Samba Active Directory in einen neu installierten invis-Server migrieren
Oft, gerade wenn die Versionen weit auseinander liegen ist es einfacher einen invis-Server neu zu installieren und anschließend alle Daten inkl. AD zu migrieren, als eine alte Installation upzugraden.
Bedeutet, für die nachfolgende Beschreibung ist eine neue saubere invis-Server Installation auf neue Festplatten Voraussetzung. Die Netzwerkeinstellungen der Neuinstallation müssen hinsichtlich Hostnamen und IP-Adressen mit denen der alten Installation exakt übereinstimmen.
AD auf beiden Seiten sichern
Sichern Sie zunächst in der neuen Installation das noch jungfräuliche AD einfach vorsichtshalber mal weg. Ein entsprechendes Script liefert der invis-Server mit:
invis:~ # adbackup
Die Sicherung erfolgt nach
/srv/shares/archiv/sicherungen/vollsicherungen/ad/datumdersicherung
und trägt das Datum der Sicherung im Namen.
Bevor Sie jetzt das AD des alten Servers für dessen Migration sichern müssen Sie sich darüber im klaren sein, dass nach der Sicherung keine Änderungen mehr am alten AD vorgenommen werden dürfen. Das schließt Passwortänderungen von Maschinenkonten mit ein. Letzteres bedeutet, dass ab Beginn der Migration alle Client-PCs der alten Domäne herunter gefahren sein müssen.
Würde ein PC sein Maschinenkontenpasswort nach der Sicherung des ADs zur Migration ändern, hätte er im neuen AD nach der Migration seine Vertrauensstellung verloren. Die Änderung der Maschinenkontenkennwörter erfolgt unbemerkt im Hintergrund.
Um ganz sicher zu gehen, sollte einfach der Samba-Dienst abgeschaltet werden. Je nach Version geht das so:
invis-alt:~ # systemctl stop samba-ad-dc.service
oder so:
invis-alt:~ # systemctl stop samba.service
Danach kann das AD auf die gleiche Weise gesichert werden, wie zuvor gezeigt:
invis-alt:~ # adbackup
Sicherung auf neue Installation übertragen
Im Nachgang kann das Sicherungsarchiv auf die neue Installation übertragenwerden. Am einfachsten geht das per SCP von der neuen Installation aus:
invis:~ # scp -P 12345 root@alterserver.domain.tld:/srv/shares/archiv/sicherungen/vollsicherungen/ad/20240704/Samba_20240704-233001.tar.gz .
Gleiches gilt für die zugehörige Kerberos-Keytab Datei:
invis:~ # scp -P 12345 root@alterserver.domain.tld:/srv/shares/archiv/sicherungen/vollsicherungen/ad/20240704/krb5.keytab-20240704-233001 .