Чего бы хотелось:
Иметь в сети 2 контроллера домена, на одном из которых хранятся пользовательские данные, а на другой делается их бэкап. И чтобы при выходе из строя одного из контроллеров домена через максимально короткий период домен продолжал бы полноценно функционировать.

Установил у себя в сети на два сервера Samba 4 AD. Первый (DC1) - как AD контроллер домена. Второй (DC2) после установки присоединил к домену первого как указано тут : https://wiki.samba.org/index.php/Join_a_domain_as_a_DC

Между серверами настроил репликацию SysVol по этим инструкциям:
https://wiki.samba.org/index.php/SysVol_Replication

С помощью rsync настроил периодический бэкап шар с DC1 на DC2. И эти шары открыл на DC2.
DNS на обеих серверах используется встроенный в Samba.
DHCP тоже на двух серверах запустил.

Надеялся, что при выходе из строя DC1 можно быстро переключиться на DC2 исправив в Startup скриптах в политиках имя подключаемых как сетевые диски шар.

Выключил DC1 и понял что не все так просто.
1 сетевые диски не подключаются. На клиентских машинах ошибки доступа к SysVol и политики не применяются.
2 Подключил сетевые диски вручную и увидел, что все права доступа слетели нафиг. Видимо rsync настроил неправильно. Может кто подскажет какие ключи ему нужны чтобы права при копировании сохранялись?
3 Получил страшные тормоза при открытии папок с рабочих станций. В логах samba на DC2 видно, что он периодически обращается к выключенному DC1. : failed to connect to host DC1 ... on port 135 - NT_STATUS_HOST_UNREACHEABLE.

Вообщем подскажите, как до ума довести идею...

И еще вопросы. Периодически слетают права доступа. Где-то видел что в AD для пользователей и групп нужно заполнять Unix Attributes чтобы acl нормально работали. Но это как общая фраза было написано. Может кто знает поподробнее, или вообще причина не в этом...

Для samba 3 есть параметры, с помощью которых можно добиться увеличения быстродействия - SO_KEEPALIVE, SO_RCVBUF, SO_SNDBUF, oploсks и т д. А в samba 4 эти параметры действуют?

Есть идея в DNS добавить алиас (DC) который указывает на текущий контроллер домена который нужно использовать для доступа к данным пользователей(DC1 или DC2). Во всех настройках использовать этот алиас. А при выключении этого контроллера домена просто менять этот алиас, чтоб он указывал на резервный сервер. Но тоже не выходит. С клиента открываю \\DC - вижу шары, но ни в одну из них войти невозможно - отказано в доступе, а когда открываю так конкретный сервер \\DC1 - все нормально. Можно как то реализовать это?

Вообщем буду рад любой помощи...

Basil A. SidorovЕсли пользователей не тысячи, то раздавать ресурсы с автономного сервера, а домен-контроллеры упихнуть в пробирку.
Ну или искать аналог DFS

Расшифруй пожалуйста. Я не понял, что ты имеешь в виду. Но все равно возникает вопрос, а если этот автономный сервер накроется, что делать чтобы быстро возобновить работу?

bga83ЛентяйВообщем буду рад любой помощи...
дельный совет - забудь про эту идею. У нас в фирме поднята связка openldap+samba+ куча всякого овна. По началу, когда сотрудников было мало это может быть еще и было оправдано, но сейчас, когда количество работников выросло до ~1000 обслуживать все это уже не реально. И смотреть надо именно в сторону MS AD, вменяемых аналогов этому сейчас нет.

Не будет у нас много сотрудников. Это автосалон. Сейчас 30 рабочих мест. Ну будет фантастика если до 40 разрастемся...
С MS официально купленной работал не один год. Там тоже своих прелестей хватает... Может на тысячах рабочих мест и появляется необходимость перейти на MS AD, но сейчас не вижу особого смысла.

А все-таки есть кто-нибудь, кто реально samba 4 в режиме Active Directory Domain Controller использует? Интересует ответ на заданные вопросы, но и за рекомендации спасибо.
Но переходить на MS не буду. У меня на этих серверах еще и другое ПО от Linux крутится. Почта, Сервер БД, App Server для Java приложений, Apach, OpenVpn для связи с другими площадками и т д... Можно конечно озадачиться и перевести все это на MS. Но зачем? Да и на ник мой внимание обратите... :)

nolockyЛентяйНо зачем? Да и на ник мой внимание обратите... :)

Ты противоречишь сам себе. Active Directory настолько плохо поддерживается самбой, что реально проще поставить (в виртуальную машину) windows 2003/2008 и не заниматься ерундой. А все функции отказоустойчивости в винде уже сделаны "из каробки".

Все равно ота твоя смешная наколенка работать не будет, а если и будет - то с постоянными глюками и через жопу.

Но ты пострадай, пострадай. Религия, это ведь такое!

Причем тут религия? Я считаю, что для потребностей моей сети (40 рабочих мест максимум) можно обойтись средствами linux. Я ж никого не пытаюсь убедить, что это единственно верное решение для всех и вся. А вот судя по истеричности твоего поста, твоя религия MS. Причем ты воинствующий фанатик...

Для ясности - лет 5-6 все это работало на samba 3. Сейчас, в связи со сменой серверов решил попробовать samba 4. Возникли вопросы - решил спросить.

nolockyВсе равно ота твоя смешная наколенка работать не будет, а если и будет - то с постоянными глюками и через жопу.


Пользователям предоставляется доступ к данным и еженощно делается backup на другой сервер. Есть желание, в случае выхода из строя основного сервера, обеспечить наиболее быстрым способом доступ к данным резервной копии.
Что смешного и в чем "наколенность" ?

Если я установлю в виртуальную машину MS AD то,что принципиально измениться, кроме того, что надо будет платить за серверные лицензии? Где пользовательские данные будут? Внутри виртуальной машины? Что при этом что с быстродействием доступа к данным будет? Или на еще одном сервере их размещать? Дак их опять же в обеих вариантах бэкапить надо. И в случае выхода из строя сервера с пользовательскими данными, опять надо придумать схему быстрого переключения доступа на резервную копию (наколенка в твоей терминологии).

bga83ЛентяйИ в случае выхода из строя сервера с пользовательскими данными, опять надо придумать схему быстрого переключения доступа на резервную копию (наколенка в твоей терминологии).
DFS, который уже упоминали, реализует это без всяких "на коленках"

Я в свое время (лет 7-8 назад) на win 2000 пробовал в одной из организаций задействовать микрософтовскую репликацию файлов для связи 2-х площадок. Не сложилось. Она просто останавливалась в какой-то момент. Сейчас уже не вспомню всех подробностей. Наверное с тех пор все изменилось. спорить не буду. Честно говоря с тех пор DFS и не интересовался.
А что произойдет, если один файл одновременно на разных серверах будет изменен?