Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: KarelKarlovic 09. 10. 2017, 08:56:27
-
Tak jsem se nějak souhrou náhod dostal do situace, že spravuji IT v maličké firmě... No spravuji... Zatím dávám dohromady co tam vlastně je a plánuji co s tím. Předtím kdo šel kolem, ten něco nastavil aby to zrovna jelo...
Hlavní otázka kterou řeším je, jestli s jediným serverem (DELL R230 s Windows 2012R2 Foundation) pro 6 uživatelů zakládat doménu.
Víc železa bych tam asi zatím doplňovat nechtěl, už tento server je na jejich použití docela overkill.
Běží na něm: SQL pro IS (250MB Dat), IIS - zobrazování dat z IS na terminály (Atom krabice s W10). Chtěl bych tam ještě rozjet SMB (=vyřešit účty). Web a mail jsou hostované externě.
Účty by se zatím používaly pro SMB, IS a případně na NAS (kdyby byla časem potřeba větší kapacita).
Potenciál růstu teoreticky je, ale pomalu.
Všude se v případě jediného AD serveru straší nedostupností při výpadku a obnově apod. To v této situaci není až tak problém, protože když klekne server s IS, tak jsou stejně v háji a můžou tak leda telefonovat a mailovat.
Z čeho mám strach, je nahození zálohy na případný záložní server (něco by se slepilo, než se dá hlavní dohromady). Všichni všude řeší jen obnovu na stejné železo, ale když klekne RAID řadič, zdroj nebo MB, tak mi je binární záloha OS na dvě věci.
Dá se nějak rozumně zálohovat jen samotná databáze AD a obnovit na jiný stroj? Narazil jsem jen na postup zde: https://support.microsoft.com/en-us/help/263532/how-to-perform-a-disaster-recovery-restoration-of-active-directory-on ale to je pro W2000 a nedoporučuje se takto obnovený SRV provozovat ale hned do obnovené domény přidat další AD server a obnovený odstavit. Nějaké reálné zkušenosti? Rada? Kašlat na to a nechat workgroup?
--------------------------------------
Pár perliček, na co jsem zatím narazil:
V Racku byla zapnutá UPS, ale zezadu v ní nebylo nic zapojené
V Racku byl NAS (Atom, na 6xHDD), ale nic na něm
IS na serveru bez záloh (ani data IS, ani celý server)
V routeru otevřený RDP port na server, na serveru log plný pokusů o přihlášení - několikrát za minutu (Administrator, Administrateur, Admin, Root, Station8, John, Lucy, Kevin...)
Server i NAS se zapojenými 2xGLAN, switch bez povoleného LACP (ale umí to)
IP switche a iDRAC karty v serveru v jiných sítích - bez čehokoliv v síti, co by na ně mělo nastavené routování
-
Naprosto běžný stav v malých firmách. A to i takoých, které jsou na tom finančně naproso dobře.
Nedávno jsem řešil něco podobného. Jeden server, kde je většina věcí a vedle je chytřejí NAS, kde jsou další data. Ten NAS uměl normálně KVM virtuály, takže na serveru AD (jako jeden z virtuálů) a další AD jel jako záloha na tom NASu. Takže bych se podíval, co ten NAS umí a zda zvládá na sobě pustit aspoň ten jeden viruál pro druhý AD (v mém případě to byl čtyřdiskový QNAP do racku měl celkem dost RAMky).
-
Já ti nevím, každé normální zálohovací řešení umí "bare metal" obnovu. I ten krám, co je obsažený ve Windows (Server Backup) tvrdí, že to umí. Jestli tě to vážně trápí, tak si tam nahoď eSXI nebo třeba ty MS HyperV sračku zdarma a všechno narvi do virtuálů.
-
Easy, nepoustej ty widle na tom zeleze, ale pust je virtualne. Kdyz se neco podela, nemusis resit ze ze widle po presunu jinam podelaj taky.
2Lol: S widlema to mas asi jako jit si vsadit sportku ... mozna vyhrajes. Sem presunoval desitky stroju - jak z HW na HW, tak z HW do virtualu ... a v drtivy vetsine pripadu narazis. Nemusej to bejt ve finale ani widle, staci nejaka "vypecena" appka co se trebas licencuje na kombinaci HW ... (zabit takovy kkty je prilis milosrdny).
-
Win Server Foundation jde legálně jen naostro na železe... Bez virtualizace. Ta jde až ve Standard. To bylo první, co mě napadlo. (Virtual image use rights - None; cannot host virtual machines or be used as a guest operating system in a virtual machine.)
NAS se umí do domény jen připojit, nic víc... Není to QNAP ani Synology.
Jelikož nevím, na co by se záloha případně obnovovala (co bude k dispozici), tak bych nerad až v okamžiku sesypání serveru zjišťoval, jestli se obnova podaří nebo ne... Možná to tak vyzkoušet do virtuálu (sice nelegálně, ale jen na dobu, než se zprovozní fyzický SRV)
-
Win Server Foundation jde legálně jen naostro na železe... Bez virtualizace. Ta jde až ve Standard.
Tvůj boj. Osobně bych se na "legálně" celkem zvysoka vysral. Záloha, kde nejde vyzkoušet obnovu, protože není na čem, je dost k ničemu.
-
Proto jsem se na to právě ptal, že jsem takové problémy tušil. Takže zvážím, jestli je tlačit alespoň na SRV Essentials (lze HW nebo VM), případně udělat linux zálohu AD (Raspberry Pi?), nebo na to kašlat a nechat workgroup.
Se současným HW/SW vybavením to jednoduše/legálně nejde.
-
Ja bych tedy AD kvuli sesti userum nedelal. A az vypukne ten rust, tak se to muze predelat, nez to zacne prerustat pres hlavu. BTW, predpokladam, ze tak jako o DC kdysi, MS nedoporucuje provoz AD bez sekundarniho serveru, takze pokud SAMBA na RPi zvlada dostatecne funkcionalitu AD, tak by to asi stalo za uvahu.
-
Jj, pokud se neobjeví něco novýho, při čem by doména měla smysl, tak na to zatím kašlu.
Hromadu věcí teď budu předělávat a dávat dohromady, tak jsem chtěl tu doménu rovnou zvážit a kdyby to šlo jednoduše a bezbolestně, tak do toho rovnou jít, ale takto to nemá cenu. Vyzkoušením obnovy bych zabil mnohem víc času, než kolik by mi to ušetřilo se správou 6 (i kdyby 10-15) účtů. Až bude potřeba se to vyřeší.
-
Ja nevim, jak to ma Magorsoft dneska, ale kdysi se role serveru prepinala reinstalaci a zvolenim jine role. Jestli to je porad tak prakticke, tak uz kvuli tomu bych se na to z vysoka ......
-
Ja nevim, jak to ma Magorsoft dneska, ale kdysi se role serveru prepinala reinstalaci a zvolenim jine role. Jestli to je porad tak prakticke, tak uz kvuli tomu bych se na to z vysoka ......
Jenže na čem jiném chceš rozchodit MSSQL s aplikacemi?
-
Jenže na čem jiném chceš rozchodit MSSQL s aplikacemi?
Na to potrebujes AD?
-
Další perlička: všichni uživatelé přistupují k IS pomocí lokálně uloženého pověření pro administrátorský účet serveru. (až v rámci IS je další správa uživatelů, která určí, kdo kam může)
-
Tak jsem rychle zkusil pohledat AD DC na RPi, a taky žádná výhra - Samba nepodporuje WMI, takže nelze doménu ze Samba 4 replikovat přímo na 2012 (R2), ale jen na 2008 (R2) a z toho pak teprve na 2012 (R2).
https://wiki.samba.org/index.php/Joining_a_Windows_Server_2012_/_2012_R2_DC_to_a_Samba_AD
Takže kolečko 2012R2 -> RPi -> 2008 R2 -> 2012R2 vážně ne, doména je pohřbena, dokud nebude potřeba pořídit další M$ SRV.
-
Win Server Foundation jde legálně jen naostro na železe... Bez virtualizace. Ta jde až ve Standard.
Tvůj boj. Osobně bych se na "legálně" celkem zvysoka vysral. Záloha, kde nejde vyzkoušet obnovu, protože není na čem, je dost k ničemu.
Jednak to neni pravda, a druhak v ty licenci ma zcela jiste napsano i to, ze az mu ten HW chcipne, tak si musi stejne koupit widle novy .... ;D (jedno i druhy proslo uz i soudama, licence je licence a uzivatel ji muze v danym mnoztvi (tedy jednou) provozovat na cem chce).
Apropos, sranda, dorazil servisak (HP) vymenil MB ... a nechal k tomu karticku s klicem na w10. Viz ta jejich aktivace HW. ...
-
Jednak to neni pravda, a druhak v ty licenci ma zcela jiste napsano i to, ze az mu ten HW chcipne, tak si musi stejne koupit widle novy ....
Jo, ale jak definujes novy HW? Vyhori mobo, vymenim ho. Vyhori disk, vymenim ho. Nakonec zbyde jen bedna, ale je to prece porad ten samy pocitac a mam na nem nalepku, ne?
-
AD pro sest lidi? ...jako strilet brabce kulometem.
AD zrus a v pripade obnovy si tam tech sest jzivatelu nacvakas rucne.
-
Jo, ale jak definujes novy HW? Vyhori mobo, vymenim ho. Vyhori disk, vymenim ho. Nakonec zbyde jen bedna, ale je to prece porad ten samy pocitac a mam na nem nalepku, ne?
Je uplne jedno jak to definuju ja, soudruzi v M$ to maji jako libovolna soucast = hdd/mb/cpu ...
-
Jednak to neni pravda, a druhak v ty licenci ma zcela jiste napsano i to, ze az mu ten HW chcipne, tak si musi stejne koupit widle novy ....
Jo, ale jak definujes novy HW? Vyhori mobo, vymenim ho. Vyhori disk, vymenim ho. Nakonec zbyde jen bedna, ale je to prece porad ten samy pocitac a mam na nem nalepku, ne?
Ale to se tazatel nechysta delat. on vymeni cela streva
-
Tak řekněme, že u narychlo nahozenýho stroje jenom proto, aby to rychle zase fungovalo, by mi legálnost byla ukradená. Ta by se začala řešit až po obnově - jestli půjde zprovoznit původní železo, nebo se koupí nový stroj.
Dotaz byl směřován hlavně na to, jestli lze zaručeně doménu obnovit na jiné železo bez druhého běžícího AD DC (Samba 4 je krkolomná).
-
Možná je to úplně idiotský nápad, uvažoval jste o tom, že to přesunete na Linux?
AD se tam stejně nepoužívá, jediný problém by tak mohl být s tím MSSQL a IIS, pokud tedy na tom běží něco Microsoft specific.
Odpadl by problém s licencema, virtualizací, migrací a recovery. Účty lze řešit přes LDAP, zbytek máte stejně externě. A to co je závislé na MS by skončilo ve virtuálu (má to jen výhody, až na nutnost koupit licenci umožňující virualizaci).
-
Dotaz byl směřován hlavně na to, jestli lze zaručeně doménu obnovit na jiné železo bez druhého běžícího AD DC (Samba 4 je krkolomná).
A co kdyby AD nebylo na widloserveru, ale na dvou RPi - hlavni a zalozni? Widle by delaly jen souborovy a aplikacni server a vy byste nemusel resit nejake problemy s replikaci mezi ruznymi verzemi AD, ktere vam brani nasadit RPi jako zalohu k widlovemu AD. A obnova by pak spocivala ve zkopirovani jednoho souboru nebo v cem to SAMBA drzi, k cemuz by dochazelo jednou za X let, kdyz vam vydoutna SD karta.
-
Dotaz byl směřován hlavně na to, jestli lze zaručeně doménu obnovit na jiné železo bez druhého běžícího AD DC (Samba 4 je krkolomná).
A co kdyby AD nebylo na widloserveru, ale na dvou RPi - hlavni a zalozni? Widle by delaly jen souborovy a aplikacni server a vy byste nemusel resit nejake problemy s replikaci mezi ruznymi verzemi AD, ktere vam brani nasadit RPi jako zalohu k widlovemu AD. A obnova by pak spocivala ve zkopirovani jednoho souboru nebo v cem to SAMBA drzi, k cemuz by dochazelo jednou za X let, kdyz vam vydoutna SD karta.
To neni dobre reseni. Pokud by Windows delaly soubor/app server, tak uz potrebuje odpovidajici licence. A AD na Sambe neni jen 1 soubor. Navic, replikace nefunguje na vsech urovnich. K tomu, zadny powershell, atd.
OP by si mel ujasnit, jake bude schema aplikacnich pristupu. Hodla nasadit i treba SSO? Ano, pro 6 uzivatelu zni AD jako overkill, ale v pripade jednotneho pristupu k aplikacim apod. to muze mit vyrazenjsi dopad. Zvlaste, pokud by se mela firma rozrustat.
-
No já se obávám, že
v pripade obnovy si tam tech sest jzivatelu nacvakas rucne.
je totální nepochopení technologie. Ono už jen obíhat těch 6 počítačů a každý zvlášť nastavovat, zatímco bych to v doméně bez problémů udělal přes GPO, je zcela padlé na hlavu. Nastavovat nové heslo na X různých místech je rovněž fakt super zážitek.
-
heslo řeší LDAP bez ohledu na OS. Problém jsou ty GPO, ale i to se asi dá řešit:
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/windows_integration_guide/sssd-gpo
-
Sleduji tuto diskusi, ale zdá se mi, že každý mluví o něčem jiném.
Základní otázkou je, jestli používat AD, nebo ne. Za mě je AD příjemná věc pro správu v situaci, kdy je zákazník ochoten podřídit se pravidlům a získat úspory na usnadnění správy. Pokud není, pak je vhodnější workgroup.
SQL a terminal určitě nemají co dělat na AD/GC.
Osobně bych preferoval virtualizaci, je jedno, jestli vSphere nebo Hyper-V. Uvnitř aspon 2 virtuálky: AD/GC na jedné, zbytek na druhé. SQL by podle mě nemělo být ani na RDS, protože RDS vyžaduje více správy a restartů, a to není pro SQL vhodné.
Pokud je limitujícím faktorem cena hardware a licencí, pak nemá smysl vůbec o ničem diskutovat. Firma o 6 zaměstnancích musí vydávat cca 200 tis. Kč měsíčně na mzdách a odvodech (držím se spíš při zemi), a řešit, jestli server s životností 5 let má stát 30, 50 nebo 90 tis. Kč je zcela nemístné. Pokud je zákazník takového ražení, spadá do kategorie nebosloužitelných.
Přechod na Sambu samozřejmě možný je, ale když bych vzal správnou odměnu admina 1000 Kč / hod. a více, pak se mi Microsoft technologie zdají jako levnější řešení. Pokud zákazník hledá admina za 300-500 Kč / hod., spadá opět do kategorie neobsloužitelných zákazníků.
-
Možná se hodí trochu zopakovat, co bylo rozeseto po více postech:
Aktuálně není doména potřeba. HW/SW by nakoupit šel, pokud by k tomu byl důvod. Až bude doména potřeba, nevidím jako problém zainvestovat potřebný HW/SW a zavést ji.
Toto téma řeším proto, jestli bych si pomohl tím, že ji založím hned teď (a trochu si usnadním práci) se stávajícím vybavením (když budu nastavovat nový router, vyhazovat staré switche a dělat inventuru SW), nebo se tím dostanu do slepé uličky v případě nějakého problému a budu se proklínat, proč jsem to dělal.
-
Toto téma řeším proto, jestli bych si pomohl tím, že ji založím hned teď (a trochu si usnadním práci) se stávajícím vybavením (když budu nastavovat nový router, vyhazovat staré switche a dělat inventuru SW), nebo se tím dostanu do slepé uličky v případě nějakého problému a budu se proklínat, proč jsem to dělal.
Do slepé uličky? Zavést doménu bude vždy podobně náročné, bude to o oběhání všech PC a nastavení politik domény. Když s tím začnete hned, rozloží se to v čase. Když až v době potřeby, asi se trochu opupínkujete, co všechno je potřeba udělat. Páka zmenší potřebnou sílu, ale po delší dráze, výsledná práce však zůstává stejná. Je to podobné, jen se nebavíme o síle a dráze, ale úpornosti a čase.
-
...nebo se tím dostanu do slepé uličky v případě nějakého problému...
Do slepé uličky?
v případě nějakého problému s jediným AD DC
Slepá ulička při případném pádu stroje a nemožnosti/komplikovanosti/náročnosti obnovy do funkčního stavu.
Doména:
Práce s rozjetím domény teď, otestovat recovery scénář AD DC a SQL
Nové stroje se budou rovnou přidávat do domény, méně práce než teď skupina a pak připojení do domény
Méně obíhání PC (průběžně)
Jeden login
Složí se server, bez druhého AD DC jsem v háji. I když rozjedu SQL pro IS, bez AD DC se do něho nikdo nepřihlásí, takže ještě všude předělávat loginy.
Workgroup:
Nemusím teď testovat recovery scénář AD, stačí SQL
Více obíhání PC
Udržování loginů na více místech
Složí se server - kdekoliv rozjedu SQL pro IS a ručně tam hodím 6 loginů.
Mít jistotu, že se server nesloží nebo se dá jednoduše AD DC obnovit, tak doménu rovnou zakládám, ale případné potíže při smrti serveru budou mnohem větší, než kolik bych průběžně ušetřil času při tak málo uživatelích.
Žádat o nákup HW a SW, abych to teď dýl rozjížděl a neřekl jim, za jak dlouho mi to začne práci šetřit (protože nevím, jak rychle můžou růst, a kdy se to zlomí) není na místě. Pozdější zavedení sice bude časově náročnější, ale jednoznačně odůvodnitelné jak ohledně času, tak nákupu HW/SW. A kdyby náhodou dlouho stagnovali, tak to budu dělat zbytečně.
-
Udržování loginů na více místech
Jo, ale asi nemusim udrzovat vsechny loginy na vsech strojich. U kazdeho sedi nejspie jeden clovek, ledaze by to u nich vyadalo tak, ze se kazde rano strhne rvacka, kdy se perou o to, kdo kde bude sedet.
Tady by bylo zajimave, jestli jdou ze stroje loginy vyexportovat a zase naexportovat z CLI. Pak by to slo hodit na server do ro souboru a kazdy stroj by si to pri spusteni importoval a bylo by. To by se zvladlo pres par batchu.
-
Udržování loginů na více místech
Jo, ale asi nemusim udrzovat vsechny loginy na vsech strojich. U kazdeho sedi nejspie jeden clovek, ledaze by to u nich vyadalo tak, ze se kazde rano strhne rvacka, kdy se perou o to, kdo kde bude sedet.
Tady by bylo zajimave, jestli jdou ze stroje loginy vyexportovat a zase naexportovat z CLI. Pak by to slo hodit na server do ro souboru a kazdy stroj by si to pri spusteni importoval a bylo by. To by se zvladlo pres par batchu.
Nepřebíhají. Bylo myšleno na login na server, do IS, na NAS... Takže žádná hrůza.
-
...nebo se tím dostanu do slepé uličky v případě nějakého problému...
Do slepé uličky?
v případě nějakého problému s jediným AD DC
Slepá ulička při případném pádu stroje a nemožnosti/komplikovanosti/náročnosti obnovy do funkčního stavu.
Pokud bych o tom uvažoval já, pak bych to vždy měl ve virtualizaci a zálohy pomocí např. Veeam Backupu. Poté jsou dopady takové situace mitigované.
-
Udržování loginů na více místech
Jo, ale asi nemusim udrzovat vsechny loginy na vsech strojich. U kazdeho sedi nejspie jeden clovek, ledaze by to u nich vyadalo tak, ze se kazde rano strhne rvacka, kdy se perou o to, kdo kde bude sedet.
Tady by bylo zajimave, jestli jdou ze stroje loginy vyexportovat a zase naexportovat z CLI. Pak by to slo hodit na server do ro souboru a kazdy stroj by si to pri spusteni importoval a bylo by. To by se zvladlo pres par batchu.
Nepřebíhají. Bylo myšleno na login na server, do IS, na NAS... Takže žádná hrůza.
Než řešit doménu tak bych raději těch 6 loginů přeťukal i čtyřikrát ... .
-
Možná je to úplně idiotský nápad, uvažoval jste o tom, že to přesunete na Linux?
Ano, velmi inteligentní a originální odpověď. Autor používá Windows server a používá MSSQL a tvůj nápad je to dát na linux a myslíš si, že by možná s tim MSSQL a IIS mohl být i problém. Nicméně v první větě to sám ohodnotil.