bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Migration Arktur 4.0rc3 auf Neuinstallation 4.0rc5

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Migration Arktur 4.0rc3 auf Neuinstallation 4.0rc5
From: Hans-Dietrich Kirmse <hd.kirmse@xxxxxx>
Date: Thu, 06 Sep 2007 23:22:05 +0200
Nochmal hallo,

wegen der Migration auf Arktur 4rc5 gab es wegen dieser Mail einige Missverständnisse und Irritationen. Da mehrere "Umsteiger" bzw. "Umsteigenswillige" bei mir um Rat nachgefragt hatten, hatte ich versucht, mich mit dieser Problematik auseinander zu setzen.

Ich möchte mich an dieser Stelle ganz herzlich bei Stefan Lessmann bedanken, der mir alle Materialien bereitgestellt hatte, um die Probleme der WinXP-Clients nachvollziehen zu können.

Kann ich hierzu das Script und die Anleitung verwenden, die in der Doku

http://arktur.schul-netz.de/wiki/index.php/Installationshandbuch:Migration


Mit diesen Scripts habe ich gerade gekämpft, ich weiß nicht, ob sie schon aktualisiert wurden, sie waren für eine Migration von 4.0BetaXY nach 4.0BetaXY+ gedacht, nicht nach RC5 - der Speicherort der Profile ist von /home/Schueler/abc/.ntprofil/ nach /home/Profile/schueler/abc/WinXP/ gewandert!

Die Migrationslösung von Arktur 4betaX nach Arktur 4rcY ist von Thomas Litsch und ist sehr wohl für die Migration nach RC5 geeignet. Es konnte kein Fehler in dieser Lösung nachgewiesen werden und es sind bisher keine Probleme mit dieser Lösung bekannt geworden. Auch die Doku (im Wiki) dazu ist korrekt.

Die Probleme entstanden, weil die (durchaus berechtigten) Wünsche zur Übernahme einerseits der Rechner und andererseits der Profile eben hier erwartet wurde. Das wird aber durch diese Lösung nicht gemacht und auch in der Doku nicht angegeben. Das Problem entsteht also dadurch, dass die Erwartungshaltung nicht erfüllt wurde.

Wie angegeben, sind für mich die Wünsche durchaus berechtigt und ich habe deshalb (auf Anfrage) versucht zu helfen. zu den Rechnern: Das Script 'migration0' wurde von mir ergänzt um (die Anweisung eine lange Zeile):

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
# 7. (Windows-)Rechner exportieren
ldapsearch -x -LLL -D "$ldapbind" -w "$lpswd" -b "ou=ARBEITSSTATIONEN,o=SCHULE,$base" "cn=*" > rechner.tmp
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

damit werden die Rechner in ein LDIF-File geschrieben. Diese sollten (als letztes) in den LDAP eingespielt werden. Wie das geht und was zu beachten ist findet man in der Doku (und auf den Seiten von Rüdiger).

hier liegt mir leider keine Rückmeldung vor. ich selbst habe nur Win98-Clients, sehe aber dabei kein Problem, insbesondere da auch von den erfahrenen Leuten in der Liste bestätigt wurde, dass es damit kein Problem geben sollte.


Zu den Profilen: ich habe selbst hier in der Liste für das Kopieren der Profile ein vorhandenes Script empfohlen. schlimmer noch: ich habe angegeben, dass dieses Script schon erfolgreich eingesetzt wurde.

Beim Hin- und Herkopieren der Profile ist bei uns außerdem etwas schiefgelaufen, die Profile waren alle nicht in Ordnung,

was natürlich im krassen Gegensatz zu meiner Aussage steht. Aber die Lösung steht hier:

wir mussten zunächst überall die NTUSER.DAT löschen...

bedeutet doch, dass in der "ntuser.dat" eine Information liegt, die das Verschieben der Profile zumindest behindert. Es bedeutet weiter, dass diese Information in der "user.dat" nicht existiert, denn dort geht ja offensichtlich das Verschieben der Profile.

mir wurde von einem User u.a. der Export aus dem LDAP bereitgestellt. Hier findet sich

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
dn: uid=ttester,ou=SCHUELER,o=SCHULE,dc=lss,c=de
sambaSID: S-1-5-21-2529008270-3318767837-4158417844-1205
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


schaut man in die "ntuser.dat" (natürlich über die Registry), da findet man so was:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\GroupMembership]
"Group0"="S-1-5-21-2529008270-3318767837-4158417844-1205"
"Group1"="S-1-1-0"
"Group2"="S-1-5-32-545"
"Group3"="S-1-5-4"
"Group4"="S-1-5-11"
"Group5"="S-1-2-0"
"Count"=dword:00000006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

In der user.dat (also Registry eines win98-Clients) findet sich dieser Eintrag NICHT!

Damit ist m.E. das Problem gelöst. Bei Windows98 lassen sich die Profile bei der Migration durch einfaches Kopieren übernehmen und weiterverwenden, bei win2000 und winXP ist die "weltweit eindeutige" SID in der ntuser.dat gespeichert. Bei der Migration stimmen die SID im LDAP und in der ntuser.dat nicht überein. Bei der Anmeldung werden die Daten aus der ntuser.dat zwar in die Registry reingeholt, aber nicht mit der richtigen SID verknüpft oder gar nicht verknüpft (was auf das Gleiche hinausläuft). Damit stehe die Daten in der Registry nicht zur Verfügung und es kommt zu den Erscheinungen, wie hier in der Liste berichtet.

Lösung des Problems: 1. man erstellt eine neue user.dat und genau das wurde ja durch das Löschen der ntuser.dat in den kopierten Profile erreicht.

2. Man holt aus der 'gesamt.ldif' die alte SID und spielt diese in den LDAP ein. Dann würden m.E. die alten Einstellung zur Verfügung stehen.

Ob es Seiteneffekte bei dieser Variante gib, kann ich nicht abschätzen, weil sich dann die SID von allen neu angelegten Usern bis auf die letzten 4(5) Ziffern unterscheidet.

Das Einspielen der gesamt.ldif in eine RC5 ist insbesondere bei einer alten Beta m.E. nicht zu empfehlen, weil die Struktur des Usereintrags im LDAP sich mindestens einmal geändert hat.


Fazit: die in der Doku angegebenen Migrationslösungen sind korrekt. Selbst dem Script zum Verschieben der Profile kann bis jetzt kein Fehler nachgesagt werden. Problematisch ist und bleibt die Übernahme der Profile bei Windows2000 und XP, was aber systembedingt ist.

ich bitte alle die um Entschuldigung, deren Erwartungshaltung nicht erfüllt werden konnte - ich habe diese Probleme im Vorfeld nicht gesehen und auch nicht erwartet. Und es lagen zuwenig Testberichte vor. :(

Mit freundlichen Grüßen
Hans-Dietrich



_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 06.09.2007