Migration 6->7 Erfahrungsbericht

Server v7 v7-Betatest
1

Hallo alle zusammen,

der letzte Test fehlt zwar noch: die Kollegen und Schüler kommen ja erst am Mittwoch, aber ich wollte doch mal beschreiben, was so alles passiert ist während der Migration, bevor die Erinnerung verblaßt.

Der PLan war: in den Ferien migrieren, und da aber auch mal Urlaub gemacht werden sollte, blieben am Ende der Ferien 2,5 Wochen für die Umsetzung des Plans.
Erstes Desaster: die Installation des Servers benötigte eine Woche wegen eines Dummen Fehlers von mir …
Also startete die Migration erst diese Woche am Dienstag.
Eigentlich dachte ich, das ist jetzt alles zu kurz und das wird nicht klappen: aber linuxmuster.net hat mich mal wieder überrascht: zuerst die sehr gute Vorarbeit von Rüdiger, der mal wieder ein solides sophomorix-vampire abgeliefert hat und zweitens die Community: vor allem Dominik, der 2 Wochen früher dran war mit der Migration und Probleme schon umschifft hatte.
Ab Dienstag ging es Schlag auf Schlag:
Dienstag Migration der Benutzer und Passwörter und erste Installation des von Dominik gelieferten Linuxclients
Mittwoch: feilen am Linuxclient und aufsetzen des win10 Clients (beides virtuell). Über Nacht dann Migration der Lehrerdaten.
Donnerstag: Migration der Schülerdaten und um 14 Uhr war es dann so weit: in die Schule fahren und den Server im Schulnetz live schalten. Lehrerrechnerraum klonen und Drucker in Betrieb nehmen: im Linuxclient sofort ansprechbar ohne Eingriff ins Image: Perfekt, Lehrerrechnerraum läuft
Freitag: in der Schule von 10 bis 13 Uhr mit zwei Kollegen am werkeln. Die beiden laufen durch die Schule und machen Clients an, Partitionieren und syncen sie. torrent macht Probleme, viele Clients fallen auf rsync zurück, was den Server zu stark belastet: also hab ich die torrenteinstellungen noch vom alten Server übertragen (MaxClients 60 statt 4 und die Slicegröße angepaßt), dann lief es viel besser.
Aber auch wieder ein Problem: aus unvorhergesehner RIchtung: eine Hardwareklasse (Lenovo T420) läuft nicht mit dem linuximage: die Grafische Oberfläche erscheint nicht!
Also ein Laptop mit nach Hause genommen und über Nacht zurecht geklopft: Kernel 5 alle deinstalliert und 4.15.0-60 installiert: geht.
An der Stelle wird es nun sehr spannend: aber ich habe beschlossen, der Sache ins Gesicht zu schauen: vielleicht gibt es ja Erkentnisse, die uns im Linuxanmeldungstread weiter bringen.
Ich habe den t420 Zuhause in meinem Testnetzwerk geklont: das ist eine lmn62 mit linbo 2.3.51. Das bedeutet, dass linbo eine neue macct Datei geschrieben hat, deren Inhalt natürlich Falsch ist für mein Schulnetz.
Trotdem übertrage ich dieses potentiell „giftige“ Image in die Schule und werde es dort klonen (vorher wird die macct Datei durch die schulische Datei ersetzt). Die spannende Frage: was passiert in der AD: reicht es die macct Datei zu ersetzen…

Die eigentliche migration hat hammermäßig super funktioniert: ein richtiges rundum Sorglos Paket.
Es ist zeitaufwändig: man muss bestimmt 20 Befehle eingeben und genau hinschauen, was man da macht: aber dann ist alles da.
Ich habe migriert:

  • die Nutzer
  • die Passwörter
  • die Benutzerdaten
  • die Projekte und Klassen mit Tauschlaufwerken
    Dabei wurde auch die subnets.csv auf dem neuen server aus der vom alten automatisch erstellt.

Was ich nicht migriert habe: linbo.
Ich ersetze Win7 und ubuntu 14.04 durch Win10 und ubuntu 18.04: das sind dann 90% meiner ca. 180 Clients.
Die paar, die ein altes Win7 Image behalten (weil sie spezialsoftware haben, für dessen Migration auf Win10 ich jetzt garantiert keine Zeit habe) bekommen ihr alte Image händisch kopiert und werden am Montag aus der Domäne austreten und dann in die neue Eintreten … könnte klappen … wenn ich händisch nach dem Austritt alle Verweise auf SCHULE in der Registry lösche und dann erst der neuen Domäne (die anders heißt) beitrete… mal sehen.

Für alle die sowas noch vor haben, hier noch ein HInweis auf die Doku.
Man findet die orginaldoku hier:

Diese wurde eingedeutscht hier:
https://wiki.linuxmuster.net/archiv/entwicklung:techsheets:samba4_sophomorix_migration

ABER: noch fehlt der letzte Abschnitt, der die MIgration der Dateien und die Migration von linbo beschreibt: also, schaut am Ende auch in die orginaldoku!

Man muss dazu sagen, dass ich seit Monaten die Migration plane und deswegen vieel Strategien entwickelt habe, die mir jetzt helfen.
z:B: damit ich keinen Zeitdruck habe, laufen etliche Dienste weiter mit Anbindung an den alten Server.
Der erscheint nach außenhin weiterhin so wie vorher: der neue hat eine andere Adresse.
Deswegen sind

  • Raumbuchung
  • portfolio
  • moodle
  • nextcloud
  • stundenplanwebserver
    alle weiterhin genau so nutzbar wie vorher.
    Noch hab ich da nicht hingefaßt: das wird nächste Woche kommen.

Geplant ist:
moodle und nextcloud (nach Anleitung von Dominik) an die lmn7 anbinden.
mrbs und portfolio werden neu installiert: da werden die Daten „von Hand“ migriert.

Die Migration scheint sehr erfolgreich verlaufen zu sein: bisher hab ich aber nur mit 4 Lehrerkonten getestet.
Es funktioniert das allte Passwort.
Es sei aber dazu gesagt, dass es bei der Migration ein bekanntes Problem gibt: alte passwörter, die schon seit Jahren nicht mehr geändert wurden, werden nicht richtig migriert. Bei mir schlägt das wohl nicht zu, da alle Lehrer wegen einem Zwischenfall Anfang Juli neue Passwörter auf dem alten Server bekommen haben.
Es ist einfach krass, wenn man sich an einen Rechner setzt und mit den alten Credentials anmeldet und dann unter Home_auf_Server das alte Kudelmuddel vorfindet.

Mittwoch geht es los: potentiell passiert wahrscheinlich folgendes: vor allem Schüler der Oberstufe, die schon länger an der Schule sind, werden sich nicht anmelden können: das können Lehrer beheben, wenn sie das in der WebUI hinbekommen.
Ich werde also eine Papieranleitung laminieren und an den Lehrerrechnern festkleben … das wird spannend…
Noch habe ich die Passwortkomplexity nicht wieder eingeschaltet und auch die Mindestlänge auf 4 gelassen: das Problem mag ich jetzt nicht gleichzeitig auch noch haben …

Ich werde am Wochenende berichten, wie den die ersten 3 Tage lmn7 verlaufen sind :slight_smile:
LG

Holger

1 „Gefällt mir“
2

Hallo,

An der Stelle wird es nun sehr spannend: aber ich habe beschlossen, der
Sache ins Gesicht zu schauen: vielleicht gibt es ja Erkentnisse, die uns
im Linuxanmeldungstread weiter bringen.
Ich habe den t420 Zuhause in meinem Testnetzwerk geklont: das ist eine
lmn62 mit linbo 2.3.51. Das bedeutet, dass linbo eine neue macct Datei
geschrieben hat, deren Inhalt natürlich Falsch ist für mein Schulnetz.
Trotdem übertrage ich dieses potentiell „giftige“ Image in die Schule
und werde es dort klonen (vorher wird die macct Datei durch die
schulische Datei ersetzt). Die spannende Frage: was passiert in der AD:
reicht es die macct Datei zu ersetzen…

gesagt getan: bionic.cloop in die Schule hochgeladen.
Inhalt der Schul macct Datei (hash verunstaltet)

dn: @@dn@@
changetype: modify
replace: unicodePwd
unicodePwd:: 123456789iuJt6Moo7LSfg==

3

Hi zusammen,
schließe mich Holger an mit einem Erfahrungsbericht. Aktualisiere ihn aber stündlich hier:
https://wiki.linuxmuster.net/community/umstieg-v7-erfahrungsbericht
VG, Tobias

4

p.s. die doku ist ja schon länger offiziell: http://docs.linuxmuster.net/de/v7/systemadministration/maintenance/migration.html
ich würde das als „Original“ propagieren :slight_smile:

5

Hallo,

da die Migration demnächst ansteht, habe ich mich mal etwas eingelesen und 2 Fragen:

  1. In einer älteren Anleitung steht noch: „Es wurden noch keine User, Hosts [Erläuterung: auf der 7.0] … angelegt.“ Ist das inzwischen obsolet oder sollte ich meine Testuser vor der Migration löschen?

  2. In der Doku ist von „Klassenadministratoren“ die Rede. Sind damit die Einträge der Kollegen in Klassen gemeint?

Viele Grüße

Wilfried

6

Hallo Wilfried,
aktuell dürfte diese Seite sein…
https://docs.linuxmuster.net/de/v7/systemadministration/maintenance/migration.html

Bist du danach vorgegangen?
Michael

7

Hallo Michael,

ich bin noch gar nicht vorgegangen. Aber Frage 2 bezieht sich auf die aktuelle Doku, Frage 1 auf das Wiki: https://wiki.linuxmuster.net/archiv/entwicklung:techsheets:samba4_sophomorix_migration

Viele Grüße

Wilfried

8

Hi.
… also ich kann nur soviel sagen: ich habe auch migriert (mit der „do-it-like-babo“-Option) und habe alle User weiterhin mit den gleichen Passwörtern auf dem v7-Server… Ist aber alles schon wieder 'ne Weile her. (Die Homeverzeichnisse habe ich zB noch nicht synchronisiert).
hth,
Michael

9

Hallo Wilfried,

ich hab mich bei der Migration genau an das gehalten, wie es in der
Anleitung steht: das hat geklappt.

In der Anleitung steht:

„Installation mit Schema fürs AD ist abgeschlossen. Es wurden noch keine
User,Hosts, … angelegt.“

das ist etwas anderes als: „nicht vorhanden“
Das bedeutet: mit dem löschen deiner Testuser stellst du kein System
her, das den VOraussetzungen der Migration genügt.

Du kannst natürlich trotzdem migrieren: aber ich würde das dann als
„Test“ bezeichnen: du versuchst, ob es auch klappt, wenn schon mal
NUtzer/Hosts angelegt waren.

Wenn du keine Lust auf Tests hast, dann solltest du ein frisch
installiertes System als Ziel nehmen.

Viele Grüße

Holger

10

Hallo Holger,

aber ist das nicht die normale Situation: Ich installiere Server + Firewall + Client und probiere das Ganze mit Testusern aus. Das entspricht auch weitgehend der Doku, sonst müsste m. E. spätestens an dieser Stelle der Doku:

https://docs.linuxmuster.net/de/v7/getting-started/add-user-accounts.html

ein Hinweis stehen: Vorsicht, wer später migrieren will, sollte folgendes unterlassen …

Viele Grüße

Wilfried

11

Hallo Wilfried,

aber ist das nicht die normale Situation: Ich installiere Server +
Firewall + Client und probiere das Ganze mit Testusern aus.

das ist normal für dich: für mich nicht.
Ich finde es normal, dass ich installiere, migriere und dann meine Tests
mache …

Welche Einstellungen hast du den an deinem lmn7 System, die vor der
migration gemacht werden und danach erhalten bleiben sollen?

LG

Holger

12

Hallo Holger,

die Doku ist anders aufgebaut oder geht davon aus, dass die Nutzer mehrheitlich neu installieren, also ohne MIgration, wobei dies in Corona-Zeiten wegen der Passwörter schwierig sein dürfte.

spontan fällt mir freeradius ein, einiges im Bereich linbo, weil ich das ohnehin nicht migrieren wollte.-

Egal, ich probiere es einfach demnächst mal aus und berichte dann.
Dieses AD-Zeugs wird mir immer unsympathischer. In grauer Vorzeit hatte ich mal einen Windows-Server mit AD, und das war der Grund, warum ich damals ganz zur LInuxlösung gewechselt bin, ML 2.0 oder so ähnlich.

Viele Grüße

Wilfried

13

Hallo,

ich bin folgendermaßen vorgegangen:

  1. LMN7-Server geclont: LMN7-Serverkopie, alles Weiterre im Wesentlich hier

  2. Löschen der vorhandenen User:

  • Die /etc/linuxmuster/sophomorix/default-school/school.conf ist wohl jetzt der Ort, an dem man die Duldungszeiten eintragen kann. Ich habe aber einfach in den Schuleinstellungen der Schulkonsole die Tage auf Null gestellt.

  • Dann habe ich an der Konsole die entsprechenden sophomorix-Befehle zum Löschen ersteilt. Leider waren einige meiner User sehr hartnäckig. Mit dem Kommando sophomorix-kill --killuser („Kill a user by force“) bekommt man sie aber alle weg.

  1. Dann habe ich die hosts, mit Ausnahme der Server, aus der devices.csv entfernt und linuxmuster-import-devices laufen lassen.

  2. Kontrolle in der Schulkonsole: Keine User und Geräte vorhanden.

  3. Durchführung der Migration laut Doku bis zum Einspielen der devices als dry-run: alles unauffällig.

  4. Nutzen der devices.csv des lmn7-Servers (also vor der Migration) mit diversen Musterclients.

  5. Anmelden am Ubuntuclient geht zunächst nicht, obwohl sich stichprobenartig User an der Schulkonsole anmelden können.

  6. Löschen der macct-Datei des Ubuntuclients, anmelden als linuxadmin und löschen der /etc/krb5.keytab. Neue Aufnahme mit linuxmuster-client-adsso-setup. Neues Image schreiben. (Vielleicht ist das procedere nötig, weil der Serverclon irgendwie doch anders ist.)

  7. Danach können sich „nahezu“ alle am Client anmelden und bekommen ihre Home- und Tauschverzeichnisse. („nahezu“: Ausgerechnet mein Lehreraccount funktionierte als einziger von vielen gestesten nicht, obwohl ich mich an der Schulkonsole anmelden konnte. Nachdem ich dort mein Passwort geändert habe, funktioniert auch mein Lehreraccount.)

Ob dieses Verfahren noch unangenehme Spätfolgen hat, kann ich nicht einschätzen. Sicherer ist es wahrscheinlich, wenn man wie von Holger empfohlen vorgeht.
Ein Hinweis in der Doku sollte m. E. frühzeitig erscheinen, vielleicht im Abschnitt „Erstkonfiguration durch die Schulkonsole“. Dort ist von einem Admin-PC die Rede … Mir ist die Problematik erst durch die Anleitungen im Wiki und auf Github aufgefallen.

Viele Grüße

Wilfried

14

Hallo Wilfried,

Danach können sich „nahezu“ alle am Client anmelden und bekommen
ihre Home- und Tauschverzeichnisse. („nahezu“: Ausgerechnet mein
Lehreraccount funktionierte als einziger von vielen gestesten nicht,
obwohl ich mich an der Schulkonsole anmelden konnte. Nachdem ich
dort mein Passwort geändert habe, funktioniert auch mein Lehreraccount.)

das Verhalten ist schon mehrfach beobachtet worden.
Woran es genau liegt, wissen wir nicht: es gab aber eine Problembehebung
hier in ask: wo man am Server einmal ein script laufen läßt, dass die
Passwörter „geraderückt“

Schau mal hier:

Also: auch bei meiner Migration vor einem Jahr konnten sich geschätzte
5% oder 10% der Nutzer nicht am Client Anmelden: aber an der WebUI.

Das ist also „normal“ (noch).

LG

Holger

15

… kleine Ergänzung: Sofern ich Wilfried verstanden habe, nutzt er den Ubuntu-Client. Wir haben nur mit dem Windows-Client (bisher) gearbeitet (Umstellung vor 14 Tagen). Unser Linux-Client ist dann das kommende Ferienprogramm. Der Hinweis ist insofern wichitg, da der NT-Hash den wir mit pdbedit -Lw auslesen für die Windows-Auth-Geschichte wichtig ist. Ein aktueller Linuxclient nutzt aber einen SHA-512-Hash. Ich bin auch noch nicht ganz durchgestiegen aber ich gehe einfach davon aus dass auf dem AD zu einem Passwort immer beide Hashes vorliegen.

16

Hallo Wilfried,
vielen Dank für all diese Berichte zur Migration: Soll ich diesen Abschnitt als Issue in Github aufnehmen?
Was sollen wir in den Abschnitt genau reinschreiben?
„Bitte keine Testbenutzer anlegen, wenn Sie migrieren wollen.“ Oder
„Wenn Sie später von 6.x → 7 migrieren wollen, müssen Sie jetzt angelegte Testnutzer davor wieder aus dem Systementfernen.“

Ist das ganze noch relevant oder wurde die Doku schon dahingehend geändert?
(Ich bin mal wieder nicht ganz auf dem Stand.)

VG, Tobias

17

Hallo Tobias,

ist nicht mehr relevant: Da gibt es mittlerweile zwei deutliche „Abbiegepfeile“, die in die richtige Richtung verlinken.

Viele Grüße

Wilfried

1 „Gefällt mir“