Seid 1996 lässt bei mir die Begeisterung für Samba nicht nach. Es wird Zeit eine aktuelle Anleitung zur “Einrichtung eines Samba basierten Domain Controllers” zu veröffentlichen.
Zielstellung:
- Samba basierten Active-Directory Domain Controller einrichten, als Alternative zum Microsoft DC
- Authentifizierung von Clients / Usern über das Active-Directory
- bei der Unterstützung liegt der Fokus auf folgende Betriebssysteme:
- Microsoft Windows 10
- Microsoft Windows 2016 Server
- Microsoft Windows 2019 Server (1809)
- Apple MacOS
- iXsystems FreeNAS
- Storage Server als Domain Member mit NFSv4 ACLs on ZFS
- bei der Unterstützung liegt der Fokus auf folgende Betriebssysteme:
- Unterstützung für Gruppenrichtlinien Management
- Unterstützung für Kerberos Tickets
- Unterstützung für dynamische DNS Updates
- Management des Active-Directory mittels GUI Tools (RSAT)
- Active Directory-Benutzer und -Computer
- Gruppenrichtlinienverwaltung
- DNS
- keine Drucker Spool Unterstützung, da in meinen Setups nicht relevant
Alle darauffolgend genannten Settings sind meine “Best Practice” Empfehlungen (Kompatibilität & Sicherheit).
Voraussetzungen:
- eine aktuelle Debian (Testing/Bullseye) VM mit mindestens:
- 4 GB RAM
- 32 GB HDD
- BTRFS Filesystem (user_xattr wird standardmäßig verwendet)
- Samba Version >=4.13 (aus dem Debian Testing Repository)
- statische IPv4 Adresse
- statische IPv6 Adresse (optional)
- Synchronisierung der Systemzeit über einen “ntp”-Dienst
- Clients die Mitglied in der Domain werden sollen müssen den DNS-Service des Samba verwenden
Empfehlung:
- Minimale Debian Installation mit SSH Server
- Beispiel der Partitionierung: https://www.youtube.com/watch?v=uRvd0H_m7pY
- Der lokale NTP Client “systemd-timesyncd.service” wird durch den vollwertigen NTP Serverdienst “chrony” ersetzt!
Überblick über die verwendeten Konfigurationen:
Realm: PLITC.INTERN Domain: PLITC IP-Adresse 10.10.10.16 (internal) und 10.102.1.16 (external) externer DNS-Resolver 1.1.1.1 und 1.0.0.1 Samba-Administrator: Administrator
Vorbedingungen prüfen, ggf. umsetzen:
- Temporär (zunächst für die Software Installation) einen externen DNS Resolver verwenden:
# root@plitc0-dc1:~# cat /etc/resolv.conf ### ### ### PLITC ### ### ### nameserver 1.1.1.1 # Cloudflare ### ### ### PLITC ### ### ### # EOF root@plitc0-dc1:~# #
2. FQDN Hostname konfigurieren:
# root@plitc0-dc1:~# cat /etc/hostname plitc0-dc1.plitc.intern root@plitc0-dc1:~# #
3. HOSTS Datei anpassen:
# root@plitc0-dc1:~# cat /etc/hosts ### ### ### PLITC // ### ### ### 127.0.0.1 localhost.localdomain localhost ::1 localhost ip6-localhost ip6-loopback ff02::1 ip6-allnodes ff02::2 ip6-allrouters 10.10.10.16 PLITC0-DC1.plitc.intern PLITC0-DC1 ### ### ### // PLITC ### ### ### # EOF root@plitc0-dc1:~# #
4. Debian Repositories überprüfen:
# root@plitc0-dc1:~# cat /etc/apt/sources.list ### ### ### PLITC // ### ### ### deb http://ftp.de.debian.org/debian/ bullseye main contrib non-free deb-src http://ftp.de.debian.org/debian/ bullseye main contrib non-free deb http://security.debian.org/debian-security bullseye-security main contrib deb-src http://security.debian.org/debian-security bullseye-security main contrib ### ### ### // PLITC ### ### ### # EOF root@plitc0-dc1:~# #
5. Das System auf den neusten Stand bringen:
# apt-get autoclean; apt-get clean; apt-get update; apt-get upgrade; apt-get dist-upgrade; apt-get autoremove #
6. “chrony” installieren:
# apt-get install chrony #
7. “chrony” als Serverdienst aktivieren (allows hinzufügen):
# root@plitc0-dc1:/etc/chrony# tail -n 7 chrony.conf # Allow NTP client access from local network. allow 192.168.0.0/16 allow 172.16.0.0/12 allow 10.0.0.0/8 # EOF root@plitc0-dc1:/etc/chrony# #
# systemctl daemon-reload systemctl restart chrony systemctl status chrony #
# root@plitc0-dc1:/etc/chrony# sockstat | grep 123 root chronyd 3804 udp4 *:123 *:* CLOSED root@plitc0-dc1:/etc/chrony# # # root@plitc0-dc1:/etc/chrony# chronyc tracking Reference ID : 4F852C8D (79.133.44.141) Stratum : 2 Ref time (UTC) : Sun Jan 03 13:21:07 2021 System time : 0.000000901 seconds fast of NTP time Last offset : -0.000904302 seconds RMS offset : 0.000904302 seconds Frequency : 775.168 ppm fast Residual freq : -0.623 ppm Skew : 21.665 ppm Root delay : 0.005037510 seconds Root dispersion : 0.001290298 seconds Update interval : 64.8 seconds Leap status : Normal root@plitc0-dc1:/etc/chrony# #
Installation:
- Samba SERVER und weitere relevante Pakete installieren:
# apt-get install samba winbind acl smbclient cifs-utils krb5-user dnsutils #
OPTIONAL: Auf Linux basierten CLIENT-Systemen sind folgende Pakete sinnvoll:
# apt-get install acl smbclient cifs-utils krb5-user libpam-krb5 dnsutils #
2. Alle Samba relevante Kernkomponenten deaktivieren:
# systemctl stop samba-ad-dc.service systemctl stop smbd.service systemctl stop nmbd.service systemctl disable samba-ad-dc.service systemctl disable smbd.service systemctl disable nmbd.service #
3. Alle vordefinierte Samba Systemdateien löschen!
# rm /etc/samba/smb.conf rm -rfv /var/lib/samba rm -rfv /var/cache/samba mkdir -p /var/lib/samba mkdir -p /var/lib/samba/private mkdir -p /var/cache/samba #
Konfiguration:
- Samba Provisionierung als Active Directory Domain Controller!
# /usr/bin/samba-tool domain provision --use-rfc2307 --function-level=2008_R2 --realm=PLITC.INTERN --domain=PLITC --adminpass='GEHEIM' --server-role='dc' --dns-backend=SAMBA_INTERNAL #
Beispieloutput des Provisionierungsvorgangs:
# INFO 2020-12-31 13:02:24,197 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2122: Looking up IPv4 addresses WARNING 2020-12-31 13:02:24,198 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2127: More than one IPv4 address found. Using 10.10.10.16 INFO 2020-12-31 13:02:24,198 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2139: Looking up IPv6 addresses WARNING 2020-12-31 13:02:24,198 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2146: No IPv6 address will be assigned INFO 2020-12-31 13:02:24,557 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2290: Setting up share.ldb INFO 2020-12-31 13:02:24,692 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2294: Setting up secrets.ldb INFO 2020-12-31 13:02:24,782 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2299: Setting up the registry INFO 2020-12-31 13:02:25,220 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2302: Setting up the privileges database INFO 2020-12-31 13:02:25,418 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2305: Setting up idmap db INFO 2020-12-31 13:02:25,539 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2312: Setting up SAM db INFO 2020-12-31 13:02:25,631 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #897: Setting up sam.ldb partitions and settings INFO 2020-12-31 13:02:25,633 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #909: Setting up sam.ldb rootDSE INFO 2020-12-31 13:02:25,654 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1322: Pre-loading the Samba 4 and AD schema Unable to determine the DomainSID, can not enforce uniqueness constraint on local domainSIDs INFO 2020-12-31 13:02:25,831 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1400: Adding DomainDN: DC=plitc,DC=intern INFO 2020-12-31 13:02:25,864 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1432: Adding configuration container INFO 2020-12-31 13:02:25,900 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1447: Setting up sam.ldb schema INFO 2020-12-31 13:02:28,499 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1465: Setting up sam.ldb configuration data INFO 2020-12-31 13:02:28,658 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1506: Setting up display specifiers INFO 2020-12-31 13:02:30,432 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1514: Modifying display specifiers and extended rights INFO 2020-12-31 13:02:30,466 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1521: Adding users container INFO 2020-12-31 13:02:30,467 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1527: Modifying users container INFO 2020-12-31 13:02:30,468 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1530: Adding computers container INFO 2020-12-31 13:02:30,469 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1536: Modifying computers container INFO 2020-12-31 13:02:30,470 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1540: Setting up sam.ldb data INFO 2020-12-31 13:02:30,594 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1570: Setting up well known security principals INFO 2020-12-31 13:02:30,635 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1584: Setting up sam.ldb users and groups INFO 2020-12-31 13:02:30,740 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1592: Setting up self join Repacking database from v1 to v2 format (first record CN=ms-DS-Az-LDAP-Query,CN=Schema,CN=Configuration,DC=plitc,DC=intern) Repack: re-packed 10000 records so far Repacking database from v1 to v2 format (first record CN=msCOM-PartitionSet-Display,CN=40D,CN=DisplaySpecifiers,CN=Configuration,DC=plitc,DC=intern) Repacking database from v1 to v2 format (first record CN=ipsecNFA{6A1F5C6F-72B7-11D2-ACF0-XXXXXXXXXXXX},CN=IP Security,CN=System,DC=plitc,DC=intern) INFO 2020-12-31 13:02:35,008 pid:588 /usr/lib/python3/dist-packages/samba/provision/sambadns.py #1143: Adding DNS accounts INFO 2020-12-31 13:02:35,132 pid:588 /usr/lib/python3/dist-packages/samba/provision/sambadns.py #1177: Creating CN=MicrosoftDNS,CN=System,DC=plitc,DC=intern INFO 2020-12-31 13:02:35,153 pid:588 /usr/lib/python3/dist-packages/samba/provision/sambadns.py #1190: Creating DomainDnsZones and ForestDnsZones partitions INFO 2020-12-31 13:02:35,256 pid:588 /usr/lib/python3/dist-packages/samba/provision/sambadns.py #1195: Populating DomainDnsZones and ForestDnsZones partitions Repacking database from v1 to v2 format (first record DC=m.root-servers.net,DC=RootDNSServers,CN=MicrosoftDNS,DC=DomainDnsZones,DC=plitc,DC=intern) Repacking database from v1 to v2 format (first record DC=ForestDnsZones,DC=plitc,DC=intern) INFO 2020-12-31 13:02:36,300 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2026: Setting up sam.ldb rootDSE marking as synchronized INFO 2020-12-31 13:02:36,424 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2031: Fixing provision GUIDs INFO 2020-12-31 13:02:37,891 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2364: A Kerberos configuration suitable for Samba AD has been generated at /var/lib/samba/private/krb5.conf INFO 2020-12-31 13:02:37,892 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2366: Merge the contents of this file with your system krb5.conf or replace it with this one. Do not create a symlink! INFO 2020-12-31 13:02:38,011 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2096: Setting up fake yp server settings INFO 2020-12-31 13:02:38,148 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #489: Once the above files are installed, your Samba AD server will be ready to use INFO 2020-12-31 13:02:38,148 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #494: Server Role: active directory domain controller INFO 2020-12-31 13:02:38,148 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #495: Hostname: plitc0-dc1 INFO 2020-12-31 13:02:38,148 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #496: NetBIOS Domain: PLITC INFO 2020-12-31 13:02:38,148 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #497: DNS Domain: plitc.intern INFO 2020-12-31 13:02:38,148 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #498: DOMAIN SID: S-1-5-21-XXXXXXXXX-XXXXXXXXXX-XXXXXXXXXXX #
2. Ab jetzt den lokalen Samba Service als primären (System) DNS Resolver verwenden!
# root@plitc0-dc1:~# cat /etc/resolv.conf ### ### ### PLITC ### ### ### search plitc.intern nameserver 10.10.10.16 # plitc0-dc1 (first) ### ### ### PLITC ### ### ### # EOF root@plitc0-dc1:~# #
3. Samba Kerberos Konfigurationsdatei anpassen:
# root@plitc0-dc1:~# cat /var/lib/samba/private/krb5.conf [libdefaults] default_realm = PLITC.INTERN dns_lookup_realm = true dns_lookup_kdc = true forwardable = true proxiable = true [realms] PLITC.INTERN = { default_domain = plitc.intern } [domain_realm] plitc0-dc1 = PLITC.INTERN [logging] default = FILE:/var/log/samba/krb5libs.log kdc = FILE:/var/log/samba/krb5kdc.log admin_server = FILE:/var/log/samba/kadmind.log root@plitc0-dc1:~# #
4. System Kerberos Datei durch die neue Samba Kerberos Konfiguration überschreiben:
# cp /var/lib/samba/private/krb5.conf /etc/krb5.conf #
5. Globale Samba Konfigurationsdatei anpassen:
# root@plitc0-dc1:~# cat /etc/samba/smb.conf ### ### ### PLITC ### ### ### [global] workgroup = PLITC realm = PLITC.INTERN netbios name = PLITC0-DC1 interfaces = lo enp0s6f0 enp0s6f1 bind interfaces only = Yes server role = active directory domain controller idmap_ldb:use rfc2307 = yes allow dns updates = nonsecure dns forwarder = 1.1.1.1 server string = %h - Samba Server disable spoolss = Yes server min protocol = SMB2_10 server max protocol = SMB3_11 disable netbios = No server signing = auto smb encrypt = auto client min protocol = SMB2_10 client max protocol = SMB3_11 client ldap sasl wrapping = seal ldap server require strong auth = no client signing = auto client schannel = auto #// CVE-2020-1472 server schannel = yes #/server require schannel:oldworkstationname$ = no vfs objects = dfs_samba4 acl_xattr btrfs dsdb:schema update allowed = true machine password timeout = 0 kdc:service ticket lifetime = 24 kdc:user ticket lifetime = 24 kdc:renewal lifetime = 120 #// TLS tls enabled = yes tls keyfile = tls/key.pem tls certfile = tls/cert.pem tls cafile = [netlogon] path = /var/lib/samba/sysvol/plitc.intern/scripts read only = No [sysvol] path = /var/lib/samba/sysvol read only = No [data] path = /samba-data read only = No browseable = Yes ### ### ### PLITC ### ### ### # EOF root@plitc0-dc1:~# #
6. Samba Freigabeordner erstellen:
# mkdir -p /samba-data #
Mit diesem Verzeichnis lässt sich die Bedienbarkeit von ACLs trainieren:
# root@plitc0-dc1:~# getfacl /var/lib/samba/sysvol getfacl: Entferne führende '/' von absoluten Pfadnamen # file: var/lib/samba/sysvol # owner: root # group: 3000000 user::rwx user:root:rwx user:3000000:rwx group::rwx group:3000000:rwx group:3000001:r-x group:3000002:rwx group:3000003:r-x mask::rwx other::--- default:user::rwx default:user:root:rwx default:user:3000000:rwx default:group::--- default:group:3000000:rwx default:group:3000001:r-x default:group:3000002:rwx default:group:3000003:r-x default:mask::rwx default:other::--- root@plitc0-dc1:~# #
# root@plitc0-dc1:~# getfacl /samba-data getfacl: Entferne führende '/' von absoluten Pfadnamen # file: samba-data # owner: root # group: root user::rwx group::r-x other::r-x root@plitc0-dc1:~# #
Es ist hilfreich die Funktionsweise von getfacl und setfacl zu verstehen und diese auch anwenden zu können. (Sowie die Unterschiede zwischen BTRFS und NFSv4ACLs on ZFS zu berücksichtigen)
- https://wiki.samba.org/index.php/Setting_up_a_Share_Using_Windows_ACLs
- https://wiki.samba.org/index.php/Setting_up_a_Share_Using_POSIX_ACLs
- https://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/fs-acl.html
- https://wiki.ubuntuusers.de/ACL/
7. Samba TLS Zertifikat erstellen:
# cd /var/lib/samba/private/tls openssl req -newkey rsa:4096 -keyout key.pem -nodes -x509 -days 3650 -out cert.pem #
Beispieloutput:
# root@plitc0-dc1:/var/lib/samba/private/tls# openssl req -newkey rsa:4096 -keyout key.pem -nodes -x509 -days 3650 -out cert.pem Generating a RSA private key ……..++++ ..++++ writing new private key to 'key.pem' You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. Country Name (2 letter code) [AU]:DE State or Province Name (full name) [Some-State]:Bayern Locality Name (eg, city) []:Stockheim Organization Name (eg, company) [Internet Widgits Pty Ltd]:PLITC Organizational Unit Name (eg, section) []:IT Department Common Name (e.g. server FQDN or YOUR name) []:PLITC0-DC1.plitc.intern Email Address []:service@plitc.eu root@plitc0-dc1:/var/lib/samba/private/tls# ls -all insgesamt 8 drwxr-xr-x 1 root root 30 31. Dez 13:37 . drwxr-xr-x 1 root root 376 31. Dez 13:29 .. -rw-r--r-- 1 root root 2179 31. Dez 13:38 cert.pem -rw------- 1 root root 3272 31. Dez 13:37 key.pem root@plitc0-dc1:/var/lib/samba/private/tls# #
8. System Reboot
# sync; reboot #
9. Samba AD Dienst aktivieren und starten:
# systemctl unmask samba-ad-dc.service systemctl enable samba-ad-dc.service systemctl start samba-ad-dc.service systemctl status --no-pager samba-ad-dc.service #
10. Immunitätsflag auf die resolv.conf setzen:
# chattr +i /etc/resolv.conf #
11. Samba Logdateien ansehen und Active-Directory Status prüfen:
# cat /var/log/samba/log.samba samba-tool dbcheck samba-tool fsmo show samba-tool drs showrepl #
Beispieloutput:
# root@plitc0-dc1:~# root@plitc0-dc1:~# samba-tool dbcheck Checking 267 objects Checked 267 objects (0 errors) root@plitc0-dc1:~# root@plitc0-dc1:~# samba-tool fsmo show SchemaMasterRole owner: CN=NTDS Settings,CN=PLITC0-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=plitc,DC=intern InfrastructureMasterRole owner: CN=NTDS Settings,CN=PLITC0-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=plitc,DC=intern RidAllocationMasterRole owner: CN=NTDS Settings,CN=PLITC0-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=plitc,DC=intern PdcEmulationMasterRole owner: CN=NTDS Settings,CN=PLITC0-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=plitc,DC=intern DomainNamingMasterRole owner: CN=NTDS Settings,CN=PLITC0-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=plitc,DC=intern DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=PLITC0-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=plitc,DC=intern ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=PLITC0-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=plitc,DC=intern root@plitc0-dc1:~# root@plitc0-dc1:~# samba-tool drs showrepl Default-First-Site-Name\PLITC0-DC1 DSA Options: 0x00000001 DSA object GUID: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX DSA invocationId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX ==== INBOUND NEIGHBORS ==== ==== OUTBOUND NEIGHBORS ==== ==== KCC CONNECTION OBJECTS ==== root@plitc0-dc1:~# #
Quellen:
- https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller
- https://wiki.c3d2.de/Server/global
Ergänzung: Installation der AD DS-Tools & DNS-Servertools:

Ergänzung: Freigabeordner Berechtigungen unter Windows setzen:
- Zunächst muss der direkte Zugriff temporär auf /samba-data ermöglicht werden
# chmod 0777 /samba-data #
2. Jetzt kann unter Windows ein neuer Ordner erstellt werden:

3. Zum Schluss werden passende Active-Directory Berechtigungen gesetzt:

4. Übersicht der Berechtigungen auf Systemebene:
# root@plitc0-dc1:/samba-data# getfacl Neuer\ Ordner/ # file: Neuer Ordner/ # owner: 3000000 # group: users user::rwx user:root:rwx user:3000000:rwx user:3000004:rwx group::r-x group:users:r-x group:3000004:rwx mask::rwx other::--- default:user::rwx default:user:root:rwx default:user:3000000:rwx default:user:3000004:rwx default:group::--- default:group:users:r-x default:group:3000004:rwx default:mask::rwx default:other::--- root@plitc0-dc1:/samba-data# #
Ergänzung: Gruppenrichtlinie – Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Internet Explorer/Internetsystemsteuerung/Sicherheitsseite/Liste der Site zu Zonenzuweisungen
Aus kompatibilitätsgründen sollten alle UNC Pfade von SMB basierten unixoiden Fileservern in der Active-Directory Domäne explizit erlaubt werden.
Dies umgeht diverse Zugriffsprobleme wie der SAP GUI auf Dateiablagen auf einem FreeNAS Share.


Ergänzung: Windows VMs auf SmartOS:
Für einen korrekten Domain Join und Betrieb in der Domäne, in UTC Zeit, sollte folgender Windows Registry Key eingespielt werden:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation] "RealTimeIsUniversal"=dword:00000001