Windows Server 2008R2 cseréje WinServer 2016-ra

 ( cstommy | 2018. június 11., hétfő - 13:49 )

Üdvözletem.

Egy olyan probléma megoldásában kérném a nagyérdemű segítségét, hogy van nekem egy kb 500 felhasználót tartalmazó Windows Server 2008R2-m egy régebbi szerveren.
Na, most van egy "új" szerverem (PowerEdge T20) amivel le szeretném cserélni a régit, és ha már ezt meglépem, akkor kapásbók upgradelnék Windows Server 2016-ra is.

A kérdés valójában az, hogy hogyan tudom a lehető legbiztonságosabban (és egyszerűen migrálni a következő beállításokat:
- Active Director (domain, struktúra, felhasználók stb.).
- GPO-k!
- Felhasználók mappái, fájljai, és a mi a legfontosabb a beállított jogosultságok (pl: kié a megosztás, ki éri el az adott mappát, ki módosíthatja stb, stb.).
- DNS beállítások.
- DHCP beállítások.

(Valamint az se lenne rossz, hogyha az IP beállítások is megmaradnának, de ez megint olyan, mint a DHCP: 2 perc alatt újra be tudom állítani).

Ugye ha maradna a régi vas, akkor elég egyszerűen megoldanám: frissítés és kész. De így, hogy új lesz a HW kicsit félek a "nagy utazástól" :)

Minden megoldást, segítséget, vudu varázslatot elfogadok, és hálásan megköszönök. :)

T.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nem vagyok nagy szakértő, de az nem jó megoldás, hogy hozzáadod az új szervert az AD-hez, átmigrálod az adatokat, beállításokat, stb. majd kiveszed a régit az AD-ból?

Ami felveti a legelső kínzó kérdést: eddig 1 db Domain Controller-el ment az egész cég?
--

+1, andrasb jót írt, csak a végén inkább mégse vegye ki a régit a domainből :)

+1 :) Esetleg tehermentesíteni a régi DC-t, szép lassan egyessével áttennni szerepköröket, pl DHCP, fájlmegosztások, ésatöbbi és akkor ha valami nagy gixer van, visszaállítani az adott szerepet.

Ahogy előttem is mondták.
Új szervert feltelepíted, AD-be becsatlakozol, FSMO role-okat átviszed.
Megosztásokat, egyéb dolgokat szintén, ha minden működik a régi nélkül, kiveszed a régit.

akkor egy-két kiegészítés:
1) Cég == középiskola :) És ha van rá esély akkor a régi szerverből inkább tűzfalat csinálok :D
2) én se vagyok valami nagy Win Server zseni, mert eddig Linuxos rendszergarázda voltam :)

haga ha megkérlek rá, akkor a "FSMO role-okat átviszed" tanácsodat kifejted egy kicsit? Köszi!

Régi szerverből úgy is lehet tűzfal, hogy marad a DC.
Hyper-V szerepkör felcsattint (még ha nem is ajánlott DC mellett, de működik és tartalék DC-n pláne mindegy).
Létrehozol új VM-et ami alá becsatolhatsz dedikált hálókártyát/portot (vagy lehet VLAN-nal is szórakozni) és azon olyan linux alapú tűzfalat csinálsz, amilyet csak akarsz
Tudom, vannak sebezhetőségek, amikkel át lehet látni a gazdagépre, de még vannak biztonsági frissítések 2008 R2-re és gondolom a választott Linux alapokra is, ha rendszeresen frissíted legalább a vendég rendszert, akkor nagy gond nem lehet.
Hyper-V, fürt nélkül nem bonyolultabb mint egy VirtualBox.
Amint felállítottad a VM-et, pl SSH-n át elérve a tűzfalad észre se veszed, hogy Windows a gazda (3.10-es feletti kernel ajánlott, ami már amúgy is ősi, max valami hyperkonzervatív vagy ősi CentOS alapú cucc használ, de még ott is lehet másik repo-ból vagy fordítással újabb kernelt hegeszteni)

előlépteted tartományvezérlőnek (ha hozzá adtad a role-t, akkor a kis zászlónál jelezni is fogja, hogy léptesd elő), majd kicsit vársz, hogy leszinkronizáljon, utána:
https://www.petri.com/transferring_fsmo_roles
majd ismét vársz pár órát, és kiveszed szabályosan a régi dc-t a tartományvezérlők közül (ad role eltávolításakor rögtön fel is dobja, hogy előbb távolítsd el a dc-k közül)
Ha nem akarsz repadmin-al vagy dcdiag-al játszani, a legegyszerűbb, ha addig vársz az előléptetés után, míg meg nem jelenik a netlogon és a sysvol megosztás az új szerveren.
A fileokat jogokkal legegyszerűbben total commanderrel tudod áttenni, bepipálod az ntfs jogok másolását és kész.
A domain/forest szintű dns le fog szinronizálódni, csak olyan forwarder vagy tartomány nem, amit felvételkor nem állítottál be domain/forest szintűre (nem hiszem, hogy lenne ilyen)
valamint a dns forwardereket is ellenőrizd le, hogy jók legyenek, és ha kilőtted a régi szervert, töröld minden bejegyzését a dnsből

dhcp-t simán a dhcp mmc konzoljából backup/restore-al át tudod tenni, csak ne felejtsd el letiltani a szolgáltatást a régi szerveren, és a beállításokat megnézni, hogy jókat osszon (és authoritavive is legyen)

ip-t átírhatod bármikor.

Köszönöm a választ, úgy érzem, hogy így menni fog :)

Ha már domain-t telepítettél (te v. az elődöd) és azt napi szinten használod, legyen meg az a minimum 2 db DC a domainben. Lehetőleg ne egymás mellett legyen ez a 2 gép.
Még ha 0,00 bit pótolhatatlan adat is van a egész domain-ben (amit kétlek), az 1 db DC megdöglése után fájdalmas szopás lesz a helyreállítás. Ha véletlenül van system state backup a DC-ről, még akkor is.

Ellenben ha van 2 DC, és kidöglik az egyik, akkor még nem történik katasztrófa.

Ui. Azt mondjuk sosem értettem, miért régi, vérestorkú, féligdöglött gépeket akarnak az emberek büdzsé-szegény helyen pont tűzfalnak berakni. Nem pont azért fog az összes user legelőször sírni, amikor megdöglik és elmegy a net?
--

Azért kell tűzfal (az egyébként nem annyira "félig döglött" régi szerveren), mert egy jogszabály előírja, hogy az iskolákban kötelezően működjön egy tartalomszűrő rendszer a diákoknak. És ha már egy proxy-t berakok, akkor legyen egy rendes tűzfalunk is.

A 2 DC-s ajánlatokra meg csak azt tudom mondani, hogy köszönöm, megfontolom, de jelenleg erőforrás pazarlásnak érzem. Az adatokról van biztonsági mentés, a többit meg feltudom újra építeni ha kell.

Te szabadidőd, te idegrendszered, te bajod (ő pénzük a villanyszámlára) . Ha véletlenül mégse jön össze a visszaállítás, akkor mi szóltunk.

Nem azt kérdőjeleztem meg, h. "minek tűzfal", hanem azt h. az emberek miért kiszuperált-"másra már nem merném használni" gépeket akarnak mindig elővenni a lomosból, ha tűzfalat kell lerakni. Mintha tűzfalnak alkalmas lenne olyan gép is, ami mást már nem tud futtatni biztonságosan. Ez a mostani gép szerinted már nem alkalmas domain controllernek, de tűzfalnak még igen?

A 2. DC-t felrakhatod egy HyperV VM-be is. Az a lényeg h. legyen legalább 1 élő másolat a domainről, amikor a fő-DC behal (mert előbb v. utóbb, de be fog halni). Egy teljes domaint visszahozni a halálból (ha 1 DC van csak, annak halála a teljes domain halálát jelenti definició szerint) az én szememben pilótavizsgás mutatvány, főleg ha még sohasem csináltál ilyet előtte. Cseppet komolyabb dolog, mint a törölt "micike.docx"-et visszaállítani a fájlszerveren backup-ból.
Tudom milyen frusztráló eszközhiánnyal dolgozni napi szinten. De egy VM-ben futó szerver (bármilyen régi öreg vason is) a te életedet fogja megkönnyíteni a nagy napon.
--

+1, a második bekezdést be kéne rakni valami sticky postba

MS Premier Supportban láttam már ilyen mutatványt, tl;dr nem volt olcsó

nekem dockerban van a samba ad-m, es kb. 6 masodperc ujat inditani (a regi adataival).

Teljes uj infrastrukturat kb. 25 masodperc alatt huzza ujra nullarol. Sajnos valtozik ebben az esetben a userek id-je igy ki-be kell leptetni tartomanyokbol a pc-ket.

Szoval en nem vagom ezt a pitet...

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

"Sajnos valtozik ebben az esetben a userek id-je igy ki-be kell leptetni tartomanyokbol a pc-ket"

Tehát mégsem 25 másodperc a katasztrófa helyreállítása :)

Egy Samba AD és egy proper WS2016 DC az azért nem ugyanaz a kategória.
--

van backup az ad fajljairol. Szoval abban az esetben tenyleg 25 masodperc.

csak az egesz cucc is scriptbol epult fel, igy ujra fel lehet epiteni. De nem kell.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

De pont erről beszélünk, hogy nem elég (jó), ha van egy nem túl régi halott backup az AD állományairól! Az a biztos, ha van egy élő DC. Az mindent űberel.

Az a része nem fedi a valóságot, hogy egy Bare-metal restore-al olyan ördögőség lenne egy DC-t bármire (VM-et fizikai gépre, fizikai gépet VM-re akár) visszaállítani.
Nyilván nem Free verziókkal kell backup-olni.

"az emberek miért kiszuperált-"másra már nem merném használni" gépeket akarnak mindig elővenni a lomosból, ha tűzfalat kell lerakni"
vs:
"1) Cég == középiskola :)"
Erre futja. Másra nem.

Tudom h. erre futja.
De miért nem a DC marad hulladék gépen, és a tűzfal kap csili-vili újat?
DC nélkül még simán lehet internetelni, tűzfal nélkül meg pont nem.
--

Egzotikus esetben (stored credentials = 0) még belépni sem fogsz tudni a gépre, nem éred el a lokális share-eket, lehet, hogy nem tudsz nyomtatni, lehet, hogy a levelezésed sem látod.

Ne nekem magyarázd, én ezzel kb. tisztában vagyok. A stored credentials amúgy >0 a default domain policy-ben HA NEM BABRÁLOD EL.
--

ez aztan *tenyleg* jo 5let. Ha baj van, akkor be se tudsz lepni a userbe, hogy mentsd ami meg mentheto.

Amennyire en tudom (de fixme!), ugyanazon id-vel nem tudsz domaint letrehozni 0-rol, hogy a klienseket becsapd, es vissza tudjanak lenpi, ha egyszer mar kileptek a domainbol.
Pl. outlook beallitasd 3rd party emailszolgaltatohoz. Nekem ez kellett volna (egy het mulva szoltak).

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

A SID-et nem tudod megvaltoztatni, de a korábbi SID-et transzparensen el tudod tárolni (sid history), nem fog minden menni vele. :)
De egy DC bare metal recovery-nél nincs erre szükség.

Volt olyan multi környezetem, ahol 1-re volt korlátozva a stored (tehát, a sysadmin-oknak csak lokális user-en keresztül lehetett managelni, ha kiesett az 1 db letárolt lehetőség).

Ez nem véletlenül volt így, sikerült egy pentest-en a letárolt credentials-ökkel domain account-ot szerezni, majd továbblépve végülis eljutottam a domain admin szintű jogosultságig.

Nos azért nem a "csili-vili" új lesz a tűzfal, mert:
1) Van most is tűzfal, gyakorlatilag nem használjuk mert van még mögötte egy Cisco-s router, ami részben tűzfalként is szolgál.
2) Nem is kéne új tűzfal, de én szeretnék egy kis tartalomszűrést beiktatni a gépezetbe.
3) (és ezt most tényleg csak a tisztánlátás végett írom le) lehet netezni tűzfal nélkül is, csak akkor nem a sulinetes vonalat használom, hanem az "önkormányzatit" (ami lassabb, de stabilabb)

Ha már ott a 2k16, akkor azon mindenképp Hyper-V. A DC legyen kitüntetetten csak DC-nek használt VM, minden más mehet egy másik VM-re. A régi szerverből inkább próbálj ennek párt csinálni (minimum másik DC szinten) és a Hyper-V-n remekül elmegy ám a Linux is VM-ben. Menteni pedig akár az ingyenes Veeam -es szolúcióval is tudod, igaz a free schedulálni nem tud.