Migrace Samba AD na Windows server

[vfko]

Zdravím,

na vituálním serveru v Proxmox je provozovaný jako doménový řadič Nethserver 7, který využívá Samba AD 4.10.16. Zároveň jsou zde, kromě uživatelů i síťové disky a OpenVPN server.

Nyní je požadavek udělat migraci na Windows server 2022. V doméně je cca 30 uživatelů. S tímhle nemám tolik zkušeností, proto bych si rád nechal poradit.

Provést replikaci přidáním Win serveru do domény a povýšením na DC lze jen na verzi Win 2008, s novějšími Samba odmítá komunikovat.

Myšlenka č. 1, možná nejčistší řešení(?), vytvořit novou doménu na Windows serveru 2022 se všemi uživateli a postupně přepojit koncové stanice do nové domény. Následně provést migraci síťových disků, vytvořit nový VPN server a původní DC vypnout.

Varianta dvě, provést replikaci povýšením Win 2008 na DC a následně na Win 2022.
Toto jsem zkoušel na testovacím serveru, kde jsem si vytvořil kopii sítě, provedl replikaci na Win 2008 a původní Samba AD odpojil. Změnil jsem IP nového serveru na tu, co měl starý server, ping z koncové stanice na domena.cz.local odpovídal. DNS zóny se přenesly replikací. Doménový uživatel se ale pak odmítal přihlásit, protože DC nebyl dostupný.
V postupu je tedy pravděpodobně chyba.

Obnova původního řadiče ze zálohy na testovacím serveru trvá cca 8 hodin, proto bych před dalším pokusem byl rád za rady od zkušených.

[Reklama]

[ja.]

Pozor, verzie ktora sa bavi s ktorou je Domain Functional Level, nie verzia Windows Server!

Problem je v tom, ze 2008 functional level, ako aj Samba 4.10 su praveke verzie. Mozno by to islo postupnym upgrade, aby sa jednotlive verzie medzi sebou bavili.

Verzie Samby a podpora funkcnych urovni: https://wiki.samba.org/index.php/Raising_the_Functional_Levels

Verzie Windows Server (<=2012R) a funkcnych urovni: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc754918(v=ws.10)

Verzie Windows Server (2016+) a funkcnych urovni: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/active-directory-functional-levels

Takze ak nie je mozne upgradovat Sambu na 4.20+, tam povysit domenu na 2016 a potom premigrovat na aktualne windows je to mozne urobit naopak, s dvoma migraciami windows: na sambe 4.10 nastavit 2008R2, nainstalovat Server 20212R2, premigrovat domenu, povysit na functional level 2012r2, nasledne premigrovat na 2022 (zvlada functional level 2012r2) a nakoniec povysit na pozadovany functional level.

[ja.]

A este je tu jedna vec, s ktorou sa pri migracii Samby da strelit do nohy: FSMO role.

Po pripojeni noveho DC treba premigrovat FSMO role, az potom odstavit Sambu. Pokial sa na to zabudne, je to... zle.

https://samba.tranquil.it/doc/en/samba_fundamentals/about_fsmo.html

[robac]

Predesilam, ze tento konkretni usecase jsem nikdy neresil.

Cas pripominek mi "vzal" @ja., takze mi zbylo toto:
zda se, ze Samba neumi replikovat SysVol: https://wiki.samba.org/index.php/SysVol_replication_(DFS-R).

Ja bych (predbezne) v LABu postupoval takto:

• povysit Samba DC na nejvyssi moznou verzi,
• pokud je to mozne tak povysit Forest/Domain Functional Level,
• najit nejvyssi verzi WinServer, co podporuje DFL, povysit na DC,
• replikovat SysVol,
• transfer FSMO na WinServer,
• demote Samba DC.

Na zakladni otestovani, zda klient funguje s WinServerem, by melo stacit Sambu vypnout/odpojit a vynechat posledni dva kroky.

[honzako]

Nemigruj!
Vytvoř ve Windows doménu a na počítačích v registrech změň GUID?! (prostě ID profilu).
Polopatické postupy jsou na internetu.
A nebo si k tomu pořiď něco podobného: https://www.forensit.com

Kvůli 30 uživatelům je to sice ruční opruz na jeden den, ale je to mnohem rychlejší a funkčnější než zkoušet nějaké hokuspokusy.

[Reklama]

[robac]

Nemigruj!
Vytvoř ve Windows doménu a na počítačích v registrech změň GUID?! (prostě ID profilu).
Polopatické postupy jsou na internetu.
A nebo si k tomu pořiď něco podobného: https://www.forensit.com

Kvůli 30 uživatelům je to sice ruční opruz na jeden den, ale je to mnohem rychlejší a funkčnější než zkoušet nějaké hokuspokusy.

Jsou dve varianty - udelat to normalne nebo to zkusit stylem "kamikadze". Kazdy at si vybere dle sveho...
Provereny nastroj treti strany je asi OK.

[jjrsk]

... Vyrabet novou domenu === vsechno prekonfiguraovat a obejit pekne rucne. Vubec nejde jen o uzivatele ale uplne vsechno.

Kdyz uz, tak se to dela tak, ze udelas novou, ale pak musis deklarovat duveru mezi novou a starou. To ti nijak neusetri praci, ale da ti to cas.

Jinak jak tu zaznelo, jedinej spravnej postup je pridat proste dalsi widli AD, a pak odpojit tu sambu.

Tuhle https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc754918(v=ws.10)

Najdes tam co s cim je compatabilni. Rek bych ze potrebujes srv 2k12r2 (jako max kterej s tim asi pojede). Nebo upgrade ty samby.
https://wiki.samba.org/index.php/Raising_the_Functional_Levels

Pridani dalsiho AD by nic rozbit nemelo.