Malá firma - jediný AD server? Jak případně obnovit na jiné železo?

[KarelKarlovic]

Tak jsem se nějak souhrou náhod dostal do situace, že spravuji IT v maličké firmě... No spravuji... Zatím dávám dohromady co tam vlastně je a plánuji co s tím. Předtím kdo šel kolem, ten něco nastavil aby to zrovna jelo...

Hlavní otázka kterou řeším je, jestli s jediným serverem (DELL R230 s Windows 2012R2 Foundation) pro 6 uživatelů zakládat doménu.
Víc železa bych tam asi zatím doplňovat nechtěl, už tento server je na jejich použití docela overkill.
Běží na něm: SQL pro IS (250MB Dat), IIS - zobrazování dat z IS na terminály (Atom krabice s W10). Chtěl bych tam ještě rozjet SMB (=vyřešit účty). Web a mail jsou hostované externě.
Účty by se zatím používaly pro SMB, IS a případně na NAS (kdyby byla časem potřeba větší kapacita).
Potenciál růstu teoreticky je, ale pomalu.

Všude se v případě jediného AD serveru straší nedostupností při výpadku a obnově apod. To v této situaci není až tak problém, protože když klekne server s IS, tak jsou stejně v háji a můžou tak leda telefonovat a mailovat.
Z čeho mám strach, je nahození zálohy na případný záložní server (něco by se slepilo, než se dá hlavní dohromady). Všichni všude řeší jen obnovu na stejné železo, ale když klekne RAID řadič, zdroj nebo MB, tak mi je binární záloha OS na dvě věci.
Dá se nějak rozumně zálohovat jen samotná databáze AD a obnovit na jiný stroj? Narazil jsem jen na postup zde: https://support.microsoft.com/en-us/help/263532/how-to-perform-a-disaster-recovery-restoration-of-active-directory-on ale to je pro W2000 a nedoporučuje se takto obnovený SRV provozovat ale hned do obnovené domény přidat další AD server a obnovený odstavit. Nějaké reálné zkušenosti? Rada? Kašlat na to a nechat workgroup?

--------------------------------------
Pár perliček, na co jsem zatím narazil:
V Racku byla zapnutá UPS, ale zezadu v ní nebylo nic zapojené
V Racku byl NAS (Atom, na 6xHDD), ale nic na něm
IS na serveru bez záloh (ani data IS, ani celý server)
V routeru otevřený RDP port na server, na serveru log plný pokusů o přihlášení - několikrát za minutu (Administrator, Administrateur, Admin, Root, Station8, John, Lucy, Kevin...)
Server i NAS se zapojenými 2xGLAN, switch bez povoleného LACP (ale umí to)
IP switche a iDRAC karty v serveru v jiných sítích - bez čehokoliv v síti, co by na ně mělo nastavené routování

[Reklama]

[M.]

Naprosto běžný stav v malých firmách. A to i takoých, které jsou na tom finančně naproso dobře.
Nedávno jsem řešil něco podobného. Jeden server, kde je většina věcí a vedle je chytřejí NAS, kde jsou další data. Ten NAS uměl normálně KVM virtuály, takže na serveru AD (jako jeden z virtuálů) a další AD jel jako záloha na tom NASu. Takže bych se podíval, co ten NAS umí a zda zvládá na sobě pustit aspoň ten jeden viruál pro druhý AD (v mém případě to byl čtyřdiskový QNAP do racku  měl celkem dost RAMky).

[Lol Phirae]

Já ti nevím, každé normální zálohovací řešení umí "bare metal" obnovu. I ten krám, co je obsažený ve Windows (Server Backup) tvrdí, že to umí. Jestli tě to vážně trápí, tak si tam nahoď eSXI nebo třeba ty MS HyperV sračku zdarma a všechno narvi do virtuálů.

[j]

Easy, nepoustej ty widle na tom zeleze, ale pust je virtualne. Kdyz se neco podela, nemusis resit ze ze widle po presunu jinam podelaj taky.

2Lol: S widlema to mas asi jako jit si vsadit sportku ... mozna vyhrajes. Sem presunoval desitky stroju - jak z HW na HW, tak z HW do virtualu ... a v drtivy vetsine pripadu narazis. Nemusej to bejt ve finale ani widle, staci nejaka "vypecena" appka co se trebas licencuje na kombinaci HW ... (zabit takovy kkty je prilis milosrdny).

[KarelKarlovic]

Win Server Foundation jde legálně jen naostro na železe... Bez virtualizace. Ta jde až ve Standard. To bylo první, co mě napadlo. (Virtual image use rights - None; cannot host virtual machines or be used as a guest operating system in a virtual machine.)
NAS se umí do domény jen připojit, nic víc... Není to QNAP ani Synology.

Jelikož nevím, na co by se záloha případně obnovovala (co bude k dispozici), tak bych nerad až v okamžiku sesypání serveru zjišťoval, jestli se obnova podaří nebo ne... Možná to tak vyzkoušet do virtuálu (sice nelegálně, ale jen na dobu, než se zprovozní fyzický SRV)

[Reklama]

[Lol Phirae]

Win Server Foundation jde legálně jen naostro na železe... Bez virtualizace. Ta jde až ve Standard.

Tvůj boj. Osobně bych se na "legálně" celkem zvysoka vysral. Záloha, kde nejde vyzkoušet obnovu, protože není na čem, je dost k ničemu.

[KarelKarlovic]

Proto jsem se na to právě ptal, že jsem takové problémy tušil. Takže zvážím, jestli je tlačit alespoň na SRV Essentials (lze HW nebo VM), případně udělat linux zálohu AD (Raspberry Pi?), nebo na to kašlat a nechat workgroup.

Se současným HW/SW vybavením to jednoduše/legálně nejde.

[JardaP .]

Ja bych tedy AD kvuli sesti userum nedelal. A az vypukne ten rust, tak se to muze predelat, nez to zacne prerustat pres hlavu. BTW, predpokladam, ze tak jako o DC kdysi, MS nedoporucuje provoz AD bez sekundarniho serveru, takze pokud SAMBA na RPi zvlada dostatecne funkcionalitu AD, tak by to asi stalo za uvahu.

[KarelKarlovic]

Jj, pokud se neobjeví něco novýho, při čem by doména měla smysl, tak na to zatím kašlu.

Hromadu věcí teď budu předělávat a dávat dohromady, tak jsem chtěl tu doménu rovnou zvážit a kdyby to šlo jednoduše a bezbolestně, tak do toho rovnou jít, ale takto to nemá cenu. Vyzkoušením obnovy bych zabil mnohem víc času, než kolik by mi to ušetřilo se správou 6 (i kdyby 10-15) účtů. Až bude potřeba se to vyřeší.

[JardaP .]

Ja nevim, jak to ma Magorsoft dneska, ale kdysi se role serveru prepinala reinstalaci a zvolenim jine role. Jestli to je porad tak prakticke, tak uz kvuli tomu bych se na to z vysoka ......

[Kit]

Ja nevim, jak to ma Magorsoft dneska, ale kdysi se role serveru prepinala reinstalaci a zvolenim jine role. Jestli to je porad tak prakticke, tak uz kvuli tomu bych se na to z vysoka ......

Jenže na čem jiném chceš rozchodit MSSQL s aplikacemi?

[JardaP .]

Jenže na čem jiném chceš rozchodit MSSQL s aplikacemi?

Na to potrebujes AD?

[KarelKarlovic]

Další perlička: všichni uživatelé přistupují k IS pomocí lokálně uloženého pověření pro administrátorský účet serveru. (až v rámci IS je další správa uživatelů, která určí, kdo kam může)

[KarelKarlovic]

Tak jsem rychle zkusil pohledat AD DC na RPi, a taky žádná výhra - Samba nepodporuje WMI, takže nelze doménu ze Samba 4 replikovat přímo na 2012 (R2), ale jen na 2008 (R2) a z toho pak teprve na 2012 (R2).
https://wiki.samba.org/index.php/Joining_a_Windows_Server_2012_/_2012_R2_DC_to_a_Samba_AD

Takže kolečko 2012R2 -> RPi -> 2008 R2 -> 2012R2 vážně ne, doména je pohřbena, dokud nebude potřeba pořídit další M$ SRV.

[j]

Win Server Foundation jde legálně jen naostro na železe... Bez virtualizace. Ta jde až ve Standard.

Tvůj boj. Osobně bych se na "legálně" celkem zvysoka vysral. Záloha, kde nejde vyzkoušet obnovu, protože není na čem, je dost k ničemu.

Jednak to neni pravda, a druhak v ty licenci ma zcela jiste napsano i to, ze az mu ten HW chcipne, tak si musi stejne koupit widle novy .... (jedno i druhy proslo uz i soudama, licence je licence a uzivatel ji muze v danym mnoztvi (tedy jednou) provozovat na cem chce).

Apropos, sranda, dorazil servisak (HP) vymenil MB ... a nechal k tomu karticku s klicem na w10. Viz ta jejich aktivace HW. ...