Erfahrungen Migration DC von Samba3 auf Samba4

erikro
Goto Top
Moin,

kurze Frage: Hat jemand Erfahrung damit? Ich selbst habe das noch nie gemacht. Der Dienstleister, den wir damit beauftragen wollten, hat m. E. eine Menge Unsinn erzählt. Ich habe viele verschiedene Anleitungen gefunden, die alle mehr oder weniger identisch sind mit dieser hier: https://wiki.samba.org/index.php/Migrating_a_Samba_NT4_Domain_to_Samba_A ... (https://tinyurl.com/zbmwqes) weil die letzte Klammer weggeschnitten wird). Wie gut/schlecht klappt das. Theoretisch steht da, dass sich die user hinterher einfach so anmelden können und auch die clients nicht angefasst werden müssen. Stimmt das? Gefragt sind echte Erfahrungswerte und ob und welche Fallstricke es gibt.

Liebe Grüße

Erik

Content-Key: 395599

Url: https://administrator.de/contentid/395599

Ausgedruckt am: 14.08.2022 um 03:08 Uhr

Mitglied: ashnod
ashnod 13.12.2018 um 14:42:38 Uhr
Goto Top
Ahoi ..

Zitat von @erikro:
kurze Frage: Hat jemand Erfahrung damit? Ich selbst habe das noch nie gemacht. Der Dienstleister, den wir damit beauftragen wollten, hat m. E. eine Menge Unsinn erzählt. Ich habe viele verschiedene Anleitungen gefunden, die alle mehr oder weniger identisch sind mit dieser hier: https://wiki.samba.org/index.php/Migrating_a_Samba_NT4_Domain_to_Samba_A ... (https://tinyurl.com/zbmwqes) weil die letzte Klammer weggeschnitten wird). Wie gut/schlecht klappt das. Theoretisch steht da, dass sich die user hinterher einfach so anmelden können und auch die clients nicht angefasst werden müssen. Stimmt das? Gefragt sind echte Erfahrungswerte und ob und welche Fallstricke es gibt.

Probiere das auf jeden Fall zunächst in einer Testumgebung.
Fakt ist, du hast weniger Probleme mit den sid's also den Domänen-Accounts, das bedeutet aber nicht das es keine anderen Probleme gibt.
Fallstricke gibt es deutlich zu viele um das in einer produktiven Umgebung ad hoc zu lösen.

VG
Mitglied: erikro
erikro 13.12.2018 um 16:34:43 Uhr
Goto Top
Moin,

Zitat von @ashnod:
Probiere das auf jeden Fall zunächst in einer Testumgebung.

Das ist klar. Nächste Woche werden die neuen DCs erstmal als Testrechner missbraucht.

Fakt ist, du hast weniger Probleme mit den sid's also den Domänen-Accounts, das bedeutet aber nicht das es keine anderen Probleme gibt.
Fallstricke gibt es deutlich zu viele um das in einer produktiven Umgebung ad hoc zu lösen.

Die würden mich eben interessieren. Was ich schon gelesen habe, dass es wohl Probleme mit den alten ACLs geben soll.

Liebe Grüße

Erik
Mitglied: ashnod
ashnod 13.12.2018 um 19:09:42 Uhr
Goto Top
Zitat von @erikro:
Die würden mich eben interessieren. Was ich schon gelesen habe, dass es wohl Probleme mit den alten ACLs geben soll.

Ich wünsche dir mal Glück das sich noch jemand findet der das regelmäßiger macht ... aus meiner "Schon mal gemacht in kleiner Umgebung-Erfarung" kann ich nicht vollständig alles innerhalb eines Threads abkären. An einer großeren Umgebung hätte ich mich gar nicht erst versucht!

Ich fand das ziemlich qualvoll und würde vermutlich eher mit Samba4 neustarten und die Konten später wieder einpflegen.

Vor allem den integrierten LDAP nutzen - mit nem anderen LDAP stören die Schemen die dann u.U. nicht passen.
Der smb-Dienst der nicht startet weil die Konfig nicht passt ... keine Ahnung wo ich da anfangen oder aufhören soll.

Ich würde es mal mit PITA beschreiben.

Sorry, aber weitgehender bin ich da raus ... deshalb Testumgebung und schau das der Grund wenigstens passt. Spezis machen das bestimmt schnell, ich für meinen Teil würde eher mehrere Tage einplanen.

VG
Mitglied: falscher-sperrstatus
falscher-sperrstatus 13.12.2018 um 23:15:51 Uhr
Goto Top
Moin Erik,

Interessant wäre zu wissen, was! Der Dienstleister gesagt hat?

VG
Mitglied: erikro
erikro 14.12.2018 um 07:53:55 Uhr
Goto Top
Moin,

Zitat von @falscher-sperrstatus:
Interessant wäre zu wissen, was! Der Dienstleister gesagt hat?

Dass das alles gar nicht geht. Dass die Clients nicht migriert werden können. Dass die Profile alle in die Tonne fliegen. Das läge daran, dass die SID des PDC im Userprofil gespeichert wäre. Das wäre das gleiche Problem wie die Migration von 2012 R2 nach 2016. Da müsse man auch die Clients immer erstmal aus der Domain entfernen und wieder nach der Umstellung neu einbinden ... An der Stelle habe ich dann aufgehört zuzuhören und lieber gesurft. face-wink

Liebe Grüße

Erik
Mitglied: Floooh
Floooh 17.12.2018 aktualisiert um 14:34:07 Uhr
Goto Top
Moin,

wir/bzw. ich habe die ca. 10 Jahre alte Samba-Umgebung hier vor einigen Monaten umgestellt. Ich hatte auch vorher eine Testumgebung und habe im Rahmen meiner Tests sogar einige Windows-Nutzer in diese Testumgebung gezogen. Es ist also alles kein großes Problem, nur mit viel testen, recherchieren und vor allem einem Wochenende Arbeit (insofern du die Möglichkeit hast am Wochenende IT-Arbeiten durchzuführen und keiner das Netzwerk benötigt) verbunden.

Interessant zu wissen wäre noch, was du derzeit für einen Namensdienst verwendest? BIND9? Möchtest du nach der Umstellung weiterhin BIND9 oder das Samba-Internal-DNS nutzen?

Tricky wird es nur für Linux Clients im Bezug auf UID's und GID's. Damit hatten wir die größten Probleme. Habt ihr Linux-Clients die schreibend auf die Samba-Freigaben zugreifen?

Zu der Aussage der Dienstleister: natürlich werden Clients, Nutzer und Gruppen in deine neue Umgebung migriert. Ein Windows-Client ist nach einem simplen Neustart in der neuen Domäne und unter Linux muss man mit den "net ads join"-Befehl arbeiten. Alles im Samba-Wiki zu finden. Es gibt im Samba-Wiki auch ein Paar nützliche Skripte, die dir vor der Migration helfen. Zum Beispiel dürfen Gruppen nicht mehr den gleichen Namen haben wie Benutzer. Was stimmt ist, dass Windows-Clients aus der Samba4 Umgebung nicht mehr in die Samba3 Umgebung können (da Registry-Werte verändert werden). Das lässt sich allerdings mit Windows-Wiederherstellungspunkten prima lösen (für den Fall der Fälle ;) ).
Die Benutzerprofile (ihr verwendet aktuell im Samba3 noch RoamingProfile, richtig?) funktionieren nach der Umstellung noch genauso wie vorher. Allerdings würde ich euch empfehlen, über "FolderRedirection" nach zu denken. Ist eine coole Alternative zum doch sehr langsamen Profilabgleich.

Ihr habt jetzt etwas Zeitdruck wegen der neuen Windows Versionen oder? Ich meine gelesen zu haben, dass Samba3 bzw. das SMB1 Protokoll unter der neusten Windows 10 Version kein DomainJoin zulässt? Allein für die Nutzung von Gruppenrichtlinien wird sich der Umstieg allerdings lohnen!! ;)
Mitglied: erikro
erikro 17.12.2018 um 16:05:19 Uhr
Goto Top
Moin,

danke für die ausführliche Antwort.

Zitat von @Floooh:
wir/bzw. ich habe die ca. 10 Jahre alte Samba-Umgebung hier vor einigen Monaten umgestellt. Ich hatte auch vorher eine Testumgebung und habe im Rahmen meiner Tests sogar einige Windows-Nutzer in diese Testumgebung gezogen. Es ist also alles kein großes Problem, nur mit viel testen, recherchieren und vor allem einem Wochenende Arbeit (insofern du die Möglichkeit hast am Wochenende IT-Arbeiten durchzuführen und keiner das Netzwerk benötigt) verbunden.

Das war mir klar. Ich habe hier die neuen Server. Auf einem ist genug Kapazität vorhanden, um das Netz, das umgestellt werden soll, zu simulieren. Dass wir ein WE drangeben müssen, ist auch klar.

Interessant zu wissen wäre noch, was du derzeit für einen Namensdienst verwendest? BIND9? Möchtest du nach der Umstellung weiterhin BIND9 oder das Samba-Internal-DNS nutzen?

Zur Zeit ist das BIND9. Gibt es einen Grund, das zu ändern?

Tricky wird es nur für Linux Clients im Bezug auf UID's und GID's. Damit hatten wir die größten Probleme. Habt ihr Linux-Clients die schreibend auf die Samba-Freigaben zugreifen?

Haben wir nicht.

Zu der Aussage der Dienstleister: natürlich werden Clients, Nutzer und Gruppen in deine neue Umgebung migriert. Ein Windows-Client ist nach einem simplen Neustart in der neuen Domäne und unter Linux muss man mit den "net ads join"-Befehl arbeiten. Alles im Samba-Wiki zu finden. Es gibt im Samba-Wiki auch ein Paar nützliche Skripte, die dir vor der Migration helfen. Zum Beispiel dürfen Gruppen nicht mehr den gleichen Namen haben wie Benutzer. Was stimmt ist, dass Windows-Clients aus der Samba4 Umgebung nicht mehr in die Samba3 Umgebung können (da Registry-Werte verändert werden). Das lässt sich allerdings mit Windows-Wiederherstellungspunkten prima lösen (für den Fall der Fälle ;) ).

Das Wiki (und nicht nur das) habe ich mittlerweile drei- oder viermal gelesen. So, wie es da steht, scheint das ja kein wirkliches Problem zu sein. Namensgleichheit ist auf Grund der Namenskonvention ausgeschlossen. Aber das zu prüfen, kann ja nicht schaden. GUIs und SIDs habe ich schon auf Dubletten geprüft. Vor dem "da ist kein Rückweg" habe ich natürlich ein wenig Respekt. Der Fall der Fälle darf beim scharfen System nicht auftreten. face-wink Der Plan ist, dass wir am Tag X am Freitag nachmittags anfangen und die Kollegen Montag wieder arbeiten können.

Die Benutzerprofile (ihr verwendet aktuell im Samba3 noch RoamingProfile, richtig?) funktionieren nach der Umstellung noch genauso wie vorher. Allerdings würde ich euch empfehlen, über "FolderRedirection" nach zu denken. Ist eine coole Alternative zum doch sehr langsamen Profilabgleich.

Nein, die Profile werden (noch) lokal gespeichert.

Ihr habt jetzt etwas Zeitdruck wegen der neuen Windows Versionen oder? Ich meine gelesen zu haben, dass Samba3 bzw. das SMB1 Protokoll unter der neusten Windows 10 Version kein DomainJoin zulässt? Allein für die Nutzung von Gruppenrichtlinien wird sich der Umstieg allerdings lohnen!! ;)

Nein, Zeitdruck ist nicht wirklich hoch. Das System läuft wie Schmitts Katze. Das Problem ist eher der Datenschutz, da die Samba3-Domain nicht mehr wirklich sicher ist und wir mit besonders schützenswerten Daten arbeiten. Ansonsten gebe ich Dir recht. Allein schon die GPOs und die anderen Möglichkeiten der zentralen Verwaltung, die ein AD so bietet, ist für unsere Größe einfach nur gut.

Liebe Grüße

Erik
Mitglied: Floooh
Floooh 17.12.2018 aktualisiert um 17:02:22 Uhr
Goto Top
Das war mir klar. Ich habe hier die neuen Server. Auf einem ist genug Kapazität vorhanden, um das Netz, das umgestellt werden soll, zu simulieren. Dass wir ein WE drangeben müssen, ist auch klar.
Ich empfehle dir wirklich ein Image des aktuelles Systems zu machen und auf Basis von dem eine Migration durchzuführen, falls das nicht eh schon dein Plan war? Eventuell verstehe ich deine Antwort nur falsch.

Zur Zeit ist das BIND9. Gibt es einen Grund, das zu ändern?
Jaein, wir mussten es ändern, weil wir BIND9 FLATFILES verwendet haben. Wie im Wiki schon steht, funktioniert Samba4 damit nicht (Samba3 entsprechend schon...) https://wiki.samba.org/index.php/BIND9_FLATFILE_DNS_Back_End Der Einsatz von Flatfiles ist allerdings eine Seltenheit. Keine Ahnung warum das bei uns damals genommen wurde. Man findet auch kaum was dazu, ich habe lange suchen müssen, warum meine Migration (auf Basis von BIND9-FLAT) denn nicht funktionieren will... :D

Das Wiki (und nicht nur das) habe ich mittlerweile drei- oder viermal gelesen. So, wie es da steht, scheint das ja kein wirkliches Problem zu sein.
Das Wiki kann ich inzwischen auch aus dem Schlaf. Kann nicht schaden! ;) Der allerbeste Ratgeber bei Problemen ist aber immer noch die Samba Mailing List. Dort kriegst du sehr schnell (innerhalb weniger Stunden) Antworten. Teils sogar von den Entwicklern. Da die Migration kein Hexenwerk ist und die dort schon viel Erfahrung damit haben, wirst du auch immer Hilfe erhalten! ;)
https://www.samba.org/samba/archives.html

Der Plan ist, dass wir am Tag X am Freitag nachmittags anfangen und die Kollegen Montag wieder arbeiten können.
So lief das bei uns auch. Zwar gab es wie gesagt ein paar Probleme beim ID-Mapping unter Linux, aber bis Montag konnten wir das lösen und alle wieder arbeiten.

Nein, die Profile werden (noch) lokal gespeichert.
Dann wüsste ich nicht was euch dort um die Ohren fliegen soll. Das wird alles von Windows selbst geregelt \../

Nein, Zeitdruck ist nicht wirklich hoch. Das System läuft wie Schmitts Katze. Das Problem ist eher der Datenschutz, da die Samba3-Domain nicht mehr wirklich sicher ist und wir mit besonders schützenswerten Daten arbeiten. Ansonsten gebe ich Dir recht. Allein schon die GPOs und die anderen Möglichkeiten der zentralen Verwaltung, die ein AD so bietet, ist für unsere Größe einfach nur gut.

Ja GPO's sind eine tolle Sache. Ich kam durch die Samba-Umstellung auch erstmals damit in Berührung.
Rein aus Interesse, welche Windows 10 Version nutzt ihr denn? Schon 1803/1809?
Vielleicht haben sie den Bug inzwischen auch mal gelöst.. :D https://www.borncity.com/blog/2018/08/08/windows-10-v1803-domain-join-bu ...
Mitglied: erikro
erikro 18.12.2018 um 08:37:36 Uhr
Goto Top
Moin,

Zitat von @Floooh:

Das war mir klar. Ich habe hier die neuen Server. Auf einem ist genug Kapazität vorhanden, um das Netz, das umgestellt werden soll, zu simulieren. Dass wir ein WE drangeben müssen, ist auch klar.
Ich empfehle dir wirklich ein Image des aktuelles Systems zu machen und auf Basis von dem eine Migration durchzuführen, falls das nicht eh schon dein Plan war? Eventuell verstehe ich deine Antwort nur falsch.

Der Plan ist bisher, die Mirgration auf einem neuen Server durchzuführen. Die bisherige Gurke ist in die Jahre gekommen und soll weg bzw. andere Aufgaben übernehmen, die nicht so performancefressend sind.

Zur Zeit ist das BIND9. Gibt es einen Grund, das zu ändern?
Jaein, wir mussten es ändern, weil wir BIND9 FLATFILES verwendet haben. Wie im Wiki schon steht, funktioniert Samba4 damit nicht (Samba3 entsprechend schon...) https://wiki.samba.org/index.php/BIND9_FLATFILE_DNS_Back_End Der Einsatz von Flatfiles ist allerdings eine Seltenheit. Keine Ahnung warum das bei uns damals genommen wurde. Man findet auch kaum was dazu, ich habe lange suchen müssen, warum meine Migration (auf Basis von BIND9-FLAT) denn nicht funktionieren will... :D

Flatfiles nehmen wir nicht. Gibt es denn einen Vorteil beim Samba-DNS gegenüber BIND?


Das Wiki (und nicht nur das) habe ich mittlerweile drei- oder viermal gelesen. So, wie es da steht, scheint das ja kein wirkliches Problem zu sein.
Das Wiki kann ich inzwischen auch aus dem Schlaf. Kann nicht schaden! ;) Der allerbeste Ratgeber bei Problemen ist aber immer noch die Samba Mailing List. Dort kriegst du sehr schnell (innerhalb weniger Stunden) Antworten. Teils sogar von den Entwicklern. Da die Migration kein Hexenwerk ist und die dort schon viel Erfahrung damit haben, wirst du auch immer Hilfe erhalten! ;)
https://www.samba.org/samba/archives.html

Das merke ich mir. Danke für den Link.

Nein, die Profile werden (noch) lokal gespeichert.
Dann wüsste ich nicht was euch dort um die Ohren fliegen soll. Das wird alles von Windows selbst geregelt \../

Deshalb habe ich an der Stelle auch aufgehört, dem "Kollgen" zuzuhören. Das klang alles sehr schräg.

Nein, Zeitdruck ist nicht wirklich hoch. Das System läuft wie Schmitts Katze. Das Problem ist eher der Datenschutz, da die Samba3-Domain nicht mehr wirklich sicher ist und wir mit besonders schützenswerten Daten arbeiten. Ansonsten gebe ich Dir recht. Allein schon die GPOs und die anderen Möglichkeiten der zentralen Verwaltung, die ein AD so bietet, ist für unsere Größe einfach nur gut.

Ja GPO's sind eine tolle Sache. Ich kam durch die Samba-Umstellung auch erstmals damit in Berührung.
Rein aus Interesse, welche Windows 10 Version nutzt ihr denn? Schon 1803/1809?
Vielleicht haben sie den Bug inzwischen auch mal gelöst.. :D https://www.borncity.com/blog/2018/08/08/windows-10-v1803-domain-join-bu ...

GPOs atme ich. face-wink Das mache ich schon sehr lange und habe das auch jahrelang unterrichtet. Man kann damit so viel Gutes für die User (und damit sich selbst) tun. ;-

Ich wusste bisher von dem Bug nichts. Wir haben einige Windows10-Rechner im Netz. Alle auf dem aktuellen Stand (also 1803). Wir hatten bisher keinerlei Probleme, die in die Domain aufzunehmen. Allerdings muss man da ein wenig die Registry manipulieren, damit die alte NT-Domain überhaupt akzeptiert wird. Aber das war auch schon unter Windows 7 so.

Liebe Grüße

Erik
Mitglied: Floooh
Floooh 18.12.2018 um 09:20:44 Uhr
Goto Top
Zitat von @erikro:
Zur Zeit ist das BIND9. Gibt es einen Grund, das zu ändern?
Jaein, wir mussten es ändern, weil wir BIND9 FLATFILES verwendet haben. Wie im Wiki schon steht, funktioniert Samba4 damit nicht (Samba3 entsprechend schon...) https://wiki.samba.org/index.php/BIND9_FLATFILE_DNS_Back_End Der Einsatz von Flatfiles ist allerdings eine Seltenheit. Keine Ahnung warum das bei uns damals genommen wurde. Man findet auch kaum was dazu, ich habe lange suchen müssen, warum meine Migration (auf Basis von BIND9-FLAT) denn nicht funktionieren will... :D

Flatfiles nehmen wir nicht. Gibt es denn einen Vorteil beim Samba-DNS gegenüber BIND?
Nicht das ich wüsste. Ich finde es deutlich einfacher. Kommt aber natürlich darauf an, was du machen möchtest. Für die "DNS-Basics" reicht ein Samba-DNS aus. Der "DNS-Manager" (Windows RSAT) sollte mit Bind aber auch funktionieren.
Mitglied: erikro
erikro 18.12.2018 um 10:02:00 Uhr
Goto Top
Zitat von @Floooh:

Zitat von @erikro:
Zur Zeit ist das BIND9. Gibt es einen Grund, das zu ändern?
Jaein, wir mussten es ändern, weil wir BIND9 FLATFILES verwendet haben. Wie im Wiki schon steht, funktioniert Samba4 damit nicht (Samba3 entsprechend schon...) https://wiki.samba.org/index.php/BIND9_FLATFILE_DNS_Back_End Der Einsatz von Flatfiles ist allerdings eine Seltenheit. Keine Ahnung warum das bei uns damals genommen wurde. Man findet auch kaum was dazu, ich habe lange suchen müssen, warum meine Migration (auf Basis von BIND9-FLAT) denn nicht funktionieren will... :D

Flatfiles nehmen wir nicht. Gibt es denn einen Vorteil beim Samba-DNS gegenüber BIND?
Nicht das ich wüsste. Ich finde es deutlich einfacher. Kommt aber natürlich darauf an, was du machen möchtest. Für die "DNS-Basics" reicht ein Samba-DNS aus. Der "DNS-Manager" (Windows RSAT) sollte mit Bind aber auch funktionieren.

Ich würde unseren alten DNS halt gerne behalten. Die Einstellungen sind nicht gerade banal, da wir hier verschiedenen DMZs haben mit verschiedenen auch von außen erreichbare Servern. Das alles neu zu machen, habe ich eigentlich keine Lust. face-wink

Liebe Grüße

Erik
Mitglied: falscher-sperrstatus
falscher-sperrstatus 18.12.2018 um 10:19:26 Uhr
Goto Top
Manchmal kommt man daran aber nicht vorbei. Abgesehen davon solltest du dir dann überlegen, wie du einen automatisierten Ex und Import realisieren kannst.

Viele Grüße,

Christian
certifiedit.net
Mitglied: ashnod
ashnod 18.12.2018 um 14:16:05 Uhr
Goto Top
Ahoi ...


Zitat von @erikro:
Ich würde unseren alten DNS halt gerne behalten. Die Einstellungen sind nicht gerade banal, da wir hier verschiedenen DMZs haben mit verschiedenen auch von außen erreichbare Servern. Das alles neu zu machen, habe ich eigentlich keine Lust. face-wink


Zu deiner Konfig hast du ja bisher nicht allzuviel von dir gegeben ....

Mit Samba/LDAP/Bind/ggf. DHCP in alter Manier, in welcher Konfig auch immer, auf Samba 4 mit integrierten DNS/LDAP ist halt alles möglich oder auch nicht.

Die Konfigurationsmöglichkeiten sind so vielfältig das eigentlich keine zuverlässige Aussage möglich ist.

wie auch immer ... du wirst nicht darum herumkommen das ganze zu probieren .... Ich sehe überwiegend LDAP als Hauptproblem .. wenn du zuvor keinen LDAP genutzt hast, geht es nur vermeintlich besser ......

VG