ComputerBase Menü
Aktuelles

Samba 4 AD transfer zu Windows AD

F

Fab

Ensign
Registriert
Sep. 2013
Beiträge
194
Hallo Zusammen,

ich suche das richtige vorgehen um eine bestehende Samba 4 AD/DC Domäne zu Windows Server zu transferieren.

Ausgangssituation:
  • Samba 4.5 Debian auf einem aktuellen Debian 9 Funktionsebene Windows 2008
  • Windows Server 2016 Standard

Der Windows Server 2016 will nicht so direkt als DC in die bestehende Domäne. Liegt wohl auch irgendwie an der alten Funktionsebene. Ich habe dann nach vielem suchen die Aussage gefunden das ich einen Windows 2008 R2 Server als DC beitreten lassen muss. Dann die DNS Einträge noch übertragen muss und dann kann ich Stück für Stück den alten AD auf Basis von Samba 4 ablösen.

Meine Probleme:

  1. DNS Replikation kriege ich nicht hin, der Master (Samba 4) verweigert das.
  2. Wenn ich den Windows 2008 R2 Server als DC in die Domäne einfüge, wird mir auch als Domain Controler im Container angezeigt und der Server baut auch die AD-Struktur auf. Aber wenn ich auf Linux nachsehe ist er keine wirklicher DC.

Daher meine Fragen:

  1. Wie bringe ich den SAMBA-DNS dazu das ein andere DNS eine Kopie von Ihm sein darf.
  2. Wie ist das richtige vorgehen um die AD vom SAMBA Richtung Windows zu bekommen und dann alle alten Domaincontroller los zu werden und den Windows zum primary Master zu machen.

Ich weiß das es eigentlich viel mehr Windows als Linux ist, aber die Kern Frage ist mehr diesen SAMBA Transfer gängig zu machen.

Danke für jeden Tipp.
 
Ich vermute, Du musst manuell die ganzen Rollen auf den 2008R2 übertragen, eventuell ist das der Grund, dass Linux ihn nicht als DC akzeptiert..
 
Das liegt nicht an der Funktionsebene, sondern daran, daß Replikation Samba<>Windows nach wie vor nicht funktioniert. Windows-DCs und Samba-DCs arbeiten nicht zusammen. Merkst Du ja auch gerade selbst.

Ergo gibt es derzeit nur exakt einen Weg: Die Samba-Domain wegwerfen und eine neue Windows-Domain aufmachen. Die sollte idealerweise auch einen anderen Namen bekommen, damit sich "alt" und "neu" nicht beißt.

Exportiere+importiere was Du kannst, aber prinzipiell wirst Du um eine Neueinrichtung nicht herumkommen - einschließlich Benutzerkonten, Gruppen OUs, Berechtigungsmodelle und so weiter und so weiter.
 
Hmm,

gäbe es den einen Umwege das ich Benutzer + Gruppen irgendwie in einen LDPA Exportiere und wieder importiere. Ohne Samba AD Käse. Gibt es vielleicht so eine möglichkeit nur den Baum und die Attribute zu exportieren.

Ich will ungern ca. 500 User + 200 Gruppen neu anlegen und überall neu berechtigen.

Hier wird der Join ja beschrieben über den Umweg über Windows Server 2008 oder 2008 R2.
https://wiki.samba.org/index.php/Joining_a_Windows_Server_2008_/_2008_R2_DC_to_a_Samba_AD
https://wiki.samba.org/index.php/Joining_a_Windows_Server_2012_/_2012_R2_DC_to_a_Samba_AD

Also müsste es ja eigentlich irgendwie mit Win 2008 R2 gehen eine Copy hin zu bekommen. Und diesen dann zum Master machen. Und von da aus weiter Richtung Win 2016 Server.

----

Wie schon in meinem Versuch mit Windows Server 2008 R2 klappt der DC beitritt. Die Daten werden auch von Master geladen und es entsteht auch ein Container Eintrag im Bereich Domain Controller für den Win 2008 R2 Server. Nur auf Samba ebene wird er nicht als DC geführt.
 
Hm. Ich hab mir das nochmal durchgelesen - danke für den Link -- die Zeit steht ja nicht still und vielleicht geht ja mit samba doch inzwischen mehr.

Nach dem was ich da sehe kannst Du's eigentlich nur probieren: erst einen 2008r2 hernehmen, dem dann alle FSMO geben (3 bzw 5); wenn der die hat, den Samba abschalten, dann einen 16er-DC dazustellen und den replizieren lassen und die FSMO nochmal übergeben und zum Abschluß den 2008r2 demotieren.

Ich geh mal davon aus, daß man den Samba auch demotieren kann. ;)

Mach das aber erstmal in einer geschützten Testumgebung. Und leg hinterher noch ein paar zusätzliche Benutzer und Gruppen an, um zu sehen, ob das mit der RID/SID-Vergabe ordnungsgemäß funktioniert.

Und denk ans Sysvol. Das muß nicht nur da sein, sondern muß auch replizieren. Sonst funktionieren unter anderem GPOs nicht.
 
Ich frage mich halt gerade warum mein 2008R2 nicht ordentlich vom SAMBA als DC auch in dir liste geführt wird. Vielleicht wegen Sysvol da muss ich noch schauen ob er die Anzeigt oder ob ich hier noch nachhelfen muss.

Naja ich hab in der Liste der Domain Controller noch den alten Samba 4.0 der gestorben ist aber vorher noch auf den 4.2 geclont worden ist. Das "Demoting an Offline Domain Controller" aus https://wiki.samba.org/index.php/Demoting_a_Samba_AD_DC habe ich bis heute nicht erfolgreich zusammen gebracht. Da die Befehle oder Abfragen bei mir ins leere laufen oder ich mich zu dumm dafür anstelle.

Ich werde die nächsten Tage da nochmal den 2008R2 durch checken auch wegen Sysvol. das mit dem FSMO hab ich noch nicht ganz verstanden. Kannst du mir dazu bitte mehr sagen?
 
Was genau möchtest Du denn zum Thema FSMO wissen?

Für Dich (vermutlich) relevant ist, daß (A) Dein Samba DC an irgendeiner Stelle alle FSMO gehalten hat, da es der erste (einzige) DC war (geh ich mal von aus).

Die FSMO müssen aber von einem funktionsfähigen DC gehalten werden. Sonst fliegt Dir die Domain um die Ohren.

Also mußt Du die FSMO an einen funktionierenden DC übertragen, entweder indem Du sie vom alten an den neuen abgibst (dazu muß der alte DC noch funktionieren) ODER Du definierst einfach einen neuen FSMO-Halter (dieser "reißt" das sinngemäß an sich => 'seize'). Letztere Option bedingt, daß der bisherige FSMO-Halter möglichst nicht wieder angeschaltet werden sollte.

Wer die FSMO gerade hält erfährst Du mit netdom. Übertragen (transfer) oder greifen (seize) geht mit ntdsutil roles. Transfer ist immer die bessere Option, wenn der DC mit der FSMO noch funktioniert. Sonst seize.


Was Samba angeht, so hab ich das bisher schon eine längere Weile verfolgt -- seitdem es die 4 gibt, um genau zu sein -- und der Schluß für mich ist weiterhin, samba4-Domain eigenständig ja, aber zusammen mit Windows-DC nein. Das ist einfach zuviel Frickelei. Vor allem, da mit Samba weiterhin die Hälfte nicht oder nicht richtig funktioniert.

Sicher, das ist nur meine Meinung dazu, aber ich denke immer noch, Domain wegwerfen und neu hochziehen ist die frustfreiere Option... OBWOHL diese definitiv frustrierend genug ist. Sambadomain produktiv ist - imo -- einfach der falsche Weg.
 
Eine Zusammenfassung von mir:

Der erste DC war ein Samba 4.1 aus SerNet Paketen unter Debian 6. Ich hab irgendwann diesen Samba neu gebaut mit Debian 8 und Samba 4.2. Ich habe dann die Rolle vom Samba 4.1 an den Samba 4.2 komplett übertragen und den Samba 4.1 ausgemacht. Das hat ohne Probleme funktioniert. Nur konnte ich den DC auf Basis von Samba 4.1 nie sauber "entfernen" Ich habe mich jetzt getraut mit einem guten Backup den Samba unter Debian 8 auf Debian 9 hoch zu Upgraden und damit auch die Samba Version auf 4.5 gebracht. Danach konnte ich die alten Samba 4.1 auch offline demoten.

Aktuell sieht das so aus:
763229


Und die FSMO-Rollen so:
Bash: 
braustueberl /home/root # samba-tool fsmo show


SchemaMasterRole owner: CN=NTDS Settings,CN=BRAUSTUEBERL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=****,DC=*****,DC=de

InfrastructureMasterRole owner: CN=NTDS Settings,CN=BRAUSTUEBERL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=*****,DC=*****,DC=de

RidAllocationMasterRole owner: CN=NTDS Settings,CN=BRAUSTUEBERL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=****,DC=*****,DC=de

PdcEmulationMasterRole owner: CN=NTDS Settings,CN=BRAUSTUEBERL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=*****,DC=******,DC=de

DomainNamingMasterRole owner: CN=NTDS Settings,CN=BRAUSTUEBERL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=*****,DC=******,DC=de

DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=BRAUSTUEBERL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=*****,DC=******,DC=de

ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=BRAUSTUEBERL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=*****,DC=******,DC=de

Wie man sehen kann ist auch bei den Rollen der alte Samba der den Namen "Brauhaus" hatte nicht geführt und der Master ist der Ersatz.

So das ist die Ausgangssituation.

----

Jetzt hab ich nach dieser Anleitung einen Windows Server 2008 R2 als DC der Domain joinen lassen

Der aktuelle Status des ganzen ist das, seit 30 Minuten ....

763262
 
Ich habe letztens irgendwo (leider fällt mir nicht mehr ein wo) gelesen, dass die Replikation bei einem Samba-AD ausschließlich in der Richtung Windows-DC nach Samba-DC bzw. Samba-DC zu Samba-DC unterstützt wird. Von Samba-DC nach Windows-DC war da nicht die Rede und ich habe auch keine Erfolgsmeldungen diesbezüglich gesehen.
Ich fürchte, du wirst lange warten können...
 
Evil E-Lex schrieb:
Ich habe letztens irgendwo (leider fällt mir nicht mehr ein wo) gelesen, dass die Replikation bei einem Samba-AD ausschließlich in der Richtung Windows-DC nach Samba-DC bzw. Samba-DC zu Samba-DC unterstützt wird. Von Samba-DC nach Windows-DC war da nicht die Rede und ich habe auch keine Erfolgsmeldungen diesbezüglich gesehen.
Ich fürchte, du wirst lange warten können...
Zum Vergrößern anklicken....

Laut dieser Anleitung: https://wiki.samba.org/index.php/Joining_a_Windows_Server_2008_/_2008_R2_DC_to_a_Samba_AD soll das ganze ja funktionieren. Hier wird ja auch der Sync beschrieben. Oder verstehe ich diesen Wiki-Eintrag nun wieder falsch.
 
Ich weiß nicht weiter aktuell, der Windows 2008 R2 Server steht jetzt genau 24 Stunden auf diesem Bild fest. Ich hatte ja schon einen Windows 2008 R2 Server in der Samba AD als DC. Der hatte aber einen anders Problem ich hab alles rückgängig gemacht und beim neuen Versuch komme ich nicht über das Bild hinweg .... Obwohl ich die Schritte alle gleich gemacht habe wie beim ersten Versuch ...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

CoMo
SFTP Transfer von Windows auf Linux bricht immer wieder ab
Antworten
16
Aufrufe
464
CoMo
CoMo
GokuSS4
Secure P2P File Transfer unter Windows? SFTP/WebRTC?
Antworten
1
Aufrufe
929
Holzkopf
H
F
Beschädigten Samba 4 - AD auf neuen klonen oder kopieren
Antworten
9
Aufrufe
2.154
andy_m4
andy_m4
second.name
CentOS 7 - Samba 4 - AD DC konfigurieren
Antworten
4
Aufrufe
2.064
Sannyboy111985
Sannyboy111985

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz