Von Windows zu Linux

30.11.2006
Von Ingo Steuwer
Mit dem "Univention Corporate Server" können auch ohne tiefe Linux-Kenntnisse Windows-Server-Umgebungen durch Linux ergänzt oder ersetzt werden. Am Beispiel der Migration von Windows NT nach Linux verdeutlicht dies Ingo Steuwer.

In vielen modernen IT-Umgebungen sind Linux-Server selbstverständlich geworden, sind sie doch dank moderner Distributionen schnell aufgesetzt und bieten zuverlässig Web-, File- oder Print-Dienste an. Bei bestehenden Windows-Umgebungen erscheint die Anbindung von Linux-Servern oder die Migration nach Linux jedoch kompliziert und langwierig. Das muss nicht so sein, wie das Beispiel einer Migration von Windows NT zum "Univention Corporate Server" zeigt.

Univention Corporate Server (UCS) basiert auf der freien Linux-Distribution Debian. UCS unterscheidet sich von den anderen Linux-Paketen durch ein integriertes Identity- und Infrastrukturmanagementsystem (dem UCS-Managementsystem), das auf einer sorgfältigen Zusammenstellung und Konfiguration von bewährten Open-Source-Komponenten wie Samba, Open LDAP und Apache basiert. Dank der webbasierten Benutzerschnittstelle sind für die tägliche Administration keine Linux-spezifischen Kenntnisse erforderlich - die integrierte Ablösung von Windows-NT Serversystemen kann dazu der Anfang sein.

Von Windows NT zu UCS

Am Anfang der Migration müssen aller Benutzer-, Gruppen- und Rechnerinformationen von den bestehenden Anmeldeservern in eine spezielle Datenbank im Univention-System kopiert werden. Erst danach können diese Benutzer- und Freigabeinformationen auf den Linux-Server übertragen werden. Parallel dazu läuft die Übernahme der Druckerfreigaben inklusive der vorhandenen Druckertreiber. Sobald die Daten von den alten Anmeldeservern - NT-Systeme in den Rollen "Primärer Domänencontroller" (PDC) oder "Backup Domänencontroller" (BDC) - übertragen sind, müssen diese abgeschaltet werden, da kein fortlaufender Abgleich der Benutzerdaten mehr stattfindet.

Nach diesen Schritten ist es Zeit für erste Tests. Im Erfolgsfalle melden sich die User wie gewohnt an ihren Windows-Arbeitsplätzen an und bemerken den Austausch der Server in ihrer Arbeitsumgebung gar nicht.

Benutzerinformationen transferieren

UCS bildet die Windows-NT-Server-Rollen PDC, BDC und Member-Server transparent ab. Um Benutzerinformationen speichern zu können, ist auch hier die Installation eines PDC notwendig. Dazu reicht es, beim Anmelden des UCS den "Domaincontroller Master" auszuwählen und mit den vorgeschlagenen Standardkomponenten zu installieren. Dabei sollte der Systemadministrator sein Netzwerk so konfigurieren, dass das neue System parallel zu den vorhandenen Servern betrieben werden kann.

Anschließend können die Domäneninformationen übertragen werden. Dazu startet der Sysadmin das UCS-Programm "univention-pdc-takeover". Dieses fragt neben Rechner- und Domänennamen des NT-PDC auch Benutzernamen und Passwort des Windows-Administrators ab. Die weiteren Fragen des Systems können einfach mit den vorgeschlagenen Werten beantwortet werden.

Für die Datenübernahme konfiguriert sich das UCS-System als Backup Domänencontroller (BDC) und tritt so der Windows-NT-Domäne bei. Jetzt kann es alle Konteninformationen abrufen, die es ihm ermöglichen, zunächst Gruppen-, Benutzer- und Rechnerkonten anzulegen und dann die Zuordnung der Benutzer zu den Gruppen abzugleichen. Der Fortschritt dieses Prozesses lässt sich in der UCS-Administrationsoberfläche beobachten.

Die hierfür benötigte Zeit hängt stark von der Datenmenge und der eingesetzten Hardware ab. In Umgebungen mit weniger als 100 Benutzern dauert das Ganze nur wenige Minuten. In Netzwerken mit 10.000 Konten kann diese Synchronisation vier bis fünf Stunden Zeit in Anspruch nehmen.

Datenfreigaben migrieren

Auf den meisten abzulösenden Servern finden sich auch die Freigaberechte, die künftig gelten sollen. Für einen reibungslosen Übergang bietet es sich an, diese mit gleichem Namen im UCS-Managementsystem anzulegen. In den meisten Umgebungen ist es dann am einfachsten, den Kopiervorgang von einem Windows-System aus anzustoßen.

Dazu verwendet man am besten Tools wie "robocopy" aus dem Microsoft Resource Kit. Dabei bleiben alle Berechtigungs-Zuordnungen erhalten. Dieser Kopiervorgang erweist sich häufig als der zeitintensivste Prozess innerhalb der gesamten Windows-Linux-Migration. Daher sollte der Zeitbedarf für diesen Vorgang bereits vorher durch Testläufe abgeschätzt werden.

Das ganze Prozedere kann man sich für die Freigabe "Netlogon" sparen. Da sie immer vorhanden ist, werden die damit zusammenhängenden Dateien bereits durch "univention-pdc-takeover" kopiert.

Druckerfreigaben übertragen

In Windows-Domänen ist es üblich, an Druckerfreigaben Treiber und Konfiguration der Drucker zu hinterlegen. Um eine manuelle Übernahme zu vermeiden, existieren unter UCS Werkzeuge zum automatischen Kopieren dieser Daten.

Im ersten Schritt wird dazu das Programm "univention-get-winprinters-nt4_server=<NT-SER VER>" aufgerufen, das Rechner- und Benutzernamen samt Passwort für den Windows-Druckserver abfragt. Mit diesen Daten baut es eine Verbindung zwischen dem Windows- und dem Linux-Server, kopiert alle Treiberdaten und Druckerkonfiguration und speichert diese lokal in jeweils einer Datei pro Drucker. Das dabei verwendete Dateiformat ".deb" stammt noch aus der Debian-Linux-Distribution, UCS übernimmt diese Programmpakete eins-zu-eins.

Es greifen also die Debian-Standard-Mechanismen, und die von den Druckern benötigten Dateien landen auf dem Zielsystem. Das besorgt der Systemadministrator über das Kommando "dpkg -i Da teiname.deb". So vorbereitete Drucker erscheinen mittels der UCS-Routine "univention-list-winprin ters" auf dem Bildschirm des Netzverwalters.

Über den Befehl "univention-put-winprinters-samba_hostname =<UCS-SERVER> <Druckerna me(n)>" können die Drucker dann einem UCS-Server zugeordnet werden. Das Programm legt die Druckerfreigaben im Managementsystem an, ordnet dort die Treiber korrekt zu und konfiguriert die Drucker gegebenenfalls. Die weitere Administration erfolgt dann wie gewohnt über die Netzwerkumgebung eines Windows-Systems.

Servernamen beibehalten

Nach abgeschlossener Übernahme all der oben erwähnten Daten werden die Windows-NT-Systeme abgeschaltet. Um den damit verbundenen Neukonfigurationsaufwand bei den Benutzern so gering wie möglich zu halten, sollten die alten Namen der Windows-NT-Server erhalten bleiben, etwa als "Alias" der Namen der neuen UCS-Server.

Dazu verwendet man das Konfigurationsprogramm "univention baseconfig", mit dem einzelne Optionen direkt gesetzt werden können. Um das UCS-System auch unter den Namen "NT-PDC" und "NT-Server" in der Netzwerkumgebung erscheinen zu lassen, reicht der Befehl "univention-baseconfig set samba/netbios/aliases=NT-PDC,NT-Server".

Damit diese Einstellungen sofort in Kraft treten, muss der Netzwerkverwalter den Samba-Dienst über den Befehl "/etc/init.d/samba re start" neu starten. Wer die Kommandozeile scheut, kann beide Einstellungen auch über die webbasierte "Univention Console" vornehmen.

Was bei der Migration zu beachten ist

Um Inkonsistenzen beim Übertragen der Daten zu vermeiden, sollte der Zeitraum der Übernahme so gewählt werden, dass keine Benutzer auf die Serversysteme zugreifen. Bei großen Umgebungen oder Datenmengen kann es sich lohnen, die benötigte Zeit durch vorbereitende Tätigkeiten zu verkürzen.

Sollen etwa besonders viele Benutzerkonten übernommen werden, lohnt es sich, einige Tage oder Wochen vorher die Übernahme der Domänendaten zu testen und anschließend das UCS-System wieder vom produktiven Netz zu trennen. Ein erneuter Aufruf von "uni vention-pdc-takeover" überträgt nur noch die zwischenzeitlichen Änderungen und ist meist nach wenigen Minuten abgeschlossen.

Weitere Zeitersparnis kann sich ergeben, wenn die Übernahme der Daten in den Verzeichnisfreigaben ebenfalls vorab durchgeführt wird. Mit entsprechenden Tools ist es auch hier möglich, zum Umstellungszeitpunkt nur die Änderungen und nicht die gesamten Daten zu übertragen.

Fazit

Eine Umstellung von Windows-NT-Domänencontrollern auf UCS ist dank der integrierten Programme ein überschaubarer Prozess, bei dem der Sysadmin durch die detaillierte Dokumentation begleitet wird. Für den Benutzer bleibt der Austausch der Serversysteme unbemerkt, während der Admin von den Vorteilen einer modernen, offenen Architektur profitiert.

Zur Startseite