Migration von uralt (NT-Domäne mit altem smbpasswd) nach topaktuell (vollwertiges ActiveDirectory)

16/09/2015 - 12:32 von Andreas Meile | Report spam
Hallo Newsgroup

Aktuelle Situation: Server unter Debian 6 Squeeze mit Samba 3.5.6 am Laufen,
das Ganze ist historisch gewachsen, d.h. war ursprünglich einmal ein im Jahr
2002 aufgesetztes Samba 2.x aus SuSE Linux 8.0 (damals gab es passdb.tdb
noch nicht), von dort alle wichtigen Sachen wie smbpasswd und die
.conf-Abschnitte übernommen (dank include sogar sehr elegant möglich).
Aktuell làuft auf sàmtlichen Arbeitsstationen noch Windows Vista Business,
der letzten Windows-Version mit NT4-Stil-Domànenunterstützung, von Microsoft
aktuell auch noch bis April 2017[1] mit Sicherheitspatches vorsorgt.

Da inzwischen zum einen Windows 10 draussen ist (Systembuilder-Lizenzen
inzwischen erhàltlich[2]) und zum anderen beim aktuellen Debian 8 Jessie
Samba 4.x ebenfalls den Weg in die Distribution gefunden habe, steht so
schön gesagt das Migrationsprojekt an, also in einem ersten Schritt den
Server zuerst auf einen aktuellen Stand bringen (Vista kann bekanntlich
bereits mit AD umgehen, umkehrt aber ein Windows 10 kann nichts mit der
Samba 3.x-Domàne anfangen!), danach die Arbeitsplàtze mit Windows 10
aufrüsten.

Aktuell habe ich nebst dem smbpasswd nachfolgenden Include-Abschnitt für am
Ende der [global]-Sektion im Einsatz:

passdb backend = smbpasswd
os level = 64
preferred master = yes
domain logons = Yes
domain master = Yes
logon script = netlogon.bat
add machine script = /usr/sbin/useradd -d /dev/null -g pcwinnt -s
/bin/false -c Maschinenkonto %u
logon home = \\%L\%U
logon path = \\%L\profiles\%U
logon drive = P:
security = user
encrypt passwords = Yes
guest account = nobody
map to guest = Bad User
hide files = /desktop.ini/RECYCLER/
[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
writable = no
guest ok = yes
write list = root
[profiles]
comment = Users profiles
path = /home/samba/profiles
read only = No
store dos attributes = Yes
create mask = 0600
directory mask = 0700
browseable = no
guest ok = no
printable = no
profile acls = yes
csc policy = disable

Von Labortests "ab der grünen Wiese" weiss ich nur, dass mittlerweilen alles
datenbankmàssig funktioniert, d.h. alles kann mit den
Microsoft-Verwaltungstools sowie dem Open Source-Werkzeug LDAPAdmin[3]
administriert werden. -> Ich brauche so betrachtet also einzig und alleine
nur einen Weg, um speziell die Sachen wie "logon home", "logon path" usw.
passend in diese Datenbank beim Umwandeln der bisherigen smbpasswd-Datei
"einimpfen" können. Zweite Herausforderung: Bestehende DNS-Zonen aus BIND
ebenfalls übernehmen können (viele statische Eintràge für Netzwerkdrucker,
Router, managed Switches usw. nebst den Stationen), wobei dort auch über ein
Shellscript nachgedacht werden kann, welches bestehende Zonendateien parst
und "samba-tool dns add"-Aufrufe macht (ich würde dann wahrscheinlich auf
den Samba-eigenen DNS-Server wechseln, weil BIND als Backend damals im Labor
nie richtig funktioniert hatte), ausser es gàbe eine elegante
Zonenimport-Funktion bereits.

Da laut Samba-Entwickler die NT 4.0-Domàne in Samba 4.x weiterhin
unterstützt wird, stellt sich also nun die Frage, ob es sinnvoll ist, in
einem allersteren Schritt einmal auf Debian 8 mit Samba 4.x zu gehen, aber
noch sàmtliche includes von bisher übernehmen (Hinweise, z.B. gewisse Dinge
noch bereits unter Samba 3.5.6 erledigen und erst dann auf 4.x wechseln sind
ebenfalls willkommen!) -> von dort aus dann mit geeigneten Schritten alles
in ein ActiveDirectory "umstricken".

Für Erfahrungsberichte solcher Migrationen von Euch sowie auch gute Links
zum Thema danke ich im Voraus.

Andreas

[1] http://windows.microsoft.com/de-ch/.../lifecycle
[2]
https://www.pcp.ch/de/Microsoft-Win...046433.htm
[3] http://www.ldapadmin.org/
"127.0.0.1 was ist das? Ich kenne nur ::1!" - www.swissipv6council.ch
 

Lesen sie die antworten

#1 usenet.NOSPAM
22/09/2015 - 18:24 | Warnen spam
Ich steh' vor einem àhnlichen Problem.

Wegen neuer Hardware muss der samba Server umziehen.
Das ist auch noch ein alter 3.x und er rennt als NT PDC.

Nun wollte ich das Teil eigentlich BEIM Umzug nach 4 und AD migrieren -
bin mir aber nicht sicher, ob ich ihn nicht 1:1 umziehen soll und
anschließend migrieren...

Ciao

dirk

Ähnliche fragen