Vollständiger Rebuild eines UCS-Systems auf neuer Hardware

Problem:

Ein UCS-System ist z.B. nach einem Hardwareschaden nur noch als Datensicherung vorhanden. Wie kann das System wiederhergestellt werden ?

Achtung:
Die im folgenden beschriebenen Punkte sind lediglich als exemplarische Hinweise ohne jeden Anspruch auf Vollständigkeit zu verstehen. In Abhängigkeit der eingesetzten Software und Dienste, können diverse weitere Schritte notwendig sein um ein System vollständig wieder herzustellen.

Lösung:

Bei einem per unidump vollständig gesicherten System, wie im Handbuch beschrieben, kann ein Desaster Recovery durchführt werden. Sind die Daten jedoch extern gesichert, können folgende Schritte helfen, das System auf neuer Hardware in der gleichen Konfiguration wiederherzustellen. Die Schritte beziehen sich auf einen UCS-Master mit samba.

Die Anleitung ist als Richtlinie ausgelegt, die Funktion aller Dienste, insbesondere der hier nicht aufgeführten, sollte am Ende getestet werden.

1. Neuinstallation

Um auf der neuen Hardware ein System mit den gleichen Einstellungen und der gleichen UCS-Version zu installieren, kann das auf dem alten System unter “/etc/univention/installation_profile” abgelegte Profil verwendet werden. Nach der Installation muss, wie gefordert, der Neustart durchgeführt werden.

2. Dienste anhalten

Während der Rücksicherung sollten möglichst viele Dienste beendet werden (über “/etc/init.d/ stop” oder die Univention Management Console), insbesondere samba, slapd, univention-dhcp, univention-bind, univention-bind-proxy, univention-directory-listener und univention-directory-notifier .

3. Abgleich von univention-configuration-registry

In den Datei “/etc/univention/base*.conf” ist der Stand der Univention Configuration Registry-Variablen hinterlegt. Die Konfiguration des neu aufgesetzten Systems muss anhand dieser Dateien wieder hergestellt werden, dabei muss “univention-configuration-registry commit” verwendet werden.

4. Abgleich von Samba

Interne Daten von Samba liegen im Verzeichnis “/var/lib/samba”, das vollständig zurückgesichert werden sollte. Zusätzlich natürlich die Verzeichnisfreigaben (z.B. “/home”).

5. Abgleich des LDAP Verzeichnisdienstes

Das Verzeichnis “/var/lib/univention-ldap” enthält die Daten der LDAP-Datenbank und muss vollständig zurückgesichert werden.

6. Univention Directory Listener reinitialisieren

Damit die LDAP-Einstellungen für den Rechner neu ausgelesen werden (z.B. Verzeichnisfreigaben) sollte der Univention Directory Listener neu initialisiert werden. Da der Dienst bereits angehalten ist, kann der Inhalt des Verzeichnisses “/var/lib/univention-directory-listener/” gelöscht werden. Die Initialisierung wird dann beim nächsten Start automatisch durchgeführt.

7. LDAP-Passwörter zurücksichern

Dienste verwenden beim Zugriff auf das LDAP eigene Passwörter, dazu müssen die Dateien “/etc/ldap.secret” und “/etc/machine.secret” zurückgesichert werden.

8. Dienste starten

Die Dienste sollten in folgender Reihenfolge neu gestartet werden: slapd, dann univention-directory-notifier sowie univention-directory-listener und anschliessend die anderen beendeten Dienste. Wenn ein Zugriff auf das System per ssh bzw. lokalem Login weiterhin möglich ist sollte der Rechner neu gestartet werden.

Allgemeines:

Vor diesen Schritten sollte zum Vergleich eine Sicherung des neu installierten Systems angelegt werden.

Zur Fehlersuche und -vermeidung sollte nach dem Start der Dienste in den Logdateien auf Fehler geachtet werden.

Nach der Rücksicherung des Masters sollte beobachtet werden, ob die LDAP-Replikation zu anderen Systemen wieder anläuft. Evtl. wurden die Passwörter der Systeme seit dem Backup geändert. Soweit möglich sollten andere Server und nicht funktionierende Recher neu gejoint werden (gilt auch für Managed-Clients und Windows-Systeme, die Probleme bereiten).

Die Rücksicherung kann auch bei anderen UCS-Systemen angewandt werden; hier muss aber neben Schritt 1 und 3 nur ein erneutes Joinen des Systems durchgeführt werden (univention-join). Zusätzlich müssen natürlich die Nutzdaten zurückgesichert werden.

Mastodon