Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
invis_server_wiki:upgrade:sernetsamba2ownsamba [2017/06/16 13:18] flacco [Installation der neuen Pakete] |
invis_server_wiki:upgrade:sernetsamba2ownsamba [2018/01/19 14:43] (aktuell) flacco [Upgrade von Samba 4.5.x auf 4.6.x] |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| ====== Sernet Samba Pakete ersetzen ====== | ====== Sernet Samba Pakete ersetzen ====== | ||
| - | //**Warnung:** Wir haben dieses Upgrade bereits mehrere Male erfolgreich durchgeführt. In einem der Fälle ist das Upgrade fehlgeschlagen. Die genaue Ursache konnten wir noch nicht ermitteln. Was nicht mehr funktionierte war das IDMapping zwischen UNIX UIDs/GIDs und den Windows SIDs. Der Fehler war so schwer, dass wird (da der Server virtualisiert war) auf einen vor dem Upgrade angelegten Snapshot der VM zurück springen mussten. \\ | + | //**Warnung:** Wir haben dieses Upgrade bereits mehrere Male erfolgreich durchgeführt. In einem der Fälle ist das Upgrade fehlgeschlagen. Die genaue Ursache konnten wir noch nicht ermitteln. Was nicht mehr funktionierte war das IDMapping zwischen UNIX UIDs/GIDs und den Windows SIDs. Der Fehler war so schwer, dass wir (da der Server virtualisiert war) auf einen vor dem Upgrade angelegten Snapshot der VM zurück springen mussten. \\ |
| Der wesentliche Unterschied dieses Falles zu allen anderen Fällen war die Tatsache, dass das betroffene AD mittels "classic-upgrade" aus einer klassischen Samba-Domäne aufgebaut wurde. Vermutlich ist dies auch die Ursache für den Fehlschlag. **Sichern Sie Sich vor dem Upgrade also auf jeden Fall einen Weg zurück!**// | Der wesentliche Unterschied dieses Falles zu allen anderen Fällen war die Tatsache, dass das betroffene AD mittels "classic-upgrade" aus einer klassischen Samba-Domäne aufgebaut wurde. Vermutlich ist dies auch die Ursache für den Fehlschlag. **Sichern Sie Sich vor dem Upgrade also auf jeden Fall einen Weg zurück!**// | ||
| + | |||
| + | //**Hinweis:** Die nachfolgend beschriebene Migration macht nur Sinn, wenn Ihr invis-Server mindestens unter openSUSE Leap 42.1 betrieben wird. Für ältere Installationen unter openSUSE 13.1, lesen Sie bitte die Upgrade-Beschreibung **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:upgrade:10.x-to-12.x|hier]]**.// | ||
| + | |||
| + | //**Hinweis:** Das offizielle Samba-Wiki widmet dem Thema Samba Upgrade umfangreiche Anleitungen, die Sie **[[https://wiki.samba.org/index.php/Updating_Samba|hier]]** finden.// | ||
| Mit der Entscheidung seitens der Sernet GmbH für deren Samba Pakete nur noch kostenpflichtige Maintenance anzubieten wurde es für uns als Open-Source-Projekt unmöglich dem zu folgen. Da die von openSUSE gelieferten Samba Pakete noch immer ohne Active-Directory geliefert werden, mussten wir eigene Pakete bauen. Es stehen zwei Repositories zur Verfügung: | Mit der Entscheidung seitens der Sernet GmbH für deren Samba Pakete nur noch kostenpflichtige Maintenance anzubieten wurde es für uns als Open-Source-Projekt unmöglich dem zu folgen. Da die von openSUSE gelieferten Samba Pakete noch immer ohne Active-Directory geliefert werden, mussten wir eigene Pakete bauen. Es stehen zwei Repositories zur Verfügung: | ||
| Zeile 10: | Zeile 14: | ||
| Die im Stable-Repository vorgehaltenen Pakete sind bereits im produktiven Einsatz. | Die im Stable-Repository vorgehaltenen Pakete sind bereits im produktiven Einsatz. | ||
| - | Fügen Sie zunächst das gewünschte Repository Ihrem System hinzu: | + | Entfernen Sie zunächst das Sernet-Repository. Ermitteln Sie die Nummer des Sernet-Repositories wie folgt: |
| + | |||
| + | <code> | ||
| + | invis:~ # zypper repos | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | Suchen Sie in der Ausgabe des Befehls die Zeile die das Sernet-Repository (sernet-samba-4.2) enthält und verwenden Sie deren Nummer im nachfolgenden Kommando: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # zypper rr nummer | ||
| + | </code> | ||
| + | |||
| + | |||
| + | Fügen Sie jetzt das gewünschte Repository Ihrem System hinzu: | ||
| <code> | <code> | ||
| Zeile 18: | Zeile 36: | ||
| Die entsprechende Repository-Datei finden Sie im Download-Bereich des Repositories. | Die entsprechende Repository-Datei finden Sie im Download-Bereich des Repositories. | ||
| - | Während des gesamten Upgrade-Vorgangs sollten alle Client-PCs im Netzwerk herunter gefahren sein. | + | Während des gesamten Upgrade-Vorgangs sollten alle Client-PCs im Netzwerk herunter gefahren sein. Starten Sie die Clients frühestens nach Abschluss der Tests wieder. |
| ===== Sichern des Active-Directories ===== | ===== Sichern des Active-Directories ===== | ||
| Zeile 38: | Zeile 56: | ||
| Bevor Sie starten, sollten Sie sich im Klaren sein, dass es keinen Weg zurück gibt. Die "noch" auf Ihrem Server installierten Pakete sind nicht mehr erhältlich, einmal deinstalliert muss das Upgrade erfolgen! | Bevor Sie starten, sollten Sie sich im Klaren sein, dass es keinen Weg zurück gibt. Die "noch" auf Ihrem Server installierten Pakete sind nicht mehr erhältlich, einmal deinstalliert muss das Upgrade erfolgen! | ||
| - | Stoppen Sie zunächst den Samba-Dienst: | + | Stoppen Sie zunächst den Samba-Dienst und den SSSD: |
| <code> | <code> | ||
| invis:~ # rcsernet-samba-ad stop | invis:~ # rcsernet-samba-ad stop | ||
| + | invis:~ # systemctl stop sssd stop | ||
| </code> | </code> | ||
| Zeile 88: | Zeile 107: | ||
| </code> | </code> | ||
| - | ===== Reparatur der AD-Strukturen ===== | + | ===== Reparatur der AD-Strukturen und Funktionstest ===== |
| Innherhalb des Active Directory hat sich durch die Aktualisierung der Version strukturell einiges geändert. Diese Teile werden jetzt von Samba als fehlerhaft angesehen und müssen repariert werden: | Innherhalb des Active Directory hat sich durch die Aktualisierung der Version strukturell einiges geändert. Diese Teile werden jetzt von Samba als fehlerhaft angesehen und müssen repariert werden: | ||
| Zeile 96: | Zeile 115: | ||
| </code> | </code> | ||
| + | Sollte der obige Reparaturlauf Probleme offen lassen und ggf. auch die Logon-Scripts nicht mehr korrekt funktionieren, gehen Sie nach folgender Anleitung im Samba-Wiki vor: | ||
| + | |||
| + | **[[https://wiki.samba.org/index.php/Updating_Samba#Fixing_Incorrect_Sysvol_and_Directory_ACLs | Sysvol und AD ACLs zurücksetzen]]** | ||
| + | |||
| + | Starten Sie jetzt Samba und den SSSD neu: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl start samba.service | ||
| + | invis:~ # systemctl start sssd.service | ||
| + | </code> | ||
| + | |||
| + | Prüfen Sie jetzt, ob Ihr System alle Benutzer und Gruppen korrekt anzeigt: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # getent passwd | ||
| + | invis:~ # getent group | ||
| + | </code> | ||
| + | |||
| + | Ist dies nicht der Fall, kann es hilfreich sein den Cache des sssd zu löschen. Hierfür hat der invis-Server ein eigenes Script im Gepäck: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # delssscache | ||
| + | </code> | ||
| + | |||
| + | Überprüfen Sie die Benutzer und Gruppen erneut wie oben gezeigt. Bleiben die Listen leer, kann das daran liegen, dass der SSSD seinen Cache noch nicht wieder aufgebaut hat. Versuchen sie testweise die Identität eines Benutzers anzunehmen: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # su - benutzername | ||
| + | </code> | ||
| + | |||
| + | Gelingt dies nicht, wird es Zeit die Logfiles des Samba Dienstes zu kontrollieren. Sie finden sie unter: <file>/var/log/samba</file> | ||
| + | |||
| + | Sollte alles wie erwartet funktionieren, ist es jetzt Zeit einen ersten Client wieder zu starten und die Domänenanmeldung zu testen. | ||
| + | |||
| + | ===== Upgrade von Samba 4.5.x auf 4.6.x ===== | ||
| + | |||
| + | Parallel zu den Paketen der Samba Version 4.5. pflegen wir auch Pakete der Version 4.6.x. Ein Upgrade darauf ist denkbar einfach. | ||
| + | |||
| + | Ändern Sie in der Repository-Datei <file>/etc/zypp/repos.d/spins_invis_stable_samba.repo</file> des Samba-Repositories den Repository-Pfad wie folgt ab: | ||
| + | |||
| + | <code> | ||
| + | [spins_invis_stable_samba46] | ||
| + | name=Samba AD 4.6.x (openSUSE_Leap_42.3) | ||
| + | type=rpm-md | ||
| + | baseurl=http://download.opensuse.org/repositories/spins:/invis:/stable:/samba46/openSUSE_Leap_42.3/ | ||
| + | gpgcheck=1 | ||
| + | gpgkey=http://download.opensuse.org/repositories/spins:/invis:/stable:/samba46/openSUSE_Leap_42.3/repodata/repomd.xml.key | ||
| + | enabled=1 | ||
| + | </code> | ||
| + | |||
| + | Dabei können Sie aus kosmetischen Gründen den Namen des Repos anpassen, erforderlich ist auf jeden Fall in den Zeilen "baseurl" und "gpgkey" das Wort "samba" durch "samba46" zu ersetzen. | ||
| + | |||
| + | Danach frischen Sie die Repository-Datenbank auf: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # zypper ref | ||
| + | </code> | ||
| + | |||
| + | Aktualisiseren Sie jetzt die Samba-Pakete: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # zypper up samba-ad | ||
| + | </code> | ||
| + | |||
| + | Starten Sie abschließend noch die davon abhängigen Dienste neu: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl restart samba.service | ||
| + | invis:~ # systemctl restart named.service | ||
| + | invis:~ # systemctl restart sssd.service | ||
| + | </code> | ||
| + | |||
| + | Damit ist auch dieser Schritt erledigt. | ||
| + | Ein Upgrade auf die bereits erhältlichen Samba 4.7.x Pakete erfolgt mit dem Umstieg auf openSUSE Leap 15 und wird zum entsprechenden Zeitpunkt hier beschrieben. | ||