0
Upgrade eines Samba 4.9.1 AD DC (Buster) auf Samba 4.21.xx (Bookworm)
Hallo zusammen,
Hier erstmal die Kurzfassung:
Ich habe einen alten Samba 4.9.1 AD DC, der auf einem Raspberry PI 3B+ mit Debian 10 (Buster) auf einer HDD läuft. Er tut seit seinen Job seit 2019 problemlos, (meist) als einziger DC. Alles ist rein für den privaten Gebrauch nur im Heimnetz.
Was ist der beste Weg diesen Server auf die aktuelle Samba Version auf dem aktuellen Raspberry PI OS (Debian 12 Bookworm) zu upgraden? Samba 4.9.1 ist das Maximum für Buster. Darüber hinaus soll der DC auch eine neue Hardware (PI4 8GB) bekommen.
Nun mehr Details und Historie:
Der oben genannte DC lief bis letztes Jahr allein als DC im Netz, bis der erste Win11 Rechner ins Netz sollte. Da Win11 mit dem 22H2 Update keine unverschlüsselt Authentifizierung mehr zuließ, habe ich einen weiten DC ins Netz genommen mit Samba 4.17.12 auf Bookworm auf einem PI4 4GB. Damit konnte ich mich mit dem Win11 Rechner in der Domäne anmelden, aber halt nur, wenn er die Anfrage an den zweiten DC schickte. Dieses Problem gab es aber nur, wenn das Passwort geändert wurde, sonst griff er auf die lokale Authentifizierung zu. War also auszuhalten.
Eigentlich wollte ich dem zweiten Server eine SSD spendieren, aber wenn es läuft verliert man die Dinge aus den Augen und so war nach ca. 10 Monaten die SD Karte platt, weil ich zu blöd und zu faul war, die Installation von der SD auf eine SSD zu verschieben.
Das hieß "nichts geht mehr" und ich musste den "neuen" DC vom "alten" Server aus offline demoten (samba-tool domain demote --remove-other-dead-server=DC2).
In der Folge habe ich mehrfach einen "neuen" zweiten DC versucht in die AD zu joinen, wobei mir leider immer wieder Fehler unterlaufen sind, unteranderem im nmcli vergessen die IP auf statisch zu setzen oder vergessen beim join bind9 mit einzubinden (--dns-backend=BIND9_DLZ) was mir die Replikation zerschossen hat, so dass ich alle versuchten Joins auch nur auf die kalte/offline Methode demoten konnte (--remove-other-dead-server=xxx). Online war nicht möglich wegen Replikationsfehlern.
Nun läuft der zweite DC und hat alle FMSO Rollen übernommen. Auch die Replikation scheint in beide Richtungen zu funktionieren (samba-tool drs showrepl DCx).
Ich möchte jetzt den "alten" DC auf Samba 4.21.xx bringen, zum einen damit bei den Passwortänderungen das Anmelderoulette für Windows 11 Rechner wegfällt. Und zum anderen ist die Samba 4.9.1 Version als AD DC großen Teils "handgestrickt" und soll eine Standardinstallation bekommen.
Dadurch, dass der alte DC auch ein Hardwareupgrade bekommen soll, wäre es auch möglich einen weiteren DC parallel aufsetzen und ihn auszutauschen wenn es dafür einen Prozess gibt.
Wie gesagt, wie gehe ich am besten vor, um den alten DC (jetzt DC1) upzugraden ohne die Domäne neu aufsetzen, bzw auch ohne sie (längerfristig) außer Betrieb nehmen zu müssen? Und weiter, wie kann ich prüfen, ob die Domäne noch konsistent/gesund ist und keine Macken davon getragen hat, nach dem ganzem hin und her, das ich da fabriziert habe?
Für Hinweise, Erfahrungen und Empfehlungen wäre ich sehr dankbar.
Viele Grüße
Heiko
Hier erstmal die Kurzfassung:
Ich habe einen alten Samba 4.9.1 AD DC, der auf einem Raspberry PI 3B+ mit Debian 10 (Buster) auf einer HDD läuft. Er tut seit seinen Job seit 2019 problemlos, (meist) als einziger DC. Alles ist rein für den privaten Gebrauch nur im Heimnetz.
Was ist der beste Weg diesen Server auf die aktuelle Samba Version auf dem aktuellen Raspberry PI OS (Debian 12 Bookworm) zu upgraden? Samba 4.9.1 ist das Maximum für Buster. Darüber hinaus soll der DC auch eine neue Hardware (PI4 8GB) bekommen.
Nun mehr Details und Historie:
Der oben genannte DC lief bis letztes Jahr allein als DC im Netz, bis der erste Win11 Rechner ins Netz sollte. Da Win11 mit dem 22H2 Update keine unverschlüsselt Authentifizierung mehr zuließ, habe ich einen weiten DC ins Netz genommen mit Samba 4.17.12 auf Bookworm auf einem PI4 4GB. Damit konnte ich mich mit dem Win11 Rechner in der Domäne anmelden, aber halt nur, wenn er die Anfrage an den zweiten DC schickte. Dieses Problem gab es aber nur, wenn das Passwort geändert wurde, sonst griff er auf die lokale Authentifizierung zu. War also auszuhalten.
Eigentlich wollte ich dem zweiten Server eine SSD spendieren, aber wenn es läuft verliert man die Dinge aus den Augen und so war nach ca. 10 Monaten die SD Karte platt, weil ich zu blöd und zu faul war, die Installation von der SD auf eine SSD zu verschieben.
Das hieß "nichts geht mehr" und ich musste den "neuen" DC vom "alten" Server aus offline demoten (samba-tool domain demote --remove-other-dead-server=DC2).
In der Folge habe ich mehrfach einen "neuen" zweiten DC versucht in die AD zu joinen, wobei mir leider immer wieder Fehler unterlaufen sind, unteranderem im nmcli vergessen die IP auf statisch zu setzen oder vergessen beim join bind9 mit einzubinden (--dns-backend=BIND9_DLZ) was mir die Replikation zerschossen hat, so dass ich alle versuchten Joins auch nur auf die kalte/offline Methode demoten konnte (--remove-other-dead-server=xxx). Online war nicht möglich wegen Replikationsfehlern.
Nun läuft der zweite DC und hat alle FMSO Rollen übernommen. Auch die Replikation scheint in beide Richtungen zu funktionieren (samba-tool drs showrepl DCx).
Ich möchte jetzt den "alten" DC auf Samba 4.21.xx bringen, zum einen damit bei den Passwortänderungen das Anmelderoulette für Windows 11 Rechner wegfällt. Und zum anderen ist die Samba 4.9.1 Version als AD DC großen Teils "handgestrickt" und soll eine Standardinstallation bekommen.
Dadurch, dass der alte DC auch ein Hardwareupgrade bekommen soll, wäre es auch möglich einen weiteren DC parallel aufsetzen und ihn auszutauschen wenn es dafür einen Prozess gibt.
Wie gesagt, wie gehe ich am besten vor, um den alten DC (jetzt DC1) upzugraden ohne die Domäne neu aufsetzen, bzw auch ohne sie (längerfristig) außer Betrieb nehmen zu müssen? Und weiter, wie kann ich prüfen, ob die Domäne noch konsistent/gesund ist und keine Macken davon getragen hat, nach dem ganzem hin und her, das ich da fabriziert habe?
Für Hinweise, Erfahrungen und Empfehlungen wäre ich sehr dankbar.
Viele Grüße
Heiko
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669638
Url: https://administrator.de/contentid/669638
Ausgedruckt am: 11.12.2024 um 23:12 Uhr
