בקשת הכוונה

[slave of the mind]

בקשת הכוונה

טוב ניסיתי למצוא בנושא אבל לא מצאתי משהו ממש טוב שיסביר לי. אני עומד לפני שינוי של שם DOMAIN 2003. קראתי הרבה על הכלים שעוזרים לי בתהליך, חלקם אפילו יפים בהתחשב בסיבוכיות של העניין. דבר אחד לא מצאתי - מה קורה לCLUSTER?! מישהו יודע? למישהו יש מאמר בנושא? תודה

 

[antidot]

------->

אין לי ניסיון בפועל עם צירוף כזה, אבל השאלה המרכזית כאן היא: איזה שם אתה הולך לשנות ? האם מדובר בשם NETBIOS-י או DNS-י של הדומיין. במקרה של שינוי שם NETBIOS-י הקודות שבהן אני רואה נקודת כשל הן: - הגדרות של חשבון תחתיו רץ cluster service. אם אני לא טועה, הפורמט הוא DOMAIN\Username ויש צורך לעדכן את הגדרות הservice ידנית. במקרה של שינוי שם DNS-י: - כל קלאסטר רושם SPN בהגדרות של האובייקט המייצג את הCLUSTER object בAD ומשתמש בSPN בתור Kerberos Security Principal. לאחר הrename יש לוודא רישום מחדש של SPN-ים תחת DNS Suffix חדש וזה לפני שאתה מבצע את השלב האחרון של domain rename שמסיר את השם DNS-י הישן - יש לוודא רישום תקין של Resources של שמות הקלאסטר אגב, ייתכן ובמקרה של שינוי שם DNS-י בלבד, אתה יכול לבצע ניתוח קטן לAD (לא בטוח אם התערבות ידנית כזאת נתמכת ע"י MS), ולעדכן את attribute בשם DnsRootAlias של CrossRef object שמייצג את הדומיין תחת Configuration partition. הדבר אמור לגרום לDC-ים לרשום בDNS את ה SRV records תחת DNS suffix חדש בנוסף ל DNS suffix ישן. כמו כן, שים לב שבמקרה של Exchange אתה צריך בנוסף להשתמש ב Exchange Domain Rename Fix-Up על מנת לתקן את כל הDN-ים של אובייקטים של Exchange שכוללים את הSUFFIX הישן. אגב, איזה cluster ? אחחח... הייתי שמח להניח את ידיי על AD כזה במהלך השינוי... בכל מקרה, בהצלחה ותזכור: גיבוי, גיבוי, גיבוי !

 

[slave of the mind]

אממ קצת הרחבה

טוב הבעיה נעוצה בזה שגילינו כמה מאמרים של מייקרוסופט שם הם מזהירים שדומיינים בעלי שם אחת לדוגמא: computer.DOMAIN (מחשב.דומיין) יוצרים בעיות ברפליקציה קצת ובXP יותר, אישית לא ראיתי אבל מי שמעליי טוען שזה מקור הבעיה ושצריך לשנות את השם דומיין למשהו לדוגמא: DOMAIN.NET עכשיו בקשר לEXCHANGE - כן יש לי את הכלי... גם הכלי של הPOLICY... הבעיה היא שאני מעולם לא הבנתי מה ההבדל באמת בין הNETBIOS ובין DNS. על נושא הגיבויים אני יודע... הייתה לי הדגמה טובה השבוע (טובה מידי 30 שעות מול שרת זה לא כייף) CLUSTER - מייקרוסופט תחת שרתי 2003SP1, מכיל שלושה שרתי תשתית, מריץ שרתי קבצים וSQL (שגם אתו אין לי מושג איך יגיב אבל הוא האחרון להדאיג אותי). כל טיפים שיש בנושא אני אקח בשמחה... כל הרעיון בינתיים נשמע לי מופרע אז אני רוצה להתכונן טוב ליום שישאלו אותי מה זה אומר

 

[antidot]

אגדות אורבניות

הבעיה היחידה היא שבברירת מחדל תחנות לא נרשמות בDNS תחת zone שהוא single lablel. יש הגדרה בGPO או בREGISTRY (לא זוכר כבר בשלף) שמאפשרת את הרישום. ברגע שהרישום תקין, לא אמורות להיות בעיות רפליקציה. בכל מקרה, המצב של single lable domain בהחלט אינו בריא ויכול לנשוך אותך בעתיד בכל הקשור ליצירת trusts וכו' (לא שאין workarounds ) לגבי שם NETBIOS ושם DNS-י: השם הDNS-י קובע את Service Principal Names (או בקיצור SPN-ים) של אובייקטים בAD לטובת Kerberos . איתור ותשאול המידע כפוף לשם DNS-י של AD. במקרה שלך, אתה הולך לשנות DNS Name של הforest. כמה עצות: - אל תבצע אף שלב בלי להיות מודע ב100% למה שהשלב אמור לבצע. - תלמד על כל שלב בנפרד ותשאל עד רמת הפרטים שנראים לך הכי פחות חשובים: גם תלמד המון מהתהליך וגם תצמצם אסון אפשרי למינימום - התהליך מאוד (!) רגיש. - תבצע את השינוי קודם כל במעבדה. מכונות וירטואליות יספיקו (תשתדל להמנע מ VMWare - יש לו כנראה באג, שאין לי כח להכנס לפרטים שלו, שיכול לגרום להתנהגות שלא זהה לסביבה אמיתית. - תתעד כל שלב עד הפיפס האחרון ובמידה ואין צורך בביצוע השלב הבא מיידית, תעשה הפסקות על מנת להבין את השפעת השינוי על הסביבה אם אתה הולך לבצע מעבדה קודם, מציע שתציץ כאן: http://www.microsoft.com/israel/communities/newsgroups/dgbrowser/default.mspx?dg=microsoft.public.il.windows.server&mid=d3bd0211-7772-4e65-a72d-f3ab28a5163b

 

[antidot]

אגב

מה הסדר גודל של AD ? יש תחנות/שרתים מתחת ל2000 ?

 

[slave of the mind]

אהה וחזרה רגע לשאלה המקורית

מה אני עושה הCLUSTER?! אני תכלס מפחד מהתגובה שלו כי ניסיתי אבל לא הגעתי לשום הבנה בעניין. לפי מה שהבנתי בסך הכל אם אני אעצור את הCLUSTER לפניי התהליך המסיבי, יריץ את השינוי על הDCים וייתן את השני REBOOTS שמייקרוסופט ממליצים למחשבי תשתית של הCLUSTER - באותו שלב בעצם המחשבים כבר בדומיין החדש, ולאחר מכן מה התהליך שצריך לקרות בCLSTER - פשוט לא מצאתי רישום שלו. ועוד הדגש קטן הכוונה (שלי לפחות אני מקווה שהבוס יסכים לכיוון) הוא רק להוסיף .NET על השם דומיין, מה שלפי מה שאמרת בעצם יותר משפיע על הFOREST מה שיכול להיות שלא תיהיה השפעה על הCLUSTER. כמו שאתה מבין... ככל שאני מתעסק בזה אני רק חוטף כאב ראש... אני עוד יחסית "צעיר" בתחום.

 

[slave of the mind]

אממ תודה קודם כל

אז בנוגע לשאלות... בעקרון יש בסביבות ה300 תחנות בקירבה מיידית (בזמן האחרון יחסית פתחנו SUBNET שני והוא עדיין לייעודים ספציפים בלבד) ועוד בערך 50-60 תחנות מרוחקות (FIREWALLS וכו) - תחנות אלו מאוד (ואני לא יכול להדגיש את זה מספיק) מדאיגות אותי. סך הכל מרבית הרשת מבוססת WIN2KSP2 אבל יש שתי תחנות NT ושרת NT - אותם אני מתכוון להוציא באופן ידני מהעניין (עד לרמה של לנתק את הכבל) ולהחזיר לעבודה אחרי שהדברים מחוברים - דפוק אבל זה SP3 אני לא באמת רוצה שהם יהיו קיימות אבל זו לא החלטה שלי. בנוגע ללמידה - התחלתי באמת בקריאה של חומרים של מייקרוסופט, יש שם הסברים יחסית מפורטים לרמה של מפתחות AD שהולכים להשתנות מהתהליך. הייתרון היחיד שכן אני יכול להגיד הוא ששדרגנו כבר ל2003 ככה שאני יכול להשתמש בכלים הקיימים שעושים את העבודה יחסית פשוטה, מה שבאמת מדאיג אותי זה שאת שלב הביצוע הוא עושה במכה ובהתחשב בכך שיש לי רק שני DC אני מפחד על איך שאר הרשת תגיב לי כשיגיע הבום. כרגע אין לי באמת TRUSTS, ככה שלפחות את הכאב ראש הזה חסכתי לי, אבל אני יודע שזה יגיע בעתיד ואני רוצה למזער כבר את הנזק לכיוון הזה גם כן. למיטב הבנתי של התהליך (אני רק בתחילת הקריאה) את השינוי הדרמטי הוא עושה במכה ולאחר מכן עדיין שומר לי את המצב הקודם במעין גיבוי קר - אתה יודע אם יש דרך לחזור אחורה במקרה והתהליך לא עבד לי כמו שצריך? תודה רבה על העזרה אהה ושנה טובה

 

[בעז 21]

אהלן,

במצב של 300 תחנות לא עדיף פשוט להקים עוד דומיין עם השם החדש, ולהתחיל להכניס תחנות לאט לאט לדומיין החדש?

 

[slave of the mind]

אתה חיובי משהו

אבל בחיים לא יסכימו עם זה... אני יודע שזה דבר קטן סך הכל... אבל עושים לי המון בעיות והמון בירוקרטיה... זה לא באמת מקום יעיל

 

[gingis]

יש לי שלוש המלצות >>

1 מעבדה מעבדה מעבדה 2. תכין לך העתקים מלאים בGHOST של השרתים 3. תוסיף עוד DC בלי שום פשרות 4. חרגתי ממה שכתבתי למעלה תרגיע את הבוס על ידי זה שתפחיד אותו

 

[slave of the mind]

אמממ

1. בהחלט חלק מהתהליך עבודה 2. מתכוון להשתמש בכלי של התוכנת גיבוי שנותן לי גוסט מהגיבוי מלא האחרון. 3. למה עוד DC?! 4. ברור!!!

 

[antidot]

הערה

בשום פנים ואופן אל תגבה את הDC-ים עם GHOST. ההסבר ארוך ומייגע, אבל תסמוך על המילה שלי: בסביבה בעלת יותר מDC יחיד, DC ששוחזר מGHOST יכול לגרום לבעיות שלבד לא תצא מהן. תציץ כאן: http://support.microsoft.com/kb/875495/#XSLTH3128121124120121120120

The following operations are not supported: 1. Starting an Active Directory domain controller whose operating system was restored to a hard disk by using an imaging program such as Norton Ghost​

אתה יכול להתעלם מההערות על VPC ו-Virtual Server - DC-ים כבר נתמכים בסביבה ווירטואלית. בנוסף: אל תכניס DC-ים מיותרים לסביבה - זהו עוד גורם שמשפיע על הסביבה ואתה רוצה לצמצם את המקורות האפשריים לתקלות פוטנציאליות. אם תכניס DC חדש שאינו מקונפג נכון - אתה לא תדע אם הבעיות לאחר שינוי שם מקורן בDC הנוסף או בקלאסטר.

 

[slave of the mind]

בשביל העתקת הAD

נראה לי שנלך על משהו בסגנון הSCRIPTS שמגיעים יחד עם GPMC. הם לא הדבר המושלם אך לדעתי בשימוש נכון הם כן יהוו פתרון טוב להדמיית המצב. תודה רבה על כל התגובות והעצות

 

[myofer]

אני חייב להתייחס ללינק שצירפת

תקן אותי אם אני טועה. אפשר לצרף DC חדש לסביבת העבודה. לגבות אותו ושוב להריץ עליו DCPROMO כדי להוציא אותו מהדומיין. אח"כ להקים מעבדה ולשחזר את הגיבוי. במקום להתעסק עם metadata.

 

[antidot]

אכן יכול

השאלה שלי פשוטה: למה ? המטרה היא להקים סביבה כמה שיותר דומה למקורית במינימום זמן. הדבר היחיד שהפתרון שלך חוסך זה פחד פסיכולוגי מביצוע metadata cleanup (שב2003SP1 מתבצע ע"י הרצת פקודה בודדת בלבד ב ntdsutil ) מצד שני אתה מוסיף שלב של גיבוי/שיחזור. אם נחשוב שניה, תהליך הdcpromo down בין היתר מבצע metadata cleanup בעצמו (תציץ בלוגים של dcpromo ותראה בעצמך, למרות ששם הוא משתמש בAPI ולא בntdsutil ), כך שאני אישית לא רואה ערך מוסף בעניין. ייתכן שאנשים שלא מרגישים נוח עם כלי שורת פקודה, בהחלט ימצאו את התהליך שהצעת כהכי פחות מסוכן.

 

[בעז 21]

antidot מה אתה אומר על זה:

במצב כזה לא פשוט עדיף להקים עוד Forest שיכיל את שם הדומיין החדש. הוא טוען שהרשת שלו מבוססת שרתי 2003 ככה שהוא בעצם יכול להרים את רמת הפונקציונליות של הforest הישן ולבצע FOREST TRUST. להביא איזה כמה טכנאים להתחיל להעביר את התחנות לאט לאט לForest החדש. ובמקביל בגלל ה-TRUST עדין יהיה לכל אחד מהתחנות הנמצאות בכל אחד מהForests גישה למשאבים הנמצאים בforest הישן (וההפך). ובסוף התהליך פשוט להוריד את הforest . האם זה לא עדיף במקום להתחיל לבצע troubleshooting לבעיות שיכולות לצוץ במקרה של שינוי שם? שלפי כל מה שהמומחים אומרים צפוי שיהיה לך בעיות עם התהליך הזה?

 

[gingis]

לדעתי רעיון מעולה אבל דורש הרבה עבו

 

[slave of the mind]

גם לי היה את הרעיון

הבעיה היא שאני מכיר יותר מידי את העבודה שם היא חפרית ברמות מטורפות - אני צריך מנגנון שיעביר באופן אוטומטי את כל המחשבים לדומיין החדש. חוץ מזה שזה עניין של להתעסק בFOREST TRUST לפניי שצריך כשזו מערכת שאומנם לא נבדקה בשנתיים האחרונות לנושא אבל לא נראה שהיא תחזיק את זה כמו שצריך. ובאופן אישי אני כן מעדיף שאם כבר להתעסק אז שיהיה משהו שישמו לב כי זה עלול ליפול בלי הכיסאות בלי שום דיווח נכון במשך חודשים... שמע זה לא תהליך פשוט ולא ציפיתי שיהיה תהליך פשוט ואין לי פחד מהביצוע יש לי פחד שאני לא אדע עם מה אני מתמודד. בכל מקרה לעבודה יש כלים של CMD שזה סה"כ משהו שאני מעדיף אותו מאשר GUI שעלול להתקע על שטויות אחרות

 

[antidot]

forest trust

יצא לי להיות מעורב בעבודה קודמת בdesign והטמעה של סביבה שכללה forest trust בארגון הרבה יותר גדול ולדעתי הגישה לא מתאימה למקרה הספציפי. יש יותר מדי דברים ייחודיים כאשר עובדים עם forest trusts שבגללם המעבר יכול להמרח לתקופה מאוד ארוכה. אני חושב שהיינו בין הראשונים בארגונים הגדולים שהסתכנו בלהכניס את העניין לסביבת production ובמהלך ההטמעה מצאנו לא מעט באגים ונתקלנו בדברים שצריך לעשות בצורה שונה מהדרך המקובלת. אומנם בסופו של דבר הכל עבד נהדר, אבל אני בספק אם יש לך את הזמן ואת המשאבים שעמדו לרשותינו במהלך ההטמעה. מה גם שזה לא פותר את הבעיה המקורית. במקרה של הקמת forest חדש אינך יכול להשתמש בשם NETBIOS-י של דומיין קיים ובנוסף נושא הDNS יהווה בעיה עקב single label domain name (זוכר שהזכרתי למעלה את הבעיות של trust-ים ?) ולגופו של העניין: אם היה לי לקוח שעומד בפני שינוי כזה, הייתי מבצע מעבדה שמדמה את הסביבה המקורית (אפילו שיש לי ניסיון עם domain rename), כיוון שאני לא יכול להיות בטוח ב100% איך יתנהג הקלאסטר והייתי רוצה לצמצם למינימום את הdowntime בסביבת production. אם יש לך Virtual Server נגיש, הייתי מרים DC וירטואלי חדש לתוך סביבה קיימת, מנתק, מטפל בmetadata ו-FSMO-ים וכו' ומקים קלאסטר וירטואלי חדש בסביבה ניסיונית (המופרדת מהסביבה הקיימת) ומבצע את השינוי שם על מנת לוודא שהכל מתפקד כראוי.