ComputerBase Menü
Aktuelles

Beschädigten Samba 4 - AD auf neuen klonen oder kopieren

F

Fab

Ensign
Registriert
Sep. 2013
Beiträge
191
Hallo Zusammen,

dieser Beitrag richtet sich an ja Sysadmins mit Linux Erfahrung.

Zur Story:

Ich habe in einem Netz einen Samba 4 der per XEN Virtualisiert ist. Dieser Samba hat als Basis Debian 7 und wurde über eine Quelle von (https://portal.enterprisesamba.com/) installiert.
Dieser Samba 4 ist ein reiner Domaincontroller für eine Netzwerk mit Windows und wird über die Windows Administrationstools Verwaltet.

Jetzt zum eigentlichen Problem:

Dieser Samba 4 wurde von jemanden etwas unbedacht über die Anpassung der Sernet Quelle auf 4.1 gehoben. Das hat dem Samba nicht so gut gefallen. Er läuft aber hin und wieder Verschwinden GPO's, User, Gruppen die dann plötzlich wieder auftauchen. Oder der SAMBA reagiert ganz träge auf Anfragen. Das ist aber nicht das eigentliche Problem.

Ich habe gesehen das in Debian 8 in den Quellen Samba 4.2 verfügbar ist. Nun würde ich gerne eine neuen KVM Virtualisierten Samba aufsetzen. Und würde gerne von diesem alten XEN Samba die reinen Daten (User, Gruppen, GPO's) halt alles was zur AD gehört auf diesen neuen Samba übertragen.

Meine Idee war:

Secundary AD-Controller machen Syncen. Den alten abschalten und den Secundary zum Prime machen?

Würde das so funktionieren? Hatte jemand schon so einen Fall? Zuverlässiges HowTow verfügbar ?

Ich möchte diesem Problem nicht mit testen begegnen und mir den Samba ganz kaputt machen. Er hat ca. 40 Gruppen und 150 User gespeichert.

Thx
 
Da das ganze per XEN virtualisiert ist, kannst du doch erstmal die Maschine klonen, den Klon Abschotten und dann dort erstmal frei testen, ob das alles klappt. Hier könntest du dann sogar testen, ob ein Upgrade von 4.1 auf 4.2 eventuell auch Besserung bringen würde.
Ansonsten würde ich allerdings vom Sync von 4.1 (Primary) zu 4.2 (Secondary) Abstand halten. Ein Kollege wollte das bei einem Kunden von uns auch so machen und bei den ersten Tests kam raus, dass es diverse Probleme machte. Zwar war das AD deutlich größer (mehrere 1000 User und Gruppen), aber das muss ja nichts heißen.
Alternativ könntest du den 4.2 Aufsetzen und dann manuell Stück für Stück die Konfiguration migrieren. Dann hast du auch einen deutlich besseren Blick auf eventuell auftretende Fehler.

Mfg Kae
 
Ich hab mal die Samba-Version abgefragt per smbstatus:

Code: 
sambad-xen ~ # smbstatus

Samba version 4.2.8-SerNet-Debian-8.wheezy

Die Infos die ich bekommen haben waren mündlich, hab heute Zugang zum System bekommen.

Wiederrum ein

apt-get update gefolgt von upgrade sagt folgendes:

Code: 
he following packages will be upgraded:
  apache2 apache2-mpm-worker apache2-utils apache2.2-bin apache2.2-common
  base-files bash bind9-host binutils dnsutils dpkg dpkg-dev file gnupg gpgv
  libarchive12 libbind9-80 libc-bin libc-dev-bin libc6 libc6-dev
  libcurl3-gnutls libdns88 libdpkg-perl libexpat1 libexpat1-dev libgcrypt11
  libgcrypt11-dev libidn11 libisc84 libisccc80 libisccfg82 libldap-2.4-2
  libldap2-dev liblwres80 libmagic1 libnettle4 libperl5.14 libpython2.7
  libsqlite3-0 libssl-dev libssl-doc libssl1.0.0 libsystemd-login0 libtasn1-3
  libtasn1-3-dev libwbclient0 libx11-6 libx11-data libxapian22 libxml2
  linux-libc-dev multiarch-support ntp ntpdate openssh-client openssh-server
  openssl perl perl-base perl-modules python2.7 python2.7-dev
  python2.7-minimal sernet-samba sernet-samba-ad sernet-samba-client
  sernet-samba-common sernet-samba-libs sernet-samba-libsmbclient0
  sernet-samba-winbind sudo tar tzdata vim vim-common vim-nox vim-runtime
  vim-tiny wget

Wenn ich die Linux Version abfrage kommt folgendes:

Code: 
samba-ad ~ # cat /etc/issue
Debian GNU/Linux 7 \n \l

Jetzt folgende Fragen in meinem Kopf:

1. Upgrade der Pakete durchführen oder Maschine so lassen
2. Nach dem es ein 4.2 Paket ist müsste doch ein Sync funktionieren ?

Ein Klonen der Maschien steht auf der Liste bevor irgendwas passieren wird. Die XEN Infrastruktur sieht wohl auch nicht mehr so gut stabil aus.
Ergänzung ()

Update zu meinem Beitrag:

apt-get dist-upgrade ist durchgelaufen (Klon hatte ich mir angelegt)

Nun ist sambastatus folgende Version:

Code: 
Samba version 4.2.14-SerNet-Debian-11.wheezy

Damit sollte doch nun eigentlich ein Sync möglich sein ?
 
Zuletzt bearbeitet:
Ja, hier sollte ein Sync ohne Probleme möglich sein. Falls deine Probleme allerdings durch eine, bei einem früheren Update, beschädigte Konfiguration kommen, dürfte sich der neue Server ähnlich Verhalten. :/

Mfg Kae
 
Nach dem Update auf die Version Samba version 4.2.14-SerNet-Debian-11.wheezy konnte ich schon mal feststellen das keine Gruppen oder Accounts mehr verschwinden. Auch funktioniert der Startup oder restart deutlich zuverlässig.

Muss ich etwas beachten wenn ich einen zweiten Samba in der Domäne einsetzen möchte - sprich muss ich dem SAMBA irgendwie mitteilen das er der zweite AD-Controller ist ? Oder reicht ein einfacher Join aus ?

Ziel ist es ja den XEN dann Abzuschalten und den neuen unter KVM als Primären zu verwenden.
 
Also ich hab jetzt einen neuen Samba unter Debian 8 über die Debian Quellen installiert.

Und bin der bestehenden Domäne beigetreten. Wenn ich per Windows Tools in die Domäne schaue wird der neue Samba auch unter Domaincontroller geführt.

Aber der Sync funktioniert irgendwie nicht:

# samba-tool drs showrepl

Code: 
Failed to connect host 192.168.68.116 on port 135 - NT_STATUS_CONNECTION_REFUSED
Failed to connect host 192.168.68.116 (dc02.*********.de) on port 135 - NT_STATUS_CONNECTION_REFUSED.
ERROR(<class 'samba.drs_utils.drsException'>): DRS connection to dc02.*******.de failed - drsException: DRS connection to dc02.******.tum.de failed: (-1073741258, 'The connection was refused')
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/drs.py", line 39, in drsuapi_connect
    (ctx.drsuapi, ctx.drsuapi_handle, ctx.bind_supported_extensions) = drs_utils.drsuapi_connect(ctx.server, ctx.lp, ctx.creds)
  File "/usr/lib/python2.7/dist-packages/samba/drs_utils.py", line 54, in drsuapi_connect
    raise drsException("DRS connection to %s failed: %s" % (server, e))



#samba-tool domain demote

Code: 
Using dc01*********.de as partner server for the demotion
Password for [KLTP\root]:
Failed to bind to uuid e3514235-4b06-11d1-ab04-00c04fc2dcd2 for ncacn_ip_tcp:192.168.68.114[1024,seal,target_hostname=dc02.********.de,abstract_syntax=e3514235-4b06-11d1-ab04-00c04fc2dcd2/0x00000004,localaddress=192.168.68.116] NT_STATUS_LOGON_FAILURE
ERROR(<class 'samba.drs_utils.drsException'>): uncaught exception - drsException: DRS connection to dc02.*******.de failed: (-1073741715, 'Logon failure')
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 175, in _run
    return self.run(*args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/domain.py", line 693, in run
    (drsuapiBind, drsuapi_handle, supportedExtensions) = drsuapi_connect(server, lp, creds)
  File "/usr/lib/python2.7/dist-packages/samba/drs_utils.py", line 54, in drsuapi_connect
    raise drsException("DRS connection to %s failed: %s" % (server, e))

Wenn ich versuche über Windows-Tools auf den 02dc zugehen, bekomme ich eine Typische Windows Fehlermeldung das der Zugriff nicht möglich ist da das Gerät nicht Antwortet und man doch die Firewall prüfen soll.

In der Windows-Liste für die DC steht der Server mit "nicht verfügbar" in der Liste. Der DC01 mit Online
 
Zuletzt bearbeitet:
Lösung:

Für alle die das selbe Problem vielleicht mal haben, im Debian Paket von Debian selbst wird kein Winbind mitgeliefert. Daher kann SAMBA keinen Child-Dienst starten. Somit auch die DNS Einträge vom Master nicht entgegen nehmen. Der Sync wird daher erst gar nicht möglich. Winbind mit der Hand selbst aus den Quellen nach installieren mit Samba verknüpfen. Samba neu starten und es funktioniert.
 
Wenn du SAMBA installierst wird winbind micht automatisch mit installiert die Abhängigkeit ist nicht gesetzt oder vorgegeben, weil für einen einfachen SAMBA Mount nicht gleich winbind gebraucht wird. Da ich aber eine AD-Betreibe benötige ich winbind. Ein einfaches apt-get install winbind hat meine Probleme gelöst. Musste nur noch ein paar Config-Zeilen anpassen und der Sync lief.
 
Fab schrieb:
Wenn du SAMBA installierst wird winbind micht automatisch mit installiert die Abhängigkeit ist nicht gesetzt oder vorgegeben, weil für einen einfachen SAMBA Mount nicht gleich winbind gebraucht wird.
Zum Vergrößern anklicken....
Achso. Jetzt habe ich auch verstanden, was Du meinst
Winbind mit der Hand selbst aus den Quellen nach installieren
Mit aus Quellen verbinde ich, sich das Programm von der Projekt-Homepage holen und es selbst kompilieren.
Was Du aber meintest ist das winbind-Paket manuell aus den Debian-Repository installieren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

F
Samba 4 AD transfer zu Windows AD
Antworten
12
Aufrufe
5.343
Fab
F
S
  • Artikel
Leserartikel GrapheneOS auf dem Google Pixel 8 Pro
2
Antworten
33
Aufrufe
9.193
homer0815
homer0815
SFFox
Fritz!Box 7590 AX - WiFi 6 VR Streaming - Quest 2 & 3 / Pico 4
15 16 17
Antworten
328
Aufrufe
44.290
SFFox
SFFox
ibm9001
Erfahrungsbericht Teil 2: GPU Passthrough mit AMD Ryzen 3700X und einer AMD Radeon RX470 sowie NVIDIA GTX 1050TI auf einen MSI B450 Mortar Titanium.
Antworten
7
Aufrufe
6.285
ibm9001
ibm9001
SVΞN
  • Angepinnt
Leserartikel AMD Ryzen - Systemoptimierung durch RAM-OC (und weitere Maßnahmen.)
85 86 87
Antworten
1.738
Aufrufe
353.555
37_
37_

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz