PDA

Просмотр полной версии : Рестуктуризация сети, помогите советом (Win2003,AD,DHCP,DNS,Web,FTP,File,Print,proxy)



ldp
13.01.2010, 21:46
Друзья, приветствую!
Хотелось бы услышать совета, ситуация такая, в связи с объединением филиалов получилось вот что:
Сервер 1
File, AD(50 users),dns, ftp,web,dhcp,print, proxy

Сервер 2
File, AD(20 users),dns, ftp,web,dhcp,print, proxy

Это все дело хочу объединить в следующию конфигурацию
Server1
File, AD (all users), dns, print
Server2
Proxy, dhcp, ftp,web

А теперь вопрос...как это все можно сделать и чтобы пользователи не прекращали работать те плавно и без страшных проблемм объединить домены

Я пока остановился на следующей схеме.
1) на сервере 1 делаю file и мигрирую в эту AD пользователей из домена 2, по политикам им подключаю принтера и сетевые диски, оставляю dhcp и прокси

2) делаю на втором серваке Proxy, dhcp, ftp, web, на первом естественно отключаю прокси и dhcp

3) и вот теперь... домен на серваке 1 ставил не я и давно...и работает он довольно криво... поэтому его тоже надо переставлять.... тут я думаю поднять вирт машину (или взять стац комп какой-нить) и в нее мигрировать все созданные учетки...переставить ад на 1 серваке и в нее обратно все вернуть...

вот такая страшная гусеница... на самом деле я еще не делал никогда миграцию... ит думаю там тоже есть свои подводные камни... подскажите пока с алгоритмом... может както можно оптимизировать

Fedor Hamov
04.02.2010, 08:03
А в ручную ввести в AD 20 юзеров не проще? займет все это не так уж и много времени чем заниматься миграцией. А тот сервак переустановить с нуля. Ты бы какую тачку взял, которая из под задницы горе водилы или новую? Ответ очевиден. К тому же не особо рекомендуется нагромождать роли на одном серваке, особенно где AD. Оставь на своем AD и DNS, а остальные можешь запихать в другой. Обычно еще proxy и AD делают на разных машинах (хотя..... ну это уж сам)
*Лучше один день потерять, потом за пять минут долететь*
(м/ф "Крылья, ноги и хвосты")

ldp
04.02.2010, 09:25
А в ручную ввести в AD 20 юзеров не проще? займет все это не так уж и много времени чем заниматься миграцией. А тот сервак переустановить с нуля. Ты бы какую тачку взял, которая из под задницы горе водилы или новую? Ответ очевиден. К тому же не особо рекомендуется нагромождать роли на одном серваке, особенно где AD. Оставь на своем AD и DNS, а остальные можешь запихать в другой. Обычно еще proxy и AD делают на разных машинах (хотя..... ну это уж сам)
*Лучше один день потерять, потом за пять минут долететь*
(м/ф "Крылья, ноги и хвосты")

Конечно не проще 20 зверей бегать вручную выносить из старого домена и дабавлять в новый, потому что у них теряются все права, слетают профили, почта, сертификаты и еще куча настроек... тем более там бухи сидят 7 штук со своими программами...

Я разобрался как грамотно сделать мигргацию, сделал ее в новый домен на отдельной тачке, потом сделал миграцию из другого домена, потом устновил на серверном железе АД, ввел в новый домен и сделал репликацию с переносом всех схем. Все работает как часы. Обошлось без вирт машин и прочей загоголины, но конечно не без подводных камней, пришлось 2 раза ночевать на работе...

Fedor Hamov
04.02.2010, 15:53
ну эт тебе потфартило (с бубном поди вокруг бегал до окончания процесса миграции)))), что прошло все так идеально. я просто нечто подобное делал при переносе настроек ролей на новый сервак. потом тридцать раз пожалел убитое время. мало того, что dns криво встал, так еще и сигнал начал пропадать по спиральной периодичности. плюнул на все и потратил на все про все 1/2 дня чтобы 50 юзверей завести в домен с нуля. с тех пор даже не интересуюсь как там AD поживает. даже КВМ от него отключил. а у тебя слишком уж геморная ситуация была да еще не известно как он при прежнем хозяине жил.
я смотрю у тебя и до этого было нагромождено в серваке... поди полдня процесс перезагрузки проходил? у меня просто 4 сервака в подчинении есть куда роли распределять. до этого тоже один стоял, вот только ролями его так не загружал... и то, можно было выспаться пока заведется.

ldp
04.02.2010, 16:01
ну эт тебе потфартило (с бубном поди вокруг бегал до окончания процесса миграции)))), что прошло все так идеально. я просто нечто подобное делал при переносе настроек ролей на новый сервак. потом тридцать раз пожалел убитое время. мало того, что dns криво встал, так еще и сигнал начал пропадать по спиральной периодичности. плюнул на все и потратил на все про все 1/2 дня чтобы 50 юзверей завести в домен с нуля. с тех пор даже не интересуюсь как там AD поживает. даже КВМ от него отключил. а у тебя слишком уж геморная ситуация была да еще не известно как он при прежнем хозяине жил.
я смотрю у тебя и до этого было нагромождено в серваке... поди полдня процесс перезагрузки проходил? у меня просто 4 сервака в подчинении есть куда роли распределять. до этого тоже один стоял, вот только ролями его так не загружал... и то, можно было выспаться пока заведется.

С бубном бегал, когда не понимал почему днс зоны не работали в обе стороны... а так миграция при правильно настроных отношениях и днс проходили на ура, процесс миграции зверя и его компа проходил за 10 минут максимум, при этом оставались все настроки, все профили, сертификаты и привязки к сиду... так что этот вариант намного лучше.

Fedor Hamov
04.02.2010, 16:24
может быть я не прав, но по-моему все гораздо проще.
приехала к нам тетка одна, на время ну и сетка нужна ей чтобы свою базу скинуть, да в инет доступ и к 1с. у меня для этих целей есть резервная запись в АД. я ввожу ее в домен (тетка видимо по многим конторам летает, бо в списке доменов у нее шо у меня клиентов в АД) и настраиваю ей доступ и 1с. на все про все 6 минут (2 минуты моск ей позасорять по поводу что надо, что не надо делать с применением непонятной ей терминологии - типа я тут хозяин, кто нарушает мои правила может и руки лишиться))))))) и все работает. а сидеть ради этих целей 5 часов ждать да еще голову поломать над днс, что то не очень рационально.

ldp
04.02.2010, 16:34
может быть я не прав, но по-моему все гораздо проще.
приехала к нам тетка одна, на время ну и сетка нужна ей чтобы свою базу скинуть, да в инет доступ и к 1с. у меня для этих целей есть резервная запись в АД. я ввожу ее в домен (тетка видимо по многим конторам летает, бо в списке доменов у нее шо у меня клиентов в АД) и настраиваю ей доступ и 1с. на все про все 6 минут (2 минуты моск ей позасорять по поводу что надо, что не надо делать с применением непонятной ей терминологии - типа я тут хозяин, кто нарушает мои правила может и руки лишиться))))))) и все работает. а сидеть ради этих целей 5 часов ждать да еще голову поломать над днс, что то не очень рационально.

Все равно при заводе человека в домен, надо настраивать ему учетку, переносить профиль, перебивать права и реестр, чтобы он нормально работал со своими привычным профилем из старого домена... на это время уходит 3 перезагрузки... и SID не сохраняется, те чел теряет все права на папки где он раньше был допустим админом, тоесть все переьивать надо, а если этих папок тысячи да еще и на нескольких сервака...представь сколько времени уйдет....дочерта

а если миграция, это одна перезагрузка и автоматическая перебивка прав и сохранение старого SID'a в историю SID, тоесть больше перебивать ничего не надо у нового зверя его старый SID.... вот и вся логика...
лучше один раз разобраться и настроить, чем бегать к каждому и вносить, выносить из домена, настраивать профиль. Во время миграции я ниразу не подошел к компу зверя, на серваке запустил сеанс и все, потом только подошел проверил, все ли подгружается и есть ли права...вот и все.
Сама миграция идет достаточно быстро, а вот подготовка это да...
Это тоже самое что учить язык, первый ты учишь 1 год, второй пол года, тоесть разобрашись раз в другой раз уже все пойдет намного плавнее и быстрее. Поэтому просто если будет возможность посмотри как это делается, время и силы в ногах сохранишь )

Fedor Hamov
04.02.2010, 16:44
нагромоздили вы прям до жути
у меня три вида доступа:
- никто кроме меня
- все
- избранные.
и чего там бегать?! настроил с сервака. прошелся настроил юзеров. кто недоволен отсутсвием доступа - достроил в процессе. и всего делов то!
у многих просто отношение такое, что если тебя не видят - значит не работаешь. так что порой в нашей работе приходится работать над созданием проблемы которую потом надо будет решать. как где-то прочел один диалог буха и админа по этому поводу:
- да ты не работаешь.... тебя и не видно вообще....
- а ты свой моск когда последний раз видела?:D

ldp
04.02.2010, 17:26
нагромоздили вы прям до жути
у меня три вида доступа:
- никто кроме меня
- все
- избранные.
и чего там бегать?! настроил с сервака. прошелся настроил юзеров. кто недоволен отсутсвием доступа - достроил в процессе. и всего делов то!
у многих просто отношение такое, что если тебя не видят - значит не работаешь. так что порой в нашей работе приходится работать над созданием проблемы которую потом надо будет решать. как где-то прочел один диалог буха и админа по этому поводу:
- да ты не работаешь.... тебя и не видно вообще....
- а ты свой моск когда последний раз видела?:D

)) смешно,
а про доступы я имею ввиду то, что есть разные досутупы на файловом серваке, есть разные группы, не только я и все, а куча всего, бухи, ресепшен, личные папки, один отдел, другой отдел, филиал...

а есть есть права на профиль, если у зверя ограниченный пользователь, надо перебивать права, тк доступ к реестру старого профиля у него не будет...

trojanets
23.02.2010, 18:06
а я бы сделал миграцию политик и пользователей в 3й домен с 2х, потом переставил 1й сервер, увеличил его привилегии до примари, далее делай со вторым что хошь.

Вопрос решается 1й ночью, если конечно все сделано на базе политик, а не настроены например локальные принтеры.

Вопрос 1й ночи, если сервера позволяют, то можно виртуализацию на 2м сервере сделать и начать процесс миграции. Все вопросы на течнете майкрософта можно найти и прочитать.
Тут только 1н вопрос, а ексченж в этой связке где ? MSSQL 2005 express edition тоже должен быть если есть эксченж.
И еще в такой схеме dns нужно делать раздельный для локалки и для внешной сети.

WEB у вас IIS или Apache Win ?
Вообщем вопрос как еще будете расширяться...

Вообще надежно будет только на 4х серверах:
Proxy (Unix/Linux), DNS, DHCP
WEB(Unux/Linux),DNS 2, FTP, MySQL (для WEB), Postfix (пограничный транспорт), Samba+LDAP
AD PDC Win 2003(2008), DNS, Fileserver.
SA Win 2003 + Exchange + MSSQL
Для развертывания дополнительных решений 1С+MS (например 1c или Share point) лучше выделить 5й сервер.

В комплексной задаче на основе сервера сертификации решается SSL при этом из опыта радиус сервер лучше поднимать на *nix.

Вот как-то так...

Добавлено через 6 минут 48 секунд
Да и еще помни, что ISA 2006 не встает на x64, а Exchange 2007 на Win 2008.

ldp
23.02.2010, 20:20
Спасибо за коммент.

Я уже все сделал, немного по своему правда.
Делал по следующей схеме:
1) Поднял новый домен на 3 компе
2) Мигрировал туда учетки, группы, политики и прочее из двух доменов.
3) Поднял дополнительный контроллер домена на нормальном серваке, туда все реплицировал и перенес. темповый сервер опустил и убрал.

4) Итого вышло вот что
server 1 = AD, PDC, File, video server, antivirus, DNS
server 2 = Proxy, VPN, DHCP, firewall,
Virtual server на Server 1 = Apache, Ftp, Mysql, dns2

вот как то так.

this
24.03.2010, 06:42
считаю, чтобы не прекращать работу пользователей, на отдельной машине к примеру для начала поднимается 1 server, после окончательной настройки всех политик перебитых или перенесенных (как хочешь, но обязательно проверив работоспособность каждого юзверя) ночью переносишь жесть на сервак и ждешь счастья)