Надежность PDC под Unix

[princseps]

Я хочу перенести контроллеры домена на FreeBSD. Материала по этому поводу достаточно много (например, http://www.lissyara.su/?id=1329). Однако хотелось бы знать, насколько надежной будет такая система. Если есть опыт эксплуатации у кого-нибудь, напишите, много и проблем по сравнению с AD?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[matperez]

Присоединяюсь к вопросу! Попутно добавлю свой: как быть с политиками безопасности?

[Dolphin_BSD]

Помниться на где то читал на формумах годика полтора назад, что в FreeBSD 5.4 были с этим проблемы.
Матов было нормально !
Хотелось бы действительно узнать мнение того кто использует такую систему ...

[serge]

Поднимал и до сих пор работает PDC под FreeBSD. Уже больше года. Как грится, полет нормальный. Отличия от винды есть, но принцип тот же. Если не использовать специфические опции AD, то все тож самое.
Все опции которые венда раздает через AD и политики, на самбе решаются через скрипты логина занесением изменений в реестр.
З.Ы. Вчера обновлял самбу. В установочном конфиге появилась галочка Active Directory. Хочу почитать че ет такое.
По слухам 4 ветка самбы догнала по возможностям AD.

[princseps]

А ставили один контроллер или два? Я вот не нашел ничего по поводу установки двух контроллеров, а хотелось бы - для надежности

[serge]

Один. За весь период работы проблемы возникали только из-за меня самого. Т.к. один раз решил обновиться по среди рабочего дня, без тестирования новой версии на тестовом сервере. Пропала русская кодировка, пришлось экстренно возвращаться назад, в итоге около часа домен был недоступен.
А так, если не трогать, то жалоб нет.
Резервное копирование еженедельно всех доков, профилей пользователей и настроек системы провожу на другой hdd (домен на райде).
С другой стороны, ниче не мешает поставить рядом еще 1 машину и на ней поднять резервный контроллер. Если есть необходимость.

[princseps]

А не подкините ли ссылочку на инфу по том, как два контроллера рядом поставить? И еще вопрос: с AD мигрировали или с нуля поднимали?

[serge]

Ссылочку не подкину... нету)) Да и не делал резервный домен никада.
Поднимал с нуля. Мигрировать с AD с то время не знал как, но чето подсказывает что наверное такого решения то и нет.
З.Ы. Из удобства домена на самбе могу сказать возможность шарится руту по пользовательским хомякам. Винда админа в хомяки не пускает. Иногда бывает нужно, например када у одного сотрудника нужно вытащить документ и передать на исполнение другому, а пароля и самого сотрудника нету на месте.

[Alex Keda]

из плюсов контроллера на BSD - лёгкость архивирования и восстановления.
собсно, сколько времени займёт раскатать архив dump на ЛЮБУЮ свободную тачку?
несколько минут, если машина только контроллер домена, а не засрана доками.
вот это - время простоя.
и второй - не очень оказывается нужен.
при желании, можно сделать какуюнить волшебную загрузочную флжшку, которая ,бутится,ишет на заданной шаре последний архив и раскатывает его не спрашивая (или спрашивая) на машину и ребутится.
восстановление можно доверить дауну способному воткнуть флэшку и ннажать кнопку питания.

[princeps]

Так, у нас набирается два плюса *nix против одного минуса (неполная функциональность по сравнению с AD) . Кстати, долгие часы, проведенные в надежде восстановить упавшие репликацию\политики\DNS и пляски с бубном при настройке репликации после восстановления из резервной копии ntbackup'ом тоже утвердили меня в мысли, что вместо двух контроллеров рациональней использовать какой-нибудь Acronis True Image или Norton Ghost, чтоб в случае чего раскатывать заранее сделанный образ.

[serge]

Ну так ставишь самбу?

[princeps]

Я все равно решил это делать Кстати совсем забыли о главном преимуществе: она бесплатна. Для малых\средних организаций, я думаю, этобудет решающий фактор. Кстати, два PDC наверное можно сделать при помощи кластера с использованием Heartbit+DRBD, примерно так, как описано вот здесь: http://www.samag.ru/cgi-bin/go.pl?q=art ... .2006;a=02. Не уверен, но мне кажется, это будет проще и надежнее, чем репликация в AD. А миграцию из Active Directory можно сделать с помощью выгрузки в файл LDIF. Правда пока я еще не знаю, как в таком случае быть с паролями.

[f0s]

кстати, а вот интересно, есть ли возможность сделдать BDC, ну вот к примеру если вдруг не будет доступен мой контроллер домена самбовский нынешний (к примеру его выключили по тех причинам), чтобы второй смог работать и пускал бы бюзеров в домен (я так понимаю в этом случае надо будет второй опенлдап на этой же (BDC) тачке поднимать и как-то данные синхронизировать?)

[serge]

К сведению. В 3.0.26 самбе появилась в установочном конфигу опция:

Код: Выделить всё

[ ] CLUSTER      With experimental cluster support 

Не разбирался еще с этим, но интересно.

[serge]

кстати, а вот интересно, есть ли возможность сделдать BDC, ну вот к примеру если вдруг не будет доступен мой контроллер домена самбовский нынешний (к примеру его выключили по тех причинам), чтобы второй смог работать и пускал бы бюзеров в домен (я так понимаю в этом случае надо будет второй опенлдап на этой же (BDC) тачке поднимать и как-то данные синхронизировать?)

Как я понимаю лдап можно вынести вообще на отдельную машину. Т.е. не зависимо от контроллеров. И обслуживать лдап будет сколько угодно машин, которые к нему подключаться. И сответственно хранить данные в одном экземпляре для всех.

[torki]

Нууу, незнаю ребята. Как-то наблюдал такое кино, предприятие компов штук 250 (фирма серьезная, круглые сутки отгружаю готовую продукцию ). Серверов 3 или 4, пара под БД(1с, db2), 1 для документооборота незнаю что за хрень, и один под виндой(AD, PDC, DNS, DHCP)и еще через него в инет выпускали. И в одно прекрасное утро этот сервант просто СДОХ!!! . А сервант не простой (фуджик-сименс) на гарантии, вскрывать нельзя!
Утром приходите на работу, включаете комп, логин пароль? А ДУДКИ а все учетки на сдохшем сервере!!! Вообшем история закончилась очень плохо. Поимели ИТ отдел без вазелина пудлично. А что сейчас на этой фирме? Чего НЕТ (AD, PDC, DHCP), остался только DNS, даже IP заводят вручную, вот так вот. Личто я из этой истории извлек простой урок, проблемы мы сами сабе создаем и нельзя держать все яйца в одной корзине. Все очень просто,
если компов 10-20 то можно и всю эту хрень использовать, ну а если больше? То должно быть по проще, в любом случае выбор за вами.

[serge]

Есть книга по самбе: Samba3-ByExample.pdf
В 1 части в 6 главе рассматривается сеть с числом пользователей более 2000 человек. Вот ее интересно почитать. Там приводится схема домена с несколькими контроллерами и 2 (master и slave) ldap серверами.

[serge]

Личто я из этой истории извлек простой урок, проблемы мы сами сабе создаем и нельзя держать все яйца в одной корзине.

Это конечно понятно. Но не всегда есть возможность(отсутствие железа) разнести сервисы по различным машинам. Но в любом случае, ОБЯЗАТЕЛЬНО, резервное копирование. И, как правильно, заметил Лис, под фрей проще сделать дамп всего раздела с настройками контроллера и при необходимости за 0,5-1 час его развернуть на новую машину, или hdd.
Честно сказать даж и не помню, можно ли средствами винды сделать нормальную резервную копию и потом с нее восстановиться:?

[princeps]

Средствами винды я делал и в итоге получалось, что после краха проще было развернуть все с нуля - меньше времени бы заняло. Но в одной конторе я видел, как ребята бэкапили AD все с помощью образов Adronis True Image. У них все специалисты были в другом городе, а сеть поддерживал, как сказал Лис, способный даун. И у него был мануал, как себя вести, если что-то пошло не так. Правда прецедентов восстановления из таких бэкапов я не наблюдал. Кстати, чем плох вариант дублирования контроллеров при помощи кластера, когда сеть видит их как один? В таком случае после выпадения одного второй возьмет на себя его функции незаметно для клиентов.

[serge]

Вот с кластерами хз... не работал. Но попробовать или хотяб почитать про это интересно.
Тут еще наверное нужно смотреть на цену вопроса. Настолько большая сеть? Критичен простой в 30 мин или час?
У меня, например, порядка 100 юзеров, в онлайне в домене не более 50 разом. Час простоя... ну пошумят конечно, но в итоге переживем

[princeps]

Мне кажется, что вне зависимости от размера сети приятней, когда юзеры не замечают твоих косяков Так что если есть возможность поставить 2 компа под контроллеры домена, это нужно сделать. Это, кстати, настоятельно рекомендуют M$ в своих мануалах по развертыванию AD, особенно для сетей с количеством машин боле 50. Для 250 компьютеров уж тем более. Кстати, serge, если можно, киньте ссылочку на эту волшебную книгу по самбе. У вас нет данных о других сетях с *nix'ами в качестве PDC?

[Alex Keda]

Личто я из этой истории извлек простой урок, проблемы мы сами сабе создаем и нельзя держать все яйца в одной корзине.

Это конечно понятно. Но не всегда есть возможность(отсутствие железа) разнести сервисы по различным машинам. Но в любом случае, ОБЯЗАТЕЛЬНО, резервное копирование. И, как правильно, заметил Лис, под фрей проще сделать дамп всего раздела с настройками контроллера и при необходимости за 0,5-1 час его развернуть на новую машину, или hdd.
Честно сказать даж и не помню, можно ли средствами винды сделать нормальную резервную копию и потом с нее восстановиться:?

на этих выходных выяснили неприятную вешь (в процессе зарабатывания моего радикулита) - весь терабайт архивов что делается по ночам - скорей всего бесполезен, потом как когда нас припёрло, достать мы из них ничего не смогли.
архивы делались лицензиозным симантеком, настраивали всё админы что были до нас.
решили, что на никстовых серверах будем юзать tar/dump/restore а с виндовыми будем думать...

[Alex Keda]

Кстати, serge, если можно, киньте ссылочку на эту волшебную книгу по самбе. У вас нет данных о других сетях с *nix'ами в качестве PDC?

на ftp поройся. там много интересного

[serge]

Мне кажется, что вне зависимости от размера сети приятней, когда юзеры не замечают твоих косяков Так что если есть возможность поставить 2 компа под контроллеры домена, это нужно сделать. Это, кстати, настоятельно рекомендуют M$ в своих мануалах по развертыванию AD, особенно для сетей с количеством машин боле 50. Для 250 компьютеров уж тем более. Кстати, serge, если можно, киньте ссылочку на эту волшебную книгу по самбе. У вас нет данных о других сетях с *nix'ами в качестве PDC?

Спорить не стану. Возможно и так. А может мелкософт просто зная свои продукты поэтому так и предлагает
Ссылка на html версию: http://us1.samba.org/samba/docs/man/Sam ... users.html

[f0s]

кстати, а вот интересно, есть ли возможность сделдать BDC, ну вот к примеру если вдруг не будет доступен мой контроллер домена самбовский нынешний (к примеру его выключили по тех причинам), чтобы второй смог работать и пускал бы бюзеров в домен (я так понимаю в этом случае надо будет второй опенлдап на этой же (BDC) тачке поднимать и как-то данные синхронизировать?)

Как я понимаю лдап можно вынести вообще на отдельную машину. Т.е. не зависимо от контроллеров. И обслуживать лдап будет сколько угодно машин, которые к нему подключаться. И сответственно хранить данные в одном экземпляре для всех.

нет, ну понятно конечно на другую машину.. только разница-то. ну хорошо, к примеру тачка с лдапом выключена, нужен же какой-то резерв...