Migreer Linux Samba AD naar Windows server 2016 AD

Ik heb er nooit mee gewerkt maar ik had begrepen dat Samba zo goed als het kan zijn best doet om een Windows Server domain controller na te bootsen. Dat zou betekenen dat je gewoon een Windows DC aan het domein kunt toevoegen en die andere demoten. Toch?

Uit pure nieuwsgierigheid: wat zijn jouw ervaringen met een samba DC? Tegen wat voor problemen liep je aan?

linux en windows werkt redelijk goed met elkaar samen als je het goed configureert .. maar goed krijgen kan ook een uitdaging zijn.

migratie is erg makkelijk, alleen als je windows DC / linux samba meuk niet met elkaar babbelt kan je erg lang besteden aan het "koppelen" zou ik persoonlijk niet doen.

ik zou de volgende weg kiezen.

1) export je (linux) user list naar spreadsheet software (excel oid)
2) Concanecate (tekst samenvoegen) naar powershell/commandline user add
2a ) .. users toevoegen in AD of local windows server .. let op doe wel ff testen van te voren of je alles goed invult
3) met een batch/powershell file kan je alle users in 1 run importeren..

de /home/<user> kan je via de 1ste 3 stappen op windows als \\share\%username% in je import defineren (let op zo ook in je script zetten met % tekens !! windows vertaalt dit naar de username)

Zo kan je ook de windows groepen aanmaken (ik zou wel de linux groepen onder windows "LinuxG_<oude naam>" doen zodat je later makkelijk de groepen erbij kan zetten.

De data kan je via een SCP/FTP/smb/cifs en een data copy c.q. syncloop van vandaag en elke avond ff syncen oid (als het om terabytes gaat)

De rechten kan je ook weer scripted (powershell /cmd line aan de juiste groepen toewijzen ..) ook weer via een spreadsheet ..

Test goed .. als je dit goed voorbereid kan je dit door de weeks voorbereiden en in het weekend "afronden" (lees oude locatie ff offline halen)

maar let op .. ik denk niet dat je nog meer uitdagingen kan krijgen (dns oid)

vso schreef op maandag 10 december 2018 @ 11:01:
migratie is erg makkelijk, alleen als je windows DC / linux samba meuk niet met elkaar babbelt kan je erg lang besteden aan het "koppelen" zou ik persoonlijk niet doen.

Een DC toevoegen aan een domain is 3 minuten werk en daarna een kwartiertje wachten. Wat voor uitdagingen denk je dat de TS kan verwachten?

Jazzy schreef op maandag 10 december 2018 @ 11:08:
[...]
Een DC toevoegen aan een domain is 3 minuten werk en daarna een kwartiertje wachten.

* vso doet mee met random kennis uitdelen, heeft alleen geen clue wat het toevoegt
Als je DHCP server unauthorized is dan deelt hij geen IP adressen uit.

Wat voor uitdagingen denk je dat de TS kan verwachten?

O er zijn er zat, maar zonder enige inzicht op de omgeving van de TS reduceer ik met tot een paar ..
- (onjuist) ontwerp van de nieuwe omgeving
- tijd (rechten zetten en bestanden copieren kost gewoon tijd)
- rechten op bestanden/mappen
- tekst en tikfauten

Maar voornamelijk is het de bedrijfsvoering/politiek enzv ...DFS,ABE en andere dingen zijn maar technische meuk .. afdeling/users is niet zomaar copy en pasta en klaar.

Wat je ook doet, probeer niet je 2016 te joinen en te promoten. Dat gaat in ieder geval niet goed!!!

wellicht kan je een 2008 eerst joinen en promoten en van daar uit de linux bak demoten en verder naar 2016.

vso schreef op maandag 10 december 2018 @ 11:43:
[...]

* vso doet mee met random kennis uitdelen, heeft alleen geen clue wat het toevoegt
Als je DHCP server unauthorized is dan deelt hij geen IP adressen uit.

Als je niet begrijpt wat er bedoeld wordt, wil je dat dan gewoon vragen in plaats van zo'n reactie?

O er zijn er zat, maar zonder enige inzicht op de omgeving van de TS reduceer ik met tot een paar ..
- (onjuist) ontwerp van de nieuwe omgeving
- tijd (rechten zetten en bestanden copieren kost gewoon tijd)
- rechten op bestanden/mappen
- tekst en tikfauten

Maar voornamelijk is het de bedrijfsvoering/politiek enzv ...DFS,ABE en andere dingen zijn maar technische meuk .. afdeling/users is niet zomaar copy en pasta en klaar.

Even concreet: de TS heeft al een domein en wil de Linux Samba DC vervangen door een Windows DC. In plaats van een standaard proces dat een paar minuten duurt en het hele domein intact houdt adviseer je om een nieuw domein te maken en alles handmatig te migreren.

Mijn vraag is: waarom?

[ Voor 4% gewijzigd door Jazzy op 10-12-2018 12:15 ]

vmj schreef op maandag 10 december 2018 @ 12:44:
Ik ga als eerst even proberen om de nieuwe Windows server toe te voegen aan het domein aangezien dit de snelste manier is om gebruikers over te zetten begrijp ik. Hopelijk gaat de Windows server dan wel als secondaire domein controller werken want anders heb ik straks 2 primaire domeincontrollers in het netwerk. Werkt deze oplossing niet, dan ga ik naar de oplossing van vso kijken.

Clone eerst je Samba naar een aparte identieke omgeving en test dit daar.

vmj schreef op maandag 10 december 2018 @ 12:44:
Ik ga als eerst even proberen om de nieuwe Windows server toe te voegen aan het domein aangezien dit de snelste manier is om gebruikers over te zetten begrijp ik.

De gebruikers, wachtwoorden, groepen, computeraccounts en dergelijke zijn allemaal opgeslagen in de database van de domain controller, op dit moment dus je Samba-server. Als je meerdere domain controllers hebt dan houden die elk een kopie van de database bij. Als je daarna de Samba DC verwijdert dan staat de database nu op de Windows server. Eigenlijk zet je dus niets over, maar verplaats je de rol gewoon naar een andere machine.

Hopelijk gaat de Windows server dan wel als secondaire domein controller werken want anders heb ik straks 2 primaire domeincontrollers in het netwerk.

Het hele idee van primaire en secundaire domain controller is (letterlijk) uit de jaren 90. Tegenwoordig heb je alleen nog 5 FSMO rollen die maar op één server in het domein of forest tegelijk staan, één daarvan heet de PDC Emulator rol. Voor de rest is AD gewoon multi-master, wat betekent dat elke server wijzigingen kan verwerken en er zit een systeem ingebakken dat eventuele conflicten voorkomt of oplost.

Werkt deze oplossing niet, dan ga ik naar de oplossing van vso kijken.

Die oplossing gaat er dus van uit dat je het bestaande domein weggooit en alles opnieuw moet aanmaken. Dat zou dus niet nodig hoeven zijn omdat je voor authenticatie al een domain hebt en je die rol gewoon kunt overhevelen naar de Windows domain controller.

@Jazzy sorry d8 aan file server.. maar goed niet veel verschil

vmj schreef op maandag 10 december 2018 @ 12:44:
Ik ga als eerst even proberen om de nieuwe Windows server toe te voegen aan het domein aangezien dit de snelste manier is om gebruikers over te zetten begrijp ik. Hopelijk gaat de Windows server dan wel als secondaire domein controller werken want anders heb ik straks 2 primaire domeincontrollers in het netwerk. Werkt deze oplossing niet, dan ga ik naar de oplossing van vso kijken.

Je bezorgt jezelf op deze wijze veel ellende, oude settings die eventueel de boel nog vervelender maken., migreer je ook mee zo weet je ook niet welke afhankelijkheden je nog meer hebt.

Vorkie schreef op maandag 10 december 2018 @ 12:46:
Clone eerst je Samba naar een aparte identieke omgeving en test dit daar.

Dit is de beste oplossing IMHO +10 (alleen clonen = virtualiseer/p2v of v2v in apart lan )

Bouw een nieuw domain ernaast en migreer alles naar het nieuwe domain, als je oude dingen uitzet kan je zo nog altijd weer even activeren na 3/6 maanden gewoon wegdonderen.
En als er dingen opduiken die problemen veroorzaken kan je ze netjes oplossen.

FYI je kan wel windows AD later weer gebruiken als Single Sign On voor linux diensten die je eventueel nog in je bedrijf hebt.. soms is dat simpel soms even een omweg.

vso schreef op maandag 10 december 2018 @ 13:21:
Je bezorgt jezelf op deze wijze veel ellende, oude settings die eventueel de boel nog vervelender maken., migreer je ook mee zo weet je ook niet welke afhankelijkheden je nog meer hebt.

Ik herhaal mezelf maar even.

Jazzy schreef op maandag 10 december 2018 @ 11:08:
Wat voor uitdagingen denk je dat de TS kan verwachten?

Ik wil echt niet vervelend worden, maar als je hier genoeg ervaring mee hebt om TS te adviseren om een nieuwe domain te bouwen, kun je dan tenminste uitleggen waarom precies? Je advies gaat TS best wat extra werk bezorgen namelijk.

Jazzy schreef op maandag 10 december 2018 @ 13:47:
als je hier genoeg ervaring mee hebt om TS te adviseren om een nieuwe domain te bouwen, kun je dan tenminste uitleggen waarom precies? Je advies gaat TS best wat extra werk bezorgen namelijk.

Wat is beter .. een bestaand iets aanpassen/bijbouwen en met diverse verbouwing/uitbouwingen of een nieuw iets bouwen op maat ? Wanneer denk je dat dan een gedrocht word of wanneer je het omslag punt kan bepalen dat het meer/minder werk is.
Jij zegt dat ik hem "extra" werk bezorg maar waaruit concludeer je dat ? en over welke termijn ?

Ik denk juist minder werk omdat je juist meer aan kan passen aan de groei en wensen van het bedrijf zonder beperkt te worden door de restricties die je mee zou nemen van een oude omgeving.

vso schreef op maandag 10 december 2018 @ 15:29:
[...]

Wat is beter .. een bestaand iets aanpassen/bijbouwen en met diverse verbouwing/uitbouwingen of een nieuw iets bouwen op maat ? Wanneer denk je dat dan een gedrocht word of wanneer je het omslag punt kan bepalen dat het meer/minder werk is.

Het topic gaat over het migreren van de userdatabase, AD. Volgens mij heb jij het vooral over alle andere taken die op een server kunnen draaien.

In AD, of in dit geval Samba die een Windows domain controller emuleert, staat de database met alle user accounts, groepen, computer accounts, wachtwoorden, maar ook groepslidmaatschap, etc. Als je die database helemaal weg gooit dan moet je dus nieuwe gebruikersaccounts aanmaken, groepen, zorgen dat mensen weer lid van de juiste groepen worden, wachtwoorden instellen en zorgen dat de gebruikers hun nieuwe wachtwoord gaan bijhouden (twee verschillende wachtwoorden dus, ervan uitgaande dat beide servers een tijdje naast elkaar gebruikt worden). En alle andere servers en computers uit het domein halen en lid maken van het nieuwe domein.

Maar ook als je naar de workloads zelf kijkt, zoals bijvoorbeeld je fileserver. Als je dat van een Linux naar Windows server overbrengt dan kun je dus gewoon de bestaande permissies houden. Hoef je helemaal niets aan te doen. Als je kiest voor een nieuw domein dan moet je dus eerst de data overzetten en daarna de permissies opnieuw zetten. Waarbij je maar mag hopen dat dit op één of twee niveaus gezet is en op basis van groepen, maar de praktijk leert dat dit vaak een rommeltje is.

Jij zegt dat ik hem "extra" werk bezorg maar waaruit concludeer je dat ? en over welke termijn ?

Zie bovenstaande voorbeelden.

Ik denk juist minder werk omdat je juist meer aan kan passen aan de groei en wensen van het bedrijf zonder beperkt te worden door de restricties die je mee zou nemen van een oude omgeving.

Ik probeer me echt in je standpunt te verplaatsen maar het zou een stuk helpen als je ook eens een paar concrete voorbeelden kunt noemen. Je hebt het over 'restricties' en 'ellende', maar maar dat dan eens concreet. Wat exact kunnen ze zometeen niet meer doen als ze AD naar Windows Server migreren in plaats van opnieuw op te bouwen?

Jazzy schreef op maandag 10 december 2018 @ 16:50:
Het topic gaat over het migreren van de userdatabase, AD. Volgens mij heb jij het vooral over alle andere taken die op een server kunnen draaien.

Dan heb je het verkeerd begrepen. users/groups is primair de resultaat. Rechten op x.y.z is secundair.

Maar volgens mij focus je op korte termijn, quick wins en verlies je totaal het overzicht op de toekomst waar je naar mijn mening meer naar moet kijken.

In AD, of in dit geval Samba die een Windows domain controller emuleert, staat de database met alle user accounts, groepen, computer accounts, wachtwoorden, maar ook groepslidmaatschap, etc. Als je die database helemaal weg gooit dan moet je dus nieuwe gebruikersaccounts aanmaken, groepen, zorgen dat mensen weer lid van de juiste groepen worden, wachtwoorden instellen en zorgen dat de gebruikers hun nieuwe wachtwoord gaan bijhouden (twee verschillende wachtwoorden dus, ervan uitgaande dat beide servers een tijdje naast elkaar gebruikt worden). En alle andere servers en computers uit het domein halen en lid maken van het nieuwe domein.

Volgens mij snap je windows niet ofzo ??

Als je 2 omgevingen "windows" hebt kan je gebruik maken van domains & trusts, Daarnaast kan je ook (daardoor)gebruik maken van meerdere "usernames" (pre-2000) waardoor je in kan loggen met Jzz,Jazzy, GOT\jazzy, tweakers\jazzy of Mod-jazzy@tweakers.net ..
En dan heb je de wat minder nette manier dat usernames die zelfde username/passwd in 2 workgroups/domains ook zonder issues met de zelfde bestanden kunnen werken
O en je kan ook nog de GUID v.d user gelijk trekken ..


Betreft voorbeeld:

Er bestaat ook nog een verschil tussen Copy en Move onder Windows en iets met rechten meenemen j/n

Maar zoals ik al zei, het is redelijk makkelijk via wat commandline tools de huidige rechten in te lezen in een bestand. die via "magie(bv spreadsheet/scripting)" om te zetten in een nieuwe locatie met de oude rechten ..

Maar ook als je naar de workloads zelf kijkt, zoals bijvoorbeeld je fileserver. Als je dat van een Linux naar Windows server overbrengt dan kun je dus gewoon de bestaande permissies houden. Hoef je helemaal niets aan te doen. Als je kiest voor een nieuw domein dan moet je dus eerst de data overzetten en daarna de permissies opnieuw zetten. Waarbij je maar mag hopen dat dit op één of twee niveaus gezet is en op basis van groepen, maar de praktijk leert dat dit vaak een rommeltje is.

Waarom moet ik de permissies opnieuw zetten ? Als je de juiste kennis bezit weet je dat gewoon onzin is.
let op alle antwoord(en) en dus de mogelijke paden staat hier al boven benoemd.

Maar juist dit soort moment helpen je een structuur te herdefineren / enforcen en dus weer in het gareel te krijgen. En workload is relatief, 75% is geen probleem , restant 25 % is 20% "overleg" en 5% to be solved .. vergeet niet dat ICT dienst verlenend is geen koning op de berg immers het bedrijf verdient geld .. waarvan jou (ict)afdeling geld kost.. dus jij doet er goed aan om het voor iedereen werkbaar te houden.

Ik probeer me echt in je standpunt te verplaatsen maar het zou een stuk helpen als je ook eens een paar concrete voorbeelden kunt noemen. Je hebt het over 'restricties' en 'ellende', maar maar dat dan eens concreet. Wat exact kunnen ze zometeen niet meer doen als ze AD naar Windows Server migreren in plaats van opnieuw op te bouwen?

Wat denk je dat beter is .
Optie A ) Alle kennis gebruiken en daarmee een nieuw product ontwerpen en bouwen ..
of
Optie Een bestaand product verbouwen totdat het bevalt

Ik weet zeker dat optie B, na 10 verbouwing + looptijd zoveel interne littekens en troep bevat dat er nog weinig van het origineel over is. zeker als je bedrijf van 30 man naar 150 man groeit .. en je bv al 5 of 10 jaar bestaat. afdelingen veranderen van Ad-hoc naar meer gestructureerde .. bedrijfsvisie veranderd en dus ICT veranderd. wil je dat kosten wat het kost allemaal "behouden" ?

En het is wat je niet meer kan doen .. maar juist wat je allemaal juist wel kan gaan doen en verbeteren door opnieuw te bouwen. want je word niet gelimiteerd (of minder) gelimiteerd door oude afhankelijkheden.

vso schreef op dinsdag 11 december 2018 @ 11:41:
Dan heb je het verkeerd begrepen.

[...]

Volgens mij snap je windows niet ofzo ??

[...]

Als je de juiste kennis bezit weet je dat gewoon onzin is.

Laten we het hier maar op houden inderdaad.

[ Voor 22% gewijzigd door Jazzy op 11-12-2018 12:33 ]

Jazzy schreef op dinsdag 11 december 2018 @ 12:33:
[...]

Laten we het hier maar op houden inderdaad.

Tja wel jammer dat je alleen het negatieve quote ..het zou wat fraaier zijn als je begrijpt dat elementere dingen uitleggen een reactie uitroept.

en vervolgens begrip tonen dat er waardevolle informatie gedeeld word waaruit je verder kan leren. (ipv de vis geven .. leren vissen)

maar goed .. ieder zijn ding

Je weet hopelijk wel dat Jazzy een specialist is in dit soort zaken? Ik moet me dan ook helemaal bij hem aansluiten. Het is mij echt totaal onduidelijk waarom je hier een nieuwe domein zou willen opbouwen. Je hebt geen idee hoe het in de bestaande situatie is ingeregeld. Voor hetzelfde geld gooi je een keurig ingeregeld AD netwerk weg voor... een ander keurig ingeregeld netwerk Wat is daar het nut van? Behalve dat het enorm veel werk oplevert.

Verder: GUID's gelijktrekken? Je bedoeld vast SID's?

Een netwerk met 150 man is eigenlijk te groot om helemaal opnieuw op te willen bouwen. Daar zitten naar alle waarschijnlijkheid veel teveel afhankelijkheden en koppelingen naar AD in dat het niet de moeite waard is. Schoon beginnen is heel fijn, maar als dat vijf keer zoveel kost dan moet je jezelf achter de oren krabben.

vso schreef op maandag 10 december 2018 @ 13:21:


[...]

Je bezorgt jezelf op deze wijze veel ellende, oude settings die eventueel de boel nog vervelender maken., migreer je ook mee zo weet je ook niet welke afhankelijkheden je nog meer hebt.

Als de huidige AD prima functioneert, waarom zou je dan ellende migreren? En als je al ellende mee migreert, mijn ervaring is dat dit eigenlijk altijd wel op te lossen is.
Ik ken de omgeving van TS niet, maar jij suggereert dat greenfield beginnen wel “ff” zo gedaan is en minder ellende oplevert. Ik betwijfel dat.

Mijn advies aan TS: testomgeving bouwen en de huidige Samba AD migreren zoals oa Jazzy voorstelt. Als je dit succesvol getest hebt kun je dit in je huidige omgeving herhalen.
Ga niet freewheelen in je productieomgeving, als je daar dingen om zeep helpt zijn de gevolgen direct merkbaar

Oogje schreef op zondag 16 december 2018 @ 10:01:
Als de huidige AD prima functioneert, waarom zou je dan ellende migreren? En als je al ellende mee migreert, mijn ervaring is dat dit eigenlijk altijd wel op te lossen is.
Ik ken de omgeving van TS niet, maar jij suggereert dat greenfield beginnen wel “ff” zo gedaan is en minder ellende oplevert. Ik betwijfel dat.

De linux (server) omgevingen die ik gezien zijn allemaal nt4 achtige / "linux mind set" gebouwd.
registry hacks, gpo's en AD objects die door de loop van de jaren door diverse admins neergezet zijn om reden x.y.z . losse werkstations. Servers die allemaal anders zijn misschien op het oog een beetje consistentie. o en door "onkunde" is de hypervisor en de storage server / san ook onhandig ingericht.

een server / desktop aan het domain joinen heeft hoeveel werk nodig ? o niet veel 2 a 3 dagen(lees 4 a 5) om "software te installeren enzv met de hand"

Dat wil je allemaal "migereren" omdat het gemakkelijker is, welk voordeel ga je dan halen ?
o en als je max voordeel wilt halen uit windows doe je upgraden van domain level .. maar ja met oude gegevens wat gaat er stuk ? hoe ga je dit testen ??

Mijn advies aan TS: testomgeving bouwen en de huidige Samba AD migreren zoals oa Jazzy voorstelt. Als je dit succesvol getest hebt kun je dit in je huidige omgeving herhalen.
Ga niet freewheelen in je productieomgeving, als je daar dingen om zeep helpt zijn de gevolgen direct merkbaar

Tja ik zou bv een 2016 domain level greenfield ernaast zetten, trust opbouwen en per afdeling users migreren met hun applicaties. Maar dit is is windows --> windows. Als de samba DC goed opgebouwd is dat ook wel te doen. Uiterraard test je

Een goed domain kan je servers/desktops gewoon kopen en direct joinen aan het domain, met minimale arbeid van een helpdesk persoon (ipv admin) door effectief gebruik te maken van nette gpo's

Maar goed alles goed opbouwen vereist eerder een greenfield zodat je alles per onderdeel goed kan opzetten. je hoeft niet de basis te veranderen .. je kan bv dhcp exact opzetten als het oude domain .. je hoeft ook niet voor alles het wiel opnieuw uit te vinden. Maar greenfield kan je een consistent iets opzetten.