@Siktant

Подскажите пожалуйста, задача такова.
Подняли Контроллер домена, хотим сделать резервный, если в случии не работоспособности первого, сеть могла быть в работоспособном состоянии. Все на Win Server 08. Подскажите какой план действий, желательно бы с примерами. Заранее огромное спасибо.

0

@ppv

Может, поможет то, что проделал я.
Вычитал, что, начиная с WinServer 2003 резервных контроллеров домена как таковых более нет: все равноправны. Провел эксперимент. Выставил второй контроллер домена CD2 (всё на 2003). Указал ему, что он не первый в домене. Затем указал на нем глобальный каталог. Похоже сработало. Проверил так: отключил первый (по времени установки) контроллер домена CD1. Прописал для контроля нового пользователя. Выждал некоторое время и включил CD1. На нем через несколько минут появился пользователь, прописанный на CD2. Вообще можно в работе оставлять любой из контроллеров, проводя на другом профилактические работы. Никакой репликации специально не проводил.
Для дальнейшего использования составил примерный план действий.
1. Инсталлирую контроллер домена CD3 на железе CD2, просто поменяв винт.
2. Жду синхронизации его с CD1, после чего отключаю CD3.
3. Снимаю HDD с CD3 и восстанавливаю CD2, установив обратно его HDD. Теперь у меня есть резервный "домен" с данными на эту дату.
4. В случае аварии, когда гибнут оба контроллерных винта (на СD1 и CD2), восстанавливаю CD3, затем на любом железе восстанавливаю новый CD1.
Разумеется, это актуально, если железо не фирменное, а простенькие персоналки. У меня сервер CD2 собран на обычном Asus-е, проц примерно 2 гига.

1

magirus

Siktant, в общем план действий тебе обрисовали.
ppv, не забывай про systemstate, а то можешь нарваться на USN rollback...

0

@Siktant

Сделал я два сервера, репликацию настроил . Вроде все в норме, теперь в домен перегнать осталось все машины предприятия. Это сделать безболезненно.

0

magirus

Siktant, тоже и к тебе относится, что я ppv, писал, настраивай резервное копирование ....

0

@ppv

Насколько актуально резервное копирование? На моих контроллерах нет ничего, кроме собственно Active Directory. Пользователи обновляются (добавляются или удаляются) достаточно редко и потеря нескольких учетных записей за месяц-квартал не фатальна. Если я имею копию контроллерного винта квартальной давности, то чем он хуже резервной копии? В сущности, мне проще вообще раз в год инсталлировать полностью новый контроллер, поскольку крайне маловероятно, что могут "погибнуть" два контроллера, находящиеся в работе и один, находящийся в резерве в отключенном состоянии. Бэкап, как я понимаю, позволяет иметь "вчерашнюю" копию, что, бесспорно, хорошо.

Поясни, что ты имеешь в виду: "не забывай про systemstate, а то можешь нарваться на USN rollback". Какие проблемы могут возникнуть?

Добавлено через 5 минут
У меня оказалось не так просто (под WinServer 2003). Во-первых, имеющиеся в сетке серверы 2008 повели себя довольно странно (терминальная служба упорно стопорится). Во-вторых, есть юзвери, желающие почти админовских прав на собственные машины. Сейчас бьюсь с их раздачей. В-третьих, поэтапный перевод в АД выдал пару раз фатальную ситуацию, когда некоторые серваки (1С, например) вдруг перестали быть видны бухгалтерам. Коллега на другом предприятии тоже рассказывал, что траблы имелись. Но у него домен на 2008 винде и трабл поменьше, чем у меня. Не пробовал давать юзерам права на установку софта на своих машинах? Встречал описание этой процедуры, но сейчас найти не могу.

0

magirus

именно, если у тебя погибнет один КД и ты начнешь восстанавливать с копии месячной давности - не имея систем стейт - ты и получишь ЮСН...

Добавлено через 50 секунд
установка софта - адвансед юзер...
но это некошерно.
составить список необходимого и разрешенного софта подписать у директора, и в путь, насаждать АД...

0

@ppv

Нет, такая процедура не планируется. Если слетает один из контроллеров, то он восстанавливается с нуля и проделывается вся описанная процедура, на что у меня уходило не так уж много времени. Во время экспериментов с АД за рабочий день переставлял сервак раз пять. Винт месячной (или более) давности используется только при "гибели" обоих винчестеров контроллеров. Если при этом гибнет и железо (мамки и прочее), то используется только полный резервный контроллер.

Про адванцед можно поподробнее?
По остальному работаем, как говорится, в заданном направлении.

0

magirus

ну в винде как известно имеется по умолчанию 4 группы пользователей - администраторы, адвансед юзер, юзер и гость.
для установки большинства программ прав Адвансед юзер достаточно.
но не смогут ставить драйвера и прочее....
а вообще, когда я админил было так:
всех без исключения кроме IT - в юзеры. включая директора.
на компах - винда офис 1с архиватор адобе акробат - стандартно.
плюс отдельный список кому чего необходимо. за подписью директора.
флопи, флешки и сидюки аппартно отрублены.
кому необходимо - через девайс лок. с теневым копированием. корпуса закрыты и опломбированы.
интернет - тоже не для всех ибо лимитный тогда был.

0

@ppv

Нашел Power Users - группа на локальной машине. Но пользователем buhgalter я вхожу в домен, а в доменных группах такого пользователя я не вижу (ни Power ни Advanced). Подскажи, где рыть?

Мы АД вводим только-только, ещё ничего не отлажено и люди в работе используют до чёрта разного левого софта. Отрубить сразу вряд ли удастся, поэтому перевожу их "поштучно". Не хотелось бы сетку вогнать в ступор. В дальнейшем (надеюсь до конца года), конечно же, всех под "подписку" директора .

Это как? Потребность во флэшках довольно частая - офисные сотрудники постоянно носят то отчёты, то работу на дом. Замыкать их на себя (иногда сами IТ-шники готовять диски и флэшки) проблемно - будешь работать копировщиком.

Пробовал. Пришлось отказаться. Сами чаще лазим в корпуса, и пломбы ставить неудобно - то пломбиратор забыли, то опломбировать. Короче, поиграли и бросили.

Отдельная головная боль. Не с лимитом, а с контролем. Кто где и что качает - не проверишь. К тому же простые (непродвинутые) юзеры не балуются, а продвинутых поймать нереально.

0

magirus

да ты чё? ISA или KWF,
+ proxyinspector и вся картинка как на ладони...
кто где когда и сколько....

Добавлено через 36 секунд
с группами в АД погорячился....

0

@ppv

Можно ссылку, где скачать софтины?
Проблема, главным образом, в другом: просматривать эти логи.

В смысле, это я погорячился? Наверное. Иной раз права прописывать приходится экспериментально: на практике они оказываются несколько иными, чем кажется.

0

magirus

proxyinspector - он и занимается составлением отчетов по логам.
ISA serwer - мелкомягкое изделие
KWF - kerio.ru
proxyinspector http://www.advsoft.ru/products/proxyinspector/

Добавлено через 27 секунд
я погорячился, нет там группы адвансед юзерс

1

@HyperV

И не увидишь. Создавай OU, например "Друзья Админа" и "Враги Админа", распихивай юзеров, компы по OU и накручивай на них политики. Одним разрешай, другим запрещай.

0

Letum

Извените такой вопрос как сделать так чтобы при установке программ на 1 КД они появлялись у 2 КД, при редактировании пользователей обновление происходит.
И пожалуста попроще а то я первый раз вообще этим занимаюсь так что очень сильно плаваю.