Cисадминства пост

[brmail]

 Я знаю, что у меня в читателях есть несколько знающих сисадминов. Есть вопрос. Ситуация такая, только не смейтесь. У меня дома есть вполне себе работающий домейн контроллер, который бегает на windows server 2008. Не то чтоб он мне был так прямо чтоб необходим, но так удобнее разделаться с правами доступа, к рейд массиву под виндами, второму массиву в synology nas, к чертовым принтерам, которые изначально не сетевые итд. Какое-то количество лет назад была ситуация, что комп на котором стоял контролер домейна сдох, и восстанавливать мне его не хотелось. Как решение(ошибоченое) был поднят контроллер с тем же именем домейна, но компы и девайсы по нормальному не пере-подсоеденились, и у меня был избыточный геморой с этим делом в последствии. 

Короче, сейчас поднятый на 2008 сервере контроллер прекрасно работает. Я даже сделал под hyper-v виртуальную машину и поставив на ней такой же сервер, впихнул его в домейн как ADC. 

А тут как то решил устроить общевойсковые учения. Выключил из сети PDC и стал смотреть что будет с авторизацией итд. Хрен там. Виртуальная машина требует доработки напильником и сама взять на себе нагрузку отключенного PDC не хочет. 

Да, я нашел волшебные слова, которые надо говорить чтобы из ADC сделать PDC, но это надо делать когда оба сервера up and running. Те фактически если полетит комп, то надо его поднять с бекапа, и после этого передать права от одного сервера другому. Мне не очень нравится такой сценарий потому что мне хочется сделать бекап PDC и не трогать его несколько лет пока не понадобится, а не делать его бекап раз в неделю. Почитал в инете, что в 2012 сервере переделали систему с домейном, доработав напильником поведение под hyper-v и менее проблемна сама передача руководства между репликой и pdc. 

Так вот хочется послушать умные советы. Первое. Если я воткну в домашнюю сеть windows server 2012, насколько сложно будет передать права от PDC 2008 к этому серверу, с целью отправить 2008 на пенсию? Что для этого надо сделать, может есть под рукой шпаргалка типа step by step для чайников? Второе, что нужно делать чтобы поднятый под hyper-v сервер 2012 заработал репликой того самого контроллера которому мы передали все права от 2008 ? И вообще будет ли оно работать как мне хочется? По моему мнению работать оно должно так: PDC стоит себе включенный, и отвечает на вопросы всяких компов и девайсов дома. Время от времени, ну раз в неделю например, поднимается отосна виртуальный windows server, обновляет свои данные в реплике контроллера и отправляется спать на следующий период. Если вдруг оригинальная железяка-контроллер умирает, то с этой виртуальной реплики легко поднять другую, на новом железе, при этом ничего в остальных компах подкручивать не придется. Или это только мои ленивые мечты? 
Может даже не надо переставлять ничего с 2008, работает и не трогай, и есть какой то простой способ переключать PDC / ADC туда-сюда не напрягаясь? 

А, и да, я сварщик не настоящий, мне надо объяснять в подробностях что и как. 

 

Comments

[an54444]

В принципе, я не против. Но много незнакомых слов

[brmail]

слова придется выучить

[an54444]

Ну это можно, главное шоб без терминов)))

[an54444]

Просто тема интересная, как вы решитео вопрос- вот будет шикарный пост!

[brmail]

ну либо перетащю контроллер чисто под виртуальную машину. либо удастся спереть настройки роли домейна на бекапный домейн при упавшем домейне.
Второй вариант меня устраивает больше. Надо перед тем как делать что-то обязательно все обдумать чтобы не наломать дров

[an54444]

Второй не выйдет

[brmail]

ну вот я как раз и пытаюсь разобраться, и желательно ничего не порушить в процессе.

[qvb]

Это все делается, но лично я не пробовал.
Вот тут описан процесс: blogs.technet.microsoft. com/canitpro/2014/05/27/step-by-step-active-directory-migration-from-windows-server-2008-r2-to-windows-server-2012-r2/

Есть и другой способ решения этой проблемы - засунуть сам домейн контроллер в VM, и прямо им пользоваться. При поломке железа эта же VM запускается на новом хосте и все. Бэкапить VM тоже нетрудно.

Хотя мое личное имхо - для домашней сети лучше без домейна. Число юзеров и машин дома невелико, так что нужды в домейне особой нет.

[brmail]

Спасибо, почитаю.

[http://users.livejournal.com/-alien-/]

О! вот у кого я еще не спрашивал =) есть wifi роутер asus rt-n66u, и он "вдруг" перестал раздавать инет по wifi. перепробовал кучу прошивок, был stuck in rescue mode, сейчас на самой последней прошивке. раздает инет по кабелю, по вайфаю не хочет, в настройках wifi написано что radio enabled (2.4 и 5ГГц), НО в настройках guest сети пишет что радио выключено и LED-индикаторы wifi (2.4 и 5ГГц) не горят. пробовал туда-сюда гонять radio enabled, пробовал через кнопку WPS включать\выключать радио - ничего не помогло. не сталкивался с таким?

[brmail]

не, не сталкивался. Может с самим железом проблемы?
Я предпочитаю dd-wrt прошивки.

[http://users.livejournal.com/-alien-/]

как раз хотел спросить, что лучше OpenWRT или dd-wrt? почему dd-wrt?

[brmail]

они поддерживают большее число роутеров. Один раз на них остановился и не стал более менять

[nanometrolog]

Замена блока питания на новый или перепайка высохших емкостей в существующем БП и возможно внутри роутера.
Это фирменная болезнь всех роутеров от Асус.
Спецэффекты могут быть любыми - у вас один частный случай из множества спецэффектов.
После ремонта желательно сделать полный сброс, перешить, снова полный сброс, и установку по новой - ХЗ что там прописалось в память при таком режиме работы.

[reytsman]

Можно глупый ламерский вопрос... а зачем это всё? На случай смерти железа? Так докупи ещё хард и или зеркаль или бэкап на него образы своего драгоценного сервера.
Или ты боишься, что если полетит материнка, сервер будет не вернуть?
Может вообще не трогать это сейчас от слова совсем, а когда оно накроется настроить с нуля новую коробочку на линуксе и не морочится?

[brmail]

у меня в виде домейн контроллера старенький лаптоп от делла. Лежит где то в шкафу, на дальней полке, с двумя проводами из задницы. Аптайм у него не знаю даже какой. Может год, может больше. И все меня в нем устраивает, кроме действительной возможности как то раз обнаружить что он больше не работает. Я в качестве страховки для этого дела даже купил за 50 баксов такой же на ебее. Убедился что у него такой же проц, и память, поставил на него запасной диск, восстановил на нем образ с первого компа, но при старте оно валится в синий экран. Соотвественно искать причину почему оно валится мне не очень охота. Ну те я подозреваю, что потратив какое то количество часов я проблему найду, но мне не очень охота эти часы тратить так.
Вариант сделать как было ранее - не волноваться пока оно не полетит, потом поднять новый комп и поставить на него новый PDC меня пугает повторением того что было в прошлый раз. Оставшись без PDC компы с win 7 в домейне себя повели странно. Я честно заходил в них , и нажимал кнопку выйти из домейна в воркгруппу, оно как полагается спрашивало имя и пароль админа и выходило. Но как то криво. После рестарта возможность добавит комп в домейн исчезала вообще. И так на трех компах подряд. Потом уж я остановился. Вот повторения не хочу. И вообще не хочется трогать конечные машины, так как профайлы юзера привязаны к имени домейна и к правам в домейне.
Что касается ставить линукс, то я этого хочу еще меньше - так как вся эта бодяга начиналась лет чуть ли не 15 назад с целью упростить управление правами для компов которые работают в одной сети и делят между собой ресурсы,печатают, бекапы в сеть гонят. А менять шило на мыло не хочется

[reytsman]

Хммм... убунта ставиться с полпинка на любое железо.
Если верить этой ссылке, то самба тоже не сложнее виндоус в наше время.
https://help.ubuntu.com/lts/serverguide/samba-dc.html

У нас в универе, на моей памяти за это дело именно самба на дебиана отвечала... хоть я могу и путать.

У тебя там много умный слов опять, ты всего навсего хочешь своей domain controller с блэкджеком и шюхами?

[an54444]

Ладно, спрошу. Ну дурак, как вы линукс на роутер ставите? Ну по шагам?если дурные руки то тут мало что поможет. Почему-то у меня без инженерного образования получается перевести локалку у газеты аи проводов ещё в бонус а у кого-то нет

[brmail]

зачем на роутер ставить линукс? ну те если хочется, и железо соотвествует, то можно, но зачем? Если нужен качественный роутер и хочется иметь все возможные навороты и удобный интерфейс для настройки посмотрите что такое pfsense, и пользуйте. Ну а если именно такая тяга к линуксу, то любоц старенький лаптоп + вторая нетворк карта + *nix в руки, и курить мануалы до просветления

[reytsman]

ddrt эта вроде как для раутеров, если вопрос об этом. Если вопрос как сделать раутер на убунте, то берётся убунта и туда ставиться много сетевых карточек и получается раутер после недели группового секса с настройками.

Последнее предложение я вообще не понял... там какие то термины не известные простыми ламерам вроде меня.

[brmail]

домейн заводился для того чтоб упростить раздачу и поддержание прав доступа. Те сделать их как можно проше. Причем большинство ресурсов под Windows. Смысл прикручивать к ним "иностранный" контроллер домейна который будет прикидываться виндовым домейном, причем разбираться с его настройкой - отдельная сисадминская задача. Не вижу никаких плюшек для себя в этом.
Я хочу две вещи, чтобы тот контроллер который сейчас работает, жил долго и счастливо. А если он умрет смертью храбрых, чтобы у меня был простой способ его восстановить.

[reytsman]

Хммм... а мелкомягкие там никакого способа экспорта настроек не прикрутили?

[brmail]

есть естественно, есть команда передать "власть" от одного сервера другому. Оба должны быть живые. Как оказалось есть шанс дать команду "отобрать", при этом достаточно одного сервера. Как это работает я не в курсе, надо сперва покурить мануалы, ну и может попробовать разок на кошках

[reytsman]

Да, полистал остальную часть. Там к тебе таки настоящие сварщики пришли. :)

[brmail]

Как обычно, по ходу дела образуется более одного способа пофиксить проблему. Решил, что самое правильное, с чего стоит начать, это сделать полный имидж диска на котором эта система 2008 с контроллером стоит. Размеры там смешные, GHOST за 20 минут справился. Потом, раз уж ребутнул комп, залез к нему в BIOS и на том, резервном за 50 баксов, поставил те же настройки. Вернул оригинальный комп в сеть и на место на заднюю полку шкафа. А на резервный восстановил свежесделанный имидж. И вуаля, операционка поднялась и зафурычила. Те у меня сейчас есть полностью рабочий запасной комп, с которого, если что, я всегда могу украсть все настройки домейна. Осталось выяснить, не протухнут ли эти настройки скажем через полгода или год.

[reytsman]

Логично. "давайте переживать проблемы по мере их поступления"

[nlothik.livejournal.com]

Ты столкнулся с тем, что при падении PDC роли FISMO нужно не передавать (transfer) а отбирать (seize) так как PDC в оффлайне.

Но КМК ты тут перемудрил. Доменная сеть дома, да с двумя контроллерами -- да нафига? Подними ты один доменный контроллер на виртуалке и бекапь сами VHD -- даже если всё сдохнет нахрен, сможешь снова поднять. Встроенный виндовый бекап умеет бекапить виртуальные машины. В Hyper-V 2008 года разлива надо мудрить, чтобы оно правильно тормозило виртуалки, а с 2012 и выше оно вроде само умеет.

[brmail]

Ок, спасибо. Я посмотрю в гугле по словам seize FSMO. Если оно работает, то меня это вполне устроит. Иметь в виртуалке единственный домейн контроллер я не очень хочу, так как там сервер (win 2016) на который нагружено куча всего, несколько виртуалок, одна из которых лазит за торрентами, одна чтобы удобнее ходить на работу через долбанный рабочий VPN, SQL server для моих игр в программиста, итд. И мне не очень нравится, что единственный контроллер будет там. А вот иметь там виртуалку, как альтернативу контроллеру если там железо сгорело, очень удобно. Главное суметь тот самый виртуальный контроллер заставить стать PDC.
Что кстати станет, если отобрать FSMO PDC эмулятор роль у одной машины в пользу другой? Та, другая станет официальным контроллером? А что надо сделать с DNS сервером, который был на старом PDC? Я его в свое время был вынужден поднять чтобы присоединять к домейну машины. Просто поставить такой же на той машине, в пользу которой отобрали PDC роль и сменить у нее IP?
Да, еще вопрос, то что ты написал про Hyper-V 2008 - это касается только хоста, или сервер внутри виртуалки тоже должен быть 2012 или более новый?

[nlothik.livejournal.com]

DNS вообще-то устанавливается при добавлении роли доменного контроллера, так что он уже должен там быть.

После перемещения всех ролей и отключения старого контроллера проще всего просто поменять опции в DHCP, чтобы DNS server показывал на новый контроллер.

> Да, еще вопрос, то что ты написал про Hyper-V 2008 - это касается только хоста, или сервер внутри виртуалки тоже должен быть 2012 или более новый?

На 2008R2 внутри виртуалки у меня всё ездило нормально. Лишь бы были установлены hyper-v integration services.

[brmail]

Ок, Спасибо, попробую все постепенно.

Срок годности есть?

[brmail]

Как обычно, по ходу дела образуется более одного способа пофиксить проблему. Решил, что самое правильное, с чего стоит начать, это сделать полный имидж диска на котором эта система 2008 с контроллером стоит. Размеры там смешные, GHOST за 20 минут справился. Потом, раз уж ребутнул комп, залез к нему в BIOS и на том, резервном за 50 баксов, поставил те же настройки. Вернул оригинальный комп в сеть и на место на заднюю полку шкафа. А на резервный восстановил свежесделанный имидж. И вуаля, операционка поднялась и зафурычила. Те у меня сейчас есть полностью рабочий запасной комп, с которого, если что, я всегда могу украсть все настройки домейна. Осталось выяснить, не протухнут ли эти настройки скажем через полгода или год.
Те вот есть у меня этот комп на котором все установлено и сегодня все работает. Я его не собираюсь включать в сеть, там есть оригинальный контроллер, передерутся.
Вдруг через год оригинальный комп сгорит. А у меня есть запасной, уже настроенный - включить, воткнуть сетевой кабель и ...? Не скажет-ли что ключи протухли какие или что-нибудь такого типа?

Re: Срок годности есть?

[(Anonymous)]

60 дней и всё сдыхает.

Курить tombstone lifetime.

Re: Срок годности есть?

[brmail]

видимо придется настроить бекап в самом сервере и гнать его на нетворк раз в месяц. А если навернется то сперва восстановить диск из образа и потом на него накатывать бекап. Однако это надо сперва опробовать на кошках

Re: Срок годности есть?

[nlothik.livejournal.com]

Это я был, не залогинило почему-то.

[nanometrolog]

Я домашний сервер на W2008 даже не бекаплю - там только файлопомойка на RAID. А права 3 пользователям я могу раздать быстро. И никаких доменов, зачем умножать сущности без необходимости :-)
Раньше там стоял 2000 сервер - ну его нафиг. Потом стояла W7 - ничо так. А при очередном апгрейде железа поставил W2K8, оно там шуршит и есть не просит :-)

[brmail]

И никаких доменов, зачем умножать сущности без необходимости
у меня в домашней сети сейчас две квартиры. И в них три лаптопа, сервер, два десктопа, Synology NAS, два медиа-плеера, которые должны уметь лазить за фильмами в NAS, пару принтеров, которые вообще-то не сетевые, а привязаны по usb к десктопам, но на которые надо уметь печатать с разных мест. Вот чтобы не возникало проблем с этим зоопарком, я и решил что будет правильно иметь централизованное место для раздачи паролей.