[Samba-it] [Report] Cambio nome di dominio...

[simo]

On Thu, 2013-01-03 at 17:56 +0100, Marco Gaiarin wrote:
> Questa cosa era stata chiesta da me qualche mese fa, e dopo ripetute
> ricerche con google e/o nella lista generale, non avevo ricevuto alcun
> feedback: molti thread si interrompevano su un ''boh, fai una prova e
> dai feedback''.
> Quindi e anche per questo la rigiro qui: Simo, dimmi se è il caso che
> cerchi di tradurlo in inglese, o se lo reputi utile fallo tu senza
> remore.
> 
> Ah, ovviamente samba di debian squeeze, 3.5.6, ma non credo che
> interessi.
> 
> Come scrivevo tempo fa, avrei la necessità di rinominare dei domini, e
> mi chiedevo che impatto avesse questa cosa.
> Fare una prova era complicato, perchè mi mancava il tempo di mettere in
> piedi una installazione di test, quindi, l'occasione fa l'uomo ladro,
> ho aspettato di dover cambiare un server, e dopo averlo sostituito mi
> sono messo a lavorare su una rete isolata, con il vecchio server e uno
> dei client (XPsp3).
> 
> Ho sostanzialmente tutti i dati su LDAP, quindi quello che ho fatto è
> stato:
> 
> 0) fatto prove di logon e logoff del client sulla rete isolata con la
>  vecchia configurazione, tanto per sicurezza.
>  Quindi ho stoppato samba e winbind.
> 
> 1) dump del db ldap, un bel cerca&sostituisci, quindi un restore.
> 
> 2) idem, cerca&sostituisci in /etc/samba/smb.conf
> 
> 3) tanto per scrupolo che non partisse qualche script, idem in
>  /etc/smbldap-tools/smbldap.conf.
> 
> 4) NON no piallato i .tdb, ho lasciato tutto coì com'è, quindi ho fatto
>  un bel start di samba e winbind.
>  Una opzione era anche quella di piallare i .tdb e wins.dat, rimettere
>  la password con 'smbpasswd -w <>' e quindi ripartire, ma ho scelto il
>  ''worst case'' (almeno credo ;).
> 
> 
> Fatto questo e verificato che samba partisse senza problemi, ho acceso
> il client. Mi ha presentato la solita logon mask con il nome del
> dominio VECCHIO, ho fatto logon con le mie credenziali e le ha
> accettate senza colpo ferire, caricandomi il profilo.
> Share e stampanti sono dove devono essere.
> Il logoff avviene senza problemi.
> 
> 
> Questo dimostra quello che teoricamente sapevamo: ovvero che windows
> comunica con il SID e non con il nome del dominio.

Le ACL usano solo SID.

La rislouzione del dominio usa il nome, hai dimostrato che Windows fa
caching aggressivo del nome dominio ->  IP del PDC o che non avendo
piallato wins.dat hai ancora i nomi del vecchio dominio.

Prima o poi la cache spirerá e il client non troverá piú il PDC

> Andando a ravanare nel registry del client, ho trovato in:
> 
> 	HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
> 
> diverse chiavi che fanno riferimento al vecchio dominio, e leggendo in
> giro, vedi ad esempio:
> 	http://technet.microsoft.com/en-us/library/cc786387%28v=ws.10%29.aspx
> 
> la chiave DCacheUpdate contiene il nome del dominio in ''binary form'',
> ma che DCacheMinInterval è a 120 secondi (due minuti), mentre è almeno
> un'oretta che gioco ed è ancora con il nome vecchio.

WINS cache imo.

> Se sfoglio la rete vedo correttamente il dominio vecchio con dentro il
> pc di test e il dominio nuovo con il server.
> 
> 
> Insomma, molto positivo il fatto che il pc non ha perso il join al
> dominio, ma c'è l'incertezza che a un certo punto salti un timer e vada
> tutto in vacca.
> 
> 
> Ora spengo, ma se può essere utile posso fare tutti i test che volete.

La cosa piú semplice e fare unjoin dal vecchio e re-join al nuovo.

Simo.

-- 
Simo Sorce
Samba Team GPL Compliance Officer <simo at samba.org>
Principal Software Engineer at Red Hat, Inc. <simo at redhat.com>