Tâche #18215
Mis à jour par Emmanuel IHRY il y a environ 7 ans
Processus de reprise sur incident en cours de validation (la taĉhe sera actualisée dans quelques jours) :
Procédure en cas de "panne" globale nécessitant une réinjection d'une sauvegarde (rédigé à partir de https://wiki.samba.org/index.php/Backup_and_restore_an_Samba_AD_DC#Restore):
<pre>
- arrêt du services samba sur les RWDC/RODC du domaine
- sur le RWDC principal
suppression des répertoires de données :
# rm -rf /usr/local/samba/etc
# rm -rf /usr/local/samba/private
# rm -rf /usr/local/samba/var/locks/sysvol
réinjection des données de la dernière sauvegarde non corrompue
# cd /usr/local/backups
# tar -jxf etc.{Timestamp}.tar.bz2 -C /usr/local/samba/
# tar -jxf samba4_private.{Timestamp}.tar.bz2 -C /usr/local/samba/
# tar -jxf sysvol.{Timestamp}.tar.bz2 -C /usr/local/samba/var/locks/
Renomage des *.ldb.bak en *.ldb.
# find /usr/local/samba/private/ -type f -name '*.ldb.bak' -print0 | while read -d $'\0' f ; do mv "$f" "${f%.bak}" ; done
Si le backup ne contient pas de sauvegarde des ACL :
# samba-tool ntacl sysvolreset
relancer samba
- sur les RWDC secondaires et RODC
!!! Procédure valide uniquement
--> Que faire pour resynchroniser ? En attente réponse T'IT
- sur les serveurs DC n'ayant pas de rôle FSMO attribué !!!
1- sur le DC-hors_service arrêter les services SaMBa4
2- déplacer le répertoire "/var/lib/samba/private/" dans un autre dossier RODC
--> Que faire pour s'assurer qu'on puisse si nécessaire récupérer des objets ex: mv /var/lib/samba/private/ /root/beforeDemote/
3- mv /etc/samba/smb.conf /root/beforeDemote/
4- à partir de l'un des DC centraux opérationnels, lancer le demotage du DC à reconstruire: samba-tool domain demote --remove-other-dead-server=DC-hors_service
5- Patienter le temps de la réplication des informations de démotage vers les autres DC (~5 minutes)
6- relancer la procédure de jonction au domaine sur le DC-hors_service : "samba-tool domain join mondomaine.lan DC -U administrator --realm=MONDOMAINE.LAN -W MONDOMAINE" etc ...
!!!Si le DC-HS détiens des roles FSMO, il faut les transférer vers un autre DC!!!
1- sur un DC central "samba-tool fsmo transfer --role=all" si le DC-hors_service n'est plus du tout joignable et ne sera pas allumer avec son demotage "samba-tool fsmo seize --role=all"
resynchroniser ? En attente réponse T'IT
</pre>
Objet de la demande :
L'idée est de fournir deux scripts afin de pouvoir effectuer ces opérations rapidement :
- sur le RWDC principal qui remonte une sauvegarde
- sur les RWDC secondaires et RODC, un script qui supprime les données et resynchronise les controleurs avec le PDC
Procédure en cas de "panne" globale nécessitant une réinjection d'une sauvegarde (rédigé à partir de https://wiki.samba.org/index.php/Backup_and_restore_an_Samba_AD_DC#Restore):
<pre>
- arrêt du services samba sur les RWDC/RODC du domaine
- sur le RWDC principal
suppression des répertoires de données :
# rm -rf /usr/local/samba/etc
# rm -rf /usr/local/samba/private
# rm -rf /usr/local/samba/var/locks/sysvol
réinjection des données de la dernière sauvegarde non corrompue
# cd /usr/local/backups
# tar -jxf etc.{Timestamp}.tar.bz2 -C /usr/local/samba/
# tar -jxf samba4_private.{Timestamp}.tar.bz2 -C /usr/local/samba/
# tar -jxf sysvol.{Timestamp}.tar.bz2 -C /usr/local/samba/var/locks/
Renomage des *.ldb.bak en *.ldb.
# find /usr/local/samba/private/ -type f -name '*.ldb.bak' -print0 | while read -d $'\0' f ; do mv "$f" "${f%.bak}" ; done
Si le backup ne contient pas de sauvegarde des ACL :
# samba-tool ntacl sysvolreset
relancer samba
- sur les RWDC secondaires et RODC
!!! Procédure valide uniquement
--> Que faire pour resynchroniser ? En attente réponse T'IT
- sur les serveurs DC n'ayant pas de rôle FSMO attribué !!!
1- sur le DC-hors_service arrêter les services SaMBa4
2- déplacer le répertoire "/var/lib/samba/private/" dans un autre dossier RODC
--> Que faire pour s'assurer qu'on puisse si nécessaire récupérer des objets ex: mv /var/lib/samba/private/ /root/beforeDemote/
3- mv /etc/samba/smb.conf /root/beforeDemote/
4- à partir de l'un des DC centraux opérationnels, lancer le demotage du DC à reconstruire: samba-tool domain demote --remove-other-dead-server=DC-hors_service
5- Patienter le temps de la réplication des informations de démotage vers les autres DC (~5 minutes)
6- relancer la procédure de jonction au domaine sur le DC-hors_service : "samba-tool domain join mondomaine.lan DC -U administrator --realm=MONDOMAINE.LAN -W MONDOMAINE" etc ...
!!!Si le DC-HS détiens des roles FSMO, il faut les transférer vers un autre DC!!!
1- sur un DC central "samba-tool fsmo transfer --role=all" si le DC-hors_service n'est plus du tout joignable et ne sera pas allumer avec son demotage "samba-tool fsmo seize --role=all"
resynchroniser ? En attente réponse T'IT
</pre>
Objet de la demande :
L'idée est de fournir deux scripts afin de pouvoir effectuer ces opérations rapidement :
- sur le RWDC principal qui remonte une sauvegarde
- sur les RWDC secondaires et RODC, un script qui supprime les données et resynchronise les controleurs avec le PDC