Windows 2. DC beállítása, SMB megosztással

Microsoft Windows

Az alábbi problémával szembesültem.
Adott egy kis önkormányzat kb. 1000 éve nem porolták le a szerverüket, ami mint kiderült nem csak porfogó.
Ez a gép már nagyon abban az állapotban van, hogy csoda, hogy működik.
A gépen Windows 2008 server van ami ActiveDirectory és DomainController-ként működik. Természetesen mellette fájlmegosztás is.
Akarok mellé egy másodlagos szervert ami átveheti ennek a szerepét ha gond van. Lehetőség van most ezt kialakítani.
Ilyet még nem csináltam, de elvileg DNS-ben elérhető legyen a másodlagos is, majd fel kell venni a tartományba másodlagos DC-nek. A többit ha jól értem a windowsok elintézik egymás között.
Így ha jól gondolom, a felhasználók, jelszavak, GPO-k, romaing profilok, fájlok, stb... meglennének mindkét helyen. Ha kiesne a régi gép akkor is működne minden és meglenne minden adat is.
Ha eddig hibásan gondolkoztam, itt is szívesen veszem a javaslatokat, iránymutatást.

Most jön az érdekes.
A szerver nem romaing users könyvtárakkal dolgozik, hanem GPO-ból beállították hogy Asztal, Dokumentumok, stb... ne a gépről legyen, hanem egy SMB megosztásról.
Ez természetesen a régi gépen lévő megosztásra mutat.
Így nem tudom, hogy fogom megoldani az adatok költöztetését (mondjuk, ez lehet egyszerű, másolni kell jogokkal együtt.)
DE, hogy fogom megoldani ha kiesik az első szerver, hogy az adat elérhető legyen?
Sőt a két szerver között konzisztens maradjon az adat.

Egyértelmű hogyha működik az újabb gép, akkor az lépne elő elsődlegessé későbbiekben.

Ha a régi gép teljesen kiesik, akkor vagy windows alapon kapna másodlagos DC-t, vagy ha megoldható akkor akár valami linuxos "kész" megoldással is akár.

Ezekben kérnék egy kis segítséget, hogyant, iránymutatást.

  • 1935 megtekintés

( zeller | 2018. 07. 23., h – 13:17 )

Keress egy Windows-os környezethez értő szakit. Jobban jársz.

Valószínűleg nem engedheti meg magának.

igiboy:
Ha a megosztás direkt gépnévre vonatkozik, pl. szerver1.tartomány.local, akkor nincs gond, léptesd be a tartományba az új DC-t, nem szabadna, hogy bezavarjon. Ha már rendben működik a második tartományvezérlő, akkor lehet hozzányúlni a megosztásokhoz. Elvileg a DFS környékén kellene kapirgálni, amit talán mindkét szerver támogat (2008R2 biztosan, de te 2008-at írtál), ami egy névtér alá be tud vonni több megosztást, valamint replikációt is tud. Sajnos én nem nagyon használtam még, csak a tartományvezérlők közötti SysVol megosztást kellett még átmigrálnom a régebbi metódusról DFSR-re, amihez szerencsére találtam egy jó leírást és szinte automatikusan ment.
Olvastam olyat, hogy valaki a SysVol alá tette be a dokumentum mappákat de nagyon ellenjavalt és meghiúsíthatja az AD replikációt is.
Az lenne az ideális, ha lenne két különálló SMB szervered vagy egy NAS fürtöd.
Addig is inkább léptesd be a DC-t és beállíthatnál sűrű mentéseket a régi szerverről az újra, hogy ha gond lenne, akkor csak a AD-ben kelljen átirányítani a mappákat.

Nem én nem engedhetem meg magamnak hanem a megrendelő.
Azonkívül láttam már ilyen csoda rendszergazdákat, akik kb. annyival elintéznék az esetet, hogy ez így nem "szabványos". Azonkívül egy ilyen AD-DC migrációt 1-2 hónapnyi kattintgatással és hasonló fórumkérdésekkel intéznének.
Futottam pár kört a dologban (google), kideríteni sem volt egyszerű a régi beállítás logikáját.

Az nekem is világos, hogy GPO-ból majd a másik gépre irányítom a megosztást ha nem lenne elérhető az elsődleges. Viszont ahhoz nekem is csinálni kell olyankor valamit. Ezt nem szeretném.
Ha éppen a lábamat áztatom akkor ne piszkáljanak ilyen dolgokkal. Akkor pedig hiába van replikáció, akkor is várni fognak és nem tudnak dolgozni.

Lehetne 2 különálló SMB szerverem, csak szinkronban és úgy kellene elérni hogy az USER ne lássa melyiken dolgozik éppen.
Gyorsan rákeresem az SMB DFS kulcsszóra, lehet ez lesz a megoldás.
Akár úgy hogy átteszek mindent az új gépre és utána kialakítom a másodlagos szervert.

Ezzel kezdted: "Ez a gép már nagyon abban az állapotban van, hogy csoda, hogy működik."
Szerintem:
1, Nem másodlagos szerver kell, hanem egy megbízható új szerver.
2, Ellenőrizni hogy van-e (ha nincs megoldani hogy legyen) mentés a szerverről az az visszatöltési próba (más hw-re, vagy egy mai hw-en futó Win2008-nak megfelelően bekonfigurált VM-be).
3, Az új szerverre virtualizácós környezetbe átmigrálni a gépet csak a virtualizációhoz szükséges változtatásokkal és lehetőleg a VM szintű mentés megoldásával.

"Akarok mellé egy másodlagos szervert ami átveheti ennek a szerepét ha gond van. Lehetőség van most ezt kialakítani."
4, A fentiek után jöhet az, hogy még mit akarnak (engedhetnek meg maguknak) ők és mit akarsz te (akár Linux alapú megoldást)...
--
Légy derűs, tégy mindent örömmel!

Aki azt fogja mondani, hogy ehhez hozzá sem nyúlok ebben a formában :) Majd elmondja, hogy hogyan kéne ezt normálisan megcsinálni.

El kéne már jutni oda, hogy DC-re nem telepítünk fájlszervert, webszervert, SQL szervert, FTP szervert és semmit sem. A DC nem mindenes (kivéve a Small Business szerverekben volt, olyan is volt), hanem a alappillére a Windows a hálózatnak.

Láttam már olyan hálózatot, amin azért nem ment a replikáció a DC-k közt, mert a szerencsétlen fájlszerver volt, a diszk meg úgy le volt terhelve, hogy az Eventlog-ba alig tudta beírni, hogy nem képes a címtár működéséhez a replikációkat elvégezni.

Nem, az nem érv a szakmaiatlanságra, hogy nincs Windows licencekre pénz. Ha nincs pénz, licencre, akkor nincs pénz szakemberre se. Se külsősre, se belsős üzemeltetőre. Ahol pedig ezek hiányoznak, ott csak tákolgatás megy, nem üzemeltetés.

Ezt pedig jó messze elkerülni.

--
trey @ gépház

Illetve nem szakértőként is meg lehet próbálni, de simán lehet, hogy összeomló rendszer, adatvesztés, hosszú éjszakázás és hétvégézés lesz a vége, amiért még akár be is perelnek :D.

Szerintem így kellene kinéznie:
1. Dedikált fájlszervert építeni vagy valami igényesebb NAS-t venni, megfelelő redundanciával (gondolom nem lesz cluster, de legalább egy RAID1 legyen rajta + backup), és mindent átmozgatni.
2. Feltérképezni, hogy mi van a jelenlegi DC-n, és migrálási tervet készíteni (egy ilyen idős és nem karbantartott cuccnál ez ám az igazán fincsi). FSMO role-októl kezdve replikáción át egzotikus AD beállításokig mindent átnézni.
3. Ezután jöhet az új DC beállítása. Minimum legyen teljes rendszer szintű backup és elpróbált visszaállítási terv.
4. Jöhet a migrálás.
5. Dokumentálj mindent, hogy az utánad jövő ne téged szidjon.

Jaja. A fentieket egyébként nem kioktatásnak szántam, csak elmondtam a lassan 20 évnyi gyakorlatból származó tapasztalataimat. Az üzemeltető is jobban jár, ha sikerül a motyó tulajdonosából a megfelelő üzemeltethetőséghez szükséges minimális forrásokat kiverni.

A fent felvázolt Windows hálózathoz minimum 2 DC, amin nincs más szolgáltatás, mint ADDS.

Én már az infrát is külön szoktam szedni - másik szerver a DHCP, RAS harmadik DNS stb.

A fájlszerver egyértelműen külön szerverre kerülő szerepkör. Az adatbázis szerver, mail szerver szintén.

Tudom, hogy sokszor ezeket egybe hányják, de nem nagyon érdemes ezeken spórolni. Vason lehet ma már spórolni annyit a virtualizációval, hogy ésszerű kereteken belül ezt meg lehet valósítani. Iskoláknak gondolom még mindig olcsóbb a Windows licenc, nem biztos, hogy ezeken kell spórolni.

--
trey @ gépház

Nincs rá pénz, de menjen. (TM)
Önkormányzat nincs kedvezmény, meg amúgy is ASP (Ahogy Sikerült Projekt) van/lesz. (Azért arra kíváncsi lennék , hogy egy Microsoft licensing expert mennyire sírná el magát az ASP keretrendszer (TM) láttán.)
Mert, hogy a web workloadba nem igazán fér bele az tuti.)
De az egész haverok, buli, Fanta. És a legnagyobb baj nem a haverokkal van, hanem, hogy hozzá jön a teljes szakmai inkompetencia. (Már ha pályázati pénzről van szó). De a legszebb a kötelező kérdőív (ami után bizonyíthatom, hogy képes vagyok egy nyomorult kliens tanúsítványt a gépre telepíteni. ) Dolgozik-e ? Ja, ezért küldtek megtanulni egy olyan rendszert amihez kliens tanúsítvány kell. Vagy olyan kifüs portál amit még én is be tudnék forgatni. (Hey Drupal knight when I have to log in to fill out the crap (and get locked out after x minutes) you should at least make sure the crap I upload not going to be accessible to the world). (Bár ez is a NISZ lehet (az autofill simán nyomta az ügyfélkapus logint).

Amúgy meg két DC egy DC , ajánlom ezt . (Még mindig megvan és még csak nem is DC (az most épp egy leselejtezett workstation Zenytalal)) Lesz másik? Ja ha, jönnek az új ASPs gépek végre 10+ év után. :) Valaki kitalálja miért nem Windows Server lesz?

Eközben nyolcmilliárd szabályzat született, amiből le lehetett volna cserélni mindent. :) (Waves to gelei and wish him luck with his new IT Security consultant tutoring at NKE)

Mert, hogy a web workloadba nem igazán fér bele az tuti.)
Ez alatt mit értessz?
Valaki kitalálja miért nem Windows Server lesz?
Ezt is volnál szíves részletezni?
Kedvencem, hogy Linux gépek is vásárolhatók voltak a pályázatban, de az iktató rész, ami keményen a workflow alapja, IE11 only. Java applet nem deprecated már? Mert szerintem PHP-t meg appletet használ az iktató. Valami 27 milliárdot látok a központ kiépítésére+8 milliárd az 1200 körüli önkormányzati hivatal, polgármesteri hivatal eszközcseréjére.
Waves to gelei and wish him luck with his new IT Security consultant tutoring at NKE
What is this?
Te sokat tudsz erről, blog esetleg?

Ez alatt mit értessz?

Amennyire én értem a Microsoft licencelést baromi drága lehet a keretrendszer .NET-es remekmű , gondolom nem linuxon hostolják :D.
Az External Connector ugye nem játszik mert:

An EC license assigned to a server permits access by any number of external users, as long as that access is for the benefit of the licensee and not the external user.

Az meg a mi benefitünk hogy használhatjuk a csodát. :D A web workloads meg addig web workloads amíg nem csatlakozik adatbázishoz. :D (bár biztos ez is le van zsírozva úgyhogy kár rajta pattogni :))

Ezt is volnál szíves részletezni?

Természetesen, amikor selejtezett munkaállomást kell berakni "szervernek", mert jobb mint a "szerver" akkor bizony lehet nem a 150+ k-s Windows Server lesz a választás. :D

What is this?

Valaki jól keres rajta. De ha döntenem kellene, hogy egy papírhegyet veszek pármillióért vagy lecserélem belőle a 10+ éves gépeket nekem egyszerű lenne a választás. (baromi vicces amikor egy pályázatba csak az előbbire van pénz :D)

( igiboy | 2018. 07. 24., k – 13:20 )

Mindenki bejegyzésére és javaslatát mérlegelve. Átnézve a rendszert újra, az alábbi megoldás lesz a legvalószínűbb.
- Új gép telepítése (lehet a meglévő gép másolata lesz), felvétele másodlagosnak, vagy a régi virtualizált környezetbe átrakása. (új partició méretek, stb...)
- SMB-s megosztás átrakása az új gépre (akár külön gépre)
- Régi gép kivezetése
- Az új gép mindenképp virtualizált környezetben lenne.

A "gyorsan vissza lehet húzni" nem biztos, hogy anniyra rövid idő: bármilyen gebasz közbejöhet, olyan is, amire nem számít senki. A "szinte észre sem veszik" erős túlzás, de úgy szivatja magát mindenki, ahogy akarja.
A DC az infrastruktúra alapja, miközben az erőforrásigénye minimális (mert ugye nem karácsonyfát épít belőle az ember, dns, dhcp, fájlszerver és a jó ég tudja, milyen kiszolgálófunkciókkal). Oké, egy plusz kiszolgáló licensz kell hozzá, de ahogy diszkből is kettőt raksz a szerverbe (raid tükör), úgy ezzel sem igazán érdemes spórolni.