@tfl
Blog (65)
Komentarze (803)
Recenzje (0)

Wycieczka do nowego lasu cz.2

@tflWycieczka do nowego lasu cz.213.08.2011 22:42

Zgodnie z obietnicą prezentuję drugą część wpisu o migracji do nowej domeny. Przypominam, że w poprzedniej części omówiłem teoretyczną część zagadnienia, tym razem będzie o praktyce, czyli miejscu, w którym założenia ulegają regulacji przez rzeczywistość.

Samo nadanie uprawnień już na samym początku zaczęło sprawiać problemy. Okazało się, że o ile w mieście A, gdzie - przypominam - stanął od razu kontroler domeny NEW wszystko działało jak trzeba (to znaczy forwardowanie dnsowych stref lokalnych dla domen OLD i NEW działało bez zarzutów), o tyle w mieście B nie było już tak dobrze. Tamtejszy serwer DNS wskazywał kontroler w mieście A z domeny NEW dla strefy new.local, ale z jakiś powodów nie działało to zawsze. Być może winne były timeouty. Uporaliśmy się z tym dopiero stawiając kontroler nowej domeny w mieście B. Ale tutaj dopiero zaczyna się historia.

Po kilkukrotnym upewnieniu się, że w mieście A wszystko jest ok i testowym przeniesieniu kilku osób do domeny NEW (o procesie przenoszenia już za chwilę, dość szczegółowo) zapakowaliśmy się w samochód i wyruszyliśmy w prawie 300 kilometrową podróż do miasta B. Plan był następujący - na czas reinstalowania systemu przenosimy serwer DNS oraz DHCP na router (sjakiś debian), task scheduler do przenoszenia faxów z miasta A do miasta B zostaje zamieniony, pracownicy z miasta B korzystają z zasoby w mieście A i stamtąd odczytują faxy (trochę lagów, ale da się zaakceptować). Do samego serwera dopinamy kolejny kontroler RAID, stawiamy na nowych dyskach mirror, oba RAIDy działają równolegle (gdyby co...), po postawieniu samego serwera przenosimy pracowników do nowej domeny. Tymczasem...

Tymczasem okazało się, że nasz serwer nie wpuści kolejnego tego typu kontrolera do siebie. Po prostu brak wolnego slota PCI-E. No i... no i trudno. Płyta nam na szczęście udostępniała dwa sloty SATA, które działać mogą jako raid. Jeden problem z głowy (wspominałem o wycieczce po mieście w poszukiwaniu przejściówki molex->sata?). Kolega się uparł na backup struktury zasobów przez robocopy. Jeszcze tylko kilkukrotne sprawdzenie, że dane są ok i serwer wyłączamy. Stawiamy system, wszystko działa po 6 godzinach od wyłączenia serwera. Mamy nową domenę.

Wyłączamy serwer DNS i DHCP z routera, przenosimy strefy DNS ze starego. I tutaj należy się kilka słów. Strefy dns w systemach windows server 2003 i 2008 (nie lokalne) serwer dns trzyma w plikach z rozszerzeniem dns (nie da się uniknąć tych powtórzeń ;) w katalogu x:\windows\system32\dns. Można je więc dość łatwo przenosić miedzy instancjami. Wystarczy na nowym serwerze dns utworzyć odpowiednia strefę, potem wyłączyć serwer dns, nadpisać plik i na nowo uruchomić serwer. Po kłopocie.

Po wszystkim rozpoczynamy nadawanie uprawnień dla użytkowników z domeny NEW. I tutaj kolejne zaskoczenie. Z przyczyn do tej pory dla nas znanych słabo, klienci serwera dns błędnie widzą strefę OLD. To znaczy adres old.local zostaje przez dns błędnie rozczytany jako adres ip kontrolera domeny w mieście B (który przecież został zaorany i postawiony jako kontroler domeny NEW). Po krótki dochodzeniu odnajdujemy pierwsze symptomy zamieszania. O to kontroler domeny w mieście B posiada FQDN (full quality domain name) b-dc.old.local. Jak do cholery? Skąd do cholery? Do końca nie jesteśmy pewni. Wszystko wskazuje na to, że serwer DHCP na routerze podawał klientom właśnie taki suffix domeny. A serwer sobie zapisał i utrwalił. Dość łatwo to pozamieniać w kluczu:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System\DNSClient

Jednak odszukanie tego klucza i eliminację tego problemu zajęła nam dwa dni. Wcześniej próbowaliśmy zdziałać coś z samym serwerem DNS, ale wpisy w NS ciągle wracały do błędnego stanu.

Po wszystkim gotowy byłem do przenoszenia komputerów do nowej domeny. Cały proces nie jest skomplikowany. Z konta użytkownika eksportuje klucz HKEY_CURRENT_USER i zapisuje gdzieś na pulpicie. Potem loguję się na lokalne konto z uprawnieniami administracyjnymi, przenoszę z domeny OLD do grupy roboczej. Restart. Loguję się kolejny raz na lokalnego usera (w tym momencie i tak nie mogę zalogować się na konto domenowe), wprowadzam użytkownika do domeny NEW. Restart. Loguję się na konto użytkownika w nowej domenie, w tym momencie tworzy się nowy profil (zgodnie z tym, co pisałem w poprzednim wpisie). Wylogowuję się, loguję na użytkownika z uprawnieniami administracyjnymi i zmieniam wpis w rejestrze (także pisałem o tym w poprzednim blogu). I znów loguję się na użytkownika. Tym razem mam już dane z pulpitu itd. Nie mam jednak żadnych ustawień. Na szczęście na pulpicie jest pliki z wyeksportowanym CurrentUser, teraz go integruje i odpalam gpupdate /force. Na koniec restart, uzupełniam dane z Protected User Storage, ustawiam na użytkowniku żądanie zmiany hasła po następnym zalogowaniu i po wszystkim.

Całość w porywach może zająć 10 minut.

I na koniec pewna obserwacja... którą uważam za dość duży błąd... W każdym razie sytuacja wygląda tak: użytkownicy, będący programistami i pracownikami działu IT posiadają uprawnienia administracyjne na swoich komputerach. Po prostu są dodani do lokalnej grupy administratorzy. Po przeniesieniu do domeny NEW w niejasnych dla mnie okolicznościach użytkownik z domeny OLD zamieniony zostaje na odpowiedniego użytkownika z domeny NEW. Jeśli ktoś wie, dlaczego tak się dzieję chętnie przeczytam o tym!

Na koniec pewne zapowiedzi. Po pierwsze coś z działki administratora, czyli czym są domeny i czym różnią się od grup roboczych, co to jest DNS i DHCP oraz dlaczego to warto łączyć z AD. Po drugie coś dla początkujących programistów, czyli co to są frameworki w PHP, czym są wzorce i po jednym przykładzie z każdego. Wszystko już w miarę wkrótce :)

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.