Blog

Gepatchte SAMBA+ Pakete sind jetzt verfügbar, um die Netlogon-Protokoll-Änderung zu adressieren, die durch Microsofts jüngste Updates für Windows Active Directory Domain Controllers eingeführt wurde.

Nach unserer ersten Ankündigung führen die Updates von Microsoft eine kritische Änderung ein, die Samba-Installationen in bestimmten Konfigurationen beeinträchtigen kann. Um die Kompatibilität zu gewährleisten, wurden korrigierte SAMBA+-Pakete für die folgenden Zweige veröffentlicht:

• SAMBA+ 4.21
• SAMBA+ 4.22

Wenn Sie noch einen älteren Release-Zweig verwenden, empfehlen wir Ihnen dringend, auf 4.21 oder 4.22 zu migrieren, um den notwendigen Fix zu erhalten.

Wer braucht das Update?
Gepatchten Pakete müssen installiert werden, wenn:

• Samba als Mitgliedsserver konfiguriert ist und
• das idmap backend ad genutzt wird

Andere Samba Setups sind nicht betroffen.

Die vollständigen technischen Details entnehmen Sie bitte den offiziellen Samba Release Notes:
Samba 4.21.7 Release Notes
Samba 4.22.3 Release Notes

Wenn Sie Hilfe bei der Aktualisierung Ihrer Installation benötigen oder Fragen zur Kompatibilität haben, können Sie uns gerne kontaktieren - wir unterstützen Sie gerne.

Debian 13 Trixie wurde noch nicht offiziell veröffentlicht, aber SAMBA+-Pakete sind bereits verfügbar. Ab Version 4.22 bietet SerNet vorgefertigte SAMBA+-Pakete für die kommende Debian-Version an. Unterstützte Architekturen sind amd64 und arm64, entsprechend der Entscheidung von Debian, 32-Bit-Varianten einzustellen.

Durch den frühzeitigen Zugriff auf diese Pakete stellt das SAMBA+-Team sicher, dass Administratoren und IT-Experten im Voraus planen und testen können. Dieser proaktive Ansatz unterstützt reibungslose Übergänge und einen sicheren Betrieb in anspruchsvollen Umgebungen.

Alle unterstützten Plattformen, einschließlich der neuen Trixie-Pakete, sind in unserer Übersicht aufgeführt. Hilfen für das Setup von Samba und Details zu den Repositories finden Sie im How-to-Bereich.

Bei Fragen wenden Sie sich bitte an vertrieb@remove-this.sernet.de

(Letzte Aktualisierung: 7. Juli)

Am 8. Juli veröffentlicht Microsoft ein wichtiges Sicherheitsupdate für Active Directory-Domänencontroller für Windows Server-Versionen vor 2025.

Dieses Update ändert das Microsoft RPC Netlogon-Protokoll, um die Sicherheit durch strengere Zugriffsprüfungen für eine Reihe von RPC-Anforderungen zu verbessern. Samba, das als Domänenmitglied in diesen Umgebungen ausgeführt wird, ist von dieser Änderung betroffen, wenn eine bestimmte Konfiguration verwendet wird. Weitere Informationen zu den betroffenen Konfigurationen finden Sie weiter unten.

Windows Server Version 2025 ist bereits mit diesen spezifischen Sicherheitsverbesserungen ausgestattet. Microsoft plant, diese auf alle unterstützten Windows Server-Versionen bis hinunter zu Windows Server 2008 zu übertragen.

Wer ist betroffen?

Samba-Installationen, die als Mitgliedsserver in Windows AD-Domänen fungieren, sind betroffen, wenn sie für die Verwendung des ‘ad’-Idmapping-Backends konfiguriert sind. Samba-Server, die diese Konfiguration nicht verwenden, sind von der Änderung nicht betroffen – zumindest nach unserem derzeitigen Kenntnisstand – und es sind keine weiteren Maßnahmen erforderlich.

Aber aktuelle Versionen von Samba mit der betroffenen Konfiguration werden nach der Installation des Microsoft-Updates nicht mehr ordnungsgemäß funktionieren. Benutzer können keine Verbindung mehr zum SMB-Dienst von Samba für Domänen herstellen, die das Backend ‘ad’ idmapping verwenden.

Was unternimmt SerNet?

Das Samba-Team von SerNet arbeitet gemeinsam mit anderen Mitgliedern des internationalen Samba-Teams mit Microsoft zusammen. Derzeit werden Änderungen an Samba entwickelt und getestet, um die vollständige Kompatibilität zwischen Samba und Microsoft-Produkten sicherzustellen. Das Samba-Team plant, die aktualisierten Pakete am Montagabend (UTC+2) zu veröffentlichen.

Aktualisierte SAMBA+ Pakete, die die vollständige Kompatibilität wiederherstellen, sollen vor dem Microsoft-Update verfügbar sein.

Was Sie tun sollten:

• Überprüfen Sie Ihre Konfiguration, wenn Sie Samba in einer Windows AD-Umgebung ausführen.
• Achten Sie ab dem 7. Juli aufmerksam auf Updates für die SAMBA+ Pakete.
• Installieren Sie Updates, bevor Microsoft den Patch bereitstellt.

Alle SAMBA+ Updates sind in aktiven Subskriptionen enthalten. 

Wenn Sie keine aktive Subskription haben, besuchen Sie den SAMBA+ Shop (EUR) oder SAMBA+ Shop (USD).

Bei Fragen oder für individuelle Unterstützung wenden Sie sich bitte direkt an uns – unser Team hilft Ihnen gerne weiter.

Mit Samba Version 4.22 wurde die Unterstützung für “Reflink-Kopien” erweitert. Reflink steht für Reference Links: eine Funktion, die das Kopieren großer Dateien erheblich beschleunigt, indem nur Verweise auf Datenblöcke auf unterstützenden Dateisystemen erstellt werden.p>

Die Funktion wurde vom Samba-Team der SerNet GmbH in enger Zusammenarbeit mit dem Speicherhersteller FAST LTA entwickelt, der die Implementierung in Auftrag gegeben hatte. Ziel war es, einen wesentlichen Schritt zu erfüllen, damit Speichersysteme wie Silent Bricks von FAST LTA auch die Fast Clone-Funktion von Veeam für den SMB-Zugriff unter Linux unterstützen können. Technischer Hintergrund „Reflink-Kopien“ nutzen Funktionen moderner Dateisysteme wie Btrfs, XFS, ZFS oder ReFS, um die Datenduplizierung effizienter zu gestalten. Bei SMB-basiertem Zugriff können Clients SMB-Protokollfunktionen für Reflink-Kopiennutzen, sofern der Server und sein Dateisystem dies unterstützen. Bisher war die Unterstützung in Samba auf das Btrfs-Dateisystem beschränkt.

In Samba 4.22 ist nun eine allgemeine Unterstützung für alle Dateisysteme aktiviert, die die „reflink copies“-Funktionalität unterstützen – durch Verwendung des generischen Linux-ioctl FICLONERANGE. Dies ermöglicht die Verwendung von Backup-Software wie Veeam, die regelmäßig vollständige oder differenzielle Kopien großer Datenmengen erstellt, auch mit anderen Dateisystemen als Btrfs, ZFS und XFS. Die Fast Clone-Funktion von Veeam nutzt genau diese Mechanismen. Dank der Erweiterung in Samba unterstützen nun auch Linux-basierte SMB-Backends – wie sie beispielsweise FAST LTA mit dem Speichersystem Silent Bricks bereitstellt – Fast Clone. Dies verbessert die Performance für sogenannte “Forever Incremental”- und "Synthetic Full“-Backups erheblich. Das Ergebnis: geringerer Speicherbedarf, weniger I/O-Last und kürzere Backup-Zeiten.

Upstream schlägt proprietär

Die technische Umsetzung erfolgte durch das Samba-Team von SerNet unter der Leitung von Ralph Böhme, der als Mitglied des Samba Core Teams seit vielen Jahren an zentralen Komponenten des Projekts arbeitet. Der Code wurde vollständig upstream integriert und ist nun Teil der offiziellen Samba-Release-Serie 4.22.

“Für uns ist es ein wichtiges Signal, wenn Hersteller wie FAST LTA sich gezielt auf die Weiterentwicklung von Open-Source-Komponenten konzentrieren", sagt Ralph Böhme. ”Solche Beiträge stärken nicht nur die Funktionalität einzelner Systeme, sondern auch die Nachhaltigkeit und Offenheit der Gesamtarchitektur."

Christian Rogg, leitender Entwickler bei FAST LTA, ist begeistert von der Zusammenarbeit mit SerNet: "Es begann als Idee. Die Umsetzung mit SerNet war äußerst professionell, und die Ergebnisse sind beeindruckend. Veeam-Anwender sparen mit Fast Clone Support mit Silent Bricks nun bis zu 50 % an Speicherkapazität und Backup-Zeit."

Hintergrund der Entwicklungsinitiativen

Mit den Entwicklungsdienstleistungen bietet SerNet spezifische Erweiterungen und Anpassungen von Samba an – insbesondere für Hersteller, OEMs und Betreiber komplexer Infrastrukturen. Ziel solcher Kooperationen ist es, individuelle Anforderungen mit der Open-Source-Praxis zu verbinden: Entwicklungen werden transparent konzipiert, mit technischem Know-how umgesetzt und zum Nutzen der weltweiten Samba-Anwendenden in den offiziellen Samba-Quellcode übernommen. 

Kontaktieren Sie uns für weitere Entwicklungsmöglichkeiten mit SerNet!

Das weltweit vermutlich erste produktive Setup von Samba und Linux-Clients mit SMB3 UNIX Extensions ist an der Frankfurt University of Applied Sciences (UAS) im Einsatz. Kürzlich hat Björn Jacke aus dem Samba-Team der SerNet hier mit den Kolleg*innen der Hoschschul-IT den Samba-Server und die angeschlossenen Linux-Clients für den universitären Lehrbetrieb mit diesem neuen Feature ausgestattet.  

Die Frankfurt UAS hatte bislang bewusst auf einen Dual-Protokoll-Betrieb von SMB und NFS verzichtet. Stattdessen setzt sie jetzt auf eine einheitliche Integration mit SMB3: Die Rechte- und Freigaben-Verwaltung durch Samba bietet sehr viel größere Flexibilität und einfachere Managebarkeit. Ohne die Unix Extensions hatten die Studierenden bislang an Linux-Workstations die Einschränkung, dass sich Symlinks oder Unix-Befehle wie chmod nicht wie auf einem typischem POSIX/Linux-System verhielten. Die Operationen konnten über das SMB-Protokoll nicht direkt abgebildet werden. Jacke: „Mit den neuen SMB3 UNIX Extensions verstehen sich Linux-Clients jetzt bestens mit SMB-Mounts von Samba-Servern und erlauben eine optimale Integration ohne Abstriche. So macht den Studierenden der Frankfurt University das Studieren sicher noch mehr Spaß.“

Samba 4.22 mit SMB3 Unix Extensions''

Das Feature SMB3 UNIX Extensions ist seit der Samba-Version 4.22 verfügbar, die im April 2025 veröffentlicht wurde. Das Thema beherrschte auch die diesjährige sambaXP und kann in einigen Aufzeichnungen nachvollzogen werden, die im SAMBA+ YouTube-Kanal. veröffentlicht sind.

Einige Features, die erst Teil der nächste Samba-Version 4.23 im Herbst 2025 sein werden, hat SerNet bereits in die aktuellen SAMBA+ Pakete eingebaut.

SerNet: Partnerin für Samba, weltweit im Einsatz

Support – remote oder direkt beim Kunden – gehört zum Kerngeschäft des Samba-Teams der SerNet. Das Team unterstützt Unternehmen und Organisationen bei der Einrichtung, Wartung und Optimierung von Samba-Infrastrukturen. Die Projektumsetzung in Frankfurt zeigt, wie praxisnahes Know-how und technologische Weiterentwicklung bei Kunden zusammenkommen.

Sie benötigen Unterstützung mit Ihrer Samba-Umgebung?
Professionelle Hilfe bei allen Fragen rund um Samba, SMB und Active Directory gibt es bei SerNet – von der Planung über die Umsetzung bis zur kontinuierlichen Betreuung und Entwicklungs-Projekten. Informieren Sie sich über unser Angebot oder nehmen Sie direkt Kontakt auf.