er zijn er meer die er last van je hebben.

Ziet er leuk uit. Is dit alleen niet meer dan een Samba 4 server met WebGUI? Of zie ik iets niet goed?

En wat zijn precies de voordelen tegenover een Samba 4 server? GPO's, User Management en Shares zijn namelijk ook gewoon mogelijk. Ik heb momenteel niet genoeg tijd on me wat verder te verdiepen in Samba4, Nethserver en Zentyal. CoreOS lijkt ook een AD DC mogelijkheid te hebben dus daar zal ik ook nog even maar kijken maar dat zal dan in het weekend moeten.

Wij zijn een IT-bedrijf en wij doen dit in ons standaard concept voor MKB bedrijven. We plaatsen een high-availability cluster van 2 Synology servers (NAS'en als je zo wilt noemen) als AD-server (en DNS, fileserver, VPN, etc.). Het werk probleemloos ook in grotere bedrijven met meerdere Windows servers voor bepaalde ERP-applicaties. Ook met alle policies, roaming profiles, redirected folders, etc.

In ons concept huren klanten onze hardware en beloven wij simpelweg een werkend netwerk. Ze hebben dus ook geen domain-administrator password. Daarom kunnen wij dit zelf bepalen. Wij kiezen ervoor omdat je niet zo makkelijk, laat staan goedkoop, een cluster van 2 Windows-servers kunt bouwen met uitstekende backup en recovery mogelijkheden. Ik beschouw het dus als een betere oplossing. Ook voorkom je dat je in de beperkende licentie-regels van Microsoft terecht komt.

Het klopt wel dat andere IT bedrijven (waar je ook mee te maken krijgt) dit vaak niet ondersteunen maar ik vind dat laf. Laat ze maar. Ze hoeven het ook niet te ondersteunen, dat doen wij wel. Maar het kan een probleem worden met audit's en dergelijke. Nogmaals, het is laf en kortzichtig, maar je bent maar een kleine schakel in het geheel van een netwerk.

Ik denk dat sinoloog idd voor klein mkb zeg circa 10 a 30 werkplekken een heel mooi alternatief is

veeeeel meeer.

http://docs.nethserver.org/en/v7/

Wat is de max qua gebruikers dat je zo'n systeem zou aanraden? Ik zit er nu zelf aan te denken om een tweedehans server te kopen waar ik Proxmox met Samba4, Postfix/Dovecot Server, Apache server en pfSense op kan runnen. Gewoon om dingen te testen/leren.

Wat moet klein MKB met een China-deskundige?

https://nl.m.wikipedia.org/wiki/Sinologie

Synology, de nieuwere modellen hebben active directory services, heel simpel te configureren.

En hopen dat het blijft werken.

Of het een verstandige keuze is, is een tweede vraag. Je mist gewoon veel mogelijkheden die een Windows omgeving wel ondersteund.

> Wat is de max qua gebruikers dat je zo'n systeem zou aanraden?

Wij hadden vooraf contact opgenomen met Synology om te vragen of het wel slim was (ik had mijn bedenkingen ook), en zij adviseerde om het te gebruiken tot 200 gebruikers. Dan zijn al best grote netwerken, vergis je niet. We doen het nu al 2 jaar en hebben de ene migratie na de andere gedaan, zonder problemen. Alle ERP draait gewoon, eindgebruikers zien geen verschil.

> Je mist gewoon veel mogelijkheden die een Windows omgeving wel ondersteund.

Dat valt erg mee. Op het gebied van A/D gebruik je gewoon de AD-beheer tools van Microsoft die je installeert op een Windows pc of server. Je hebt "Previous Versions" (snapshots), permissies op shares, policies, DNS met dynamische registratie van clients, etc. En wat te denken van Synology's SSD-cache, OpenVPN, Rsync, Backup packages waarmee je remote pc's en servers kunt backuppen (bare-metal), High Availability, DSM updates zonder her-installatie, etc. We kunnen de hardware later ook simpel vervangen zonder iets aan de software te hoeven doen. En we zijn minder vatbaar voor ransomware. Het is werkelijk een goed alternatief voor wie out-of-the-box kan denken.

Wat ik me afvraag, kan je het koppelen met AAD (Azure Active Directory)?
Zodat je Exchange 365 etc kan synchroniseren ?

Slecht advies. Totaal niet rekeninghoudend naar de toekomst die open en transparant zal zijn. Daar passen ook geen gesloten protocollen in. Jouw advies is alleen maar een instandhouding van een monopolie die alleen maar goed is boor MS en het windows oligopolie.

Toekomst... 1 jaar?...2 jaar?....5 jaar? 10 Jaar?

Het is dus een slecht advies, om iets te adviseren, wat de klant nodig heeft, om vraagt en waar hij zijn werkzaamheden op kan uitvoeren?
Je wilt dus dat ik iets moet adviseren, waar de klant niets aan heeft en niet om vraagt en waar hij helemaal niets mee kan?

Echt een goed advies wat je hier geeft. NOT.... En laat juist exact zien waar het fout gaat.

En je mist eigenlijk het belangrijkste punt.
Maar mijn advies is juist exact het goede. Het kijkt niet in een bepaalde richting, het zoekt de beste oplossing voor de klant.
Als dat een Linux oplossing is, dan zet je een linux oplossing neer.
Is dat een Windows oplossing, dan zet je een Windows oplossing neer.

Eric had hier gelukkig laatst een mooi stukje over geschreven, maar kan het even niet 123 meer vinden.

Maar een klant moet gewoon kunnen werken, en daar draait het uit eindelijk om.

Denk dat TIntin hier een heel goed punt heeft. Dus zo slecht is dat advies niet. Of het nu MS is of Linux mag niet uitmaken en (korte termijn) toekomst hoort uiteraard bij de beslissing.

Schrijf geen onzin. Microsoft heeft documentatie van SMB/CIFS online staan. Dat is al minstens 20 jaar zo.

Wordt vaker ingezet op FreeIPA ;)

En nog vaker gebruik je de windows AD om linux via SSSD tegenaan te laten kletsen....


Allerliefste kieper je heel windows er uit ;)

Ik heb voor een klein bedrijf (+- 10 man) recentelijk een Synology NAS met Synology directory Server neer gezet. dit is hun variant van AD. Werkt prima, we deden eigenlijk toch al niks met AD afgezien van een paar policy's en rechten. Dat hoef je tegenwoordig niet meer op een Windows server te doen.

Maar voor grotere bedrijven zou ik het nog niet adviseren. Het is puur dat ik een Linux kenner ben en dus best wel wat Samba kennis heb (meer eigenlijk dan met Windows) waardoor het voor mij eigenlijk makkelijker word om over te schakelen :)

Die documentatie over SMB/CIFS is alleen maar door Microsoft geopenbaard omdat Novell, Sun en het Samba team, vertegenwoordigd door het Software Freedom Law Center, meer dan twintig jaar geleden een anti-monopolie rechtszaak tegen Microsoft bij het Europees mededingingsautoriteit hebben aangespannen, een zaak die de aanklagers voor het Europees gerechtshof hebben gewonnen. Microsoft werd daardoor verplicht om die documentatie openbaar te stellen, op straffe van een boetevordering in geval van in gebreke blijven. Ook de Windows admins hebben daar nu veel baat bij.

https://www.samba.org/samba/PFIF/PFIF_history.html

De Terminologie is inderdaad niet heel goed gekozen., maar het is geen volledige onzin.

https://www.networkworld.com/article/2292472/samba-switches-to-gplv3.html
Samba is networking software designed to allow non-Windows operating systems to connect to Windows using a reverse-engineered version of Windows' own SMB/CIFS networking protocol. The software is central to the connectivity of Linux and Unix-based operating systems in Windows environments, providing file and print services on Mac OS X for instance.

Als we SAMBA's eigen documentatie hierover lezen: https://www.samba.org/samba/docs/myths_about_samba.html
Extending that analogy a little, I think it would be fair to say that classical reverse engineering techniques would be like taking a scalpel and dissecting the waiter. It might indeed be possible to find out how the waiter "works" from a biological perspective by using a scalpel, but it is also possible to find out what you need to know by just talking to the waiter, as long as you are persistent. The Samba Team has been "talking to the waiter" for thirteen years now, and it might be fair to say that we know more about his job than he does himself.


For future reference, the terms we usually use to describe what we do in developing Samba are "network analysis" or "protocol analysis". If you see someone describing Samba as "reverse engineering" then please ask them to use these terms instead, or point them at this paper.

@Tintin and Milou +1

Waarom voor een klein bedrijf ueberhaupt nog AD neerzetten?
Waarom geen IT-uit-de-cloud?
Office 365 / Google Docs, Intune / IronMobile / etc?

ICT-advies geldt doorgaans voor een jaar of 4-5 en binnen die periode gaat er op dit vlak helemaal niets veranderen. Wellicht dat het jaar van Linux ooit nog gaat komen, maar voorlopig zit het er nog niet in.

Klanten zitten helemaal te wachten op idealistisch geneuzel of onpraktische opstellingen waar weinig beheerders iets mee kunnen. Die willen iets dat niet alleen te betalen en beheerbaar is, maar ook niet te ver buiten de conventie valt. Dat is namelijk een risico op zich. Weinigen zullen zich willen branden aan een obscure opstelling en nog minder willen er verantwoordelijk voor zijn wanneer dat mis mocht gaan. Het gezegde 'Nobody ever got fired for buying IBM' is nog steeds waar.

Leuk op papier, niet briljant in de praktijk. Na het niet alleen gedeployed maar er ook mee gewerkt te hebben in diverse opstellingen en configuraties blijft de performance toch ver achter bij de standaard zoals we die kenden van traditionelere omgevingen. Nog even los van dat het cloudgebeuren z'n eigen risico's kent.

Als je je email kwijt wilt raken moet je je bedrijfsemail aan dit soort bedrijven uitbesteden. Het aantal keren dat email niet aankomt door interne problemen bij Microsoft is ontelbaar. Het is slecht gesteld met de betrouwbaarheid, ga maar eens lezen in de mailop mailing list.

Potentiele klanten gaan wel een deur verder proberen als je mail niet aankomt. Je merkt er zelf niets van dat je die klant bent kwijtgeraakt, die gooit dat bounceberichtje gewoon in de prullenbak. Vandaag weer zo'n bedrijf gehad.

Hangt ervan af. Ik heb ook al een paar bedrijven in de cloud gehangen, en dit werkt toch echt een stuk lekkerder en flexibeler dan een on-prem omgeving.

Maar of het beter en goedkoper is, hangt gewoon van het type bedrijf af en de diensten die je afneemt.

Dat is de pitch en was ook wat ik verwachtte te zien, maar in de praktijk valt dat domweg vies tegen. Dat is vanuit het perspectief als gebruiker en als beheerder. De performance is vaak teleurstellend, voor de kosten hoef je het in de meeste gevallen ook niet te doen en troubleshooting is vaak een stuk lastiger. Dat is ook logisch, want je voegt een belanghebbende partij aan de vergelijking toe. De cloud is leuk in specifieke gevallen als je snel op en af moet kunnen schalen, maar verder is het niet het panacea dat de marketing ons belooft.

Veel mensen vergeten dat niet iedere locatie geschikt is, dat hangt ook af van je internetsnelheid (en de andere locatie waar de servers gehost worden). Deze moet namelijk (behoorlijk) opgeschaald worden. Vergeet dan ook QoS niet in te stellen voor je VPN. Zijn alle applicaties wel geschikt voor een virtuele en vpn omgeving ? etc. etc. etc.

Als je al op meerdere locaties werkt, heb je al het zelfde probleem. Als je data op 1 locatie staat, moet je toch al goede een verbinding hebben naar die locatie.

Dit gaat om correct ingerichte omgevingen. Met die factoren is rekening gehouden.

Overigens zijn die applicaties vaak nog wel een issue en blijken er kritische applicaties toch niet voor de cloud beschikbaar, of pikken ze hun cloud-migratie niet lekker, maar dat is weer een ander verhaal.

Een beetje laat berichtje in deze..

Maar ons kantoor draait volledige Debian + samba4 AD-DC en members.

We hebben alle mogelijkheden (zover wij deze gebruiken) zoals in een MS netwerk.
De pc's windows 10 want de gebruiker trekken het niet om naar Linux Desktop over te gaan.

Mijn advies is wel een Debian of Ubuntu server te gebruiken.
Centos/RH kan, echter geen opletten met de versie van de AD-DC ondersteuning, daar wordt nog aan gewerkt.

Ter illustratie welke sofware we gebruiken en welke technieken.

Debian OS,
core software is :
- Samba
- Postfix
- Apache
- Spamassin
- Squid proxy
- Kopano (mail server)
- NextCloud
- LDAP (via Samba)
- Strongswan VPN.

Kerberos auth en SSO weer nodig.
NFS SMB etc etc.

Voor ons bedrijf is de tweede grote upgrade.
De vorige samba NT4PDC (uit 2005) wordt nu vervangen probeer dat maar met MS servers. ;-)
Het gemiddelde OS (installatie) van een Member is 1,4-2.5 GB max. (exclusief user data).

Stop dit alles in XCP-NG free XenServers and je restored ook nog je servers binnen 30min.

De sambalist is zeer behulpzaam bij vragen, daar vind je mij ook.