• software MS AD fail architecture Вот уже почти год, как я сменил род деятельности. За этот год произошло много перемен в моём восприятии IT-сферы вообще, и продуктов Microsoft в частности. В лучшую сторону. Но, как оказалось, есть еще много, чем они могут удивить.

    Примерно как @StraNNicK вот здесь: #2196779 наткнулся на тривиальную задачу, понял, что в Apple она не решается стандартными средствами в принципе, и сказочно фалломорфировал... Примерно такое же только что произошло со мной.

    Домен Active Directory. Сердце всего и вся у MS. Без него всё остальное просто не работает. Так вот. Оказывается, нельзя просто вот так взять, забэкапить конфигурацию контроллера домена и/или сопутствующих сервисов типа DNS, DHCP и т.д. (скажем, в файл или набор файлов), перенести и развернуть на новом сервере, с более свежей версией их же собственной операционной системы с запущенными нужными сервисами.

    Insnant "SOSNOOLEY".

    Сам я этой кухни никогда в жизни руками не касался — так получилось, я из мира Linux. Коллеги, которые "в теме", сообщили, что действительно такие фокусы работать не будут. Причина по-простому: "просто потому что". Более подробный ответ — долгий и сложный, про FQDN, Kerberos, и кучу прочей ерунды.

    Коллеги, это же такой лютый архитектурный фейл, допущенный на этапе проектирования системы в целом, что у меня просто не находится слов. Лицо полностью покрылось ладонями.
    ♡ recommended by @cadastik, @Ta2i4, @stanis, @StraNNicK, @ulitkovod

Replies (25)

  • @gothicsquash, Все очень просто. Есть такая штука как реестр. По этой причине просто сделать бекап не получится. Там 100500 разных сервисов со 100500 разными настройками. По этой причине только через стандартную процедуру миграции :)
  • @gothicsquash, Кстати аналог от RedHat вполне возможно сбекапить, если кто не понял я про FreeIPA
  • @gothicsquash, ох, как сочно)
  • @gothicsquash, ИЧСХ, мы привыкли жить с этим: деплой оси, добавление в домен, поднятие ролей, репликация каталога АД и зон ДНС.... А DHCP кстати ОК через бэкап/рестор конфига переносится.
  • @gothicsquash, Это все действительно нужно?
  • @LA638, Просто всплыл выбор. Либо перетаскивать 2k3 из физики в виртуальную среду прямой миграцией P2V, и поиметь 2к3 виртуалку на датацентровой 2к12 (что как минимум чуднО), либо поднять нужные службы на новом виртуальном сервере 2к12, и перетащить туда конфигурацию со старого. И вот тут нас ждало открытие.
  • @gothicsquash, Для этого MS написал ADMT и ещё много других интересных костылей.
  • @gothicsquash, Эээ... А поднять нужные службы на 2012 и зареплицировать их с 2003, а потом погасить 2003? Это вообще стандартный путь майкрософта и он вполне логичен. Я-то думал, что у тебя форсмажор какой, когда оригинальный сервер недоступен — это да, косячок, но для его обхода настоятельно рекомендуется делать бакап сервера целиком.
    А в случае, когда оригинальный доступен, не вижу препятствий пойти по Microsoft way.
  • @pLuto, чтоб пойти по Пути — Путь должен быть в голове.
  • @gothicsquash, ну задача не особо тривиальна, прямо скажем, в такой постановке : ))

    а для переходов с одной версии ос и сервисов на на другие существует много разнообразных методик, начиная от тупого инплейс апгрейда и заканчивая вводом нового сервера в инфраструктуру, постепенным переводом всех сервисов на него и убиением старых серверов.

    Это самый безболезненный и правильный путь, имхо, задокументированный в технетах итдтп.
    Даже 7-и пядей во лбу не нужно иметь, чтобы разобратцо : )) Степ-бай-степ гайды практически.
  • @Dant, И святой рандом, ага.
  • @LA638, Ага. Неподготовленным мозгам идея бэкапа конфигурации куда ближе и логичнее, чем идея кластеризации-репликации разных версий софта.
    ... а оно что, действительно вот так будет работать? прямо между 2к3 и 2к12? если да, в чём же технологическое препятствие делать бэкапы в файл? только политика партии?
  • @freefd, да не, без рандома всегда обходилось : ) все апгрейдитцо нормально от АД и заканчивая системцентрами. при разработке новой версии продукта обязательно дают методику по апгрейду. хотя проблемы будут, если НТ40 до 2012 захочешь проапгрейдить : )))
  • @gothicsquash, АД это жеш не программа с текстовым конфигом. это достаточно сложная инфрастрктура со всякими FSMO-ролями уровнями домена-леса итд. ьакап делается только через системстейт. рекаверится на такую-же версию ОС в случае смерти сервера, например.

    по желаемой тобой методике ДХЦП, кстате, мигрируется. через netsh : ) причем это единственно возможная методика : ))
  • @Dant, необязательно. через оснастку можно ДХЦП мигрировать тоже.
  • @LA638, нет. в новой версии этот бакап не поднимется.
  • @Dant, ну смотри.
    есть две операционные системы. на одном боевой контроллер. на другом свежая ОС с поднятыми ролями. она вводится в домен, на нее реплицируется сервис. эта схема работает.
    что мешает реплицировать сервис с боевого контроллера не на соседний сервер, а в виртуальный образ? представим, что там как будто бы есть этот другой сервер, и сливаем туда конфиг как обычно. затем берем этот файл, и...

    просто размышляю на тему как это можно было бы сделать.
  • @Dant, в 2012?
  • @LA638, бакап через консоль дхцп работает, если будешь его поднимать на такой-же версии ос. 2003-2003 2008-2008 итд
  • @gothicsquash, если это образ рабочей виртуальной машины — то ничего : )

    ктасте, подобное есть в 2008. технология IFM. нужно для установки контроллера в далеких ибинях на тонком канале, что бы избежать полной репликации данных каталога через этот самый дохлый канал. technet.microsoft.com
  • @Dant, понял.
  • @Dant, Нене, именно те данные, которые отсылаются с боевого контроллера на новый в рамках репликации. Сам конфиг. Там какие-то жалкие мегабайты будут по идее.
    Т.е. чисто технологически сделать бэкап в файл, хотя бы таким способом-костылём, по идее, проблемы нет. Она есть в "политике партии", что грустно :(
  • @gothicsquash, Там всё гораздо сложнее. И виновата совсем не политика партии, уверяю тебя. Если не собираешься глубоко разбираться — просто поверь :)
  • @gothicsquash, там сложнее все : ) насколько я в курсе, нет фиксированного набора данных которые нужно отправлять на новый контроллер. эти данные определяются в процессе взаимодействия всех контроллеров после того как делаешь контроллер из стэн-алон сервера : )
  • @gothicsquash, Короче, подведя конструктивное резюме — не так все страшно, как тебе кажется : ) Нужно просто использовать Windows
    Server Migration Tools (штатные фичерсы и повершельные модули в 2008/2012), и все будет относительно ок...
    Microsoft Assessment and Planning Toolkit — тоже весьма не бесполезен.

    Migrate Server Roles to Windows Server 2008 R2: technet.microsoft.com
    Windows Server Migration Tools Installation, Access, and Removal: technet.microsoft.com
    Migrate Roles and Features to Windows Server 2012: technet.microsoft.com

    Microsoft Assessment and Planning (MAP) Toolkit: technet.microsoft.com