Umwandlung eines Backup Directory Node zum neuen Primary Directory Node

3.10. Umwandlung eines Backup Directory Node zum neuen Primary Directory Node#

Eine UCS Domäne hat immer genau einen Primary Directory Node, kann aber beliebig viele Backup Directory Node beinhalten. Ein Backup Directory Node speichert alle Domänendaten und alle SSL-Sicherheitszertifikate als Kopie, im Gegensatz zum Primary Directory Node können jedoch keine schreibenden Änderungen vorgenommen werden.

Jeder Backup Directory Node kann zu einem Primary Directory Node umgewandelt werden. Hierfür gibt es zwei typische Anwendungsfälle:

  • Im Notfall nach einem Hardwareausfall des Primary Directory Node.

  • Zum geplanten Ersetzen des Primary Directory Node durch neue Hardware oder Wechsel der Architektur von i386 auf amd64.

Vorsicht

Die Umwandlung eines Backup Directory Node in einen Primary Directory Node ist ein tiefgreifender Konfigurationsschritt und sollte gründlich vorbereitet werden! Die Umwandlung kann nicht rückgängig gemacht werden.

Der zu ersetzende Primary Directory Node muss vor Beginn der Umwandlung abgeschaltet werden und darf weder während der Umwandlung noch im Anschluss daran wieder in Betrieb genommen werden!

Im Vorfeld muss die installierte Software sowie die aktuelle Konfiguration zwischen Primary Directory Node und Backup Directory Node abgeglichen werden. Wenn der Primary Directory Node wegen eines Ausfalls nicht mehr verfügbar ist, muss eine Sicherung herangezogen werden. Im Nachgang an die Umwandlung müssen alle möglichen verbliebenen Referenzen auf den alten Primary Directory Node entfernt oder korrigiert werden.

Die Umwandlung umfasst primär die Umstellung der für die Authentifizierung relevanten Dienste wie LDAP, DNS, Kerberos und Samba. Der Abgleich der installierten Software muss manuell erfolgen (über die UMC-Module App Center und Paket-Verwaltung).

Wenn also z.B. auf dem vorherigen Primary Directory Node die Mailkomponente installiert war, ist diese nach der Umwandlung nicht automatisch auf dem neuen Primary Directory Node verfügbar. Um den Umfang der Nachbereitung möglichst gering zu halten, sollte im Vorfeld Fehlertolerante Domain Einrichtung beachtet werden.

Wurden auf dem Primary Directory Node zusätzliche LDAP-Schema-Pakete installiert, so müssen diese vor der Umwandlung auch auf dem Backup Directory Node installiert werden. Die Paketliste des alten Primary Directory Node sollte vor der Umstellung gesichert werden, um einen Abgleich der installierten Pakete zu erlauben. Die Paketliste kann mit dem folgenden Befehl erstellt werden:

$ dpkg --get-selections \* > dpkg.selection

Vergleichen Sie die so auf dem Primary Directory Node erstellte Datei mit einer ebenso erstellten Datei des Backup Directory Node. Sie sollten sich lediglich in den Paketen univention-server-master und univention-server-backup unterscheiden. Installieren Sie die benötigten Pakete auf dem Backup Directory Node nach. Insbesondere alle Pakete, die ein LDAP-Schema installieren, sind zwingend erforderlich. Der folgende Befehl ausgeführt auf dem Primary Directory Node erstellt eine Auflistung aller Pakte mit LDAP-Schema:

$ dpkg -S /etc/ldap/schema/*.schema \
  /usr/share/univention-ldap/schema/*.schema

Um einfach alle installierten Pakete des Primary Directory Node auch auf dem Backup Directory Node zu installieren, kann die zuvor auf dem Primary Directory Node erstellte Datei dpkg.selection mit folgenden Befehlen verwendet werden:

$ dpkg --set-selections < dpkg.selection
$ apt-get dselect-upgrade

Darüber hinaus sollte der Univention Configuration Registry-Datenbestand gesichert werden, um Konfigurationsanpassungen auch auf dem neuen Primary Directory Node abgleichen zu können. Folgende Dateien des Primary Directory Node sind dazu mit denen auf dem Backup Directory Node zu vergleichen:

  • /etc/univention/base.conf

  • /etc/univention/base-forced.conf

Eine nächtliche Sicherung dieser Dateien findet sich auch in /var/univention-backup/ucr-backup_%Y%m%d.tgz.

Die Umwandlung eines Backup Directory Node zum neuen Primary Directory Node erfolgt dann durch Aufruf des Befehls /usr/lib/univention-ldap/univention-backup2master auf dem Backup Directory Node. Das System muss anschließend neu gestartet werden. Die Umstellung wird in der Logdatei /var/log/univention/backup2master.log protokolliert. Folgende Schritte führt der Befehl univention-backup2master der Reihe nach aus:

  1. Prüfung der Umgebung: Bei dem System muss es sich um einen Backup Directory Node handeln, der der Domäne bereits beigetreten ist. Zudem wird sichergestellt, dass der Primary Directory Node über DNS auflösbar sowie dass eine Verbindung zum Repository-Server möglich ist. Außerdem darf der Primary Directory Node nicht mehr im Netzwerk erreichbar sein.

  2. Nun werden die wichtigsten Dienste OpenLDAP, Samba, Kerberos sowie Univention Directory Notifier und Listener gestoppt, elementare Univention Configuration Registry Variable wie ldap/master und server/role umgestellt, das UCS Root-Zertifikat vom Webserver des Backup Directory Node abrufbar gemacht und die oben genannten Dienste wieder gestartet.

  3. Der DNS SRV Eintrag kerberos-adm wird vom alten auf den neuen Primary Directory Node geändert.

  4. Sofern vorhanden, wird der Univention S4 Connector (siehe Univention S4 Connector) vom Rechnerobjekt des alten Primary Directory Node entfernt und auf dem neuen Primary Directory Node zur erneuten Konfiguration vorgemerkt.

  5. Im OpenLDAP wird die Serverrolle des neuen Primary Directory Node auf domaincontroller_master geändert. Ebenfalls wird der DNS SRV Eintrag _domaincontroller_master._tcp korrigiert.

  6. Sofern vorhanden werden die Einträge des alten Primary Directory Node aus der lokalen Samba-Datenbank des neuen Primary Directory Node entfernt. Zudem werden die FSMO-Rollen auf den neuen Primary Directory Node übertragen.

  7. Anschließend wird das Rechnerobjekt des alten Primary Directory Node im OpenLDAP gelöscht.

  8. Nun wird das LDAP nach Referenzen auf den alten Primary Directory Node durchsucht. Alle gefundenen Referenzen werden angezeigt und es wird eine Korrektur vorgeschlagen, welche einzeln geprüft und bestätigt werden muss, z.B. weitere DNS-Einträge.

  9. Zum Abschluss wird das Paket univention-server-backup durch univention-server-master ersetzt.

Im Anschluss sollte sowohl Univention Configuration Registry auf allen UCS-Systemen der Domäne als auch das LDAP auf dem jetzt neuen Primary Directory Node hinsichtlich Verweisen auf den Namen und die IP-Adresse des alten Primary Directory Node überprüft und diese angepasst werden.

Für weitere Hinweise, siehe Univention Help 19514 - „How To: backup2master“.