<div dir="ltr"><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">I was in the exact same situation. Had to upgraded from FC21 (4.1.4) to CentOS 7.2 (4.2.0). Upgrade went thru fine thanks to this thread :-)<br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">For migrating the DNA ranges, I used this link <a href="https://blog-rcritten.rhcloud.com/?p=50">https://blog-rcritten.rhcloud.com/?p=50</a> Is this fine?</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Thanks.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 10 February 2016 at 15:02, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 02/05/2016 11:35 AM, Petr Vobornik wrote:<br>
> On 02/04/2016 06:14 PM, Christophe TREFOIS wrote:<br>
>> Hi all,<br>
>><br>
>> We are currently running a 3-replica (all are setup with the —setup-ca flag)<br>
>> cluster on Fedora 21, with FreeIPA 4.1.4.<br>
>><br>
>> We would like to slowly upgrade to the new version and move away from Fedora<br>
>> to CentOS 7.2.<br>
>><br>
>> We were thinking of the following:<br>
>><br>
>> - Create 3 CentOS machines with —setup-ca flag so that our current cluster is 6.<br>
>> The first CentOS VM would then probably update the DB schema to the new<br>
>> FreeIPA version.<br>
>> - Remove the Fedora VMs 1 by 1 from the cluster using ipa-replica-manage del<br>
>> <host><br>
>> - Be happy?<br>
>><br>
>><br>
>> 1. Could you please advise if this is considered the safest practise?<br>
><br>
> More or less yes:<br>
><br>
> 1. create First IPA 4.2 against some FreeIPA 4.1.4 with CA<br>
> 2. create the other two against the newly Created CentOS - will verify if it is<br>
> in a good shape<br>
> 3. set new renewal CRL master:<br>
> <a href="http://www.freeipa.org/page/Howto/Promote_CA_to_Renewal_and_CRL_Master" rel="noreferrer" target="_blank">http://www.freeipa.org/page/Howto/Promote_CA_to_Renewal_and_CRL_Master</a><br>
> 4. Migrate DNA ranges using ipa-replica-manage tool<br>
><br>
> if all works well, remove all servers:<br>
><br>
> 5. remove CA repl. agreements for old servers using ipa-csreplica-manage del<br>
> 6. remove old servers data and repl. agreements using ipa-replica-manage del<br>
> 7. uninstall old servers using ipa-server-install --uninstall<br>
><br>
>> 2. Do we have to update to intermediate versions and if so how?<br>
><br>
> Should not be necessary.<br>
<br>
</div></div>Some advise is also present in the RHEL official docs:<br>
<br>
<a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/upgrading.html#migrating-ipa-proc" rel="noreferrer" target="_blank">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/upgrading.html#migrating-ipa-proc</a><br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br></div>