Üdvözletem.
Egy olyan probléma megoldásában kérném a nagyérdemű segítségét, hogy van nekem egy kb 500 felhasználót tartalmazó Windows Server 2008R2-m egy régebbi szerveren.
Na, most van egy "új" szerverem (PowerEdge T20) amivel le szeretném cserélni a régit, és ha már ezt meglépem, akkor kapásbók upgradelnék Windows Server 2016-ra is.
A kérdés valójában az, hogy hogyan tudom a lehető legbiztonságosabban (és egyszerűen migrálni a következő beállításokat:
- Active Director (domain, struktúra, felhasználók stb.).
- GPO-k!
- Felhasználók mappái, fájljai, és a mi a legfontosabb a beállított jogosultságok (pl: kié a megosztás, ki éri el az adott mappát, ki módosíthatja stb, stb.).
- DNS beállítások.
- DHCP beállítások.
(Valamint az se lenne rossz, hogyha az IP beállítások is megmaradnának, de ez megint olyan, mint a DHCP: 2 perc alatt újra be tudom állítani).
Ugye ha maradna a régi vas, akkor elég egyszerűen megoldanám: frissítés és kész. De így, hogy új lesz a HW kicsit félek a "nagy utazástól" :)
Minden megoldást, segítséget, vudu varázslatot elfogadok, és hálásan megköszönök. :)
T.
- 2485 megtekintés
Hozzászólások
Nem vagyok nagy szakértő, de az nem jó megoldás, hogy hozzáadod az új szervert az AD-hez, átmigrálod az adatokat, beállításokat, stb. majd kiveszed a régit az AD-ból?
- A hozzászóláshoz be kell jelentkezni
Ami felveti a legelső kínzó kérdést: eddig 1 db Domain Controller-el ment az egész cég?
--
- A hozzászóláshoz be kell jelentkezni
+1, andrasb jót írt, csak a végén inkább mégse vegye ki a régit a domainből :)
- A hozzászóláshoz be kell jelentkezni
+1 :) Esetleg tehermentesíteni a régi DC-t, szép lassan egyessével áttennni szerepköröket, pl DHCP, fájlmegosztások, ésatöbbi és akkor ha valami nagy gixer van, visszaállítani az adott szerepet.
- A hozzászóláshoz be kell jelentkezni
Ahogy előttem is mondták.
Új szervert feltelepíted, AD-be becsatlakozol, FSMO role-okat átviszed.
Megosztásokat, egyéb dolgokat szintén, ha minden működik a régi nélkül, kiveszed a régit.
- A hozzászóláshoz be kell jelentkezni
akkor egy-két kiegészítés:
1) Cég == középiskola :) És ha van rá esély akkor a régi szerverből inkább tűzfalat csinálok :D
2) én se vagyok valami nagy Win Server zseni, mert eddig Linuxos rendszergarázda voltam :)
haga ha megkérlek rá, akkor a "FSMO role-okat átviszed" tanácsodat kifejted egy kicsit? Köszi!
- A hozzászóláshoz be kell jelentkezni
Régi szerverből úgy is lehet tűzfal, hogy marad a DC.
Hyper-V szerepkör felcsattint (még ha nem is ajánlott DC mellett, de működik és tartalék DC-n pláne mindegy).
Létrehozol új VM-et ami alá becsatolhatsz dedikált hálókártyát/portot (vagy lehet VLAN-nal is szórakozni) és azon olyan linux alapú tűzfalat csinálsz, amilyet csak akarsz
Tudom, vannak sebezhetőségek, amikkel át lehet látni a gazdagépre, de még vannak biztonsági frissítések 2008 R2-re és gondolom a választott Linux alapokra is, ha rendszeresen frissíted legalább a vendég rendszert, akkor nagy gond nem lehet.
Hyper-V, fürt nélkül nem bonyolultabb mint egy VirtualBox.
Amint felállítottad a VM-et, pl SSH-n át elérve a tűzfalad észre se veszed, hogy Windows a gazda (3.10-es feletti kernel ajánlott, ami már amúgy is ősi, max valami hyperkonzervatív vagy ősi CentOS alapú cucc használ, de még ott is lehet másik repo-ból vagy fordítással újabb kernelt hegeszteni)
- A hozzászóláshoz be kell jelentkezni
előlépteted tartományvezérlőnek (ha hozzá adtad a role-t, akkor a kis zászlónál jelezni is fogja, hogy léptesd elő), majd kicsit vársz, hogy leszinkronizáljon, utána:
https://www.petri.com/transferring_fsmo_roles
majd ismét vársz pár órát, és kiveszed szabályosan a régi dc-t a tartományvezérlők közül (ad role eltávolításakor rögtön fel is dobja, hogy előbb távolítsd el a dc-k közül)
Ha nem akarsz repadmin-al vagy dcdiag-al játszani, a legegyszerűbb, ha addig vársz az előléptetés után, míg meg nem jelenik a netlogon és a sysvol megosztás az új szerveren.
A fileokat jogokkal legegyszerűbben total commanderrel tudod áttenni, bepipálod az ntfs jogok másolását és kész.
A domain/forest szintű dns le fog szinronizálódni, csak olyan forwarder vagy tartomány nem, amit felvételkor nem állítottál be domain/forest szintűre (nem hiszem, hogy lenne ilyen)
valamint a dns forwardereket is ellenőrizd le, hogy jók legyenek, és ha kilőtted a régi szervert, töröld minden bejegyzését a dnsből
dhcp-t simán a dhcp mmc konzoljából backup/restore-al át tudod tenni, csak ne felejtsd el letiltani a szolgáltatást a régi szerveren, és a beállításokat megnézni, hogy jókat osszon (és authoritavive is legyen)
ip-t átírhatod bármikor.
- A hozzászóláshoz be kell jelentkezni
Köszönöm a választ, úgy érzem, hogy így menni fog :)
- A hozzászóláshoz be kell jelentkezni
Ha már domain-t telepítettél (te v. az elődöd) és azt napi szinten használod, legyen meg az a minimum 2 db DC a domainben. Lehetőleg ne egymás mellett legyen ez a 2 gép.
Még ha 0,00 bit pótolhatatlan adat is van a egész domain-ben (amit kétlek), az 1 db DC megdöglése után fájdalmas szopás lesz a helyreállítás. Ha véletlenül van system state backup a DC-ről, még akkor is.
Ellenben ha van 2 DC, és kidöglik az egyik, akkor még nem történik katasztrófa.
Ui. Azt mondjuk sosem értettem, miért régi, vérestorkú, féligdöglött gépeket akarnak az emberek büdzsé-szegény helyen pont tűzfalnak berakni. Nem pont azért fog az összes user legelőször sírni, amikor megdöglik és elmegy a net?
--
- A hozzászóláshoz be kell jelentkezni
Azért kell tűzfal (az egyébként nem annyira "félig döglött" régi szerveren), mert egy jogszabály előírja, hogy az iskolákban kötelezően működjön egy tartalomszűrő rendszer a diákoknak. És ha már egy proxy-t berakok, akkor legyen egy rendes tűzfalunk is.
A 2 DC-s ajánlatokra meg csak azt tudom mondani, hogy köszönöm, megfontolom, de jelenleg erőforrás pazarlásnak érzem. Az adatokról van biztonsági mentés, a többit meg feltudom újra építeni ha kell.
- A hozzászóláshoz be kell jelentkezni
Te szabadidőd, te idegrendszered, te bajod (ő pénzük a villanyszámlára) . Ha véletlenül mégse jön össze a visszaállítás, akkor mi szóltunk.
- A hozzászóláshoz be kell jelentkezni
Nem azt kérdőjeleztem meg, h. "minek tűzfal", hanem azt h. az emberek miért kiszuperált-"másra már nem merném használni" gépeket akarnak mindig elővenni a lomosból, ha tűzfalat kell lerakni. Mintha tűzfalnak alkalmas lenne olyan gép is, ami mást már nem tud futtatni biztonságosan. Ez a mostani gép szerinted már nem alkalmas domain controllernek, de tűzfalnak még igen?
A 2. DC-t felrakhatod egy HyperV VM-be is. Az a lényeg h. legyen legalább 1 élő másolat a domainről, amikor a fő-DC behal (mert előbb v. utóbb, de be fog halni). Egy teljes domaint visszahozni a halálból (ha 1 DC van csak, annak halála a teljes domain halálát jelenti definició szerint) az én szememben pilótavizsgás mutatvány, főleg ha még sohasem csináltál ilyet előtte. Cseppet komolyabb dolog, mint a törölt "micike.docx"-et visszaállítani a fájlszerveren backup-ból.
Tudom milyen frusztráló eszközhiánnyal dolgozni napi szinten. De egy VM-ben futó szerver (bármilyen régi öreg vason is) a te életedet fogja megkönnyíteni a nagy napon.
--
- A hozzászóláshoz be kell jelentkezni
+1, a második bekezdést be kéne rakni valami sticky postba
MS Premier Supportban láttam már ilyen mutatványt, tl;dr nem volt olcsó
- A hozzászóláshoz be kell jelentkezni
nekem dockerban van a samba ad-m, es kb. 6 masodperc ujat inditani (a regi adataival).
Teljes uj infrastrukturat kb. 25 masodperc alatt huzza ujra nullarol. Sajnos valtozik ebben az esetben a userek id-je igy ki-be kell leptetni tartomanyokbol a pc-ket.
Szoval en nem vagom ezt a pitet...
---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
- A hozzászóláshoz be kell jelentkezni
"Sajnos valtozik ebben az esetben a userek id-je igy ki-be kell leptetni tartomanyokbol a pc-ket"
Tehát mégsem 25 másodperc a katasztrófa helyreállítása :)
Egy Samba AD és egy proper WS2016 DC az azért nem ugyanaz a kategória.
--
- A hozzászóláshoz be kell jelentkezni
van backup az ad fajljairol. Szoval abban az esetben tenyleg 25 masodperc.
csak az egesz cucc is scriptbol epult fel, igy ujra fel lehet epiteni. De nem kell.
---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
- A hozzászóláshoz be kell jelentkezni
De pont erről beszélünk, hogy nem elég (jó), ha van egy nem túl régi halott backup az AD állományairól! Az a biztos, ha van egy élő DC. Az mindent űberel.
- A hozzászóláshoz be kell jelentkezni
Az a része nem fedi a valóságot, hogy egy Bare-metal restore-al olyan ördögőség lenne egy DC-t bármire (VM-et fizikai gépre, fizikai gépet VM-re akár) visszaállítani.
Nyilván nem Free verziókkal kell backup-olni.
- A hozzászóláshoz be kell jelentkezni
"az emberek miért kiszuperált-"másra már nem merném használni" gépeket akarnak mindig elővenni a lomosból, ha tűzfalat kell lerakni"
vs:
"1) Cég == középiskola :)"
Erre futja. Másra nem.
- A hozzászóláshoz be kell jelentkezni
Tudom h. erre futja.
De miért nem a DC marad hulladék gépen, és a tűzfal kap csili-vili újat?
DC nélkül még simán lehet internetelni, tűzfal nélkül meg pont nem.
--
- A hozzászóláshoz be kell jelentkezni
Egzotikus esetben (stored credentials = 0) még belépni sem fogsz tudni a gépre, nem éred el a lokális share-eket, lehet, hogy nem tudsz nyomtatni, lehet, hogy a levelezésed sem látod.
- A hozzászóláshoz be kell jelentkezni
Ne nekem magyarázd, én ezzel kb. tisztában vagyok. A stored credentials amúgy >0 a default domain policy-ben HA NEM BABRÁLOD EL.
--
- A hozzászóláshoz be kell jelentkezni
ez aztan *tenyleg* jo 5let. Ha baj van, akkor be se tudsz lepni a userbe, hogy mentsd ami meg mentheto.
Amennyire en tudom (de fixme!), ugyanazon id-vel nem tudsz domaint letrehozni 0-rol, hogy a klienseket becsapd, es vissza tudjanak lenpi, ha egyszer mar kileptek a domainbol.
Pl. outlook beallitasd 3rd party emailszolgaltatohoz. Nekem ez kellett volna (egy het mulva szoltak).
---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
- A hozzászóláshoz be kell jelentkezni
A SID-et nem tudod megvaltoztatni, de a korábbi SID-et transzparensen el tudod tárolni (sid history), nem fog minden menni vele. :)
De egy DC bare metal recovery-nél nincs erre szükség.
Volt olyan multi környezetem, ahol 1-re volt korlátozva a stored (tehát, a sysadmin-oknak csak lokális user-en keresztül lehetett managelni, ha kiesett az 1 db letárolt lehetőség).
Ez nem véletlenül volt így, sikerült egy pentest-en a letárolt credentials-ökkel domain account-ot szerezni, majd továbblépve végülis eljutottam a domain admin szintű jogosultságig.
- A hozzászóláshoz be kell jelentkezni
Nos azért nem a "csili-vili" új lesz a tűzfal, mert:
1) Van most is tűzfal, gyakorlatilag nem használjuk mert van még mögötte egy Cisco-s router, ami részben tűzfalként is szolgál.
2) Nem is kéne új tűzfal, de én szeretnék egy kis tartalomszűrést beiktatni a gépezetbe.
3) (és ezt most tényleg csak a tisztánlátás végett írom le) lehet netezni tűzfal nélkül is, csak akkor nem a sulinetes vonalat használom, hanem az "önkormányzatit" (ami lassabb, de stabilabb)
- A hozzászóláshoz be kell jelentkezni
Ha már ott a 2k16, akkor azon mindenképp Hyper-V. A DC legyen kitüntetetten csak DC-nek használt VM, minden más mehet egy másik VM-re. A régi szerverből inkább próbálj ennek párt csinálni (minimum másik DC szinten) és a Hyper-V-n remekül elmegy ám a Linux is VM-ben. Menteni pedig akár az ingyenes Veeam -es szolúcióval is tudod, igaz a free schedulálni nem tud.
- A hozzászóláshoz be kell jelentkezni