PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba 3 und Umzug auf W2k3 Domäne...



toberman
21.03.05, 23:04
Hi,
eine, vielleicht etwas spezielle Frage an die Informatik, Systemintegrationsprofis

Hab jetzt beim durchgucken durchs Forum nichts vergleichbares gefunden.
Ich hab derzeit eine NT4SP6 Domäne mit einem primärem Domaincontroller (PDC) und einem Backup Controller (BDC)
Weiters läuft Samba 3.irgendwas auf einem Fileserver, der Dömanenmitglied ist und über passwd+username.map die Authentifikation der User mit dem Domänencontroller abgleicht (Winbind ist noch nicht am Laufen)
Damit das funktioniert müssen ja die Benutzer im Linux (übrigens debian) für den Zugriff auf die Freigaben und am NT-Server für die Domäne angelegt werden. Es gibt dafür ein entsprechendes Adduser Skript, das diese Aufgaben automatisiert. Soweit so klar. Das ganze läuft nett und ohne größere Probleme.

Nun ist die NT Hardware aber nicht mehr ganz zeitgemäß... eigentlich pfeift sie aus dem letzten Loch. Der Plan ist daher, die Domäne auf Win2003 Server zu portieren. Wir gehen dabei in einem mehrschrittigen Prozeß vor. Es wurde ein zweiter BDC (auf neuerer Hardware) mit NT4 installiert und auf den aktuellen Stand hochgepatched. Sobald dieser Server die Datenbank vom PDC abgeglichen hat wird er auf 2003 Server geupdatet. Dann habe ich einen 2003 BDC.
Nachfolgend wird der NT BDC Nummer 1 vom Netz genommen. Der 2003 BDC wird zum PDC erhoben und der NT PDC zum BDC herabgestuft. Nun habe ich noch einen weiteren 2003 Server, der derzeit Printserver ist. Dieser soll der neue PDC werden. Also wird er zunächst in der Domäne zum BDC gemacht, damit er sich die Datenbank holt. Wir haben also nun einen 2003 PDC und einen 2003 BDC sowie einen NT4 BDC (ex-PDC), den wir aber eigentlich gleich rausnehmen. Danach tauschen 2003 PDC und BDC die Rollen und ich habe die Server wie ich sie wollte auf 2003.
das gute daran ist, dass ich, falls was schiefläuft, jederzeit die zwei alten NT-Server ins Netz zurücklnehmen kann und die Domäne wieder so laufen lassen kann, wie sie zuvor war. Natürlich nur solang, bis der letzte NT Server weg ist, denn danach stellen sich die XP- und 2k-Clients ja irreversibel auf verschlüsselte AD Authentifizierung um.

So, nun zum Samba:
Ich habe also Benutzer auf dem samba Server, eine username Map und lauter so tolle Sachen. Wenn ich nun umstelle, werde ich meinen Samba Server auch auf AD Authentifizierung umstellen, damit ich die Benutzer über den 2003 Server anlegen kann und nicht extra am debian Server anlegen muss.
Jetzt bekomme ich dauernd Bauchweh, weil ich nicht weiß, wie sich die Umstellung genau auswirkt. Ich habe versucht mit zwei Kollegen ein kleines Brainstorming zu machen, was alles zu beachten ist, bei unserer, zugegebenermaßen nicht ganz trivialen Struktur (es gibt auch noch einen Mailserver mit Courier und Exim4, der derzeit die Benutzer vom Fileserver über NIS authentifiziert)
Dabei habe ich einige Punkte gesammelt, die ich noch als problematisch ansehe
- welche Optionen muss ich alle in Samba kompilieren?
derzeit ist --with-winbind, --with-ldap, --with-ads --with-acl drin.
- was ist mit Kerberos? Ist das ein muss, oder kann ich es weglassen?
- auf dem Samba Server existieren andere Gruppen als in der Domäne; wenn die User auf dem Server wegfallen muss ich die Gruppen in der W2k3 Domäne anlegen
- AD benötigt DNS... Auf meinen Linux Servern läuft BIND9 als DNS Master
- Wir haben MAC-OS X Clients. Was muss beachtet werden, damit diese sich ebenfalls am Netzwerk anmelden können? Geht das über AD oder brauche ich dazu LDAP?
- Es gibt noch NT4 Clients - die sollten eigentlich ganz normal weiterhin funktionieren...
- ...

Fällt euch noch etwas dazu ein?
Hab ich was übersehen?
das Dumme ist, es gibt in dem Haus Leute, die Kein Verständnis für die Komplexität des ganzen Vorhabens besitzen und ich möchte die (sicherlich nötige) Downtime unseres Netzwerkes möglichst kurz halten.
Mann, dieser verfluchte Serverumzug bereitet mir echt Kopfschmerzen. Ich bin doch nur Maschinenbauer...
Für jede Anregung und Hinweise bin ich dankbar.
Greetz Tob

mamue
22.03.05, 09:20
Hi,

Dabei habe ich einige Punkte gesammelt, die ich noch als problematisch ansehe
1.: - welche Optionen muss ich alle in Samba kompilieren?
derzeit ist --with-winbind, --with-ldap, --with-ads --with-acl drin.
2.: - was ist mit Kerberos? Ist das ein muss, oder kann ich es weglassen?
3.: - auf dem Samba Server existieren andere Gruppen als in der Domäne; wenn die User auf dem Server wegfallen muss ich die Gruppen in der W2k3 Domäne anlegen
4.: - AD benötigt DNS... Auf meinen Linux Servern läuft BIND9 als DNS Master
5.: - Wir haben MAC-OS X Clients. Was muss beachtet werden, damit diese sich ebenfalls am Netzwerk anmelden können? Geht das über AD oder brauche ich dazu LDAP?
6.:- Es gibt noch NT4 Clients - die sollten eigentlich ganz normal weiterhin funktionieren...
- ...


1.: Das sieht eigentlich gut aus. --with-ldap sollte überflüssig sein, schadet aber nicht. Wichtig ist, die Ausgabe des COnfigure scriptes zu überprüfen, ob denn auch alles gefunden wurde, was man haben möchte.
2.: --with-ads impliziert Kerberos. Je nach System müssen die heimdahl-devel Pakete oder MIT-kerberos (name?) installiert sein. Man muß AFAIK nicht selbst auf dem Linux server kerberos installieren/konfigurieren (bin mir ziemlich sehr sicher).
3.: Das sollte kein Problem sein, allerdings würde ich darauf achten, dass die SID der Gruppen die gleichen sind wie vorher. Wie man das unter w2k3 macht, weiss ich nicht.
4.: Mhmm. AD bietet DNS. Vielleicht könnte es sinnvoll sein, den w2k3 Server als Nameserver einzutragen, vielleicht sogar als ersten Nameserver.
5.: Was sammelt Ihr denn noch alles? ;-) Keine Ahnung, MAC-OS nutzt doch das Domain-model, oder? Dann sollte das genau wie vorher laufen...
AD bietet auch LDAP, genaugenommen ist ein aufgebohrter (aufgeblasener?) LDAP-server.
6.: Das sehe ich auch so.

Viel Spass,
mamue

toberman
22.03.05, 13:15
Danke schonmal für die schnelle Antwort.

Ja das mit dem DNS wir vermutlich ein Problem. Hab zwar schon ein Howto gefunden, wie man dem AD Server Bind9 als DNS füttert, allerdings findet man nirgendwo Infos, wie gut das wirklich funktioniert, oder ob mir der 2k3 Server dann alle Nase lang abkackt und gerebootet werden will, weil er wieder irgendwas nicht am DNS gefummelt kriegt, weil er keine Erlaubnis von BIND hat (Microsoft hält sich ja bekanntermaßen nicht oft an solche Konventionen, damit alles auch strukturübergreifend funktioniert - ich sage nur illegale Zoneneinträge des AD... )
Den DNS brauchen wir allerdings, da auf einem Server noch ein Webserver mit unserer Webseite läuft (das ist der, auf dem auch BIND9 und der DHCP Service laufen)
Ein Lösungsansatz wäre, den AD Server als primären DNS fürs interne Netz zu nutzen und BIND zum Slave für die Domäne zu machen und ihn für die Webpräsenz normal weiterlaufen zu lassen. Müsste sich doch über die Zoneneinträge machen lassen...

"--with-ads implitziert Kerberos.."
also kommt die Funktion mit? Also beim Kompilieren und Installieren hat er meines Wissens nicht gemeckert... Heißt das, daß die Pakete schon drauf sind..? Na ja, werds nochmal checken.
Wo lege ich für KRB denn eigentlich einen Realm an?

MAC OS X..
Ja, das ist halt ein Steckenpferd von meinem Chef.. Der ist MAC Fan. Daher hat die ganze Chefetage MACs. Ich wollte die Anbindung ja so erledigen, daß man sich an einem Mac auch ganz normal über einen Login Screen wie bei Windows anmelden kann. Momenten ist das so gelöst, daß die User, welche die Macs benuzen lokal angelegt sind und sich immer über afp bzw. Samba am Fileserver anmelden müssen. Ich möchte das gerne vereinfachen. Soweit ich weiß funktioniert das auch irgendwie über Bind, wir haben es aber noch nicht zum Laufen gebracht. Ich hatte meine Bemühungen ob des bevorstehenden Domainstrukturwechsels jetzt erstmal eingestellt, hatte jedoch gehofft, daß der MAC mit AD NEtzwerken arbeiten kann. Irgendwo meinte ich auch, sowas in der Art schonmal gelesen zu haben.

Wenn noch weitere Anregungen sind habe ich gerne ein offenes Ohr dafür.
thx und Grüße
tob

mamue
22.03.05, 15:58
Ich meine wie gesagt, dass Du keine Kerberos-realm konfigurieren musst. Du hast ja bereits eine auf dem w2k3 server. --with-ads sorgt dafür, dass Du dich mit dem AD verbinden kannst und dafür werden die Kerberos Bibliotheken benötigt. Darum würde ich mich also erst einmal nicht kümmern.
Man sollte vielleicht auf dem windows-server im Nameserver den root-eintrag löschen und den Linux-server als weiteren Nameserver eintragen. Ich habe das schon mal gemacht, weiß aber nicht mehr wie und warum (w2k-AS).
Bind als slave mag Schwierigkeiten bringen, weil Windows Nameserver updates in einer proprietären Art und Weise macht.

HTH,
mamue