FlorianHeigl · February 19, 2026 18:04
diff --git a/zimbra-upgrade-breakage-notes.txt b/zimbra-upgrade-breakage-notes.txt

 all
  Logbuch Findings etc 	ELOG logo
 Erster Eintrag, Strg-Pos1 Vorheriger Eintrag, Strg-BildHoch Nächster Eintrag, Strg-BildRunter Letzter Eintrag, Strg-Ende	 Liste  |  Neu  |  Ändern  |  Löschen  |  Antworten  |  Duplizieren  |  Finden  |  Konfigurieren  |  Hilfe 
 Eintrag  Wed Feb 18 22:00:04 2026, Offen, intern, Update, Software, Zimbra Upgrade Clusterfuck, zmail 
    Antworten  Thu Feb 19 02:19:29 2026, Offen, intern, Update, Software, Zimbra Upgrade Clusterfuck, zmail 
 Eintrag-ID: 974     Eingabezeit: Wed Feb 18 22:00:04 2026     Antwort hierzu: 975
 State:	Offen 
 Context:	intern 
 Type:	Update 
 Category:	Software 
 Subject:	Zimbra Upgrade Clusterfuck 
 ObjectPath:	zmail 
 

 Downloads sind hier

 https://maldua.github.io/zimbra-foss/downloads/archive.html#%EF%B8%8F-other-releases-%EF%B8%8F

 

 

 Update auf 10.1.X

 Fehlschlag, inkompatibler Pfad, 10.0 intermediate Step empfohlen.

 Zentrales Problem ist aber zimbra-jetty-distribution

 Zeigt auf eine neuere Version, die nicht mit dem Jetty funktioniert, siehe hier:

 https://forums.zimbra.org/viewtopic.php?t=74044&start=10

 Hintergrund Story ist, dass die Jetty.xml einfach nicht besonders konform geschrieben ist

 https://github.com/jetty/jetty.project/issues/12355#issuecomment-2705898797

 Das passiert auch wieder insbes. wenn der u.g. Bug zu tage tritt.

 downgraqde sinnvoll dnf -y downgrade zimbra-jetty-distribution-9.4.46.v20220331-2.r8.x86_64  
 

 

 Unterproblem ist ein Fehler im uninstall vom zimbra-jetty-distribution welches alte Jetty-Verzechnisse liegen laesst, die eigentlich ein symlink zu jetty_home sein sollten. Da beschrieben https://forums.zimbra.org/viewtopic.php?p=317688#p317688

 

 spaeter fuer problemlose updates so 

 [root@zmail ~]# dnf versionlock
 Last metadata expiration check: 1:25:48 ago on Wed 18 Feb 2026 11:16:56 PM UTC.
 zimbra-jetty-distribution-0:9.4.46.v20220331-2.r8.*

 bzw
 [root@zmail ~]# dnf versionlock delete zimbra-jetty-distribution-0:9.4.46.v20220331-2.r8.*
 Last metadata expiration check: 1:26:10 ago on Wed 18 Feb 2026 11:16:56 PM UTC.

 

 

 Weiterhin gibt es Probleme mit verwaisten JARs, wie man die sucht ist hier:

 https://forums.zimbra.org/viewtopic.php?t=72655&start=100

 Generell solle man halt verwaiste Dateien bei Zimbra im Auge behalten

 

 Update auf 10.0.x

 

 

 Update innerhalb 10.0.x

 Fehlschlag wegen spax-Package wo /usr/bin/pax fehlte (wegen CVEs)

 Transaction bricht ab, alle RPMs sind aber weg

 

 

 Tar Backup

 muss mit -S erstellt werden wegen LMDB

 

 Einspielen von Backup von Empty Zimbra Dirs nach Paket Uninstall

 Originalversion installieren

 Datenverzeichnisse entfernen

 Original Datenverzeichnisse zurueckschieben (achtung, der Rat wurde vor SELinux gegeben!)

 zmfixperms scheint diese zu setzen:

 /opt/zimbra/libexec/zmfixperms -verbose -extended

 output:

 [...]

 Fixing ownership and permissions on /opt/zimbra/data/postfix
 Fixing ownership of /opt/zimbra/index
 Fixing ownership of /opt/zimbra/backup
 Fixing ownership of /opt/zimbra/redolog
 Fixing ownership of /opt/zimbra/store
 Set capability for /opt/zimbra/common/sbin/nginx
 Set capability for /opt/zimbra/common/libexec/slapd
 Applying write deny ACLs
 ACLs applied successfully

 Hier steht, was man aus dem Tarball holen muesste

 https://wiki.zimbra.com/wiki/Steps_To_Rebuild_ZCS_Server

 

 

 Das Backupscript hab ich verwendet

 https://github.com/lucascbeyeler/zmbackup

 Man sollte es _NIE_ unter /opt/zimbra/backup mounten, damit es nicht geloescht werden kann

 Beim Restore hat es mir das LDAP kaputt gemacht

 Der Workaround war postfach level recover

 Ich hatte das Problem schon mal gefunden und damals geloest, weiss leider nicht davon

 https://github.com/lucascbeyeler/zmbackup/issues/169

 ist nur ne {} zu wenig, hab das file angepasst, aber gibt noch mehr aenderungen in der 1.2.6

 zmbackup installer neu ausgefuehrt, ich hoffe er killt nicht die sqlite

 Restore via CLI ist da beschrieben:

 https://github.com/lucascbeyeler/zmbackup/issues/160

 

 

 Paar LDAP Eintraege scheinen in zmlocalconfig keine defaults gehabt zu haben, die sind dann beim configdctl aufgefallen

 https://wiki.zimbra.com/wiki/DoSFilter

 von hier geholt udn eingetragen

 

 

 LDAP Passwort not set


 Select, or 'r' for previous menu [r] r

 Main menu

   1) Common Configuration:
        +Hostname:                             zmail.florianheigl.me
        +Ldap master host:                     zmail.florianheigl.me
        +Ldap port:                            389
        +Ldap Admin password:                  set
        +Store ephemeral attributes outside Ldap: yes
        +Value for zimbraEphemeralBackendURL:  ldap://default
        +Secure interprocess communications:   no
        +TimeZone:                             Europe/Berlin
        +IP Mode:                              ipv4
        +Default SSL digest:                   sha256

   2) zimbra-ldap:                             Enabled
        +Create Domain:                        no
        +Ldap root password:                   set
        +Ldap replication password:            set
        +Ldap postfix password:                set
        +Ldap amavis password:                 set
        +Ldap nginx password:                  set
 ******* +Ldap Bes Searcher password:           Not Verified

   3) zimbra-logger:                           Enabled
   4) zimbra-mta:                              Enabled
   5) zimbra-store:                            Enabled
   6) zimbra-spell:                            Enabled
   7) zimbra-proxy:                            Enabled

 

 Per zmlocalconfig -s kontrollieren

 Per zmldappasswd setzen

 Dann einmal ins ldap menue des installers und ins service menue

 nur wenn man diese runde macht, aktualisiert er auf set /verified

 und achtung, er setzt so passwoerter wie zmamavis, wenn man nix macht

 

 

 keystore passwort war falsch kam von meiner verwendeten config.xxxx datei

 jks tool kriegt man mit 

 ./common/bin/keytool  -list -v -keystore /opt/zimbra/mailboxd/etc/keystore

 zmlocalconfig -e mailboxd_keystore_password=..

 

 

 

 Nahezu immer kaputte config und kaputtes LDAP

 passiert insbesondere bei -r config-file auf localconfig.xml oder config.123456 zeigend

 Das koennte man noch genauer austesten, aber ich denke, bei nem Fehler verwirft er einfach alle Settings aus der Datei anders waehre es nicht zu erklaeren.

 [zimbra@zmail ~]$ zmcontrol start 
 Host localhost
 Connect: Unable to determine enabled services from ldap.
 Enabled services read from cache. Service list may be inaccurate.
        Starting ldap...Done.
 Failed.

 ldap_url and ldap_master_url cannot be the same on an ldap replica

 [zimbra@zmail ~]$ zmlocalconfig -e ldap_is_master=true
 [zimbra@zmail ~]$ zmlocalconfig | grep -E ldap.*url
 ldap_bind_url = 
 ldap_master_url = 
 ldap_url = 
 [zimbra@zmail ~]$ zmlocalconfig -e ldap_master_url=ldap://zmail.florianheigl.me:389
 [zimbra@zmail ~]$ zmlocalconfig -e ldap_url=ldap://zmail.florianheigl.me:389
 [zimbra@zmail ~]$ ldap restart  
 slapd not running
 Started slapd: pid 2924885

 manchmal reparabel, KANN PW mismatch sein

 sonst alles dnf remove zimbra-\*

 achtung, loescht u.u. /opt/zimbra/backup

 Passwoerter aus der localconfig.xml sehen braucht -s

 https://forums.zimbra.org/viewtopic.php?t=4601

 Setzen mit zmldappasswd

 

 

 Wichtige Troubleshooting Einstiegsseiten

 MySQL DB, Innodb recovery, fehlende Tables, MySQL DB Passwort

 DB Passwort musste ich umsetzen (hier: https://wiki.zimbra.com/wiki/Issues_with_mysql_and_logmysql_passwords und zwar so wie in localconfig, ich konnte das in localconfig nicht mit -e anpassen)

 https://wiki.zimbra.com/wiki/Ajcody-Mysql-Topics

 DB Recovery bei harten Fehlern, bzw. Entfernen von korrupten DBs

 Das hatte ich, konnte die DB nicht droppen, weil noch Files da waren, aber die DB war gleichzeitig nicht vollstaendig (mboxgroup18)

 https://wiki.zimbra.com/wiki/Mysql_Crash_Recovery

 Utilities 

 https://forums.zimbra.org/viewtopic.php?t=65739

 Maillog Scanner (ging nicht bei mir)

 Mailstore Rebuild anhand von Email Files

 Bulk Delete

 

 LDAP Einstiegsseite

 https://wiki.zimbra.com/wiki/ShanxT-LDAP-CheatSheet

 LDAP Debugging Blogpost


 Admin Handbuch

 https://s3.amazonaws.com/files.zimbra.com/website/docs/8.7/Zimbra%20Open%20Source%20Edition%20Adminstration%20Guide%208.7.pdf

 

 

 

 

 Timeline

 

 

 Installation 10.0.alt

 Waehrend Install nach dem Installieren der Pakete und vor Jetty Start dnf downgrade zimbra-jetty-distribution

 Anlegen Domains per CLI und User (manuell)

 Letsencrypt Fixen

 Proxy Settings nach Certbot-zimbra howto angepasst

 https://github.com/YetOpen/certbot-zimbra/wiki/Zimbra-proxy-configuration-for-Certbot-Zimbra

 (altes Zert deployed, da Domain Liste evtl. Leer)

 Restore Mailboxen

 Versand Tests

 Upgrade 10.0. latest probiert

 Downgrade jetty-dist nicht mehr notwendig

 

 

 

 Andere Tools

 Hier wird ein Migration Tool erwaehnt

 https://github.com/hodfords/zimbra-migration

 https://forums.zimbra.org/viewtopic.php?t=72231&start=150

 Es gibt auch ein z2z ioder so

 

 Doku von Install.sh

 https://wiki.zimbra.com/wiki/JDunphy-install.sh-guide

 Keine Doku von zmsetup.pl gefunden, unten an der doku ist eine dran

 $DEFAULTSFILE scheint jeweils eine vom Typ config.277053 

 

 

 Zimbra docker ARM

 https://medium.com/@furkan-atak/running-zimbra-8-8-x-on-docker-with-arm64-77751b5074cc

 Zimbra 9 Docker EL8

 https://github.com/iwayvietnam/zimbra-docker

 Zimbra 10 Docker

 https://forums.zimbra.org/viewtopic.php?t=74161

 Updateprozedur ist in dem Thread mehr beschrieben

 https://github.com/mailhappen/zm-docker

 Loescht bei falscher Nutzung alles?

 To destroy everything, type docker compose down -v. This remove container AND the volume data. USE WITH CAUTION!
 starttls und so settings ausmachen

 https://wiki.zimbra.com/wiki/King0770-Notes-Cannot-Start-ldap-ldap_starttls_supported-Enabled

 ELOG V3.1.5-0cd2a615

	all
	Logbuch Findings etc ELOG logo
	Erster Eintrag, Strg-Pos1 Vorheriger Eintrag, Strg-BildHoch Nächster Eintrag, Strg-BildRunter Letzter Eintrag, Strg-Ende Liste \| Neu \| Ändern \| Löschen \| Antworten \| Duplizieren \| Finden \| Konfigurieren \| Hilfe
	Eintrag Wed Feb 18 22:00:04 2026, Offen, intern, Update, Software, Zimbra Upgrade Clusterfuck, zmail
	Antworten Thu Feb 19 02:19:29 2026, Offen, intern, Update, Software, Zimbra Upgrade Clusterfuck, zmail
	Eintrag-ID: 974 Eingabezeit: Wed Feb 18 22:00:04 2026 Antwort hierzu: 975
	State: Offen
	Context: intern
	Type: Update
	Category: Software
	Subject: Zimbra Upgrade Clusterfuck
	ObjectPath: zmail


	Downloads sind hier

	https://maldua.github.io/zimbra-foss/downloads/archive.html#%EF%B8%8F-other-releases-%EF%B8%8F





	Update auf 10.1.X

	Fehlschlag, inkompatibler Pfad, 10.0 intermediate Step empfohlen.

	Zentrales Problem ist aber zimbra-jetty-distribution

	Zeigt auf eine neuere Version, die nicht mit dem Jetty funktioniert, siehe hier:

	https://forums.zimbra.org/viewtopic.php?t=74044&start=10

	Hintergrund Story ist, dass die Jetty.xml einfach nicht besonders konform geschrieben ist

	https://github.com/jetty/jetty.project/issues/12355#issuecomment-2705898797

	Das passiert auch wieder insbes. wenn der u.g. Bug zu tage tritt.

	downgraqde sinnvoll dnf -y downgrade zimbra-jetty-distribution-9.4.46.v20220331-2.r8.x86_64




	Unterproblem ist ein Fehler im uninstall vom zimbra-jetty-distribution welches alte Jetty-Verzechnisse liegen laesst, die eigentlich ein symlink zu jetty_home sein sollten. Da beschrieben https://forums.zimbra.org/viewtopic.php?p=317688#p317688



	spaeter fuer problemlose updates so

	[root@zmail ~]# dnf versionlock
	Last metadata expiration check: 1:25:48 ago on Wed 18 Feb 2026 11:16:56 PM UTC.
	zimbra-jetty-distribution-0:9.4.46.v20220331-2.r8.*

	bzw
	[root@zmail ~]# dnf versionlock delete zimbra-jetty-distribution-0:9.4.46.v20220331-2.r8.*
	Last metadata expiration check: 1:26:10 ago on Wed 18 Feb 2026 11:16:56 PM UTC.





	Weiterhin gibt es Probleme mit verwaisten JARs, wie man die sucht ist hier:

	https://forums.zimbra.org/viewtopic.php?t=72655&start=100

	Generell solle man halt verwaiste Dateien bei Zimbra im Auge behalten



	Update auf 10.0.x





	Update innerhalb 10.0.x

	Fehlschlag wegen spax-Package wo /usr/bin/pax fehlte (wegen CVEs)

	Transaction bricht ab, alle RPMs sind aber weg





	Tar Backup

	muss mit -S erstellt werden wegen LMDB



	Einspielen von Backup von Empty Zimbra Dirs nach Paket Uninstall

	Originalversion installieren

	Datenverzeichnisse entfernen

	Original Datenverzeichnisse zurueckschieben (achtung, der Rat wurde vor SELinux gegeben!)

	zmfixperms scheint diese zu setzen:

	/opt/zimbra/libexec/zmfixperms -verbose -extended

	output:

	[...]

	Fixing ownership and permissions on /opt/zimbra/data/postfix
	Fixing ownership of /opt/zimbra/index
	Fixing ownership of /opt/zimbra/backup
	Fixing ownership of /opt/zimbra/redolog
	Fixing ownership of /opt/zimbra/store
	Set capability for /opt/zimbra/common/sbin/nginx
	Set capability for /opt/zimbra/common/libexec/slapd
	Applying write deny ACLs
	ACLs applied successfully

	Hier steht, was man aus dem Tarball holen muesste

	https://wiki.zimbra.com/wiki/Steps_To_Rebuild_ZCS_Server





	Das Backupscript hab ich verwendet

	https://github.com/lucascbeyeler/zmbackup

	Man sollte es _NIE_ unter /opt/zimbra/backup mounten, damit es nicht geloescht werden kann

	Beim Restore hat es mir das LDAP kaputt gemacht

	Der Workaround war postfach level recover

	Ich hatte das Problem schon mal gefunden und damals geloest, weiss leider nicht davon

	https://github.com/lucascbeyeler/zmbackup/issues/169

	ist nur ne {} zu wenig, hab das file angepasst, aber gibt noch mehr aenderungen in der 1.2.6

	zmbackup installer neu ausgefuehrt, ich hoffe er killt nicht die sqlite

	Restore via CLI ist da beschrieben:

	https://github.com/lucascbeyeler/zmbackup/issues/160





	Paar LDAP Eintraege scheinen in zmlocalconfig keine defaults gehabt zu haben, die sind dann beim configdctl aufgefallen

	https://wiki.zimbra.com/wiki/DoSFilter

	von hier geholt udn eingetragen





	LDAP Passwort not set


	Select, or 'r' for previous menu [r] r

	Main menu

	1) Common Configuration:
	+Hostname: zmail.florianheigl.me
	+Ldap master host: zmail.florianheigl.me
	+Ldap port: 389
	+Ldap Admin password: set
	+Store ephemeral attributes outside Ldap: yes
	+Value for zimbraEphemeralBackendURL: ldap://default
	+Secure interprocess communications: no
	+TimeZone: Europe/Berlin
	+IP Mode: ipv4
	+Default SSL digest: sha256

	2) zimbra-ldap: Enabled
	+Create Domain: no
	+Ldap root password: set
	+Ldap replication password: set
	+Ldap postfix password: set
	+Ldap amavis password: set
	+Ldap nginx password: set
	******* +Ldap Bes Searcher password: Not Verified

	3) zimbra-logger: Enabled
	4) zimbra-mta: Enabled
	5) zimbra-store: Enabled
	6) zimbra-spell: Enabled
	7) zimbra-proxy: Enabled



	Per zmlocalconfig -s kontrollieren

	Per zmldappasswd setzen

	Dann einmal ins ldap menue des installers und ins service menue

	nur wenn man diese runde macht, aktualisiert er auf set /verified

	und achtung, er setzt so passwoerter wie zmamavis, wenn man nix macht





	keystore passwort war falsch kam von meiner verwendeten config.xxxx datei

	jks tool kriegt man mit

	./common/bin/keytool -list -v -keystore /opt/zimbra/mailboxd/etc/keystore

	zmlocalconfig -e mailboxd_keystore_password=..







	Nahezu immer kaputte config und kaputtes LDAP

	passiert insbesondere bei -r config-file auf localconfig.xml oder config.123456 zeigend

	Das koennte man noch genauer austesten, aber ich denke, bei nem Fehler verwirft er einfach alle Settings aus der Datei anders waehre es nicht zu erklaeren.

	[zimbra@zmail ~]$ zmcontrol start
	Host localhost
	Connect: Unable to determine enabled services from ldap.
	Enabled services read from cache. Service list may be inaccurate.
	Starting ldap...Done.
	Failed.

	ldap_url and ldap_master_url cannot be the same on an ldap replica

	[zimbra@zmail ~]$ zmlocalconfig -e ldap_is_master=true
	[zimbra@zmail ~]$ zmlocalconfig \| grep -E ldap.*url
	ldap_bind_url =
	ldap_master_url =
	ldap_url =
	[zimbra@zmail ~]$ zmlocalconfig -e ldap_master_url=ldap://zmail.florianheigl.me:389
	[zimbra@zmail ~]$ zmlocalconfig -e ldap_url=ldap://zmail.florianheigl.me:389
	[zimbra@zmail ~]$ ldap restart
	slapd not running
	Started slapd: pid 2924885

	manchmal reparabel, KANN PW mismatch sein

	sonst alles dnf remove zimbra-\*

	achtung, loescht u.u. /opt/zimbra/backup

	Passwoerter aus der localconfig.xml sehen braucht -s

	https://forums.zimbra.org/viewtopic.php?t=4601

	Setzen mit zmldappasswd





	Wichtige Troubleshooting Einstiegsseiten

	MySQL DB, Innodb recovery, fehlende Tables, MySQL DB Passwort

	DB Passwort musste ich umsetzen (hier: https://wiki.zimbra.com/wiki/Issues_with_mysql_and_logmysql_passwords und zwar so wie in localconfig, ich konnte das in localconfig nicht mit -e anpassen)

	https://wiki.zimbra.com/wiki/Ajcody-Mysql-Topics

	DB Recovery bei harten Fehlern, bzw. Entfernen von korrupten DBs

	Das hatte ich, konnte die DB nicht droppen, weil noch Files da waren, aber die DB war gleichzeitig nicht vollstaendig (mboxgroup18)

	https://wiki.zimbra.com/wiki/Mysql_Crash_Recovery

	Utilities

	https://forums.zimbra.org/viewtopic.php?t=65739

	Maillog Scanner (ging nicht bei mir)

	Mailstore Rebuild anhand von Email Files

	Bulk Delete



	LDAP Einstiegsseite

	https://wiki.zimbra.com/wiki/ShanxT-LDAP-CheatSheet

	LDAP Debugging Blogpost


	Admin Handbuch

	https://s3.amazonaws.com/files.zimbra.com/website/docs/8.7/Zimbra%20Open%20Source%20Edition%20Adminstration%20Guide%208.7.pdf









	Timeline





	Installation 10.0.alt

	Waehrend Install nach dem Installieren der Pakete und vor Jetty Start dnf downgrade zimbra-jetty-distribution

	Anlegen Domains per CLI und User (manuell)

	Letsencrypt Fixen

	Proxy Settings nach Certbot-zimbra howto angepasst

	https://github.com/YetOpen/certbot-zimbra/wiki/Zimbra-proxy-configuration-for-Certbot-Zimbra

	(altes Zert deployed, da Domain Liste evtl. Leer)

	Restore Mailboxen

	Versand Tests

	Upgrade 10.0. latest probiert

	Downgrade jetty-dist nicht mehr notwendig







	Andere Tools

	Hier wird ein Migration Tool erwaehnt

	https://github.com/hodfords/zimbra-migration

	https://forums.zimbra.org/viewtopic.php?t=72231&start=150

	Es gibt auch ein z2z ioder so



	Doku von Install.sh

	https://wiki.zimbra.com/wiki/JDunphy-install.sh-guide

	Keine Doku von zmsetup.pl gefunden, unten an der doku ist eine dran

	$DEFAULTSFILE scheint jeweils eine vom Typ config.277053





	Zimbra docker ARM

	https://medium.com/@furkan-atak/running-zimbra-8-8-x-on-docker-with-arm64-77751b5074cc

	Zimbra 9 Docker EL8

	https://github.com/iwayvietnam/zimbra-docker

	Zimbra 10 Docker

	https://forums.zimbra.org/viewtopic.php?t=74161

	Updateprozedur ist in dem Thread mehr beschrieben

	https://github.com/mailhappen/zm-docker

	Loescht bei falscher Nutzung alles?

	To destroy everything, type docker compose down -v. This remove container AND the volume data. USE WITH CAUTION!
	starttls und so settings ausmachen

	https://wiki.zimbra.com/wiki/King0770-Notes-Cannot-Start-ldap-ldap_starttls_supported-Enabled

	ELOG V3.1.5-0cd2a615
No results found