Blog

Das Samba-Team der SerNet hat einen weiteren wichtigen Meilenstein in der STF-finanzierten Entwicklung der Open-Source-Software Samba erreicht: Meilenstein 3.3 konzentriert sich auf die verbesserte Integration in Linux-Desktop-Umgebungen und ist Teil der umfassenderen Meilensteingruppe SMB3 UNIX Extensions.

Das Ziel dieser Arbeit ist es, Samba zu einem natürlicheren und konsistenteren Bestandteil von Unix-ähnlichen Betriebssystemen zu machen. Um dies zu erreichen, hat das Team libsmbclient erweitert – die clientseitige Bibliothek, die von den wichtigsten Desktop-Umgebungen wie GNOME und KDE für den Zugriff auf SMB-Dateifreigaben verwendet wird. Durch die Unterstützung von SMB3-POSIX-Erweiterungen in dieser Bibliothek bietet Samba nun eine bessere Verarbeitung von symbolischen Links, Berechtigungen und Metadaten, sodass sich der Dateizugriff auf dem Desktop eher wie die Verwendung eines lokalen Unix-Dateisystems anfühlt. Das Team hat auch daran gearbeitet, den für GNOME erforderlichen Code bereitzustellen, um die SMB3-Unix-Erweiterungen zu aktivieren.

Dieser Meilenstein baut auf früheren Arbeiten der SMB3 UNIX Extensions-Gruppe auf: Meilenstein 3.1 konzentrierte sich auf die serverseitige Implementierung von POSIX-kompatiblen Funktionen. Mit Meilenstein 3.3 erreichen diese Verbesserungen nun auch Linux-Desktop-Umgebungen und bieten Endbenutzern direkt die Vorteile der SMB3 UNIX Extensions.

Diese Errungenschaft ist Teil der laufenden Bemühungen zur Verbesserung der Sicherheit, Skalierbarkeit und Integration von Samba. Das Ziel ist es, sicherzustellen, dass Samba eine leistungsstarke, interoperable Lösung für souveräne IT-Umgebungen bleibt. Finanziert wird das Projekt von der Sovereign Tech Agency.

Gepatchte SAMBA+ Pakete sind jetzt verfügbar, um die Netlogon-Protokoll-Änderung zu adressieren, die durch Microsofts jüngste Updates für Windows Active Directory Domain Controllers eingeführt wurde.

Nach unserer ersten Ankündigung führen die Updates von Microsoft eine kritische Änderung ein, die Samba-Installationen in bestimmten Konfigurationen beeinträchtigen kann. Um die Kompatibilität zu gewährleisten, wurden korrigierte SAMBA+-Pakete für die folgenden Zweige veröffentlicht:

• SAMBA+ 4.21
• SAMBA+ 4.22

Wenn Sie noch einen älteren Release-Zweig verwenden, empfehlen wir Ihnen dringend, auf 4.21 oder 4.22 zu migrieren, um den notwendigen Fix zu erhalten.

Wer braucht das Update?
Gepatchten Pakete müssen installiert werden, wenn:

• Samba als Mitgliedsserver konfiguriert ist und
• das idmap backend ad genutzt wird

Andere Samba Setups sind nicht betroffen.

Die vollständigen technischen Details entnehmen Sie bitte den offiziellen Samba Release Notes:
Samba 4.21.7 Release Notes
Samba 4.22.3 Release Notes

Wenn Sie Hilfe bei der Aktualisierung Ihrer Installation benötigen oder Fragen zur Kompatibilität haben, können Sie uns gerne kontaktieren - wir unterstützen Sie gerne.

Debian 13 Trixie wurde noch nicht offiziell veröffentlicht, aber SAMBA+-Pakete sind bereits verfügbar. Ab Version 4.22 bietet SerNet vorgefertigte SAMBA+-Pakete für die kommende Debian-Version an. Unterstützte Architekturen sind amd64 und arm64, entsprechend der Entscheidung von Debian, 32-Bit-Varianten einzustellen.

Durch den frühzeitigen Zugriff auf diese Pakete stellt das SAMBA+-Team sicher, dass Administratoren und IT-Experten im Voraus planen und testen können. Dieser proaktive Ansatz unterstützt reibungslose Übergänge und einen sicheren Betrieb in anspruchsvollen Umgebungen.

Alle unterstützten Plattformen, einschließlich der neuen Trixie-Pakete, sind in unserer Übersicht aufgeführt. Hilfen für das Setup von Samba und Details zu den Repositories finden Sie im How-to-Bereich.

Bei Fragen wenden Sie sich bitte an vertrieb@remove-this.sernet.de

(Letzte Aktualisierung: 8. Juli)

Achtung: Aktualisierte SAMBA+ Pakete sind verfügbar

Am 8. Juli veröffentlicht Microsoft ein wichtiges Sicherheitsupdate für Active Directory-Domänencontroller für Windows Server-Versionen vor 2025.

Dieses Update ändert das Microsoft RPC Netlogon-Protokoll, um die Sicherheit durch strengere Zugriffsprüfungen für eine Reihe von RPC-Anforderungen zu verbessern. Samba, das als Domänenmitglied in diesen Umgebungen ausgeführt wird, ist von dieser Änderung betroffen, wenn eine bestimmte Konfiguration verwendet wird. Weitere Informationen zu den betroffenen Konfigurationen finden Sie weiter unten.

Windows Server Version 2025 ist bereits mit diesen spezifischen Sicherheitsverbesserungen ausgestattet. Microsoft plant, diese auf alle unterstützten Windows Server-Versionen bis hinunter zu Windows Server 2008 zu übertragen.

Wer ist betroffen?

Samba-Installationen, die als Mitgliedsserver in Windows AD-Domänen fungieren, sind betroffen, wenn sie für die Verwendung des ‘ad’-Idmapping-Backends konfiguriert sind. Samba-Server, die diese Konfiguration nicht verwenden, sind von der Änderung nicht betroffen – zumindest nach unserem derzeitigen Kenntnisstand – und es sind keine weiteren Maßnahmen erforderlich.

Aber aktuelle Versionen von Samba mit der betroffenen Konfiguration werden nach der Installation des Microsoft-Updates nicht mehr ordnungsgemäß funktionieren. Benutzer können keine Verbindung mehr zum SMB-Dienst von Samba für Domänen herstellen, die das Backend ‘ad’ idmapping verwenden.

Was unternimmt SerNet?

Das Samba-Team von SerNet arbeitet gemeinsam mit anderen Mitgliedern des internationalen Samba-Teams mit Microsoft zusammen. Derzeit werden Änderungen an Samba entwickelt und getestet, um die vollständige Kompatibilität zwischen Samba und Microsoft-Produkten sicherzustellen. Das Samba-Team plant, die aktualisierten Pakete am Montagabend (UTC+2) zu veröffentlichen.

Aktualisierte SAMBA+ Pakete, die die vollständige Kompatibilität wiederherstellen, sollen vor dem Microsoft-Update verfügbar sein.

Was Sie tun sollten:

• Überprüfen Sie Ihre Konfiguration, wenn Sie Samba in einer Windows AD-Umgebung ausführen.
• Achten Sie ab dem 7. Juli aufmerksam auf Updates für die SAMBA+ Pakete.
• Installieren Sie Updates, bevor Microsoft den Patch bereitstellt.

Alle SAMBA+ Updates sind in aktiven Subskriptionen enthalten. 

Wenn Sie keine aktive Subskription haben, besuchen Sie den SAMBA+ Shop (EUR) oder SAMBA+ Shop (USD).

Bei Fragen oder für individuelle Unterstützung wenden Sie sich bitte direkt an uns – unser Team hilft Ihnen gerne weiter.

Mit Samba Version 4.22 wurde die Unterstützung für “Reflink-Kopien” erweitert. Reflink steht für Reference Links: eine Funktion, die das Kopieren großer Dateien erheblich beschleunigt, indem nur Verweise auf Datenblöcke auf unterstützenden Dateisystemen erstellt werden.p>

Die Funktion wurde vom Samba-Team der SerNet GmbH in enger Zusammenarbeit mit dem Speicherhersteller FAST LTA entwickelt, der die Implementierung in Auftrag gegeben hatte. Ziel war es, einen wesentlichen Schritt zu erfüllen, damit Speichersysteme wie Silent Bricks von FAST LTA auch die Fast Clone-Funktion von Veeam für den SMB-Zugriff unter Linux unterstützen können. Technischer Hintergrund „Reflink-Kopien“ nutzen Funktionen moderner Dateisysteme wie Btrfs, XFS, ZFS oder ReFS, um die Datenduplizierung effizienter zu gestalten. Bei SMB-basiertem Zugriff können Clients SMB-Protokollfunktionen für Reflink-Kopiennutzen, sofern der Server und sein Dateisystem dies unterstützen. Bisher war die Unterstützung in Samba auf das Btrfs-Dateisystem beschränkt.

In Samba 4.22 ist nun eine allgemeine Unterstützung für alle Dateisysteme aktiviert, die die „reflink copies“-Funktionalität unterstützen – durch Verwendung des generischen Linux-ioctl FICLONERANGE. Dies ermöglicht die Verwendung von Backup-Software wie Veeam, die regelmäßig vollständige oder differenzielle Kopien großer Datenmengen erstellt, auch mit anderen Dateisystemen als Btrfs, ZFS und XFS. Die Fast Clone-Funktion von Veeam nutzt genau diese Mechanismen. Dank der Erweiterung in Samba unterstützen nun auch Linux-basierte SMB-Backends – wie sie beispielsweise FAST LTA mit dem Speichersystem Silent Bricks bereitstellt – Fast Clone. Dies verbessert die Performance für sogenannte “Forever Incremental”- und "Synthetic Full“-Backups erheblich. Das Ergebnis: geringerer Speicherbedarf, weniger I/O-Last und kürzere Backup-Zeiten.

Upstream schlägt proprietär

Die technische Umsetzung erfolgte durch das Samba-Team von SerNet unter der Leitung von Ralph Böhme, der als Mitglied des Samba Core Teams seit vielen Jahren an zentralen Komponenten des Projekts arbeitet. Der Code wurde vollständig upstream integriert und ist nun Teil der offiziellen Samba-Release-Serie 4.22.

“Für uns ist es ein wichtiges Signal, wenn Hersteller wie FAST LTA sich gezielt auf die Weiterentwicklung von Open-Source-Komponenten konzentrieren", sagt Ralph Böhme. ”Solche Beiträge stärken nicht nur die Funktionalität einzelner Systeme, sondern auch die Nachhaltigkeit und Offenheit der Gesamtarchitektur."

Christian Rogg, leitender Entwickler bei FAST LTA, ist begeistert von der Zusammenarbeit mit SerNet: "Es begann als Idee. Die Umsetzung mit SerNet war äußerst professionell, und die Ergebnisse sind beeindruckend. Veeam-Anwender sparen mit Fast Clone Support mit Silent Bricks nun bis zu 50 % an Speicherkapazität und Backup-Zeit."

Hintergrund der Entwicklungsinitiativen

Mit den Entwicklungsdienstleistungen bietet SerNet spezifische Erweiterungen und Anpassungen von Samba an – insbesondere für Hersteller, OEMs und Betreiber komplexer Infrastrukturen. Ziel solcher Kooperationen ist es, individuelle Anforderungen mit der Open-Source-Praxis zu verbinden: Entwicklungen werden transparent konzipiert, mit technischem Know-how umgesetzt und zum Nutzen der weltweiten Samba-Anwendenden in den offiziellen Samba-Quellcode übernommen. 

Kontaktieren Sie uns für weitere Entwicklungsmöglichkeiten mit SerNet!