invis-Server Upgrade von Version 14.1 auf 14.2

Der wichtige Hinweis vorweg: invis-Server Version 14.2 ist sowohl unter openSUSE Leap 15.1 als auch 15.2 lauffähig. Eingeschränkt wird dies allerding dadurch, dass es noch keine offiziellen Kopano Pakete für Leap 15.2 gibt. D.h. wer eine subskribierte Kopano-Version nutzt, kann zwar auf 14.2 upgraden, muss aber bei Leap 15.1 bleiben. D.h. Das Distributions-Upgrade muss zunächst ausgelassen werden.

Sichern Sie alle Datenbanken des Servers. Sie können dafür die Tools des invis-Servers nutzen:

Kopano

Führen Sie hier beide Sicherungswege durch:

invis:~ # kdbdump
...
invis:~ # kbackup

Weitere Datenbanken

invis:~ # alldump

Dokuwiki

invis:~ # dwdatasnapshot

Da mit der neuen auf MIT-Kerberos basierenden Samba-Version 4.7. die im Laufe des Upgrades installiert wird, werden überarbeitete AppArmor Profile notwendig. Um negative Effekte auf das Upgrade durch mögliche AppArmor-Blockaden vorzubereiten wird AppArmor vor dem Upgrade deaktiviert.

invis:~ # systemctl stop apparmor.service
...
invis:~ # systemctl disable apparmor.service

Im späteren Verlauf des Upgrades wird AppArmor mit neuen Profilen wieder aktiviert.

Auch der Email-Abruf sollte vor dem Upgrade deaktiviert werden:

invis:~ # systemctl stop fetchmail.service
invis:~ # systemctl disable fetchmail.service

Auch der Samba Domain-Controller wird abgeschaltet.

invis:~ # systemctl stop samba-ad-dc.service

Sichern Sie jetzt noch das ActiveDirectory:

ActiveDirectory

invis:~ # adbackup

Spielen sie zunächst anstehende Sicherheits-Updates für openSUSE Leap ein:

invis:~ # zypper ref
...
invis:~ # you
...

Aktualisieren Sie anschließend entscheidende Software des Servers. Allem voran Kopano und ownCloud. Gehen Sie entsprechend der Anleitungen hier im Wiki vor.

Beginnend mit Samba-Version 4.13 stellen wir für jede von uns erfolgreich getestete Samba-Version ein eigenes Sub-Repository im Stable-Zweig unserer openSUSE-Build-Server Repositiries zur Verfügung. Dies verhindert versehentliche Upgrades und ermöglicht das Upgraden von Samba weitgehend unabhängig vom Rest des invis-Servers.

D.h. vor dem Upgrade muss das Samba-Repository ausgetauscht werden. Ermitteln Sie zunächst die Nummer des vorhandenen Samba-Repositories:

invis:~ # zypper repos |grep samba
17 | spins_invis_15_stable_samba | Samba 4.10 with Heimdal Kerberos (openSUSE_Leap_15.1)                                    | Ja        | (r ) Ja         | Ja

Dieses Repository, im Beispiel Repository Nummer 17, muss zunächst entfernt werden:

invis:~ # zypper rr 17

Fügen Sie jetzt das aktuelle Repository hinzu:

invis:~ # zypper ar https://download.opensuse.org/repositories/spins:/invis:/15:/stable:/samba:/413/openSUSE_Leap_15.1/spins:invis:15:stable:samba:413.repo
invis:~ # zypper ref

Überprüfen Sie jetzt erneut die Nummer des Samba-Repositories, gut möglich, dass das neue Repository eine andere Nummer trägt:

invis:~ # zypper repos |grep samba
16 | spins_invis_15_stable_samba_413 | Stable Samba Packages with Heimdal Kerberos V. 4.13 (openSUSE_Leap_15.1)

Jetzt können Sie die Samba Pakete upgraden:

invis:~ # zypper dup --from 16 --allow-vendor-change

Danach kann der Samba-Domain-Controller wieder gestartet werden:

invis:~ # systemctl start samba-ad-dc.service

Vermutlich wird der Samba-Domain-Controller nicht starten. Das liegt daran, dass die Pakete einen neueren Kernel erwarten als openSUSE 15.1 liefert. D.h.: Jetzt ist zunächst das Distributions-Upgrade durchzuführen. Das läuft nach bekanntem Schema ab:

Vor dem eigentlichen Upgrade ist das ownCloud-Repository auszutauschen:

Zunächst ist das vorhandene Repository zu löschen:

invis:~ # zypper repos |grep -i owncloud
 1 | ce_10.2 | Owncloud Server 10.2 (openSUSE_Leap_15.1) | Ja  | ( p) Ja  | Nein
invis:~ # zypper rr 1

Jetzt muss die neue Repository-Datei „owncloud.repo“ in

/etc/zypp/repos.d/

angelegt werden:

[isv_ownCloud_server_10]
name=Latest 10.x packages (openSUSE_Leap_15.2)
type=rpm-md
baseurl=https://download.opensuse.org/repositories/isv:/ownCloud:/server:/10/openSUSE_Leap_15.2/
gpgcheck=1
gpgkey=https://download.opensuse.org/repositories/isv:/ownCloud:/server:/10/openSUSE_Leap_15.2/repodata/repomd.xml.key
enabled=1

Jetzt kann das Distributions-Upgrade durchgeführt werden.

invis:~ # sed -i 's/15\.1/15\.2/g' /etc/zypp/repos.d/*
invis:~ # zypper ref
invis:~ # zypper dup

Nach dem obligatorischen Reboot sollte auch Samba wieder laufen. Testen Sie einfach mit:

invis:~ # systemctl status samba-ad-dc.service

Danach prüfen Sie, ob das Active-Directory wieder zur Verfügung steht. Am einfachsten geht das indem die vorhandenen Benutzer und Gruppen abgefragt werden:

invis:~ # wbinfo -u
141-NET\administrator
141-NET\guest
141-NET\krbtgt
141-NET\dns-invis
141-NET\ldap.admin
141-NET\junk
141-NET\postmaster
141-NET\heinzb
....
invis:~ # wbinfo -g
141-NET\cert publishers
141-NET\ras and ias servers
141-NET\allowed rodc password replication group
141-NET\denied rodc password replication group
141-NET\dnsadmins
141-NET\enterprise read-only domain controllers
141-NET\domain admins
141-NET\domain users
141-NET\domain guests
141-NET\domain computers
141-NET\domain controllers
...

Liefern beide Kommandos brauchbare Ergebnisse sieht das Upgrade schon mal gut aus. Jetzt muss der sssd-Dienst neu gestartet werden:

invis:~ # systemctl restart sssd.service

In unseren Tests hat der Neustart zwar problemlos funktioniert, allerdings weigerte sich der sssd beharrlich Benutzer und Gruppen aus dem AD abzufragen. Getestet wird dies mit:

invis:~ # getent passwd

Liefert dieses Kommando auch nach einer Weile lediglich die Benutzer aus „/etc/passwd“ ist ein Neustart des Servers erforderlich. Danach hat in unseren Tests alles funktioniert. „Reboot tut gut“ gilt nicht nur unter Windows.

Funktioniert alles soweit, kann gleich auf openSUSE leap 15.3 aktualisiert werden.

invis:~ # sed -i 's/15\.2/15\.3/g' /etc/zypp/repos.d/*
invis:~ # zypper ref
invis:~ # zypper dup

Während des Upgrades ist es bei Tests zu Problemen beim Upgrade des Virtualbox-Kernel-Moduls gekommen.

(1253/1736) virtualbox-kmp-default-6.1.14_k5.3.18_lp152.41-lp152.2.5.1.x86_64  wird entfernt ..................................[fertig]
(1254/1736) Installieren: virtualbox-kmp-default-6.1.30_k5.3.18_59.34-lp153.2.15.1.x86_64 .....................................[Fehler]
Installation von virtualbox-kmp-default-6.1.30_k5.3.18_59.34-lp153.2.15.1.x86_64 fehlgeschlagen:
Fehler: Subprocess failed. Error: RPM fehlgeschlagen: /var/tmp/rpm-tmp.oriK1l: line 1: /usr/lib/module-init-tools/kernel-scriptlets/kmp-pre: No such file or directory
error: %prein(virtualbox-kmp-default-6.1.30_k5.3.18_59.34-lp153.2.15.1.x86_64) scriptlet failed, exit status 127
error: virtualbox-kmp-default-6.1.30_k5.3.18_59.34-lp153.2.15.1.x86_64: install failed

Abbrechen, wiederholen, ignorieren? [a/w/i] (a): w
(1254/1736) Installieren: virtualbox-kmp-default-6.1.30_k5.3.18_59.34-lp153.2.15.1.x86_64 .....................................[Fehler]
Installation von virtualbox-kmp-default-6.1.30_k5.3.18_59.34-lp153.2.15.1.x86_64 fehlgeschlagen:
Fehler: Subprocess failed. Error: RPM fehlgeschlagen: /var/tmp/rpm-tmp.XGQQgs: line 1: /usr/lib/module-init-tools/kernel-scriptlets/kmp-pre: No such file or directory
error: %prein(virtualbox-kmp-default-6.1.30_k5.3.18_59.34-lp153.2.15.1.x86_64) scriptlet failed, exit status 127
error: virtualbox-kmp-default-6.1.30_k5.3.18_59.34-lp153.2.15.1.x86_64: install failed

Abbrechen, wiederholen, ignorieren? [a/w/i] (a): i
(1255/1736) kernel-preempt-5.3.18-lp152.106.1.x86_64  wird entfernt ...........................................................[Fehler]
Entfernen von (95424)kernel-preempt-5.3.18-lp152.106.1.x86_64(@System) fehlgeschlagen:
Fehler: Subprocess failed. Error: RPM fehlgeschlagen: /var/tmp/rpm-tmp.jupqM9: line 1: /usr/lib/module-init-tools/kernel-scriptlets/rpm-preun: No such file or directory
error: %preun(kernel-preempt-5.3.18-lp152.106.1.x86_64) scriptlet failed, exit status 127
error: kernel-preempt-5.3.18-lp152.106.1.x86_64: erase failed

Wählen Sie zunächst jeweils die Option i für ignorieren.

Im Anschluss an das Upgrade und den erforderlichen Neustart lassen sich die fehlenden Pakete „virtualbox-kmp-default“ und „virtualbox-kmp-preempt“ einfach nachinstallieren:

invis:~ # zypper in virtualbox-kmp-default virtualbox-kmp-preempt