Ansatz für Domainmigration

17/04/2008 - 21:20 von Joern Bredereck | Report spam
Hallo,

ich stehe vor der Aufgabe ein Netzwerk mit knapp 50 Clients von einem
alten Samba 2.2.3-Domànencontroller auf einen Windows2003-AD-Server zu
migrieren. Desweiteren soll der Samba-2.2.3-Server gegen einen aktuellen
Samba-Server ersetzt werden und als Domànenmitglied als Fileserver
dienen. Der Win2003-Server soll nur als Domaincontroller
und Exchange-Server dienen und evtl. noch ein paar Drucker freigeben.

Eine Migration an einem einzigen Tag ist zeitlich und durch begrenzte
Manpower nicht zu schaffen. Wir benötigen daher eine Migration, die es
erlaubt, dass sowohl die Mitglieder der alten Domàne auf die Freigaben
des alten Samba zugreifen können, wàhrend die in die neue Domain
aufgenommenen PCs auch noch auf die Samba-Freigaben zugreifen können
müssen. Auf diese Weise könnten wir für einige Tagen eine
parallelbetrieb der beiden Domains durchführen und wàren wàhrend der
Migration nicht unter Zeitdruck.

Ist es möglich, den Benutzern der neuen Domain im Login-Script den
Benutzernamen und Kennwort der alten Domàne mitzugeben, damit sie sich
die Freigaben mit der alten Domànenkennnung mappen? Ist dabei mit
Problemen zu rechnen? Welche Alternativen gibt es?

Wenn dann alle PCs umgestellt sind, könnte der Samba-Server gegen eine
aktuelle Version ersetzt werden. Der neue Samba-Server sollte dann als
Domànenmitglied in der neuen Windows-Domain die Freigaben bereitstellen.
Wie bekomme ich hier eine Anpassung der Datei-Permissions hin? Die
Benutzer in der neuen Domàne haben andere Namen und UIDs. Kann ich hier
mit Winbind irgendwie tricksen, sodaß ich die Namen in der neuen Domàne
über eine Tabelle auf die alten (bestehenden) Unix-Accounts mappen kann?

Also eine Tabelle wie:

Win2003-Domain-User Unix-Account in der alten Domain
-
m.mueller marius.mueller
a.schaefer alexander.schaefer
j.bredereck joern.bredereck

usw...


Oder gibt es irgendwelche Migrations-Scripts, die anhand so einer
Tabelle rekursiv durch alle Freigaben "chownen"? Evtl. könnte man sich
sowas auch selbst basteln, aber vielleicht gibts ja schon was fertiges?
Ich kann mir eigentlich nicht vorstellen, dass ich der erste bin, der
vor einer derartigen Aufgabe steht.

Desweiteren such ich nach einer Möglichkeit, die Benutzer-Profile von
einer Domàne in die andere zu migrieren. Gibt es da etwas fertiges, oder
ist das ganz und gar nicht machbar? Die Profile liegen momentan zentral
auf dem alten Samba-Server. Ideal wàre es, wenn die Profile 1:1 in die
neue Domain mitgenommen werden könnten.


Ich wàre euch jedenfalls für Anregungen, konkrete Umnsetzungsvorschlàge
und Tipps und Tricks dankbar!



Gruß,
Jörn
 

Lesen sie die antworten

#1 Günther Schwarz
18/04/2008 - 20:40 | Warnen spam
Joern Bredereck hatte geschrieben:

ich stehe vor der Aufgabe ein Netzwerk mit knapp 50 Clients von einem
alten Samba 2.2.3-Domànencontroller auf einen Windows2003-AD-Server zu
migrieren. Desweiteren soll der Samba-2.2.3-Server gegen einen
aktuellen Samba-Server ersetzt werden und als Domànenmitglied als
Fileserver dienen. Der Win2003-Server soll nur als Domaincontroller
und Exchange-Server dienen und evtl. noch ein paar Drucker freigeben.

Eine Migration an einem einzigen Tag ist zeitlich und durch begrenzte
Manpower nicht zu schaffen. Wir benötigen daher eine Migration, die es
erlaubt, dass sowohl die Mitglieder der alten Domàne auf die Freigaben
des alten Samba zugreifen können, wàhrend die in die neue Domain
aufgenommenen PCs auch noch auf die Samba-Freigaben zugreifen können
müssen. Auf diese Weise könnten wir für einige Tagen eine
parallelbetrieb der beiden Domains durchführen und wàren wàhrend der
Migration nicht unter Zeitdruck.

Ich wàre euch jedenfalls für Anregungen, konkrete
Umnsetzungsvorschlàge und Tipps und Tricks dankbar!



Kein fertiges Kochrezept [1], sondern nur ein Skizze, die ein sanfte
Migration erlauben könnte. Dabei gehe ich davon aus, daß die Benutzer
alle von einem Windows-Rechner sitzen und Windows die Mitgliedschaft in
zwei Domànen erlaubt (was ich nie ausprobiert habe):
- auf dem Windows2003-AD-Server eine neue Domàne einrichten
- auf einem PC oder einer virtuellen Maschine einen neuen Samba-Server
einrichten und gegen das AD in die neue Domàne eingliedern. Der
Server kann spàter, nachdem der alte Samba-Server abgeschaltet ist,
auf den Fileserver umziehen.
- die alten Freigaben in dem neuen Samba-Server neu definieren. Die
Dateien können dabei auf der alten Maschine bleiben.
- die Benutzer nach und nach von Hand in das AD eintragen. Die
Benutzernamen bleiben gleich, also lieschen.mueller.NETWORX wird
lieschen.mueller.NETWORX2. Es fehlt die Information, wie der PDC
bisher die Authentifizierung gemacht hat, aber AFAIK kann man
beispielsweise ein openLDAP nicht so ohne weiteres automatisch auf
AD übertragen.
- problematisch könnten die Rechte im Unix-Dateisystem sein. Aber
solange die UID und GID sich nicht àndert, sollte es egal sein,
ob lieschen.mueller zu der einen oder der anderen Domàne gehört.

Evt. wàre noch das Tutorium zu Samba von Interesse, das die iX in den
letzten drei Ausgaben 03/2008 - 05/2008 veröffentlicht hat.

[1] Hier laufen keine Windows-Server, sondern Novells OES als PDC mit
eDirectory als Verzeichnisdienst. Da ist alles noch einmal etwas
anders. Und Umziehen war bisher glücklicherweise auch noch nie nötig.

Günther

Ähnliche fragen