4.4. 从Samba 2.0.x向2.2.x迁移
在Samba 2.2中，打印机驱动程序的管理已经与以前的版本有所改变(我们希望有所改进)，从你现有版本向2.2迁移可能会遇到象下面这样的问题。

一般说来，Windows系统具有一定的记忆功能。如果Windows NT客户端已连接过Samba 2.0服务器的话，它会记住这是一台LanMan打印服务器。而Samba2.2版本会尽可能支持MSRPC打印，当你升级以后，NT客户还是记住以前的设置。

要使用全新的MSRPC打印功能，先用下面的命令停掉客户端的假脱机服务，再删除[HKLM\SYSTEM\CurrentControlSet\Control\Print]中与打印服务器有关的注册键。

C:\WINNT\> net stop spooler

请小心操作注册表。

当删除了相应的注册表项之后，请用start替换掉刚才命令中的stop来重启假脱机服务。

另一方面，Windows 9x使用LanMan打印调用，无须进行任何修改操作。

警告
我们将考虑把以下的smb.conf选项作废掉，所以请不要在新的安装中再使用了。

printer driver file (G)

printer driver (S)

printer driver location (S)


在迁移过程中，你可能会面临如下的方案：

无须支持Windows NT打印机驱动程序，则只要使用现有的选项就可以了。

如果要支持NT打印机驱动程序，但却不想把9x驱动程序迁移到新服务器上，那么请保留现有的printers.def文件。当smbd在TDB中查找打印机的9x版驱动程序失败时，就会使用printers.def文件(及所有相关的选项)。make_printerdef工具仍会保持向后兼容，不过已经这属于那种老掉牙的工具了。

如果在Samba服务器上安装了打印机的Windows 9x版驱动程序，那么这套程序的优先级最高，上面那三个旧的打印选项将被忽略(包括printer driver location)。

如果要把现有的printers.def文件迁移到新服务器上，那么只能用Windows NT的APW来安装NT及9x驱动程序了。详情请参见smbclient和rpcclient的用法。另外在http://imprints.sourceforge.net/有Imprints客户端安装程序的示例。


--------------------------------------------------------------------------------

Chapter 5. Samba 2.x中的security = domain选项
5.1. 把Samba 2.2添加到NT域
要把Samba服务器添加到NT域中，必须在PDC的域服务器管理器中加入它的NetBIOS主机名，这样就在PDC的域SAM中加入了它的机器账号。要注意的是，在添加时要把Samba服务器作为一台“Windows NT工作站或服务器”，而不是“主或备份域控制器”。

假定你要把一台名为SERV1的Samba服务器加入到NT域DOM中，而该域的主域控制器及两个备份域控制器分别名为DOMPDC、DOMBDC1和DOMBDC2。那么首先停掉所有的Samba后台进程，再运行以下命令：

root# smbpasswd -j DOM -r DOMPDC

如果运行顺利，则会得到以下信息：

smbpasswd: Joined domain DOM.

smbpasswd(8)的用法请参见其手册页。

在以后的发布版中，加入域时就无须事先在PDC上创建机器信任账号了。

通过上面这条命令，Samba服务器使用机器账号口令更改协议，把它的机器账号口令写到了一个文件中，并保存在存放smbpasswd文件的目录中，通常应该是：

/usr/local/samba/private

在Samba 2.0.x中，这个机器账号口令文件的名称形如：

..mac

.mac后缀代表这是一个机器账号口令文件。因此，根据上面的例子，这个口令文件应该名为：

DOM.SERV1.mac

而在Samba 2.2中，该文件已被TDB(Trivial Database)文件secrets.tdb所取代。只有root账号才拥有该文件，其它人皆不可读。它是系统采用域安全级时的关键所在，请仔细维护。

现在，还得编辑smb.conf(5)文件，以便使用域安全级。

在[global]段中修改(或添加)security =选项为：

security = domain

同时再修改workgroup =：

workgroup = DOM

它应该是待加入的域名。

另外还须设置encrypt passwords选项为yes，以便使用加密口令。

最后，添加(或修改)[global]段中的password server =选项指定口令验证服务器：

password server = DOMPDC DOMBDC1 DOMBDC2

Samba在进行用户验证时，会依次使用这些主域和备份域控制器，所以如果要分散验证任务器的负载，可以根据需要改变这个列表的次序。

或者，用如下设置，这样smbd会在进行验证时自动检测域控制器：

password server = *

注：其实，在Samba 2.0.6中就已经有了这种同NT一样的工作机制。它使用广播或查询WINS数据库的方式来查找进行验证的域控制器。

最后，请重启Samba后台进程，客户就可以使用域安全级了。


--------------------------------------------------------------------------------

5.2. Samba和Windows 2000域
很多人一直关心Samba与Windows 2000域的工作情况。现在，在混合模式或本地模式的Windows 2000域中，Samba 2.2已经可以作为其中的成员服务器了。

在上述的两种模式之间有很多令人混淆的地方。只有Windows NT备份域控制必须要处于相同域中时，才需要让Win2k域控制器以“混合模式”来运行。而缺省情况下，处于“本地”模式的Win2k域控制器仍支持常规客户端的NetBIOS和NTLMv1验证协议，这些客户端是：Windows 9x和NT 4.0。而Samba服务器的工作方式与Windows NT 4.0成员服务器类似。

把Samba 2.2添加到Win2k域的步骤与向Windows NT 4.0域中添加Samba服务器几乎是相同的。只是，NT 4的“服务器管理器”现在被换成了Win2k的“活动目录用户及计算机”。


--------------------------------------------------------------------------------

5.3. 为什么比security = server选项更好？
现在，要使用Samba的域安全级，还是需要建立本地UNIX用户账号来代表连接服务器的那些域用户。也就是说，如果域用户DOM\fred 要连到你的域安全级Samba服务器，则在UNIX系统上需要一个本地账号fred来与之对应。这和以前的security = server安全模式很相似，在那种旧模式中，Samba服务器使用与Windows 95或Windows 98相同的方法把验证请求发往NT服务器。

Winbind paper中提到了关于为Windows NT域用户自动分配UNIX的uid和gid的内容。这种功能现在只有开发分支中才有，不过不久就会加入到发布版中的。

Samba服务